DÉPARTEMENT : INSTITUT D'ÉTUDES EUROPÉENNES

LA PROTECTION DES DONNÉES PERSONNELLES ET DE LA VIE
PRIVÉE SUR LES MÉDIAS SOCIAUX DANS L'UNION EUROPÉENNE

Comment l'Union européenne peut-elle réguler les pratiques ?

MÉMOIRE

LANNOY Fanny

Directeur de mémoire: LAQUIEZE Alain

MASTER 1

Année Universitaire 2011-2012

2

TABLE DES MATIÈRES

REMERCIEMENTS 4

INTRODUCTION 5

CONCEPTUALISER LA VIE PRIVÉE 5

LES NOUVEAUX DÉFIS LIÉS AUX ÉVOLUTIONS TECHNOLOGIQUES RAPIDES DE CES DIX DERNIÈRES

ANNÉES 7

L'EUROPE FACE À DES ENTREPRISES D'ENVERGURE MONDIALE 10

I. LA LÉGISLATION EUROPÉENNE : UN MOYEN SUFFISANT DE PROTECTION DES

DONNÉES PERSONNELLES ? 11

A) UNE LÉGISLATION ANCIENNE MAIS TOUJOURS PERTINENTE 11

1. Des directives qui ne prennent pas en compte les nouveaux services et pratiques en

ligne 11

2. Des principes toujours valables, faisant preuve de neutralité technologique 14

3. L'apport du traité de Lisbonne : une législation désormais contraignante 16

B) LA DÉFINITION DE NOUVEAUX OBJECTIFS 17

1. "Renforcer les droits des personnes" 17

2. "La dimension mondiale de la protection des données" 19

3. "Renforcer le cadre institutionnel" 20

II. LA LÉGISLATION EUROPÉENNE : UN MOYEN EFFICACE POUR PROTÉGER LES DONNÉES ET LA VIE PRIVÉE DES UTILISATEURS SUR LES RÉSEAUX

SOCIAUX ? 23

A) LES AUTORITÉS CHARGÉES DE LA PROTECTION DES DONNÉES PERSONNELLES 23

1. Spécificité européenne par rapport aux Etats-Unis 23

2. La CNIL . exemple d'une autorité indépendante européenne 24

3. Le Groupe de travail Article 29 sur la protection des données, ou G29 25

B) LA CHARTE DE CONFIDENTIALITÉ DE FACEBOOK EST-ELLE CONFORME À LA LÉGISLATION

EUROPÉENNE ' 26

1. Europe vs Facebook . comment un étudiant a mis à jour les violations de la vie privée

perpétrées par le plus puissant des réseaux sociaux 26

2. Facebook en flagrant délit de non-respect de la législation européenne 28

3

3. Une réinterprétation de la charte en fonction de la législation européenne guère plus

satisfaisante 29

CONCLUSION 31

BIBLIOGRAPHIE 33

ANNEXES 38

5

Introduction

Conceptualiser la vie privée

"Si je décide de participer à un réseau social, je vais être cristallisé, englué par les informations que j'aurais confiées à l'âge de 21 ans. Dans dix ans, on vous les ressortira. Vous êtes tracé car vous perdez la possibilité d'évoluer. On a le droit, à 20 ans, de dire une connerie, ce n'est pas pour autant qu'on doit vous la rapporter toute votre vie"¹. Cette citation du sénateur et ancien président de la CNIL et du groupe Article 29 Alex Turk représente bien les inquiétudes liées au succès que rencontrent les réseaux sociaux depuis le début des années 2000.

Le besoin d'intimité remonte à des temps extrêmement anciens. La plupart des sociétés, qu'elles soient primitives ou modernes, ont développé des moyens pour se protéger des regards extérieurs. Avant même que les technologies apparaissent, les hommes ont placé entre eux des limites, associées à des règles, des coutumes et des tabous, créé une distinction entre ce qui relève du public et du privé². Le terme explicite de "vie privée" apparaissait pour la première fois dans un article des juges de la Cour Suprême Américaine Samuel Warren et Louis Brandeis, en 1890³. Ils y définissaient le droit à la vie privée comme le "droit d'être laissé seul".

Depuis, le droit à la vie privée a été reconnu comme droit de l'Homme essentiel, et a pris sa place dans des traités internationaux et les constitutions de nombreux Etats. L'article 8, paragraphe 1 de la Convention Européenne des Droits de l'Homme signée en 1950 entre les Etats membres du Conseil de l'Europe, lui donne une importance fondamentale, en déclarant que "toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance"⁴. Pour la première fois, le droit à la vie privée est reconnu comme droit fondamental de la personne humaine.

1 TURK Alex, "Réseaux sociaux en ligne. Attention, vous êtes tracés !", Le Télégramme, 20 Décembre 2008

2 DECEW J. Wagner, In Pursuit of Privacy: Law, Ethics and the Rise of Technology, Ithaca, Cornell University Press, 1997, 208 pages, p.12.

3 WARREN S.D and BRANDEIS L.D., The right to privacy: the implicit made explicit, Cambridge Massachussets, Harvard Law Review, 1890, 98 pages, 193Ð220.

4 Convention Européenne de Sauvegarde des Droits de l'Homme, article 8 "droit au respect de la vie privée et familiale", paragraphe 1

6

Cependant, il est intéressant de constater que ce que l'on entend exactement par "vie privée", n'est toujours pas clairement défini. Dès lors, comment savoir quand ce droit peut être invoqué ? La vie privée n'est pas un concept fixe, et ne saurait être considéré indépendamment d'un certain contexte. Ainsi, selon Daniel Solove, il est impossible d'établir une définition unique du concept de vie privée⁵. Plutôt que d'essayer de conceptualiser la vie privée, il faudrait adopter une approche pragmatique, et tenter de la comprendre dans des situations bien précises, contextuelles : "mon approche diverge des acceptations traditionnelles de la vie privée, qui cherchent à la conceptualiser en des termes génériques, comme une catégorie standard. En d'autres termes, je suggère une approche qui conceptualise la vie privée par le bas, plutôt que par le haut, depuis des contextes particuliers, plutôt qu'à partir de quelque chose d'abstrait"⁶. Cette vision des choses permettrait de concrétiser les discussions autour de la vie privée, et ainsi mettre en place une politique de protection plus efficace.

Lorsqu'on étudie le droit au respect de la vie privée dans différents contextes, on peut voir que celui-ci est d'avantage un moyen plutôt qu'une fin. Bien que présenté comme un droit fondamental, ce n'est pas que pour-soi que le droit à la vie privée doit être protégé. Ainsi que l'écrit la chercheur Antoinette Rouvroy dans un article au journal Médiapart, "la vie privée n'est pas un droit fondamental parmi d'autres, elle est la condition nécessaire à l'exercice des autres droits et libertés fondamentaux"⁷. La liberté d'opinion, de circulation et de réunion, les libertés politiques, syndicales, ou encore de culte, ne pourraient être exercées sans droit à la vie privée.

Dès lors, le concept de respect de la vie privée ne semble être qu'une autre manière d'aborder un même droit fondamental, celui de la liberté individuelle et du respect de la personne humaine. Il est un pré-requis pour une société démocratique, en ce qu'il est un droit indissociable de la notion de liberté. L'Union Européenne doit donc oeuvrer pour protéger ce droit fondamental, et harmoniser les mesures prises pour cela dans les Etats Membres. Voilà pourquoi le droit à la vie privée est désormais inscrit dans la Charte Européenne des Droits Fondamentaux, au Titre II

5 SOLOVE Daniel J., "Conceptualizing privacy", California Law Review, n°90, 2002, 70 pages, 1096

6 Traduction personnelle, originellement "My approach diverges from traditional accounts of privacy that seek to conceptualize it in general terms as an over-arching category with necessary and sufficient conditions. In other words, I suggest an approach to conceptualize privacy from bottom up rather than the top down, from particular contexts rather than in the abstract", in SOLOVE Daniel J., "Conceptualizing privacy", California Law Review, n°90, 2002, 70 pages, 1092

7 ROUVROY Antoinette, "repenser le sens du droit à la protection de la vie privée dans la société de surveillance : une urgence démocratique", mediapart.fr, octobre 2008, http://blogs.mediapart.fr/edition/sciences-et-democratie/article/ 141008/repenser-le-sens-du-droit-a-la-protection-de-la-v

7

"Libertés", Article 7 "Respect de la vie privée et familiale" : "Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de ses communications".

La vie privée comprend traditionnellement le domicile, la vie familiale et la correspondance, comme le montrent les textes officiels précédemment cités. À l'intérieur de ces domaines, les individus sont libres de mener leur existence comme ils le souhaitent. Lors des dernières décennies, la sphère privée a peu à peu intégré les données personnelles, définies par la CNIL comme "toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un nom, un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres"⁸. Ces données circulent aujourd'hui très facilement par le biais de l'informatique, lors de nos activités quotidiennes : lorsque nous nous rendons à la banque, chez le médecin, que nous réservons un billet d'avion, et désormais, sur les réseaux sociaux. La question de la vie privée aujourd'hui, ne saurait être considérée indépendamment des données personnelles.

L'OCDE a dès 1980 dessiné de nouveaux principes pour protéger les données personnelles des individus. Le but n'était pas seulement de protéger la vie privée, mais surtout de permettre que les disparités entre les lois nationales n'interrompent pas la circulation de ces données entre les pays. Les principes de l'OCDE ont formé la base de la directive sur la protection des données personnelles 1995/46/CE, première mesure adoptée dans la législation européenne pour protéger les données des citoyens.

Les nouveaux défis liés aux évolutions technologiques rapides de ces dix dernières années

Durant les trente dernières années, le développement d'Internet a ouvert de nouvelles opportunités pour l'Europe et les Européens, tant d'un point de vue de l'activité économique, que de l'information, des échanges sociaux, et de la liberté d'expression. Mais c'est réellement depuis le début des années 2000, date d'émergence des sites dits "médias sociaux", qu'Internet pose de nouveaux enjeux en matière de protection de la vie privée et des données personnelles.

