Vie privée et informatique
Avec l'apparition de l'informatique et l'accessibilité à internet, les problèmes de la confidentialité des données personnelles des usagers sont devenus un véritable enjeu. Si le stockage des données de navigation a été considérée comme un progrès (Big data), il s'est aussi accompagné d'inquiétudes sur la protection de la vie privée, à travers la gestion opaque de ces informations, avec la possibilité pour quiconque d'y avoir un accès non contrôlé. En littérature on parle de Big Brother pour "qualifier […] les pratiques portant atteinte aux libertés fondamentales".
La protection de la vie privée repose sur la mise en place de moyens légaux (le RGPD dans l'union européenne), techniques (cryptographie) ou organisationnels (règles internes). Dans le cas d'internet, l'offuscation vient compléter cet arsenal afin de protéger les données des utilisateurs.
Principes clés
[modifier | modifier le code]Les différentes associations et institutions qui défendent la vie privée comme le CNIL ou les RSF en France, ont voulu que chaque citoyen ait une plus grande maîtrise de ses informations personnelles.
En effet, afin de maîtriser l’usage qui est fait des informations personnelles des citoyens, il est important de contrôler et d’avoir connaissance de qui détient des informations sur eux et quel est le type d’informations personnelles détenues.
Ceci permet d’éviter de se faire interpeller (par téléphone, par courrier, par courriel…), de pouvoir modifier ses propres informations ou encore d’avoir des influences sur ses chances de trouver un emploi.
Sans contrôle de ses informations, des personnes malveillantes pourraient les utiliser contre les citoyens. On peut prendre l’exemple du totalitarisme : il ne faudrait pas qu'en cas d'installation d'un tel régime, celui-ci puisse « avoir accès à des informations de ségrégation ».
Ces demandes de maitrise des informations personnelles ont parfois été reçues :
Cela a débuté avec la Directive 95/46/CE sur la protection des données personnelles, l'Union européenne impose que les données personnelles collectées par une société pour rendre un service ne puissent être utilisées sans l'accord exprès de son utilisateur : il s'agit de l’opt-in du citoyen. À comparer à l’opt-out qui prévalait avant et où un citoyen devait spécifiquement interdire l'usage de ses données personnelles. Cette directive a été remplacé par le Règlement général sur la protection des données. C’est un règlement de l’Union Européenne qui constitue le texte de référence en matière de protection des données à caractère personnelle. L’objectif de la mise en place du RGPD (Règlement général sur la protection des données) est de continuer à renforcer la protection des données personnelles.
Suivant les pays, il y a un droit d'accès et de modification. Le droit d’accès se définit comme le droit de savoir si un organisme détient des informations nous concernant. Cela permet donc de les contrôler, les rectifier ou les effacer[1].
Suivant les pays, le refus que l'on utilise les données personnelles dans un but de sollicitation commerciale ne doit pas porter atteinte à l'accès au service initial. Cela préserve donc l'égalité de traitement des personnes.
Le droit à l'oubli se développe[2].
Chaque personne peut avoir des préférences différentes selon le cas. Certains acceptent d'être sollicités, d'autres refusent, et tout dépend du contexte.
Ainsi les données personnelles peuvent être définies comme suit :
- soit la juxtaposition du nom/prénom + une donnée personnelle (définition courante aux États-Unis, mais contestée), ce qui constitue en fait des données d'identification et non des données qui sont « personnelles » ;
- soit des données liées à un individu identifié ou identifiable : son état civil, son adresse IP, ses identifiants, tout type d'adresse (courriel, postale, téléphone, etc.), son numéro de Sécurité sociale (en France), ses caractéristiques biométriques[3] ce qui constitue le bloc d'identification (analogue à la définition USA) mais aussi toutes données qui y sont reliées telles que chats, navigation internet, profil, préférences personnelles ;
Les défenseurs de la vie privée établissent une distinction entre possesseur des données et dépositaire. On peut le traduire d'une autre façon : « mes données sont une extension de moi-même », donc quand on les touche, ou qu'on les utilise je veux le savoir et en connaître le but. Ce serait de ce principe que découlerait le droit d'accès et de modification. Une idée en ce sens serait que toute personne puisse souscrire à un organisme de gestion de mes données qui permettrait de lui rapporter qui a des informations sur lui, quelles sont les informations, pour quels usages elles sont destinées, et qui lui permettraient de les corriger, modifier, supprimer lorsque de droit ;
Les standards de la protection des données personnelles mettent en avant ces deux principes : notice and consent (« notification et consentement »), mais ces deux seules fonctions deviennent difficiles à mettre en pratique vu la complexité des systèmes de collecte d'information disponibles aujourd'hui (internet mais aussi « big data »). En complément de ces deux principes fondamentaux, on trouve également « notice, consent, access and update, data minimization, purpose limitation » ;
Les données sensibles des personnes sont un cas particulier qui requièrent des protections et consentements spécifiques. Cette définition peut varier suivant pays et culture sociale et juridique (en Europe ethnie, religion, préférences sexuelles sont en général considérées comme sensibles).
