Allez au contenu, Allez à la navigation



Proposition de loi visant à mieux garantir le droit à la vie privée à l'heure du numérique

 

II. JETER LES BASES D'UN DROIT À L'OUBLI NUMÉRIQUE

La proposition de loi soulève plusieurs questions de fond sur la régulation de l'Internet. Ce sujet délicat et techniquement complexe ne manquera pas de revenir devant la commission de la culture et de la communication, ne serait-ce que lors de la transposition en droit français du prochain paquet télécom européen. Il a donc paru opportun à votre rapporteure de faire le point sur les sujets suivants :

- le statut de l'adresse IP (Internet Protocol) comme donnée personnelle ;

- le droit pour les internautes de refuser l'implantation sur leur ordinateur au cours de la navigation de témoins de connexion appelés « cookies » ;

- et enfin, la conciliation entre le droit de suppression de données personnelles et la liberté d'information.

L'article 2 de la proposition de loi vise à remédier aux hésitations de la jurisprudence sur le statut de l'adresse IP comme donnée à caractère personnel. Après des arrêts de la Cour d'appel de Paris en 2007 et de la Cour de cassation en 2009, issus de recours relatifs au traitement de données recueillies lors de la lutte contre les téléchargements illégaux, un doute est né sur la possibilité de considérer l'adresse IP comme une donnée personnelle.

Aux termes de l'article 2 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, « constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres ». La proposition de loi souhaite clarifier l'état du droit en précisant que toute adresse IP constitue bien une donnée à caractère personnel au sens de cet article.

La rédaction retenue par les auteurs paraît, toutefois, un peu trop générale. En effet, l'adresse IP, c'est-à-dire l'adresse identifiant un terminal de connexion au réseau Internet, ne permet pas systématiquement d'identifier directement ou indirectement une personne physique. Ainsi, certaines adresses IP sont associées à un équipement ou à une machine sans même que le propriétaire soit une personne physique ou sans qu'il soit même toujours possible de faire le lien avec un utilisateur précis. Une même adresse IP peut correspondre à plusieurs terminaux et à plusieurs utilisateurs, aussi bien dans un cybercafé qu'au sein d'un foyer. De même, dans les entreprises qui disposent d'un réseau interne, il est très fréquent qu'une seule et même adresse IP externe soit utilisée par l'ensemble des postes informatiques.

Il conviendrait donc de bien spécifier que l'adresse IP est une donnée personnelle dans les seuls cas où elle peut être utilisée pour identifier une personne physique titulaire d'un accès à un réseau de communications électroniques.

Autre sujet de fond, abordé cette fois par l'article 6 de la proposition de loi : l'obligation pour le responsable de traitement de recueillir le consentement de l'internaute dès que sont utilisés des « cookies ».

Les cookies sont de petits fichiers installés sur l'ordinateur de l'internaute via son navigateur pour repérer et mémoriser ses connexions à différentes pages Internet. Ils ont une durée de vie limitée. Ils servent à fluidifier la navigation, permettent de construire des historiques de consultation ou des paniers d'achat sur les sites de commerce électronique.

Mais, les cookies représentent aussi un enjeu commercial important : en permettant aux opérateurs de repérer les habitudes de navigation de l'internaute, ils les renseignent indirectement sur leurs centres d'intérêt et permettent donc d'offrir des services de publicité ciblés. Selon les données fournies à votre rapporteure par Google, le marché français de la publicité sur Internet est estimé à 2,26 milliards d'euros, la moitié reposant sur l'utilisation de cookies.

La proposition de loi transpose partiellement la directive 2009/136/CE du 25 novembre 2009 modifiant la directive 2002/58/CE du 12 juillet 2002 relative au traitement des données personnelles et aux communications électroniques. Cependant, elle va plus loin en durcissant les obligations faites aux opérateurs de sites : l'article 5.3 de la directive de 2002 modifiée impose que l'internaute ait donné son accord après avoir reçu une information claire et complète mais elle ne demande pas de recueillir positivement son consentement. Le consentement constitue une manifestation de volonté libre et spécifique, en revanche l'accord peut être exprimé, si l'on suit l'interprétation fixée par le considérant 66 de la directive, par le biais du paramétrage du navigateur Internet. La proposition de loi n'est donc pas pleinement fidèle à la directive communautaire qui tend plutôt à reconnaître un droit de refus des cookies sous la forme d'un « opt out » amélioré.

