Sécurité numérique · Le mythe européen de la protection des données
Cyrille Dalmont, chercheur associé à l’Institut Thomas More
9 septembre 2021 • Opinion •
Contribution de Cyrille Dalmont, chercheur associé à l’Institut Thomas More et auteur du rapport « L’impossible souveraineté numérique européenne : analyse et contre-propositions », au dossier « Le droit à la sécurité » de la revue Front Populaire (n°6, automne 2021, en savoir +).
À longueur de tribunes, d’interviews et de discours, les dirigeants de l’Union européenne assurent qu’ils mènent une stratégie de protection des données personnelles, notamment à travers le RGPD (Règlement général sur la protection des données personnelles), de nature à nous assurer une très haute protection de notre vie privée. Or, une analyse objective de la situation tend à démontrer l’inverse…
Si naturellement beaucoup de choses ont changé en plus de trente-cinq ans, l’Union européenne est toujours l’OPNI (objet politique non identifié) dont Jacques Delors parlait en 1985. Sans entrer ici dans la querelle (passionnante et essentielle au demeurant) de sa définition précise, notons que l’UE n’est aujourd’hui ni une fédération, ni une confédération d’États-nations – le tribunal constitutionnel allemand en a sans doute donné en 2009 la meilleure définition à ce jour en parlant d’une « union d’États associés ».
En droit, l’Union européenne reste une organisation internationale. Plus intégrée que beaucoup d’autres organisations internationales, mais une organisation internationale. Et la vocation première de toute organisation internationale est de produire des normes. Elles sont à l’origine de ce que le philosophe néerlandais Luuk van Middelaar, peu suspect de souverainisme, a appelé une « politique de la règle » (1).
Outre qu’elle désarme les États dans la bataille numérique mondiale (2), cette « politique de la règle » apparaît aujourd’hui de plus en plus incapable de protéger les citoyens en l’absence de maîtrise des technologies numériques dans une économie mondiale ouverte et hyperconnectée. Une véritable politique de sécurité numérique des États européens ne peut se passer de la maîtrise des outils numériques déployés sur leurs sols. Or, la sur-dépendance des États européens vis-à-vis de technologies numériques développées par des entreprises étrangères les place dans un état de sujétion économique, militaire et politique à des intérêts privés (eux-mêmes parfois pilotés par des États), sans doute inédit depuis la création des États-nations.
Une brève histoire de l’évolution du principe de « protection de la vie privée » en droit français, avec l’apparition de la notion de « protection des données personnelles » sous l’influence du droit européen, permettra de saisir comment nos libertés publiques peuvent se réduire si facilement aujourd’hui et la maîtrise de nos données si spectaculairement nous échapper.
De la protection de la vie privée à la protection des données personnelles
Les préoccupations relatives à la protection des données personnelles sont assez récentes en France. Elles vont de pair avec le développement de l’informatique et remontent aux années 1970, lorsque les évolutions technologiques commencèrent à permettre aux États de constituer de grandes bases de données (pour l’époque) et, donc, de porter potentiellement atteintes aux libertés publiques.
C’est à cette époque que la notion de droit au respect de la vie privée est apparue en France, avec la loi du 17 juillet 1970 qui fit inscrire que « chacun a droit au respect de sa vie privée » à l’article 9 du Code civil. Ce texte cherchait à renforcer la garantie des droits individuels des citoyens comme un droit subjectif de l’individu afin qu’il puisse s’opposer à la reproduction de son image ou la diffusion de tout commentaire relatif à sa vie privée. En 1999, le Conseil constitutionnel rattachera le droit au respect de sa vie privé à l’article 2 de la Déclaration des droits de l’homme et du citoyen le faisant donc passer dans le bloc de constitutionnalité.
Avec l’essor de l’informatique et surtout d’Internet (puis à partir des années 2000 des smartphones et des réseaux sociaux), le législateur a développé la notion de « protection des données personnelles » qui, s’il découle du droit de la protection à la vie privée, va progressivement s’orienter vers une logique plus mercantile, sous l’influence grandissante du droit européen de la concurrence.
La loi du 17 juillet 1970 sera modifiée à plusieurs reprises pour « accueillir » les transpositions de la directive 95/46/CE relative à la protection des personnes physique à l’égard du traitement des données à caractère personnel et la libre circulation de ces données, mais également des directives 2002/58/CE, 2006/24/CE, 2009/136/CE (dites paquet Télécom), du règlement 611/2013 du 24 juin 2013 concernant les mesures relatives à la notification des violations de données à caractère personnel et du dernier en date, le règlement 2016/679 du 27 avril 2016 instituant le RGPD.
