L’International Conference of Data Protection and Privacy Commissioners (ICDPPC) s’est réunie pour sa 41e édition annuelle à Tirana entre le 21 et le 24 octobre 2019. Cette conférence réunit tous les ans des représentants d’autorités nationales en charge de la protection des données et/ou de la vie privée, venues du monde entier. Elle comporte des journées de « session fermée » ouverte aux seuls membres accrédités, et une seconde partie ouverte au public, moyennant paiement d’une inscription dont le coût relativement élevé favorise en priorité la présence d’entreprises ou de groupes d’intérêts industriels.
Interrogés sur cette question de façon informelle, les personnes inscrites ont indiqué pour beaucoup ne pas venir tant pour le contenu des discussions, que pour prendre contact avec des interlocuteurs auprès des autorités de contrôle, et faciliter, par cette prise de contact « IRL », de futurs échanges par voie électronique.
Il s’agit de la première édition depuis l’entrée en application du Règlement général de protection des données (RGPD). À cette occasion, il fut annoncé que cela serait sa dernière édition sous ce nom, l’ICDPPC changeant de nom pour s’appeler désormais la Global Privacy Assembly [1]Voir l’annonce faite sur le nouveau site de la Global Privacy Assembly
La session publique de l’ICDPPC, durant laquelle Edi Rama, le premier ministre albanais, a prononcé un discours de bienvenue, a été l’occasion d’un hommage appuyé à Giovanni Buttarelli, Contrôleur européen à la protection des données, brutalement décédé en cours de mandat cet été [2]Voir la page dédiée à sa mémoire sur le site de l’IAPP.
Les annonces des autorités de protection des données se sont concentrées sur la poursuite d’un travail d’institutionnalisation, déjà annoncé dans les déclarations de la Conférence de l’an dernier à Bruxelles [3]Les résolutions adoptées peuvent être retrouvées sur le site de l’ICDPPC, et qui se placent dans la continuité du vingt-quatrième point de la Déclaration de Madrid adoptée en 2009. L’objectif des autorités membres est de renforcer leur coopération, y compris sur des cas de contrôles concrets de l’application des principes de protection des données. Un second objectif annoncé est l’ouverture à une diversité de partie-prenantes, avec l’emploi d’un vocabulaire sur le « multi-stakeholderism » qui n’est pas sans rappeler des modèles fonctionnant dans le domaine de la gouvernance d’Internet. Les modalités concrètes sont encore peu claires, mais l’idée de constituer des groupes d’experts multi-partie-prenantes a été évoquée.
La déclaration de Madrid, que nous venons d’évoquer, portait sur l’adoption d’une série de principes considérés comme pouvant fournir le socle de standards mondiaux de protection de protection des données. La définition englobante de la notion de donnée à caractère personnel, telle qu’elle avait été fixée notamment dans la Convention 108 du Conseil de l’Europe, y est retenue, aux côtés de principes comme le principe de limitation des finalités ou encore celui d’« accountability » (imputabilité).
L’ICDPPC de Tirana a été l’occasion de poursuivre, y compris pendant la session publique, le débat sur l’adoption de « standards communs globaux » sur lesquels tous les États pourraient se mettre d’accord en matière de protection des données. Concrètement, il s’agissait de savoir s’il fallait considérer qu’une telle base était déjà par la Convention 108 du Conseil de l’Europe et sa version modernisée en 2018, auxquelles un certain nombre d’États extra-européens ont adhéré, ou bien s’il fallait lui préférer une nouvelle convention international ad-hoc [4]Voir la résolution sur la direction stratégique de la Conférence de 2019 à 2021, qui ne liste ces conventions qu’aux côtés et à égalité avec d’autres textes, comme les Lignes … Continue reading.
De nombreux autres sujets ont été évoqués au cours des divers panels de la journée [5]Voir le programme de la conférence. Certains sont de vieux serpents de mer des conférences sur la protection des données, comme par exemple le thème de la prise en compte par le droit de la concurrence de la concentration des données personnelles entre les mains de quelques acteurs hégémoniques. Si la décision récente du Bundeskartellamt allemand contre Facebook [6]La décision a toutefois été suspendue par un tribunal de Düsseldorf. L’issue de la bataille judiciaire semble encore incertaine. Voir l’article des Échos à ce sujet a ajouté un peu de nouveauté à la discussion de cette thématique, celle-ci ne semble pas avoir sensiblement évolué au cours de ces dernières années.
La question du rôle des autorités de contrôle dans la garantie du bon déroulement des élections et de la campagne électorale a été longuement évoquée, dans un contexte où les données personnelles sont soupçonnées d’être utilisées à des fins de profilage et de manipulation politique [7]Voir le papier de Daniel Susser, Beate Roessler et Helen Nissenbaum sur la manipulation en ligne pour une définition de la manipulation, quelle que soit au demeurant l’efficacité réelle ou seulement supposée de telles méthodes [8]Colin Bennett a partagé avec la Conférence les résultats d’une étude sur le sujet. La question est hautement débattue, et rappelle pour beaucoup la querelle ancienne entre behaviouristes … Continue reading. Lors de la conférence, la journaliste du Guardian qui a révélé l’affaire Cambridge Analytica, Carole Cadwalladr, a apporté un certain nombre de précisions et de questions sur ce sujet.
Brad Smith, le président de Microsoft, a rappelé dans son keynote speech l’impact environnemental de l’usage des technologies de l’information et de la communication. Le thème du réchauffement climatique et des transformations environnementales majeures a ainsi fait son entrée à l’ICDPPC. Puis, comme Tim Cook, PDG d’Apple, l’avait fait l’an dernier, il a appelé à l’adoption de réglementations fortes en matière de protection de la vie privée et des données personnelles. Toutefois, il a surpris en appelant à l’adoption de réglementations sectorielles, potentiellement spécifiques à certaines technologies. Ce discours va à l’encontre à la fois des demandes des groupes d’intérêts industriels pendant la négociation du RGPD, mais aussi à l’encontre de la tendance générale, où de plus en plus de pays tendent à adopter des réglementations générales de protection des données [9]Voir les travaux de Graham Greenleaf.
