La société de la surveillance: évolutions et incidences

La société de la surveillance: évolutions et incidences sur la
protection des données ∗
Peter J. Hustinx
Contrôleur européen de la protection des données
En juin 2006, le Surveillance Studies Network – une équipe de chercheurs en sciences
sociales s'intéressant en particulier aux questions relatives à la surveillance – a été
chargé par le commissaire à l'information britannique de rédiger un rapport sur la
société de la surveillance. Selon ce rapport, qui a été présenté en novembre 2006 lors de
la 28e Conférence internationale des commissaires à la protection des données et à la
vie privée, qui s'est tenue à Londres, nous vivons déjà dans une société de la
surveillance 1 .
Aux fins de ce rapport, l'on entend par "surveillance" l'enregistrement intentionnel,
habituel et systématique, par des moyens technologiques, des déplacements et des
activités des personnes dans les sphères publiques et privées, pour différentes raisons,
certaines innocentes, voire positives, et d'autres posant davantage problème. Dans ce
rapport, la société de la surveillance est considérée comme étant un produit de la
modernité, qui a commencé à se développer dès que des méthodes rationnelles ont
commencé à être appliquées aux pratiques organisationnelles. Une telle vision permet
d'éviter deux pièges: "envisager la surveillance comme un malin complot ourdi par une
puissance diabolique, et estimer que la surveillance est uniquement le produit des
nouvelles technologies" 2 . En outre, elle permet de dégager des stratégies permettant de
remédier aux effets pervers de la société de la surveillance. Le rapport mentionne
plusieurs de ces stratégies, qui dépassent du reste largement le cadre du droit à la vie
privée et de la protection des données.
∗
Cet article a été publié dans: Challenge Europe, numéro 18, “Is Big Brother watching you – and who
is watching Big Brother?”, décembre 2008, Centre de politique européenne, Bruxelles, pp. 28-33.
1
Voir: Report on the Surveillance Society (un rapport sur la société de la surveillance), septembre
2006. Rapport complet, rapport de synthèse et document destiné au débat public, disponibles sur le site
du commissaire à l'information britannique: www.ico.gov.uk. Le rapport a donné lieu à un important
débat public et les deux chambres du Parlement ont entamé des enquêtes parlementaires.
2
Ibid., rapport de synthèse, p. 1.
2
L'on peut considérer la société de la surveillance – ou la société du "Big Brother",
comme certains l'appellent – comme un phénomène à éviter "à l'avenir" ou comme un
phénomène à prendre en considération aussi efficacement que possible "dès à présent".
Le rapport comporte toutefois de solides arguments en faveur de cette deuxième
possibilité et mentionne diverses manières de la mettre en pratique.
Il met également en exergue différentes évolutions et différents acteurs dans une
perspective historique plus large. Le développement, la production et la
commercialisation des technologies de l'information et de la communication jouent
assurément un rôle crucial en la matière, mais ils sont clairement et étroitement associés
à de nouvelles manières de fournir des produits et des services dans une société
moderne, à la fois dans le secteur privé et dans le secteur (semi-) public.
L'élément déterminant, dans ce contexte, est une évolution vers des services de plus en
plus personnalisés, même dans des domaines qui sont encore régis par les principes
d'égalité sociale. La capacité de la technologie de l'information à soutenir et à faciliter
cette évolution s'accompagne d'une capacité de stocker et de garder en mémoire
l'information, de suivre et de repérer les comportements individuels, et, si nécessaire, de
mettre en lumière des caractéristiques qui peuvent être considérées comme
intéressantes ou non dans diverses situations. D'où la nécessité de faire en sorte que
l'utilisation de ces nouveaux outils technologiques respecte les garanties juridiques
telles que les principes en matière de protection des données, qui permettent aux
personnes de protéger leurs intérêts, comportent des obligations à l'intention des
organisations responsables et garantissent une application et un contrôle adéquats, au
moyen de sanctions si nécessaire.
Bien que l'on puisse considérer, en résumé, la technologie de l'information, l'activité
économique, la conduite des affaires publiques et, d'une manière générale, notre style
de vie moderne comme des facteurs déterminants, il convient de ne pas négliger deux
autres évolutions importantes. La première est l'importance accrue accordée à la
prévention des risques. Il en découle une utilisation de la technologie de l'information
en vue d'"exclure" les personnes qui semblent correspondre à un certain profil et la
conviction que les grands systèmes d'information seront capables d'effectuer ce tri à la
fois efficacement et rationnellement. La seconde réside dans la tendance croissante
3
qu'ont les gouvernements à imposer aux organisations du secteur privé, pour des
raisons d'intérêt public, des obligations en matière de collecte, de conservation et de
communication de données, qui dépassent le cadre des activités naturelles de ces
organisations. Ainsi les établissements financiers, les exploitants de réseaux de
télécommunications et les compagnies aériennes sont-ils à présent associés à des
traitements de données qui vont manifestement au-delà de ce qui les intéresse et qui
semblent être en contradiction avec les attentes légitimes en matière de respect de la vie
privée.
