Quel droit pour les données personnelles ? Pierre Trudel
Quel droit pour les données personnelles ?
De nouvelles circulations de l ’ information Le contexte de la circulation des informations portant sur les personnes change …
la normativité qui paraît agissante se déploie selon un modèle réseautique s’élabore dans un ensemble de lieux qui entretiennent entre eux le plus souvent des rapports de dialogue Chacun évalue et gère les RISQUES qu’il perçoit
Les réseaux des environnements interconnectés et organisés dans lesquels l ’ information circule d ’ un pôle à l ’ autre de façon multidirectionnelle et non-hiérarchique La normativité juridique (étatique) y est en CONCURRENCE avec la normativité technique et les pratiques des acteurs
Le réseautage, la circulation et le partage des informations Tendance - nécessité- du partage de l ’ information Services personnalisés L ’ information doit être disponible juste à temps L ’ information doit être de qualité
Les données Source de création de valeur
Données massives (big data) Génèrent des risques Les risques varient en fonction de la capacité d’identifier ou associer une donnée à une personne
Envisager la règle de droit dans la perspective du risque … Implique de porter l’attention sur les conditions qui font en sorte que la norme génère des risques pour les sujets concernés. La règle signifiante si elle a la capacité de générer du risque. Une règle qui ne produit pas chez les sujets une perception significative de risque est une règle inefficace.
Des fondements devenus inadéquats La crainte de la « surveillance » – Distinguer les informations de police des informations pour offrir des services / baliser sérieusement les pouvoirs de forces de police et d’espionnage/ assurer une réelle imputabilité Les scénarios catastrophes – la quasi-totalité des affirmations au sujet des dangers et risques de surveillance pour les personnes est fondée sur des extrapolations alarmistes
La rigidification du principe de finalité tendance à en faire un principe limitant les usages possibles des informations personnelles. /même pour les infos publiques – conséquence: forcer à la redondance - il faut redemander et redemander les mêmes informations - – celles qui sont disponibles ont été recueillies pour d ’ autres fins.
Un régime juridique qui se détraque Le droit de la protection des données vient déterminer l’étendue de la liberté de rechercher des informations licites
Importation liberticide des principes de protection des données privées aux données publiques Lorsque les données ne sont pas « adéquates, pertinentes ou excessives au regard des FINALITÉS du traitement selon l’art. 6 de la directive 95/46 IMPOSITION des obligations de rectification, d’effacement ou le verrouillage des données même licitement dans l’espace public
L’écoulement du temps rend excessif l’accès à un document licite Peut faire disparaître la justification à la publication et les raisons du traitement original Dans l’arrêt Google Spain : L’accès aux informations ne répondrait plus à des impératifs légaux, au récit de l’actualité ou à la perspective du récit historique Transposition excessive du principe du caractère inadéquat ou excessif des données Pour poser un jugement de valeur sur la légitimité des recherches
Revoir le droit de la protection des données personnelles dans l’environnement de réseau : le défi des différences …
« privacy » ou données personnelles? « privacy » suppose une prise en considération du contexte de diffusion des informations A priori, il est légitime de partager en ligne des propos sur une personne les concepts du droit de la protection des données personnelles imposent des obligations strictes Une information personnelle n’est en ligne que si cela répond à une finalité légitime…
Les droits fondamentaux La liberté est menacée par l’intervention gouvernementale Comment l’état peut-il imposer une obligation d’oublier? / de supprimer des données, empêcher de les chercher, entraver la recherche La dignité est menacée par l’action des médias de masse… …. et l’action des services qui se « nourissent » des données personnelles
La régulation technique / « par défaut » A priori légitime A priori suspecte
La « parole donnée » - le contrat vs. la perte de contrôle sur nos données Préserver les conditions de la confiance essentielle aux transactions Protéger contre le potentiel de « traçage »
Les intermédiaires N’ont pas la maîtrise des informations L’usager « décide » Traitent des données personnelles L’usager « subit »
quel droit a préséance ? Liberté d’expressionVie privée et réputation
blocages Tendance à postuler que le cadre juridique des années 1970 est encore pertinent Manque de capacité de rechercher des techniques de régulation conséquentes
La tendance à se crisper sur les moyens Attachement aux cloisonnements hérités de l ’ univers fondé sur le papier Le cloisonnement est un moyen, souvent par défaut….de protéger, non une fin en soi
La mythologie du « consentement » Le recours au consentement comme palliatif à la rigidité Devant la domination des interprétations rigides, on tend à rechercher des consentements À « gérer » le consentement Même lorsque cela est factice…
Des droits à actualiser pour protéger la vie privée dans les réseaux Passer d ’ une protection formelle / qui vise trop large basée sur les règles tatillonnes à une protection plus effective et mieux ciblée Garantir l’imputabilité de ceux qui collectent, conservent, utilisent les données personnelles
Des fondements plus cohérents De la finalité à la qualité La confiance L ’ effectivité des protections
Assurer la protection effective de la vie privée dans les réseaux Mieux cibler les périls et enjeux Les informations « de surveillance » sont distinctes des autres informations personnelles Nécessité de renforcer les contrôles sur les activités étatiques d’espionnage
L ’ information personnelle et la vie privée: une question de contexte Moduler les efforts de protection aux différences de sensibilité des informations en fonction des contextes, des gisements, des mouvements d’information
Assurer un environnement de confiance Des garanties quant à la qualité des informations personnelles – La qualité de l ’ information utilisée – La maîtrise des données personnelles Des moyens de protection plus efficaces de la vie privée dans les réseaux
Le droit à une technologie compatible avec la protection de la vie privée La sécurité : une condition nécessaire mais insuffisante L ’ obligation d ’ évaluer les risques et de spécifier les mesures pour leur prise en charge
Une protection effective La répression a posteriori des abus Des mécanismes effectifs de sanction des droits
Une régulation Intensifiée quant aux données qui identifient effectivement une personne Allégée pour les données qui n’ont pas de caractère identifiant
Conclusion Une régulation qui prend acte des mutations que la généralisation des environnements en réseaux provoque dans les conditions de production et de circulation des informations.