De la protection des données personnelles à la marchandisation des données
Deux textes à portée juridique variable émanant d’organisations internationales ont également joué un rôle majeur quant à la philosophie même de la notion de « protection des données personnelles ». La recommandation du Conseil de l’OCDE concernant les lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel du 23 septembre 1980et la convention du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du 28 janvier 1981 (dite « Convention 108 »).
Malgré son caractère non-contraignant, la recommandation du Conseil de l’OCDE aura une très forte influence quant à la construction juridique européenne de la protection des « données personnelles ». Elle mérite d’être citée : « il est à craindre que des disparités dans les législations nationales n’entravent la libre circulation des données de caractère personnel à travers les frontières ; or, cette circulation s’est considérablement intensifiée au cours des dernières années et elle est appelée à se développer encore par suite de l’introduction généralisée de nouvelles technologies des ordinateurs et des télécommunications. Des restrictions imposées à ces flux pourraient entraîner de graves perturbations dans d’importants secteurs de l’économie, tels que la banque et les assurances »…
Il est également important de remarquer que la directive 95/46/CE, qui constitue la base de l’ordonnancement juridique européen en matière de protection des données personnelles, se fonde juridiquement dès l’origine sur l’article 100A du traité de Maastricht, relatif à la liberté de circulation des marchandises, des services et des capitaux. C’est donc un fondement profondément économique qui prévaut dans cette conception. Progressivement, le droit européen va impacter notre droit national pour en modifier le fondement philosophique même.
Le règlement RGPD de 2016 ne déroge pas à la cette évolution. Il définit les « données personnelles » dites « sensibles » comme étant l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, les données relatives à la santé, l’orientation sexuelle, les données génétiques et les données biométriques. Le principe est que, par défaut, le traitement de ces données est interdit. Mais ce principe est assorti d’une série longue série d’exceptions qui autorisent le traitement de ces données.
En cas de collecte et de traitement de données sensibles, hors des cas spécifiques d’exceptions, la CNIL pourra administrer une amende entre 2% et 4% du chiffre d’affaires mondial de l’entreprise pouvant aller jusqu’à vingt millions d’euros. Cette approche économique confirme l’analyse, qui date déjà de 2009, de Guillaume Desgens-Pasanau et Eric Freyssinet : « Au gré des évolutions technologiques et commerciales, la CNIL a dépassé son rôle de gardien des libertés publiques pour devenir plutôt une institution de régulation de marché » (3).
Cette évolution a d’ailleurs, sans suscité une grande émotion dans les médias, rendu possible l’adoption du fichier « GendNotes » (Application mobile de prise de notes) qui permet à la Gendarmerie nationale de saisir, conserver et traiter des données « relatives à la prétendue origine raciale ou ethnique, aux opinions politiques, philosophiques ou religieuses, à l’appartenance syndicale, à la santé ou à la vie sexuelle ou l’orientation sexuelle » adopté par décret en février 2020 (décret n° 2020-151). Pas plus que l’adoption de trois décrets le 2 décembre 2020 (n°2020-1511, n2020-1512 et n° 2020-1510) qui vont permettre aux services de polices et de gendarmeries de recueillir de nouvelles données personnelles concernant des individus considérés comme dangereux pour la « sécurité publique ».Et parmi ces nouvelles données personnelles collectées, chose totalement inenvisageable dans notre pays il y a peu, on retrouve : les « opinions politiques », les « convictions philosophiques ou religieuses », « l’appartenance syndicale » et certaines données de santé.
La pandémie mondiale de Covid-19 a encore accéléré cette tendance de fond. Pour s’en convaincre il suffit de rappeler que le 19 mars dernier 2020, le Comité européen de la protection des données (CEPD) a levé l’interdiction sur l’échange et le traitement des informations personnelles des citoyens membres de l’Union européenne, en indiquant que « le RGPD permettait aux autorités sanitaires compétentes de traiter les données personnelles dans le contexte d’une épidémie, conformément au droit national et dans les conditions qui y sont fixées ». Cette prise de position du CEPD a ouvert la voie à la mise en place des applications de traçage numérique des populations européennes qui se sont répandu dans tous les États membres et finalement à la mise en place d’un passeport vaccinal numérique, malheureusement inévitable à la suite de la mise en œuvre de ces technologies liberticides par essence.
La commission européenne souhaite maintenant rendre interopérable toutes les applications de traçage numérique misent en place par les différents États membres avant le 17 juin 2021, pour arriver à l’émergence d’un passeport vaccinale numérique de dimension européenne.
