La protection des personnes dans l'univers numérique

CHAP 3 LA PROTECTION DES PERSONNES DANS L'UNIVERS NUMERIQUE

Dans un environnement de plus en plus numérique, les individus laissent des traces en utilisant les nouvelles technologies d’information et de communication : ils livrent ainsi des données à caractère personnel, c’est-à-dire des informations relatives à leur vie personnelle, professionnelle, amicale, sentimentale, qui nécessitent d’être protégées par des règles juridiques (1). La protection mise en place par le droit doit être prise en compte et respectée par toutes les entreprises qui exploitent ce type de données (2).

1. Repérer les enjeux de la protection des données à caractère personnel

1. A. Le besoin de protection des données à caractère personnel

La navigation sur Internet, les applications pour smartphone et les outils digitaux utilisés par les entreprises conduisent les personnes à livrer de plus en plus d’informations qui permettent, directement ou indirectement, de les identifier. Ces données, dites « à caractère personnel » (adresse IP, prénom, nom, coordonnées, localisation, goûts, habitudes…) révèlent une part importante de la vie privée des individus et doivent, à ce titre, être protégées. En effet, le traitement de ces données par d’autres personnes comporte plusieurs risques :

– le risque d’une exploitation commerciale par des entreprises, en vue de procéder à un profilage publicitaire ;

– le risque d’une exploitation politique par des pouvoirs publics, afin d’influencer l’opinion publique à l’occasion d’élections (cf. scandale Facebook et Cambridge Analytica)

– le risque d’une exploitation frauduleuse par des pirates, qui pourraient, grâce aux données collectées, reconstituer l’identité numérique d’une personne afin de l’usurper dans un but malveillant.

Le droit a donc dû intervenir pour protéger ces données à caractère personnel, et ainsi la vie privée des individus.

1. B. Les règles juridiques protégeant les données à caractère personnel

Actuellement, la protection des données à caractère personnel est assurée par le règlement général sur la protection des données (RGPD). Ce règlement, pris dans le cadre de l’Union européenne et applicable depuis le 25 mai 2018, s’impose à toute organisation, établie dans ou hors de l’UE, qui exploite des données personnelles de résidents européens.

Le RGPD a renforcé les droits des personnes sur leurs données à caractère personnel.

• En premier lieu, il a amélioré les moyens d’information des personnes sur la collecte et l’utilisation de leurs données personnelles (information sur les données collectées, sur la durée de leur conservation, sur l’utilisation qui en sera faite, et information en cas de piratage).
• En second lieu, il permet aux individus de maîtriser davantage leurs données à caractère personnel : ils doivent autoriser les entreprises à les utiliser (ces dernières doivent recueillir leur consentement), ils peuvent demander une copie des données détenues, leur rectification, leur suppression, leur transfert vers un autre service (« droit à la portabilité ») et s’opposer à leur utilisation.
• En cas de manquement par une entreprise à des règles du RGPD, les personnes victimes d’un préjudice similaire peuvent agir en justice ensemble pour obtenir réparation au moyen d’une action de groupe.

1. C. L’organe de protection des données à caractère personnel

En France, c’est la Commission nationale de l’informatique et des libertés (CNIL) qui garantit le respect du RGPD par les entreprises et les administrations. La CNIL dispose de missions lui permettant d’assurer l’effectivité du RGPD de manière préventive (information des individus sur leurs droits, accompagnement des entreprises pour se mettre en conformité avec les règles) et de manière curative (réception des plaintes émises par les personnes, sanctions des organisations ne respectant pas le RGPD).

La CNIL a vu ses pouvoirs de sanction renforcés :

– elle peut prononcer une mise en demeure, visant à inciter une entreprise à adopter les mesures correctives nécessaires pour se mettre en conformité avec le RGPD ;

– elle peut prononcer une amende pécuniaire d’un montant dissuasif (de 10 à 20 millions d’euros ou de 2 à 4 % du chiffre d’affaires annuel mondial).

1. D. La protection contre l’usurpation de l’identité numérique

L’usurpation de l’identité numérique consiste, pour une personne, à collecter toutes les données à caractère personnel d’une autre personne afin de se faire passer pour cette dernière dans un but malveillant (contracter une dette, tenir des propos infamants ou dégradants…).

...