La 28e Conférence internationale, qui s'est tenue à Londres, a permis non seulement
de débattre de ces évolutions et des questions qui y sont liées et de mieux les faire
connaître, mais aussi de répondre aux problèmes qu'elles posent en matière de respect
de la vie privée et de protection des données. À l'issue de cette conférence, une
déclaration intitulée "communiquer sur la protection des données et la rendre
effective", qui a reçu le soutien général d'autorités de protection des données du
monde entier, a été présentée 3 .
Voici quelques points importants de l'"initiative de Londres":
•
la protection de la vie privée et des données personnelles est un impératif vital pour
toute société démocratique, au même titre que la liberté de la presse ou la liberté
d'aller et venir. La protection de la vie privée et des données est peut-être aussi
précieuse que l'air que nous respirons. Tous deux sont invisibles, mais les
conséquences sont tout aussi désastreuses quand ils viennent à manquer.
•
Les commissaires à la protection des données et à la vie privée devraient concevoir
une nouvelle stratégie de communication afin de sensibiliser davantage le public et
les acteurs concernés à ces droits et à leur importance. Ils devraient s'engager dans
un effort considérable de sensibilisation à long terme et évaluer les effets de ces
actions.
•
Les commissaires devraient aussi mieux communiquer sur leurs propres activités et
rendre la protection des données plus concrète. C'est seulement si ces actions sont
présentées de manière compréhensible, accessible et parlante au grand public que
3
Voir les actualités du 3 novembre 2006 sur le site internet du CEPD: www.edps.europa.eu
4
l'on sera en mesure d'influencer les opinions publiques et d'être entendu par les
responsables politiques.
•
Les commissaires devraient évaluer leur efficacité et, si besoin est, adapter leurs
pratiques. Ils devraient être dotés de pouvoirs et de ressources suffisants, mais y
recourir de manière sélective et pragmatique tout en se concentrant sur les
dommages graves ou probables ou sur les principales menaces pesant sur les
personnes.
•
Les commissaires devraient renforcer leurs capacités dans les domaines
technologiques, à des fins de prospective, d'expertise et d'intervention, en étroite
coopération avec la recherche et l'industrie dans le domaine des nouvelles
technologies et mettre ces travaux en commun. L'image excessivement "juridique"
de la protection des données doit être corrigée.
•
Les commissaires devraient promouvoir l'association d'autres acteurs compétents en
matière de protection des données et de vie privée sur les plans national ou
international, tels que la société civile et les ONG, afin de développer, si nécessaire,
des partenariats stratégiques en vue de rendre leur travail plus efficace.
Les commissaires se sont lancés dans un programme d'activités de suivi dans ce sens
et ont évalué récemment, au cours de leur 30e conférence, qui s'est tenue à Strasbourg
en octobre 2008, les progrès réalisés. Dans l'avenir proche, ils continueront à
privilégier, dans le cadre de leurs stratégies, une meilleure communication et une
protection efficace des données.
Étant Contrôleur européen de la protection des données et un des principaux auteurs de
l'initiative de Londres, j'ai résolument appuyé ces efforts. La nécessité de protéger
utilement les données a également joué un rôle moteur dans mes activités de
consultation. Il va de soi que l'"effet utile" est non seulement une notion juridique, mais
aussi une nécessité pratique qui a une incidence stratégique considérable. Après tout, le
droit au respect de la vie privée et à la protection des données à caractère personnel 4 ne
peut avoir un effet utile que dans la pratique, et c'est certainement le cas dans les
situations où le besoin de protection se fait le plus sentir.
4
Voir les articles 7 et 8 de la Charte des droits fondamentaux de l'UE, qui deviendront contraignants
une fois que le traité de Lisbonne aura été ratifié.
5
L'on peut tirer de ce qui précède trois conclusions principales: tout d'abord, l'UE et ses
États membres doivent mettre pleinement en application le cadre existant en matière de
protection des données, ensuite, ils doivent garantir une protection adéquate dans les
domaines qui ne sont pas encore couverts ou qui requièrent une protection
supplémentaire et, enfin, ils doivent faire en sorte que cette protection continue d'avoir
un effet utile en fonction de l'évolution des circonstances.
