• Narrow screen resolution
  • Wide screen resolution
  • Wide screen resolution
  • Increase font size
  • Default font size
  • Decrease font size
Accueil Actualités Note sur le projet de règlement européen concernant les données à caractère personnel (DCP)
Note sur le projet de règlement européen concernant les données à caractère personnel (DCP)
Jeudi 20 juin 2013

Contextualisation du vote de l’assemblée générale de « Liberté pour l’histoire » en faveur de la signature de la pétition « Citoyens contre le projet de règlement européen sur les données personnelles ».

Par Nathalie Carré de Malberg, agrégée et docteure en histoire, MC en histoire contemporaine, Paris-X-Nanterre.

I – À l’origine de la pétition : « Citoyens contre le projet de règlement européen sur les données personnelles (voir Annexe I) »

En 2010, à Stockholm, le Conseil européen a adopté le « programme de Stockholm » ainsi qu’un plan d’action fournissant une feuille de route pour le travail de l’Union européenne dans le domaine de la justice, de la liberté et de la sécurité pour la période 2010-2014 (JOC 115 du 4.5.2010). À cette occasion il a invité la Commission européenne à évaluer le fonctionnement des instruments de l’Union européenne relatifs à la protection des DCP (données à caractère personnel) et à présenter des initiatives, législatives ou non, à leur sujet.

Ces instruments se composaient de la directive 95/46/CE, de 1995, complétée en 2008 par la décision-cadre 2008/977/JAI.

La directive avait deux objectifs : protéger le droit fondamental à la protection des DCP et garantir leur libre circulation entre les États membres. La décision-cadre était destinée à protéger les DCP dans le domaine de la coopération policière et judiciaire en matière pénale.

Dans sa communication du 20 avril 2010, la Commission a conclu que l’UE avait besoin, à l’égard du droit fondamental à la protection des DCP, d’une politique plus globale et plus cohérente qui rende l’exercice du droit à la protection des données par les personnes physiques, plus effectif. Elle a établi pour cela un nouveau cadre juridique composé de deux propositions législatives :

- un règlement général modifiant la directive de 1995 et s’imposant aux législations nationales ;
- une directive modifiant la décision-cadre de 2008.

Après deux années de consultations et de conférences multiples sur le sujet, la Commission a abouti à une proposition de règlement le 25 janvier 2012 et a saisi sur le fond la commission des libertés civiles de la justice et des affaires intérieures du Parlement européen (dite commission LIBE).

L’exposé des motifs du règlement décrit bien le contexte technique et juridique de son intervention.

D’une part, l’évolution des technologies facilite plus que jamais la transmission, l’accessibilité et l’utilisation des DCP et transforme en profondeur l’économie comme les rapports sociaux. « Or, précise l’exposé, l’instauration d’un climat de confiance dans l’environnement en ligne est essentielle au développement économique. S’ils n’ont pas totalement confiance, les consommateurs hésiteront à faire des achats en ligne et à recourir à de nouveaux services, ce qui risque de ralentir l’innovation dans l’utilisation des nouvelles technologies. La protection des données à caractère personnel joue donc un rôle crucial dans la stratégie numérique pour l’Europe et, plus généralement, dans la stratégie Europe 2020. »

D’autre part, l’article 16 du traité de Lisbonne, selon lequel toute personne a droit à la protection des DCP le concernant, et l’article 8 de la Charte des droits fondamentaux de l’UE, rappelant que la protection des DCP est un droit fondamental, constituent les bases juridiques.

Mais le cadre juridique existant a conduit à une « fragmentation » de la mise en œuvre de cette protection des DCP et à une insécurité juridique aussi bien pour les personnes physiques que pour les opérateurs économiques et les pouvoirs publics.

L’objectif du règlement est donc de « doter l’Union d’un cadre juridique plus solide et plus cohérent en matière de protection des données, assorti d’une application rigoureuse des règles, afin de permettre à l’économie numérique de se développer sur tout le marché intérieur et aux personnes physiques de maîtriser l’utilisation qui est faite des données les concernant ».

