A la veille de la journée européenne de la protection des données, la Commission nationale pour la protection des données (CNPD) et le Centre Interdisciplinaire pour la Sécurité, la Fiabilité et la Confiance (SnT) de l’Université du Luxembourg ont organisé le 27 janvier 2014 une table ronde intitulée "Les défis en matière de protection de la vie privée dans un monde interconnecté".
L’événement a réuni des experts dans le domaine du droit, de l'industrie et de la régulation : le professeur Stefan Braum, doyen de la Faculté de Droit, d'Économie et de Finance de l’Université du Luxembourg, Gérard Lommel, président de la Commission nationale pour la protection des données (CNPD), Michael Hofmann, partner pour la gestion du risque informatique chez KPMG Luxembourg, et Stephan Ory, avocat et professeur honoraire à l’Université de la Sarre.
Le contexte de la table ronde était donné par la nécessité de moderniser en Europe les règles existantes en matière de protection des données, alors que les citoyens sont confrontés avec les révélations sur la collecte des données par la NSA américaine, mais aussi avec la possibilité de les localiser et de les profiler à l'aide d'applications mobiles, puis avec la perspective que Google et d'autres entreprises entrent dans leurs chambres à coucher via la technologie du smart metering, des smarts TVs, des réveils ou d’autres dispositifs dans l'ère de l'"Internet des objets". Une question qui se pose ici est le droit à l'autodétermination informationnelle.
Gérard Lommel a mis en avant la manière dont l’évolution technologique a changé le travail de la CNPD. Le droit actuel de la protection des données est toujours tributaire de la démarche des années 80’, où il s’agissait de limiter le droit des autorités d’interconnecter leurs banques de données. Aujourd’hui, avec la collecte à très large échelle de données par toutes sortes d’acteurs publics et privés, la question est de savoir "comment vivre" dans un monde interconnecté où les acteurs privés notamment collectent à travers le commerce électronique des données comportementales qui débouchent, dûment exploitées, sur des pratiques de profilage. En même temps, les frontières disparaissent. Comment donc adapter les principes de la protection des données du Conseil de l’Europe et de la législation européenne de 1995 à ce monde nouveau ? Une législation de l’UE qui s’avère par ailleurs, comme l’ont estimé les travaux de la Commission qui ont précédé la proposition de réforme actuellement en discussion, trop complexe et pas très efficace dans son application concrète. Par ailleurs, 67 % des citoyens ignorent qu’ils ont des droits dans ce domaine et qu’ils peuvent avoir recours à la CNPD de leur pays pour les faire respecter. Néanmoins, une majorité de citoyens sont préoccupés par la sécurité de leurs données personnelles.
Michael Hofmann, de la KPMG, a quant à lui annoncé la création en février 2014 de l’Association pour la protection des données au Luxembourg (APDL), qui abordera tant le côté juridique que technique de la question en rassemblant les experts sur ces différents terrains. La question de la protection des données est pour lui essentielle, vue la dimension de la place financière. « Il y a une chance unique de faire les choses autrement à Luxembourg », a-t-il mis en avant, pointant du doigt un représentant de l’ABBL dans la salle. Le niveau de la protection des données pourrait, selon Michael Hofmann, devenir la grande valeur ajoutée de la place financière de Luxembourg, partant d’une longue histoire de la pratique de la confidentialité dans les rapports avec les clients. Un haut niveau de protection des données sera utile lors du passage du secret bancaire à un secteur bancaire régulé et sous le coup de l’échange automatique d’informations et devrait permettre, selon l’expert de la KPMG, d’attirer de nouvelles activités "en réalisant quelque chose d’unique". Il faudrait créer des instruments qui créent la confiance, alors que "la protection des données n’est pas bonne aujourd’hui", et le Luxembourg, avec ses grands data centers qui se mettent en place et sa bonne connexion, pourra selon lui allier le niveau technologique le plus élevé à une autre manière de faire les choses.
