Pour comprendre l’affaire Facebook – Cambridge Analytica, il est essentiel de rappeler ce qu’est une donnée à caractère personnel, d’une part, et de rappeler, d’autre part, que non seulement le droit des données à caractère personnel, mais plus encore le droit de la vie privée ou « privacy », n’est pas le même au sein de l’UE et aux Etats-Unis.
Partons d’une perspective de droit français, novateur en matière de protection des personnes à l’égard des systèmes de traitement de données à caractère personnel.
L’INSEE avait envisagé en 1971 de centraliser dans un même fichier informatique les répertoires d’identification jusqu’alors régionaux. Ce projet (finement) dénommé SAFARI (Système automatisé pour les Fichiers Administratifs et le Répertoire des Individus) visait à une interconnexion de différents fichiers administratifs (NIR, CNA, CNI…) et provoqua une réelle prise de conscience publique puis politique des menaces pour les libertés individuelles et notamment pour le droit à la vie privée du fichage informatique.
L’article paru le 21 mars 1974 dans le journal Le Monde sous la plume du journaliste Philippe Boucher intitulé « SAFARI ou la chasse aux français » accentua cette prise de conscience à une époque de profond changements politiques avec le décès de Georges Pompidou et l’arrivée d’un « jeune » président de la République et d’un premier gouvernement Jacques Chirac.
Ainsi la loi du 6 janvier 1978 fut-elle portée sur les fonts baptismaux par réaction à une menace d’intrusion de l’État dans la sphère privée des individus, au-delà des nécessités strictement inhérentes au fonctionnement normal d’une administration démocratique.
Le danger venait alors de l’État, nous étions dans la préhistoire de la micro-informatique et dans le paléolithique de la micro-informatique en réseau.
Au demeurant, furent-alors posés les principes fondateurs de la protection des personnes (physiques) à l’égard des systèmes de traitement automatisés de données.
L’article 1er reprend les déclarations de principes fondamentaux qui figurent en tête des grandes lois de la République, à l’instar de la loi du 29 juillet 1881 sur la liberté de la presse ou de la loi du 9 décembre 1905 sur la séparation des Églises et de l’État :
« L’informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale. Elle ne doit pas porter à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques »
La protection des personnes à l’égard de leurs données à caractère personnel a été consacrée par l’article 8 de la Charte européenne des droits fondamentaux.
Le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 qui entre en vigueur le 25 mai prochain relatif à la « protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données » énonce avec force dans son premier considérant :
« La protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental […] »[1]
Nous n’avons pas, aux États-Unis, de textes normatifs équivalents. Mais cela ne signifie pas pour autant que l’on s’y désintéresse de la vie privée et des données à caractère personnelle.
En premier lieu la notion même de vie privée est différente en cet État dont la culture politique est fortement influencée par le protestantisme.
En deuxième lieu, l’approche juridique est différente en ce pays de common law. La Federal Trade Commission est en mesure de constater et de sanctionner des atteintes au Federal Trade Commsssion Act qui punit « les pratiques trompeuses » des entreprises.
C’est sur ce fondement que Facebook encourt aux Etats-Unis des sanctions pécuniaires de 41.484 dollars par infraction. Rapportées aux 87 millions de compte qui seraient concernés, voilà de quoi mettre Facebook à genou.
Au sein de l’UE, une donnée à caractère personnel est toute information se rapportant directement ou indirectement à une personne identifiée ou identifiable. Une adresse IP est une donnée à caractère personnel, une copie d’examen, même anonyme, est une donnée à caractère personnel…
En France et au sein de l’UE, les données doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée (critère de transparence ajouté par le RGPD).
Les données doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités (limitation à des finalités).
Les données doivent être adéquates, permanentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données).
Les données doivent être exactes et, si nécessaire, tenues à jour, toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiés sans tarder (exactitude).
Les données doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles sont traitées (limitation de la conservation).
Les données doivent être traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité confidentialité).
Le traitement doit être licite et ainsi, soit la personne doit y avoir donné son consentement exprès pour des finalités spécifiques, soit le traitement est nécessaire à l’exécution d’un contrat auquel la personne est partie, soit nécessaire au respect d’une obligation légale, soit nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une personne physique, soit nécessaire à l’exécution d’une mission d’intérêt public, soit nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés ou droits fondamentaux de la personne concernée.
Par principe, le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits, sauf autorisation spécifique et légitime de la personne concernée.
La personne concernée bénéficie de droits : transparence des informations et des communications et modalités d’exercice des droits de la personne concernée, à la charge de du responsable du traitement ; Droit d’information et d’accès aux données à caractère personnel ; Droit de rectification ; droit à l’effacement (droit à l’oubli) ; droit à la limitation du traitement ; droit à la portabilité des données ; droit d’opposition.
Ces droits de la personne concernée et ces obligations à la charge du responsable du traitement sont sanctionnés, notamment de façon pécuniaire : actuellement la CNIL peut infliger des sanctions jusqu’à trois millions d’euros (ce sont des sanctions administratives, des « punitions », pas des amendes pénales). A compter du 25 mai prochain, avec l’entrée en vigueur du RGPD, le pouvoir de sanction de la CNIL sera considérablement accru à hauteur de 20 millions d’euros ou 4% du chiffre d’affaires annuel du responsable du traitement.
C’est dans ce contexte que la société CAMBRIDGE ANALYTICA, société de communication politique, a accédé aux données à caractère personnel de 87 millions de personnes physiques sur la base d’un questionnaire souscrit volontairement sur Facebook par 270.000 utilisateurs du réseau social.
Ce questionnaire, qui était une sorte de cheval de Troie, permettait d’accéder aux données à caractère personnel des personnes interrogées mais aussi aux données à caractère personnel de leurs « amis » Facebook.
Cambridge Analytica, en croisant ces données récupérées sur Facebook avec d’autres données récupérées par ailleurs sur les mêmes personnes, a mis en place des profils types afin de pouvoir définir des cibles adéquates pour des messages politiques adaptés à ces cibles. Il s’agit purement et simplement de conditionnement politique et d’une manipulation du jeu démocratique.
Au regard des personnes ciblées, les victimes, l’infraction au droit de l’UE des données à caractère personnel est constituée. Il semble en aller de même aux Etats-Unis et l’audition de Marc Zuckerberg par le Congrès américain n’aura pas apporté beaucoup d’information, si ce n’est que l’affaire est un scandale d’État, international, traité comme tel mais aussi révélateur d’un hiatus énorme entre la société de l’information, libertaire, libertarienne, et dont les structures démocratiques sont encore en gestation, et les États souverains.
[1] Attention, le considérant 4 du RGPD précise : « Le droit à la protection des données à caractère personnel n’est pas un droit absolu; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité. Le présent règlement respecte tous les droits fondamentaux et observe les libertés et les principes reconnus par la Charte, consacrés par les traités, en particulier le respect de la vie privée et familiale, du domicile et des communications, la protection des données à caractère personnel, la liberté de pensée, de conscience et de religion, la liberté d’expression et d’information, la liberté d’entreprise, le droit à un recours effectif et à accéder à un tribunal impartial, et la diversité culturelle, religieuse et linguistique. » Et il ne faut surtout pas se méprendre sur l’objet du droit des données à caractère personnel. Article 1er §3 du RGPD : « La libre circulation des données à caractère personnel au sein de l’Union n’est ni limitée ni interdite pour les motifs liés à la protection des personnes physiques à l’égard du traitement des données à caractère personnel ».