Le 17 décembre 2012, le rapporteur de la commission LIBE, le jeune député allemand de trente et un ans, Jan Philip Albrecht, qui siège dans le groupe du parti Vert européen, a publié un rapport contenant 350 amendements. Depuis lors, 2 783 amendements supplémentaires ont été déposés, certains accentuant les risques de cette protection, d’autres la limitant. Les grands et moins grands opérateurs ne se sont pas privés en effet d’un intense lobbying devant ce projet qui menace leur modèle économique.

Car l’objectif principal du règlement et des amendements du rapport Albrecht, qu’aucun citoyen, chercheur ou archiviste ne conteste, est bien d’éviter que de grands opérateurs privés tels Google, Amazon ou Facebook ne conservent et n’utilisent des données personnelles à d’autres fins que celles voulues par les émetteurs de ces informations, notamment à des fins commerciales.

II – Le droit à la conservation et à l’exploitation des archives menacé

À la lecture du projet de règlement et du rapport Albrecht, l’AAF (Association des archivistes français), rejointe par d’autres associations, notamment de généalogistes, a pointé des « éléments susceptibles d’impacter la conservation des archives, leur diffusion et leur exploitation ». Les historiens alertés ont bien vu, eux aussi, que ces mêmes éléments comportaient des risques sérieux pour la recherche historique. Au nom du droit à l’oubli, qui garantit le respect de la vie privée, certains des articles de ce règlement et certains amendements du rapport obligeraient, en l’état et sauf exceptions trop imprécises ou inapplicables, tous les organismes publics et privés soit à détruire, soit à anonymiser les données en leur possession, quel qu’en soit le support, une fois passé le délai pour lequel elles auraient été collectées.

L’anonymat, qui pourrait apparaître comme un moindre mal de prime abord, n’est en fait pas une solution. Comme le fait remarquer Hervé Lemoine, directeur des archives de France, avant de rendre ces données anonymes ou de les transformer en statistiques, encore faut-il pouvoir y accéder et qu’elles restent consultables à des fins de vérification ultérieure. Par ailleurs, si l’anonymat est largement utilisé non seulement par les sciences sociales, mais par les historiens travaillant sur des populations importantes, il devient inapproprié scientifiquement quand l’étude porte sur de petits effectifs dotés d’individualités non réductibles à l’ensemble. L’erreur de pourcentage est alors redoutable, la vérification nominative nécessaire et les personnalités doivent pouvoir être identifiées, comme l’ont démontré les travaux sur les grands corps ou ceux d’Alain Plessis sur les régents de la Banque de France.

En mars 2013, l’AAF a lancé une pétition (voir Annexe I) qui a rapidement pris de l’ampleur, dépassant le milieu professionnel des archivistes ou généalogistes européens et signée par des enseignants chercheurs de toutes disciplines ou de simples citoyens. Les vingt-sept directeurs des archives se sont aussi mobilisés. Le 24 avril 2013, à Amsterdam, le comité directeur de la section des associations professionnelles du Conseil international des archives a appelé au soutien de cette pétition, qui comptait, le 6 juin 2013, 47 222 signatures émanant de toute l’Europe et même du mon entier.

III – Les éléments du règlement et du rapport Albrecht qui méritent des éclaircissements, des garanties, voire des corrections

Ce n’est bien sûr pas tout le contenu de ce règlement qui inquiète ou suscite des questions, des historiens notamment, mais quelques articles ou amendements (l’AAF en pointe une dizaine). Relevons les plus importants.

À l’article 4, la question de la définition de la personne concernée par les données personnelles reste sans réponse. S’agit-il d’une personne vivante ? Si la personne concernée peut être décédée, son consentement, évoqué dans le même article, est-il transféré aux ayants droit ? Dans cette hypothèse on voit bien que les obstacles à la recherche en histoire sociale deviendraient insurmontables.

L’article 5 e pose la question de la durée de conservation courante des données, au-delà de celle fixée lors de la création ou de la collecte. Quel service au sein des organismes sera responsable de l’autorisation de conserver, autorisation renouvelable périodiquement ? Prenons l’exemple des dossiers de candidature à un concours, administratif ou non, sur support papier ou numérique, dossiers nécessaires à toute étude historique sur la fabrication des élites et sur la méritocratie. Le dossier sera-t-il conservé au-delà de la date du concours ? Et qui au sein des écoles privées ou publiques sera habilité à donner et renouveler l’autorisation ?

