La société de la surveillance: évolutions et incidences
Transcription
La société de la surveillance: évolutions et incidences
La société de la surveillance: évolutions et incidences sur la protection des données ∗ Peter J. Hustinx Contrôleur européen de la protection des données En juin 2006, le Surveillance Studies Network – une équipe de chercheurs en sciences sociales s'intéressant en particulier aux questions relatives à la surveillance – a été chargé par le commissaire à l'information britannique de rédiger un rapport sur la société de la surveillance. Selon ce rapport, qui a été présenté en novembre 2006 lors de la 28e Conférence internationale des commissaires à la protection des données et à la vie privée, qui s'est tenue à Londres, nous vivons déjà dans une société de la surveillance 1 . Aux fins de ce rapport, l'on entend par "surveillance" l'enregistrement intentionnel, habituel et systématique, par des moyens technologiques, des déplacements et des activités des personnes dans les sphères publiques et privées, pour différentes raisons, certaines innocentes, voire positives, et d'autres posant davantage problème. Dans ce rapport, la société de la surveillance est considérée comme étant un produit de la modernité, qui a commencé à se développer dès que des méthodes rationnelles ont commencé à être appliquées aux pratiques organisationnelles. Une telle vision permet d'éviter deux pièges: "envisager la surveillance comme un malin complot ourdi par une puissance diabolique, et estimer que la surveillance est uniquement le produit des nouvelles technologies" 2 . En outre, elle permet de dégager des stratégies permettant de remédier aux effets pervers de la société de la surveillance. Le rapport mentionne plusieurs de ces stratégies, qui dépassent du reste largement le cadre du droit à la vie privée et de la protection des données. ∗ Cet article a été publié dans: Challenge Europe, numéro 18, “Is Big Brother watching you – and who is watching Big Brother?”, décembre 2008, Centre de politique européenne, Bruxelles, pp. 28-33. 1 Voir: Report on the Surveillance Society (un rapport sur la société de la surveillance), septembre 2006. Rapport complet, rapport de synthèse et document destiné au débat public, disponibles sur le site du commissaire à l'information britannique: www.ico.gov.uk. Le rapport a donné lieu à un important débat public et les deux chambres du Parlement ont entamé des enquêtes parlementaires. 2 Ibid., rapport de synthèse, p. 1. 2 L'on peut considérer la société de la surveillance – ou la société du "Big Brother", comme certains l'appellent – comme un phénomène à éviter "à l'avenir" ou comme un phénomène à prendre en considération aussi efficacement que possible "dès à présent". Le rapport comporte toutefois de solides arguments en faveur de cette deuxième possibilité et mentionne diverses manières de la mettre en pratique. Il met également en exergue différentes évolutions et différents acteurs dans une perspective historique plus large. Le développement, la production et la commercialisation des technologies de l'information et de la communication jouent assurément un rôle crucial en la matière, mais ils sont clairement et étroitement associés à de nouvelles manières de fournir des produits et des services dans une société moderne, à la fois dans le secteur privé et dans le secteur (semi-) public. L'élément déterminant, dans ce contexte, est une évolution vers des services de plus en plus personnalisés, même dans des domaines qui sont encore régis par les principes d'égalité sociale. La capacité de la technologie de l'information à soutenir et à faciliter cette évolution s'accompagne d'une capacité de stocker et de garder en mémoire l'information, de suivre et de repérer les comportements individuels, et, si nécessaire, de mettre en lumière des caractéristiques qui peuvent être considérées comme intéressantes ou non dans diverses situations. D'où la nécessité de faire en sorte que l'utilisation de ces nouveaux outils technologiques respecte les garanties juridiques telles que les principes en matière de protection des données, qui permettent aux personnes de protéger leurs intérêts, comportent des obligations à l'intention des organisations responsables et garantissent une application et un contrôle adéquats, au moyen de sanctions si nécessaire. Bien que l'on puisse considérer, en résumé, la technologie de l'information, l'activité économique, la conduite des affaires publiques et, d'une manière générale, notre style de vie moderne comme des facteurs déterminants, il convient de ne pas négliger deux autres évolutions importantes. La première est l'importance accrue accordée à la prévention des risques. Il en découle une utilisation de la technologie de l'information en vue d'"exclure" les personnes qui semblent correspondre à un certain profil et la conviction que les grands systèmes d'information seront capables d'effectuer ce tri à la fois efficacement et rationnellement. La seconde réside dans la tendance croissante 3 qu'ont les gouvernements à imposer aux organisations du secteur privé, pour des raisons d'intérêt