Le but premier de ces sites est de se constituer un réseau de contacts. Après la création de son "profil", l'internaute peut prendre contact avec d'autres utilisateurs du réseau, qu'il connaît réellement ou non. Le premier réseau social (l'une des formes de média social) était le site

8 Commission Nationale de l'Informatique et des Libertés, Canevas législatif « Informatique et libertés », Paris, 13 décembre 2006 : http://www.cnil.fr/fileadmin/documents/approfondir/dossier/international/Francophonie/Canevas-legislatif.pdf

8

Friendster, fondé en 2002 par Jonathan Abrams. Celui-ci était fondé sur le principe des cercles d'amis, et permettait aux internautes de regrouper en un même endroit leurs relations, échanger des messages avec ces personnes, ainsi que des contenus multimédias (photos, vidéos, musique...).

Depuis, cette pratique a connu un fulgurant développement, et les médias sociaux tiennent aujourd'hui une place prépondérante dans l'utilisation d'Internet, et dans le quotidien des utilisateurs : de multiples services se sont développés, avec chacun leur spécificité : les réseaux sociaux, tels que Facebook, LinkedIn, ou Myspace, permettent de garder contact avec ses amis, et d'échanger du contenu avec eux. Les blogs ou microblogs, tels que Blogger, Wordpress, Twitter ou Tumblr, permettent de partager ses opinions, pensée du jour, photos, ou autres intérêts. D'autres encore, tels que Flickr ou Youtube, sont exclusivement destinés à mettre en ligne ses photos ou vidéos. Mais tous ces sites se regroupent en un point : ils permettent d'échanger, avec ses amis ou sa famille, et plus largement, avec l'extérieur. En effet le succès de ces sites repose sur un esprit de collaboration en ligne. Se créent alors de véritables "communautés" autour d'intérêts communs. En ce sens, ces nouveaux services révolutionnent les pratiques de communication.

Ainsi que le constate Jean-Marc Manach dans son ouvrage La vie privée, un problème de vieux cons ? "il en résulte un changement radical : tout le monde échange avec tout le monde ; courriers électroniques, blogs, microblogs, réseaux sociaux assurent à tous un accès à tous. En contrepartie tous se préparent à accueillir le regard de tous. Et ce regard est de moins en moins perçu comme négativement, comme une intrusion dans l'espace propre à l'individu. Bien au contraire, chacun aspire à attirer le plus grand nombre de regards, car leur nombre atteste de la réussite de celui qui les reçoit"⁹. Si les utilisateurs semblent de plus en plus enclins à dévoiler leur intimité sur Internet, et semblent peu gênés du regard des autres utilisateurs sur ce qu'ils publient, on observe parallèlement que le succès des médias sociaux amène de nouvelles inquiétudes, ayant trait au traitement même de ces données. Selon un sondage Eurobaromètre, la plupart des utilisateurs européens d'Internet se méfient de la transmission de leurs données personnelles via Internet : 82% des utilisateurs considèrent que la transmission des données via le web "n'est pas suffisamment sûre"¹⁰. 64% des répondants se disent alors "soucieux quant au traitement approprié de leurs données personnelles par les organismes qui les détiennent"¹¹. Pourtant ces inquiétudes

9 MANACH Jean-Marc, La vie privée, un problème de vieux cons ? Paris FYP éditions, 2010, 224 pages, p.39

10 Enquête Flash Eurobaromètre, "La protection des données au sein de l'Union européenne, perceptions des citoyens", Février 2008, Bruxelles, p.7

11 Ibidem, p. 6

9

n'empêchent pas les utilisateurs de continuer à publier des contenus en ligne, ainsi que le montre le graphique "are you in control of your personnal data ? "(annexe 2). Il est frappant de constater que 75% des utilisateurs européens souhaiteraient avoir la possibilité de supprimer définitivement leurs données quand ils le souhaitent. Dès lors, ce que semblent craindre les utilisateurs, ce n'est pas l'intrusion de ces nouveaux services dans leur vie privée, puisqu'ils choisissent ce qu'ils y publient. Ce qui semble gêner les utilisateurs, c'est la perte de contrôle sur leurs données personnelles une fois que celles-ci sont publiées, et l'utilisation qui en est faite par les organismes les détenant.

Le succès de ces nouveaux services de socialisation, associé au problème de la persistance des informations publiées en ligne, pose donc un nouveau défi pour l'Europe. Les enjeux sont extrêmement forts pour l'Union européenne, qui considère le droit à la vie privée et à la protection des données personnelles comme un droit fondamental, et l'inscrivait dès 1950 dans la Convention Européenne des Droits de l'Homme. Il semble y avoir aujourd'hui une véritable nécessité de préciser l'application des principes de la protection des données personnelles, définis dans la Directive 95/46/CE, aux nouvelles technologies.

Ces réseaux reposent sur le principe du "cloud computing", ou "informatique en nuage", qui consiste à déporter les données et ressources sur des serveurs distants du système de stockage physique de l'utilisateur. Dans son rapport "étude comparative sur les différentes approches des nouveaux défis en matière de protection de la vie privée, en particulier à la lumière des évolutions technologiques", la Commission Européenne définit cette pratique assez justement comme étant "un type d'informatique dans lequel les données de l'utilisateur ainsi que les applications qu'il utilise ne sont plus installées sur l'ordinateur personnel (PC) de l'utilisateur mais hébergées sur des serveurs et mises à sa disposition via des navigateurs sur l'Internet"¹². Cela a pour conséquence que l'utilisateur ne connaît pas la localisation physique de ses données, et ne peut y avoir un accès direct. De plus en plus de services, y compris les réseaux sociaux, ont aujourd'hui recourt à ce type de stockage. Dès lors, les utilisateurs ont une perte de contrôle sur leurs informations et leurs données. Cela crée de nouveaux défis pour la législation européenne : comment protéger les internautes de l'utilisation faite de leurs données, lorsqu'on n'y a qu'un accès limité ? La législation existante n'est pas à jour en la matière, et semble là encore devoir évoluer pour s'adapter aux évolutions technologiques.

12 Commission Européenne, Direction Générale Justice, Liberté et Sécurité, "étude comparative sur les différentes approches des nouveaux défis en matière de protection de la vie privée, en particulier à la lumière des évolutions technologiques", Contrat N° JLS/2008/C4/011 - 30-CE-0219363/00-28, rapport final, Bruxelles, Janvier 2010, 71 pages, p.5

10

L'Europe face à des entreprises d'envergure mondiale

D'autre part, l'Europe se trouve dans son combat pour la protection des données personnelles face à des acteurs de taille. Les réseaux sociaux ne sont plus aujourd'hui que de simples sites internet, ce sont des entreprises qui sont de véritables géants économiques : le chiffre d'affaires de Facebook, réseau rassemblant le plus de succès, s'élève à 1,7 milliards de dollars. Or, ces réseaux reposent sur un principe : la gratuité d'utilisation. L'internaute n'a pas à payer pour s'inscrire à ces services, et c'est ce qui explique en partie leur succès. Dès lors, comme le montre l'infographie "How social sites make money" (annexe 3), 77% des réseaux sociaux tirent leurs revenus de la publicité.

Les réseaux sociaux sont aujourd'hui une mine d'or pour les annonceurs : les utilisateurs, lors de leur inscription, et tout au long de leur utilisation, fournissent en plus de leurs coordonnées des informations sur leurs centres d'intérêts, goûts musicaux, littéraires ou cinématographiques, ainsi que leur sexe, ville, date de naissance, opinions politiques ou religieuses, ou encore leurs préférences sexuelles. Ainsi, les utilisateurs transmettent volontairement aux entreprises des données que celles-ci n'auraient normalement pas le droit de récolter : en France par exemple, la loi de 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, dispose dans son article 8 qu'Òil est interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celle-ci"¹³. Or ces informations peuvent être publiées sur les réseaux sociaux. Ces données acquièrent donc une valeur considérable, car elles permettent aux annonceurs publiant sur les réseaux sociaux de mettre en place des publicités ciblées, correspondant aux centres d'intérêts des utilisateurs. Les réseaux sociaux sont des entreprises comme toutes les autres, soumises à des logiques de concurrence et de profit, et n'hésitent donc pas à monnayer les données de leurs utilisateurs.

L'adaptation de la législation européenne à ces nouveaux enjeux est particulièrement importante, dans la mesure où ces nouveaux médias rencontrent un succès particulièrement fort en Europe : elle est devenue le continent qui comporte le plus d'usagers de Facebook avec 205

13 loi de 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, Loi 78-17, 16 janvier 1978, Chapitre II : Conditions de licéité des traitements de données à caractère personnel, Section 2 : Dispositions propres à certaines catégories de données, article 8 Modifié par Loi n2004-801 du 6 août 2004 - art. 2 JORF 7 août 2004

millions de membres, évinçant l'Amérique du Nord et ses 203 millions d'utilisateurs. En moyenne, un internaute européen est membre de deux réseaux sociaux. Selon le sondage eurobaromètre "Attitudes on Data Protection and Electronic Identity in the European Union" (annexe 1), 54% des utilisateurs se disent "inconfortables" à l'idée que leurs données fassent l'objet d'une utilisation pour de la publicité ciblée. Cependant, 58% considèrent qu'il n'existe pas d'alternative pour bénéficier d'un service gratuit. L'Union européenne, en limitant ces pratiques, répondrait donc aux attentes de ses citoyens. 90% se prononcent d'ailleurs en faveur d'une harmonisation de la législation entre les Etats membres. Il est donc nécessaire que l'Union européenne oeuvre pour réguler les pratiques de ces entreprises, la plupart du temps Américaines, et qui agissent selon les lois américaines, telles que le Patriot Act permettant au gouvernement d'accéder aux données de tous les utilisateurs.

Face à tous ces enjeux, il convient de nous poser les questions suivantes : dans quelle mesure l'Union européenne peut-elle protéger les données personnelles et la vie privée des utilisateurs sur les médias sociaux ? La législation existante en la matière, permet-elle toujours de relever pleinement et efficacement ces défis ? D'autre part, quel pourrait-être l'intérêt d'une législation européenne par rapport aux législations nationales en vigueur dans les Etats membres ?

Nous nous demanderons tout d'abord si la législation européenne est un moyen suffisant de protection des données personnelles. Puis dans un second et dernier temps, nous nous interrogerons sur l'efficacité réelle de cette législation pour protéger les droits des utilisateurs.