L’AAF, bien consciente que seule une minorité de données sera au final conservée, plaide pour que tous les organismes amenés à collecter des données s’équipent d’un système d’archivage électronique, en espérant que toutes les applications informatiques disposent rapidement de fonctionnalités permettant d’assurer une conservation correcte à l’issue du traitement initial, ce qui n’est pas encore le cas. Reste à se demander si cela serait possible pour des chercheurs isolés qui fabriquent leur propre base de données.

L’amendement 101 à ce même article 5 e du rapport Albrecht soulève une autre question, en énumérant les cas où l’intérêt légitime du responsable du traitement des données personnelles prévaut ou non sur celui de la personne concernée. L’AAF fait remarquer que les cas de traitement opérés par un chercheur ou par un service de conservation ne sont pas évoqués dans cet amendement.

C’est surtout l’article 83 du règlement (voir Annexe 2) et les neuf amendements du rapporteur (rapport, p. 212), sur les cinquante-huit déposés sur cet article, qui intéressent les historiens puisque c’est lui qui définit les conditions spécifiques pour le traitement de données à caractère personnel à des fins historiques, statistiques et de recherche scientifique.

Un amendement exclut du traitement de ces données à finalité scientifique historique ou statistique celles qui concernent les enfants de moins de treize ans et toutes les données sensibles classées en neuf catégories (race ou origine ethnique, religion ou croyance, opinion politique, appartenance a un groupe de conviction, données à caractère génétique, médical, sexuel, judiciaire).

On ne peut s’empêcher de penser que les nombreux travaux sur les réseaux de résistance ou les partis politiques ou encore comme ceux de Claire Andrieu sur le club Jean Moulin auraient pu ne pas exister si cet amendement avait été voté plus tôt.

Un autre amendement (1 bis) ajoute deux conditions supplémentaires pour exploiter les DCP à des fins historiques : que la personne concernée ait donné son consentement (se posent alors les mêmes difficultés de définition que celles évoquées plus haut) ; qu’il doit s’agir « de servir un intérêt public extrêmement élevé ».

L’historien se voit ici plongé dans la perplexité : comment définir, en droit et en fait, « un intérêt public extrêmement élevé » ? où mettre le curseur ? L’historien est bien placé pour savoir que les intérêts publics, élevés ou pas, changent avec le temps. L’amendement prévoit en outre que cette dérogation serait accordée par une autorité de contrôle compétente propre à chaque État, mais sans préciser la composition ni les conditions de nomination de cette autorité de contrôle.

Que le pouvoir de décider qu’une recherche relève ou non d’« un intérêt public extrêmement élevé » autorisant la dérogation appartienne à une autorité de contrôle quelle qu’elle soit ne peut qu’alarmer les chercheurs, notamment les adhérents de l’association Liberté pour l’histoire. Car c’est bien au chercheur et à son directeur de recherche ou de laboratoire éventuel d’estimer seuls l’intérêt, élevé ou pas, d’une recherche.

Doit-on aussi rappeler qu’avant de se lancer dans une recherche il faut avoir au préalable consulté des données ? En veut-on un exemple personnel ? C’est parce que j’ai eu accès aux dossiers de carrière des inspecteurs des finances sous Vichy que j’ai pu constater que certains, partis avant la guerre dans l’entreprise, avaient choisi sans y être contraints, entre 1940 et 1942 surtout, de revenir servir l’État. Constat qui méritait dès lors une étude approfondie.

Le même article 83 du règlement traite de la publication ou de la diffusion autorisée de données à caractère personnel seulement si, une fois encore, la personne a donné son consentement, ou si elle a elle-même publié ses données, ou encore si les intérêts de la personne ne prévalent pas sur l’intérêt de la recherche. L’AAF fait remarquer que la primauté de l’intérêt personnel est discutable quand il s’agit de données collectées par une organisation pour rendre service à la personne, comme les aides sociales. Mais comment un historien curieux de mesurer la méritocratie à la française pourra-t-il connaître et compter les boursiers dans une école si l’élève boursier est en droit de demander l’effacement de cette information, qui ne lui appartient pourtant pas ? Plus généralement, qui aurait pu trancher de l’intérêt de la publication de dictionnaires historiques des patrons français et des inspecteurs des finances, dictionnaires élaborés à partir de dossiers personnels transposés dans une base de données ? Toutes les études prosopographiques seraient-elles donc condamnées ?

