Big data et Internet des objets : l’UE veut un renforcement de la protection

Ecrit par ProtégerSonImage le 13 octobre 2015
Vie privée 0 commentaire
Big data et Internet des objets : l’UE veut un renforcement de la protection

Face au développement du Big Data et des objets connectés, une étude commandée par la Commission des libertés civiles, de la justice et des affaires intérieures (LIBE) du Parlement européen datée de Septembre 2015 livre ses recommandations et appelle à un renforcement de la protection de la vie privée.

Certaines entreprises voient dans le Big data* un domaine nouveau et prometteur. Le nombre colossal de données à leur disposition permet des études de marchés d’une précision rare et la connaissance des méthodes de traitement de ces informations est une technique dont le prix ne cesse d’augmenter.  Mais ceci pose aussi le problème de la protection de la vie privée des utilisateurs.

Le contexte et le projet de loi GDPR

En Europe, et en particulier en France, des lois ont vu le jour, en commençant par la loi Informatique et Libertés de 1978, pour protéger les internautes et leur donner de nombreux droits quant au stockage de leurs informations dont ceux fondamentaux comme le droit au regard et à la suppression des données. Le dernier texte en date est le « Proposal of General Data Protection Regulation » (GDPR) qui est attendu pour la fin 2015. Après une période transitoire de deux ans, le GDPR entrera en vigueur dans tous les États membres de l’Europe en 2017.

L’objectif du GDPR est de faire face aux nouvelles réalités du marché, notamment en matière de protection des données liée aux réseaux sociaux ou encore au cloud computing**. Les notions de transferts de fichiers sécurisés et de droit à l’oubli font également parti du GDPR.

Le GDPR repose en particulier sur deux principes. Tout d’abord la limitation des données au minimum nécessaire implique que le responsable du traitement des données ne peut pas collecter plus de données que ce qui est strictement nécessaire à un objectif donné. Dès que son objectif disparaît et que les données n’ont plus aucune utilité, elles doivent être effacées. Deuxième principe : les droits du sujet des données. Chacun peut demander à consulter les données collectées à son propos et retirer à tout moment une autorisation donnée, à la suite de quoi le responsable sera contraint d’effacer les données.

Le GDPR impactera toutes les entreprises collectant, gérant, ou stockant des données et aura pour but principal de simplifier et harmoniser la protection des données dans tous les pays de l’union européenne. Puisque le GDPR est un règlement et non une directive, il s’appliquera directement à tous les pays de l’UE sans avoir besoin de changer les législations nationales. Les entreprises devront pouvoir fournir aux internautes toutes leurs données personnelles dans un format simple et transférable via Internet et rendre possible la suppression rapide de toutes ces données. Certaines sociétés comme Facebook et Google se préparent déjà au GDPR.

La garantie des droits des citoyens numériques

Les recommandations de la commission LIBE sont claires : la garantie des droits des citoyens numériques doit être au cœur de la chaîne de production de données. Des labels pourraient être conçus et fournis aux sociétés qui se conformeraient aux règles de respect de la vie privée. Pour la commission, il faut trouver un équilibre entre les questions de vie privée individuelle et le potentiel représenté par la réutilisation des données tout en étant en permanence guidé par la nécessité de garantir le respect des droits fondamentaux définis par le droit européen. A ce titre, le rôle des gestionnaires de données est central. Il faut intégrer le respect de la vie privée directement dans la conception et le fonctionnement des systèmes et réseaux informatiques.

Le GDPR doit offrir davantage de protection et de garanties que la directive sur la protection des données personnelles e-Privacy du 12 juillet 2002. Les internautes doivent pouvoir exercer un contrôle complet sur leurs données personnelles. Pour que les personnes apprécient la pleine protection de leurs droits, il est impératif de garantir que les règles personnelles de protection des données n’excluent aucun ensemble de données en particulier. Les pratiques informatiques des entreprises privées et des pouvoirs publics doivent tenir compte de l’impact possible sur des droits de la personne. Et cela même lorsque ces activités n’utilisent pas ou ne produisent pas de données personnelles, car elles pourraient néanmoins violer le droit du respect à la vie privée.

Le développement du cloud computing réclame une politique claire de l’UE sur la façon d’assurer l’intimité et la protection des données personnelles (question des transferts des données frontaliers et, plus généralement, des conflits juridiques qui peuvent se produire dans les environnements de cloud computing).

Le  projet de loi GDPR devrait être adopté d’ici la fin de l’année. Mais alors que certain se demande déjà si les recommandations de ce rapport auront une influence sur le texte final du GDPR et au vue d’une évidente méconnaissance et une absence de préparation des professionnels de l’informatique en Europe, une question plus importante sur l’application même du GDPR se pose.