Résumé de l’avis du contrôleur européen de la protection des données: «Relever les défis des données massives: Un appel à la transparence, au contrôle par l’utilisateur, à la protection des données dès la conception et à la reddition de comptes»

(Le texte complet de l’avis en anglais, français et allemand est disponible sur le site internet du CEPD www.edps.europa.eu)

«Le droit d’être laissé tranquille est effectivement le début de toute liberté» (1).

Les données massives, si elles sont traitées de façon responsable, peuvent apporter des avantages et des gains d’efficacité significatifs à la société et aux personnes physiques, non seulement dans les domaines de la santé, de la recherche scientifique et de l’environnement, mais aussi dans d’autres domaines spécifiques. Cependant, les effets réels et potentiels du traitement d’énormes quantités de données sur les droits et les libertés des personnes concernées, y compris leur droit au respect de la vie privée, suscitent de graves inquiétudes. Les défis et les risques liés aux données massives requièrent donc une protection plus efficace des données.

La technologie ne devrait pas nous dicter nos valeurs et nos droits, mais la promotion de l’innovation et la sauvegarde des droits fondamentaux ne doivent pas pour autant être perçues comme incompatibles avec la technologie. De nouveaux modèles commerciaux exploitant de nouvelles capacités de collecte massive de données, de transmission instantanée, de combinaison et de réutilisation de données à caractère personnel pour des finalités imprévues, ont fait peser de nouvelles contraintes sur les principes relatifs à la protection des données, qui requièrent un examen approfondi de la façon dont ils sont appliqués.

La législation européenne relative à la protection des données a été élaborée pour protéger nos valeurs et nos droits fondamentaux, y compris notre droit au respect de la vie privée. La question n’est pas de savoir si la législation relative à la protection des données doit être appliquée aux données massives («big data»), mais comment l’appliquer de façon innovante dans de nouveaux environnements. Nos principes actuels en matière de protection des données, notamment la transparence, la proportionnalité et la limitation de la finalité, constituent la ligne de référence dont nous aurons besoin pour protéger nos droits fondamentaux de façon plus dynamique dans le monde des données massives. Ils doivent toutefois être complétés par de «nouveaux» principes, qui se sont développés au fil des années, comme la reddition de comptes et le respect de la vie privée dès la conception et par défaut. Le paquet sur la réforme de la protection des données dans l’Union européenne doit renforcer et moderniser le cadre réglementaire (2).

L’Union européenne entend optimiser la croissance et la compétitivité en exploitant les données massives. Mais le marché unique numérique ne peut pas importer, sans faire preuve d’un esprit critique, les technologies et les modèles commerciaux fondés sur les données, qui sont devenus le principal courant économique dans d’autres régions du monde. Il doit, en revanche, apparaître comme le chef de file du développement d’un traitement responsable des données à caractère personnel. L’internet a évolué de telle manière que la surveillance — le suivi du comportement des personnes — est considérée comme le modèle de revenus indispensable pour certaines entreprises parmi les plus performantes. Cette évolution appelle une évaluation critique et la recherche d’autres options.

Quoi qu’il en soit et indépendamment des modèles commerciaux retenus, les organisations qui traitent des volumes importants d’informations personnelles doivent se conformer à la législation applicable en matière de protection des données. Le contrôleur européen de la protection des données (CEPD) considère qu’un développement responsable et durable des données massives doit reposer sur quatre éléments essentiels:

En ce qui concerne la transparence, les personnes concernées doivent recevoir des informations claires sur les données qui sont traitées, notamment les données observées ou déduites les concernant, être mieux informées sur la manière dont leurs données sont utilisées et sur les finalités pour lesquelles elles sont utilisées, y compris la logique algorithmique qui sert à déterminer les hypothèses et les prévisions à leur sujet.

Le contrôle par l’utilisateur contribuera à donner plus d’autonomie aux personnes concernées pour mieux déceler les préjugés injustes et contester les erreurs. Il permettra d’empêcher l’utilisation secondaire des données pour des finalités qui ne sont pas conformes aux attentes légitimes des personnes concernées. Grâce à un contrôle par l’utilisateur de nouvelle génération, les personnes concernées disposeront, le cas échéant, d’un choix plus authentique et mieux informé et auront davantage de possibilités de mieux utiliser leurs données personnelles.

