Données personnelles : faut-il oublier "le droit à l'oubli numérique" ?

À l'écran, des internautes qui réservent un billet d'avion, postent un statut sur Facebook ou achètent un vélo en ligne. Un clic, et les voilà... à poil ! Défaits de leurs vêtements, comme de leurs données personnelles, suggère cette vidéo de la Commission Justice de l'Union européenne. Ces données aspirées et exploitées malgré vous, il faut un texte pour les protéger, défend -sans commentaire- ce clip officiel. 

Protéger les données personnelles contre les géants d'Internet ? Sur ce point, tout le monde est d'accord. Réformer l'actuelle directive européenne de 1995 sur le sujet ? Même unanimité. "Cette directive est obsolète ", tranche Marielle Gallo, l'eurodéputée PPE . "Un outil écrit pour un autre univers, avant l'émergence d'Internet et des réseaux sociaux ", complète Édouard Geffray, le secrétaire général de la Cnil.  

Ce projet de nouveau règlement actuellement en discussion à Bruxelles a donc pour vocation la mise à jour radicale des instruments juridiques de l'UE. Il prévoit par exemple des sanctions pouvant aller jusqu'à un million d'euros pour les entreprises qui ne respecteraient pas les règles de protection des données. Ou des procédures nouvelles, comme la portabilité des données. C'est-à-dire la possibilité, comme ça se fait quand on change d'opérateur téléphonique, d'obtenir une copie de ses données et ainsi de "conserver sa vie numérique antérieure, quand on change de réseau social ", explique Édouard Geffray, de la Cnil.

"Ce projet de règlement consacre explicitement l'expression de droit à l'oubli numérique"

Mais la principale pierre d'achoppement, c'est la question des droits à l'oubli et à l'effacement. "Le droit à l'effacement n'est pas un concept nouveau. Il existe déjà dans la loi, précise Édouard Geffray. Mais ce projet de règlement consacre explicitement l'expression de droit à l'oubli numérique ". Mais qu'entend-on par "oubli numérique" ? Que doit-on oublier, et par là effacer ? Dans quels cas ? Comment ? Par qui ? Le cas échéant, faut-il "anonymiser" ses données, ou les "pseudonymiser" ? Ces interrogations sont au coeur de l'âpre débat qui divise parlementaires, archivistes, professionnels du web, entreprises en ligne ou activistes. Pour tenter d'y voir plus clair, parole aux protagonistes.

Un droit à l'oubli "dangereux" ?

Ils ont lancé en ligne leur pétition le 21 mars. L'Association des archivistes français, habituellement discrète, est alors entrée en croisade contre ce qu'ils pressentent comme un dommage collatéral du droit à l'oubli : le risque d'amnésie numérique.

46.334 signatures plus tard (chiffre constaté le 30 mai à 12h), les archivistes rempilent, dans une tribune publiée mercredi sur Rue89, tout en prévenant : "Ce n'est pas une démarche corporatiste, on n'est pas là pour défendre le métier d'archiviste , précise Jean-Philippe Legois, président de l'AAF. Pour nous, cette réforme touche les enseignants-chercheurs pour qui les données personnelles sont une partie de la matière première, les généalogistes ou même les simples citoyens qui voudraient retrouver la trace de leur famille ".

> Lire aussi Archiver le web, un devoir de mémoire GIGAntesque

Que des internautes aient le droit de réclamer l'effacement de certaines de leurs données personnelles, les archivistes ne voient rien à y redire. Mais ils s'insurgent contre l'article 5 du projet de réglement (pourtant inspiré de la précédente directive) qui prévoit que les données nominatives ne puissent être conservées au-delà de la "durée nécessaire à la réalisation des finalités pour lesquelles elles sont collectées ". Et les archivistes d'imaginer par exemple l'effacement de votre nom des listes d'inscription dans les écoles, quand vous terminez votre scolarité. Ou la disparition des cadastres.