Gestion et protection des données personnelles collectées par les fournisseurs de service
[modifier | modifier le code]Les fournisseurs de services, que ce soit l'administration ou des opérateurs de service sont amenés à collecter et stocker des informations personnelles dans le but de fournir le service.
Toutes les bases de données ainsi collectées doivent être soumises en France à l'autorisation préalable de la CNIL. Il existe dans tous les pays Européens des équivalents de la CNIL avec des exigences variables quant à la notification ou à l'autorisation de transfert.
L'autorisation concerne :
- Le type de données gérées
- L'usage des données ainsi collectées
- La durée de conservation
- Le transfert international vers des pays dits « non adéquats » tels que définis par la Commission Européenne ainsi que le mode de protection appliqué (Consentement, Model Contracts, Contrat spécifique ou Binding Corporate Rules - BCR).
Données personnelles collectées
[modifier | modifier le code]Deux catégories de données sont stockées dans les fichiers informatiques.
Données fournies par l'utilisateur, en général au moment de la souscription au service |
---|
|
Données collectées pendant la fourniture du service, ce sont des données plus sensibles en matière de vie privée. Cette sensibilité dépend du type de service fournit. |
---|
Les opérateurs de télécommunication - tickets de facturation et d'usage qui collectent des données sur :
|
Les services bancaires collectent des données sur :
|
Les services de santé (incluant Sécurité sociale et assurance) - collectent des données sur :
|
Les fournisseurs de services gratuits et payants sur Internet collectent des données sur :
A noter que les données collectées par les fournisseurs de services gratuits permettent d'avoir une meilleure connaissance des utilisateurs et est une source de revenus. De telles informations font l'objet d'un commerce lucratif avec d'autres partenaires de la sphère Internet (Data Brokers, Marketing, Publicitaires). Ce commerce est de plus en plus contesté aujourd'hui à cause de son opacité et du non-consentement des utilisateurs. |
Les services de police et les renseignements généraux collectent des données pour leurs besoins propres. Une quarantaine de fichiers différents existent ainsi en France. |
Usage des données
[modifier | modifier le code]Les données collectées sont utilisées pour fournir le service, le facturer et gérer les réclamations mais aussi de multiples autres utilisations.
Il y a des préoccupations en matière de protection de la vie privée, elles concernent :
- La capacité du fournisseur de service à protéger les données stockées, d'un accès extérieur malveillant.
- L'usage qui est fait des données collectées en dehors de celui prévu par le contrat (action marketing, location de fichiers, etc.).
- Le partage de ces informations avec des tiers non autorisés.
- L'usage des données pour des buts non attendus ou non désirés par le Citoyen (communément appelé le « Data Subject »).
Les établissements financiers et les opérateurs de télécommunication possèdent des informations extrêmement sensibles sur la vie privée de leur client. La CNIL veille particulièrement à ce que ces données ne soient pas traitées pour des actions marketing sans accord préalable.
Certaines données doivent être mises à la disposition de la police sur commission rogatoire.
Durée de conservation des données
[modifier | modifier le code]La loi sur la protection des données personnelles exige que les données ne soient pas conservées plus longtemps que nécessaire pour fournir le service demandé, néanmoins d'autres nécessités légales peuvent influencer cette durée. La CNIL a travaillé avec le service interministériel des archives en France (SIAF) pour établir un guide pratique répondant aux obligations imposées par le Code du patrimoine et par le RGPD[4].