Le rapport Albrecht va plus loin encore en supprimant purement et simplement cette dernière condition et en affirmant que « les fins scientifiques ne devraient pas primer sur l’intérêt de la personne concernée à ne pas voir ses données personnelles publiées » ! À le suivre, il y aurait fort à parier que, dans les études sur les grands corps pendant la guerre, les « résistants » seraient comptabilisés et cités, tandis que les « compromis » resteraient dans l’ombre, nourrissant une légende rose bien peu historique.

Le problème soulevé par l’article 83, comme le fait justement remarquer l’AAF, est qu’il considère les données à caractère personnel comme un bloc sans distinction d’émetteur, de support, de finalité, d’ancienneté, appliquant les mêmes précautions à des traitements automatisés ou informatiques de données papier créés il y a plus de cinquante ans qu’à des données collectées aujourd’hui ou demain par des opérateurs pour ajuster leurs campagnes marketing sur les bonnes cibles : un thésard, un journal, un parti, une entreprise ou une administration sont traités de la même manière que des opérateurs numériques comme Google ou Amazon.

IV – Et maintenant ?

L’objet de l’association Liberté pour l’histoire, fondée en 2005, est de « faire reconnaître la dimension spécifique de la recherche et de l’enseignement historiques et de défendre la liberté d’expression des historiens contre les interventions politiques et les pressions idéologiques de toute nature et de toute origine ». C’est en raison de cet objet que l’assemblée générale qui s’est tenue le 1er juin 2013 à Paris a été saisie de la question. Son président Pierre Nora a fait lire la pétition de l’AAF, qui se conclut par un appel à une suspension du vote le temps qu’un débat approfondi s’installe et que des solutions soient trouvées pour éviter « qu’on ne jette le bébé avec l’eau du bain ». Après une riche discussion au cours de laquelle des représentants d’autres disciplines que l’histoire se sont exprimés et où la marque parfois un peu corporatiste de la pétition n’a pas été occultée, la signature de la pétition par Liberté pour l’histoire a été votée à l’unanimité moins une abstention.

D’ores et déjà, la mobilisation a été utile, y compris celle du ministère de la Culture en France. Le vote prévu pour avril, reporté au 29 mai, est désormais programmé au mieux pour le 9 juillet, l’examen des milliers d’amendements risquant d’en retarder encore l’échéance.

Mais tant que les modifications et garanties souhaitées par les signataires n’auront pas été prises en compte, les historiens, particulièrement concernés, doivent rester vigilants. D’autant que les parlementaires européens sont agacés par l’intense lobbying des opérateurs, dont la presse s’est fait l’écho, et que les scandales à répétition d’usages abusifs de données numériques stockées ou non dans des clouds, y compris, récemment de la part d’administrations publiques américaines, peuvent pousser les parlementaires à plus d’intransigeance, au risque de l’amalgame avec des pratiques, elles, scientifiques.

L’équilibre entre le droit à l’histoire et le droit à l’oubli est difficile à trouver. Faisons confiance aux parlementaires européens, désormais alertés et mieux informés, pour éviter que ne s’écrive un jour une histoire sans nom et pour garantir aux peuples le droit de connaître leur histoire et celui d’accéder aux informations administratives en laissant aux autorités nationales chargées des archives nominatives d’exercer leurs responsabilités conformément au droit de chaque pays et, en France, au Code du patrimoine. Rappelons que la conservation des données personnelles, dans les conditions prévues par celui-ci, protège les citoyens, mieux que leur destruction, par exemple contre la diffamation.

Pour les historiens, les modifications souhaitables doivent éviter de distinguer entre les données détenues par les services d’archives publiques, d’une part, et celles conservées par les entreprises ou les particuliers, d’autre part. De même, toute distinction selon le support ne serait pas plus pertinente, car sinon qu’en serait-il des archives orales une fois la campagne de collecte terminée et les résultats recherchés publiés ?

À ce jour la position du gouvernement français n’a pas été rendue publique. Mais il se dit que les négociateurs français proposeraient au Conseil européen, après le vote en séance plénière, une dérogation « spéciale archives ». Mais encore ?