"Si toutes les listes nominatives sont détruites, comment reconstituer le parcours d'une famille d'exilés espagnols qui ont fui le franquisme ? interroge Jean-Philippe Legois. Les données sont de plus en plus numérisées. Certains documents n'existent même plus sous format papier. Si on paramètre les systèmes informatiques pour supprimer ou anonymiser ces informations automatiquement au-delà d'un certain temps, on perd toute trace. C'est en contradiction totale avec le besoin de mémoire qui s'exprime actuellement ". 

"Si on se met à décider de la destruction des données personnelles, on se condamne à devenir des sociétés sans mémoire" (Denis Peschanski)

L'historien Denis Peschanski, signataire de la pétition de l'AAF, est encore plus alarmiste. "Si on se met à décider de la destruction des données personnelles , s'insurge-t-il, on se condamne à devenir des sociétés sans mémoire, sans Histoire . Les données personnelles, c'est le fondement même de la recherche sur la Solution finale ". Et le droit à l'oubli numérique ? "L'amnistie, par exemple, c'est le droit à l'oubli judiciaire, mais l'amnistié ne disparaît pas pour autant des tablettes de l'Histoire. Le dossier continue d'exister. On ne l'efface pas ".

Car c'est bien la fonction "Suppr" automatique que redoute et questionne l'historien, responsable d'un projet intitulé Matrice Memory. Que risque-t-on effacer ? Ne faudrait-il pas tout garder ? "Certaines données nominatives paraissent inutiles aujourd'hui. Mais un historien, dans 20 ans, peut se poser de nouvelles questions sur notre époque, et avoir besoin de ces données , explique Denis Peschanski. La pratique de l'Histoire, c'est un aller-retour permanent entre questions et données. Si on détruit aujourd'hui des données, on coupe le fil ". 

Un droit à l'oubli, "sans contrainte"

Ces angoisses, à vrai dire, Marielle Gallo, rapporteure du réglement à la commission juridique du Parlement européen, les balaie d'un revers de main : "La terre entière réfléchit à la protection des données , ironise-t-elle. Ce n'est pas le lobby des archivistes qui va faire la loi. Quand on veut calculer le nombre de femmes qui ont eu un cancer du sein, on se fiche des noms. On ne doit garder que ce qui a un intérêt légitime à être traité ", tranche-t-elle. [Avis de l'historien ci-dessus : "C'est ne rien comprendre à ce qu'est l'Histoire "]. 

"Il faut parvenir à protéger les données personnelles, sans paralyser notre économie" (Marielle Gallo)

Pour l'eurodéputée PPE, l'enjeu principal de ce réglement, c'est de "protéger les citoyens contre les géants du Net (qui sont Américains) sans paralyser notre économie de PME ". Le droit à l'oubli ? Elle, ne croit pas à l'effacement "inexistant d'un point de vue technologique ", mais au cryptage des données. [Lire son communique de presse] Elle ne s'oppose pas non plus au profilage, ou publicité ciblée sur Internet : "Si les agences de voyage qui ont de bons prix, ne peuvent pas le faire savoir, c'est problématique , argumente-t-elle. Il ne faudrait pas les entraver avec des obligations trop lourdes ". Le projet de règlement prévoit notamment la création d'un délégué aux données personnelles dans les entreprises de plus de 150 salariés.

Un droit à l'oubli "fictif"

Cryptage, profilage : de quoi donner des boutons à la Quadrature du Net, l'association de "défense des droits et libertés des citoyens sur Internet". Pour Philippe Aigrain, son président, d'ailleurs, "l'affirmation du droit à l'oubli est vaine. C'est un droit qui restera fictif , dit-il. Quand on connaît le fonctionnement des bases de données, on sait qu'il est impossible de supprimer une donnée ".

