Rechercher un rapport, une publication, un expert...
Etude
Décembre 2019

Données personnelles :
comment gagner la bataille

Auteur
François Godement
Expert Résident, Conseiller spécial - Asie et États-Unis

François Godement est Expert Résident principal et Conseiller spécial – Asie et États-Unis à l’Institut Montaigne. Il est également Nonresident Senior Fellow du Carnegie Endowment for International Peace et assistait le ministère de l’Europe et des Affaires étrangères français en tant que consultant externe  jusqu'à l'été 2024.

Viviana Zhu
Analyste Chine - Anciennement Research Fellow - programme Asie, Institut Montaigne

Viviana Zhu était Research Fellow à l'Institut Montaigne jusqu'en janvier 2023. Avant cela, elle était coordinatrice du programme Asie à l’European Council on Foreign Relations (ECFR)

"Les gentlemen ne lisent pas le courrier des autres". Dans la réalité, ils le font parfois, légalement ou subrepticement. 

Mais l'ère numérique ne peut être désinventée, et il ne peut y avoir de droits individuels sans respect de la vie privée. La manière dont les sociétés relèvent ce défi est donc une question qui nous concerne tous.

Dans cette nouvelle étude, nous produisons uneévaluation concrète des principaux systèmes de régulation des données personnelles (Union européenne, Chine et Inde), en nous fondant sur un équilibre délicat à atteindre entre trois objectifs essentiels : 

  • le respect de la vie privée, et donc des données personnelles

  • l’efficacité économique, autrement dit les gains économiques pour les individus comme pour les entreprises ; 

  • l’intérêt public, notion allant ici de la sécurité nationale à la recherche médicale par exemple. 

Protection de la vie privée numérique en UE, Chine et Inde

Le RGPD, une prouesse réglementaire européenne

Avec ses88 pages se concentrant sur la collecte et le traitement des données à caractère personnel, le RGPD crée cet équilibre entreprotection des personnes physiques, nécessité commerciale de libre circulation des données, et exemptions de cette protection lorsque des exigences légales ou l’intérêt public sont en jeu.

L’une des innovations du RGPD est de prévoir une coopération entre autorités nationales pour les affaires transfrontalières. Celle-ci passe par un mécanisme de guichet unique, où une autorité de contrôle chef de file doit d’abord être désignée. Cependant, la réalité est moins impressionnante car le mécanisme ne s’applique pas si l’entité qui est en cause exerce ses activités en dehors de l’UE. De la même manière, il ne différencie pas assez précisément l’établissement légal du lieu d’exercice réel des opérations de cette entité. Dès lors, le risque est évidemment celui de 28 guichets différents.

Les amendes infligées sont fondées sur des montants ex ante, avec des plafonds proportionnels au chiffre d’affaires. Les sanctions devraient aussi s’appuyer sur des actions en dommages ex post, et ceci implique très largement une bascule vers une réelle évaluation des dommages causés et donc des recours en justice. La raison est simple : les entreprises font souvent un calcul coûts/bénéfices pour se conformer au règlement. Les individus devraient obtenir des réparations, y compris par des actions de groupe, en cas de violation de leur vie privée.

La technologie est une frontière qui évolue rapidement, et il est impossible de prédire quels types de données deviendront personnelles, sensibles ou critiques. Les données collectées ne peuvent souvent être complètement effacées. Ce qui peut être plus sûrement réglementé, c’est l’usage qui est fait des données collectées, y compris dans leur interprétation.

Notre tableau de la protection des données inclut deux études de cas sur l’Inde et la Chine. L’Inde est le plus grand marché mondial de données et représente le plus grand nombre d’usagers au monde. La Chine occupe une place de plus en plus stratégique dans les débats concernant le respect de la vie privée.

L’Inde, un mix numérique entre l’UE et la Chine

Après la décision de la Cour suprême de l’Inde sur le respect de la vie privée comme garanti par la Constitution, le projet de loi Personal Data Protection Bill (PDPB) a été rédigé par un groupe d’experts en 2018 et approche le stade de l’examen législatif. Il suit largement le RGPD, fixant des obligations aux fiduciaires de données et accordant des droits aux individus. Il met en place une autorité nationale de protection des données, introduit des pénalités financières en cas de non-conformité, mais autorise largement les autorités à outrepasser les restrictions dans des cas qui concernent la sécurité nationale ou l’intérêt public.

L’Inde est aussi une société mouvante, un terrain de bataille pour les questions de respect de la vie privée et de la souveraineté sur les données ou de leur libre circulation. Avec des inquiétudes sur la sécurité des données des applications chinoises et la prédominance des GAFA américaines dans le commerce en ligne, certains militent pour une localisation des données au nom de la souveraineté et de la sécurité. Cette revendication est souvent considérée comme un soutien à l’industrie et aux entreprises locales. L’Inde semble être un pont entre le modèle européen et celui de la Chine. Elle modèle sa législation sur le RGPD mais utilise la souveraineté comme un outil de politique industrielle.

Le PDPB laisse à la discrétion du gouvernement central des décisions importantes. Le contrôle sur l’espace numérique se voit dans des instruments tels que des lignes directrices sur la modération de contenu pour des intermédiaires de données. L’accès facilité aux données et codes sources se retrouve dans le projet de loi sur les intermédiaires de données et celui sur le commerce en ligne. Ainsi, la régulation peut aussi pencher vers le modèle chinois, mettant en exergue la sécurité nationale et le contrôle de la libre circulation des données.