En outre, il convient de préserver l'utilisation légitime de cookies indispensables pour assurer la fluidité de la navigation sur Internet. Or, demander un consentement préalable avant chaque installation de cookie plutôt qu'une information et la possibilité de régler finement les paramètres de navigation présente un inconvénient majeur : la multiplication des fenêtres surgissantes d'autorisation d'accès (« pop up »). La navigation sur Internet en serait perturbée sans aucun doute au détriment de l'utilisateur lui-même. Pour autant, l'internaute ne saurait toujours pas comment reconnaître les cookies qu'il souhaite garder sur son ordinateur et ceux dont il souhaite se débarrasser, ce qui constitue pourtant bien le noeud du problème. On risque dès lors d'assister soit à des consentements aveugles répétés mécaniquement et sans effet, soit à des refus perpétuels tout aussi peu justifiés qui restreindraient les possibilités de navigation de l'internaute.

C'est pourquoi il semblerait préférable de rester fidèle à l'esprit de la directive en renforçant l'information de l'internaute sur les cookies et sur les moyens dont ils disposent pour les supprimer sélectivement. Il faut, en effet, tenir compte du fait que peu de personnes savent correctement paramétrer leur navigateur. Un effort d'ergonomie doit donc être demandé aux opérateurs Internet, un effort de pédagogie doit être réalisé à destination du grand public.

Dernier point majeur qui a retenu l'attention de la commission de la culture : le droit pour la personne concernée de demander la suppression de données personnelles.

Les représentants de la presse régionale ont insisté sur la nécessité d'encadrer clairement ce droit à l'oubli afin qu'il ne vienne pas remettre en cause la liberté d'information par des contestations intempestives devant les tribunaux. La proposition de loi vise en effet à réguler le flot d'informations brutes, sans hiérarchie, peu traçables et peu recoupées qui se répand sur Internet. Elle n'a pas vocation à inquiéter et à gêner le travail des journalistes qui doivent respecter une déontologie exigeante et s'attacher au croisement des sources, à l'authentification et à la vérification de leurs informations avant de les rendre publiques.

C'est pourquoi il paraîtrait utile de clarifier les motifs légitimes mentionnés à l'article 8 de la proposition de loi pour préciser que la suppression de données personnelles ne peut :

- d'une part, faire obstacle à l'exercice d'une liberté fondamentale reconnue par la République comme la liberté de la presse ;

- d'autre part, concerner des faits historiques avérés, afin de nous garder des révisionnismes et des manipulations en tout genre.

Ainsi, les deux piliers de la vie démocratique que sont la protection de la vie privée et la diffusion d'une information libre et plurielle seront préservés.

* *

*

L'initiative des auteurs de la proposition de loi est un premier pas très significatif qu'il faut saluer. Cependant, des négociations internationales seront, à l'évidence, nécessaires pour résoudre le problème épineux de la territorialité des dispositifs de régulation. Ainsi que l'ont rappelé à votre rapporteure les représentants de Facebook, leur société est installée aux Etats-Unis et les données personnelles y sont rapatriées et traitées. Le droit international privé donne donc compétence à la loi américaine, au juge et au régulateur américain pour connaître de toute mesure et de tout litige. Même si elle a pu déjà porter des fruits, la mobilisation de l'opinion publique internationale, aiguillonnée par la vigilance de la CNIL et de ses homologues, y compris au Canada et en Nouvelle-Zélande, ne suffira pas. Il faudra faire preuve de volontarisme politique pour prévenir une dérive préoccupante d'Internet et préserver intacts, au contraire, ses exceptionnels atouts.