Intervention de Chloé Torrès

Les données à caractère personnel, on l'a déjà dit, sont dispersées partout. Lorsqu'on ouvre un compte Facebook aujourd'hui, elles sont hébergées aux États-Unis. Ensuite, elles voyagent partout dans le monde au gré des prestations de cloud computing : un jour, elles seront hébergées sur des serveurs situés en Grande-Bretagne, le lendemain, elles se retrouveront en Inde.

Cela dit, il existe aujourd'hui un socle juridique substantiel qui permet de protéger les données à caractère personnel. Outre la loi « informatique et libertés », il y a la directive 9546CE sur la protection des données, et demain le règlement européen qui harmonisera le droit à la protection des données au plan européen. Il ne faut pas non plus oublier l'article 9 du code civil qui consacre le droit à la vie privée. Au-delà des frontières européennes, certains pays ont adopté des lois dans ce domaine : Singapour vient de le faire, la Nouvelle-Zélande aussi, à qui la Commission européenne a reconnu un niveau de protection équivalent au sien, et le texte en vigueur au Maroc est pratiquement le même que la loi française. On peut dire que le cadre « informatique et libertés » est devenu un standard mondial. Notre modèle s'impose progressivement au niveau international.

La protection des données se traduit par un droit, pour les personnes en cause, à la transparence, à l'information sur la façon dont sont utilisées les données. Et elles peuvent agir sur elles par le biais d'un droit d'accès et de suppression, bien qu'en pratique, ces droits soient souvent difficiles à mettre en oeuvre.

Le vrai vide juridique, qu'il faut impérativement combler, c'est l'absence de droit de propriété. Beaucoup de plates-formes aujourd'hui revendiquent la propriété pure et simple des données à caractère personnel postées par les internautes. Dans ce domaine, l'intervention du législateur est indispensable pour créer un droit de propriété qui soit personnel, incessible et inaliénable. Il s'agit d'un enjeu majeur.

Par ailleurs, les moyens à disposition se développent. Des entreprises s'efforcent de mieux appliquer le socle juridique existant et de protéger plus efficacement les données de leurs salariés. On voit se dessiner une tendance, parmi les groupes internationaux notamment, à adopter une approche privacy based design. La dimension de protection des données et de la vie privée est intégrée dès la conception d'un projet. Les promoteurs veillent à la conformité de la nouvelle base de données avec la loi en s'assurant que l'information des personnes est garantie et que la protection des données est effective, en amont et tout au long de la vie du projet. Cette démarche, qui est au coeur du futur règlement européen, sera obligatoire dès qu'il aura été adopté.