Résolution de Madrid

La « résolution de Madrid » définit les principes ^[1] qui devraient - de manière urgente, selon les auteurs du texte- renforcer le caractère universel du droit à la protection de la vie privée et des Données personnelles de tous les citoyens (y compris les enfants ou personnes vulnérables, et notamment sur Internet).
Elle a été votée en novembre 2009 à l'occasion d'une conférence internationale des autorités de protection de la vie privée (Madrid, du 4 au 6 novembre 2009), mais elle n'est à ce jour pas juridiquement contraignante.
Elle vise la rédaction et signature d'une Convention universelle pour la protection des personnes à l’égard du traitement des données personnelles ^[1].

Contexte et principes

Dans un contexte de mondialisation, de concurrence internationale où l'intelligence économique utilise de plus en plus l'Internet, et avec les moyens accélérés de diffusion accélérée d'informations par l'Internet et d'autres moyens nouveaux de télécommunications, il semble urgent, pour des raisons éthiques, mais aussi commerciales, de protéger la vie privée, de manière coordonnée dans le monde. Ceci nécessite une approche internationale et des « normes internationales sur la vie privée et la protection des données personnelles ».

Les enjeux sont également environnementaux et de développement durable, car les spams et le Télémarketing (démarchage téléphonique en particulier) non-désirés, sont - outre une source de perte de temps et donc d'argent - une source croissance et préoccupante de consommation énergétique de l'internet et des réseaux de télécommunication.

Dans ce contexte, il est parfois difficile de démêler la part du souci éthique de protection de la personne, de celle motivée par un souci plus commercial de protection des données des entreprises ou autres groupes (gouvernements, etc), ces deux intérêts pouvant parfois être contradictoire (dans un régime ou fonctionnement autoritaire par exemple). De plus certains grands pays (Chine, États-Unis, n'ont pas encore d' autorité de protection des données des citoyens. Aux États-Unis l'État fait appel à une autorégulation de la part des parties prenantes.

Avancée du projet de convention internationale

• Ce projet est inscrit au programme de travail de la Commission du droit international des Nations-Unies ^[1]  ;
• En 2005, il a été formellement soutenu par le Conseil de l'Europe, dont lors du Sommet mondial sur la société de l'information (Tunis, novembre 2005) puis dans le cadre des Forums sur la gouvernance de l’Internet (Athènes en 2006, Rio en 2007).
• le 12 juin 2007, l’OCDE a adopté une recommandation relative à la "coopération transfrontière dans l’application des législations protégeant la vie privée", visant en particulier à "améliorer les cadres nationaux pour l’application des lois sur la vie privée afin que les autorités nationales puissent mieux coopérer avec les autorités étrangères et à élaborer des mécanismes internationaux efficaces destinés à faciliter la coopération transfrontière pour l’application des lois sur la vie privée" ^[1] ;

Histoire ^[1]

Cette résolution résulte d'un processus de réflexion éthique et stratégique initié dans les années 1990.

• une précédente résolution (Résolution sur l’urgence de protéger la vie privée dans un monde sans frontière et l’élaboration d’une proposition conjointe d’établissement de normes internationales sur la vie privée et la protection des données personnelles ^[1]) avait déjà été votée en oct 2008, lors de la 30 ème conférence internationale sur la protection des données privées.

Avant cela il y a eu

• une déclaration adoptée à Venise lors de sa 22e Conférence ;
• une résolution adoptée à Wroclaw lors de sa 26e Conférence ;
• une déclaration adoptée à Montreux lors de sa 27e Conférence ; appelant l'ONU "à préparer un instrument juridique contraignant énonçant en détail le droit à la protection des données et à la vie privée en tant que droits de l’homme exécutoires", et appelant le Conseil de l’Europe, conformément à l’article 23 de la Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, à inviter les Etats non membres de cette organisation qui ont une législation de protection des données adéquate, à adhérer à la Convention (STE N° 108) et à son protocole additionnel (STE N° 181).
• une initiative dite Initiative de Londres présentée lors de sa 28e Conférence ;
• une résolution adoptée lors de sa 29e Conférence ; appelant à soutenir l’élaboration de normes internationales de protection de la vie privée "effectives et universellement acceptées comme un mécanisme pour aider les parties à établir et à démontrer la conformité avec les exigences légales de protection des données et de la vie privée".
• Deux forums internationaux sur la gouvernance d'internet ont également évoqué cette question en 2006 et 2007^[2].
• les conférences régionales de l’Unesco ont insisté sur le caractère prioritaire de la protection des données en 2005 (Asie-Pacifique) et 2007 (Europe)

Contenu

La « résolution de Madrid » demande ^[1] aux états d'élaborer en commun, par exemple sous l'égide de l'ONU, une norme commune internationale de protection des données, notamment sur Internet, en respectant quelques principes tels que

• transparence,
• responsabilité,
• droits à l’accès à l’information,
• droit à la rectification, etc.