I. La législation européenne : un moyen suffisant de protection des données personnelles ?

A) Une législation ancienne mais toujours pertinente

1. Des directives qui ne prennent pas en compte les nouveaux services et pratiques en ligne

En matière de protection des données personnelles, la législation européenne est relativement ancienne. Le premier texte à évoquer ce thème est l'article 8 de la Convention européenne de Sauvegarde des Droits de l'Homme, signée entre les Etats membres du Conseil de l'Europe le 4 novembre 1950. Celui-ci dispose pour la première fois que "toute personne a droit au

11

12

respect de sa vie privée et familiale, de son domicile et de sa correspondance"¹⁴. D'applicabilité directe, la Convention s'impose directement aux Etats Membres du Conseil de l'Europe. Elle donne donc à la protection et au respect de la vie privée une importance fondamentale. Cependant, l'interprétation faite de la "vie privée" y est encore très large et peu spécifique.

C'est la Convention 108 du Conseil de l'Europe, signée le 28 janvier 1981, qui est considérée comme le premier cadre juridique européen du droit fondamental à la protection des données personnelles. Le but et l'objet de cette convention sont déclarés dès l'article premier : "Le but de la présente Convention est de garantir, sur le territoire de chaque Partie, à toute personne physique, quelles que soient sa nationalité ou sa résidence, le respect de ses droits et de ses libertés fondamentales, et notamment de son droit à la vie privée, à l'égard du traitement automatisé des données à caractère personnel la concernant («protection des données»)"¹⁵. À l'heure où l'outil informatique commence à être utilisé par les entreprises, les Etats membres vont se mettre d'accord sur une nécessité de protéger les données personnelles des utilisateurs.

Mais c'est la Directive 95/46/CE du 24 octobre 1995¹⁶ qui est la première réelle mesure législative prise par la Communauté Européenne. Aujourd'hui encore, elle constitue le texte de référence au niveau européen en matière de protection des données à caractère personnel. En effet, elle consacre deux des objectifs fondateurs de la Communauté Européenne : d'une part, protéger les libertés et droits fondamentaux des individus, et d'autre part réaliser le marché intérieur, ce qui suppose la libre circulation des données personnelles : "les systèmes de traitement de données sont au service de l'homme ; ils doivent, quelle que soit la nationalité ou la résidence des personnes physiques, respecter les libertés et droits fondamentaux de ces personnes, notamment la vie privée, et contribuer au progrès économique et social, au développement des échanges ainsi qu'au bien-être des individus"¹⁷. Dix-sept ans plus tard, ce double objectif est toujours d'actualité. En effet la Commission Européenne, dans sa Stratégie Numérique pour l'Europe, réaffirme lors des articles 9, 10 et 12¹⁸, la nécessité de développer un "marché unique digital" tout en oeuvrant pour la protection

14 Convention Européenne de Sauvegarde des Droits de l'Homme, article 8 "droit au respect de la vie privée et familiale", paragraphe 1

15 Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, Chapitre I "Dispositions générales", Article 1er "Objet et but", 28 janvier 1981

16 Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, JO L 281 du 23.11.1995

17 ibidem, §2

18 Digital Agenda for Europe : http://ec.europa.eu/information_society/digital-agenda/index_en.htm

13

des données des citoyens. Cependant, les évolutions technologiques fulgurantes de ces dernières années, ainsi que la mondialisation, nous amènent à nous poser la question suivante : cette législation, datant de 1995, n'est-elle pas dépassée ?

Depuis cette première directive fondatrice, d'autres textes ont été adoptés. Ainsi, la directive 97/66/CE dite "vie privée dans les télécommunications"¹⁹ précise la précédente directive. Elle harmonise notamment les dispositions des Etats membres en matière de données personnelles dans les télécommunications, précise les services concernés : "la présente directive s'applique au traitement des données à caractère personnel dans le cadre de la fourniture de services de télécommunications accessibles au public sur les réseaux publics de télécommunications dans la Communauté"²⁰, ou encore spécifie les droits des abonnés²¹. La Charte des droits fondamentaux de l'UE signée le 7 décembre 2000 reconnait dans son article 8 le droit à la protection des données personnelles comme un droit fondamental autonome du droit à la vie privée cité dans l'article 8 CESDH²² : "Toute personne a droit à la protection des données à caractère personnel la concernant"²³.

Les changements majeurs sont introduits par la directive 2002/58/CE²⁴, qui couvre de nombreux aspects laissés de côtés par la directive de 1995, tels que la pratique du "spam", communication électronique non sollicitée à des fins publicitaires²⁵, ou des "cookies", fichiers qui conservent et envoient les informations saisies par l'utilisateur d'un site dans le but de le reconnaitre, notamment à des fins commerciales. Cependant cette directive, dite "ePrivacy", ne réglemente les questions de droit à la vie privée et de protection des données qu'en ce qui concerne les nouvelles pratiques commerciales sur internet. Elle est donc destinée avant tout à réglementer la pratique du e-commerce, alors en plein essor en Europe. Les réseaux sociaux sont encore totalement ignorés. Pourtant, c'est bien en 2002 que cette pratique apparaît, avec l'avènement du site américain

19 Directive 97/66/CE du Parlement et du Conseil du 15 décembre 1997, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications

20 art.3 "services concernés", §1

21 art. 4, 6, 7, 11

22 Convention Européenne de Sauvegarde des Droits de l'Homme, article 8 "droit au respect de la vie privée et familiale", paragraphe 1

23 Charte des Droits Fondamentaux de l'Union européenne, 2010/c83/02, Titre II "Libertés", Article 8 "Protection des données à caractère personnel", §1

24 Directive du 12 juillet 2002 sur la protection de la vie privée dans le secteur des communications électroniques (2002/58)

25 Ibidem, Art 13, "communications non sollicitées"

14

Friendster. A peine rédigée, la législation européenne semble donc déjà en retard par rapport aux pratiques existantes.

Cela est d'autant plus frappant aujourd'hui, puisque la législation n'a pour ainsi dire pas évolué depuis 2002. Pourtant, il semble que c'est précisément à ce moment-là que l'Union européenne aurait dû agir pour protéger les utilisateurs. Entre 2002 et aujourd'hui, les pratiques et services ont profondément et rapidement évolué²⁶. MySpace, Facebook et Twitter, les trois réseaux qui ont rassemblé le plus d'utilisateurs²⁷, ont tous été créés entre 2002 et 2006. De plus en plus de services utilisent des procédés de localisation géographique, qui permettent de savoir où chacun se trouve à un moment donné, et ce qu'il y fait, pour peu qu'il utilise un appareil portable et des applications permettant la fonction "check in"²⁸. Les utilisateurs ont de plus en plus une perte de contrôle sur les informations les concernant²⁹, et c'est pourtant à ce moment-là que la législation européenne se fait muette. Dès lors, ainsi que le fait aujourd'hui la Commission Européenne dans sa Communication "une approche globale de la protection des données à caractère personnel dans l'Union Européenne", tous ces éléments soulèvent inévitablement la question de savoir si la législation européenne en matière de protection des données permet toujours de relever pleinement et efficacement ces défis³⁰.

2. Des principes toujours valables, faisant preuve de neutralité technologique

Selon une étude menée fin 2009 par la Commission Européenne sur la directive 95/46/CE "les principes essentiels de la directive sont toujours valables, et il convient de préserver sa

26 Commission Européenne, Direction Générale Justice, Liberté et Sécurité, "étude comparative sur les différentes approches des nouveaux défis en matière de protection de la vie privée, en particulier à la lumière des évolutions technologiques", Contrat N° JLS/2008/C4/011 - 30-CE-0219363/00-28, rapport final, Bruxelles, Janvier 2010, 71 pages, p.13

27 Myspace : 230 182 000 utilisateurs en 2008 5 ans après sa création en Août 2003, Facebook : 180 millions d'utilisateurs en Europe en février 2011, 5 ans après son ouverture au public en 2006

28 fonction permettant de se localiser à proximité de lieux publics définis (restaurant, cinéma, salle de concert...), et de partager cette information avec les autres utilisateurs du service

29 Study on the economic benefits of privacy enhancing technologies, London Economics, juillet 2010, p.14 http:// ec.europa.eu/justice/policies/privacy/docs/studies/final_report_pets_16_07_10_en.pdf

30 Communication de la Commission Européenne au Parlement Européen, au Conseil, au Comité Economique et Social Européen, et au Comité des Régions, «Une approche globale de la protection des données à caractère personnel dans l'Union européenne», 4 novembre 2010

15

neutralité sous l'angle technologique"³¹. Selon la Commission, la directive 95/46/CE tirerait son intérêt du fait même qu'elle ne fait référence à aucun service précis. Et en effet, la directive de 1995 ne s'attache pas à réglementer des pratiques et services précis, mais à protéger dans son acceptation générale le «traitement de données à caractère personnel», défini comme étant « toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction"³².

Cette neutralité technologique permet à la directive 95/46/CE d'être toujours pertinente, quelles que soient les évolutions technologiques, en ce qu'elle protège les données des utilisateurs sans viser de service précis. Ainsi, dès lors que des données personnelles font l'objet d'un "traitement", elles sont protégées par la directive 95/46/CE.

Cependant, les consultations menées par la Commission Européenne, précédemment citées, ont confirmé une attente des citoyens pour que l'Europe précise sa législation et l'application des principes de protection des données aux nouvelles technologies. De même, la Vice-présidente de la Commission européenne et commissaire à la Justice, aux Droits fondamentaux et à la Citoyenneté Viviane Reding, déclarait en mars 2012 : "En Europe, l'adoption de la directive de 1995 avait marqué une étape importante pour la protection effective des données à caractère personnel et de la vie privée. Cependant, les disparités nationales dans sa transposition ont abouti à des écarts de protection en fonction de l'Etat membre. (...) Une modernisation des règles en vigueur s'impose donc".³³ Il avait été partiellement répondu à cette nécessité dans la directive 2002/58/CE, qui spécifie et complète la directive 95/46/CE. Cependant, certains concepts très récents, tel que le "droit à l'oubli numérique", qui ne peut se comprendre que dans le contexte des réseaux sociaux, restent absents de la législation.

