British Chamber of Commerce in Belgium

Chambre de commerce britannique en Belgique
Comité sur les TIC 1 – Table ronde du petit-déjeuner:
«Prévention de la perte de données – Les données sensibles quittent-elles votre
organisation?»
Bruxelles, le 9 mars 2010
_____________________________________________________________________
«Renforcer la protection des données: défis et opportunités»
Peter Hustinx
Contrôleur européen de la protection des données
Mesdames et Messieurs,
C'est avec grand plaisir que je prends la parole lors de cette table-ronde autour d'un
petit-déjeuner matinal.
Je suis partisan d'une prise en main précoce qui conduit souvent à de meilleures
solutions. C'est essentiellement la raison pour laquelle j'aimerais avoir une approche
proactive sur les questions de protection des données. Le thème de ce jour est un bon
exemple: quelles mesures peut-on et doit-on prendre pour améliorer la gestion des
données dans les organisations?
The Economist a publié la semaine dernière un rapport spécial intéressant: il couvrait
les divers aspects de ce que l'on a appelé «le déluge de données». Voici une citation
de l'article principal (page 11):
«Le déluge de données peut avoir un impact positif – si les consommateurs,
les sociétés et les gouvernements choisissent le bon moment où il est opportun
de restreindre le flux de données, et celui où il faut, au contraire,
l'encourager».
1
Technologies de l'information et de la communication (TIC)
«Mais le déluge de données est également un facteur de risques. Nous ne
manquons pas d'exemples sur le vol de bases de données: disparition de
disques remplis de données sur la sécurité sociale, oubli d'ordinateurs
portables contenant des dossiers fiscaux dans des taxis, vol de numéros de
cartes de crédit sur les sites de détaillants en ligne. Il en résulte des violations
de la vie privée, des vols d'identité et des fraudes à l'identité».
«Paradoxalement, la meilleure façon de traiter les inconvénients de ce déluge
de données consiste à rendre les informations disponibles de façon appropriée,
en exigeant une plus grande transparence et ce, dans plusieurs domaines. En
premier lieu, les utilisateurs devraient avoir davantage accès aux informations
qui les concernent ainsi qu'à leur contrôle, y compris l'accès aux personnes
avec lesquelles ils les partagent. (…….) Deuxièmement, les organisations
devraient avoir l'obligation de divulguer des renseignements sur les violations
de la vie privée, comme c'est déjà le cas dans certaines parties du monde, afin
d'encourager les décideurs à prendre plus au sérieux la sécurité des
informations. Troisièmement, les organisations devraient être soumises à un
audit de sécurité annuel, avec publication des résultats (……). Les sociétés
seraient ainsi incitées à mettre à jour leurs mesures de sécurité».
Cet article est intéressant à plusieurs titres: il décrit un problème croissant en quelques
termes qui parleront à beaucoup et suggère trois éléments de solution qui reposent sur
plus de transparence. Le premier – donner plus d'accès aux utilisateurs – est fondé sur
le cadre juridique actuel pour la protection des données. Le second – divulgation des
violations de la vie privée – a été récemment adopté en principe et sera prochainement
développé plus en détail. Le troisième – audits de sécurité annuels et publication des
résultats – pourrait très bien faire partie des dispositions futures visant à une meilleure
obligation de rendre compte dans ce domaine.
Dépendance TIC
Prenons du recul et regardons ces questions d'un point de vue général; les
technologies de l'information et des communications (TIC) sont de plus en plus
omniprésentes et nos sociétés dépendent de plus en plus de leur utilisation généralisée
et de leur fonctionnement correct. Les avantages sont énormes, mais il y a également
des revers considérables et ces derniers sont récemment devenus plus visibles. Parmi
eux, on note une vulnérabilité accrue de nos sociétés aux problèmes liés à ces
technologies et à leur impact sur nos vies personnelles et notre bien-être social.
2
Certains y voient l'émergence d'une «société de surveillance» où les individus sont
observés de façon permanente et évalués par des outils technologiques.
