Le 11 avril 2011, le professeur Spiros Simitis, spécialiste de la protection des données, est intervenu à l'occasion d'un séminaire de midi organisé par la Faculté de Droit, d'Economie et de Finance de l'Université de Luxembourg sur la question du futur de la protection des données en Europe.

Trois exemples qui illustrent une technologie dont la propriété essentielle est de traiter des données personnelles

D’emblée, il a cité trois cas qui lui semblent particulièrement représentatifs.

Premier cas : Lors d’une vidéoconférence entre deux grandes entreprises, deux espaces entrent en jeu dans l’entreprise qui a organisé l’événement. Dans le premier espace sont réunis les membres de l’entreprise qui sont impliqués de visu dans la vidéoconférence. Dans une autre pièce se trouvent d’autres membres de l’entreprise qui scrutent l’autre partie, analysent ses mimiques, ses gestes, ses réparties, brefs profilent les "autres" à leur insu et communiquent leur commentaire aux membres de leur entreprise qui sont en communication avec ceux qui sont ainsi scrutés.

Deuxième cas : Google élabore un programme, et Microsoft un programme similaire, où patients et médecins contribuent au dossier volontairement ouvert d’un patient mais sans connaître toutes les données des autres, se jugent, prescrivent, etc... L’idée est de créer un "système de santé sans limites".

Troisième cas : Les avocats britanniques ont commencé à se poser des questions sur les hausses vertigineuses du nombre de divorces. Aucune nouvelle loi, aucun changement visible des mœurs chez les Britanniques. Finalement, ils sont allés voir sur Internet comment les époux en litige se défoulent contre leurs partenaires. Il devient dès lors plus facile de motiver la demande en divorce.

Ces trois exemples illustrent selon Spiros Simitis une technologie dont la propriété essentielle est de traiter des données personnelles, tout comme le traitement des données personnelles était déjà l’objet principal des premières "machines cybernétiques" des années 60’ et 70’.

La protection des données est une réaction à une technologie de traitement des données personnelles dont les règles ne sont jamais que provisoires, car dépassées à peine entrées en vigueur

Spiros Simitis défend la thèse suivante : la protection des données est une réaction à cette technologie de traitement des données personnelles. Mais ses règles ne sont jamais que provisoires, car elles sont dépassées à peine entrées en vigueur.

Au cours des années 70’, ce qui était en cause, c’étaient les banques de données centrales. La firme IBM croyait même à l’époque que seul un Etat pouvait disposer de moyens suffisants pour mettre en place de telles banques de données centrales. Dix ans après, les projets de ces grandes banques de données centrales disparaissent. Tout se déplace vers les entreprises. Et en passant par le réseau des portables, le problème s’est aujourd’hui déplacé vers les réseaux et les mises en réseaux.        

De cet état des lieux, Spiros Simitis tire trois conclusions :

1. le temps des grandes banques de données centrales est bien fini ;
2. toute règle de protection des données relève du provisoire ;
3. il n’y a rien qui ne soit collecté et stocké.

De la sorte, il y a un déplacement en matière de protection des données de la casuistique vers la "prévention massive", et il s’agit là d’empêcher que certains développements arrivent à se faire.

La tendance dans le domaine de la collecte de données va vers la collecte et le stockage préventifs

La tendance dans le domaine de la collecte de données va vers la collecte et le stockage préventifs, "au cas où". Les intentions semblent bonnes. Un registre des cancers conduit entre autres à appeler certaines catégories d’âge à se présenter à des examens médicaux, dont les résultats sont stockés. Des registres d’enfants de personnes qui ont commis des crimes et délits particulièrement graves sont conçus pour que des interventions préventives et thérapeutiques soient lancées dès le plus petit indice de déviance de cette descendance. Des banques biologiques enregistrent patiemment les conséquences médicales et autres d’une société vieillissante. Ces registres et banques de données suscitent au plus haut point l’intérêt des assureurs et des autorités en charge de la sécurité.

Au niveau européen, on est déjà allé très loin selon Spiros Simitis. Pourquoi ces collectes et stockages ? Et pour combien de temps les données sont-elles stockées ? Pour le spécialiste de ces questions, les formulations sur le "pourquoi" sont bien vagues, et les délais de stockage causent d’inextricables casse-têtes. Et tout de ce qui est collecté et stocké peut être traité et mis en réseau.