31 consultation publique organisée par la Commission: http://ec.europa.eu/justice/newsroom/data-protection/opinion/ 090501_en.htm; voir également Commission Européenne, Direction Générale Justice, Liberté et Sécurité, "étude comparative sur les différentes approches des nouveaux défis en matière de protection de la vie privée, en particulier à la lumière des évolutions technologiques", Contrat N° JLS/2008/C4/011 - 30-CE-0219363/00-28, rapport final, Bruxelles, Janvier 2010

32 Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, JO L 281 du 23.11.1995, Article 2 "définitions", §b

33 REDING Viviane, "Pourquoi nous réformons la protection des données numériques", Les Echos,

16

3. L'apport du traité de Lisbonne : une législation désormais contraignante

Si la législation de base en matière de protection des données personnelles remonte à 1995, il ne faut pas oublier que certaines précisions ont été depuis établies. On l'a vu, la directive 2002/58/CE en a spécifié et complété certains aspects.

Le traité de Lisbonne, signé le 13 décembre 2007 entre les Etats membres, a lui aussi renforcé le régime applicable vers d'avantage de protection, lors de l'ajout de l'article 16 du Traité sur le fonctionnement de l'Union européenne. En effet, celui-ci dispose : "Toute personne a droit à la protection des données à caractère personnel la concernant"³⁴. Il est important de remarquer que le droit à la protection des données est l'un des rares droits de la Charte que l'on retrouve également dans le traité sur le fonctionnement de l'Union européenne.

Deuxièmement, l'entrée en vigueur du traité de Lisbonne fait disparaître l'architecture en piliers instituée par le Traité de Maastricht en 1992. Cela a permis le développement d'un système de protection des données plus clair et plus efficace, tout en prévoyant également de nouveaux pouvoirs pour le Parlement européen, qui devient colégislateur : "le Parlement européen et le Conseil, statuant conformément à la procédure législative ordinaire, fixent les règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions, organes et organismes de l'Union, ainsi que par les États membres dans l'exercice d'activités qui relèvent du champ d'application du droit de l'Union, et à la libre circulation de ces données. Le respect de ces règles est soumis au contrôle d'autorités indépendantes"³⁵. Le traité de Lisbonne crée ici une base juridique spécifique pour l'adoption de règles en matière de protection des données à caractère personnel.

D'autre part, la Commission a décidé de charger des organes consultatifs de produire des recommandations pour simplifier le cadre législatif, et ainsi identifier plus aisément la loi applicable en matière de données à caractère personnel, et veiller au respect de ces règles. L'étude de ces organes sera faite dans la seconde partie de notre étude.

Enfin et surtout, en intégrant dans le corps du traité la Charte des Droits Fondamentaux, et a fortiori l'article 8 statuant sur la protection des données personnelles en Europe, le Traité de Lisbonne lui donne une dimension contraignante, ce qui accorde à la protection des données personnelles une importance considérable. Cela signifie que désormais, la Charte devra être respectée par les institutions, organes et agences de l'Union européenne, mais également par les

34 Traité sur le Fonctionnement de l'Union européenne, Première Partie : les principes, Article 16, §1

35 Ibidem, §2

17

Etats membres lorsqu'ils mettent en oeuvre le droit communautaire³⁶. Dès lors, la Charte pourra être invoquée devant la Cour de justice en cas de manquement d'un Etat membre, par la Commission européenne ou par un autre Etat membre.

Cette force contraignante de la législation en matière de protection des données est réputée pour être efficace, et ainsi Peter Hustinx, contrôleur européen de la protection des données, déclare : "Deux ans après l'entrée en vigueur du traité de Lisbonne, je suis en mesure de conclure que, tout du moins dans mon domaine de compétence, c'est-à-dire le respect de la vie privée et la protection des données, le caractère juridiquement contraignant de la Charte a prouvé sa valeur"³⁷.

B) La définition de nouveaux objectifs

1. "Renforcer les droits des personnes"

Afin d'assurer une protection plus effective des données à caractère personnel en tenant compte des récentes évolutions technologiques et comportementales, la Commission européenne a décidé en 2010³⁸ de réformer la législation en la matière. Ainsi, le 25 janvier 2012, le Parlement et le Conseil Européen proposaient une telle réforme³⁹, destinée à moderniser le cadre européen de la protection des données, devenu obsolète du fait des évolutions technologiques et de l'émergence de nouveaux usages.

Ces propositions consacrent trois objectifs : renforcer les droits des personnes, établir une dimension mondiale de protection des données tout en développant le marché intérieur par leur libre circulation, et renforcer le cadre institutionnel en vue d'un plus grand respect des règles de protection des données.

La législation actuelle on l'a vu, consacre la protection des données personnelles des citoyens européens comme droit fondamental. Afin de préserver efficacement ce droit, la Commission européenne souhaite aujourd'hui développer un cadre juridique qui ne soit plus

36 Charte des droits fondamentaux de l'Union européenne (2007/C 303/01), Titre VII "dispositions générales régissant l'interprétation et l'application de la charte", Article 51 "champ d'application", §1

37 Audition sur la mise en oeuvre de la Charte des droits fondamentaux de l'Union européenne

Session III: Un projet pour les citoyens en faveur des droits fondamentaux

38 Communication de la Commission Européenne au Parlement Européen, au Conseil, au Comité Economique et Social Européen, et au Comité des Régions, «Une approche globale de la protection des données à caractère personnel dans l'Union européenne», 4 novembre 2010

39 Proposition de règlement du Parlement Européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données), Bruxelles, le 25 Janvier 2012, COM(2012) 11 final

18

général, mais prenne en compte l'essor des nouvelles technologies et services, et notamment les réseaux sociaux. La Commission insiste tout particulièrement sur la nécessité d'accroitre la transparence. Les usagers devront ainsi être informés "correctement et clairement, en toute transparence"⁴⁰ de l'utilisation et du traitement faits de leurs données, selon quelles modalités, pour quel motif et pendant combien de temps. Cela, selon la Commission, ne peut passer que par l'élaboration d'un modèle européen de "déclarations de confidentialité" à l'intention des responsables du traitement. Les utilisateurs devront également être clairement informés de toute violation de leurs données. Cela est clairement établi par les articles 31 et 32 de la proposition de règlement de Janvier 2012⁴¹.

En outre, il s'agit de permettre aux utilisateurs d'exercer un meilleur contrôle sur les données les concernant. En effet, la Charte des droits fondamentaux précise en son article 8, paragraphe 2, que "toute personne a le droit d'accéder aux données collectées la concernant et d'en obtenir la rectification". Cela est confirmé par l'approche globale, qui précise "l'exemple des sites de socialisation est particulièrement éclairant à cet égard, car pour y exercer un contrôle effectif sur les données les concernant, les intéressés se heurtent à des défis de taille. La Commission a ainsi reçu plusieurs plaintes de personnes qui n'avaient pu récupérer des données à caractère personnel auprès de prestataires de services en ligne, telles que leurs photos, et qui ont donc été empêchées d'exercer leur droit d'accès, de rectification et de suppression. Par conséquent, il convient d'expliciter, voire de renforcer ces droits". Dès lors, la Commission se fixe comme objectif d'améliorer les modalités du droit d'accès, de rectification, de suppression et de verrouillage des données, et, avancée particulièrement importante, de clarifier le "droit à l'oubli", en vertu duquel les personnes peuvent obtenir l'arrêt du traitement des données les concernant et l'effacement de celles-ci lorsqu'elles ne sont plus nécessaires à des fins légitimes⁴². Ce droit est officiellement consacré à l'article 17 du projet règlement de janvier 2012, intitulé "droit à l'oubli et à l'effacement" : "La personne concernée a le droit d'obtenir du responsable du traitement l'effacement de données à caractère personnel la concernant et la cessation de la diffusion de ces données". Enfin, la Commission n'oublie pas l'importance de la sensibilisation du grand public aux risques liés au traitement des données. La possibilité d'une utilisation du budget de l'Union à cet effet est notamment évoquée : "la Commission étudiera la possibilité de cofinancer des actions de

40 «Une approche globale de la protection des données à caractère personnel dans l'Union européenne», p.6

41 Article 31, " Notification à l'autorité de contrôle d'une violation de données à caractère personnel", et 32, " Notification à l'utilisateur d'une violation de données à caractère personnel"

42 «Une approche globale de la protection des données à caractère personnel dans l'Union européenne», p.9

19

sensibilisation à la protection des données, à l'aide du budget de l'Union"⁴³. Cependant, celle-ci n'est plus évoquée dans la proposition 2012 (11) final, et le rôle de sensibilisation revient aux autorités de contrôle ("Chaque autorité de contrôle sensibilise le public aux risques, aux règles, aux garanties et aux droits relatifs au traitement des données à caractère personnel"⁴⁴), ce qui est déjà actuellement le cas avec la CNIL. L'aspect sensibilisation auparavant évoqué comme "indispensable" dans l'approche globale semble donc ici négligé.

2. "La dimension mondiale de la protection des données"

Par ailleurs, la Commission rappelle la nécessité d'établir une protection internationale des données, puisqu'ainsi que le déclare David Forest, "la mondialisation a fait de la circulation transfontalière des données personnelles la règle plutôt que l'exception"⁴⁵.

Comme son nom l'indique (rappelons qu'une directive "lie tout État membre destinataire quant au résultat à atteindre, tout en laissant aux instances nationales la compétence quant à la forme et aux moyens"⁴⁶), la directive 95/46/CE visait à harmoniser les normes des différents États-membres en matière de protection des données personnelles, afin de faciliter leur libre-circulation. Malgré cela, il existe encore des divergences quant à l'application par les États membres de la directive précitée. La Commission souhaite donc renforcer l'harmonisation des règles de protection des données au niveau de l'UE, ainsi qu'elle le déclare dans l'approche globale : "l'harmonisation des législations nationales apportée en la matière par la directive ne se limite pas à une harmonisation minimale, mais aboutit à une harmonisation qui est, en principe, complète"⁴⁷. Dans cette optique, la Commission entend par exemple réduire la charge que la protection des données représente pour les entreprises⁴⁸, en établissant un formulaire d'enregistrement uniforme valable dans toute l'UE. Dans le même temps, elle prévoit de définir plus clairement les modalités du traitement des données, grâce à la désignation d'un responsable du traitement indépendant, et par la promotion de l'utilisation des technologies d'amélioration de la confidentialité.