La conservation des données administratives peut-être extrêmement longue, et durer toute la vie (Cotisations retraites, transactions immobilières par exemple).
La durée de conservation par les fournisseurs de services non administratifs est soumise en France à l'accord préalable de la CNIL.
Les données ne doivent être en principe conservées que pendant la durée nécessaire à fourniture du service, ainsi que pendant une période complémentaire raisonnable. L'article L110-4 du Code de commerce français prévoit que « Les obligations nées à l'occasion de leur commerce entre commerçants ou entre commerçants et non-commerçants se prescrivent par cinq ans si elles ne sont pas soumises à des prescriptions spéciales plus courtes ».
En cas de résiliation du service, les données nécessaires à la collecte du dernier paiement peuvent être conservées tant que la dernière facture est considérée comme exigible.
Cependant, s'il y a litige, la durée de conservation des données peut être de plusieurs années.
De plus, la loi peut exiger une conservation beaucoup plus longue des données. Il en est ainsi :
- De la conservation des données bancaires qui peuvent être utilisées comme preuve dans des conflits commerciaux (dix ans pour les paiements, réduit à cinq ans depuis 2008)
- Des données de télécommunication qui peuvent servir de preuve lors des procès au pénal ou pendant les enquêtes judiciaires qui peuvent avoir lieu longtemps après les faits (voir la Directive 2006/24/CE sur la conservation des données)
Protection des données personnelles
[modifier | modifier le code]La terminologie de « données personnelles » est employée par la directive du 24 octobre 1995 dans son article 2 : « toute information concernant une personne physique identifiée et identifiable ». Les données personnelles dans la définition extensive de la directive européenne, englobent tout ce qui se rapporte à l'identité de la personne, à sa personnalité, à sa vie privée. Les données personnelles concernent donc nécessairement les nom, prénom , adresse ; le téléphone, les coordonnées bancaires, le numéro de sécurité sociale ou NIR. Une adresse électronique ou e-mail , une adresse IP ou adresse numérique de l'ordinateur sont des données personnelles. Les données personnelles sont donc un point extrêmement sensible, puisque l'on sait que, malgré les moyens de protection mis en œuvre, aucun système ne peut être considéré comme inviolable.
Il existe donc en France, plusieurs principes juridiques de protection des données. En effet, deux d'en eux sont importants :
- Le principe de finalité[5]
Selon la loi, ces données ne peuvent pas être conservées au-delà de la durée « nécessaire aux finalités pour lesquelles elles sont collectées ».
- Le droit à l’oubli (ou droit à l’effacement)[6] :
Les informations ne peuvent être conservées de façon indéfinie dans les fichiers informatiques. Une durée de conservation doit être établie en fonction de la finalité de chaque fichier. Au-delà, les données peuvent être archivées, sur un support distinct. La durée de conservation déclarée dans le registre du CIL doit correspondre à la période durant laquelle les données restent accessibles ou consultables, par opposition avec la période d’archivage des données pendant laquelle celles-ci ne sont plus destinées à être utilisées et sont de ce fait, conservées sur un support distinct au sein d’un service d’archives. Les données personnelles doivent être adéquates, pertinentes et non excessives au regard des objectifs poursuivis. Enfin, toute personne a le droit de s’opposer, pour des motifs légitimes, à ce que des données la concernant soient enregistrées dans un fichier informatique, sauf si celui-ci présente un caractère obligatoire.
En complément à ces principes juridiques, le fournisseur de service à plusieurs missions. Il doit assurer que l'accès à son système d'information est protégé des accès extérieurs. Il doit également s'assurer de l'impossibilité d'altérer les données. Il faut qu’il respecter les règles en matière de stockage des données bancaires (interdiction de stocker en clair les numéros de carte par exemple).
Il ne peut pas stocker les mots de passe des clients, mais se contenter de stocker l'information permettant de contrôler les mots de passe.