En novembre 2009, à Madrid, la 31ème « Conférence internationale des commissaires à la protection des données et de la vie privée » a chargé un groupe de travail « composé des autorités nationales de protection des données intéressées » de proposer « à sa session fermée » une proposition de contenu et forme de normes internationales sur la vie privée et la protection des données personnelles. Pour cela de groupe doit:

• recenser les différents principes et droits en vigueur dans le monde concernant la protection des données à caractère personnel en insistant sur ceux qui font l'objet d'un « large degré de consensus dans les forums régionaux et internationaux » ^[1] ;
• élaborer des principes et droits complémentaires pour « atteindre un degré maximum d’acceptation internationale assurant un haut niveau de protection » ^[1] ;
• évaluer où ces droits et principes seront applicables, dont pour l’harmonisation de leurs champs d’application ;
• définir des critères de garantie de leur application réelle, en tenant compte des différents systèmes de droit, et en étudiant le rôle possible de l’« auto-régulation » et des garanties pour améliorer la sécurité, mais aussi la souplesse des transferts internationaux de données ^[1] .

Réactions

• Du côté des internautes, le grand public est démuni, faute d'information précise.
  Faute de droit d'opposition, divers groupes plus ou moins formellement organisés d'internautes sont inquiets des risques posés par les possibilités de "flicage" et fichage et par le ciblage comportemental, souvent tout en souhaitant que l'Internet reste une espace de liberté.
• L'industrie du marketing et quelques groupes politiques utilisent de plus en plus le ciblage commercial et comportemental, via des profils d'internautes constitués au vu de leurs réseaux sociaux, de leurs centres d'intérêt et de leur comportement sur internet.
  L'industrie du marketing admet que : « Sans confiance, le marketing n’existe pas. Une mauvaise utilisation des données reste une stratégie à court terme. Et nous nous trompons si nous pensons que nous pouvons nous autoréguler » (Alastair Tempest, directeur général de la Fedma ; Fédération européenne de marketing direct et interactif). Plusieurs multinationales (Microsoft, Google, IBM…) ont soutenu cette (non juridiquement contraignante) et adhèrent à quelques chartes déontologiques ou éléments de codes^[3] ou guides de bonnes pratiques, parfois annoncés par certains annonceurs, mais non opposables et peu vérifiables à ce jour.
  pour ne pas dégrader l'image la publicité sur Internet, le SNCD a ainsi créé^[4] en 2008 un groupe de travail d'une dizaine de représentants de sociétés impliquées, qui admet que ;
  : - Il faut informer les internautes sans équivoque avec une information lisible et très accessible « en séparant bien la politique de protection des données et les mentions légales classiques ». Les possibilités et méthodes de suppression des cookies ou d'opposition aux cookies devraient être « plus explicites » et simples, et « l'ergonomie des espaces d'information dédiés » devrait être améliorée. Un « opt out par univers» ou une option de «navigation privée» devrait être possible (certains navigateurs en proposent, mais souvent en enlevant simplement les cookies de l'ordinateur, sans empêcher qu'un tiers extérieur ait déjà pu collecter de l'information sur le comportement de l'internaute lors de sa consultation).
  : - Le rapprochement d'informations de navigation (anonymes) avec des données personnelles devrait être « encadré », visibles et expliqué à l'internaute, lequel « doit aussi pouvoir s'y opposer à tout moment et simplement ».
  : - En France, ces opérations devraient « être prévues dans le cadre des "traitements ultérieurs" déclarés à la CNIL. Enfin, pour le SNCD, la plus grande précaution s'impose lorsque les informations rapprochées émanent d'un tiers. En effet, il ne semble pas souhaitable que les informations de navigation d'un tiers collecteur, autrement nommé "third party cookies", puissent être rapprochées des données personnelles d'un internaute sans son consentement préalable ».
• La FEDMA^[5] a également créé un groupe de travail sur la collecte des données, le ciblage et le profiling.

