De nouveaux droits pour lutter contre la perte de contrôle de son image sur internet ?
Publié le 08/02/2016 par Thierry Léonard, didier chaumont
Le nouvel environnement web2.0 et les réseaux sociaux en particulier ont accentué la perte de contrôle des personnes sur les informations qui les concernent (ah bon, vous n’avez pas remarqué l’application « santé » sur votre nouveau smartphone, qui compte vos pas sans vous en avoir même informé et qui ne peut être simplement désactivée ?)
Tout l’enjeu d’une règlementation efficace et actuelle de protection des données est donc de permettre à l’individu de reprendre la maîtrise de données qu’il projette et dissémine dans ses pérégrinations virtuelles. Il était donc normal que le nouveau Règlement européen sur la protection des données -qui devrait être définitivement adopté d’ici mars prochain- s’attelle à cette tâche, notamment, en reconnaissant de «nouveaux » droits aux personnes concernées par les données.
Deux tendances marquantes s’imposent des nouvelles dispositions relatives aux droits des personnes : l’augmentation du devoir de transparence du responsable et, corrélativement, du droit à l’information de la personne sur ce que l’on fait des données (1) et la reconnaissance ou la consécration de nouveaux droits reconnus à la personne concernée, outre les traditionnels (droits à l’information sur le traitement, droit d’accès et de correction des données et parfois, un droit d’opposition).
Au titre des nouveaux droits inscrits dans le futur règlement, on retiendra ici les deux plus emblématiques : le droit « à l’oubli numérique et à l’effacement » et le droit « à la portabilité des données ».
Le droit à l’oubli
Le droit «à l’oubli» permet aux personnes, dans certaines conditions, de voir ses données être effacées de la toile. L’apport majeur du futur Règlement est de fixer les hypothèses permettant d’obtenir l’effacement ainsi que les conditions d’exercice du droit à l’oubli numérique. On note par exemple l’obligation d’informer ensuite les tiers à qui les données effacées ont antérieurement été transmises, afin d’effacer aussi tout lien vers ces données ou les copies ou reproductions qui en ont été faites.
Le droit à la portabilité
Le «droit à la portabilité des données» est le droit le plus novateur du futur Règlement. Ce dernier apparaît comme un droit d’accès amélioré, auquel est associée une exigence d’interopérabilité et de retrait. L’objet du droit est de reprendre possession des données que l’on a communiquées au prestataire et de les (faire) transmettre d’un système de traitement automatisé à un autre. En clair, vous pourrez par exemple imposer à votre réseau social préféré de quitter celui-ci avec les données qu’il aura traitées vous concernant sous le bras ; en vue de les transmettre à un nouveau prestataire de votre choix. Un peu comme la portabilité des numéros de téléphone a permis de quitter son opérateur téléphonique tout en conservant son numéro de téléphone.
La personne concernée va recevoir les données dans un « format structuré, couramment utilisé et lisible par machine ». Elle peut même exiger que les données soient transmises directement par le premier responsable au second. Cette portabilité rendra moins captive la personne auprès des prestataires du web ou des nouveaux services de médias et de télécommunications en général.
Un Citoyen numérique ?
Au travers ces nouveaux droits, on perçoit un changement de paradigme de la relation entre les personnes concernées qui fournissent les données et celles qui les exploitent. La personne concernée serait en effet en mesure de récupérer ses données et donc d’archiver et d’ordonner celles-ci, par exemple en effaçant certaines de celles-ci (et en s’opposant ensuite à la continuation de leur traitement via son droit d’opposition ou son droit à l’oubli). Elle pourrait alors les « négocier » dans une relation avec un nouveau prestataire de service, voire, pourquoi pas, monnayer l’apport de ses données auprès de ce dernier.
Reste à savoir comment ils seront mis en pratique, surtout si un accord doit intervenir sur les supports et standards utilisés pour la récupération des données en matière de droit à la portabilité.
Des zones d’ombres
Des zones d’ombres entourent également le texte actuel: Il ne dit rien sur l’utilisation ultérieure des données par le premier responsable auprès duquel ce droit est exercé. Et il ne dit rien non plus sur le sort des données « générées » par l’utilisation d’un produit ou service et qui ne sont pas à proprement parlé « communiquées » par la personne : données de facturation, données de trafic, données de localisation, etc. Sont-elles visées par le nouveau droit à la portabilité?
Mais ces interrogations ne doivent pas masquer ce qui apparaît bien comme des avancements majeurs dans la protection des personnes concernées par les données.