Sur la législation des réseaux sociaux en europe

Les réseaux sociaux ne sont pas sans poser quelques casse-tête législatifs. Notamment ce qui concerne la protection de la vie privée. Comment s'adapter au mieux à un domaine aux

contours de plus en plus malléables dans un contexte mondialisé ? Jean PERRET Publié le 08 octobre 2010 INTRODUCTION Le 23 juin 2010, un rapport sur l'utilisation des nouveaux réseaux

sociaux dans la communication européenne a été adopté en commission parlementaire de la Culture et de l'Éducation. Il s’agissait de répondre au mieux à la question : comment les

gouvernements, les partis et les politiciens peuvent-ils toucher les citoyens pour leur expliquer le fonctionnement de l’Union européenne (UE) ? Les députés remarquaient à cette occasion « 

que les médias sociaux représentent un potentiel immense pour atteindre les jeunes et encouragent la Commission et le Parlement à renforcer leurs activités dans ce domaine ». Cet exemple

symptomatique, et pas si anecdotique, est révélateur de l’importance qu’accorde le Parlement européen aux réseaux sociaux. Même si cet exemple n’est pas directement lié à une régulation

européenne des réseaux sociaux, il montre bien la façon dont les instances européennes abordent le sujet : ils en reconnaissent l’efficacité, l’incroyable diffusion, le pouvoir de

communication mais dans le même temps en soulignent les dangers. Ces derniers sont nombreux, mais bien des comportements que l’on suppose à tort propres aux réseaux sociaux sont simplement

des traductions « connectées » d’actes illégaux dans le monde « non connecté ». Or il faut bien garder à l’esprit que les lois existantes s’appliquent aussi bien aux comportements « 

connectés » que « déconnectés ». Le réseau social provoque un sentiment de relative impunité conféré par l’usage du pseudonyme ou bien simplement parce qu’utiliser un medium virtuel dans le

cadre de relations sociales donne à penser que l’on se soustrait aux lois du monde réel. Dans le monde des réseaux sociaux, tout va plus vite, tout parait simple puisque tout est

dématérialisé. Et pourtant les drames sont parfois bien réels. Dans ce type de cas les lois répressives appliquées « au monde réel » existent. Mais l’UE constate que de la prévention est

nécessaire, notamment en ce qui concerne les abus relatifs aux mineurs. L’approche du Parlement européen et de la Commission pour traiter cette spécificité des réseaux sociaux a pour

l’instant été de privilégier : * la sensibilisation par des campagnes de publicité ciblées sur les mineurs * l’autorégulation de la part des réseaux sociaux dans le cadre du programme « vers

un Internet plus sûr (safer Internet program). Il s’agit donc de promouvoir une action volontaire (en tout cas non coercitive légalement) des entreprises du secteur. En février 2010, la

Commission a publié un rapport sur l’implémentation des règles de sécurisation des données personnelles par 20 réseaux sociaux majeurs. Chacune des entreprises devait fournir une déclaration

sur la façon dont les données personnelles étaient sécurisées, ces règles de sécurité étant ensuite évaluées par des experts indépendants. Au final, les règles de sécurisation relevées

étaient principalement axées sur les risques encourus par les mineurs et sur l’accès à des moyens simples de signaler des abus. La conclusion du rapport établissait que même si du chemin

avait été parcouru, le résultat était loin d’être acceptable. En effet, 40% seulement des réseaux sociaux ayant participé à cette étude ne rendent les profils de mineurs accessibles qu’à

leurs amis et seulement un tiers ont répondu favorablement aux utilisateurs ayant signalé un abus. Cette approche consistant à espérer des réseaux sociaux une autorégulation est intéressante

et apporte des résultats encourageants mais trouve rapidement ses limites. Ainsi l’étude n’a de signification qu’à un instant donné, la durée de l’étude ne permettant pas de témoigner des

changements incessants que connaissent les réseaux sociaux. Par exemple, Facebook n’a pas vu de problèmes début 2009 à changer arbitrairement et discrètement les clauses du contrat ayant

trait à la propriété des données privées. Il aura fallu une incroyable levée de bouclier pour que Facebook revienne en arrière. Il est donc impossible d’affirmer que ce qui est vrai

aujourd’hui le sera encore demain. DÉPASSER LA DUALITÉ PRIVÉ/PUBLIC Lorsque l’intégrité des personnes peut être mise en danger et que le réseau social fonctionne comme un catalyseur très

puissant, la prévention est certainement la réponse la plus adaptée. Mais force est de constater qu’il manque une définition claire et applicable légalement permettant de savoir si des

