Publié le 09/07/2018 par Anne-Marie Duguet
L’internet a modifié les comportements et les relations entre les personnes. Les citoyens y ont adhéré progressivement par facilité, attrait de la nouveauté et rapidité de communication. Cependant ces structures sont gérées par des entreprises dont les objectifs sont parfois méconnus des utilisateurs. Des données relatives à l’intimité ou à la vie privée de la personne peuvent être collectées à son insu à partir des applications diverses des objets connectés ou des smartphones et la personne donne des informations confidentielles sur sa vie privée sans avoir connaissance des risques engendrés.
La vie privée
La vie privée est le domaine dans lequel la personne peut décider d’interdire ou de limiter l’accès des tiers. La personne elle-même définit le champ de sa vie privée, et décide les éléments qu’elle veut conserver cachés du regard des tiers, tels que son intimité, ses sentiments, ses croyances ou ses opinions politiques, son comportement, son état de santé … Chacun a une notion différente des limites de sa vie privée, et l’évolution des mœurs conduit actuellement à la diffusion publique de faits qui auparavant étaient tenus cachés, comme l’homosexualité. Les jeunes communiquent sans retenue avec leurs amis sur leur intimité.
La législation Française est très protectrice pour les données personnelles depuis la loi Informatique et libertés de 1978. La Commission Nationale Informatique et Libertés (CNIL) vérifie la finalité de la collecte ainsi que les garanties de sécurité et de respect de la confidentialité.
Internet et les dangers pour la vie privée
Avec l’internet, un grand nombre de données collectées par les smartphones sont rapidement transmises partout au-delà des frontières. Le Règlement Européen de la protection des données (RGPD) garantit la même qualité de protection dans tout le territoire de l’Union Européenne. Mais la transmission des données hors des frontières de l’UE permet d’éviter les contraintes réglementaires et d’utiliser plus librement les données. Ainsi, les fichiers constitués à des fins commerciales hors de l’Union Européenne par les GAFAM (Google, Apple, Facebook, Amazone, et Microsoft) peuvent être échangés et vendus. Leur valeur s’accroit régulièrement puisqu’ils sont en permanence actualisés et enrichis de nouvelles données. Les informations personnelles sont regroupées et les fichiers interconnectés dans un but de ciblage publicitaire ou de profilage.
Les failles de sécurité dans la collecte des données
La CNIL contrôle les entreprises qui collectent des données personnelles afin de s’assurer que la législation est respectée. En mars 2017 à l’occasion d’un contrôle d’une société vendant de l’électroménager, la CNIL a constaté une défaillance de sécurité permettant d’accéder librement à l’ensemble des données renseignées par les clients sur un formulaire pour le service après-vente (nom, prénom, adresse postale, adresse de messagerie électronique ou numéro de téléphone), tous ces éléments relèvent de la vie privée. Plusieurs centaines de milliers de demandes ou de réclamations étaient ainsi potentiellement accessibles. La société qui détient les données a l’obligation de s’assurer que l’outil ne permet pas à des tiers d’accéder aux données. C’est pourquoi, une sanction de 100 000 euros a été prononcée par la CNIL le 8 Janvier 2018.
Le transfert non autorisé de données à des tiers
Le groupe des CNIL européennes (G29) a demandé que le ciblage publicitaire soit interrompu. Concernant Facebook, la CNIL a constaté que le consentement des utilisateurs n’est pas valablement recueilli comme le prévoit la loi informatique et libertés et qu’il n’est pas possible de s’opposer à la transmission des données puisque le seul moyen est de désinstaller l’application. En conséquence, la CNIL a demandé à la société de se mettre en conformité à la loi française, en particulier les utilisateurs doivent être en position de contrôler leurs données, mais la société considère qu’elle n’est liée que par la droit de son pays…. !
Le détournement de finalité
Plus inquiétant, il est reproché à Facebook d’avoir vendu à Cambridge Analytica, une société britannique, des données personnelles qui ont été utilisées pour constituer un panel de 50 millions d’utilisateurs afin de les influencer pendant la campagne électorale aux Etats Unis. Pour le droit Européen, cette pratique constitue un détournement de finalité parce que les données collectées par Facebook le sont avec le consentement des utilisateurs uniquement pour des activités commerciales et non pas pour établir des profils d’opinion en vue d’influencer leur vote. Aux Etats Unis, l’action de Facebook a chuté en bourse mais surtout la Commission Américaine de Régulation du Commerce a ouvert une enquête. Le réseau social est mis en cause pour négligence et manquement à la sécurité des données.
Les malveillances
Les réseaux sociaux favorisent l’utilisation ou l’appropriation de l’identité d’autrui, dans le cadre d’un jeu ou d’une plaisanterie, mais aussi avec un objectif malveillant. Modifier et détourner de son sens une image avant de la publier sur internet (morphing) est une atteinte à la vie privée si cette action vise une personne reconnaissable et que la diffusion a été faite sans son consentement préalable.
On peut créer un profil fictif reflétant la personnalité d’un tiers ou plus gravement, l’identité d’autrui. Le Code pénal sanctionne, même en ligne, le fait d’usurper l’identité d’un tiers ou d’utiliser des données permettant de l’identifier en vue de troubler sa tranquillité, ou de porter atteinte à son honneur ou à sa considération (Art 226-4-1).
Le cyberharcèlement est une intrusion continue et menaçante en ligne. Le rapport de Madame Gisela Wurm pour le Conseil de l’Europe en 2013 décrit des situations de harcèlement aux conséquences très graves notamment pour les mineurs. Ce phénomène est croissant sur Twitter et Facebook par la diffusion de documents au contenu pernicieux ou embarrassant (photos à caractère sexuel) qui portent atteinte à la vie privée et à l’honneur. Au point que, pour mettre fin à ses souffrances une jeune fille de 17 ans s’est donné la mort, au Canada, à la suite de la diffusion sur internet des photos d’elle prises lors d’un viol collectif.
Conclusion
L’argument « Je n’ai rien à cacher » prouve que c’est toujours l’autre, le délinquant, celui qui enfreint la loi qui protège sa vie privée. Le danger des traces est méconnu : avec notre assentiment nous sommes enregistrés dans les fichiers commerciaux, filmés dans les magasins, nos achats en lignes sont tracés ainsi que les réservations d’hôtel. Grâce à notre géolocalisation nos déplacements et habitudes peuvent être identifiés. C’est au-delà de la vie privée, les traces laissées restent indéfiniment dans les fichiers : géolocalisation, transactions, relations avec les tiers, carte bancaire, etc. Il n’y a aucun moyen de les supprimer, seule la prévention sera efficace.
La CNIL conseille de vérifier sur les sites la présence d’un cadenas vert, de voir s’il existe une information simple sur les modalités de suppression des données, sur le partage des données avec des tiers, sur le pays d’hébergement des données et s’il est hors de l’UE sur les garanties fournies dans ce pays pour la protection des données.
D’aucuns pensent qu’il n’y a plus rien à faire puisque les données sont déjà collectées et déjà transférées hors de l’Union. Il semblerait qu’un frémissement se fasse jour pour une meilleure protection des données dès lors que les failles de sécurité entrainent des conséquences économiques et que de nombreux utilisateurs quittent certains réseaux sociaux.
Anne-Marie Duguet
Maître de conférences émérite de l’Université Paul Sabatier, Toulouse