Bowden vs CNIL: la chimère normative en matière de protection des données…

@CasparBowden

Quelle magnifique semaine, consacrée à des recherches juridiques dans des ouvrages passionnants, jour et nuit. Le luxe de la réflexion devient précieux, lorsque l'on partage son temps entre des séances au Tribunal, des rendez-vous avec des clients et l'activité ordinaire d'une étude d'avocats. 

Soudain, alors que la rédaction d'un article scientifique suit son cours, une information retient votre attention: Caspar Bowden critique la CNIL. La Commission Nationale de l'Informatique et des Libertés, l'autorité de protection des données symbole de l'excellence en Europe. Celle qui a osé infliger une amende de 100'000 euros à Google pour avoir collecté des données Wi-Fi à l'insu des personnes concernées. La seule, l'unique.

Qui est l'outrecuidant, l'échappé de Charenton qui s'autorise un crime de lèse-majesté des données?

Caspar Bowden n'est pas ce que l'on pourrait appeler un néophyte. Ex Chief Privacy Adviser de Microsoft, il fait partie du Board of Directors du projet Tor,  un réseau dont l'objectif est de garantir l'anonymat des échanges Internet. Les données sont donc la substantifique moelle numérique de son activité professionnelle depuis des années. Il s'agit d'un référent de confiance, d'une vigie dont chaque mot mérite une attention soutenue. 

Dans une étude commandée à Caspar Bowden par la commission des libertés civiles, de la justice et des affaires intérieures du Parlement européen, celui-ci évoque un stratagème juridique insensé, auquel la CNIL aurait concouru. En substance, il met en exergue le fait que l'Europe n'aurait pas fait preuve de la vigilance suffisante lors de la conclusion d'accords relatifs à la protection des données avec les États-Unis, accords intitulés Safe Harbor (Sphère de sécurité). Des clauses "modèles" ont été rédigées pour protéger la vie privée des individus, lesquelles doivent être intégrées dans les contrats paraphés avec les sous-traitants américains. Là où le bât blesse, c'est que la CNIL a soutenu un mécanisme, dont les limites apparaissent au grand jour, suite aux révélations concernant le programme PRISM

Selon Caspar Bowden, aucune autorité ne peut, dans un contexte civil impliquant des acteurs privés, garantir le droit au respect de la vie privée lorsqu'un acteur tel que la NSA enfreint ce droit en tentant d'accéder à des données en opérant selon des règles qui lui sont propres et de manière légale à ses yeux. La CNIL n'est certes pas la seule autorité de protection des données dont le travail est critiqué (qualifié de surprenant), mais l'auteur de ce réquisitoire sait pertinemment qu'en focalisant ses griefs sur une autorité dont l'aura est remarquable, il générera une amplification notable de la diffusion de son point de vue. 

Fondamentalement, l'argumentaire interpelle. N'avons-nous pas fait preuve d'une confondante naïveté ? Assurément. Notre confiance a-t-elle été trahie? Évidemment. Il ne sera plus possible de continuer à vouloir assurer la protection des citoyens sur la seule base de clauses contractuelles, si parfaites soient-elles.

La CNIL s'est défendue d'avoir failli. Elle s'est expliquée publiquement sur les choix opérés. Soit. Mais la réponse de Caspar Bowden fuse et, comme à l'accoutumée, est plus persuasive que le plaidoyer initial. Peu importe en réalité pour quels motifs nous en sommes arrivés à une situation aussi invasive et phagocytaire de données. Seule entre en ligne de compte la réflexion que nous devons tous conduire rapidement pour rétablir la protection des droits fondamentaux de nos citoyens. Les propositions formulées par Caspar Bowden sont, dans ce contexte, un chélicère qui devrait permettre de stimuler des autorités de protection des données, peu habituées à être ainsi bousculées par quelqu'un qui était de l'autre côté du miroir, c'est à dire qui sait comment les données sont dans la réalité, et non dans l'utopie des normes, traitées.

Il s'agit d'un appel au pragmatisme, que nous ne pouvons éluder en conscience

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *