Ce colloque organisé le 22 mai 2014 par la commission des lois du sénat et présidé par Jean-Pierre Sueur, Président de la commission des lois du sénat, était l'occasion pour une vingtaine d'intervenants de revenir sur les récents évènements liés à l'affaire "snowden" et les développements législatifs et jurisprudentiels en matière de numérique ( loi de programmation militaire, projet de règlement européen sur les données personnelles, proposition de loi sur la biométrie...) afin de définir les nouveaux enjeux au regard du droit à la vie privée.
L'intégralité du colloque est accessible en VOD sur le site du sénat : http://videos.senat.fr/video/videos/2014/video22928.html
Certaines interventions ont particulièrement retenu notre attention.
M. Jean-Pierre Sueur rappelait d'abord en introduction que selon le rapport de la délégation parlementaire aux renseignements du 16 avril 2014 "notre pays ne dispose pas à ce jour d’un véritable régime juridique complet définissant avec précision les missions et les activités des services de renseignement ainsi que les moyens d’actions dont ils disposent et prévoyant les modalités de leur encadrement et de leur contrôle". Il invite Madame la secrétaire d’Etat chargée du numérique, Axelle Lemaire à créer une loi sur ce sujet ainsi qu'une nouvelle loi sur le numérique et les libertés, propos qu'il réitèrera en clôture des débats.
M. Phillipe Aigrin de la Quadrature du net à quand à lui lancé un appel pour offrir l'asile à Edward Snowden, devoir fondé sur l'article 53-1 de la constitution selon lequel "les autorités de la République ont toujours le droit de donner asile à tout étranger persécute en raison de son action en faveur de la liberté", même si cela entre en contrariété avec les accords internationaux ratifiés par la France.
M. Yves le Mouel, directeur général de la Fédération française des Télécom (représentant les FAI ) à rappelé que sur demande du premier ministre, les messageries fournies par les FAI français allaient être sécurisée avant la fin de l'année. Il évoque le problème de complexification du recueil du consentement entrainé par le projet de règlement européen qui risque de constituer une nuisance, d'abord pour le consommateur, par exemple si son consentement est recueilli trop souvent et sur de trop nombreuses pages ce qui est de nature a altérer sa valeur. Il récuse le principe du projet de règlement européen selon lequel les opérateurs devraient s'astreinte à recueillir les données a minima et dans la mesure où elles sont essentielles à l'exécution de leur service puisque cela empêcherait paradoxalement le développement de géant européens du Big Data. Il veut privilégier le droit "mou" et les chartes de bonnes conduites en matière de données personnelles plutôt que des lois trop strictes voir handicapantes pour les nouveaux acteurs du numérique et leur développement en Europe. Enfin il réclame l'intégration de la négociation sur les principes "Safe Harbor" dans le cadre du Traite TTIP.
Pour M. Alain Bazot, Président de l'association UFC que choisir, le plus important est de garantir le consentement éclairé du consommateur. Il formule une proposition très intéressante consistant à mettre à sa disposition sur un "Dashboard" constamment accessible, l'ensemble des données qu'il communique aux prestataires internet par catégories (montrant quelles données sont récoltées, pour l'utilisation de quel service et à quelle fin). Cela lui permettrai de choisir à tout moment quelles données il communique où non. Cette notion de consentement diffus est à la fois intéressante et originale. Enfin il désire que les ressortissants français puissent relever de la compétence de la CNIL même en cas de création d'un guichet unique européen des données personnelles.
M. Loic Rivière, délégué général de l'Association française des éditeurs de logiciels et solutions internet (AFDEL) est revenu sur les conséquence de l'arrêt important de la CJUE du 13 mai 2014 qui impose aux moteurs de recherche la désindexation des liens portant atteinte à la vie privée d'une personne dans la mesure où cette notion est floue et variable. Il met en avant la possibilité que cela puisse s'appliquer de façon extensive, citant le risque d’application à des vidéos de l'INA à titre d’exemple. Il évoque les interrogations des journalistes et historiens sur la question sans contester la qualité de responsable de traitement des moteurs de recherche. il rappelle enfin le problème de la "neutralité de la recherche “ sur Internet.
