La protection des données Séance 1 - Cours AH03 Julien Rossi julien.rossi@utc.fr

Déroulé du cours COURS 1 : aujourd'hui Discussion introductive Analyse économique et sociale du marché des données personnelles Penser les données personnelles en philosophie politique Présentation (brève) de la politique publique de protection des données : Europe, Etats-Unis, forums de normalisation privée

Déroulé du cours COURS 2 : vendredi 18 novembre Le droit applicable en Europe et en France Etudes de cas Etude de l'arrêt Google contre Espagne (ou : arrêt Costeja) de 2014 de la CJUE Etude de la décision de la CNIL contre Google en janvier 2014 Atelier pratique

Analyse économique et sociale du marché des données personnelles

Analyse économique 1. Herbert Simon, 1971 : « in an information-rich world, the wealth of information means a dearth of something else: a scarcity of whatever it is that information consumes. What information consumes is rather obvious: it consumes the attention of its recipients. Hence a wealth of information creates a poverty of attention and a need to allocate that attention efficiently among the overabundance of information sources that consume it » (Simon 1971, 40-41)

Analyse économique 2. Les données personnelles : Durables Coût de production > coût de reproduction Périssables Biens non-rivaux ? (potentiellement non-exclusifs si publiquement accessibles)

Design de la visibilité et études d'usage

Design de la visibilité et études d'usage Dominique Cardon, 2008 :

Le paradoxe de la vie privée Les études empiriques permettent de formuler l'hypothèse d'une défaillance sur le marché de la vie privée (≠marché données perso) Voir : Acquisti et Gross, 2006 et Norberg, Home et Home, 2007 Moyenne des items que la personne est prête à révéler Moyenne des items réellement révélés Condition Phase 1 Phase 2 En général 10,49 15,16 Banque 10,38 15,13 Pharmaceutique 10,65 15,22 Extrait du tableau 3 « Study 2 Hypotheses 1 Results: Differences between Intended and Actual Disclosure » de Patricia Norberg, Daniel Horne et David Horne (2007), page 116

Données personnelles et vie privée en pensée politique Comprendre les débats et l'action publique

Le rôle des représentations dans l'analyse des politiques publiques Voir les travaux de : Pierre Müller, Peter Hall, Paul Sabatier, Bruno Jobert, Robert Jervis, Roland Barthes … Les politiques publiques sont cadrées lors de la mise à l'agenda d'une façon déterminée (en tout ou partie) par le jeu de représentations ; la rationnalité se limite à un jeu au sein d'un système de représentation, de valeurs etc. Comprendre les représentations d'un problème permet de comprendre pourquoi il est politique, et permet de comprendre l'esprit dans lequel une politique publique est décidée et mise en œuvre

Les trois dimensions de la vie privée Voir : Rochelandet, 2011 Dimension de la tranquilité Dimension du secret Dimension de l'autonomie personnelle

Quelques écoles de pensée … (1) Le paradigme libéral de la vie privée : Warren et Brandeis, John Stuart Mill, Alan Westin (avec une branche constitutionaliste : Spiros Simitis, László Sólyom … ) L'école de Chicago : Richard Posner, George Stigler … Les utopies communicationnelles et ses variantes (voir les travaux de Fred Turner, Marjolein Lanzing … )

Quelques écoles de pensée (2) L'approche marxiste du digital labour : Christian Fuchs, Antonio Cassili (et Yann Moulier-Boutang ?) La critique féministe (Anita Allen … ) La critique communautariste d'Amitai Etzioni Le renouveau du paradigme libéral par l'approche foucaldienne : David Lyon et les surveillance studies

La politique publique de protection des données

Trois arènes de décision Etats-Unis Union Européenne (et un peu : Conseil de l'Europe) Forums de normalisation Question : laquelle est pertinente ? → Question du droit applicable en France (mais si vous faites du web, vous n'opérez pas qu'en France !) → Question de l'influence mondiale d'une norme (dans un monde avec des normes en concurrence)

Les forums de normalisation Au niveau de l'ICANN : faible reconnaissance Au niveau du W3C : Do Not Track WG : échec ?, Privacy IG : toujours actif, Platform for Privacy Preferences : abandonné. Très fort poids des éditeurs de navigateurs. DNT : plombé par désaccord Microsoft / Mozilla ISO : norme ISO 27 000 recommandée notamment par l'ICO (CNIL britannique) pour la mise en œuvre des obligations art. 17 directive 95/46/CE (principe de sécurisation des données) Conclusion : faible impact

Lien faible avec les politiques publiques ?

Les Etats-Unis Les premiers à s'intéresser au droit à la vie privée (Warren et Brandeis, 1890) Tradition de Common Law : Olmstead v. US 1928 ; Sidis v. F-R Publishing Corp. 1940 ; Griswold v. Connecticut 1965 ; Katz v. US 1967 Pas de politique publique de protection des données au sens strict, mais des éléments de protection des données dispersés dans des politiques publiques sectorielles diverses (ex : santé, renseignement, crédit … ). Modèle de la corégulation Sous influence (limitée) de l'Union Européenne : Safe Harbor → Privacy Shield ; Réformes de 2015 du renseignement et création d'un Privacy Board. Mais : lieu du siège social des GAFA. Influence sur ICANN (déclinante) etc. Conclusion : impact modéré

Union Européenne «comprehensive model» (Bennett et Raab, 2003) Politique publique structurée depuis 1995, reprenant un processus entamé en 1970 dans le Land de Hesse en Allemagne puis autour du Conseil de l'Europe Harmonisation au niveau européen Exportation efficace du modèle par des clauses extraterritoriales (Newman, 2008) Conclusion : impact fort

Politique publique de protection des données Politique publique de surveillance Marché des données personnelles Stock de données Politique publique de libre-accès (Open Data ou liberté de l'information, selon les dénominations possibles) régule utilise dialogue alimente

Droit applicable en France : niveau supranational Lignes directrices OCDE régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel du 23 septembre 1980 Convention n° 108 pour la protection des données à caractère personnel du Conseil de l'Europe du 28 janvier 1981 Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (en vigueur à partir de 2018)

Hiérarchie des normes Selon l'UE Droit de l'Union européenne > constitution française > traités conclus par la France > loi votée par le Parlement > réglement adopté par le gouvernement Selon la France Identité constitutionnelle française (concept flou jamais appliqué) > droit de l'Union européenne > constitution française > traités conclus par la France (ce qui inclut le traité CEDH) > loi votée par le Parlement > réglement adopté par le gouvernement

Droit applicable en France : droit français Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (dite « loi Informatique et Libertés ») Décret n°2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés Articles 226-16 à 226-24 du Code Pénal