Allez au contenu, Allez à la navigation



Proposition de loi visant à mieux garantir le droit à la vie privée à l'heure du numérique

 

Accéder au dossier législatif

Avis n° 317 (2009-2010) de Mme Catherine MORIN-DESAILLY, fait au nom de la commission de la culture, déposé le 23 février 2010

Disponible au format Acrobat (180 Koctets)

N° 317

SÉNAT

SESSION ORDINAIRE DE 2009-2010

Enregistré à la Présidence du Sénat le 23 février 2010

AVIS

PRÉSENTÉ

au nom de la commission de la culture, de l'éducation et de la communication (1) sur la proposition de loi visant à mieux garantir le droit à la vie privée à l'heure du numérique,

Par Mme Catherine MORIN-DESAILLY,

Sénatrice

(1) Cette commission est composée de : M. Jacques Legendre, président ; MM. Ambroise Dupont, Michel Thiollière, Serge Lagauche, David Assouline, Mme Catherine Morin-Desailly, M. Ivan Renar, Mme Colette Mélot, M. Jean-Pierre Plancade, vice-présidents ; M. Pierre Martin, Mme Marie-Christine Blandin, MM. Christian Demuynck, Yannick Bodin, Mme Béatrice Descamps, secrétaires ; MM. Jean-Paul Amoudry, Claude Bérit-Débat, Mme Maryvonne Blondin, M. Pierre Bordier, Mmes Bernadette Bourzai, Marie-Thérèse Bruguière, M. Jean-Claude Carle, Mme Françoise Cartron, MM. Jean-Pierre Chauveau, Yves Dauge, Claude Domeizel, Alain Dufaut, Mme Catherine Dumas, MM. Jean-Léonce Dupont, Louis Duvernois, Jean-Claude Etienne, Mme Françoise Férat, MM. Jean-Luc Fichet, Bernard Fournier, Mme Brigitte Gonthier-Maurin, MM. Jean-François Humbert, Soibahadine Ibrahim Ramadani, Mlle Sophie Joissains, Mme Marie-Agnès Labarre, M. Philippe Labeyrie, Mmes Françoise Laborde, Françoise Laurent-Perrigot, M. Jean-Pierre Leleux, Mme Claudine Lepage, MM. Alain Le Vern, Jean-Jacques Lozach, Mme Lucienne Malovry, MM. Jean Louis Masson, Philippe Nachbar, Mme Monique Papon, MM. Daniel Percheron, Jean-Jacques Pignard, Roland Povinelli, Jack Ralite, Philippe Richert, René-Pierre Signé, Jean-François Voguet.

Voir le(s) numéro(s) :

Sénat :

93 (2009-2010)

INTRODUCTION

Mesdames, Messieurs,

Nous pouvons collectivement nous féliciter des nouveaux espaces de liberté ouverts par la révolution numérique. Le réseau Internet constitue un espace nouveau de liberté d'expression, de communication et d'information contribuant au progrès culturel, économique et social, permettant d'approfondir l'exercice de la citoyenneté et pouvant même resserrer les fils du lien social.

Cependant, malgré les opportunités sans précédent qu'il offre, Internet n'est pas sans pouvoir être utilisé contre les droits fondamentaux et les libertés publiques : le respect de la vie privée et la protection des données personnelles au premier rang.

Il suffit à cet égard de rappeler la tentative de certains réseaux sociaux en ligne, il y a quelques mois, de revendiquer la propriété des informations personnelles déposées par ses membres et utilisées par les opérateurs pour offrir des services de ciblage de publicité à des entreprises commerciales.

La tendance prégnante, notamment chez les jeunes, à l'exposition de soi et d'autrui sur Internet contribue à l'apparition de mémoires numériques, voire de casiers numériques, disséminés sur la toile, facilement consultables et qui se retournent contre les internautes notamment au moment de l'embauche.