échanges transitant sur les réseaux sociaux relèvent de la vie privée ou de la vie publique. Ainsi un e-mail échangé relève de la vie privée, mais qu’en est-il d’un message laissé au vu et

au su de tous ses amis (dont font certainement partie des amis d’enfance, comme son patron ou un camarade d’école jamais revu depuis) ? Chaque nouveau cas pourrait quasiment donner lieu à

une nouvelle jurisprudence en la matière. Mais pour l’instant, il n’existe pas vraiment de jurisprudence applicable aux réseaux sociaux à l’exception des cas particuliers des blogs et

forums. Par exemple, comment juger le cas des salariés d’Alten licenciés pour avoir critiqué leur direction sur Facebook ? Mieux définir ce qui relève des propos publics et privés sur

Facebook semble urgent. Danah Boyd propose par exemple de distinguer quatre grandes catégories permettant de faire ce distinguo : la persistance (conservation dans le temps), la capacité à

être retrouvé, la reproductibilité (propos facilement recopiés puis dénaturés), et les « audiences invisibles » (si je "twitte"1 un message, qui le lira et quand ?). Daniel Kaplan

reprend dans un ouvrage collectif _Informatique, libertés, identités_ les travaux de Cédric Manara, professeur associé à l’Edhec, qui propose la notion de « données relationnelles », qui

sont personnelles à la fois pour plusieurs individus en contact les uns avec les autres. Mais le problème majeur dans les réseaux sociaux reste la protection des données privées. Autant il

semble difficile d’imaginer les réseaux sociaux risquer leur image en allant à l’encontre des recommandations de la Commission visant la protection des mineurs, autant il y a certainement

assez peu à espérer en termes de protection des données personnelles. Par exemple, le but affiché de Mark Zukerberg de faire de Facebook un réseau « social par défaut » résonne

singulièrement confronté aux recommandations des différentes commissions européennes de pratiquer le consentement préalable systématique, et donc de ne pas livrer les informations privées « 

par défaut », quitte à ce que l’utilisateur puisse en son âme et conscience en modifier les paramètres par la suite. Le président de Sun Microsystems, Scott McNealy annonçait dès 1999 : « 

Vous n’avez déjà plus de vie privée, il va falloir vous y faire ». Est-ce que cela signifie une résignation des autorités légales ? De la même façon, Eric Schmidt ne cachait pas en décembre

2009 qu’il pensait qu'Internet mettrait forcément fin à la vie privée, et que « si vous faites quelque chose et que vous ne voulez que personne ne le sache, peut-être devriez-vous déjà

commencer par ne pas le faire ». Quels sont les outils dont dispose l’UE sur ce sujet ? LE CADRE LÉGAL EXISTANT EN TERMES DE PROTECTION DES DONNÉES Lorsque les textes européens évoquent les 

« données à caractère personnel », il s’agit des données qui nous sont directement rattachées (qui se trouvent typiquement sur la page de notre profil) mais aussi les données qui nous sont

rattachables par recoupements, analyses, études sémantique, profil d’un « ami » (par exemple, si une photo où nous apparaissons est « taguée »2alors cette information rentre dans le cadre

des données à caractère personnel). La protection des données personnelles est un vaste problème qui englobe de nombreux aspects (fichiers de police, bases élèves, vidéosurveillance, …).

Nous ne nous intéresserons ici qu’aux aspects qui concernent les réseaux sociaux et n’évoquerons pas en particulier les limitations inhérentes aux domaines touchant à la sécurité nationale.

Les Européens accordent une grande importance à la protection des données personnelles. Le droit à la vie privée, même s’il diffère légèrement de la protection des données personnelles, est

défini par l’article 8 de la Convention européenne de sauvegarde des Droits de l’Homme et des Libertés fondamentales. Le premier texte réellement fondateur est la convention du Conseil de

l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel de 1981 Ce texte peut être considéré comme le premier cadre juridique européen

du droit fondamental à la protection des données à caractère personnel. Il évoquait en préambule « la nécessité de concilier les valeurs fondamentales du respect de la vie privée et de la

libre circulation de l’information entre les peuples ». Cette convention est actuellement ratifiée dans 29 pays mais la législation en sein de l’UE n’est réellement précisée que dans le

cadre de différentes directives, et en particulier par la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à

l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. « La directive 95/46/CE constitue le texte de référence, au niveau européen, en matière

