Privacy by design. C’est le concept brandi par Apple et WhatsApp pour opposer une fin de non-recevoir aux autorités qui les somment de livrer les données d’un iPhone ou d’une conversation par messagerie instantanée. Derrière ce terme, c’est toute une approche de la protection des données personnelles qui est en jeu. Et qui devrait se généraliser à l’ensemble des entreprises, tout le moins en Europe.

Dans un contexte de renforcement sécuritaire, de nouvelles questions se posent quant à la responsabilité des entreprises, souvent prises entre deux feux.

Concrètement, le "privacy by design" consiste à concevoir des produits et des services informatiques en prenant immédiatement en compte les aspects liés à la protection de la vie privée et des données personnelles (le nom d’une personne, sa localisation, son adresse mail, mais aussi des informations sur son physique, sa situation économique ou ses affinités culturelles). Cette approche implique également de respecter ces valeurs de protection tout au long du cycle de vie du produit (smartphone, montre connectée, tablette, etc.)

Le concept n’est pas nouveau ; il a été développé dans les années 90 au Canada par Ann Cavoukian, la Commissaire à l’information et à la protection de la vie privée de l’Ontario. Il pose le principe que le cadre légal ne serait pas suffisant pour assurer la protection de la sphère privée. 

 

Le privacy by design bientôt généralisé en Europe 

 

Aux Etats-Unis, où aucune législation fédérale sur la protection des données personnelles n’existe, les géants du net comme Apple ou la messagerie instantanée WhatsApp (qui appartient à Facebook) l'ont déjà adopté dans sa version renforcée, poussés notamment par le scandale révélé par Edouard Snowden.

La marque à la pomme ne peut ainsi pas disposer des informations contenues dans ses derniers iPhone et WhatsApp ne peut pas lire le contenu des messages échangés sur sa plateforme... Mais demain, ce sont toutes les entreprises européennes qui devront s’y conformer. Le privacy by design est en effet au cœur de la nouvelle législation européenne sur les données personnelles (le règlement européen sur la protection des données personnelles également appelé RGPD).

Le règlement, qui fait actuellement consensus, doit encore être adopté par le Conseil et le Parlement européens au printemps et devrait être appliqué directement (sans besoin de loi de transposition) par tous les Etats membres d’ici 2018. 

Sur la table depuis près de 5 ans, il est censé remplacer l’ancienne règlementation, qui date de 1995. Son objectif : concilier le développement d’un marché numérique unique au sein de l’Union et le renforcement de la protection des données personnelles. Le texte doit ainsi établir une norme de protection des données personnelles unique pour tous les États membres.

Outre le renforcement des droits des consommateurs (portabilité des données, droit à l’oubli, meilleure protection des mineurs, langage plus clair, etc.), le texte renforce la responsabilité des entreprises en augmentant considérablement le montant de l’amende en cas d’infraction (jusqu’à 4% du chiffre d’affaires ou 20 millions d’euros).

Le concept de privacy by design "sous-tend l’ensemble du règlement : il offre le plus haut niveau possible de protection des  données", en utilisant des techniques telles que le fameux cryptage (mais sans les rendre obligatoires), souligne Karine Riahi, avocate spécialiste de la propriété intellectuelle et associée du cabinet KGA (Klein Goddard Associés). 

 

Données personnelles et lutte contre le terrorisme : la quadrature du cercle ?

 

Une meilleure protection des données personnelles ? A priori, l’objectif ne peut que séduire. Mais dans un contexte de plus en plus tendu, certains politiques et gouvernements voient aussi dans les systèmes de cryptage utilisés par les stars de la Silicone Valley une entrave aux enquêtes policières...

Difficile par exemple pour les polices d’accéder aux données contenues dans les téléphones des suspects. Et ce alors même qu’elles peuvent être cruciales pour la progression d'une enquête. Les conflits entre États et entreprises, qui opposent leur responsabilité envers leurs clients, se multiplient. Et sont de plus en plus complexes.

Il ne s’agit plus seulement de ne pas laisser la police accéder à des données dont elles disposeraient mais qu’elles ne voudraient pas communiquer. Il s’agit de créer des logiciels, dont elles ne disposent pas, pour casser un chiffrement qu’elles ont elles-mêmes créé et mis en place. Et qu’elles mettent en avant dans leur argumentaire éthique et commercial...

C’est le cas de l’Affaire du FBI contre Apple. Mais pas seulement. Au Brésil, le vice-président de Facebook Amérique latine a été arrêté à sa descente d’avion pour ne pas s’être conformés aux ordonnances judicaires concernant des enquêtes touchant au crime organisé. En cause, la messagerie WhatsApp, dont le contenu ne peut être lu par les services de l’entreprise. 

Plutôt que des requêtes au cas par cas, certains pays planchent quant à eux sur une législation beaucoup plus sévère en cas de refus de collaboration avec  les autorités. Au Royaume-Uni, un projet de loi très controversé au sein même du parti conservateur du Premier ministre David Cameron, l’Investigatory Powers Bills, pourrait ainsi forcer les géants du net à déchiffrer les contenus de leurs produits et/ou services à la demande des autorités. 

 

La France n'est pas en reste

 

La France, meurtrie par les attentats du 13 novembre, n’est pas en reste. Dans le cadre de l’examen de la loi projet de loi de "lutte contre le crime organisé, le terrorisme et leur financement", qui modifie aussi la procédure pénale, les députés ont adopté, le jeudi 3 mars, un amendement des Républicains (porté par Philippe Goujon) visant à pénaliser les constructeurs de smartphones qui refuseraient de coopérer avec la justice dans les enquêtes terroristes.

C’est déjà le cas (articles 60-1 et 60-2 du code de procédure pénale qui couvrent un spectre plus large que le seul terrorisme), mais l’amende n’est que de 3 750 euros en cas de désobéissance. L’amendement – adopté contre l’avis du gouvernement – la porte à 350 000 euros pour une entreprise qui refuserait "de communiquer à l'autorité judiciaire requérante enquêtant sur des crimes ou délits terroristes (...) des données protégées par un moyen de cryptologie dont il est le constructeur". Ses dirigeants s’exposent à la même amende. Ils risquent également 5 ans de prison.

Mais le garde des Sceaux a d’ores et déjà précisé que des adaptations devraient avoir lieu au cours du processus législatif pour assurer une meilleure "cohérence". Car la question est bien de savoir où placer le curseur. Le Haut Commissaire des droits de l’Homme de l’ONU vient d’alerter sur les risques que ferait peser une victoire du FBI sur Apple : "Dans le but de régler un problème de sécurité relatif au chiffrement des données dans un cas bien précis, les autorités risquent d'ouvrir la boîte de Pandore, avec des implications qui pourraient être extrêmement dommageables pour les droits de l'Homme de millions de personnes, y compris pour leur sécurité physique et financière. Cela pourrait être un cadeau fait aux régimes autoritaires et aux pirates informatiques", a ainsi déclaré Zeid Ra'ad Al Hussein, le 4 mars.