Isabelle Falque-Pierrotin, Présidente de la CNIL, répond à M. Le Mouel que le règlement européen crée de l'autorégulation puisque qu'il insèrerait le "principe d'accountability " dans la législation par lequel les entreprises sont responsabilisées pour intégrer les préoccupations informatique et libertés, "- encore faut t-il qu'elles le fassent". Elle regrette le manque de transparence des entreprises et leur manque de culture de la sécurité des données personnelles. Elle regrette ensuite que les droits des particuliers ne soient pas effectifs (droit d'accès, droit à l'oubli, droit d'opposition, de rectification etc.). Elle propose à Madame Lemaire que les droits des articles 38 a 40 de la loi informatique et libertés puissent être mobilisables en ligne (pouvoir de les exercer à distance) et qu'il puisse être délivré une preuve à l'internaute, un accusé de réception lors de l'exercice de ce droit. Elle refuse la vision patrimoniales des données personnelles car si les individus deviennent propriétaire de leurs données personnelles, cela risque de remettre en cause les droits actuels en ce qu'une cession de droit sur ces données conduit à leur abandon des droits personnels qui s'y appliquent au profit des cessionnaires. Enfin elle demande un contrôle extérieur de la CNIL sur les différents fichiers de police, tel qu'elle l'a proposé aux autorités publiques, afin de vérifier qu'ils sont tenus dans le respect des droits des personnes. Suite à l'invalidation de la directive relative aux données de connexion, elle demande la modification de la loi de programmation militaire pour plus de proportionnalité. Enfin elle demande une meilleure transparence du régulateur qu'est la CNIL et une meilleure maîtrise, de sorte qu'elle soit saisie sur les textes importants et qu'elle reste compétente au niveau national pour les ressortissants français au regard du guichet unique crée par le projet de règlement européen. C'est enfin l'augmentation des pouvoirs de sanction qui est demandé à Madame A. Lemaire.
M. Jean-Jacques Urvoas, député et président de la commission des lois de l'assemblée nationale, membre de la CNCIS, a appelé de ses vœux la transformation de la CNCIS en une véritable commission de contrôle des activité de renseignement au sein de laquelle ne siègeraient pas de parlementaires et possédant un pouvoir de contrôle a priori.
M. Gaëtan Gorce, sénateur et membre de la commission des lois du sénat, membre de la CNIL rappelle le travail effectué dans le cadre de son rapport sur les données personnelles et l'open data, ainsi que sa proposition de loi visant à limiter l'usage des technologies biométriques. Il considère que ces opportunités doivent se faire dans le cadre du plus grand respect de la protection des données personnelles : la biométrie doit rester utilisée dans les domaines ou elle est indispensable en lien avec l'intérêt général et la sécurité.
M. François Pillet, sénateur et membre de la commission des lois du sénat a lui aussi développé la proposition de loi relative à la limitation de l'usage des techniques biométrique dont il est le co-auteur. Il précise la notion de "stricte nécessité de sécurité" qui sera la condition de l'autorisation par la CNIL de l'utilisation de la biométrie par le secteur privé" et sa légitimité.
Maître Alain Bensoussan, Spécialiste en droit des nouvelles technologies, a évoqué avec éloquence la nécessaire adaptation du concept de vie privée aux technologies. Il évoque le passage du droit à la protection des données au droit à la propriété et du droit à la vie privée au droit à l'intimité. Il évoque aussi la nécessité de ne pas laisser des géants se développer outre-Atlantique sur le principe de l'utilisation a maxima des données personnelles tandis qu'en Europe le projet de règlement vise une utilisation a minima qui ne permettra pas une création de valeur comparable. Dans cette intervention que je vous incite à revoir, il en appelle simplement à "la libération des technologies".