Intervention de Sophie Nerbonne

Je reprendrai à mon compte la conclusion de M. Abiteboul : les données figurant sur les réseaux sociaux sont personnelles, privées ; elles appartiennent à l'utilisateur et ne devraient pas pouvoir être réutilisées. Or on en est loin puisque le modèle économique sur lequel reposent les réseaux sociaux consiste à les monnayer.

S'agissant de la protection juridique des droits des personnes, le constat est simple : le bateau coule. Les internautes sont moins bien protégés que dans la vie réelle. Les traces qu'ils disséminent partout sur des serveurs délocalisés sont réutilisées et il est de plus en plus difficile d'avoir juridiquement prise sur des intervenants mondialisés.

Le cadre national fixé par la loi « informatique et libertés », modifiée en 2004, est insuffisant. À cet égard, le projet de règlement européen sur la protection des données personnelles comporte deux avantages considérables. D'une part, il vise à renforcer le droit des personnes. Cette approche, spécifiquement européenne, reste très minoritaire. Cela étant, une société numérique est tributaire de la confiance qu'elle inspire, si bien que les États-Unis, même en l'absence de loi générale de protection des données, y sont très attentifs. D'autre part, le règlement européen créera les moyens juridiques de peser sur les grands acteurs du numérique que sont Google, Amazone, Facebook et Apple – regroupés sous le sigle GAFA.

Le projet en cours de discussion devant le Parlement européen donne lieu à des débats virulents dans la mesure où, la législation interférant avec le modèle économique, les pressions sont très fortes, et les outils juridiques dont nous disposons menacés.

Ainsi, il faut tenir bon sur les principes et les notions de base, c'est-à-dire la définition des termes « données à caractère personnel ». Certains considèrent, contrairement à l'ensemble des autorités de protection des données, à la Cour de justice des communautés européennes et au Conseil d'État, que des identifiants numériques qui ne reprennent pas les coordonnées matérielles telles que le nom et l'adresse n'ont pas à être protégés, en particulier l'adresse IP. Comme l'ensemble du système de protection des droits d'auteur repose sur ce critère, il doit évidemment faire partie des données personnelles.

Préserver le champ d'application de la loi, renforcer les droits mis à mal par la façon dont est recueilli le consentement à l'exploitation des données – il est difficile de l'exprimer ou de le refuser quand on exige de vous de lire un contrat long et quasiment illisible –, tel est le sens de l'action de la CNIL vis-à-vis de Google. Elle mène, pour le compte de tous ses homologues européens, un travail d'investigation sur sa nouvelle politique de vie privée. Celle-ci consiste à agréger l'ensemble des politiques suivies pour la quarantaine de produits et de services offerts par Google, dans le souci d'offrir une meilleure visibilité, mais aussi de combiner tous azimuts l'ensemble des données collectées. Nous estimons que ces procédés ne correspondent pas à ce que la directive actuelle prévoit en matière de respect de l'information et de contrôle par l'utilisateur des données le concernant. Le bras de fer est engagé avec cette société au niveau européen, le seul pertinent.

Pour protéger la vie privée, il faut évidemment une autorité de régulation suffisamment forte, disposant d'outils modernes de régulation, et qui puisse s'appuyer sur des principes solides. Contrairement à l'optique américaine qui se fonde sur la self regulation, des codes de conduite sur lesquels les acteurs se sont mis d'accord, nous prônons un socle législatif qui serve de base à des codes de déontologie et à la concertation sur des points pratiques. Ainsi, nous négocions les conditions de recueil du consentement des internautes concernant les cookies de profilage rencontrés au cours de la navigation.

Le label peut aussi contribuer efficacement à la protection. Nous n'avons développé cet outil que dans certains domaines, en matière de formation ou d'audit de traitement. Mais il pourrait parfaitement être utilisé pour des services de cloud, d'externalisation des données. D'ailleurs, certains prestataires, dans leur offre, garantissent que les données ne sortiront pas de l'espace européen. La protection de celles-ci peut être une source d'innovation pour les entreprises et les inciter à développer des produits labellisés conformes aux règles européennes. Cette approche susceptible d'inspirer la confiance peut attirer des clients.

Toutefois, on ne peut pas se contenter de protection juridique : la CNIL en est consciente. C'est la raison pour laquelle toutes les garanties d'ordre technique ne doivent pas être négligées. S'agissant du droit à l'oubli, les tags, qui indiquent à l'internaute la durée de conservation en même temps qu'il dépose la donnée sur Internet, nous paraissent une piste intéressante.

L'éducation représente enfin pour la CNIL un axe stratégique, car elle entend accompagner les jeunes générations dans leur découverte des nouveaux outils.