La proposition de loi déposée par nos collègues Yves Détraigne et Anne-Marie Escoffier, après la publication d'un rapport d'information au nom de la commission des lois du Sénat, vise précisément à renforcer la protection des libertés fondamentales et à créer les conditions d'un droit à l'oubli afin qu'Internet ne se transforme pas en espace de surveillances.

La commission de la culture s'est saisie pour avis du premier article de la proposition de loi modifiant le code de l'éducation pour prévoir une formation des élèves aux risques et aux dangers que peut présenter Internet au regard de la protection de la vie privée.

Au titre de sa compétence en matière de communications électroniques et en préparation de la transposition prochaine de directives communautaires dans le domaine des télécommunications, elle a également examiné les dispositions relatives au statut de l'adresse IP (Internet Protocol), du droit de refus des témoins de connexion appelés cookies et de la conciliation entre le respect de la vie privée et la liberté d'information.

I. RENFORCER L'INSCRIPTION DANS LES PROGRAMMES SCOLAIRES DES QUESTIONS DE PROTECTION DE LA VIE PRIVÉE

D'après la commission nationale de l'informatique et des libertés (CNIL) auditionnée par votre rapporteure, 70 % des enfants de moins de 11 ans naviguent déjà sur Internet pour une durée moyenne de six heures de navigation par semaine. Leur premier contact se fait dès l'âge de six ans. 48 % d'entre eux sont autonomes et naviguent sans la présence d'un adulte à côté d'eux. Vers l'âge de 13 ans, ils commencent massivement à rejoindre des réseaux sociaux en ligne, mais n'ont que très rarement conscience de ce qu'est une donnée personnelle, des conséquences pour eux-mêmes et les autres de la publication de photos ou de commentaires.

C'est pourquoi, à côté des parents, l'éducation nationale a un rôle crucial à jouer dans la formation des jeunes à la maîtrise de leur image publique et au respect de la vie privée. Ce point a déjà été souligné par le rapport1(*) sur l'impact des nouveaux médias sur la jeunesse de notre collègue David Assouline au nom de la commission de la culture.

La proposition de loi prévoit qu'au cours de l'enseignement d'informatique les élèves soient informés des risques liés à l'utilisation d'Internet au regard de la protection des données personnelles et du droit à la vie privée.

Partageant le souci des auteurs de la proposition de loi, votre rapporteure estime toutefois cette sensibilisation serait plus à sa place au sein de l'enseignement d'éducation civique plutôt que dans l'enseignement de technologie et d'informatique.

De plus, la présentation de ce nouvel enseignement dans la proposition de loi insiste très directement sur les risques d'Internet et les menaces pesant sur la vie privée mais peut paraître trop exclusivement négative. Il conviendrait de donner une finalité plus large et plus positive à ce nouveau module de formation pour viser l'acquisition d'une attitude critique et réfléchie par rapport à l'information et d'une attitude de responsabilité dans l'utilisation des outils interactifs, ce qui rejoint les objectifs et missions de l'enseignement scolaire définis par le décret n° 2006-830 du 11 juillet 2006.

L'enseignement d'éducation civique semble en effet le lieu le plus approprié pour sensibiliser les élèves au respect de la vie privée et à la protection des données personnelles, questions qui participent éminemment de l'apprentissage de la citoyenneté et de l'enracinement des valeurs de la République au sein de la jeunesse. Plutôt que de leur inculquer des compétences techniques, en effet, il s'agit de développer l'esprit critique des jeunes et de les responsabiliser dans leur utilisation d'Internet, que cela soit pour la recherche d'information ou pour échanger et dialoguer avec leur cercle d'amis.

Il convenait cependant de s'interroger sur les modalités de formation des enseignants eux-mêmes, qui sont bien souvent moins familiers des usages les plus contemporains d'Internet, notamment des réseaux sociaux, que leurs élèves. En outre, ils ne disposent pas toujours de connaissances suffisantes et de matériels pédagogiques adéquats sur la protection des données personnelles. Le ministère de l'éducation nationale a donné l'assurance à votre commission que l'ensemble des nouveaux enseignants, dans le cadre de la mastérisation, devrait valider un certificat informatique et Internet (C2i) comprenant un volet sur les problématiques du droit à la vie privée et la protection des données personnelles. La CNIL sera également sollicitée pour fournir son expertise.