APEC (Asia Pacific Economic Cooperation ;)

• En novembre 2004, l'APEC a adopté ^[1] des principes directeurs visant à renforcer la protection de la vie privée et préserver les flux d’information.
• En septembre 2007, elle a lancé une initiative « Vie privée » comme premier cadre de veille sur les flux internationaux de données certifiés répondant aux besoins des affaires, pour diminuer les coûts de conformité, offrir aux consommateurs un recours effectif, permettent aux régulateurs d’agir efficacement tout en minimisant la charge réglementaire ;

En Europe

• L'Union européenne a élaboré quelques garde-fous tels que
• le G29 (ou "Groupe de travail dit "de l'Article 29" sur la protection des données^[6]" est un organe consultatif européen indépendant sur la protection des données et de la vie privée, (créé par les articles 29 et 30 de la directive 95/46/CEet par l'article 14 de la directive 97/66/CE) ; ses initiatives visent l'adoption de règles d'entreprises contraignantes (BCR) et des solutions contractuelles régissant l’échange transfrontières de données.
  Alex Türk, président de la CNIL préside le groupe de travail des autorités européennes de protection des données^[7].
• Une Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, datant de 1981.
• plus généralement, la Convention européenne des droits de l'homme (CEDH) dans son art. 8 définit le droit de toute personne au respect « de sa vie privée et familiale, de son domicile et de sa correspondance »., avec la limite de restrictions « prévues par la loi » et « nécessaires, dans une société démocratique ».
• Depuis le 28 janvier 2007, une Journée européenne de la protection des données à caractère personnel est organisée par le Conseil de l'Europe et relayée en France par la Cnil.

Francophonie

• Il existe une "Association francophone des autorités de protection des données" ; "AFAPDP" créée à Montréal à l'occasion de la 29e Conférence internationale des commissaires à la protection des données et de la vie privée.
  Elle soutient le projet d'une convention universelle et les efforts en vue de l’adhésion à la Convention STE N° 108 d’États non membres du Conseil de l’Europe ;
• Les chefs d’États et de Gouvernements de la francophonie lors de leur XIe sommet (Budapest, septembre 2006) se sont engagés à "intensifier, sur la plan national, les travaux législatifs et réglementaires nécessaires à l’établissement du droit des personnes à la protection des données et à œuvrer, sur le plan mondial, en faveur de l’élaboration d’une convention internationale garantissant l’effectivité du droit à la protection des données" ^[1] ;

En France

Alex Türk, en tant que président de la Commission nationale de l’informatique et des libertés (Cnil) en France, et président du groupe de travail des autorités européennes de protection des données rappelle que « Tout le monde a enfin compris la nécessité de trouver une norme commune, certains pour des raisons éthiques et d’autres parce qu’ils pensent qu’il n’y a pas de développement économique sans confiance », néanmoins, il n'y a pas encore d'accord pour la création ou préparation d'une autorité internationale de protection des données (...) ^[7]»

Problèmes éthiques et moraux

• Un dispositif de protection des données personnelles risque de vouloir s'appuyer sur des outils impliquant un certain accès à ces données
• tous les états (dont les États-Unis) n'adhèrent pas encore au processus de la convention, même s'il est "au programme" des travaux de l'ONU.
• Le ciblage sur internet peut permettre - selon les entreprises qui le pratiquent ou le promeuvent - de ne pas noyer l'internaute sous des publicités qui ne l'intéresseraient pas.
  Mais d'un autre point de vue, il fait aussi partie des nouveaux outils d'influence économique visant l'orientation des choix individuels (et collectif via les groupes d'individus) par le marketing comportemental, il pose en particulier des problèmes émergents tels que :
• Il reste difficile de gérer les risques de manipulation de groupes et de personnes vulnérables (dont les enfants, personnes âgées, handicapés mentaux, personnes endettées ou en détresse psychologique) ou les comportements.
• Dans les états totalitaires, ou en cas d'accès par les mafias, sectes, lobbies ou une Concurrence inamicale etc. ,les outils de contrôle de la protection des données, risquent aussi d'être utilisés pour accéder à ces données.
  Ces états pour surveiller l'information circulant interdisent souvent les logiciels ou actions de chiffrement des données ou messages.
• absences d'outils internationaux normés, sûrs, concrets et gratuits ou transparents de protection de la vie privée, ce que cherche à résoudre le projet de « norme commune internationale de protection des données, notamment sur Internet  » soutenu par la « résolution de Madrid»^[7].
• l'appel à l'autodiscipline n'a pas empêché le ciblage commercial, voire politique ou sectaire sur internet. Dans un cyberespace "sans frontières" et relativement virtuel, l'Éthique des affaires et (en France) des outils tels que la CNIL ou des groupes tels que L'Alliance Européenne pour l'Éthique en Publicité (A.E.E.P.) ^[8] se basent surtout sur des processus et organismes d'autodiscipline publicitaire (comme le BVP en France), qui semblent ne pas pouvoir suffire à garantir l'intégrité morale de tous les acteurs, ni même un usage "éclairé", "accepté" ou "acceptable" des cookies et autres mouchards qui, discrètement, suivent, mémorisent et analysent le comportement quotidien des internautes et de communautés d'internautes.