Il est également possible d’augmenter la protection de ses données avec des réflexes simples valables aussi bien pour un particulier qu'une entreprise, tels que :
- sécuriser ses périphériques de stockages (clé USB, disque dur externe principalement) ;
- utilisation de logiciels de cryptage ;
- sécuriser son ordinateur avec des mots de passe. Il est recommandé d'utiliser différents mots de passe pour plusieurs comptes. La CNIL estime qu'un bon mot de passe doit contenir au moins 12 caractères parmi lesquels, des majuscules, des minuscules, des chiffres et des caractères spéciaux. De plus, il est préférable que les mots de passe ne contiennent pas d'informations personnelles comme par exemple sa date de naissance. Il est également possible d’utiliser un gestionnaire de mots de passe. La CNIL recommande Keepass dont la sécurité a été évaluée par l'ANSSI (Agence Nationale de Sécurité des Systèmes d'Information) ;
- paramétrer une « veille sécurisé ».
Il existe bien d'autres procédés pour protéger ses données personnelles. Cependant, ils ne font que limiter les risques[7].
Traces sur Internet
[modifier | modifier le code]Ce que l'on appelle ainsi, ce sont tous les fichiers qui s'enregistrent sur l'ordinateur d'un utilisateur, le plus souvent à son insu, lorsqu'il navigue sur Internet : cookies, historique, formulaires, fichiers téléchargés, fichiers Internet temporaires…
On peut classer les traces en trois catégories[8] :
- Les traces volontaires : Ce sont les traces que nous publions comme des photos ou des messages sur les réseaux sociaux ou des données personnelles surcontre CV en ligne… ;
- Les traces involontaires : Par exemple, avec notre ordinateur, il est possible de retrouver notre adresse IP, l'historique de nos recherches… Avec les moteurs de recherche, tous les mots-clés sont enregistrés. Ainsi, il est possible de connaitre nos habitudes et nos sites fréquentés récemment… Avec les cookies, des fichiers sont déposés sur notre ordinateur. Ils permettent d'enregistrer un grand nombre de données sur nous comme notre langue par exemple ;
- Les traces héritées : Ce type de traces sont des informations qui nous concernent mais que nous n'avons pas publiées, elles sont visibles sur internet sans que l'on ne sache. Cela peut être une photo dans laquelle nous sommes identifiées ou encore l'organigramme de la société où nous travaillons.
Les logiciels comme Internet Explorer en version 7, Mozilla Firefox, Chrome, CCleaner, Wise Disk Cleaner ou encore Steganos Internet Anonym permettent d'effacer facilement ces traces. D'autres méthodes réduisent sensiblement le traçage (et la censure) des internautes soit sur l'internet normal (Tor) soit en constituant un réseau anonyme (Freenet, I2P).
Paradoxe de la vie privée
[modifier | modifier le code]Ce terme français, issu de l'expression anglaise « privacy paradox », désigne le paradoxe entre une pratique, la divulgation quotidienne de ses données à caractère personnel particulièrement développée sur internet (commodité, usage dans le web social) et un souhait, la volonté de protéger sa vie privée.
En anglais, Susan B. Barnes développe la notion de privacy paradox[9] en expliquant que la notion paradoxale du terme privacy aux États-Unis se joue à travers d'un côté, des adolescents qui divulguent leurs pensées les plus intimes et, d'un autre côté, les organismes gouvernementaux et commerciaux qui collectent ces données. La notion de privacy paradox pose l'hypothèse de la fin de la vie privée sur internet. Dès la fin des années 1990, des chercheurs émettent cette hypothèse, en particulier Simson Garfinkel qui, à travers son étude sur la notion de la vie privée[10], analyse les aspects techniques de l'information et affirme l'hypothèse que le web actuel mettrait fin à la privacy car les évolutions techniques ne prendraient pas en compte les évolutions de l'individu.
En fait cette prétendue « disparition de la vie privée » (voir les déclarations controversées de Scott McNealy et Eric Schmidt) semble contredite par de multiples études universitaires[11], même sur des jeunes générations, et provenant principalement de l'absence de connaissance et de transparence sur la réelle utilisation des données collectées. Par exemple, dans son article « Contre l'hypothèse de la fin de la vie privée »[12], Antonio Casilli propose une nouvelle définition de la vie privée, conçue comme une entité faisant l'objet de réajustements permanents entre les membres de chaque communauté virtuelle. Dans cette conception de la privacy, l'internaute se dévoile de manière différentielle selon les cercles dans lesquels sont publiées les informations le concernant, dans une double logique de construction de son influence et de préservation de son intimité ; c'est grâce aux feedbacks des autres usagers qu'il identifie ce qu'il peut considérer comme relevant ou non de sa vie privée. Cette conception est donc très éloignée des approches traditionnelles qui considèrent la vie privée comme un noyau de données relevant par nature du secret et qu'il faudrait défendre.