Pour "l’autodétermination en matière de divulgation de données personnelles"

Par rapport à cette tendance, il s’agit d’affirmer selon le professeur Simitis "l’autodétermination en matière de divulgation de données personnelles", ("informationelle Selbstbestimmung" dans le texte prononcé). Mais cela ne va pas sans paradoxes. Ainsi, met en exergue Spiros Simitis, Internet est-il souvent considéré comme le "dernier refuge de la liberté". Mais quand on visite les réseaux sociaux, le constat est que les membres d’une société qui défendent d’un côté l’autodétermination se mettent d’un autre côté complètement à nu dans les réseaux sociaux. Ici, la législation sur la protection des données dans une société démocratique qui devrait idéalement renoncer à collecter toute sorte d’informations sur les personnes arrive à ses limites. Internet a changé de fond en comble la donne en donnant à tout un chacun la possibilité de déposer une foule de données sur soi et de les rendre accessibles à d’autres. C’est ici que la protection des données doit être prise très au sérieux.

L’UE jugée "très négligente" dans le domaine de la protection des données

Lors du débat, il ressortit que la transparence des institutions européennes quant aux personnes qui apparaissent comme plaignants devant ses instances peut nuire à ces plaignants, si ceux apparaissent de façon répétée comme plaignants dans des documents accessibles au public et mis en ligne. Reste que selon certains experts, une anonymisation de des plaignants changerait les données juridiques d’une affaire du tout au tout. D’autres pensent qu’il faut aller dans les affaires juridiques européennes vers un "maximum de transparence", histoire de "vivre radicalement un contre-projet" et d’assumer le rôle qu’on veut jouer comme plaignant par exemple. 

D’autre part, l’évolution de la discussion sur les PNR, ces données des dossiers passagers collectées à des fins de protection contre les infractions terroristes et les formes graves de criminalité, inquiète le professeur Simitis. Que ces données puissent être collectées par les opérateurs est d’ores et déjà un fait. La deuxième phase est de savoir ce qu’on peut en faire. Ici, il a été dans un premier temps question de leur communication aux Etats-Unis et à d’autres Etats tiers. Spiros Simitis voit là « une tactique d’une UE qui s’émancipe », qui a voulu savoir jusqu’où elle peut aller, et qui propose entretemps, à l’instigation du Royaume Uni, une collecte de ces données qui s’appliquerait aux vols intra-UE, et pas seulement aux vols de l’UE à destination ou en provenance d’un pays tiers. Jusque-là, certaines questions restent peu claires : qui aurait accès à ces données, combien de temps seraient-elles stockées et qui contrôlerait leur utilisation ? Et la question de l’utilité finale de cette collecte n’a pas de réponse non plus.

En gros, la boulimie du stockage de données concerne selon Spiros Simitis trois domaines : la sécurité, la sécurité sociale et la santé. Et pour lui, "il est temps de devenir plus rebelles". Car des collectes de données et une mise en réseau excessive de certaines données dans de petites sociétés peut avoir de lourdes conséquences pour les individus. L’opinion publique doit pouvoir participer aux décisions.

Au niveau de l’UE, un consensus sur les principes qui gèreraient la protection des données s’avère selon l’expert de plus en plus difficile. En général, depuis les années 70’, quand la protection des données s’est développée, un principe de base prévalait : une donnée n’est collectée que s’il y a une raison préétablie pour le faire. L’UE collecte des données de manière préventive. Par là même, elle enfreint tous les principes. Or, une telle démarche préventive devrait être mesurée à l’aune de son utilité et d’autres paramètres. Ensuite seulement, une décision devrait être prise, mais la vigilance devrait continuer et poser régulièrement de nouvelles limites. Les données collectées pour prévenir le crime peuvent mener à l’immobilité complète. Celles qui sont censées donner en matière de santé un tableau des frais ne sont pas seulement utilisées à cette fin. Bref, selon Spiros Simitis, l’UE est "très négligente " dans ce domaine.

Certes, il y a le Contrôleur européen de protection des données (CEPD). Mais il devrait plus travailler en concertation avec les organes nationaux de protection des données. Des règles communes devraient être élaborées, mais qui laisseraient à tout Etat membre la liberté d’aller au-delà.