A l’heure du « big data » et du « cloud computing » le secteur des Technologies d’Information et de Communication (TIC) envahit notre quotidien en nous proposant des solutions adaptées à nos besoins. Sur ces réseaux, l’échange de données personnelles est constant. Quelle est la responsabilité des entreprises concernées pour préserver la vie privée et limiter les risques d’abus ?

L’affaire Snowden vient nous rappeler le réel enjeu que constitue la protection des données personnelles. L’épineux sujet n’est pas nouveau : il a encore été la source d’une récente bataille rangée au niveau de l’Union Européenne pour mettre en place une directive sur la protection de ces données. Notons cependant qu’européens et américains n’ont pas la même approche et si les premiers sont plus frileux sur le sujet, les seconds en ont fait un business model :

  • En Europe, il existe un vieux socle réglementaire de moins en moins adapté du fait des convergences des technologies et de la mondialisation des données, mais qui, néanmoins, pousse au respect des données. La CNIL en France en est un parfait exemple.
  • Aux Etats-Unis, des géants du web prospèrent grâce à l’utilisation des données personnelles et leur exploitation. Ce véritable business model a permis l’émergence d’entreprises d’envergure mondiale comme Google ou Facebook. On comprend alors plus aisément la réticence des américains à adopter des mesures coercitives en matière de respect des données personnelles et cette plus grande facilité à aller « piocher » les informations jugées nécessaires.

Nous travaillons sur cette problématique depuis plusieurs années et avons participé à la création d’initiatives multipartites comme la Global Network Initiative, dont l’objectif est de créer des principes de gestion de la protection des données personnelles et d’éviter toute intervention étatique néfaste à la confidentialité des informations privées. Il était par ailleurs nécessaire d’entamer une discussion avec les entreprises de TIC et nous avons travaillé sur ces questions avec de nombreux opérateurs européens comme Telefónica, Vodafone, Telenor ou TeliaSonera.  Les conclusions d’un de nos rapports sont toujours d’actualité. Elles résonnent particulièrement avec la situation actuelle et posent des questions auxquelles gouvernements, entreprises et simples utilisateurs devront répondre prochainement :

Travailler étroitement avec les gouvernements

  • Y a-t-il un moyen pour le secteur des TIC de collaborer avec les gouvernements et parties prenantes afin d’assurer que les fonctionnalités et standards du produit permettent un respect de loi et de la vie privée ?
  • Plus globalement, comment le secteur des TIC et les gouvernements peuvent-ils collaborer pour faire en sorte que le respect des Droits de l’Homme se conjugue avec application de la loi ?

Concevoir les réseaux de demain

  • Dans quelle mesure est-il possible de concevoir des nouveaux produits minimisant la censure ou l’accès illégitime aux renseignements personnels, tout en permettant application légitime de la loi ?
  • Y a-t-il des façons de concevoir les futurs réseaux TIC ou de créer des normes de produits globales qui permettront de minimiser les risques pour la vie privée et la liberté d’expression à chaque étape de la chaîne de valeur des TIC ?
  • Comment les entreprises des TIC peuvent-elles mettre en place un agenda commun étant donné que les produits de plusieurs entreprises travaillent ensemble en tant que parties d’un réseau interdépendant ?

Mettre en place une diligence raisonnable

  • Comment les entreprises TIC peuvent évaluer le risque que les clients (gouvernements ou entreprises privées) vont utiliser le produit, le service, la fonctionnalité ou la technologie en vue de violer les droits humains ? Quelles stratégies peuvent être mises en place pour atténuer ce risque ?
  • Une diligence raisonnable au niveau d’un pays répond-t-elle aux mêmes exigences qu’une diligence raisonnable au niveau d’un simple consommateur ? Y a-t-il des clients auxquels l’entreprise de TIC peut refuser la vente ? Sur quoi se fonde la décision d’une entreprise ?
  • Il existe d’ores et déjà de nombreuses lois encadrant la relation avec les clients situés dans des endroits à haut risque (par exemple les lois de contrôle des exportations), mais que faire des relations commerciales légales mais immorales ou qui violent les règles de confidentialités et de liberté d’expression ?

L’engagement des employés, des utilisateurs et consultants

  • Existe-t-il des services de conseil qui guident des consommateurs désireux d’utiliser le produit pour de la censure ou l’accès illégitime aux données personnelles ? Est-il possible de mettre en place des directives sur les Droits de l’Homme et le respect de la vie privée qui seraient fournies aux entreprises ?
  • Quelle est la responsabilité d’une entreprise de TIC si les conseils sur l’utilisation de ses produits est assurée par des entreprises indépendantes, qui peuvent ne pas avoir été formées par l’entreprise ?
  • Comment le secteur des TIC peut offrir aux utilisateurs une communication transparente quant au respect de la vie privée et de la liberté d’expression ?

Le sujet est aussi compliqué que passionnant ; le débat est ouvert.