43 ibidem

44 Section 2 : "Fonctions et pouvoirs", Art 52 : "Fonctions", §2 (p86)

45 FOREST David, Droit des données personnelles, coll. "droit en action", Paris, ed. Gualino, 2011, 119pages, p.24

46 Traité sur le Fonctionnement de l'Union Européenne, art. 288

47 «Une approche globale de la protection des données à caractère personnel dans l'Union européenne», p.11

48 ibidem, p.13

20

D'autre part, la législation européenne contient une certaine dose de protection à l'international, puisque les données à caractère personnel provenant de pays tiers ne peuvent circuler à travers les États membres que si la Commission estime que le niveau de protection de ces données assuré par un pays tiers est adéquat : "Le transfert de données à caractère personnel en dehors de l'UE et de l'espace EEE est notamment subordonné à l'«évaluation du caractère adéquat» du niveau de protection assuré par le pays tiers concerné, lequel peut actuellement être apprécié par la Commission et par les États membres"⁴⁹. Cependant, les critères permettant de définir si le niveau de protection est "adéquat" ou non, ne sont pas encore clairement définis. Il convient donc de clarifier les procédures actuelles de transfert international de données, de même que les instruments juridiques applicables dans ce domaine.

Pour cela, la Commission souhaite harmoniser les clauses contenues dans les accords internationaux conclus par l'UE avec les pays tiers en renforçant la coopération, et par l'élaboration de normes techniques internationales. Il s'agit donc de relancer le processus amorcé en novembre 2009 lors de la Conférence mondiale des commissaires à la protection des données, durant laquelle avait été adoptée à l'unanimité par les représentants de près de quatre-vingts autorités de protection, dont la CNIL, une résolution proposant des principes, droits et obligations devant constituer le socle d'une protection des données personnelles à l'échelle internationale.

3. "Renforcer le cadre institutionnel"

La Commission souhaite renforcer le rôle et les pouvoirs des autorités chargées de la protection des données : "le rôle des autorités chargées de la protection des données (DPA) est essentiel pour le contrôle de l'application des règles de protection des données. Ces autorités sont les gardiennes indépendantes des libertés et des droits fondamentaux des personnes à l'égard du traitement des données à caractère personnel les concernant. C'est pourquoi la Commission estime que leur rôle devrait être renforcé"⁵⁰. Celles-ci devront pouvoir bénéficier d'un statut «d'indépendance complète», et il apparaît crucial qu'elles améliorent leur coopération et leur coordination.

Dans l'approche globale, la Commission insiste à nouveau sur l'importance d'une coopération entre Etats membres, ainsi qu'entre Etats membres et Etats tiers. Celle-ci serait

49 Directive 95/46/CE, Chapitre IV "transfert de données à caractère personnel vers des pays tiers", Article 25 "Principes", §1

50 «Une approche globale de la protection des données à caractère personnel dans l'Union européenne», p.19

21

particulièrement utile dans le cas précis-des réseaux sociaux : "Cela est tout particulièrement le cas lorsque des entreprises multinationales sont établies dans plusieurs États membres et exercent leurs activités dans chacun de ces États, ou lorsqu'un contrôle coordonné avec le contrôleur européen de la protection des données (CEPD) est requis"⁵¹. Cela est déjà le rôle du groupe de travail "article 29", organe consultatif européen indépendant sur la protection des données et de la vie privée dont l'organisation et les missions sont définies par les articles 29 et 30 de la directive 95/46/CE, dont il tire sa dénomination, ainsi que par l'article 14 de la directive 97/66/CE.

Mais avec la réforme souhaitée par la Commission, ce groupe devra contribuer également à l'amélioration de l'action des autorités nationales, en assurant une application plus cohérente des règles européennes en matière de protection des données. Une telle coopération est définie très clairement dans le projet de règlement du 25 janvier 2012, et fait l'objet d'un chapitre complet : "Chapitre VII, coopération et cohérence".

Ainsi, par ce renforcement du cadre institutionnel en matière de protection des données personnelles, l'Union européenne entend répondre aux attentes suscitées par les récentes évolutions technologiques : "le défi posé aux législateurs est celui de la mise en place d'un cadre législatif qui résistera à l'épreuve du temps. [...] Peu importe la complexité de la situation ou le caractère sophistiqué de la technologie, il est essentiel que les règles et les normes applicables, que les autorités nationales doivent faire appliquer et auxquelles les entreprises et les développeurs de technologies doivent se conformer, soient définies clairement"⁵².

Cependant, si ces avancées sont bienvenues, elles ne sont pas sans soulever certaines critiques. Cette proposition de réforme est par exemple remise en cause par la CNIL⁵³, l'Assemblée Nationale ⁵⁴et le Sénat Français⁵⁵. S'ils estiment nécessaire la révision du cadre juridique européen existant, concèdent que celle-ci renforce les droits des citoyens européens en la matière, et approuvent le renforcement des pouvoirs de sanction des autorités de protection nationales et l'obligation d'une coopération accrue au niveau européen, ils contestent toutefois l'optimalité de cette réforme. La CNIL s'inquiète en particulier du risque d'éloignement entre les citoyens

51 Ibidem, p.20

52 Ibidem

53 CNIL, "Projet de règlement européen : la défense de la vie privée s'éloigne du citoyen", janvier 2012

54 CNIL, "Projet de règlement européen : la CNIL salue l'engagement du Parlement français", février 2012

55 Sénat, "Proposition de résolution au nom de la commission des lois, en application de l'article 73 quinquies, sur la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (E 7055)"

22

européens et leurs autorités nationales, du fait que l'autorité désormais compétente soit celle où se situe l'établissement principal de l'entreprise, et "s'oppose donc fermement à un tel critère qui constituera une véritable régression vis-à-vis des droits des citoyens". De façon plus générale, l'autorité française déplore une réforme "anti-démocratique", qui ne ferait que donner aux autorités de protection des données personnelles la même image technocrate et distante qu'ont aux yeux des citoyens les institutions européennes. De la même manière, les parlementaires français ont exprimé leurs réserves sur la proposition de règlement de la Commission européenne. A l'initiative du député UMP et membre de la CNIL Philippe Gosselin, les membres de la commission des Affaires européennes de l'Assemblée Nationale ont adopté le 7 février 2012 une proposition de résolution européenne sur cette question. S'ils rappellent leur soutien aux objectifs généraux de cette réforme, les députés s'opposent avec force à certaines propositions de la Commission européenne, dont celle du critère de l'établissement principal, préjudiciable pour les droits des citoyens mais aussi pour l'économie française et européenne. Ils rejoignent également les inquiétudes exprimées par la CNIL sur le risque d'éloignement entre les citoyens et les autorités de protection nationales, et sur la concentration des pouvoirs par la Commission européenne, au détriment de ces autorités. Enfin, Le Sénat a adopté le 6 mars 2012 une proposition de résolution européenne relative à ce projet. Comme la CNIL et l'Assemblée Nationale l'ont exprimé, le Sénat reconnaît la nécessité d'une simplification et modernisation de la législation européenne, et ne nie pas les avancées introduites par le texte. Cependant, il a exprimé ses inquiétudes quant aux conséquences politiques, juridiques et économiques de cette réforme. En premier lieu, la Commission des Lois conteste le principe d'harmonisation complète au niveau européen, car il priverait les États membres de la possibilité d'adopter des dispositions nationales plus protectrices : "Rappelant que la Commission européenne défendait le principe d'une harmonisation complète, sans possibilité de dérogations plus favorables, [M. Simon Sutour, rapporteur], a souligné que, s'agissant d'un domaine dans lequel l'atteinte portée aux droits fondamentaux d'une personne peut être considérable, l'harmonisation proposée ne doit s'effectuer que dans le sens d'une meilleure protection des personnes. Elle ne saurait, pour cette raison, priver les États membres de la possibilité d'adopter des dispositions nationales plus protectrices". Et en effet, cela serait contraire au principe de subsidiarité, selon lequel la norme nationale doit s'appliquer tant que la norme communautaire ne permet pas un niveau de protection plus efficace. Quant au critère de l'établissement principal, le Sénat a rejoint la CNIL et l'Assemblée Nationale : "Il a par ailleurs jugé nécessaire de s'opposer à tout dispositif qui, comme celui du « guichet unique », promu par la Commission européenne, aboutirait à moins bien traiter le

23

citoyen que l'entreprise responsable du traitement, en le privant de la possibilité de voir l'ensemble de ses plaintes instruites par son autorité de contrôle nationale".

II. La législation Européenne : un moyen efficace pour protéger les données et la vie privée des utilisateurs sur les réseaux sociaux ?

A) Les autorités chargées de la protection des données personnelles

1. Spécificité européenne par rapport aux Etats-Unis

La majorité des grands réseaux sociaux ont leur siège aux États-Unis. Dans le cas d'un utilisateur Français par exemple, la collecte des données est alors effectuée en France, mais ces données sont immédiatement transférées aux États-Unis pour le traitement tel que défini dans la loi 95/46/CE. Or, les Etats-Unis ne disposent pour l'instant pas d'une législation protégeant les données personnelles des utilisateurs. En effet, contrairement aux Européens, les américains n'envisagent pas la vie privée comme un droit aussi fondamental que la liberté d'expression. Ainsi, aux Etats-Unis, les données numériques appartiennent à ceux qui les traitent. Dès lors qu'elles ont été publiées, l'intéressé n'a plus la main sur ses propres données. Comment, en l'absence de droit international en la matière, l'Union européenne peut-elle alors faire respecter le droit de ses citoyens, lorsque leurs données sont traitées par des entreprises Américaines ?

Le transfert de données personnelles vers des pays tiers est déjà comme nous l'avons vu soumis à "l'exigence de caractère adéquat". Avec son projet de réforme, l'Europe déclare "Il importe que, lorsque ces données sont transférées de l'Union vers des pays tiers ou à des organisations internationales, le niveau de protection des personnes physiques garanti dans l'Union par le présent règlement ne soit pas amoindri."⁵⁶. Si le traitement des données dans le pays tiers venait à ne pas respecter la législation Européenne, la Commission se réserve le droit "d'interdire temporairement ou définitivement un traitement", et "de suspendre les flux de données adressés à un destinataire situé dans un pays tiers ou à une organisation internationale"⁵⁷.