Enjeux environnementaux

Ils sont notamment liés à l'empreinte écologique croissante de l'informatique et des télécommunications, en particulier induite par les spams et le Télémarketing (démarchage téléphonique en particulier) non-désiré.
La consommation d'électricité et de puissance informatique induite par l'analyse permanente des activités des internautes, ne semble pas avoir été mesurée, mais elle participe à la consommation énergétique croissante de l'internet et des réseaux de télécommunication.

Certains opérateurs commerciaux arguent de leur côté que le ciblage (hors utilisation en spams) permettrait de rationaliser le ciblage publicitaire en envoyant moins de publicités, mieux ciblées et répondant – selon eux – mieux aux attentes des internautes-consommateurs. Dans le même temps, des outils collaboratifs tels que Wikipédia montrent qu'un grand nombre d'individus peuvent efficacement coopérer via l'internet, éventuellement anonymement, en n'échangeant que très peu de données personnelles, à la différence de ce qui se passait au début de la constitution de réseaux sociaux tels que Facebook ou avec les blogs.

Faute de bilans scientifiquement établis, il semble actuellement impossible de mesurer les couts-avantages, sociaux, économiques et environnementaux des différentes hypothèses de gouvernance de l'Internet, dont concernant la protection des données privées.

Les acteurs

Ces sont principalement les internautes, les entreprises et organismes (renseignement, etc.) qui collectent des données personnelles sur le net, le législateur et les autorités nationales chargées de la protection des données personnelles ^[1].

Article détaillé : Liste d'autorités chargées de la protection des données.

Des sanctions ?

La question des sanctions reste en suspens, pouvant par exemple à l'avenir relever ;

• de la Cour internationale de justice ou dans le futur d'une hypothétique cour criminelle internationale,
• de la gouvernance (auto-gouvernance ?) d'internet
• des législations locales (au risque alors de voir les pratiques douteuses continuer à se pratiquer sur des plate-formes "offshore" échappant aux législations)

Voir aussi

Articles connexes

• Données personnelles
• Ciblage comportemental, profiling
• Vie privée et informatique
• Droits de l'homme
• Identité numérique (Internet)
• Géolocalisation
• Commission de contrôle des informations nominatives
• Contrôleur européen de la protection des données
• Viol de correspondance privée
• Fuite d'information
• CNIL (en France)
• Loi relative à l'informatique, aux fichiers et aux libertés du 6 janvier 1978
• Forum des droits sur l'internet
• Commission d'accès aux documents administratifs
• Fichage en France
• Données de santé

Liens externes

• (en) Towards International Data Protection Standards, 2009/01/28
• (en) Site officiel du G29

Bibliographie

• Resolution on the urgent need for protecting privacy in a borderless world, and for reaching a Joint Proposal for setting International Standards on Privacy and Personal Data Protection ; 30th International Conference of Data Protection and Privacy Commissioners, Strasbourg, 17 October 2008 Version en Français*
  Cette section est vide, insuffisamment détaillée ou incomplète. Votre aide est la bienvenue !

Notes et références

1. ↑ ^{a, b, c, d, e, f, g, h, i, j, k, l et m} Resolution on the urgent need for protecting privacy in a borderless world, and for reaching a Joint Proposal for setting International Standards on Privacy and Personal Data Protection ; 30th International Conference of Data Protection and Privacy Commissioners, Strasbourg, 17 October 2008, Version en Français, adopté à Strasbourg, 15-17 octobre 2008
2. ↑ Internet Governance Forum à Athène (2006) et Rio (2007)
3. ↑ fileadmin/ documents/approfondir/textes/deontologie/FEVAD-M_direct.pdf code de déontologie des professionnels du marketing direct vis-à-vis de la protection des données à caractère personnel (PDF, sur le site de la CNIL)
4. ↑ L'avis du SNCD ; Ciblage on line et respect de la vie privée (Marketing Direct N°130 2009/06/01)
5. ↑ Fédération du marketing direct européen, organe de lobbying au niveau européen issue de la fusion de l'EDMA et la FEDIM décidé en 1996 selon un article intitulé e marketing « La Fedma a pris un nouveau départ » de Marketing Direct N°32 - 01/11/1998
6. ↑ Site officiel du G29
7. ↑ ^{a, b et c} Article du journal La croix, intitulé Vers une norme internationale de protection de la vie privée 2009/11/16, consulté 2010/02/11
8. ↑ "European Advertising Standards Alliance" (E.A.S.A.) pour les anglophones