de protection des données à caractère personnel. Elle met en place un cadre réglementaire visant à établir un équilibre entre un niveau élevé de protection de la vie privée des personnes et

la libre circulation des données à caractère personnel au sein de l'Union européenne (UE). Pour ce faire, la directive fixe des limites strictes à la collecte et à l'utilisation

des données à caractère personnel, et demande la création, dans chaque État membre, d'un organisme national indépendant chargé de la protection de ces données.» En France, par exemple,

c’est la CNIL(Commission nationale de l’informatique et des libertés) qui a vu son pouvoir renforcé par la transposition de cette directive. D’une façon générale, la directive 95/46/CE se

veut (comme toute directive européenne) à la fois une harmonisation à l’échelle de l’UE tout en laissant au législateur national la souplesse nécessaire à la prise en compte des spécificités

culturelles locales. En France, c’est la loi du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements des données à caractère personnel qui transpose la

directive 95/46/CE. Le texte de la directive est absolument « agnostique » en termes de technologies et permet l’existence de régimes spécifiques de protection des données. Malgré des

évolutions technologiques majeures, favorisées notamment par l’augmentation exponentielle de la capacité de stockage et de calcul des fournisseurs de service, la directive 95/46/CE reste

toujours valable et pertinente. Il faut noter que cette directive ne couvre pas la question du traitement automatique des données traitée dans le cadre de la directive 45/2001/EC. C'est

cette dernière qui a permis la création du "contrôleur européen de la protection des données" (voir "Organes Consultatifs"). Le traité de Lisbonne a d’autant plus

renforcé le régime applicable dans le sens de la protection en ajoutant l’article 16 du TFUE (Traité sur le fonctionnement de l’Union européenne) qui définit que : 1. Toute personne a droit

à la protection des données à caractère personnel la concernant. 2. Le Parlement européen et le Conseil, statuant conformément à la procédure législative ordinaire, fixent les règles

relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions, organes et organismes de l'Union, ainsi que par

les États membres dans l'exercice d'activités qui relèvent du champ d'application du droit de l'Union, et à la libre circulation de ces données. Le respect de ces règles

est soumis au contrôle d'autorités indépendantes. Ce simple aperçu du cadre légal global permet de se rendre compte que les outils législatifs sont complexes, nombreux et assez éparses

(comme le sont les instances européennes). La commission a donc chargé des organes consultatifs de produire des recommandations visant à simplifier ce cadre (pour éviter la répétition), et

ainsi identifier la loi applicable en matière de données à caractère personnel à l’heure de la mondialisation et des récentes évolutions technologiques. LES ORGANES CONSULTATIFS LE GROUPE DE

TRAVAIL 29 Le groupe de travail a été établi en vertu de l’article 29 de la directive 95/46/CE par référence à l’article de la directive européenne qui l’institue. Il s’agit d’un organe

consultatif européen indépendant sur la protection des données et de la vie privée. Il produit des recommandations globalement très équilibrées. Mais on ne peut s’empêcher de se poser des

questions sur la mise en application de ces recommandations, notamment à cause du caractère international des réseaux sociaux alors que les directives européennes ne concernent que le marché

intérieur. Le groupe 29 travaille d’ailleurs à fournir un avis sur le droit applicable. La commission réaffirme que les principes de base et le cadre juridique de la directive 95/46/CE sont

plus que jamais d’actualité mais qu’il s’agit d’en préciser, renforcer et moderniser les dispositions et d’en améliorer l’efficacité. Même si c’est souvent le traitement des données

personnelles pour des problèmes liés à la sécurité qui est mis en avant, les recommandations concernent aussi pour la plupart les réseaux sociaux. Le Contrôleur européen de la protection des

données (CEPD) Le CEPD est une autorité de contrôle indépendante dont l'objectif est de protéger les données à caractère personnel et la vie privée et de promouvoir les bonnes

pratiques dans les institutions et organes de l'UE. À cet effet, il remplit les tâches suivantes: Le CEPD reconnaît l’importance déterminante des technologies de l’information et de la

communication. Il a identifié en particulier trois domaines jugés prioritaires : la radio-identification (ou RFID pour Radio Frequency Identification), les navigateurs Internet et les

réseaux sociaux. Sur ce dernier point, le CEPD réaffirme les risques liés à une utilisation inconsidérée des réseaux sociaux qui connaissent un développement exponentiel, et constate « le