Souhaitons qu’il ne soit pas trop tard et restons vigilants.

Nathalie Carré de Malberg, 11 juin 2013.


Annexe I. Pétition : aux parlementaires européens

Pour éviter que de grands opérateurs privés du Web (Google, Facebook, etc.) puissent conserver et utiliser des données personnelles, la Commission européenne et le Parlement européen se préparent à adopter, pour le printemps 2013, une solution radicale : un règlement qui obligera tous les organismes publics et privés à détruire ou à anonymiser ces données une fois que le traitement pour lequel elles auront été collectées sera achevé, ou passé un court délai. La Commission veut ainsi assurer aux Européens un droit à l’oubli qui garantirait le respect de leur vie privée.

Ce règlement portera sur les données personnelles sur toutes leurs formes, informatiques ou papier. Il s’appliquera immédiatement et s’imposera aux législations nationales déjà en place.

Vous avez fini vos études ? L’école ou l’université éliminera votre dossier. Vous avez vendu un bien immobilier ? Les services du cadastre détruiront les traces de votre propriété. Vous n’êtes plus employé par votre entreprise ? Celle-ci supprimera les informations vous concernant. À chacun de veiller sur ses propres données, ne comptez plus sur les services publics ou sur votre employeur !

S’il est évident que la réutilisation des informations personnelles à l’insu des citoyens et à des fins commerciales, qui est largement facilitée par les techniques informatiques, doit être combattue par tous les moyens, la destruction systématique de ces données ou leur anonymisation pour éviter des dérives revient en revanche à jeter le bébé avec l’eau du bain. Comme si, plutôt que de renforcer la conservation sécurisée de notre patrimoine et l’accès à celui-ci dans des conditions respectueuses des libertés individuelles, l’Europe, pour notre bien, nous imposait une amnésie collective.

Collecter et conserver des données individuelles à des fins patrimoniales ou juridiques au-delà des stricts besoins qui ont présidé à leur création, assurer aux citoyens l’accès à l’information tout en protégeant les éléments essentiels de leur vie privée est l’apanage des démocraties, qui disposent depuis longtemps de législations strictes dans ce domaine.

L’Europe ne doit pas interdire la conservation des données, mais au contraire assurer leur protection et leur diffusion contrôlées. Elle doit garantir aux citoyens que les ressources techniques, financières et humaines nécessaires, incluant la présence de professionnels qualifiés, soient allouées à la gestion adéquate de ces données.

Afin d’éviter une décision irréparable, nous demandons à la Commission européenne de suspendre l’adoption de ce règlement et d’approfondir le débat.
Cordialement,
[Votre nom]


Annexe II. Projet d’article 83

Article 83 - Traitements de données à des fins de recherche historique, statistique et scientifique

1. Dans les limites du présent règlement, les données à caractère personnel ne peuvent faire l'objet d'un traitement à des fins de recherche historique, statistique ou scientifique que si :
a) ces finalités ne peuvent être atteintes d’une autre façon par le traitement de données qui ne permettent pas ou ne permettent plus d’identifier la personne concernée ;
b) les données permettant de rattacher des informations à une personne concernée identifiée ou identifiable sont conservées séparément des autres informations, à condition que ces fins puissent être atteintes de cette manière.

2. Les organismes effectuant des recherches historiques, statistiques ou scientifiques ne peuvent publier ou divulguer des données à caractère personnel que si :
a) la personne concernée a donné son consentement, sous réserve du respect des conditions énoncées à l'article 7 ;
b) la publication de données à caractère personnel est nécessaire pour présenter les résultats de la recherche ou pour faciliter la recherche, sous réserve que les intérêts ou les libertés ou les droits fondamentaux de la personne concernée ne prévalent pas sur l'intérêt de la recherche ; ou
c) la personne concernée a rendu publiques les données en cause.

3. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et les exigences applicables au traitement de données à caractère personnel visé aux paragraphes 1 et 2, ainsi que toute limitation nécessaire des droits d’information et d’accès de la personne concernée, et de préciser les conditions et garanties applicables aux droits de la personne concernée dans les circonstances en cause.

------------------

A lire également :

CNIL - Construire ensemble un droit à l'oubli numérique, 30 mai 2013
Communiqué de Liberté pour l'Histoire, 1er juin 2013