On peut se demander si une «société de surveillance» est un phénomène à éviter ou –
dans le cas où elle existe déjà – à prendre en compte. Dans les deux cas, la protection
des données devient de plus en plus pertinente au lieu du contraire. Il semble
approprié de mentionner ici le discours récent de Hillary Clinton sur la nécessité de
garantir que la façon dont l'internet – et la société de l'information dans son ensemble
– fonctionne est en accord avec nos valeurs de base. Notre intérêt est donc de garantir
que la protection des données devienne en pratique de plus en plus efficace, que les
personnes concernées soient mieux habilitées à réagir, et que nous assistions à une
meilleure «gouvernance des données». En bref: la façon dont nous avons jusqu'à
présent géré ces questions en tant que société n'est plus désormais assez bonne pour
les défis qui nous attendent.
Les sondages d'opinion, Eurobaromètre 2008 par exemple, confirment cette
conclusion: 64 % en moyenne des citoyens de l'UE sont préoccupés ou très
préoccupés par la protection de leurs données personnelles. Dans certains pays,
comme l'Allemagne et l'Autriche, ce pourcentage est encore plus élevé et avoisine
90 %. 48 % seulement des citoyens de l'UE pensent que leurs données sont
correctement protégées. Une large majorité (77 %) pense que la raison en est aussi
une prise de conscience limitée de ces aspects.
Le point de vue des organisations a nettement évolué depuis les années 1990. Une très
large majorité (91 %) pense désormais que les conditions d'une loi sur la protection
des données sont nécessaires et utiles, mais une majorité (63 %) pense que des
améliorations sont nécessaires dans la mise en œuvre de ces conditions.
Violation des données
Une partie importante de cette question concerne le problème de la violation des
données ou de la sécurité, qui est essentiel dans cette réunion. Certains se demandent
si le nombre de violations augmente ou tout simplement si celles-ci deviennent plus
visibles. Selon moi, les deux affirmations sont sans doute vraies. Au Royaume-Uni,
cette question de la violation des données est devenue un problème très embarrassant
avec plus de 300 cas graves de violation de données signalé chaque année, dans tous
les secteurs, à la fois publics et privés. Il y a eu également de sérieux scandales en
Allemagne et dans d'autres états membres de l'UE.
3
J'ai le sentiment que nous sommes en présence d'un problème structurel d'une société
de l'information, auquel il faut s'attaquer de façon urgente. Il faut améliorer
l'obligation de rendre compte de l'e-Environnement. Si nous n'agissons pas
correctement, ce problème risque de nuire gravement à la confiance dans ce nouveau
monde et ses interfaces avec la e-Health, le e-Government, etc.
Des termes tels que «gouvernance des données» et «obligation de rendre compte»
aident à souligner qu'il ne s'agit pas uniquement d'une affaire de conformité aux règles
juridiques mais que cela va bien au-delà de ce qu'un service juridique, quel qu'il soit,
peut gérer. Il ne suffit pas non plus d'améliorer les TIC ou la formation du personnel.
C'est uniquement lorsque tous ces éléments seront pris ensemble et considérés comme
un tout qu'il sera possible de développer une approche efficace. C'est le constat qui
émerge clairement de toutes les preuves en cas de violation de données. La
gouvernance des données et l'obligation de rendre compte sont des problèmes
essentiels qui doivent être traités comme des questions stratégiques au niveau du
Conseil.
Opportunités
À ce stade, permettez-moi de mentionner qu'il existe également des opportunités
intéressantes qui pourraient être utilisées efficacement. L'une d'entre elles est l'entrée
en vigueur du Traité de Lisbonne fin 2009, qui a accentué la question des droits
fondamentaux – et entre autres de la protection des données et de la vie privée – dans
les prises de décision de l'UE. Le Traité de Lisbonne a également introduit une base
juridique qui permet une approche plus horizontale et plus cohérente de la protection
des données dans tous les différents secteurs.
Cette entrée en vigueur a coïncidé avec une consultation publique par la Commission
européenne qui visait à comprendre comment le cadre juridique de la protection des
données pourrait répondre au mieux aux défis de la globalisation et des changements
technologiques. Vous trouverez la plupart des réactions à cette consultation sur le site
de la Commission. Il en ressort essentiellement qu'il faut rendre les principes actuels
sur la protection des données plus efficaces en pratique.
En troisième lieu, la nouvelle Commission portera toute son attention sur le citoyen et
ceci concernera également son agenda numérique ainsi que d'autres « e-initiatives ».