Un droit d’accès solide et un droit à la portabilité des données ainsi que des mécanismes efficaces de retrait («opt-out») peuvent constituer une condition préalable pour permettre aux utilisateurs de mieux contrôler leurs données et également contribuer à la mise au point de nouveaux modèles commerciaux et à une utilisation plus transparente et efficace des données à caractère personnel.

En intégrant la protection des données dans la conception de leurs systèmes et processus et en ajustant la protection des données pour permettre une transparence et un contrôle plus véritables par les utilisateurs, les responsables du traitement tenus de rendre des comptes pourront également bénéficier des avantages des données massives, tout en veillant au respect de la dignité et des libertés des personnes.

La protection des données ne constitue toutefois qu’une partie de la réponse. L’Union européenne doit déployer de façon plus cohérente les outils modernes disponibles, notamment dans le domaine de la protection des consommateurs, de la législation antitrust, de la recherche et du développement, pour garantir la protection et le choix sur le marché, où des services respectueux de la vie privée pourront prospérer.

Pour relever les défis que posent les données massives, nous devons permettre l’innovation tout en protégeant les droits fondamentaux. Il appartient désormais aux entreprises et aux autres organisations qui déploient d’importants efforts dans la recherche de solutions innovantes pour l’utilisation des données à caractère personnel de faire preuve du même esprit innovant dans la mise en œuvre de la législation relative à la protection des données.

Prenant appui sur les contributions antérieures d’universitaires et de nombreux régulateurs et parties prenantes, le CEPD veut favoriser une discussion nouvelle, ouverte et éclairée tant à l’intérieur qu’à l’extérieur de l’Union européenne, en faisant participer davantage la société civile, les concepteurs, les entreprises, le monde académique, les pouvoirs publics et les régulateurs à l’élaboration de la meilleure façon d’exploiter le potentiel créatif de l’industrie pour faire appliquer la loi et protéger notre vie privée et nos autres droits fondamentaux le mieux possible.

Pour relever les défis que posent les données massives, nous devons permettre l’innovation tout en protégeant les droits fondamentaux. Pour y parvenir, les principes établis dans la législation européenne relative à la protection des données devraient être préservés, mais appliqués de façon innovante.

Les négociations relatives à la proposition de règlement général sur la protection des données sont entrées dans leur phase finale. Nous avons instamment prié les législateurs européens d’adopter un paquet de réforme de la protection des données qui renforce et modernise le cadre réglementaire afin qu’il demeure efficace à l’ère des données massives, tout en développant la confiance des personnes concernées dans la sécurité en ligne et le marché unique numérique (3).

Dans l’avis no 3/2015, qui est assorti de recommandations sur le texte complet du règlement proposé, nous avons clairement indiqué que nos principes actuels en matière de protection des données, notamment la nécessité, la proportionnalité, la minimisation des données, la limitation de la finalité et la transparence, doivent rester des principes clés. Ils doivent être la base de référence dont nous avons besoin pour protéger nos droits fondamentaux dans le monde des données massives (4).

Dans le même temps, ces principes doivent être renforcés et appliqués plus efficacement et de façon plus moderne, souple, créative et innovante. Ils doivent aussi être complétés par de nouveaux principes, comme la responsabilité et le respect de la vie privée et la protection des données dès la conception et par défaut.

Une transparence accrue, de puissants droits d’accès aux données et de portabilité de celles-ci, ainsi que des mécanismes efficaces de retrait peuvent constituer une condition préalable pour permettre aux utilisateurs de mieux contrôler leurs données et peuvent également contribuer à des marchés plus efficaces pour les données personnelles, dans l’intérêt des consommateurs et des entreprises.