public, des obligations en matière de collecte, de conservation et de communication de données, qui dépassent le cadre des activités naturelles de ces organisations. Ainsi les établissements financiers, les exploitants de réseaux de télécommunications et les compagnies aériennes sont-ils à présent associés à des traitements de données qui vont manifestement au-delà de ce qui les intéresse et qui semblent être en contradiction avec les attentes légitimes en matière de respect de la vie privée. La 28e Conférence internationale, qui s'est tenue à Londres, a permis non seulement de débattre de ces évolutions et des questions qui y sont liées et de mieux les faire connaître, mais aussi de répondre aux problèmes qu'elles posent en matière de respect de la vie privée et de protection des données. À l'issue de cette conférence, une déclaration intitulée "communiquer sur la protection des données et la rendre effective", qui a reçu le soutien général d'autorités de protection des données du monde entier, a été présentée 3 . Voici quelques points importants de l'"initiative de Londres": • la protection de la vie privée et des données personnelles est un impératif vital pour toute société démocratique, au même titre que la liberté de la presse ou la liberté d'aller et venir. La protection de la vie privée et des données est peut-être aussi précieuse que l'air que nous respirons. Tous deux sont invisibles, mais les conséquences sont tout aussi désastreuses quand ils viennent à manquer. • Les commissaires à la protection des données et à la vie privée devraient concevoir une nouvelle stratégie de communication afin de sensibiliser davantage le public et les acteurs concernés à ces droits et à leur importance. Ils devraient s'engager dans un effort considérable de sensibilisation à long terme et évaluer les effets de ces actions. • Les commissaires devraient aussi mieux communiquer sur leurs propres activités et rendre la protection des données plus concrète. C'est seulement si ces actions sont présentées de manière compréhensible, accessible et parlante au grand public que 3 Voir les actualités du 3 novembre 2006 sur le site internet du CEPD: www.edps.europa.eu 4 l'on sera en mesure d'influencer les opinions publiques et d'être entendu par les responsables politiques. • Les commissaires devraient évaluer leur efficacité et, si besoin est, adapter leurs pratiques. Ils devraient être dotés de pouvoirs et de ressources suffisants, mais y recourir de manière sélective et pragmatique tout en se concentrant sur les dommages graves ou probables ou sur les principales menaces pesant sur les personnes. • Les commissaires devraient renforcer leurs capacités dans les domaines technologiques, à des fins de prospective, d'expertise et d'intervention, en étroite coopération avec la recherche et l'industrie dans le domaine des nouvelles technologies et mettre ces travaux en commun. L'image excessivement "juridique" de la protection des données doit être corrigée. • Les commissaires devraient promouvoir l'association d'autres acteurs compétents en matière de protection des données et de vie privée sur les plans national ou international, tels que la société civile et les ONG, afin de développer, si nécessaire, des partenariats stratégiques en vue de rendre leur travail plus efficace. Les commissaires se sont lancés dans un programme d'activités de suivi dans ce sens et ont évalué récemment, au cours de leur 30e conférence, qui s'est tenue à Strasbourg en octobre 2008, les progrès réalisés. Dans l'avenir proche, ils continueront à privilégier, dans le cadre de leurs stratégies, une meilleure communication et une protection efficace des données. Étant Contrôleur européen de la protection des données et un des principaux auteurs de l'initiative de Londres, j'ai résolument appuyé ces efforts. La nécessité de protéger utilement les données a également joué un rôle moteur dans mes activités de consultation. Il va de soi que l'"effet utile" est non seulement une notion juridique, mais aussi une nécessité pratique qui a une incidence stratégique considérable. Après tout, le droit au respect de la vie privée et à la protection des données à caractère personnel 4 ne peut avoir un effet utile que dans la pratique, et c'est certainement le cas dans les situations où le besoin de protection se fait le plus sentir. 4 Voir les articles 7 et 8 de la Charte des droits fondamentaux de l'UE, qui deviendront contraignants une fois que le traité de Lisbonne aura été ratifié. 