Par ailleurs, dans le cadre de la réforme du lycée, un référent culturel doit être mis en place dans les établissements. Il pourrait être judicieux de désigner, également des référents Internet, qui joueraient le rôle de pôles d'information et de sensibilisation, non seulement pour les jeunes, mais aussi pour les enseignants. Les acquis de formation initiale et continue des professeurs seraient consolidés et renforcés grâce à l'action de groupes informels d'enseignants autour des référents Internet visant au partage d'expériences et à l'échange de bonnes pratiques. Votre rapporteure estime que ce serait là un moyen utile et souple de diffusion des NTIC comme outil pédagogique dans toutes les disciplines. En retour, tous les cours pourraient devenir l'occasion d'initier à l'analyse critique des médias et des sources d'information.

Au cours des auditions, votre rapporteure a été sensibilisée au concept de « majorité numérique ». En adaptant le Children's Online Privacy Protection Act (COPPA) en vigueur aux Etats-Unis, il s'agirait de permettre aux mineurs de plus de treize ans de faire jouer directement et personnellement le droit d'opposition ou de rectification des données publiées qui les concernent. Ce dispositif, qui demanderait à être expertisé beaucoup plus finement et sur lequel la CNIL se penche, pourrait permettre de responsabiliser plus fortement les adolescents à l'âge même où ils commencent massivement à s'inscrire sur des réseaux sociaux comme Facebook et MySpace.

Le « Children's Online Privacy Protection Act » (COPPA)

Votée en 1998, cette loi fédérale américaine est entrée en vigueur en avril 2000. Elle tend à réguler la collecte sur Internet de données personnelles sur les enfants de moins de treize ans. Elle protège donc les « mineurs numériques » de moins de treize ans.

Avant toute collecte d'information auprès d'un mineur numérique, l'opérateur Internet est obligé de demander le consentement préalable expresse d'un parent dûment identifié comme tel. Après la collecte, ils sont également tenus de transmettre sur demande d'un parent l'ensemble des données qu'ils ont collectées sur l'enfant. A tout moment, le consentement du parent est révocable et l'opérateur doit, sur requête d'un parent, effacer les données collectées.

Sont concernés les sites en direction des enfants de moins de treize qui collecte des données personnelles sur eux et les sites à audience générale sur lesquels des enfants de moins de treize ans fournissent des données personnelles.

Sont considérés comme des données personnelles : le nom, les adresses postales et électroniques, le numéro de téléphone, ainsi qu'en général toute information permettant d'identifier ou de contacter l'enfant. Le COPPA porte également sur les informations sur les centres d'intérêts et les habitudes de navigation collectées à l'aide de cookies, lorsqu'elles sont reliées à des données permettant une identification de l'enfant. Les photographies d'enfant ne sont pas concernées par le régime du COPPA, si elles sont prises dans un lieu public indéfini, sans identification et utilisées dans un but non-commercial.

La Federal Trade Commission est le régulateur chargé de veiller à l'application des obligations faites aux opérateurs. Depuis 2001, plusieurs sites se sont vu infliger des amendes pour violation du COPPA.

Source : US Federal Trade Commission.

II. JETER LES BASES D'UN DROIT À L'OUBLI NUMÉRIQUE

La proposition de loi soulève plusieurs questions de fond sur la régulation de l'Internet. Ce sujet délicat et techniquement complexe ne manquera pas de revenir devant la commission de la culture et de la communication, ne serait-ce que lors de la transposition en droit français du prochain paquet télécom européen. Il a donc paru opportun à votre rapporteure de faire le point sur les sujets suivants :

- le statut de l'adresse IP (Internet Protocol) comme donnée personnelle ;

- le droit pour les internautes de refuser l'implantation sur leur ordinateur au cours de la navigation de témoins de connexion appelés « cookies » ;

- et enfin, la conciliation entre le droit de suppression de données personnelles et la liberté d'information.