La directive de l'UE sur la protection des données à caractère personnel (directive
95/46/CE) reste l'élément le plus important du cadre juridique actuel en matière de
protection des données. La Commission européenne a préconisé une meilleure mise en
application des principes de cette directive dans le droit national et a entamé plusieurs
actions en vue d'atteindre cet objectif, et notamment des procédures d'infraction à
l'encontre de certains États membres - une démarche que j'ai pleinement soutenue.5 Le
fait que les autorités nationales chargées de la protection des données coopèrent pour
préciser certaines dispositions capitales de la directive ou qu'elles prennent des
initiatives communes de mise en application contribue également à la réalisation de cet
objectif. 6
La directive 95/46/CE ne s'applique pas aux domaines répressifs qui relèvent
actuellement du "troisième pilier" de l'UE: la coopération policière et judiciaire en
matière pénale. Il s'agit de domaines dans lesquels il est évident que des garanties
adéquates sont nécessaires, mais dans lesquels il a été difficile de dégager des
conclusions dans le cadre des arrangements institutionnels actuels, qui requièrent
l'unanimité. L'on est à présent proche de l'adoption d'un cadre général en matière de
protection des données, mais il est clair que ce cadre devra être amélioré,
éventuellement sur la base d'autres arrangements institutionnels.
La nécessité d'une amélioration se fait également sentir à présent dans le cadre du
"premier pilier" de l'UE, en particulier dans les domaines où l'interaction avec la
technologie de l'information joue un rôle très important.
5
Avis du contrôleur européen de la protection des données sur la communication de la Commission au
Parlement européen et au Conseil relative au suivi du programme de travail pour une meilleure mise en
application de la directive sur la protection des données, JO C 255 du 27.10.2007, p. 1.
6
Voir le programme de travail 2008-2009 du groupe "Article 29", adopté le 18 février 2008, document
WP 146, disponible sur le site internet de ce groupe:
http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2008/wp146_fr.pdf
6
Le Parlement européen et le Conseil procèdent actuellement au réexamen de la
directive vie privée et communications électroniques (la directive 2002/58/CE). Ce
réexamen débouchera probablement sur l'instauration d'une obligation de notifier aux
autorités compétentes et aux personnes concernées, dans certaines conditions, les
violations de la sécurité ayant pour effet de compromettre les données à caractère
personnel. Les citoyens seront ainsi davantage sensibilisés à la nécessité de continuer à
améliorer la sécurité et à renforcer la protection des données à caractère personnel.
L'on peut également s'attendre à des améliorations, nécessaires, liées à l'introduction et
à l'utilisation croissante de la technologie d'identification par radiofréquence (RFID) en
vue d'identifier les biens de consommation et peut-être également d'observer les
comportements individuels. La Commission européenne a annoncé qu'elle publierait
une recommandation afin de préciser certains principes primordiaux relatifs à la
protection des données dans ce domaine et afin d'encourager les formules
d'autorégulation. J'ai préconisé l'adoption d'actes législatifs appropriés si ces formules
devaient s'avérer insuffisantes ou inefficaces. 7
Les cadres généraux et les autres instruments mentionnés jusqu'à présent jouent
également un rôle important quand de nouvelles actions ou de nouvelles mesures
législatives susceptibles d'avoir une incidence sur la protections des données à caractère
personnel sont proposées. En effet, dans ce cas, les règles existantes servent alors aussi
de critères permettant de décider si les nouvelles initiatives sont acceptables et
conformes aux normes en matière de protection des données, ou si elles doivent être
modifiées ou assorties de garanties supplémentaires. Une de mes tâches essentielles en
tant que Contrôleur européen de la protection des données est d'assurer un suivi adéquat
de ces questions à l'intention de la Commission, du Parlement et du Conseil.
Enfin, il convient de veiller à ce que les cadres existants continuent à être efficaces
étant donné l'évolution sociale et économique, l'avènement de nouvelles technologies et
la mondialisation.
7
Avis du contrôleur européen de la protection des données sur la communication de la Commission au
Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions
intitulée "L'identification par radiofréquence (RFID) en Europe: vers un cadre politique", document
COM(2007) 96, JO C 101 du 23.4.2008, p. 1.
7
C'est la raison pour laquelle, tout en apportant mon plein appui à l'appel de la
Commission en faveur d'une meilleure mise en application de la directive 95/46/CE –
j'ai affirmé qu'un réexamen de la directive était inévitable dans un proche avenir et qu'il
était capital de le préparer et de le planifier convenablement. 8
Je me réjouis que de premières démarches circonspectes en vue d'un réexamen de la
directive, sous la forme d'études préparatoires, aient été entreprises à présent, et
j'attends avec intérêt toutes les avancées qui auront lieu ultérieurement dans la bonne
direction.
8
Voir l'avis mentionné dans la note en bas de page n° 5.