fossé entre les obligations légales et la conformité réelle à ces obligations ». LES CONCLUSIONS DES COMMISSIONS Parmi les différentes recommandations de ces commissions, certains principes

forts se dégagent tels que le consentement (selon le groupe 29, « ne pas changer un réglage par défaut ne peut être considéré, dans la plupart des cas, comme un consentement valable »), la

prise en compte de la vie privée dès la conception (Privacy by design)3, l’annulation du consentement, la suppression des données, la limitation des données privées « autant que possible »,

les moyens de contrôle, la transparence4 et le principe de responsabilité.5 Cette vision rejoint l’idée française portée par Nathalie Kosciusko-Morizet : « Il y a deux solutions conjointes :

la sensibilisation de l'internaute, mais également une pression sur les services Web pour qu'ils proposent une configuration par défaut très protectrice de la vie privée et pour

que le fait de dévoiler davantage d'informations soit une démarche volontaire. Ce n'est pas simplement une question technique. Derrière, il y a des choix de société : en France, on

considère que le citoyen doit être protégé contre l'utilisation opaque de ses données personnelles. C'est une question de libertés publiques, pas une question de confort. » LA

PROTECTION DES DONNÉES À L'EXTÉRIEUR DE L'EUROPE Evidemment, le problème ne se réduit pas aux États-Unis mais c’est là-bas que se situe la majorité des serveurs des réseaux sociaux

les plus significatifs. Et la loi applicable est celle du pays où sont situés les serveurs. De plus, la pratique de plus en plus généralisée du « Cloud Computing »6 rend difficile toute

tentative de localisation des fournisseurs de services. Il manque de toute évidence un cadre commun mondial minimal permettant de contraindre légalement les réseaux sociaux. Au-delà de

l’Europe, certains États se sont dotés de lois qui rendent les transferts de données compatibles avec la France (l’Australie, le Canada, Hong-Kong, la Nouvelle Zélande, l’Argentine, …), et

possèdent aussi une autorité de contrôle indépendante. En revanche, il n’en est pas de même aux États-Unis alors que les discussions entre Américains et Européens semblent avancer à pas de

fourmis. Bien qu’il ne s’applique pas seulement à la question des données privées, le rapport cosigné par le président Bill Clinton et Al Gore (« A Framework For Global Electronic Commerce 

») est particulièrement éclairante pour mieux comprendre la façon dont les américains abordent ces problèmes. Le rapport proposait cinq principes comme bases « de discussion internationales

ou d’accords pour faciliter la croissance du commerce sur Internet »: * C’est le secteur privé qui est seul moteur ; * Les gouvernements doivent éviter toutes restrictions sur le commerce

électronique ; * Lorsque l’implication du gouvernement est nécessaire, son but doit être de soutenir et de mettre en application un environnement légal pour le commerce électronique de

manière prévisible, minimaliste, cohérente et simple ; * Les gouvernements devraient reconnaitre à Internet ses qualités exceptionnelles ; * Le commerce électronique sur Internet devrait

être facilité internationalement. En particulier, dans le chapitre consacré au secret des données, le rapport recommandait que l’utilisateur (de façon intéressante identifié dans le rapport

au « consommateur ») soit mis au courant des informations recensées à son sujet et en préconisait la limitation. Mais d’une façon générale, c’est seulement en ultime recours que le

gouvernement considère son intervention nécessaire, et seulement en cas de consensus massif (en suivant la logique très américaine des class-actions). Leur approche du « problème » européen

ne pourrait être plus claire : « les États-Unis vont continuer les discussions politiques avec les nations de l’UE et la Commission européenne pour mieux faire comprendre l’approche

américaine sur la vie privée ainsi que pour s’assurer que les critères qu’ils utilisent pour évaluer l’adéquation avec leur politique soit suffisamment flexibles pour tenir compte de notre

approche. » Les États-Unis semblent donc assez peu enclins à légiférer plus durement sur les données privées, alors que l’Europe considère toujours comme inaliénable le droit à la protection

des données personnelle. Pour autant, certains indicateurs semblent encourageants pour espérer des jours meilleurs en matière de collaboration mondiale : * Le traité de Madrid : en novembre