Mme Reding qui, comme vous le savez, est le Commissaire responsable de la Justice,
des Droits fondamentaux et de la Citoyenneté, a fait de la protection des données sa
4
priorité essentielle. Mme Kroes, qui lui succède à la Société de l'information, se
penchera également sur le volet de la «confiance dans les TIC».
Bien sûr, des évolutions récentes au Parlement ont souligné de façon différente
l'importance de porter une attention adéquate aux questions de protection des
données.
Tendances pertinentes
Dans ce contexte, je m'attends à l'avènement de certaines initiatives prépondérantes
qui iront dans le sens de mesures de protection des données plus horizontales et plus
globales. Les distinctions entre les précédents «premier» et «troisième» piliers sont
devenues beaucoup moins pertinentes qu'auparavant. Quoi qu'il en soit, un cadre
commun de principes, plus ou moins les mêmes principes que nous avons à l'heure
actuelle, mais avec une mise en œuvre plus efficace, s'avère nécessaire.
Le nouvel élément sera probablement un recadrage sur les garanties technologiques
permettant d'assurer la conformité à la protection des données. La «prise en compte
du respect de la vie privée dès la conception»2 sera probablement introduite comme
un nouveau principe, non seulement applicable aux responsables du traitement, mais
aussi aux fournisseurs et aux développeurs. Les paramètres du concept de «prise en
compte du respect de la vie privée dès la conception» seront également applicables
dans des domaines spécifiques tels que les applications d'identification par
radiofréquence (RFID), les sites de réseaux sociaux ou l'informatique en nuages.
Autre élément nouveau, les responsables devront disposer de plus de contrôle sur les
systèmes dont ils sont responsables. Le principe «d'obligation de prise en compte»
signifie qu'ils doivent non seulement assurer la conformité aux règles et principes de
protection des données mais aussi démontrer qu'ils ont pris les mesures nécessaires
pour garantir cette conformité. Il faudra prouver le respect de cette obligation et
développer tous sortes de services d'assurance, y compris des évaluations des facteurs
relatifs à la vie privée, des audits sur la vie privée, etc.
L'introduction d'une disposition générale sur les notifications de violation de sécurité,
comme cela a déjà été annoncé par la Commission, n'est de ce point de vue qu'un
2
Le concept de "Privacy by Design"
5
exemple d'une incitation «a posteriori» à une meilleure sécurité des données et par
conséquent à une meilleure obligation de rendre compte.
Le terme «incitation» revêt une grande importance. Nous devons attribuer des
«incitations» à une protection plus efficace des données de façon à ce qu'une
conformité régulière soit plus atteignable en pratique.
Nous devons également renforcer les autres acteurs principaux. Les personnes
concernées devraient pouvoir exercer leurs droits plus facilement et plus
efficacement. Il faut attribuer aux autorités de protection des données des pouvoirs de
mise en application plus solides; elles doivent être capables de définir des priorités et
d'opérer de meilleurs choix pour être plus efficaces dans leurs tâches de supervision et
de mise en application.
Remarques de clôture
Permettez-moi de récapituler brièvement quelques points fondamentaux.
- Premièrement: la pertinence de la protection des données et de la vie privée s'accroît
– et non le contraire comme certains acteurs continuent à le prétendre sur l'internet.
Au niveau de l'UE, il est très clair que la vie privée est devenue un «sujet brûlant».
- Deuxièmement: la vie privée et la sécurité doivent être prises en compte et élaborées
à partir de processus pertinents afin de garantir les meilleurs résultats possibles et
d'éviter des changements de dernière minute. En d'autres termes: la «prise en compte
du respect de la vie privée dès la conception», c'est aussi une bonne pratique et une
politique intelligente.
- Troisièmement: de bonnes règles juridiques sont nécessaires mais pas suffisantes. Il
faut toujours mettre l'accent sur une protection efficace des données en pratique.
Enfin: des défis importants nous attendent, mais nous avons aussi des opportunités
très importantes à ne pas laisser passer. Si nous les utilisons bien, nous pouvons faire
face aux défis et rendre la protection des données suffisamment efficace pour garantir
la confiance dans la société de l'information.
Merci beaucoup.
6