L'article 2 de la proposition de loi vise à remédier aux hésitations de la jurisprudence sur le statut de l'adresse IP comme donnée à caractère personnel. Après des arrêts de la Cour d'appel de Paris en 2007 et de la Cour de cassation en 2009, issus de recours relatifs au traitement de données recueillies lors de la lutte contre les téléchargements illégaux, un doute est né sur la possibilité de considérer l'adresse IP comme une donnée personnelle.

Aux termes de l'article 2 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, « constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres ». La proposition de loi souhaite clarifier l'état du droit en précisant que toute adresse IP constitue bien une donnée à caractère personnel au sens de cet article.

La rédaction retenue par les auteurs paraît, toutefois, un peu trop générale. En effet, l'adresse IP, c'est-à-dire l'adresse identifiant un terminal de connexion au réseau Internet, ne permet pas systématiquement d'identifier directement ou indirectement une personne physique. Ainsi, certaines adresses IP sont associées à un équipement ou à une machine sans même que le propriétaire soit une personne physique ou sans qu'il soit même toujours possible de faire le lien avec un utilisateur précis. Une même adresse IP peut correspondre à plusieurs terminaux et à plusieurs utilisateurs, aussi bien dans un cybercafé qu'au sein d'un foyer. De même, dans les entreprises qui disposent d'un réseau interne, il est très fréquent qu'une seule et même adresse IP externe soit utilisée par l'ensemble des postes informatiques.

Il conviendrait donc de bien spécifier que l'adresse IP est une donnée personnelle dans les seuls cas où elle peut être utilisée pour identifier une personne physique titulaire d'un accès à un réseau de communications électroniques.

Autre sujet de fond, abordé cette fois par l'article 6 de la proposition de loi : l'obligation pour le responsable de traitement de recueillir le consentement de l'internaute dès que sont utilisés des « cookies ».

Les cookies sont de petits fichiers installés sur l'ordinateur de l'internaute via son navigateur pour repérer et mémoriser ses connexions à différentes pages Internet. Ils ont une durée de vie limitée. Ils servent à fluidifier la navigation, permettent de construire des historiques de consultation ou des paniers d'achat sur les sites de commerce électronique.

Mais, les cookies représentent aussi un enjeu commercial important : en permettant aux opérateurs de repérer les habitudes de navigation de l'internaute, ils les renseignent indirectement sur leurs centres d'intérêt et permettent donc d'offrir des services de publicité ciblés. Selon les données fournies à votre rapporteure par Google, le marché français de la publicité sur Internet est estimé à 2,26 milliards d'euros, la moitié reposant sur l'utilisation de cookies.

La proposition de loi transpose partiellement la directive 2009/136/CE du 25 novembre 2009 modifiant la directive 2002/58/CE du 12 juillet 2002 relative au traitement des données personnelles et aux communications électroniques. Cependant, elle va plus loin en durcissant les obligations faites aux opérateurs de sites : l'article 5.3 de la directive de 2002 modifiée impose que l'internaute ait donné son accord après avoir reçu une information claire et complète mais elle ne demande pas de recueillir positivement son consentement. Le consentement constitue une manifestation de volonté libre et spécifique, en revanche l'accord peut être exprimé, si l'on suit l'interprétation fixée par le considérant 66 de la directive, par le biais du paramétrage du navigateur Internet. La proposition de loi n'est donc pas pleinement fidèle à la directive communautaire qui tend plutôt à reconnaître un droit de refus des cookies sous la forme d'un « opt out » amélioré.