Afin que les droits des utilisateurs soient pleinement garantis, il importe donc qu'une certaine coopération internationale soit mise en place. Début Février 2012, l'administration Obama

56 projet de réglement du 25 janvier 2012, p.78

57 ibidem, Section 2 "fonctions et pouvoirs", Article 53 "pouvoirs", §g, p.87

24

dévoilait un "schéma directeur pour un projet de loi sur les droits des données personnelles afin de protéger les consommateurs en ligne"⁵⁸, s'inspirant de la législation européenne. Ce "bill of right des données personnelles" permettrait aux internautes d'exercer un contrôle et un droit de regard sur les données personnelles collectées par les entreprises. Ils auraient également un droit à la transparence, à la sécurisation, l'accès, la rectification, et la suppression de ces données. Point important, qui est l'un des principaux défis que rencontre la législation européenne, cette loi introduirait une réciprocité dans le traitement des données : le point "responsabilité" prévoie que les internautes aient le droit de disposer des données personnelles les concernant traitées par les entreprises, afin de s'assurer qu'elles respectent la loi⁵⁹. Dans le cas européen, des mesures sont mises en place pour que les internautes puissent s'assurer que les entreprises respectent leurs droits, mais il est difficile, du fait de l'éloignement de ces entreprises, de s'assurer qu'elles respectent effectivement les règles. Certes, Facebook s'engage, contraint par l'article 8 de la Charte des Droits Fondamentaux⁶⁰, à communiquer aux utilisateurs leurs données, mais dans les faits, cette obligation n'est pas respectée, comme le souligne la Commission dans l'Approche Globale : "l'exemple des sites de socialisation est particulièrement éclairant à cet égard, car pour y exercer un contrôle effectif sur les données les concernant, les intéressés se heurtent à des défis de taille. La Commission a ainsi reçu plusieurs plaintes de personnes qui n'avaient pu récupérer des données à caractère personnel auprès de prestataires de services en ligne, telles que leurs photos, et qui ont donc été empêchées d'exercer leur droit d'accès, de rectification et de suppression".

2. La CNIL : exemple d'une autorité indépendante européenne

La CNIL (Commission Nationale de l'Informatique et des Libertés) est l'autorité administrative indépendante (AAI) française chargée de veiller sur la protection des données personnelles, et à ce que l'information au service du citoyen ne porte atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques.

La notion d'AAI, ainsi que nous l'explique David Forest, ne répond à aucune définition juridique précise : "Il s'agit d'une administration dont les membres sont soustraits à toute

58 Site officiel de la Maison Blanche, "We Can't Wait: Obama Administration Unveils Blueprint for a "Privacy Bill of Rights" to Protect Consumers Online. Internet Advertising Networks Announces Commitment to "Do-Not-Track" Technology to Allow Consumers to Control Online Tracking"

59 "Accountability: Consumers have a right to have personal data handled by companies with appropriate measures in place to assure they adhere to the Consumer Privacy Bill of Rights"

60 "toute personne a le droit d'accéder aux données collectées la concernant et d'en obtenir la rectification"

25

hiérarchie, et qui, dans l'exercice de leurs attributions, ne reçoivent d'instruction d'aucune autorité"⁶¹. Malgré cette qualité d'indépendance, la CNIL est placée par la Constitution sous l'autorité du gouvernement, et son budget relève de celui de l'Etat. Ainsi, elle peut faire l'objet d'un contrôle par la Cour des comptes, et certains de ses actes peuvent faire l'objet d'un contrôle par le Conseil d'Etat. Il est à noter qu'en la matière, la CJUE a jugé que la soumission des autorités de contrôle et de surveillance en matière de données personnelles à l'Etat est contraire à l'exigence d'indépendance qui leur est faite⁶². Par conséquent, le statut même de la CNIL constitue une transposition erronée de la directive 95/46/CE.

Elle dispose de plusieurs pouvoirs : à l'égard du gouvernement, elle peut proposer des mesures législatives ou réglementaires, et est consultée lorsqu'un projet de loi relatif à la protection des données est transmis au parlement. Vis-à-vis des personnes, la CNIL a un devoir d'information sur les droits dont elles disposent, et est en mesure de recevoir leurs plaintes à l'encontre d'abus, de pratiques irrégulières ou d'atteintes aux droits. À l'attention des organismes, sociétés ou institutions, elle participe à des actions de formation et de sensibilisation, et conseille les responsables de données personnelles sur les obligations qui leur incombent. Elle dispose en outre d'un pouvoir de contrôle et de sanction, afin de veiller au respect de la loi Informatique et Libertés de 1978. Elle peut ainsi accéder aux locaux de l'entreprise (le responsable des lieux ou son représentant a néanmoins le droit de s'opposer à cette visite), aux programmes informatiques qu'elle utilise, ou à ses données. Elle peut également exiger la communication de documents jugés utiles. En matière de sanctions, la CNIL dispose d'un large choix de mesures allant du simple avertissement aux sanctions administratives et financières.

3. Le Groupe de travail Article 29 sur la protection des données, ou G29

Les représentants de chaque autorité de contrôle européenne sur la protection des données sont rassemblées au sein du groupe dit "Article 29". Ce groupe de travail a été établi en vertu de l'article 29 de la directive 95/46/CE, et en a tiré sa dénomination. Il s'agit d'un organe consultatif européen indépendant sur la protection des données et de la vie privée.

Ses principales missions sont les suivantes. Tout d'abord, il conseille la Commission européenne et lui donne un avis d'expert sur toute mesure communautaire pouvant affecter les

61 13 loi de 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, Loi 78-17, 16 janvier 1978, article 21

62 CJUE (grande chambre), 9 mars 2010, Commission européenne c/ République fédérale d'Allemagne (aff. C-518-07). L'article 28, § 1, al. 2 de la directive 95/46CE du 24 octobre 1995 dispose que : « Les autorités publiques exercent en toute indépendance les missions dont elles sont investies ».

26

droits et libertés des personnes physiques à l'égard du traitement des données à caractère personnel et de la protection de la vie privée. Deuxièmement, il doit promouvoir une application uniforme des directives européennes en encourageant la coopération entre les autorités de contrôle de la protection des données. Cette promotion se fait dans tous les Etats membres, ainsi qu'en Norvège, Liechtenstein, et en Islande Enfin, il a un rôle de sensibilisation, en émettant des recommandations destinées au grand public.

On ne peut cependant s'empêcher de s'interroger sur l'efficacité de ces autorités, notamment à cause du caractère international des réseaux sociaux alors que les directives européennes ne concernent que le marché intérieur. Le groupe 29 travaille d'ailleurs à fournir un avis sur le droit applicable en la matière.

Même si c'est souvent le traitement des données personnelles pour des problèmes liés à la sécurité qui sont mis en avant par le G29, ses recommandations concernent aussi de plus en plus les réseaux sociaux.

En effet ils sont sources de nouveaux enjeux pour ces autorités. Récemment, le site Facebook souhaitait instaurer un système de reconnaissance faciale des visages. Comme on peut l'imaginer, cette option a été accueillie avec prudence par les autorités de contrôle Européennes. Ce qui est contesté, c'est avant tout l'activation par défaut dans les paramètres de confidentialité de cette fonctionnalité, sans l'accord de l'utilisateur. Cela l'oblige à se rendre dans les réglages pour "décocher" cette option. Les autorités de contrôle souhaitent que Facebook inverse ce réglage, en désactivant par défaut cette fonctionnalité. "Le marquage des personnes sur les photographies ne devrait survenir qu'avec le consentement éclairé des personnes" a expliqué Gerard Lommel, membre du groupe de travail G29 et président de la Commission nationale pour la protection des données au Luxembourg.

B) la charte de confidentialité de Facebook est-elle conforme à la législation européenne ?

1. Europe vs Facebook : comment un étudiant a mis à jour les violations de la vie privée perpétrées par le plus puissant des réseaux sociaux

En Octobre 2011, l'Autorité de protection de la vie privée Irlandaise avait ouvert une enquête sur Facebook, après le dépôt de vingt-deux plaintes différentes par un étudiant en droit Autrichien. Max Schrems accusait le réseau social d'avoir conservé des informations qu'il avait

27

d'abord publiées puis effacées. Il soupçonnait également Facebook de créer des "profils fantômes" rassemblant des informations sur des personnes n'ayant pas créé de comptes. Le jeune homme avait alors décidé de demander à Facebook une copie de l'ensemble des données que le réseau social détenait à son sujet, conformément à la législation européenne. Il a alors reçu un document de plus de mille deux-cent pages, avec des informations sur près de soixante sujets : l'intégralité de ses discussions instantanées, ses statuts, ses demandes d'amis, ou encore l'ensemble des événements auxquels il avait participé. À la lecture du document, il avait pu constater que les informations qu'il avait pourtant effacées restaient stockées sur les serveurs - notamment des messages privés dont le contenu pourrait lui porter préjudice. Il a alors créé avec des amis le site Europe vs Facebook, détaillant les procédures entreprises en justice à l'encontre du réseau, et incitant les internautes à demander à recevoir eux aussi l'ensemble de leurs données, en leur fournissant la marche à suivre.

Le fait que Facebook conserve ces données sur le long terme pose plusieurs problèmes. Tout d'abord, il apparaît manifeste que les utilisateurs n'ont pas donné leur consentement explicite à cette conservation, contrairement à ce que prévoit la directive européenne sur la protection de la vie privée⁶³ ; et surtout, ainsi que le note l'une des plaintes déposées, "ces données ne sont pas hébergées sur le territoire européen mais aux Etats-Unis, et Facebook Irlande (siège européen du réseau social) ne garantit pas une sécurité suffisante à ces données (...). Il n'existe aucune garantie que les forces de l'ordre américaines ou les autorités européennes ne puissent pas accéder à ces informations sensibles sur les citoyens européens".

Dans un communiqué⁶⁴, Facebook s'est défendu de toute mauvaise utilisation des données de ses utilisateurs, arguant qu'elles n'étaient conservées que pour des raisons techniques. En ce qui concerne les messages effacés, Facebook explique : "nous permettons aux utilisateurs de supprimer les messages dans leurs dossiers de messages reçus ou envoyés. Mais il n'est pas possible de supprimer un message envoyé de la boîte de réception d'un autre utilisateur, et inversement. Tous les services de messageries jamais inventés fonctionnent comme cela".