2009, plus d’une centaine d’organisations de la société civile et experts de la protection de la vie privée de plus de 40 pays ont publié, dans le cadre de la Conférence internationale des

commissaires à la protection des données et de la vie privée, une déclaration réaffirmant la législation internationale pour la protection de la vie privée, identifiant les nouveaux défis et

appelant à des actions concrètes pour sauvegarder la vie privée. La déclaration de Madrid rappelle « à l’ensemble des États leurs obligations de protéger les droits civils de leurs citoyens

et résidents ». Elle appelle les États « n’ayant pas encore établi un cadre global pour la protection de la vie privée et une autorité indépendante de protection des données à le faire

aussi rapidement que possible ». Elle préconise « un moratoire sur le développement ou la mise en œuvre de nouveaux systèmes de surveillance de masse » et appelle à «  la création d’un

nouveau cadre international pour la protection de la vie privée, avec la pleine participation de la société civile, qui soit basé sur la primauté du droit, le respect des droits fondamentaux

et l’adhésion aux institutions démocratiques ». En intégrant des législations issues des cinq continents, cette déclaration démontre qu’il est envisageable dans un horizon proche de bâtir

un socle législatif commun. * La volonté forte de la part de l’Organisation de coopération et de développement économique (OCDE) d’améliorer la sécurité des échanges en instaurant une réelle

 « culture de la sécurité ». La protection des données privées fait partie de ce chantier. La déclaration de Madrid ne manque d’ailleurs pas de souligner ce point en « rappelant aux autres

États membres de l’OCDE leurs obligations de respecter les principes énoncés dans les Lignes directrices de l’OCDE de 1980 sur la vie privée ». * Les choses avancent dans le cadre de la

lutte contre le terrorisme et la criminalité transnationale grave. Selon le groupe de travail 29, ces activités pourraient conduire à un accord transatlantique prévoyant des principes

communs pour la protection de la vie privée et des données. Evidemment, cela ne changera pas grand-chose à court terme aux problèmes liés aux réseaux sociaux, mais on peut espérer que ce

type d’accord ouvre la voie à des discussions constructives avancées concernant un traitement élargie des données privées qui soit applicable aux réseaux sociaux. LES GRANDS TRAVAUX À VENIR

SUR LES TECHNOLOGIES NUMÉRIQUES : LE DIGITAL AGENDA La Commission européenne, vient de définir un "Digital agenda for Europe" pour l'horizon 2020. Ce rapport avance sept

grandes stratégies présentées comme autant de moyens « de sortir de la crise et de préparer l’économie de l’Union européenne aux nouveaux défis de la prochaine décennie. ». Le but est de

"maximiser le potentiel économique et social des nouvelles technologies". En réalité, toutes les stratégies invoquées concernent seulement le développement économique du marché

numérique. Il ne s’agit aucunement de favoriser quelque régulation que ce soit. Un seul chapitre a trait à la sécurisation des données personnelles mais le besoin n’est pas de préserver des

dérives possibles liées notamment aux réseaux sociaux. Il s’agit plutôt de lutter contre la cyber-criminalité qui apparaît comme un frein potentiel au développement et à l’acceptation du

paiement bancaire et des données médicales numériques. Un chapitre concerne l’éducation mais il s’agit avant tout de développer les compétences techniques en ingénierie liées au marché

numérique et d’améliorer les compétences numériques des gens les moins à l’aise avec les outils numériques. « Tous les citoyens doivent avoir les compétences nécessaires pour participer à la

société numérique.» L’avenir dira quelle part sera consacrée à l’éducation des futures générations aux risques qu’implique la manipulation de leurs propres données personnelles. Il est

peut-être dommage de ne pas avoir tenté de mener une vraie réflexion sur ce que des incitations fortes à l’usage des technologies auraient pu offrir, à savoir assurer des garanties aux

citoyens européens tout en valorisant notre potentiel technologique. On aurait ainsi pu imaginer des axes du type : * Offrir à chaque citoyen un espace parfaitement protégé où il stocke ses

données privées. Cet espace pourrait le présenter au monde en masquant son identité civile. Il serait le seul à détenir identifiants et mot de passe. Chaque réseau social serait alors obligé

de souscrire à un contrat le contraignant légalement puisque le détenteur des données privées serait toujours clairement l’utilisateur. Ceci permettrait aussi de rendre les réseaux sociaux

facilement substituables, ce qui n’est pas le cas aujourd’hui. Kim Cameron avait déjà, chez Microsoft, proposé de tels outils. Le coût d’un tel développement serait assez élevé mais

négligeable sur 10 ans devant le budget de recherche l’UE. Ainsi, Seesmic qui propose des fonctionnalités plus ou moins comparables en envergure a levé 6 millions d’euros pour développer sa