En outre, il convient de préserver l'utilisation légitime de cookies indispensables pour assurer la fluidité de la navigation sur Internet. Or, demander un consentement préalable avant chaque installation de cookie plutôt qu'une information et la possibilité de régler finement les paramètres de navigation présente un inconvénient majeur : la multiplication des fenêtres surgissantes d'autorisation d'accès (« pop up »). La navigation sur Internet en serait perturbée sans aucun doute au détriment de l'utilisateur lui-même. Pour autant, l'internaute ne saurait toujours pas comment reconnaître les cookies qu'il souhaite garder sur son ordinateur et ceux dont il souhaite se débarrasser, ce qui constitue pourtant bien le noeud du problème. On risque dès lors d'assister soit à des consentements aveugles répétés mécaniquement et sans effet, soit à des refus perpétuels tout aussi peu justifiés qui restreindraient les possibilités de navigation de l'internaute.

C'est pourquoi il semblerait préférable de rester fidèle à l'esprit de la directive en renforçant l'information de l'internaute sur les cookies et sur les moyens dont ils disposent pour les supprimer sélectivement. Il faut, en effet, tenir compte du fait que peu de personnes savent correctement paramétrer leur navigateur. Un effort d'ergonomie doit donc être demandé aux opérateurs Internet, un effort de pédagogie doit être réalisé à destination du grand public.

Dernier point majeur qui a retenu l'attention de la commission de la culture : le droit pour la personne concernée de demander la suppression de données personnelles.

Les représentants de la presse régionale ont insisté sur la nécessité d'encadrer clairement ce droit à l'oubli afin qu'il ne vienne pas remettre en cause la liberté d'information par des contestations intempestives devant les tribunaux. La proposition de loi vise en effet à réguler le flot d'informations brutes, sans hiérarchie, peu traçables et peu recoupées qui se répand sur Internet. Elle n'a pas vocation à inquiéter et à gêner le travail des journalistes qui doivent respecter une déontologie exigeante et s'attacher au croisement des sources, à l'authentification et à la vérification de leurs informations avant de les rendre publiques.

C'est pourquoi il paraîtrait utile de clarifier les motifs légitimes mentionnés à l'article 8 de la proposition de loi pour préciser que la suppression de données personnelles ne peut :

- d'une part, faire obstacle à l'exercice d'une liberté fondamentale reconnue par la République comme la liberté de la presse ;

- d'autre part, concerner des faits historiques avérés, afin de nous garder des révisionnismes et des manipulations en tout genre.

Ainsi, les deux piliers de la vie démocratique que sont la protection de la vie privée et la diffusion d'une information libre et plurielle seront préservés.

* *

*

L'initiative des auteurs de la proposition de loi est un premier pas très significatif qu'il faut saluer. Cependant, des négociations internationales seront, à l'évidence, nécessaires pour résoudre le problème épineux de la territorialité des dispositifs de régulation. Ainsi que l'ont rappelé à votre rapporteure les représentants de Facebook, leur société est installée aux Etats-Unis et les données personnelles y sont rapatriées et traitées. Le droit international privé donne donc compétence à la loi américaine, au juge et au régulateur américain pour connaître de toute mesure et de tout litige. Même si elle a pu déjà porter des fruits, la mobilisation de l'opinion publique internationale, aiguillonnée par la vigilance de la CNIL et de ses homologues, y compris au Canada et en Nouvelle-Zélande, ne suffira pas. Il faudra faire preuve de volontarisme politique pour prévenir une dérive préoccupante d'Internet et préserver intacts, au contraire, ses exceptionnels atouts.

EXAMEN DE L'ARTICLE

Article premier (article L. 312-9 du code de l'éducation) - Inscription dans les programmes scolaires d'une information sur la protection de la vie privée sur Internet

I - Le texte de la proposition de loi

L'article premier de la proposition de loi prend appui sur un dispositif introduit par l'article 16 de la loi n° 2009-669 du 12 juin 2009 favorisant la protection et la diffusion de la création sur Internet.

À l'initiative de la commission de la culture du Sénat, il a été prévu à l'article L. 312-9 du code de l'éducation que l'enseignement de technologie et d'informatique comporterait un volet consacré au droit de la propriété intellectuelle et aux dangers du téléchargement illégal d'oeuvres protégées. La préparation du brevet informatique et Internet (B2i), désormais partie intégrante du brevet des collèges, était spécifiquement visée afin de permettre une large sensibilisation des collégiens.