Économie des données
[modifier | modifier le code]Le respect de la vie privée représente un sujet relativement ancien, qui remonte notamment à l’époque des Lumières où des débats sur l’émancipation de l’individu face à la société sont apparus. Les questions et les débats autour de l'économie des données sont quant à eux beaucoup plus récents et sont apparus notamment avec la montée en puissance de l’informatique, des réseaux numériques et des Nouvelles Technologies de l’Information et de la Communication (NTIC).
Dans son ouvrage L’Économie des données personnelles et de la vie privée[13], Fabrice Rochelandet, professeur à la Sorbonne, définit les données personnelles comme des biens :
- Informationnels : À partir de l'instant où il y a un échange marchand ou non marchand qui se crée sur un réseau numérique, il y a échange d’informations entre deux parties, conservées par l’une d’elles. Les données personnelles constituent alors des biens informationnels.
- Durables : Les données personnelles perdurent dans le temps, car elles sont numérisées et peuvent être reproduites à l’infini.
- Périssables : En revanche les données personnelles représentent tout de même des biens périssables en ce fait que les informations sur un individu peuvent changer et évoluer au fil des années (âge, lieu d’habitation, etc.).
- Non-rivaux : Les données personnelles représentent des biens non-rivaux, car un acteur possédant des données a la possibilité de les revendre, de les louer, à plusieurs autres acteurs simultanément et continu de jouir de la possession de ces données. Donc la consommation des données par un agent n’a pas d’effet sur la quantité disponible pour d’autres individus.
Cette notion de bien vient notamment expliquer le fait qu’une véritable Économie se soit construite autour de la commercialisation des données avec la mise en place d’échanges marchands (vente, location) et non marchands (échange). Dans son article « Économie non marchande et communauté d'information », Michel Gensollen, chercheur en Économie Gestion, Sciences Humaines et Sociales, parle d’économie d’information ou d’économie quaternaire. Il s’agit d’une économie à part entière qui, selon Gensollen, contrairement à l’économie primaire (l’agriculture), l’économie secondaire (secteur industriel), ou encore l’économie tertiaire (les services), l’économie d’information n’est pas centrée sur un secteur particulier.
Production des données
[modifier | modifier le code]Toujours selon Michel Gensollen, dans l’économie quaternaire, la production n’est plus la reproduction à l’identique de biens ou services, mais l’invention de produits nouveaux et variés. Ces produits ne sont pas seulement imaginés par les entreprises, ils émergent en circulant entre les producteurs et les consommateurs (internautes). Une partie des données (des biens) est produite par les individus eux-mêmes lorsqu’ils remplissent les champs d’information présents sur les sites et réseaux internet. Toutefois les individus ne sont pas les seuls à produire des données personnelles. A l’heure des objets connectés, les robots et les machines récoltent également des données de manière informelle et ont la capacité grâce à de puissants algorithmes de produire de nouvelles données, ce que les spécialistes appellent plus globalement les techniques de Data mining (Exploration des données).
Échanges et commercialisation
[modifier | modifier le code]Les données personnelles, leur exploitation et leur commercialisation, sont devenues au fil des années un marché considérable : le marché des données personnelles a une valeur estimée à 300 millions de dollars[14]. De nombreuses entreprises ont élaboré les premiers modèles fondés sur l’analyse et/ou la revente des données personnelles pour développer leur service. L’économie des données personnelles repose en particulier sur l’évolution de deux modèles, identifiés par S. Chignard et L.D.Benyayer dans Datanomics : Les nouveaux business models des données (FYP éditions, 2015) :
- Les modèles bifaces qui se sont construits sur une logique de troc implicite : données personnelles contre service gratuit.
- Les modèles serviciels pour lesquels les données personnelles sont un véritable carburant : grâce à la personnalisation, les services sont plus efficaces et pertinents pour l’utilisateur et bénéficient tant à l’entreprise qu’au client (dans la limite des règles de consentement).
