L'ambiance générale est favorable à l'approche de la commissaire européenne en charge de la Justice, Viviane Reading, qui porte à bras le corps le projet de règlement sur la protection des données personnelles. L'agence Reuters a rapporté il y a quelques mois les résultats d'une étude réalisée en France par l'Idate pour l'Association de l'économie numérique (Acsel) et la Caisse des Dépôts auprès de 700 internautes français, indiquant que 85 % des internautes de plus de 15 ans sont inscrits sur des réseaux sociaux. Et seulement 47 % de ces utilisateurs font confiance aux réseaux sociaux qu'ils utilisent. 48 % des internautes, utilisateurs ou non, ont peur que des inconnus accèdent à leur « vie privée » grâce aux réseaux sociaux. La deuxième plus grande crainte (à 41 %) est celle de la conservation des données personnelles sans limite de temps. 34 % craignent l'utilisation de ces données à des fins commerciales, et 33 % imaginent une menace de la part de leur entourage professionnel. Difficile, pour les réseaux sociaux, de rassurer les internautes : 38 % déclarent que rien ne pourrait leur donner confiance. Mais ce qui peut influencer le plus leur perception, c'est la politique de confidentialité du site (27 % des répondants), et sa réputation (20 %). Même tonalité de l'autre côté de l'océan Atlantique. « Environ un quart des sites internet les plus populaires au Canada divulguent des renseignements personnels sur leurs usagers sans leur consentement, voire à leur insu », a dénoncé cette semaine la Commissaire canadienne à la vie privée, Jennifer Stoddart. Cette constatation fait suite à une enquête menée cet été auprès de 25 sites « parmi les plus populaires » au Canada, a indiqué le commissariat, qui est chargé de protéger le droit à la vie privée au Canada. Des informations personnelles — comme les noms, adresses électroniques et codes postaux des utilisateurs — sont souvent transmises à des sites tiers comme ceux d'agences de publicité, selon Mme Stoddart. « Tous sont des sites Web sophistiqués qui sont exploités par de grandes sociétés dont les revenus annuels combinés s'élèvent à des milliards de dollars », a-t-elle précisé, tout en refusant de dévoiler leur nom à ce stade. Six des sites soulevaient « des préoccupations importantes » par rapport à la protection de la vie privée, a-t-elle souligné. Elle affirme avoir écrit à 11 groupes pour leur demander de fournir des informations concernant leur fonctionnement et, le cas échéant, d'expliquer comme elles comptent rectifier le tir pour assurer le respect de la loi fédérale protégeant les renseignements personnels. « Des sites Web divulguaient des renseignements personnels à des tierces parties apparemment sans que les personnes concernées en soient conscientes ou qu'elles y aient consenti, et peut-être en violation de la loi fédérale de protection des renseignements personnels », a-t-elle déclaré. « Par exemple, la recherche a démontré que lorsque les gens s'inscrivaient pour recevoir des promotions d'un site marchand, leur adresse électronique, leur mot de passe et la ville où ils habitaient étaient transmis à un certain nombre de sociétés d'analyse Web et de marketing », a-t-elle ajouté. Ces dernières années, Mme Stoddart a souvent critiqué le réseau social Facebook au sujet de la protection des renseignements personnels de ses usagers. C'est sans nul doute ce contexte qui a incité la Commissaire à labourer dur pour imposer à ses collègues ce projet de règlement actuellement en débat au niveau de la Commission européenne. « Il est extrêmement ambitieux et très complexe. Mme Reding va loin, très loin, parfois trop loin », a commenté un responsable européen sous couvert de l'anonymat, cité par le site l'Expansion.com Il s'appliquera à toutes les entreprises qui offrent leurs biens et services aux consommateurs de l'Union européenne même si leurs serveurs sont basés en dehors de l'UE. Viviane Reding veut éviter que certaines entreprises, comme Facebook ou Google, ne collectent des données personnelles en Europe et se soustraient ensuite à la législation européenne en les stockant à l'étranger. Critiqué lors de sa présentation pour « aller trop loin », il balaie des sujets tous plus sensibles les uns que les autres : la confiance des consommateurs dans les réseaux sociaux, le