2. Renforcer la confiance du citoyen dans la société du numérique par la création de labels « protection des données »
Pour que le citoyen puisse devenir acteur de sa propre protection , il faut non seulement, comme il vient d'être indiqué, qu'il ait été sensibilisé aux enjeux du numérique au regard du droit à la vie privée, mais encore qu'il dispose de l'information pertinente pour identifier, parmi les innombrables produits ou procédures proposés sur le marché, ceux qui offrent des garanties renforcées en matière de protection des données.
Il s'agit là d'une condition essentielle pour préserver le climat de confiance entre les nouvelles technologies et les utilisateurs.
C'est pourquoi vos rapporteurs sont convaincus de la nécessité de créer et généraliser des labels « protection des données personnelles » qui, parce qu'ils répondent à une attente forte des citoyens, sont susceptibles de procurer aux entreprises un avantage concurrentiel significatif (a).
Aussi ne peuvent-ils que se féliciter de l'intervention récente du Sénat pour permettre le lancement effectif de la labellisation en France (b), tout en étant conscients qu'à l'heure de la mondialisation, il faut prioritairement agir au niveau européen voire international (c).
a) Une exigence pour les citoyens, un outil de compétitivité pour les entreprises
(1) Une exigence pour les citoyens
Au cours des auditions conduites par vos rapporteurs, de nombreuses personnes ont regretté l'absence d'information relative au niveau de protection offert par les différents produits ou procédures proposés sur le marché en matière de droit à la vie privée.
Cette lacune contraste avec l'information délivrée aux consommateurs dans de nombreux domaines tels que la restauration, l'automobile ou l'environnement. On sait ainsi qu'un hôtel 4 étoiles offre de bonnes prestations, qu'un véhicule 5 étoiles est très résistant et qu'un congélateur de classe A + consomme peu d'énergie. Ces informations sur la qualité des produits semblent donner entière satisfaction aux consommateurs et leur fournissent des repères très utiles pour orienter leurs achats.
Ce besoin d'information est peut-être encore plus fort dans le domaine du numérique compte tenu de l'abondance des produits existants, de leur technicité et de leur caractère relativement récent.
Il est ainsi probable qu'à prix et service égaux, un utilisateur privilégierait s'il a le choix un produit labellisé, et que même à prix plus élevé ou service moindre, il pourrait refuser une technologie intrusive au profit d'une technologie dont le label lui assure un niveau de protection supérieur.
Concrètement, un tel label pourrait récompenser des protocoles, standards et outils limitant, voire supprimant, la collecte des données à caractère personnel , ce que les Américains appellent les « Privacy Enhancing Technologies » (ou « PET »), c'est-à-dire les technologies renforçant le droit à la vie privée.
A titre d'exemple, ce label pourrait être décerné à un standard permettant l'anonymisation complète de l'adresse IP . Rappelons, à cet égard, que s'il faut saluer les prises de position du G29 tendant à raccourcir les délais de conservation des données détenues par les moteurs de recherche, il semble illusoire de se focaliser sur la seule durée de conservation si la méthode d'anonymisation des données mise en oeuvre n'est pas d'une grande robustesse. Marc Rotenberg, responsable de l'EPIC 77 ( * ) , a ainsi condamné certaines méthodes d'anonymisation qui s'apparentent, selon lui, à celles qui consistent à dissimuler uniquement les derniers chiffres d'un numéro de téléphone.
De même, un tel label pourrait utilement aider les consommateurs à faire un choix éclairé en matière de technologie RFID. Il pourrait en effet récompenser les puces qui sont automatiquement désactivées (cf. supra ) dès qu'elles ont rempli leur fonction, par exemple à la sortie d'un magasin où le produit était étiqueté, ou qui, à tout le moins, prévoient que, par défaut, leur contenu ne peut être lu que par leurs propriétaires, à charge pour eux de paramétrer éventuellement la puce s'ils souhaitent que d'autres personnes y aient accès. Il s'agit d'un enjeu important car les consommateurs détiennent, souvent à leur insu, de nombreuses puces RFID (badge d'accès à une voiture, un parking, étiquettes sur un produit alimentaire...) susceptibles de contenir des informations à caractère personnel qu'une personne malveillante située à proximité peut être capable de capter.
Enfin, un label « protection des données » pourrait être décerné à des sites Internet proposant, par défaut, des paramètres basés sur un haut niveau de protection , sachant qu'en pratique, ils sont rarement modifiés par les utilisateurs. Ainsi pourrait-il être attribué aux réseaux sociaux qui, par défaut, proposent un profil de consultation des données limité aux seuls amis du membre du réseau et non à tous les internautes.
(2) Un outil de valorisation et de compétitivité pour les entreprises
Compte tenu de l'attente des utilisateurs décrite plus haut, vos rapporteurs sont convaincus que les entreprises ont tout intérêt à faire de la protection des données personnelles de leurs clients un axe fort de leur développement et solliciter ainsi l'octroi d'un label marquant cette préoccupation. Ce label est en effet susceptible de leur procurer un avantage concurrentiel significatif dès lors qu'il devrait apparaître aux yeux des consommateurs comme un label de qualité de nature à orienter leurs achats.
Comme l'a proclamé la 30 ème conférence mondiale des commissaires à la protection des données et de la vie privée, qui s'est tenue à Strasbourg en octobre 2008, « la protection des données ne doit pas être considérée comme un obstacle au développement économique mais bien comme une valeur ajoutée dans les relations avec les consommateurs et les citoyens ».
C'est ce que résume la formule, prononcée notamment par M. Arnaud Belleil, vice-président de l'Association Française des Correspondants aux Données Personnelles, lors de son audition : « Privacy is good for business » (littéralement : « le respect de la protection des données est bon pour les affaires »).
Faire de la protection des données personnelles un facteur de différenciation concurrentiel suppose toutefois que soit prise en compte cette exigence très en amont, dès la conception des produits (par exemple des logiciels ou des puces RFID), traduction de que les spécialistes appellent la « Privacy by design » (« protection des données dès la conception »).
A titre d'exemple, il semble que l'entreprise Microsoft ait décidé de faire protection de la vie privée un outil de valorisation et de compétitivité .
Lors de leur audition, les représentants de cette société ont ainsi fait valoir :
- que l'entreprise avait été l'une des premières à nommer, il y a près de dix ans, un Responsable de la Protection de la vie privée ;
- qu'elle a rendu publique, le 22 juillet 2007, une nouvelle politique de confidentialité, en matière de publicité en ligne et de recherche sur Internet 78 ( * ) . Sur ce dernier point, les représentants de la société ont rappelé que, conformément à l'avis du G29 sur les moteurs de recherche, Microsoft ne conservait les données de requête que six mois , et militait pour que cette durée devienne le standard de l'ensemble du secteur, le moteur de recherche de Microsoft ne représentant toutefois que 2 % du marché européen. Ils ont ajouté que la société avait mis en place une méthode d'anonymisation complète des données de connexion à l'issue de cette période, fondée sur une « Privacy Enhancing Technology ».
* 77 Comme il a déjà été indiqué, l'EPIC (Electronic Privacy Information Center) est une puissante association américaine qui défend le droit à la vie privée qu'elle estime menacée par le développement des nouvelles technologies.
* 78 Microsoft a développé un moteur de recherche au même titre que Google et Yahoo.