La régulation des contenus haineux a également été un sujet très discuté. John Edwards, le commissaire néo-zélandais, a évoqué le sujet de l’Appel de Christchurch. Il a rappelé que des erreurs de conception dans les algorithmes de détection de contenus violents de Facebook avaient contribué à permettre l’utilisation de ce réseau social pour la diffusion en temps réel des images du massacre des attentats de Christchurch.
L’intelligence artificielle – quoique cela veuille dire exactement [10]Pour un aperçu des définitions possibles de cette notion, et de son historique, voire l’excellente entrée sur l’intelligence artificielle rédigée par Bruno Bachimont dans le lexique … Continue reading – et, plus précisément, ses applications en matière de profilage et des prise de décisions administratives automatisées, furent discutées. En lien avec ce sujet, Mark Rotenberg, de l’association EPIC, a appelé à un « moratoire sur les techniques de reconnaissance faciale ». Cette préoccupation fait écho à celles d’associations françaises comme la Quadrature du Net, inquiètes entres du déploiement prévu du projet ALICEM [11]Voir un post de blog récent de la Quadrature à ce sujet. Malgré cela, pour l’instant, les autorités de protection des données ne semblent toutefois pas se décider à conclure à l’illégalité de bon nombre d’expérimentations menées en la matière, et au fait qu’elles soient contraires aux principes adoptés en 2009 dans la Déclaration de Madrid.
C’est justement l’adoption de lignes rouges claires conformes aux lois adoptées qui font encore défaut selon nombre d’intervenants et d’intervenantes issu(e)s de la société civile et de journalistes, invité(e)s à participer aux panels de la journée et demie de session publique. Sally Hubbard, spécialiste du droit de la concurrence à l’Open Markets Institute, et Ailidh Callander, de Privacy International, ont toutes deux demandé aux autorités de contrôle d’expliquer comment cela se faisait que des business models illégaux suite à l’adoption du RGPD – mais en réalité, bien souvent, depuis l’adoption de la directive de 1995 voire avant selon les États – pouvaient toujours prospérer un an après l’entrée en vigueur de ce règlement. Aucune réponse concrète directe n’a été apportée à cette question, mais il a été rappelé que cela ne fait qu’un an environ que le RGPD est entré en application, et que mener des contrôles et monter des dossiers de sanction peut prendre du temps. De nombreuses sanctions administratives ont déjà été adoptées [12]Voir les sanctions référencées par le site Enforcement Tracker.
Notons enfin que, pour poser des questions, l’utilisation d’une application « ICDPPC 2019 ». Son installation nécessité la possession d’un téléphone fonctionnant soit sous Android, soit sous iOS, et disposant des « boutiques » de Google ou Apple, méconnaissant ainsi des principes de neutralité technique auxquels les autorités publiques devraient se conformer. En outre, l’interface de l’application obligeait à remplir le champ « Nom » au moment de poser une question. Or, indiquer son identité ne semble proportionné à l’objectif « poser une question ». Enfin, les questions posées par les un(e)s et les autres n’étant affichées nulles part, cela permettait aux modérateurs de sélectionner arbitrairement les questions, sans transparence sur la sélection ainsi opérée. Gageons que ce problème, ainsi que la non-conformité du site web de l’ICDPPC qui prétend installer des cookies avec un « consentement » opt-out (alors même qu’aucun cookie ne semble réellement déposé, d’ailleurs … ), soient des problèmes corrigés lors de la première édition de la Privacy Assembly l’an prochain au Mexique. C’est une exigence pour la crédibilité des autorités de contrôle qui s’y réunissent.
| ↑1 | Voir l’annonce faite sur le nouveau site de la Global Privacy Assembly |
| ↑2 | Voir la page dédiée à sa mémoire sur le site de l’IAPP |
| ↑3 | Les résolutions adoptées peuvent être retrouvées sur le site de l’ICDPPC |
| ↑4 | Voir la résolution sur la direction stratégique de la Conférence de 2019 à 2021, qui ne liste ces conventions qu’aux côtés et à égalité avec d’autres textes, comme les Lignes directrices de l’OCDE de 1980 ou les principes de l’APEC Privacy Framework |
| ↑5 | Voir le programme de la conférence |
| ↑6 | La décision a toutefois été suspendue par un tribunal de Düsseldorf. L’issue de la bataille judiciaire semble encore incertaine. Voir l’article des Échos à ce sujet |
| ↑7 | Voir le papier de Daniel Susser, Beate Roessler et Helen Nissenbaum sur la manipulation en ligne pour une définition de la manipulation |
| ↑8 | Colin Bennett a partagé avec la Conférence les résultats d’une étude sur le sujet. La question est hautement débattue, et rappelle pour beaucoup la querelle ancienne entre behaviouristes et fonctionnalistes dans l’étude de l’influence des médias. Voir à ce sujet une présentation récente de Mireille Hildebrandt, et un papier publié sur le blog de l’Oxford Internet Institute |
| ↑9 | Voir les travaux de Graham Greenleaf |
| ↑10 | Pour un aperçu des définitions possibles de cette notion, et de son historique, voire l’excellente entrée sur l’intelligence artificielle rédigée par Bruno Bachimont dans le lexique du projet TRANSNUM |
| ↑11 | Voir un post de blog récent de la Quadrature à ce sujet |
| ↑12 | Voir les sanctions référencées par le site Enforcement Tracker |