"Pseudonymiser les données n'a jamais empêché leur exploitation" (Philippe Aigrain)

En cela, Philippe Aigrain rejoint Marielle Gallo. Mais la comparaison s'arrête là. Pour lui, crypter les données personnelles, est un leurre dicté par les multinationales du Web. "En tant que chercheur informatique, je sais que c'est un prétexte , avance-t-il. Pseudonymiser vos données ou chiffrer vos noms n'a jamais empêché leur exploitation. Il faut rappeler que le problème aujourd'hui, c'est que si vous supprimez votre compte Facebook, Facebook lui conserve vos données ". 

> Lire aussi Mon statut facebook : "Je suis mort", ou que deviennent nos profils et données personnelles post-mortem  

Pour la Quadrature du Net, la solution serait d'"encourager le contrôle souverain des individus sur leurs données. Qu'ils aient vraiment le moyen de refuser leur exploitation , martèle Philippe Aigrain. Ça passe par la loi, par le contrôle. Et par l'éducation des internautes ". La Quadrature du Net d'ailleurs participe à la campagne européenne Nakedcitizens.eu, soustitrée "Take control of your data ". 

Mais l'association se fait peu d'illusions sur l'issue des débats, face au "lobbying forcené des Google, Facebook, mais aussi des banques ou sites de vente qui veulent exploiter nos données sans contrainte ". Dans ce contexte, les inquiétudes des archivistes semblent à Philippe Aigrain, un peu hors propos. "Que veulent-ils réellement ? Sur le Web, il y a un million de fois plus de données que ce que les archives sont capables d'exploiter ", constate-t-il. Avant d'ajouter : "Mais ils ont sans doute raison de craindre les effets secondaires de certaines dispositions ". 

Un droit à l'oubli "à définir"

Finalement, qu'entend-on par droit à l'oubli numérique ? Près d'un an et demi après la rédaction du projet initial de règlement européen, c'est la Cnil qui pose la question, en lançant jeudi une consultation publique en ligne. 

> Accéder à la consultation publique de la Cnil : "Construire ensemble un droit à l'oubli numérique"

"De quoi a besoin l'internaute ? D'un droit au déréférencement, à l'effacement, à la dépublication ? Ce n'est pas pareil , explique Édouard Geffray, le secrétaire général de la Cnil. Se pose aussi la question des outils. Est-ce que l'internaute doit simplement cocher une case, pour obtenir l'effacement de ces données ? Ces questions sont essentielles, car elles concernent tout le monde ".  La Cnil d'ailleurs a reçu 6.000 plaintes en 2012 -un record-, "portant pour beaucoup sur ce droit à l'oubli ". 

Pas question néanmoins pour la Cnil de négliger les inquiétudes des archivistes. "On recherche un équilibre entre la nécessaire protection des données et l'intérêt collectif ou historique à conserver ces données , affirme Édouard Geffray. Mais ce à quoi nous tenons, c'est que cette protection soit effective. Que dès lors que j'ai obtenu l'effacement de mes données, elles soient aussi déréférencées, pour qu'elles ne traînent pas encore quelques jours ou quelques mois sur les moteurs de recherche ". Or, le déréférencement n'est pas prévu dans le projet de règlement. 

Un droit à l'oubli encore en chantier

Le parcours législatif de ce règlement a pris du retard. Laissant donc encore un peu de temps à ces acteurs pour faire entendre leur voix et leurs divergences. Le Parlement devait adopter pour de bon sa version mercredi en commission des Libertés civiles, mais le vote a été reporté au 9 juillet. 

La suite du programme, c'est ce que l'on appelle le trilogue. C'est-à-dire des négociations pour que le Parlement et le conseil des ministres européens rédigent deux textes, mais identiques à la virgule près (c'est ainsi que se fabriquent les règlements européens). Avant l'adoption plénière. Le calendrier optimiste la fixe au printemps 2014. C'est aussi à cette date que le gouvernement français promet une nouvelle loi pour protéger ces précieuses données personnelles. De quoi laisser -diront les mauvaises langues- aux géants (et pas seulement) du Web le temps et le loisir d'aspirer ces myriades de précieuses data intimes, qui leur servent de carburant gratis...