b) L'information des citoyens, préalable nécessaire à la mise en oeuvre du consentement
(1) Une information encore insuffisante
Vos rapporteurs ont été interpellés par la remarque faite par plusieurs des interlocuteurs américains qu'ils ont eu l'occasion de rencontrer dans le cadre de l'élaboration du présent rapport : ceux-ci ont certes convenu que la France disposait d'une législation très complète et protectrice en matière de protection des données, mais ont fait observer que, dans les faits, il était très difficile aux individus de faire valoir les droits que cette loi leur reconnaît , faute de disposer d'une information claire et complète sur l'exercice de ces droits. L'exemple le plus souvent cité à vos rapporteurs a été celui des hôtels qui procèdent à l'enregistrement de leurs clients : dans les faits et en règle générale, aucune information n'est donnée à ces derniers concernant la finalité d'une telle collecte, la durée pendant laquelle ces données sont conservées ou encore le nom du responsable de traitement auquel s'adresser pour pouvoir exercer son droit d'accès et de rectification.
Or, l'absence d'une telle information rend particulièrement difficile et coûteuse l'exercice de leurs droits par les citoyens, ce qui crée le risque de priver d'ineffectivité les dispositions de la loi « informatique et libertés ».
L'article 32 de la loi du 6 janvier 1978 modifiée oblige certes le responsable d'un traitement à mettre les personnes concernées par les informations qu'il a collectées et qu'il détient en mesure d'exercer pleinement leurs droits. Pour cela, il doit leur communiquer son identité, la finalité du traitement (par exemple : gestion de clientèle, prospection commerciale, etc.), le caractère obligatoire ou facultatif des réponses, les destinataires des informations, l'existence de droits ainsi que les transmissions envisagées.
Néanmoins, faute pour les citoyens de connaître leurs droits, les formules ainsi imprimées au verso des formulaires tendent à revêtir un caractère incantatoire.
C'est la raison pour laquelle vos rapporteurs appellent de leurs voeux une grande campagne de sensibilisation destinée à informer les citoyens des droits qui leur sont reconnus par la loi « informatique et libertés » . En effet, un sondage Eurobaromètre réalisé il y a quelques mois a montré que les deux tiers de nos compatriotes ne connaissaient pas cette loi ni les droits qu'elle reconnaît.
(2) Une implication encore timide de la société civile
Corrélativement, vos rapporteurs ne peuvent qu'encourager les associations de défense des citoyens à investir davantage le champ de la protection de la vie privée et des données à caractère personnel et, au-delà des seuls enjeux relatifs aux fichiers de police et aux bases de données publiques, à se saisir pleinement de l'ensemble de la problématique de la compatibilité entre développement technologique et respect de la vie privée.
A cet égard, vos rapporteurs ont été particulièrement intéressés par les échanges qu'ils ont pu avoir, à l'occasion de leur déplacement à Madrid, avec les membres de la Comisión de Libertades e Informática (CLI) , une association indépendante fédérant un grand nombre de structures diverses de la société civile (syndicats, associations d'internautes, etc.) autour des questions relatives à la protection de la vie privée et des droits des citoyens à l'heure du numérique. Il leur est apparu que cette association, indépendante des pouvoirs publics, s'était pleinement engagée sur un certain nombre de terrains pour faire avancer la question de la protection des données en Espagne : recours devant les tribunaux, rédaction de manuels (y compris en langues régionales) destinés à sensibiliser les enfants aux enjeux de la protection des données, prises de position publiques sur un grand nombre de sujets (RFID, dossier médical personnel, etc.), etc. Partant du constat que, selon un sondage qu'ils avaient fait réaliser, 90 % des personnes souhaitaient mieux connaître leurs droits face à la montée en puissance des nouvelles technologies, les membres de la CLI ont plaidé auprès de vos rapporteurs en faveur d'une sensibilisation de l'ensemble des Européens à ces enjeux, organisée à l'échelle de l'Union européenne.
(3) Un préalable à la mise en oeuvre du consentement
A l'issue des auditions auxquelles ils ont procédé, vos rapporteurs ont acquis la conviction qu'un tel travail de sensibilisation et d'information constituait un préalable indispensable à la mise en oeuvre de la notion de consentement, qui figure à de multiples reprises dans le texte de la loi.
Corrélativement, il leur a semblé qu'une telle question dépassait de loin la simple dichotomie « opt in » / « opt out », qui est fréquemment mise en avant dès que l'on aborde la question de la protection des données. Ces deux modalités de mise en oeuvre du consentement présentent en effet chacune des avantages et des inconvénients :
§ L' « opt out » désigne la possibilité offerte à un citoyen de ne pas participer à une collecte de données personnelles. Il s'agit a priori de l'option la moins protectrice de la vie privée, puisque, par défaut, l'individu est supposé consentir à la collecte de ses données.
§ L' « opt in », plus protectrice en termes de respect de la vie privée, désigne la possibilité offerte au citoyen de participer, au cas par cas, à la collecte de ses données. En pratique, la mise en oeuvre d'une telle option peut néanmoins s'avérer parfois contraignante.
Il a semblé à vos rapporteurs qu'il n'était pas possible de trancher a priori cette question, qui demeure avant tout une affaire d'espèce et de sensibilité de chacun aux données qu'il choisit de divulguer, en fonction des enjeux en présence. Ainsi, en matière de spam (courrier publicitaire non sollicité), le principe retenu par l'Union européenne est celui de l' « opt in », sauf en ce qui concerne les activités commerciales entre entreprises où l' « opt out » est autorisé. A l'inverse, les cookies fonctionnent sur le principe de l' « opt out », du fait des inconvénients qu'un système d' « opt in » entraînerait pour la navigation sur Internet (cf. supra ).
Le choix de l'option mérite donc d'être examiné au cas par cas. Encore faut-il que chacun ait pleinement conscience des implications en termes de respect de la vie privée que sous-tend l'utilisation des nouvelles technologies : de ce point de vue, la question de l'éducation des individus à la maîtrise de leurs propres données constitue aux yeux de vos rapporteurs la condition sine qua non de l'effectivité du droit au respect de la vie privée.
Recommandation n° 2 : Promouvoir l'organisation et le lancement d'une campagne d'information à grande échelle destinée à sensibiliser les citoyens aux enjeux liés à la vie privée et à la protection des données à l'heure du numérique ainsi qu'à les informer des droits que leur reconnaît la loi « informatique et libertés ». |