Gérard Lommel, président de la Commission nationale pour la protection des données. (Photo: Luc Deflorenne/archives)

Gérard Lommel, président de la Commission nationale pour la protection des données. (Photo: Luc Deflorenne/archives)

Depuis 2005, Alexander Dix est le chargé de la protection des données et de la liberté d’information de l’Etat régional de Berlin. Ce juriste allemand de 60 ans préside aussi le groupe de travail international sur la protection des données dans les télécommunications, dit «groupe de Berlin». Invité le 27 janvier à Luxembourg dans le cadre d’une conférence et d’une table ronde sur la vie privée sur Internet, cet expert a rencontré le ministre des Communications et des Médias, François Biltgen, dans le cadre d’un déjeuner de travail, au cours duquel les deux hommes ont abordé plusieurs questions d’actualité, y compris celle de la révision de la directive européenne en matière de protection des données à caractère personnel.

Cette directive, qui constitue le texte de référence en la matière au niveau européen, date de 1995. Outre le fait de fixer des limites à la collecte et à l’utilisation des données à caractère personnel, elle incite les Etats membres à créer un organisme national indépendant. Au Luxembourg, la Commission nationale pour la protection des ­données (CNPD) a vu le jour en 2002 et se charge du contrôle et de la surveillance de ce secteur fort sensible. La révision de cette directive s’avère nécessaire du fait de la rapidité de l’évolution technologique et des effets de la mondialisation.

La problématique des réseaux sociaux

La nécessité d’adapter les règles d’encadrement à un univers en mutation rapide a aussi poussé le Comité des ministres du Conseil de l’Europe à adopter, mi-décembre à Ankara, une résolution sur «la protection des données et de la vie privée au troisième millénaire». Cette résolution formule la nécessité de réviser la convention 108 traitant de la protection des personnes à l’égard du traitement automatisé des données à caractère personnel. Adopté le 28 janvier 1981, ce texte est le seul instrument international contraignant sur le plan juridique. Le Luxembourg fut un des premiers pays à signer cette convention, qu’il a ratifiée sept ans plus tard. Reconnaissant la nécessité de concilier les valeurs fondamentales du respect de la vie privée et de la libre circulation de l’information entre les peuples, la convention garantit à toute personne physique le respect de ses droits et de ses libertés fondamentales, en particulier son droit à la vie privée.

Or, ce problème est devenu crucial notamment avec l’extension des réseaux sociaux. Lors de son intervention à Luxembourg, Alexander Dix a mis en garde contre «l’illusion de l’intimité» que procure l’utilisation de l’outil électronique, préconisant son usage à l’école, afin que les enfants apprennent très tôt à mesurer les avantages, mais aussi et surtout les risques inhérents à son utilisation.

De plus en plus d’experts alertent les internautes de la collecte et de l’utilisation des données personnelles effectuées la plupart du temps à leur insu. Celui-ci devient une cible facile à travers son recours croissant aux moteurs de recherche, ainsi qu’à travers ses habitudes d’achat ou ses loisirs, qu’il n’hésite pas à étaler au grand jour. Et la collecte des données en rapport avec l’utilisation des réseaux sociaux, du téléphone portable, des systèmes de vidéosurveillance, des systèmes biométriques ou des systèmes d’identification par radio-
fréquence permettent, grâce à des logiciels de calcul toujours plus performants, de définir à moindre coût le profil de tout un chacun.

Pour cette raison, lors de cette même réunion à Ankara, les ministres de la Justice des 47 pays membres du Conseil de l’Europe ont adopté une recommandation sur l’établissement de normes minimales de protection de la vie privée en matière de «profilage». C’est une première sur le plan international! Tout n’est certes pas négatif quant à l’utilisation de cette technique: sur le plan économique, il offre un avantage non négligeable en termes de coût en permettant une meilleure segmentation des marchés. Il peut, dans certaines circonstances, amener à améliorer les services rendus aux consommateurs. Il peut aussi affiner l’analyse du risque et rendre la lutte contre la fraude plus efficace. Pour éviter qu’il y ait des abus, il est toutefois nécessaire d’entourer la technique de profilage de précautions et de garanties particulières en vue de protéger les droits des personnes concernées.

Entre le respect des droits fondamentaux et la nécessité de prendre des mesures de sécurité suffisantes, la frontière est souvent très floue. Elle l’est d’autant plus que la législation souffre d’un manque d’harmonisation d’un pays à l’autre. Depuis les attentats du 11 septembre 2001, la volonté de combattre le terrorisme de manière efficace exige de consacrer des moyens adaptés pour contrecarrer ce fléau. Aussi l’Union européenne et les Etats-Unis ont intensifié leur coopération policière et judiciaire en matière pénale, le transfert et le traitement de données à caractère personnel constituant de ce point de vue la pierre angulaire.

Plusieurs dossiers ont cependant prêté à controverse en raison d’une différence d’approche entre ces deux partenaires: le Parlement européen a, par exemple, refusé il y a un an de donner son aval à l’accord SWIFT dans le cadre de la surveillance du financement du terrorisme, obligeant la Commission européenne à formuler une nouvelle proposition et à négocier un nouvel accord avec le partenaire américain.

