Données personnelles :
comment gagner la bataille

"Les gentlemen ne lisent pas le courrier des autres". Dans la réalité, ils le font parfois, légalement ou subrepticement. 

Mais l'ère numérique ne peut être désinventée, et il ne peut y avoir de droits individuels sans respect de la vie privée. La manière dont les sociétés relèvent ce défi est donc une question qui nous concerne tous.

Dans cette nouvelle étude, nous produisons uneévaluation concrète des principaux systèmes de régulation des données personnelles (Union européenne, Chine et Inde), en nous fondant sur un équilibre délicat à atteindre entre trois objectifs essentiels : 

• le respect de la vie privée, et donc des données personnelles; 

• l’efficacité économique, autrement dit les gains économiques pour les individus comme pour les entreprises ; 

• l’intérêt public, notion allant ici de la sécurité nationale à la recherche médicale par exemple. 

Avec ses88 pages se concentrant sur la collecte et le traitement des données à caractère personnel, le RGPD crée cet équilibre entreprotection des personnes physiques, nécessité commerciale de libre circulation des données, et exemptions de cette protection lorsque des exigences légales ou l’intérêt public sont en jeu.

L’une des innovations du RGPD est de prévoir une coopération entre autorités nationales pour les affaires transfrontalières. Celle-ci passe par un mécanisme de guichet unique, où une autorité de contrôle chef de file doit d’abord être désignée. Cependant, la réalité est moins impressionnante car le mécanisme ne s’applique pas si l’entité qui est en cause exerce ses activités en dehors de l’UE. De la même manière, il ne différencie pas assez précisément l’établissement légal du lieu d’exercice réel des opérations de cette entité. Dès lors, le risque est évidemment celui de 28 guichets différents.

Les amendes infligées sont fondées sur des montants ex ante, avec des plafonds proportionnels au chiffre d’affaires. Les sanctions devraient aussi s’appuyer sur des actions en dommages ex post, et ceci implique très largement une bascule vers une réelle évaluation des dommages causés et donc des recours en justice. La raison est simple : les entreprises font souvent un calcul coûts/bénéfices pour se conformer au règlement. Les individus devraient obtenir des réparations, y compris par des actions de groupe, en cas de violation de leur vie privée.

La technologie est une frontière qui évolue rapidement, et il est impossible de prédire quels types de données deviendront personnelles, sensibles ou critiques. Les données collectées ne peuvent souvent être complètement effacées. Ce qui peut être plus sûrement réglementé, c’est l’usage qui est fait des données collectées, y compris dans leur interprétation.

Notre tableau de la protection des données inclut deux études de cas sur l’Inde et la Chine. L’Inde est le plus grand marché mondial de données et représente le plus grand nombre d’usagers au monde. La Chine occupe une place de plus en plus stratégique dans les débats concernant le respect de la vie privée.

Après la décision de la Cour suprême de l’Inde sur le respect de la vie privée comme garanti par la Constitution, le projet de loi Personal Data Protection Bill (PDPB) a été rédigé par un groupe d’experts en 2018 et approche le stade de l’examen législatif. Il suit largement le RGPD, fixant des obligations aux fiduciaires de données et accordant des droits aux individus. Il met en place une autorité nationale de protection des données, introduit des pénalités financières en cas de non-conformité, mais autorise largement les autorités à outrepasser les restrictions dans des cas qui concernent la sécurité nationale ou l’intérêt public.

L’Inde est aussi une société mouvante, un terrain de bataille pour les questions de respect de la vie privée et de la souveraineté sur les données ou de leur libre circulation. Avec des inquiétudes sur la sécurité des données des applications chinoises et la prédominance des GAFA américaines dans le commerce en ligne, certains militent pour une localisation des données au nom de la souveraineté et de la sécurité. Cette revendication est souvent considérée comme un soutien à l’industrie et aux entreprises locales. L’Inde semble être un pont entre le modèle européen et celui de la Chine. Elle modèle sa législation sur le RGPD mais utilise la souveraineté comme un outil de politique industrielle.

Le PDPB laisse à la discrétion du gouvernement central des décisions importantes. Le contrôle sur l’espace numérique se voit dans des instruments tels que des lignes directrices sur la modération de contenu pour des intermédiaires de données. L’accès facilité aux données et codes sources se retrouve dans le projet de loi sur les intermédiaires de données et celui sur le commerce en ligne. Ainsi, la régulation peut aussi pencher vers le modèle chinois, mettant en exergue la sécurité nationale et le contrôle de la libre circulation des données.

Avec la Chine, nous entrons dans un tout autre monde. Derrière son pare-feu, ceux que l’on appelle les "BAT" (Baidu, Alibaba et Tencent) collectent et traitent plus de big data que n’importe quel autre concurrent étranger. En pratique et même avec une réglementation assez lacunaire sur ce point, le gouvernement a un accès illimité aux données. Le débat public général sur le respect de la vie privée est dès lors axé sur la sécurité des données, dans le cadre de la sécurité nationale, plutôt que sur la protection de la vie privée.

La loi sur la cybersécurité de la Chine (2017) offre en principe une protection aux usagers. Toutefois, elle est biaisée en faveur des droits de l’État, ceux des individus étant vagues ou au conditionnel. Cette loi fondatrice a été suivie d’une série d’autres lois, réglementations et normes supplémentaires. La plus importante est la spécification de 2018 sur la sécurité des informations personnelles (PIS), qui emprunte certaines caractéristiques au RGPD mais diffère sur d’autres. Son obligation de consentement est moins stricte, le résultat d’un compromis trouvé entre représentants des entreprises et des experts.

L’État de surveillance chinois peut concevoir de protéger les individus en tant que consommateurs contre les intérêts commerciaux prédateurs. Il ne l’accepte pas contre lui-même. Les lois et réglementations peuvent être interprétées à volonté, au moyen de catégories "autres" mal définies.
 

Le secteur de la santé est notre étude de cas. La santé numérique a initié une révolution en accélérant la recherche en même temps qu’elle facilite les soins à la base. Mais tout ceci repose sur une connaissance et une prédictablité extrêmement détaillées de l’état de santé d’un individu. Dès lors, pour la protection de la vie privée, cela introduit les défis les plus essentiels qu’on puisse trouver en dehors du cas d’un État de surveillance.

Le RGPD n’a dans ce domaine que des prescriptions génériques et reste plus ouvert à l’utilisation de données médicales par des entités publiques que privées. Les Européens ont depuis longtemps construit des bases de données de santé analogiques ou numériques pour leurs États-providence. Mais celles-ci étaient régulièrement collectées pour des remboursements plutôt que pour des raisons médicales, ou a fortiori pour la recherche. La France par exemple, avec une impulsion désormais ferme en termes de politique publique, n’est qu’à mi-chemin sur ces questions.

L’approche indienne paraît pour l’instant sommaire sur le front réglementaire, alors que des évolutions numériques majeures sont en cours. Une importante loi sur la protection des données de santé, DISHA, a été soumise au Parlement. Elle est si protective des données qu’elle sera difficile à appliquer, ou sera un frein à la recherche médicale.

En revanche, les stratégies numériques chinoises conçoivent les données de santé comme partie intégrante du développement médical et de l’industrie pharmaceutique en tant que ressource économique. Il y a peu de garde-fous, et la Chine encourage les entreprises étrangères à utiliser son cadre réglementaire laxiste sur le big data.