Le CEPD met en place un comité d'éthique
Aujourd'hui, après la publication de l'avis intitulé Vers une nouvelle éthique numérique, le contrôleur européen de la protection des données (CEPD) invite instamment l'Union européenne et les responsables internationaux à promouvoir l'intégration d'une dimension éthique dans les technologies de demain afin de défendre la valeur de la dignité humaine et d'éviter que les citoyens ne soient réduits à de simples personnes concernées. Il a déclaré que son institution indépendante allait créer sous peu un comité d'éthique externe, qui contribuera à mieux évaluer les conséquences éthiques de la définition et de l'utilisation des informations à caractère personnel dans un monde caractérisé par un appétit insatiable de volumes de données («big data») et régi par l'intelligence artificielle.
Giovanni Buttarelli, contrôleur européen de la protection des données, a déclaré à ce propos: «Le futur environnement technologique sera constitué d'un écosystème interdépendant de législateurs, d'entreprises, de développeurs de TI et d'individus. Chacun devrait être également responsable de la forme que prendra cet environnement et de tout déséquilibre des forces menaçant sa viabilité. Ainsi, la collecte permanente, massive et indiscriminée de données personnelles par les gouvernements et les entreprises risque de tuer la poule aux œufs d'or. Par cet avis, qui complète notre précédent avis sur la réforme de la protection des données dans l'UE, nous souhaitons élargir la discussion, à la fois au sein de l'UE et au niveau international, sur la manière de protéger l'intégrité de nos valeurs tout en bénéficiant des avantages des nouvelles technologies.»
Des législations tournées vers l'avenir constituent un élément important pour remédier aux déséquilibres des forces dans l'environnement numérique actuel et le CEPD soutient pleinement la modernisation du cadre de protection des données de l'Union européenne et d'autres directives. Il encourage l'UE à veiller à la cohérence entre les nouveaux textes légaux afin de faciliter une approche holistique, en particulier dans le cadre du contrôle du respect des règles en matière de concurrence, de protection des consommateurs et de protection des données (avis du CEPD intitulé Vie privée et compétitivité à l'ère de la collecte de données massives).
Si la législation est un puissant instrument, elle ne peut apporter une réponse distincte et adaptée aux nombreux scénarios sensiblement dissemblables qui apparaissent sur le marché du numérique. Le CEPD appelle les organisations à se montrer responsables et à suivre une nouvelle approche éthique dans le traitement des données à caractère personnel qu'elles collectent. En développant des codes et des politiques internes de respect de la dignité humaine, les organisations peuvent s'autocontrôler, s'assurer qu'elles respectent la législation en matière de protection des données et prouver qu'elles respectent les personnes dont elles utilisent les données personnelles; le fait qu'une organisation peut reconstituer la vie d'un client en recoupant ses données n'a pas nécessairement pour corollaire qu'elle devrait toujours le faire.
Le secteur des TI a un rôle important à jouer dans l'environnement numérique grâce à une ingénierie respectueuse de la vie privée permettant de proposer des technologies qui traitent les données dans le respect des droits de la personne. Le CEPD soutient sans restriction les travaux du réseau d'ingénierie de la vie privée sur Internet (IPEN), qui contribue à intégrer la protection de la vie privée dans des outils du quotidien ainsi qu'à en développer de nouveaux.
La protection de la vie privée et des données a plus d'importance que jamais pour les individus. Il existe toutefois différents niveaux de prise de conscience au sein de la société en ce qui concerne la sécurité sur l'Internet, certaines personnes échangeant sciemment leurs données personnelles contre des services «gratuits» et d'autres le faisant à leur insu. S'il est incontestable que les personnes doivent aussi être informées et se voir octroyer toute latitude de contrôler la façon dont leurs données à caractère personnel sont utilisées, les individus ne sont pas pour autant des êtres passifs nécessitant une protection absolue contre l'exploitation. Les individus doivent aussi s'émanciper en acquérant un certain niveau de connaissance à chaque opportunité; ils doivent être conscients des conséquences de la collecte de données et réfléchir dès le début aux finalités de celle-ci.