régime de responsabilité des prestataires de cloud computing, la question de la compétence territoriale des autorités de régulation des libertés informatiques vis-à-vis d'acteurs basés hors de l'Union européenne, le droit à l'oubli, les obligations des entreprises en cas de faille de sécurité, les données personnelles qui peuvent être utilisées à des fins commerciales... Le texte prévoit que l'internaute peut demander l'effacement de ses données à partir du moment où il n'existe pas de motif légitime (recherche historique ou scientifique, santé publique, exercice du droit à la liberté d'expression...) pour les conserver. Ce n'est pas tout. L'entreprise concernée — à l'image de Facebook — se doit d'informer les tiers qui traitent les mêmes données de cette demande de suppression, afin « d'effacer tout lien vers ces données ou les copies ou reproductions qui en ont été faites ». La photographie privée « trouvée » sur Facebook ne pourra plus être utilisée lors d'un entretien d'embauche : la Commission européenne veut imposer, au moyen de lourdes sanctions si nécessaire, le consentement préalable des citoyens pour l'utilisation de leurs données personnelles. « Le citoyen doit pouvoir contrôler ce qui est mis en ligne », soutient Viviane Reding, la commissaire européenne en charge de la Justice, qui porte ce projet. Le consentement préalable au traitement des données personnelles est l'un des éléments fondateurs du texte. Il s'entend en opt-in, c'est-à-dire que l'utilisateur doit donner expressément son consentement, et non décocher une case pour interdire d'utiliser ses données. Cela pose de nombreux problèmes, notamment au secteur de la publicité, qui craint entre autres qu'on lui impose un mode de recueil de consentement trop rigide, mais aussi au secteur des annuaires. La proposition de règlement précise que les failles de sécurité doivent être notifiées (données concernées, conséquences, mesures prises pour y remédier...) par le prestataire dans les 24 heures après en avoir pris connaissance. Un délai très court. Cette notification doit être faite auprès de l'autorité de régulation mais aussi de la personne dont les données ont été affectées. De plus, le règlement ajoute d'autres obligations liées aux risques : elles devront documenter les mesures prises pour assurer la protection des données, et faire des études d'impact pour les traitements de données « à risque ». Le projet introduit également le droit à la portabilité des données : permettre au consommateur de demander, sous un format structuré et compréhensible, une copie de toutes ses données, éventuellement dans le but de transmettre ces données à un autre prestataire. Cette contrainte sera plus ou moins lourde selon la définition de la donnée personnelle. Criteo, par exemple, une société qui fournit des services de reciblage publicitaire basée sur le comportement de navigation, se demande bien « comment donner accès aux données de navigation à un utilisateur qui le demande ? » Viviane Reding a pourtant été contrainte par ses collègues commissaires à des compromis, car certaines de ses propositions étaient « impossibles à mettre en pratique », a confié une source qui a requis l'anonymat. Les textes seront difficiles à faire accepter en l'état aux ministres de l'Intérieur et de la Justice de l'UE, hostiles à toute entrave à la coopération policière et aux obstacles mis aux enquêtes, a-t-elle estimé. Ancienne journaliste, Viviane Reding a accepté de tenir compte des spécificités de la presse. Des dérogations sont prévues pour éviter la paralysie de la profession. Il en va de même pour le traitement des données par la police et la justice, comme les images des caméras de surveillance. Mais Mme Reding a maintenu des dispositions jugées peu réalistes pour les entreprises. « On ne peut pas imposer les mêmes règles à Facebook et à une petite entreprise », expliquent les responsables du secteur à la Commission. « Il y a un risque réel que le projet de réforme, à vouloir être trop ambitieux, ne voit jamais le jour », ont-ils averti. Le processus de vote n'interviendra pas avant le printemps 2013, pour une adoption du texte entre 2013 et 2016. De quoi se laisser le temps de préciser tout ça. Et bien entendu, le lobbying a déjà commencé. Il reste à voir le résultat d'ici quelque temps.