Le traçage numérique représente pourtant intrinsèquement une atteinte majeure à la liberté fondamentale d’« aller et venir ». Et pourtant, il risque peu à peu d’en devenir l’une des conditions. Comme l’a écrit l’essayiste Yuval Noah Harari dans les colonnes du Financial Times dès mars 2020, « les mesures prises dans l’urgence ont la mauvaise habitude de rester en place même après l’urgence, d’autant qu’il y a toujours de nouvelles menaces ». L’exception est ainsi appelée à devenir la règle car de « nouvelles menaces » justifieront toujours l’emploi de type d’outils – toujours au nom de la sécurité des utilisateurs : nouvelles épidémies (saisonnières ou non) mais aussi suivi des manifestations de rue, suivi des supporters dans les manifestations sportives, suivi des participants aux grands événements culturels comme les festivals, suivi des manifestations syndicales, risques d’attentats… la liste est sans fin.
Le gouvernement français a quant à lui beaucoup insisté sur la technologie du QR code qui, selon lui, permettrait de ne pas porter atteinte aux droits fondamentaux. Un esprit chagrin ferait remarquer que la technologie du QR code est en grande partie à la base du système de « crédit social chinois » au travers des technologies de paiement déployés par Alipay (Alibaba) et Wechat Pay et de l’identification systématique des individus.
Le mercantilisme européen et le grignotage régulier de nos libertés publiques ne sont pas les seuls responsables de la faiblesse de notre système de protection des données. La logique même de protection des données personnelles est totalement dépassée par les évolutions techniques (Intelligence Artificielle, systèmes experts, algorithmies) et la collecte de masse des traces numériques par les géants mondiaux du numériques.
La logique de la protection des données personnelles ne protège en rien les citoyens quant à la « concatenation » (assemblage de données entre elles) de données brutes non « personnelles » qui une fois reconstituées permettent d’arriver exactement au même résultat en réalisant des profils numériques utilisateurs extrêmement précis.
Profilage numérique
Dans son livre Disruption, Stéphane Mallard fait une démonstration technique du caractère illusoire du principe de la protection des données personnelles (4) quand les « géant de la techs » disposent de données brutes innombrables et précises sur nos déplacements, (lieu d’habitation, de travail, de vacances, de loisirs, magasins fréquentés), les personnes rencontrées (croisements de données de plusieurs utilisateurs), les paiements effectués, nos heures de réveil et de coucher, etc. le tout recoupé avec les données brutes des autres personnes du domicile également équipées de smartphones ou d’appareils connectés. Le profilage numérique non-personnel issu de la « concatenation » de toutes ces données brutes est bien plus précis, plus efficace et possède une valeur marchande bien plus importante que les quelques données personnelles qui sont aujourd’hui prétendument protégées par les différentes normes en vigueurs. Les résultats économiques des géants du numériques américains et chinois en Europe en sont la meilleure démonstration. La logique de la « protection des données personnelles » est totalement dépassée…
Enfin, comment vouloir prétendre assurer la sécurité des données des citoyens lorsque l’on ne maîtrise aucun des outils nécessaires à sa souveraineté numérique ? Ainsi les systèmes d’exploitation, les puces et les processeurs ou encore les objets connectés (Iot) développés par des entreprises étrangères permettront toujours au travers d’une routine de bas niveau, de collecter, de transmettre et de récupérer les données des utilisateurs à leur insu.
Il est illusoire de vouloir garantir la sécurité numérique des européens et des Français sans rompre avec la politique de la règle européenne. Les géants numériques mondiaux tels que les GAFAM américains ou les BATX chinois n’ont pu émerger et atteindre un tel niveau de capitalisation et de puissance économique que grâce à la mise en place d’écosystèmes favorables, à la commande publique de masse et l’affirmation de la souveraineté de leurs états d’origines qui ont protégé leur croissance dans une économie mondialisée. L’Europe et les États européens ont de manière urgente besoin de favoriser l’émergence de géants du numérique européens pour maîtriser le déploiement de technologies numériques, intrusives par essence et assurer une meilleure protection de ces citoyens.
Notes •
(1) Luuk van Middelaar, Quand l’Europe improvise. Dix ans de crise politique, Paris, Gallimard, coll. « Le Débat », 2018, p. 25.
(2) Cyrille Dalmont, L’impossible souveraineté numérique européenne. Analyse et contre-propositions, Institut Thomas More, rapport, mars 2021, disponible ici.
(3) Guillaume Desgens-Pasanau et Eric Freyssinet, L’identité à l’ère numérique, Paris, Dalloz, 2009.
(4) Stéphane Mallard, Disruption. Intelligence artificielle, fin du salariat, humanité augmentée, Paris, Dunod, 2018.