5 L'on peut tirer de ce qui précède trois conclusions principales: tout d'abord, l'UE et ses États membres doivent mettre pleinement en application le cadre existant en matière de protection des données, ensuite, ils doivent garantir une protection adéquate dans les domaines qui ne sont pas encore couverts ou qui requièrent une protection supplémentaire et, enfin, ils doivent faire en sorte que cette protection continue d'avoir un effet utile en fonction de l'évolution des circonstances. La directive de l'UE sur la protection des données à caractère personnel (directive 95/46/CE) reste l'élément le plus important du cadre juridique actuel en matière de protection des données. La Commission européenne a préconisé une meilleure mise en application des principes de cette directive dans le droit national et a entamé plusieurs actions en vue d'atteindre cet objectif, et notamment des procédures d'infraction à l'encontre de certains États membres - une démarche que j'ai pleinement soutenue.5 Le fait que les autorités nationales chargées de la protection des données coopèrent pour préciser certaines dispositions capitales de la directive ou qu'elles prennent des initiatives communes de mise en application contribue également à la réalisation de cet objectif. 6 La directive 95/46/CE ne s'applique pas aux domaines répressifs qui relèvent actuellement du "troisième pilier" de l'UE: la coopération policière et judiciaire en matière pénale. Il s'agit de domaines dans lesquels il est évident que des garanties adéquates sont nécessaires, mais dans lesquels il a été difficile de dégager des conclusions dans le cadre des arrangements institutionnels actuels, qui requièrent l'unanimité. L'on est à présent proche de l'adoption d'un cadre général en matière de protection des données, mais il est clair que ce cadre devra être amélioré, éventuellement sur la base d'autres arrangements institutionnels. La nécessité d'une amélioration se fait également sentir à présent dans le cadre du "premier pilier" de l'UE, en particulier dans les domaines où l'interaction avec la technologie de l'information joue un rôle très important. 5 Avis du contrôleur européen de la protection des données sur la communication de la Commission au Parlement européen et au Conseil relative au suivi du programme de travail pour une meilleure mise en application de la directive sur la protection des données, JO C 255 du 27.10.2007, p. 1. 6 Voir le programme de travail 2008-2009 du groupe "Article 29", adopté le 18 février 2008, document WP 146, disponible sur le site internet de ce groupe: http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2008/wp146_fr.pdf 6 Le Parlement européen et le Conseil procèdent actuellement au réexamen de la directive vie privée et communications électroniques (la directive 2002/58/CE). Ce réexamen débouchera probablement sur l'instauration d'une obligation de notifier aux autorités compétentes et aux personnes concernées, dans certaines conditions, les violations de la sécurité ayant pour effet de compromettre les données à caractère personnel. Les citoyens seront ainsi davantage sensibilisés à la nécessité de continuer à améliorer la sécurité et à renforcer la protection des données à caractère personnel. L'on peut également s'attendre à des améliorations, nécessaires, liées à l'introduction et à l'utilisation croissante de la technologie d'identification par radiofréquence (RFID) en vue d'identifier les biens de consommation et peut-être également d'observer les comportements individuels. La Commission européenne a annoncé qu'elle publierait une recommandation afin de préciser certains principes primordiaux relatifs à la protection des données dans ce domaine et afin d'encourager les formules d'autorégulation. J'ai préconisé l'adoption d'actes législatifs appropriés si ces formules devaient s'avérer insuffisantes ou inefficaces. 7 Les cadres généraux et les autres instruments mentionnés jusqu'à présent jouent également un rôle important quand de nouvelles actions ou de nouvelles mesures législatives susceptibles d'avoir une incidence sur la protections des données à caractère personnel sont proposées. En effet, dans ce cas, les règles existantes servent alors aussi de critères permettant de décider si les nouvelles initiatives sont acceptables et conformes aux normes en matière de protection des données, ou si elles doivent être modifiées ou assorties de garanties supplémentaires. Une de mes tâches essentielles en tant que Contrôleur européen de la protection des données est d'assurer un suivi adéquat de ces questions à l'intention de la Commission, du Parlement et du Conseil. Enfin, il convient de veiller à ce que les cadres existants continuent à être efficaces étant donné l'évolution sociale et économique, l'avènement de nouvelles technologies et la mondialisation. 7 Avis du contrôleur européen de la protection des données sur la communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions intitulée "L'identification par radiofréquence (RFID) en Europe: vers un cadre politique", document COM(2007) 96, JO C 101 du 23.4.2008, p. 1. 7 C'est la raison pour laquelle, tout en apportant mon plein appui à l'appel de la Commission en faveur d'une meilleure mise en application de la directive 95/46/CE – j'ai affirmé qu'un réexamen de la directive était inévitable dans un proche avenir et qu'il était capital de le préparer et de le planifier convenablement. 8 Je me réjouis que de premières démarches circonspectes en vue d'un réexamen de la directive, sous la forme d'études préparatoires, aient été entreprises à présent, et j'attends avec intérêt toutes les avancées qui auront lieu ultérieurement dans la bonne direction. 8 Voir l'avis mentionné dans la note en bas de page n° 5.