L'argument est fallacieux, comme l'explique Max Schrems : "Cela peut sembler logique à première vue mais si l'on se réfère à la politique de confidentialité de Facebook, les messages ne sont pas supprimés même si les deux correspondants les ont effacés. Ce n'est pas le cas dans les autres services de messagerie". Ainsi les pratiques perpétrées par le réseau social Facebook se sont avérée non respectueuses de la législations européenne, qu'il tente à de nombreuses reprises de

63 Directive 95/46/CE 30 "pour être licite, un traitement de données à caractère personnel doit en outre être fondé sur le consentement de la personne concernée"

64 Facebook Ireland Ltd, "Report of Audit", 21 December 2011

28

contourner. La directive 95/46/CE s'est dans cette affaire révélée non efficace, puisque les mesures mises en place pour protéger les utilisateurs ne sont pas respectées.

2. Facebook en flagrant délit de non-respect de la législation européenne

Concernant d'autres types de données, le réseau social avance que de nombreuses données transmises à M. Schrems à sa demande "ne sont pas des données personnelles", mais simplement des informations utilisées par Facebook "pour la protection contre la fraude" ou "pour des raisons d'analyse statistique"⁶⁵. Facebook utilise notamment l'adresse IP⁶⁶ pour ses services de protection contre le détournement de compte. En la matière, Facebook affirme qu'"il ne s'agit clairement pas de données personnelles". Pourtant l'adresse IP est bien considérée par le G29 et la CNIL comme une donnée personnelle⁶⁷. La manière dont Facebook définit ce qui constitue une donnée personnelle semble donc pour le moins ambiguë, et peu clair d'un point-de-vue juridique. Notons que la révision en cours de la directive européenne sur la protection de la vie privée - qui considère comme personnelle toute donnée qui permet l'identification d'une personne - pourrait aboutir dans les prochains mois à une clarification nette du statut juridique de cette information.

D'autres pratiques du réseau social posent problème vis-à-vis de la législation européenne, notamment la création de "profils fantômes"⁶⁸. Par le biais des synchronisations des téléphones ou des carnets d'adresse des utilisateurs, Facebook collecte quantité d'informations sur des personnes non inscrites sur le réseau, et les utilise notamment pour personnaliser les courriels les invitant à rejoindre le réseau. Cela signifie que l'entreprise collecte d'importantes quantités de données sans en informer les personnes et sans leur demander leur consentement, puisqu'elles ne sont même pas utilisatrices du service. Cela est une fois de plus contraire à la directive 95/46/CE.

L'autorité de contrôle Irlandaise pour la protection des données a donc ouvert une plainte sur ces accusations. Mais même si Facebook devait être poursuivi et condamné, le risque financier serait très limité⁶⁹ : la législation européenne prévoit en effet une amende de 100 000 euros

65 ibidem, p. 77

66 Internet Protocol, adresse qui permet d'identifier une machine sur le réseau internet

67 CNIl, "L'adresse IP est une donnée à caractère personnel pour l'ensemble des CNIL européennes", 2 Août 2007

68 Facebook Ireland Ltd, "Report of Audit", 21 December 2011, "shadow profiles", p. 118

69 PIDD Helen, "Facebook could face €100,000 fine for holding data that users have deleted", The Guardian, 20 Octobre 2011

29

maximum pour ce type d'infraction. Or le chiffre d'affaire de l'entreprise s'élève à 3,71 milliards de dollars. Les éventuelles répercussions n'atteindraient que l'image de l'entreprise.

3. Une réinterprétation de la charte en fonction de la législation européenne guère plus satisfaisante

Le 11 mai 2012, Facebook annonçait vouloir modifier sa charte de confidentialité, suite à plusieurs audits effectués avec le groupe Europe vs Facebook. Les modifications s'effectueraient à une échelle internationale, mais viserait à respecter d'avantage la législation européenne. Cependant, comme le groupe le souligne sur son site Internet, "il semble que Facebook ne fasse pas un pas en avant, mais deux pas en arrière"⁷⁰. Les vingt-deux plaintes déposées fin 2011 par le groupe d'étudiants auprès de l'autorité de protection des données personnelles Irlandaises, ont conduit à l'émergence d'un rapport publié en Décembre 2011. Dans ce rapport, l'autorité exigeait que Facebook modifie sa police de confidentialité au plus tard le 7 mars 2012. L'entreprise avait tout bonnement ignoré cette date limite, mais semble aujourd'hui décidée à effectuer les modifications nécessaires.

Cependant, la nouvelle charte⁷¹ ne démontre pas de réelles améliorations du point de vue de la protection des droits des utilisateurs. Tout d'abord, Facebook semble se contenter d'inscrire ses pratiques illégales dans la charte, plutôt que d'y remédier. Cela est fait en vertu d'une supposée transparence, mais en réalité, l'entreprise est bien loin d'aller vers plus de respect de la législation européenne. Ensuite, contrairement à annoncé précédemment par Anne-Sophie Bordy⁷², directrice des affaires publiques France et Europe de Facebook, la nouvelle charte ne semble pas plus claire pour l'utilisateur moyen, qui aura toujours autant de mal à déceler ce qui est exactement fait avec ses données. En outre, cette charte n'est pour le moment disponible qu'en langue anglaise, les textes disponibles dans les autres langues n'en étant que des "explications". Les utilisateurs ne parlant pas l'Anglais n'ont donc pour le moment pas accès à la politique de confidentialité les concernant.

Mais ce qui est le plus frappant dans cette nouvelle politique se trouve dans le paragraphe "contrôleur". Facebook s'y proclame contrôleur des données personnelles : "The company

70 Europe vs. Facebook : " it seems like Facebook is not going one step forward, but two steps back"

71 https://www.facebook.com/note.php?note_id=10151730720905301

72 SOYEZ Fabien, "Facebook en redemande", Owni.fr, 10 janvier 2012

30

Facebook Ireland Ltd. has been established and registered in Ireland as a private limited company, Company Number: 462932, and is the data controler responsible for your personal information"⁷³.

À plusieurs reprises durant la charte, Facebook se proclame donc contrôleur premier des informations postées par l'utilisateur. Les utilisateurs semblent abandonner leur droit de contrôle sur leurs données, dès lors qu'elles sont publiées sur le réseau. Or, cela est absolument contraire à la législation européenne de protection des données, centrée autour des autorités de protection des données : "Chaque État membre prévoit qu'une ou plusieurs autorités publiques de contrôle sont chargées de surveiller l'application, sur son territoire, des dispositions adoptées par les États membres en application de la présente directive"⁷⁴. Le contrôle des données appartient aux seuls individus concernés, et aux autorités de contrôle indépendantes, mais ne saurait en aucun cas être détenu par l'entreprise effectuant le traitement de ces données.

Le groupe Europe vs Facebook s'est à nouveau mobilisé contre cette nouvelle charte. En effet, Facebook prévoit que si 7 000 utilisateurs commentent ces changements, en s'y opposant, elle révisera la nouvelle réglementation. Le groupe a ainsi publié sur le site www.our-policy.org les points sujets à discussion, et contraires à la législation européenne, et entend les faire modifier. Le fondateur Max Schrems déclare alors : "Nous voulons battre Facebook non seulement par la législation européenne, mais aussi sur son propre terrain. Si nous arrivons à recueillir sept-mille commentaires sous sept jours, ils auront un sérieux problème"⁷⁵.

Toutes ces modifications démontrent que si la législation Européenne est un moyen de contraindre les réseaux sociaux à oeuvrer vers d'avantage de respect des droits des utilisateurs, elle ne semble pas suffire en elle-même. La société civile peut en revanche jouer un rôle considérable pour amener les entreprises à respecter cette législation. Le nouveau règlement annoncé par la Commission, couplée à des actions concrètes pour le faire respecter, pourrait dès lors permettre un plus grand respect des droits des utilisateurs.

73 https://fbcdn_dragon-a.akamaihd.net/cfs-ak-snc6/84985/2/338503082862262_814169785.pdf p14, Article VI "Some other things you need to know", §"Controler - Information for users outside of the United States and Canada"

74 Directive 95/46/CE, Chapitre VI "autorité de contrôle et groupe de protection des personnes à l'égard du traitement des données à caractère personnel", Article 28 "autorité de contrôle", §1

75 Europe vs Facebook, "Success for Austrian student group ? Facebook changes worldwide privacy policy", § "Alternative Suggestions" : "We want to beat Facebook not only with the European law but also on its own platform. If we make the 7,000 comments within 7 days they have a serious problem. We are calling for all Facebook users to get informed on our-policy.org tonight and join us in the fight for more privacy!", 11 mai 2012, 2 pages, p. 1

31

Conclusion

Ainsi, l'utilisation et le partage des données personnelles suivent l'évolution des technologies. Il semble inévitable que de nouveaux services seront toujours créés, et poseront constamment de nouveaux enjeux pour la protection de notre vie privée et de nos données. Ainsi que l'énonce la Commission dans son "approche globale", "le défi posé aux législateurs est celui de la mise en place d'un cadre législatif qui résistera à l'épreuve du temps"⁷⁶.

La législation européenne en vigueur a posé des jalons fondamentaux pour la protection des données personnelles des citoyens de l'Union. La neutralité technologique de la directive 95/46/ CE a permis qu'un maximum de services et de pratiques soient concernés et régulés.

Cependant, un processus de réforme est inévitable. En effet, la législation existante laisse de côté certains enjeux liés à la pratique-même des réseaux sociaux, tels que le droit à l'oubli. Ainsi que le déclare Viviane Reding, "l'adoption de la directive de 1995 relative à la protection des données avait marqué une étape importante pour la protection effective des données à caractère personnel et de la vie privée. Cependant, les disparités nationales dans sa transposition ont abouti à des écarts de protection en fonction de l'Etat membre de résidence ou d'achat des biens et des services. Une modernisation des règles en vigueur s'impose donc : celles-ci remontent en effet à une époque où les flux de données sur Internet étaient encore très limités et où le fondateur de Facebook n'était âgé que de onze ans".

Il est également essentiel que les normes applicables par les autorités nationales et communautaires, et auxquelles les entreprises doivent se conformer, soient définies clairement. De même, les individus doivent avoir connaissance des droits auxquels ils peuvent prétendre.