plate-forme. C’est à peine le coût d’une grosse campagne de publicité à l’échelle européenne de sensibilisation aux risques d’Internet. * Facebook a annoncé développer les technologies de

reconnaissances faciales. Le premier but avéré est de favoriser les moyens automatiques d’augmenter la connexité des réseaux et des contenus. Mais on pourrait aussi imaginer que cette

technologie soit développée et proposée comme un outil offert aux citoyens européens pour mieux se protéger. Ainsi, si Mr X utilise cette fonctionnalité, il peut obliger chaque personne

ayant publié une photo où il apparaissait, sans lui demander l’autorisation, de la retirer éventuellement. Les PETs7 existent déjà mais ne sont pas encore connus du grand public. Médiatiser

leur utilisation et lancer des programmes ambitieux sur le sujet pourraient être un moyen de limiter les risques inhérents au traitement des données personnelles tout en ménageant la libre

circulation des données. CONCLUSION L’impression générale que l’on a en parcourant les textes est que l’Union Européenne est dotée d’un cadre légal, de déclarations et de directives qui

résistent incroyablement bien au temps grâce à des textes indépendants des technologies. De nombreux groupes de travail proposent des recommandations qui paraissent vraiment pertinentes,

permettant de lier les directives européennes aux technologies d’aujourd’hui, d’uniformiser et de simplifier les dispositions légales et les recours, ainsi que de travailler à la création

d’un cadre légal mondial en matière de protection des données à caractère personnelles (notamment pour les réseaux sociaux). Mais comment ne pas se poser la question de l’applicabilité de

ces recommandations ? En mettant explicitement l’accent sur les questions de développement et en occultant les questions de régulation, l’agenda 2020 pourrait modifier le paradigme européen

de la protection des données privées. Même sans parler de régulation, il aurait certainement été à propos de faire explicitement rentrer les problématiques liées aux réseaux sociaux dans les

priorités à traiter. Ainsi, une réflexion sur le développement possible d’outils permettant aux citoyens européens de mieux se protéger aurait assurément été bienvenue. De plus en plus

d’observateurs soulignent que « penser protection des données personnelles » n’est pas nécessairement un frein au développement de l’économie numérique mais peut au contraire être un vecteur

d’innovation et un levier technologique formidable. * 1Twitter est un site de « microblogging » permettant gratuitement à l’utilisateur des messages court de façon instantanée. L’action de

twitter consiste donc à envoyer un message. Au moment où le message est envoyé, on ne sait pas a priori qui le lira. * 2teL’opération de « taguer » consiste à identifier quelqu’un sur une

photo. Facebook devrait prochainement proposer des outils basés sur la reconnaissance faciale pour automatiser cette reconnaissance. * 3Il s’agit pour les entreprises d’inclure le concept de

respect de la vie privée au moment de la conception d’un outil technologique. Certains défenseurs de cette idée tels qu’Ann Cavoukian vont même jusqu’à affirmer que les entreprises peuvent

en retirer un avantage concurrentiel certain. * 4D’après le groupe 29 : « Les personnes concernées devraient disposer d’informations précises sur l’utilisation des informations collectées et

sur la logique sous-jacente au traitement. Cette collecte d’informations devrait uniquement être limitée, si nécessaire, à des cas individuels, pour ne pas compromettre les enquêtes et pour

une durée limitée. Les droits d’accès et de rectification des personnes concernées devraient être pris en compte dans un contexte transfrontalier pour éviter que ces personnes ne perdent le

contrôle de leurs données. » * 5D’après le groupe 29 : « le responsable du traitement des données est l’acteur clé qui veille au respect des principes et obligations visant à garantir la

protection des données à caractère personnel des personnes physiques. La directive, de manière implicite mais également explicite en de nombreux points, impose au responsable du traitement

de respecter les principes de protection des données et de se conformer à certaines obligations spécifiques25. Il doit par exemple adresser une notification aux autorités nationales et

vérifier préalablement auprès d’elles la légalité des opérations de traitement des données. » * 6Le Cloud Computing permet de déporter un certain nombre de traitements informatiques

auparavant situés sur le poste utilisateur. Le risque comme son nom l’indique est de plus être en mesure de savoir exactement où se situe l’information, où sont effectués les traitements. *

7Les « PET » (privacy Enhancing Technologies) regroupent toutes les technologies permettant d’annihiler (ou en tout cas de limiter) les utilisations et les transferts de données privées sans

sacrifier à la facilité d’usage des réseaux sociaux.