Enfin, élargir le champ d’application de la législation européenne sur la protection des données aux organisations qui ciblent des personnes dans l’Union européenne et doter les autorités chargées de la protection des données de pouvoirs leur permettant de prendre des mesures correctrices utiles, y compris des amendes efficaces, comme le prévoit la proposition de règlement, seront des exigences essentielles pour une application efficace de notre législation sur le plan international. Le processus de réforme joue un rôle crucial à cet égard.

Afin de garantir la mise en œuvre effective des règles, des autorités de protection des données indépendantes doivent être dotées non seulement de pouvoirs légaux et d’instruments solides, mais également des ressources nécessaires pour développer leur capacité, au rythme de la croissance des activités reposant sur les données.

Une bonne réglementation, même si elle est essentielle, ne suffit pas. Les entreprises et les autres organisations qui déploient d’importants efforts dans la recherche de solutions innovantes pour l’utilisation des données à caractère personnel devraient faire preuve du même esprit innovant dans la mise en œuvre des principes de protection des données. Les autorités chargées de la protection des données devraient, elles aussi, faire appliquer la réglementation, récompenser le respect des règles et éviter d’imposer une charge administrative et une paperasserie inutiles.

Comme annoncé dans sa stratégie pour la période 2015-2019, le CEPD entend contribuer à favoriser ces efforts.

Nous avons l’intention de mettre sur pied un groupe consultatif externe sur la dimension éthique, composé de personnalités éminentes et indépendantes, possédant ensemble de l’expérience dans de multiples domaines «afin d’explorer les relations entre les droits de l’homme, la technologie, les marchés et les modèles commerciaux au cours du XXIe siècle», d’analyser en profondeur l’impact des données massives, d’évaluer les changements qui en résultent pour nos sociétés et d’aider à identifier les questions qui devraient faire l’objet d’un processus politique (5).

Nous allons également élaborer un modèle de politiques honnêtes en matière d’information pour les organes de l’Union européenne qui proposent des services en ligne, en vue de contribuer au développement de meilleures pratiques pour l’ensemble des responsables de traitement.

Enfin, nous allons favoriser les discussions, par exemple pour recenser, encourager et promouvoir les meilleures pratiques destinées à accroître la transparence et le contrôle par l’utilisateur et à étudier les possibilités des entrepôts de données personnelles et la portabilité des données. Le CEPD a l’intention d’organiser un atelier sur la protection des données massives à l’intention des décideurs et des personnes qui traitent de gros volumes de données personnelles dans les institutions de l’Union européenne, ainsi que des experts externes, de déterminer si des orientations supplémentaires sont nécessaires et de faciliter le travail du réseau d’ingénierie de la vie privée sur l’internet (IPEN) en tant que centre de connaissances interdisciplinaires pour les ingénieurs et les spécialistes de la vie privée.

Fait à Bruxelles, le 19 novembre 2015.

Giovanni BUTTARELLI

Contrôleur européen de la protection des données

(1) Public Utilities Commission v. Pollak, 343 U.S. 451, 467 (1952) (Juge William O. Douglas, juge dissident).

(2) Le 25 janvier 2012, la Commission européenne a adopté un train de mesures visant à réformer le cadre européen de la protection des données. Ces mesures comprennent: i) une «communication» [COM(2012) 9 final], ii) une proposition de «règlement général sur la protection des données» («proposition de règlement») [COM(2012) 11 final] et iii) une proposition de «directive» sur la protection des données en matière pénale [COM(2012) 10 final].

(4) Nous devons résister à la tentation d’atténuer le niveau actuel de protection pour essayer de répondre au besoin perçu d’une approche réglementaire plus laxiste en matière de données massives. La protection des données doit continuer de s’appliquer à l’ensemble du traitement, c’est-à-dire pas uniquement à l’utilisation des données, mais aussi à leur collecte. Rien ne justifie un blanc-seing pour le traitement de données pseudonymes ou de données accessibles au public. La définition des données à caractère personnel doit demeurer inchangée, mais le texte du règlement proprement dit pourrait la clarifier davantage. Elle doit, en effet, couvrir toutes les données concernant une personne qui est identifiée ou isolée ou peut être identifiée ou isolée, que ce soit par le responsable du traitement ou par un autre tiers.