Le secret bancaire stigmatisé

Quant aux liaisons aériennes, des différences significatives existent aussi entre les divers pays. Les Etats-Unis, par exemple, imposent aux voyageurs de remplir, au préalable, un formulaire électronique sans lequel ils ne pourront pas prendre de vol à destination d’un de leurs aéroports. De son côté, la Commission européenne suggère d’établir des règles communes pour la transmission, l’utilisation, la conservation et la protection des données recueillies auprès des passagers de vols internationaux en provenance ou à destination des Etats membres de l’UE. L’objectif est de renforcer la lutte contre le terrorisme, la grande criminalité, le trafic de drogue et la traite des êtres humains, tout en précisant les règles compatibles avec la protection des données à caractère personnel.

Début février, lors d’un séminaire organisé à Bruxelles à l’initiative du groupe socialiste au Parlement européen et portant sur la lutte contre le crime organisé, trois procureurs spécialisés ont affirmé qu’au niveau européen, la législation était largement insuffisante pour endiguer les trafics en tout genre. L’Italien Piero Grasso a notamment critiqué le secret bancaire, qui rendrait difficile toute lutte efficace en raison de son manque de transparence.

De tels propos vont à l’encontre de la position des milieux bancaires luxembourgeois, qui plaident en faveur du maintien de ce système en avançant l’argument de la protection des données à caractère privé.

Il est vrai que les contradictions, non dénuées d’hypocrisie, imprègnent les deux camps: les défenseurs du secret bancaire font valoir le respect de la vie privée, mais rouspètent dès que des règles plus strictes sont édictées pour éviter que le système soit détourné au profit de gens peu scrupuleux; quant aux détracteurs, ils revendiquent aussi une protection maximale du citoyen en matière de données personnelles, mais tiennent un langage opposé dès qu’il est question de la place financière.

Il est vrai également que dans tout ce qui touche à la protection des données, la bonne mesure n’est pas facile à trouver. On en a eu un nouvel aperçu quand il fut question, pour l’Etat luxembourgeois, de transposer une directive européenne de 2006 sur la conservation des données générées ou traitées dans le cadre de la fourniture de services de communication électronique accessibles au public ou de réseaux publics de communication.

L’objectif de cette directive, qui se place dans le contexte de la lutte contre le terrorisme et la criminalité organisée, est de conserver pendant un certain délai les données que traitent les fournisseurs de communication électronique pour les besoins de la recherche, de la détection et de la poursuite d’infractions.

Parmi les critiques soulevées dans les divers avis, deux des reproches formulés par rapport au projet de loi étaient la possibilité de sous-traiter la conservation de ces données, ce qui ouvrait la porte à un risque de protection amoindrie de la vie privée, et le seuil d’infraction pénale visé pour autoriser l’accès aux données. S’agissant de la sous-traitance, la Chambre des députés a finalement laissé tomber la question, une mesure d’autant plus sage qu’elle n’était pas mentionnée dans la directive.

Trouver une via media

En revanche, en retenant le seuil équivalant à celui d’une peine dont le maximum est égal ou supérieur à un an d’emprisonnement, la loi adoptée le 24 juillet 2010 vise de facto la plupart des infractions retenues dans le Code pénal, alors qu’elle est censée s’appliquer au terrorisme et à la criminalité organisée, donc des infractions d’une gravité importante. Or, la loi ne définissant pas avec précision ce qu’on entend par infraction grave, on ne peut se départir de l’impression que l’ensemble de la population est placé sous une suspicion généralisée, pour reprendre un avertissement de la CNPD dans l’avis qu’elle a rendu.

La faculté d’intervenir sur la Toile au vu et au su de tout le monde, si elle constitue un atout indéniable dans une démocratie, héberge aussi des risques. Dans ce contexte, le président de la CNPD, Gérard Lommel, a plaidé, lors d’une intervention récente, en faveur de règles contraignantes qui obligeraient les fournisseurs d’accès à respecter le droit à l’oubli sur Internet. Estimant que le traitement des données doit se faire dans des limites bien définies, il suggère que la CNPD, outre ses prérogatives consistant à donner des autorisations préalables et le cas échéant à saisir la justice, devrait être dotée d’un pouvoir de sanction.

Il n’empêche que la CNPD est devenue une institution incontournable en matière de protection des données. Elle est déjà intervenue à plusieurs reprises, notamment dans le cas du service Street View de la société Google. En août de l’année dernière, la commission avait mis en garde cette société. Outre sa volonté de prendre des clichés des rues au Luxembourg, la voiture utilisée pour cela était, en outre, pourvu d’un équipement de détection de réseaux Wi-Fi capable d’intercepter la transmission de données privées. Dans un entretien accordé en mai dernier au Lëtzebuerger Journal, Gérard Lommel avait indiqué qu’une cinquantaine de réclamations avaient déjà été adressées à la société en question.

A l’ère électronique, la question de la protection de la vie privée pose à nouveau celle des limites à trouver dans une société ayant pris la dimension d’un village mondial. Entre les partisans de la communication ouverte, accessible à tous quelles qu’en soient les conséquences, et les adeptes d’une protection maximale, verrouillant autant que possible la diffusion d’informations indésirables, il s’agit de chercher une voie médiane acceptable par une grande majorité de citoyens.

Or, le curseur varie de manière sensible en fonction des expériences vécues par les internautes et de leur approche philosophique.

La propagation d’informations confidentielles par Wikileaks a d’ailleurs relancé un débat qui est loin d’être clos. Et ce qui est valable pour la diplomatie ou le champ politique doit aussi nous interpeler dans d’autres domaines de la vie courante. Une chose est certaine: il n’y a pas de réponse simple et définitive à un problème qui met en balance la liberté de circulation des idées et la nécessaire protection du citoyen contre des abus de toutes sortes pouvant le conduire dans une situation qu’il n’a jamais voulue ni souhaitée.