La Communication de la Commission Européenne au Parlement Européen, au Conseil, au Comité Economique et Social Européen, et au Comité des Régions, intitulée «Une approche globale de la protection des données à caractère personnel dans l'Union européenne», constitue une bonne base pour orienter ces réformes. L'Union européenne y a redéfini ses objectifs et priorités en matière de protection des données personnelles et de la vie privée. Elle y a également précisé le cadre s'appliquant spécifiquement aux réseaux sociaux.

Mais il faut également que les évolutions aient lieu de l'autre côté. En effet, si la réforme de la législation européenne est nécessaire, il est encore plus nécessaire que les entreprises amenées à traiter les données personnelles respectent cette législation. Cela peut paraître évident, et pourtant

76 "approche globale", p.20

nous avons démontré toutes les infractions au droit communautaire que présentent les chartes de confidentialité et les pratiques de réseaux tels que Facebook. La Commission entend remédier à ces comportements en poursuivant dans sa réforme une politique volontariste de répression des infractions, lorsque les règles de l'UE ne seront pas mises en oeuvre et appliquées correctement.

Le respect de la législation européenne par les réseaux sociaux peut également passer par une action concrète des institutions communautaires et de la société civile, comme l'a montré l'initiative Europe vs Facebook. Mais elle peut également passer par une harmonisation des législations à l'échelle internationale. L'Union européenne a commandé plusieurs initiatives internationales, par exemple lors de la Conférence mondiale des commissaires à la protection des données en novembre 2009, ou encore en 2010 lors de la Conférence de Jérusalem.

Nous ne pouvons par ailleurs ignorer le projet de l'administration Obama de s'inspirer de la législation européenne pour créer un "schéma directeur pour un projet de loi sur les droits des données personnelles afin de protéger les consommateurs en ligne". Uniformiser les législations de protections des données personnelles à une échelle mondiale permettrait en effet d'accroître le respect des droits des utilisateurs en la matière. Cela est particulièrement vrai dans le cas des réseaux sociaux qui, étant pour la plupart des entreprises américaines, ne pourraient plus ignorer la législation communautaire.

Dès lors, ainsi que se l'est fixé comme objectif la Commission européenne pour 2013, "c'est en assurant un niveau élevé et uniforme de protection des données dans l'Union que nous serons le mieux à même de défendre et de promouvoir au niveau mondial les normes européennes en la matière"⁷⁷.

32

77 Préambule de la Stratégie Numérique pour l'Union européenne

33

Bibliographie

Par ordre d'usage Articles de presse

TURK Alex, "Réseaux sociaux en ligne. Attention, vous êtes tracés !", Le Télégramme, 20 Décembre 2008

ROUVROY Antoinette, "repenser le sens du droit à la protection de la vie privée dans la société de surveillance : une urgence démocratique", mediapart.fr, octobre 2008, http://blogs.mediapart.fr/ edition/sciences-et-democratie/article/141008/repenser-le-sens-du-droit-a-la-protection-de-la-v

REDING Viviane, "Pourquoi nous réformons la protection des données numériques", Les Echos, 14 mars 2012, http://lecercle.lesechos.fr/entreprises-marches/high-tech-medias/internet/221144525/ pourquoi-reformons-protection-donnees-numeri

SOYEZ Fabien, "Facebook en redemande", Owni.fr, 10 janvier 2012, http://owni.fr/2012/01/10/ protection-des-donnees-facebook-est-content/

PIDD Helen, "Facebook could face €100,000 fine for holding data that users have deleted", The Guardian, 20 Octobre 2011

Articles scientifiques

WARREN S.D and BRANDEIS L.D., The right to privacy: the implicit made explicit, Cambridge Massachussets, Harvard Law Review, 1890, 98 pages, 193Ð220

SOLOVE Daniel J., "Conceptualizing privacy", California Law Review, n°90, 2002, 70 pages, 1092, 1096

Ouvrages

SCHERMER Bart et WAGEMANS Ton, Freedom in the Days of the Internet: "Regulating, Legislating and Liberating the Internet While Protecting Rights and Unlocking potentials", Centre for European Studies, Bruxelles, 2010, 120 pages

FOREST David, Droit des données personnelles, coll. "droit en action", Paris, ed. Gualino, 2011, 119 pages

34

MANACH Jean-Marc, La vie privée, un problème de vieux cons ? Paris, FYP éditions, 2010, 224 pages, p.39

GATT Matthew et FSADNI Ranier, Governing the Internet, Bruxelles, Centre for European Studies, 2010, 130 pages

DECEW J. Wagner, In Pursuit of Privacy: Law, Ethics and the Rise of Technology, Ithaca, Cornell University Press, 1997, 208 pages, p.12

CARDON Dominique, La démocratie Internet : Promesses et limites, Paris, Seuil, 2011, 102 pages

LAFFAIRE Marie-Laure, Protection des données à caractère personnel, Bruxelles, Organisation Eds,, 2005

DUBLOIS, Louis, et BLUMANN, Claude, Droit matériel de l'Union Européenne, Paris, Montchrestien, 2010

JACQUE Jean-Paul, Droit Institutionnel de l'Union Européenne, 5eme édition, Dalloz, Paris, 2010

Textes législatifs

Directive 95/46/CE du Parlement européen et du Conseil, du 24 Octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, JO L 281 du 23 Novembre 1995

Directive 97/66/CE du Parlement et du Conseil du 15 Décembre 1997, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications, art.3 "services concernés", §1, art. 4, 6, 7, 11

Directive du 12 juillet 2002 sur la protection de la vie privée dans le secteur des communications électroniques (2002/58), Art 13, "communications non sollicitées"

Convention Européenne de Sauvegarde des Droits de l'Homme, article 8 "droit au respect de la vie privée et familiale", paragraphe 1

Charte des Droits Fondamentaux de l'Union européenne, 2010/c83/02, Titre II "Libertés", Article 8 "Protection des données à caractère personnel", §1; Titre VII "dispositions générales régissant l'interprétation et l'application de la charte", Article 51 "champ d'application", §1;

35

Traité sur le Fonctionnement de l'Union européenne, Première Partie : les principes, Article 16, §1, 2; Article 288;

Loi de 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, Loi 78-17, 16 janvier 1978, Chapitre II : Conditions de licéité des traitements de données à caractère personnel, Section 2 : Dispositions propres à certaines catégories de données, article 8 Modifié par Loi n°2004-801 du 6 août 2004 - art. 2 JORF 7Août 2004

CJUE (grande chambre), 9 mars 2010, Commission européenne c/ République fédérale d'Allemagne (aff. C-518-07). L'article 28, § 1, al. 2 de la directive 95/46CE du 24 Octobre 1995 dispose que : « Les autorités publiques exercent en toute indépendance les missions dont elles sont investies »

Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, Chapitre I "Dispositions générales", Article 1er "Objet et but", Bruxelles, le 28 Janvier 1981

Textes officiels

Communication de la Commission Européenne au Parlement Européen, au Conseil, au Comité Economique et Social Européen, et au Comité des Régions, «Une approche globale de la protection des données à caractère personnel dans l'Union européenne», Bruxelles, le 4 Novembre 2010

Proposition de règlement du Parlement Européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données), Bruxelles, le 25 Janvier 2012, COM (2012) 11 final

Commission Européenne, Direction Générale Justice, Liberté et Sécurité, "étude comparative sur les différentes approches des nouveaux défis en matière de protection de la vie privée, en particulier à la lumière des évolutions technologiques", Contrat N° JLS/2008/C4/011 - 30-CE-0219363/00-28, rapport final, Bruxelles, Janvier 2010, 71 pages

Commission Européenne, "Study on the economic benefits of privacy enhancing technologies", London Economics, Juillet 2010, p.14 http://ec.europa.eu/justice/policies/privacy/docs/studies/ final_report_pets_16_07_10_en.pdf

36

Sénat, "Proposition de résolution au nom de la commission des lois, en application de l'article 73 quinquies, sur la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (E 7055)"

Maison Blanche, "We Can't Wait: Obama Administration Unveils Blueprint for a "Privacy Bill of Rights" to Protect Consumers Online. Internet Advertising Networks Announces Commitment to "Do-Not-Track" Technology to Allow Consumers to Control Online Tracking"

Commission Nationale de l'Informatique et des Libertés, Canevas législatif « Informatique et libertés », Paris, 13 Décembre 2006 : http://www.cnil.fr/fileadmin/documents/approfondir/dossier/ international/Francophonie/Canevas-legislatif.pdf

Commission Nationale de l'Informatique et des Libertés, "Projet de règlement européen : la défense de la vie privée s'éloigne du citoyen", Janvier 2012

Commission Nationale de l'Informatique et des Libertés, "Projet de règlement européen : la CNIL salue l'engagement du Parlement français", Février 2012

Commission Nationale de l'Informatique et des Libertés, "L'adresse IP est une donnée à caractère personnel pour l'ensemble des CNIL européennes", 2 Août 2007

Facebook Ireland Ltd, "Report of Audit", 21 Décembre 2011

Nouvelle charte de confidentialité Facebook : https://www.facebook.com/note.php? note_id=10151730720905301, notamment p14, Article VI "Some other things you need to know", §"Controler - Information for users outside of the United States and Canada

Enquêtes officielles de l'Union européenne

Enquête Flash Eurobaromètre, "La protection des données au sein de l'Union européenne, perceptions des citoyens", Février 2008, Bruxelles, p. 6,7 ec.europa.eu/public_opinion/flash/ fl_225_fr.pdf

Consultation publique organisée par la Commission : http://ec.europa.eu/justice/newsroom/data-protection/opinion/090501_en.htm;

37

Sites Internet

Site officiel de la Stratégie Numérique pour l'Europe de la Commission Européenne: Digital Agenda for Europe, et particulièrement les articles 6 : protecting intellectual property online et 12 : review the EU data protection rules

Site officiel du Contrôleur Européen de la Protection des données : http://www.edps.europa.eu/ EDPSWEB/edps/lang/fr/EDPS

Europe VS Facebook : http://europe-v-facebook.org/FR/fr.html la Quadrature du Net : http://www.laquadrature.net/fr

38

Annexes

1. Sondage eurobaromètre "Attitudes on Data Protection and Electronic Identity in the European Union" - p. 39

2. "Are you in control of your personnal data ?", infographie réalisée par la Commission Européenne - p. 42

3. "How social sites make money", infographie réalisée réalisée par USBundle.com - p. 43