Le contrôleur européen de la protection des données souhaite encourager une discussion éclairée dans l'UE avec la société civile, les concepteurs, les entreprises, le monde académique, les pouvoirs publics et les autorités réglementaires. Un nouveau comité d'éthique de l'Union européenne en matière de protection des données est de nature à contribuer à la définition d'une nouvelle éthique numérique, permettant à l'Union de concrétiser à son profit les avantages de la technologie pour la société et l'économie, selon des modalités propres à renforcer les droits et libertés des citoyens.
Informations générales
Le respect de la vie privée et la protection des données sont des droits fondamentaux dans l'UE. La protection des données est un droit fondamental, protégé par la législation de l'UE et inscrit à l'article 8 de la Charte des droits fondamentaux de l'Union européenne.
Plus spécifiquement, les règles relatives à la protection des données dans les institutions de l'UE, tout comme les obligations du contrôleur européen de la protection des données (CEPD), sont énoncées dans le règlement (CE) n° 45/2001. Le CEPD est une autorité de contrôle indépendante relativement nouvelle, mais de plus en plus influente, qui est chargée de contrôler le traitement des données à caractère personnel par les institutions et organes de l'UE, de fournir des conseils sur les politiques et la législation qui ont une influence sur la vie privée et de coopérer avec des autorités similaires afin de garantir une protection cohérente des données.
Giovanni Buttarelli (CEPD) et Wojciech Wiewiórowski (contrôleur adjoint) sont membres de l'institution et ont été nommés par une décision conjointe du Parlement européen et du Conseil. Nommés pour un mandat de cinq ans, ils sont entrés en fonction le 4 décembre 2014.
Stratégie du CEPD pour la période 2015-2019: Dévoilé le 2 mars 2015, le plan couvrant la période 2015-2019 résume les grands défis à relever au cours des années à venir en matière de protection des données et de respect de la vie privée, ainsi que les trois objectifs stratégiques du CEPD et 10 mesures d'accompagnement pour les réaliser. Ces objectifs sont les suivants: 1) réagir aux défis de la protection des données à l'ère numérique; 2) forger des partenariats à grande échelle et 3) ouvrir un nouveau chapitre dédié à la protection des données dans l'UE.
Informations ou données à caractère personnel: Toute information concernant une personne physique (vivante) identifiée ou identifiable. À titre d'exemples: noms, dates de naissance, photographies, séquences vidéo, adresses électroniques et numéros de téléphone. D'autres informations telles que des adresses IP et le contenu de communications se rapportant à des utilisateurs finals de services de communication ou fournies par ces derniers sont également considérées comme des données à caractère personnel.
Respect de la vie privée: droit d'une personne à être laissée tranquille et à contrôler les informations la concernant. Le droit au respect de la vie privée est inscrit dans la Déclaration universelle des droits de l'homme (article 12), dans la Convention européenne des droits de l'homme (article 8) et dans la Charte des droits fondamentaux de l'Union européenne (article 7). La Charte prévoit également un droit explicite à la protection des données à caractère personnel (article 8).
Traitement des données à caractère personnel: Aux termes de l'article 2, point b), du règlement (CE) n° 45/2001, on entend par «traitement de données à caractère personnel» toute opération ou ensemble d'opérations effectuée(s) ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction.» Voir le glossaire sur le site du CEPD.
Gros volumes de données: Volumes gigantesques de données détenus par des entreprises, des gouvernements et d'autres grandes organisations, qui sont ensuite analysées de façon approfondie en utilisant des algorithmes. Voir aussi l'avis 3/2013 du groupe de travail «Article 29» sur la limitation des finalités, p. 35.
L'enquête Eurobaromètre sur la protection des données de juin 2015 a conclu que la protection des données, et notamment le traitement des données à caractère personnel dans le domaine numérique, reste un important sujet de préoccupation des citoyens dans l'UE.