Sur le même modèle et dans le même cadre, la proposition de loi prévoit que les élèves soient informés par des enseignants préalablement formés des risques liés aux usages des services de communication au public en ligne. Les élèves devront recevoir une information spécifique sur les dangers de l'exposition de soi et d'autrui sur Internet, des droits d'accès, d'opposition, de rectification et de suppression des données personnelles, ainsi que des missions de la CNIL.

II - La position de votre commission

Votre commission a adopté un amendement de réécriture globale de l'article premier afin de dissocier l'information sur le droit à la vie privée, qui relève de l'éducation civique, et la sensibilisation aux questions de propriété intellectuelle sur Internet, qui a trouvé sa place au sein de l'enseignement de technologie et d'informatique.

Plus qu'une simple information sur les dangers de l'exposition de droit et d'autrui et sur les dispositions de la loi relative à l'informatique et aux libertés, votre commission souhaite également que les élèves soient véritablement formés à la maîtrise de leur image publique, à l'analyse réfléchie et critique des informations circulant sur Internet et à l'utilisation responsable des réseaux sociaux et des applications interactives.

Cette démarche s'inscrit pleinement dans l'objectif plus général d'acquisition de la maîtrise des nouvelles technologies de l'information et de la communication (NTIC) exigée de chaque élève au titre du socle commun de connaissances et de compétences défini par la loi du 23 avril 2005 pour l'avenir de l'école.

* *

*

Réunie le mardi 23 février 2010, votre commission a adopté un amendement à l'initiative de son rapporteur et a rendu un avis favorable à l'adoption de la proposition de loi tendant à mieux garantir le droit à la vie privée à l'heure du numérique.

AMENDEMENT ADOPTÉ PAR LA COMMISSION

Article 1

Rédiger ainsi cet article :

L'article L. 312-15 du code de l'éducation est complété par un alinéa ainsi rédigé :

« Dans le cadre de l'enseignement d'éducation civique, les élèves sont formés afin de développer une attitude critique et réfléchie vis-à-vis de l'information disponible et d'acquérir un comportement responsable dans l'utilisation des outils interactifs, lors de leur usage des services de communication en ligne. Ils sont informés des moyens de maîtriser leur image publique, des dangers de l'exposition de soi et d'autrui, des droits d'opposition, de suppression, d'accès et de rectification prévus par la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, ainsi que des missions de la Commission nationale de l'informatique et des libertés. »

LISTE DES PERSONNES AUDITIONNÉES

Fédération française des télécoms : M. Julien Villalongue, Mmes Florence Chinaud, Dalhia Kownator et Patricia Le Large

Forum des Droits sur l'internet : Mme Isabelle Falque-Pierrotin, présidente, et M. Stéphane Grégoire, juriste

UFC-Que Choisir : Mme Cathalina Chatelier, juriste, et M. Cédric Musso, directeur des relations institutionnelles

Google : M. Olivier Esper, chargé des relations institutionnelles, Mme Alexandra Laferrière, European Policy Manager, et M. Vincent Gagneur, conseil de Google

Commission nationale de l'informatique et des libertés (CNIL) : M. Yann Padova secrétaire général, et Mme Sophie Vulliet-Tavernier, directrice des affaires juridiques, internationales et de l'expertise

- Mme Aurélie Taquillain, chargée de mission, M. Benoit Labrousse, conseiller technique au cabinet de M. Luc Chatel, ministre de l'éducation nationale

Syndicat de la presse quotidienne régionale : M. Jacques Camus et Mme Haude d'Harcourt

Facebook - MM. Damien Vincent, directeur commercial France, et Richard Allan, director of policy EU

* 1 David Assouline, Les nouveaux médias : des jeunes libérés ou abandonnés ?, rapport n° 46 (2008-2009), 22 octobre 2008.