Un même statut juridique pour les données locales et distantes ?

Normalement, les droits d'une personne ne sont pas à géométrie variable. Qu'elle soit à la maison ou en déplacement, on s'attend naturellement à ce qu'elle bénéficie du même niveau de protection. En effet, il serait pour le moins étrange de constater que le droit à la vie privée n'est pas le même selon si vous êtes chez vous, au bureau ou en déplacement, sous prétexte que ce n'est pas le même endroit.

Cependant, si une certaine constance peut être heureusement observée dans la vie de de tous les jours, qu'en est-il de la sphère numérique ? Nos données personnelles profitent-elles de la même protection selon qu'elles se trouvent hébergées localement sur son propre ordinateur, ou hébergées à distance sur le serveur d'un site tiers comme un réseau social ?

Si cela n'était pas encore problématique il y a dix ou quinze ans, la situation devient assez embêtante au regard de certaines évolutions : entre l'explosion des sites communautaires, le grand succès de l'Internet mobile et la montée en puissance de l'informatique dans les nuages (en bref, c'est un concept qui vise entre autres à porter les applications et les données dans "les nuages", c'est-à-dire sur des serveurs connectés et dispatchés aux quatre coins du monde, plutôt que de les conserver localement sur un ordinateur), le déséquilibre de la législation entre les données locales et les données distantes devient criante. Surtout lorsque ce sont les mêmes et qu'elles sont liées à l'identité et la vie privée d'un internaute.

De ce constat, une coalition est née pour demander une réforme législative sur la confidentialité des données en ligne. Parmi les participants, nous retrouvons quelques géants du web et des opérateurs télécoms (Google, AOL, AT&T), des sociétés spécialisées dans les TIC (Microsoft, Intel), mais également des organisations non-gouvernementales comme l'ACLU (Union américaine pour les libertés civiles), l'EFF (Electronic Frontier Foundation) ainsi que des professeurs de droit issus de prestigieuses universités américaines, comme Berkeley.

Selon eux, la précédente législation dans ce domaine, l'Electronic Communications Privacy Act (ECPA), ne répond plus aux attentes d'aujourd'hui. Adoptée en 1986, elle précise les normes d'accès des autorités aux communications électroniques et aux données associées, afin d'offrir une protection vis-à-vis des renseignements personnels majeurs. Or, comme l'explique la coalition Digital Due Process, "la technologie a progressé de façon spectaculaire depuis 1986 et la loi ECPA a été dépassée. Le statut n'a pas subi une révision importante depuis sa promulgation, il y a des années avant l'arrivée d'Internet".

Le Congrès américain sera-t-il sensible aux arguments avancés par la coalition ? C'est à souhaiter, car aussi étonnant que cela puisse paraitre, les internautes disposent d'un droit à la vie privée bien meilleur lorsqu'ils stockent leurs données localement. Un comble pour un internaute !

Toutefois, soulignons que les nouvelles dispositions concernent avant tout les autorités et la capacité de ces dernières d'accéder aux données stockées par les différentes sociétés des TIC. Cela imposerait aux autorités de demander un mandat avant de pouvoir accéder à des communications privées par exemple. Ou pour géolocaliser un individu grâce à un appareil mobile. Or aujourd'hui, la coalition explique que ce n'est malheureusement pas toujours le cas.

La réforme ne vise donc - pour l'heure - en aucune façon le secteur privé. Cela ne concerne pas Facebook, qui a pourtant défrayé la chronique à plusieurs reprises en matière de confidentitialité et deive privée. Dernier cas en date, le réseau social a commis une petite "bévue" avec la sélection par défaut de l'opt-out. Un oubli fâcheux, alors que la France - et plus largement l'Union européenne - exige le principe de l'opt-in (l'internaute doit cocher la case pour marquer son consentement). Si la CNIL s'est montrée très ferme sur le sujet, Facebook a tendance à louvoyer dans ce domaine.