Stephan Ory a posé la question de la différence entre données publiques et privées, dans un contexte où nombre de particuliers insistent pour rendre publics des éléments de leur sphère privée. Pour lui, il faudrait bien davantage différencier la protection des consommateurs de la protection de la sphère privée, puis la dimension politique de la dimension individuelle. A chaque fois, la question de la protection des données se pose autrement.
Enchaînant entre autres sur cette question, Stefan Braum a mis en exergue que la protection des données ressort seulement en 33e position parmi les grandes préoccupations des citoyens allemands, et que 8 % seulement trouvent que c’est une question très importante. Qu’est-ce qu’une donnée, qu’est-ce que sa protection, qu’est-ce que le monde interconnecté ?
Peut-on prétendre à vouloir maîtriser ces questions et leur traitement ? Stefan Braum n’y croit pas. La jurisprudence des Cours contribue à préciser l’accès aux données proportionnel, effectif et lié à un objectif. Mais la lutte contre le terrorisme et les exigences pour la sécurité des Etats a conduit de fait à une érosion des droits des citoyens. Pour le juriste, les normes pour la protection des données ont reculé au niveau international en 20 ans. Et cela ne risque pas de s’améliorer au niveau de l’UE, qui s’évertuait avant à harmoniser les règles nationales et qui a maintenant choisi la voie d’une même règle pour tous, une règle censée être la meilleure. Procédant ainsi, elle ignore que la protection des données n’est pas du tout selon les Etats membres, et que souvent, l’on a perdu le lien entre les droits des personnes et la proportionnalité des moyens, par exemple en ce qui concerne le stockage de toutes sortes de données.
Stefan Braum ne croit pas non plus que le monde soit interconnecté. En fait, plusieurs systèmes de connexion existent en parallèle, l’interconnexion des systèmes du monde policier s’étant ici émancipée de tout contrôle à l’aune des droits fondamentaux. Les échanges des données des passagers de type PNR se font ainsi en dehors de toute règle cohérente. D’autre part, les révélations d’Edward Snowden ont mis au jour des systèmes opaques développant des algorithmes qui permettent de scanner tout le monde. Les plates-formes sociales viennent de leur côté faciliter ce travail. Bref, Stefan Braum ne nourrit guère d’espoirs que l’on puisse maîtriser la question.
Gérard Lommel confirme que les citoyens se sentent désemparés face aux collectes massives de données. Les contre-feux sont par contre allumés par les grandes entreprises qui ont besoin que la confiance soit instaurée pour qu’elles puissent fonctionner. C’est ici que les législateurs doivent intervenir. Car les citoyens n’ont pas confiance dans de nombreuses activités comme par exemple l’e-banking. Si l’UE ne faisait rien, la résignation serait de mise. Mais elle a entrepris une réforme, et si elle marche, elle pourrait avoir une influence sur le reste du monde, car, contrairement à ce que croit Stefan Braum, Gérard Lommel croit qu’il y a malgré tout interconnexion. Par ailleurs, la réforme de la protection des données est aussi le seul moyen pour réaliser le marché unique électronique, tous partant du même niveau de protection et de régulation. Et il conclura pour dire que le Luxembourg comme petite économie ouverte a un intérêt particulier à ce que la réforme européenne de la protection des données soit un succès. Dans le cas contraire, ce sont les grands Etats membres qui dicteront la marche à suivre. Avec en prime le risque de la fragmentation de l’Internet et du cloud computing, une chose qui préoccupe jusqu’aux grands acteurs américains du Net.
Michael Hofmann admet tout à fait que 8 % de citoyens profondément préoccupés par la protection des données, ce n’est pas grand-chose. Mais si tous devaient être attirés par un Luxembourg en pointe sur la question de la sécurité des données, ce serait plus que le pays ne pourrait digérer. Le Luxembourg doit donc créer une offre dans certains domaines qui créent la confiance. Ce qui lui apporte, de la part de Stefan Braum, la remarque que si la sécurité des données pourra être assurée dans les prochaines années, ce sera avant tout pour ceux qui paient. Et il conclura sur la nécessité de motiver les citoyens à s’engager plus pour la protection des données. Car, en fin de compte, la manière dont leurs droits constitutionnels sont interprétés dépend d’eux-mêmes.