Le sujet des données personnelles fait l’objet de nombreux débats animés opposant souvent deux conceptions idéologiques et culturelles : celle libérale, d’influence anglo-saxonne et celle protectionniste, d’influence européenne. Autrement dit, la donnée personnelle est un véritable or noir pour l’économie numérique mais constitue également un risque majeur pour les libertés individuelles, ce qui affecte la manière d’innover.
Nuisance potentielle
[modifier | modifier le code]Avec le développement d'Internet, les gens utilisent souvent les réseaux socionumériques. On prend Facebook comme un exemple, environ 350 millions de photos sont ajoutées sur Facebook chaque jour et 350 gigaoctets de données sont échangées chaque minute. D'après ces données, on peut voir que le réseau social se nourrit d'un grand nombre de données personnelles. Pourtant, Facebook Ireland Ltd., la base européenne de l'entreprise, est accusé d'enfreindre le droit européen sur l'utilisation des données, et de participer au programme de surveillance PRISM de la NSA. De plus, la transparence des données des utilisateurs chez Facebook n'est pas suffisante. Par exemple, un contenu effacé par l'utilisateur n'est en fait pas réellement supprimé, et l'utilisation que fait Facebook de ces données est souvent peu claire. Facebook est seulement un exemple. Mais on peut voir qu'il y a des nuisances potentielles de notre vie privée à l'heure numérique.
À l'époque d'Internet, il est difficile de protéger la vie privée car les données sont transmises rapidement sans frontière claire entre la vie privée et la vie publique. De plus, il est possible que les données personnelles soient révélées par un tiers (doxxing). Par ailleurs, certains logiciels diffusent des données personnelles sans prévenir.
Une façon d'éviter tout risque est de rester prudent dans les diffusions d'informations et de ne pas utiliser les mêmes codes secrets sur tous les sites Web. En effet, dans le cas où les identifiants d'un site modeste serait révélés, certains pourrait alors les utiliser sur un site où le compte permet de dépenser de l'argent.
Il y a toujours des scandales au sujet de dévoilement de la vie privée. Par exemple, en 2011, les informations des patients ont été dévoilées en 2012 en Californie[15].
Législation
[modifier | modifier le code]Depuis les années 1970, la plupart des pays industrialisés se sont dotés de lois contre la violation de la vie privée.
L’OCDE a été un des principaux acteurs, c'est lui qui a établi les grands principes qui devaient être suivis par tous les pays membres. Les pays anglo-saxons ont plutôt adopté des positions autorégulées par le marché, souvent organisées par branche d'activité.
Europe
[modifier | modifier le code]En Europe il existe plusieurs lois sur la protection et conservation des données. L'organisme chargé de contrôler la bonne application de ces lois est le Contrôleur européen de la protection des données.
- Convention 108 du Conseil de l'Europe
- Union européenne
- Le règlement (CE) n° 45/2001 du Parlement européen et du Conseil du 18 décembre 2000 (uniquement pour les Institutions Européennes)
- Directive 95/46/CE sur la protection des données personnelles. Elle a été remplacé par le Règlement Général sur la Protection des Données, entré en vigueur le 25 mai 2018, qui est une nouvelle législation qui a pour but d’uniformiser les différentes législations européennes à ce sujet, afin de mieux protéger les droits des internautes européens quant à leurs données personnelles.
- Directive du 12 juillet 2002 sur la protection de la vie privée dans le secteur des communications électroniques dite « e-Privacy » directive.
- Directive 2006/24/CE sur la conservation des données, etc.
- Le G29 (groupe des CNIL européennes) a précisé les règles applicables aux réseaux sociaux, dans un avis du . Les CNIL européennes leur demandent notamment de :
- définir des paramètres par défaut limitant la diffusion des données des internautes ;
- mettre en place des mesures pour protéger les mineurs ;
- supprimer les comptes qui sont restés inactifs pendant une longue période ;
- permettre aux personnes, même si elles ne sont pas membres des réseaux sociaux, de bénéficier d'un droit de suppression des données qui les concernent ;
- proposer aux internautes d'utiliser un pseudonyme, plutôt que leur identité réelle ;
- mettre en place un outil accessible aux membres et aux non-membres, sur la page d'accueil des réseaux sociaux, permettant de déposer des plaintes relatives à la vie privée[16].
