L’affaire Snowden a marqué un tournant et engendré certains changements, constate Edouard Geffray. Les attentes sociales se sont accrues et les sollicitations à la CNIL aussi. A titre d’exemple, les demandes ont augmenté de 105% en deux ans concernant le droit d’accès indirect. Cette procédure concerne les fichiers intéressant la sûreté de l’Etat, la défense et la sécurité publique, tels que les fichiers de police judiciaire, les fichiers des services de la DGSI… La CNIL observe également une augmentation des demandes de suppression d’informations en ligne. « Nos concitoyens commencent à être plus angoissés de ce qui est fait de leurs données ». C’est ce qu’il appelle le « Privacy Paradox » : les citoyens en disent toujours plus sur leur vie privée, mais souhaitent en même temps avoir une plus grande maîtrise de leurs données et de leur protection/suppression.

Concernant les entreprises, la principale question qui se pose aujourd’hui est de savoir si elles assurent bien en continu une protection optimale des données à caractère personnel qu’elles traitent. On remarque ainsi un certain essor de l’activité de mise en conformité, notamment pour pallier au mieux au risque d’image. 14 000 organismes disposent aujourd’hui d’un Correspondant Informatique et Libertés (CIL). La CNIL les accompagne également dans cette démarche, grâce au développement de nouveaux outils, labels, packs de conformité…

Autant de facteurs qui montrent que la prise de conscience se fait à la fois du point de vue du citoyen et des entreprises. Cette convergence des intérêts est, en outre, liée à l’impact fort inhérent à l’atteinte aux données à caractère personnel.

La vie privée n’a pas vocation à disparaître

Pour Edouard Geffray, sécurité numérique et vie privée ne sont pas deux notions incompatibles, elles vont même de pair. Elles représentent d’ailleurs aujourd’hui un enjeu de compétitivité pour une entreprise. Selon lui, et contrairement à ce que prédisent certains, la vie privée n’a pas vocation à disparaître. C’est avant tout une question civilisationnelle liée au principe du quant-à-soi (fait d’avoir quelque chose qui n’appartient qu’à nous).
La vie privée est consubstantielle à l’individu. Les grands acteurs, même les Google, Facebook…, sont et seront obligés à terme d’intégrer ce paramètre. Certains le font à reculons, mais doivent le faire quand même, estime-t-il. La loi européenne protège le citoyen en ce sens.

Quels sont les enjeux autour des usages du Cloud ? En matière Informatique et Libertés, le fait de sous-traiter tout ou partie du traitement des données à un prestataire ne désengage pas le Responsable de Traitement (RT) de l’entreprise de sa responsabilité. La CNIL a d’ailleurs publié des clauses contractuelles types afin de rappeler les responsabilités de chacun en la matière. Toutefois, l’un des problèmes, soulevé par l’affaire PRISM, est d’être véritablement en mesure de savoir qui accède ou non aux données de l’entreprise. Et qui est vraiment capable aujourd’hui de protéger ses données contre des intrusions non souhaitables ?

« Privacy by design » : un élément de compétitivité pour les entreprises

Selon lui, la « Privacy by design », qui consiste à prendre en compte le respect de la vie privée dans le cycle de développement des technologies et services, y compris de sécurité, permet de réduire les risques. Elle s’avère, de plus, un élément de compétitivité essentiel permettant aussi de susciter la confiance de l’utilisateur. Les entreprises françaises et européennes ont leur rôle à jouer à ce niveau-là.
Cette notion de « Pivacy by design » devrait d’ailleurs être consacrée par le projet de Règlement européen relatif à la protection des données à caractère personnel. Certaines technologies existent d’ores et déjà, mais le Règlement viendra y ajouter un cadre et une méthodologie permettant aux entreprises de devenir « Privacy Friendly ».

Quelle que soit la technologie utilisée, il rappelle, en outre, qu’il faut toujours garder à l’esprit la notion de proportionnalité entre les données collectées et l’usage qui en est fait. C’est un paysage mouvant qui n’a pas une réponse unique, chaque processus doit donc être traité au cas par cas.

L’important est que l’utilisateur achète ou utilise un service de manière consentie, avec une véritable conscience des risques liés à l’agrégation et au traitement de ses données. Cela doit être le cas, par exemple, avec les réseaux sociaux ou les technologies de « Quantified Self » (principe du « Corps connecté ») qui sont très à la mode aujourd’hui…
Il convient également donner aux utilisateurs les moyens de pouvoir mieux sécuriser ses données. En cas de croisement de ses données par tel ou tel acteur, il doit en être averti et avoir la mainmise s’il souhaite en changer. Cet équilibre à trouver est certes compliqué, mais pas impossible, conclut-il.