La Chine, l’État-surveillance avec les inquiétudes qui en découlent sur la protection de la vie privée

Avec la Chine, nous entrons dans un tout autre monde. Derrière son pare-feu, ceux que l’on appelle les "BAT" (Baidu, Alibaba et Tencent) collectent et traitent plus de big data que n’importe quel autre concurrent étranger. En pratique et même avec une réglementation assez lacunaire sur ce point, le gouvernement a un accès illimité aux données. Le débat public général sur le respect de la vie privée est dès lors axé sur la sécurité des données, dans le cadre de la sécurité nationale, plutôt que sur la protection de la vie privée.

La loi sur la cybersécurité de la Chine (2017) offre en principe une protection aux usagers. Toutefois, elle est biaisée en faveur des droits de l’État, ceux des individus étant vagues ou au conditionnel. Cette loi fondatrice a été suivie d’une série d’autres lois, réglementations et normes supplémentaires. La plus importante est la spécification de 2018 sur la sécurité des informations personnelles (PIS), qui emprunte certaines caractéristiques au RGPD mais diffère sur d’autres. Son obligation de consentement est moins stricte, le résultat d’un compromis trouvé entre représentants des entreprises et des experts.

L’État de surveillance chinois peut concevoir de protéger les individus en tant que consommateurs contre les intérêts commerciaux prédateurs. Il ne l’accepte pas contre lui-même. Les lois et réglementations peuvent être interprétées à volonté, au moyen de catégories "autres" mal définies.
 

Données de santé et respect de la vie privée : un tournant positif

Les données de santé : respect de la vie privée, efficacité économique ou intérêt public ?

Le secteur de la santé est notre étude de cas. La santé numérique a initié une révolution en accélérant la recherche en même temps qu’elle facilite les soins à la base. Mais tout ceci repose sur une connaissance et une prédictablité extrêmement détaillées de l’état de santé d’un individu. Dès lors, pour la protection de la vie privée, cela introduit les défis les plus essentiels qu’on puisse trouver en dehors du cas d’un État de surveillance.

Le RGPD n’a dans ce domaine que des prescriptions génériques et reste plus ouvert à l’utilisation de données médicales par des entités publiques que privées. Les Européens ont depuis longtemps construit des bases de données de santé analogiques ou numériques pour leurs États-providence. Mais celles-ci étaient régulièrement collectées pour des remboursements plutôt que pour des raisons médicales, ou a fortiori pour la recherche. La France par exemple, avec une impulsion désormais ferme en termes de politique publique, n’est qu’à mi-chemin sur ces questions.

L’approche indienne paraît pour l’instant sommaire sur le front réglementaire, alors que des évolutions numériques majeures sont en cours. Une importante loi sur la protection des données de santé, DISHA, a été soumise au Parlement. Elle est si protective des données qu’elle sera difficile à appliquer, ou sera un frein à la recherche médicale.

En revanche, les stratégies numériques chinoises conçoivent les données de santé comme partie intégrante du développement médical et de l’industrie pharmaceutique en tant que ressource économique. Il y a peu de garde-fous, et la Chine encourage les entreprises étrangères à utiliser son cadre réglementaire laxiste sur le big data.

1
Renforcer le contrôle, l’application et l’adaptabilité du RGPD
Détails

Une règle n'est jamais meilleure que sa mise en œuvre réelle. Un RGPD révisé devrait éviter les restrictions nuisant à un processus de décision unique. Il devrait mettre l’accent sur la clarté, la simplicité et la facilité de la mise en œuvre.

2
Rendre les politiques de confidentialité plus lisibles et ergonomiques
Détails

L’expérience utilisateur (UX) est aussi importante que la compréhension des règles par les utilisateurs. L’amélioration de l’expérience utilisateur est essentielle pour atteindre l’un des objectifs premiers du RGPD : permettre aux particuliers de reprendre le contrôle de leurs données personnelles.

3
Assurer le respect effectif de la vie privée dès la conception (privacy by design)
Détails

Les individus devraient être déchargés de décisions qu’ils ne peuvent prendre, et il y a dès lors un besoin de politiques, de lignes directrices et d'instructions claires en matière de respect de la vie privée dès la conception.

4
Donner le droit effectif d’obtenir une explication dans le cadre du RGPD
Détails

Le public a le droit d’obtenir une explication quant aux décisions prises par un traitement automatisé. L’explicabilité, la fiabilité, la responsabilité et la transparence des algorithmes doivent être garanties, particulièrement dans le secteur public.

5
Créer la possibilité de recours en responsabilité et dommages (tort and litigation)
Détails

Réguler requiert aussi de s’appuyer sur des actions ex post, et de créer un cadre imposant une plus grande responsabilité délictuelle. En échange de la mise en place de recours judiciaires en responsabilité ex post, l’exigence de transparence des algorithmes privés pourrait être moindre.

6
Introduire des réglementations sectorielles
Détails

Certains secteurs ont besoin d’une réglementation spécifique et plus précise. Celle-ci devrait être encouragée dans le secteur de la santé, des services financiers et des données de la police.

7
Créer des données de santé simulées pour améliorer l’anonymisation
Détails

Les données de santé simulées sont une technologie nouvelle qui apporte des solutions tant pour les besoins de la recherche sur le big data en matière de santé que pour les garanties de confidentialité des données. Des études complémentaires sont nécessaires sur l’équilibre à tenir concernant ces deux nécessités.

Recevez chaque semaine l’actualité de l’Institut Montaigne
Je m'abonne