Comme tout réglement européen, le règlement général sur la protection des données est directement applicable, sans transposition[17].
France
[modifier | modifier le code]En France, la Loi informatique et liberté[18] règlemente le traitement des données personnelles. Initialement crée en 1978, elle a été modifiée en 2004 puis en 2019, en intégrant des dispositions du Règlement général sur la protection des données tout en conservant quelques dispositions nationales[19].
La Loi pour la confiance dans l'économie numérique (LCEN) de 2004 transpose également des mesures de la directive européenne « e-privacy » de 2002.
La CNIL (Commission nationale de l'informatique et des libertés) est chargée de la bonne application des principes de la Loi. Cette autorité indépendante est membre du Comité européen de la protection des données (anciennement G29).
Ce pays est doté d'une protection différente des États de l'UE concernant les données personnelles. Un accord (Safe Harbor Principles) a été passé entre la Commission européenne et Washington afin d'autoriser le transfert de certaines données personnelles vers les États-Unis. Le système USA est une approche sectorielle qui est différente de l'approche « universelle » européenne. Il y a actuellement des travaux pour créer une loi fédérale de protection des données personnelles mais il est peu probable que celle-ci voie le jour avant plusieurs années (per 2014).
- En 1998, la loi pour la protection de la vie privée des mineurs sur Internet (Children's Online Privacy Protection Act) met en place des mesures particulières pour protéger les mineurs de moins de 13 ans.
- En 1996, la loi HIPAA (Health Insurance Portability and Accountability Act) sur la protection des données de santé.
Autres pays
[modifier | modifier le code]De nombreux autres pays mettent en place des lois proches des concepts européens : Canada, Uruguay, Israël, Suisse, Mexique, Maroc, Tunisie, Burkina Faso.
En août 2021, la Chine a adopté une loi sur la protection des données personnelles. La Personal Information Protection Law (PIPL) est le premier cadre juridique pour la Chine dans ce domaine et s’inspire du RGPD[20]. Il est stipulé que les informations personnelles des citoyens chinois ne pourront pas être transférées vers des pays aux normes inférieures à la Chine. Cette loi concerne les entreprises privées et publiques afin de minimiser la collecte d’informations personnelles des citoyens et obtenir leur consentement préalable. Cependant, l’État n’est pas concerné, ce qui lui permet de recueillir une grande quantité de données[21].
Notes et références
[modifier | modifier le code]- « Le droit d'accès : connaître les données qu’un organisme détient sur vous », sur cnil.fr (consulté le )
- Valentin Hamon-Beugin, « Quatre questions sur le droit à l'oubli », sur Le Figaro.fr, (consulté le )
- qu'est-ce qu'une donnée personnelle ?
- « Publication par la CNIL d'un guide pratique sur les durées de conservation et de référentiels », sur FranceArchives (consulté le )
- « Finalité d’un traitement », sur cnil.fr (consulté le )
- « Le droit à l’effacement : supprimer vos données en ligne », sur cnil.fr (consulté le )
- « Guide de la sécurité des données personnelles », sur cnil.fr (consulté le )
- « Comment ça marche ? », sur cnil.fr (consulté le )
- (en) Susan B. Barnes, « View of A privacy paradox : Social networking in the United States », sur firstmonday.org (consulté le ).
- GARFINKEL Simson, Database Nation: the death of privacy in the 21th century, O'Reilly Media, 2000.
- (en) « Are teenagers really careless about online privacy? », The Guardian, (lire en ligne, consulté le ).
- Antonio A. Casilli, « Contre l'hypothèse de la « fin de la vie privée » », Revue française des sciences de l’information et de la communication, no 3, (ISSN 2263-0856, DOI 10.4000/rfsic.630, lire en ligne, consulté le ).
- « Économie des données personnelles et de la vie privée - Fabrice ROCHELANDET », sur editionsladecouverte.fr (consulté le ).
- « Cash Investigation Nos données personnelles valent de l'or ! », (consulté le )
- (en) Carolyn Duffy Marsan, « 15 worst Internet privacy scandals of all time », Network World, (lire en ligne, consulté le )
- Groupe de travail « Article 29 » sur la protection des données, Avis 5/2009 sur les réseaux sociaux en ligne, adopté le 12 juin 2009
- « Version consolidée du traité sur le fonctionnement de l'Union Européenne, Article 288 (ex-article 249 TCE) » : « Le règlement a une portée générale. Il est obligatoire dans tous ses éléments et il est directement applicable dans tout État membre. »
- « Qu'est-ce que la Loi Informatique et Libertés - Définition », sur Données & RGPD (consulté le )
- « La loi Informatique et Libertés », sur cnil.fr (consulté le )
- « Chine : la loi sur la protection des données, nouveau casse-tête pour les entreprises étrangères », sur Les Échos, (consulté le )
- « La Chine adopte une grande loi sur les données personnelles en ligne », sur Le Figaro, (consulté le )
Annexes
[modifier | modifier le code]Bibliographie
[modifier | modifier le code]- Michel Arnaud et Louise Merzeau (dir.), Traçabilité et réseaux, CNRS éditions, Paris, 2009, 263 p. (ISBN 978-2-271-06836-1)
- Maria Buttazzoni, La Vie privée et l'informatique : bibliographie sélective, Bibliothèque de l'Assemblée nationale, Division de la référence parlementaire, Québec, 1991, 44 p.
- Françoise Collard (et al.), Informatique et vie privée, F. Nathan, Paris ; Éditions Labor, Bruxelles, 1980, 191 p. (ISBN 2-8259-0111-3)
- Collectif, Correspondant Informatique et Libertés : bien plus qu'un métier, édition AFCDP, 2015, 574 p. (ISBN 978-2-9552430-0-8)
- Stéphanie Gutierrez (dir.), La Sécurité de l'individu numérisé : réflexions prospectives et internationales : actes du colloque du programme de recherche Asphales, ACI-Informatique, Paris, 22 et , L'Harmattan, Paris, 2008, 300 p. (ISBN 978-2-296-07612-9)
- Marie-Laure Oble-Laffaire, Protection des données à caractère personnel, Éd. d'Organisation, Paris, 2005, 542 p. (ISBN 2-7081-3235-0)* Nicolas Ochoa, Le droit des données personnelles, une police administrative spéciale, thèse, 2014, Paris 1, disponible en suivant le lien https://tel.archives-ouvertes.fr/tel-01340600
- Cyril Pierre-Beausse, La Protection des données personnelles, Éd. Promoculture, Luxembourg, 2005, 378 p. (ISBN 2-87974-063-0)
- Yves Roy, « Technologie d'Internet et vie privée », dans Thomas Stenger, et Stéphane Bourliataux-Lajoinie, E-marketing & e-commerce - Concepts, outils, pratiques, Paris, Dunod, (ISBN 978-2100708918)
- Pierre Tabatoni (dir.), La Protection de la vie privée dans la société d'information, tome 2 : L'impact des systèmes électroniques d'information, Presses universitaires de France, Paris, 2000, VI-58 p. (ISBN 2-13-051097-3)
- Michel Venne, Vie privée & démocratie à l'ère de l'informatique, Institut québécois de recherche sur la culture, Québec, 1994, 122 p. (ISBN 9782892242003)
Documentaire
[modifier | modifier le code]- Disparaître - Sous le radar des algorithmes, de Marc Meillassoux et Philip Pocock, Arte, , 80 min. (regarder en ligne [vidéo] [archive.org])
Articles connexes
[modifier | modifier le code]- Règlement général sur la protection des données
- Identité numérique
- Sécurité des systèmes d'information
- Sécurité des données
- Protection de la vie privée dès la conception
- Traces numériques, cookies
- Ciblage comportemental
- Géolocalisation
- Commission de contrôle des informations nominatives (Monaco)
- Contrôleur européen de la protection des données
- Fuite d'information
- Révélations d'Edward Snowden
- Données des dossiers passagers (passenger name record, PNR)
- Liste d'autorités chargées de la protection des données
- Fichage
- Renseignement d'origine électromagnétique
- Frenchelon • Echelon
- Résolution de Madrid
- Safe Harbor
- Technologies améliorant la confidentialité
- Directive 95/46/CE sur la protection des données personnelles
- Directive 2006/24/CE sur la conservation des données
- Directive du 12 juillet 2002 sur la protection de la vie privée dans le secteur des communications électroniques
- Data broker