Perkins v. LinkedIn Corp., 13-cv-04303 ou la directive sur les données personnelles

Vous n’avez peut-être pas lu dans la presse que le réseau social professionnel LinkedIn est attaqué en justice par des utilisateurs (des clients ?) sur le motif que l’entreprise se serait approprié les carnets d’adresses des plaignants pour des opérations marketing.

Sans rentrer dans les détails de l’affaire que j’ignore, ce fait divers me permet de rebondir sur le projet de directive européenne sur des données personnelles.

Pour mieux réguler la protection des données personnelles, l’Union Européenne, sous la houlette de Viviane Reding, commissaire européen chargée de la justice, a travaillé sur le remplacement de la directive de 1995 (c'est-à-dire antérieur à l’essor de l’Internet, du Cloud Computing et des Réseaux Sociaux).

Ce projet de directive est d’une importance capitale pour nous, utilisateurs. Il tente de nous redonner le contrôle de nos données. Mais il est également d’une importance capital pour nous, professionnels, car il permet aux entreprises valoriser le potentiel de l'économie numérique. Il tente d’établir un équilibre entre les attentes des individus, les objectifs de politique publique, notamment de sécurité, et ceux des entreprises.

Et les questions sur le profilage des utilisateurs, le droit à l’oubli, le transfert des données personnelles hors de l’UE ou l’équilibre entre droits, obligations et sanctions sont effectivement fondamentales leur réponses devant assurer un équilibre délicat entre les attentes des citoyens, des entreprises et des autorités. Ce projet a suscité un débat intense, trop technique pour le grand public et à ce jour près de 4500 amendements ont été déposés, certains rédigés directement par des groupes de pressions dépendant de plusieurs grandes entreprises américaines.

Pour terminer la boucle et revenir au point de départ de ce billet, le cas Perkins v. LinkedIn pose un certain nombre de questions qui vont se poser à toutes les entreprises:

-       Le carnet d’adresse contient-il des données personnelles (voir à ce sujet la différence entre la France et la Grande Bretagne) ?

-       En s’inscrivant sur votre site, l’utilisateur donne-t’il un consentement explicite à l’exploitation de ses données ?

-       L’entreprise peut-elle transférer sur ses serveurs situés hors Union Européenne (dans le Cloud) ce type de données à caractère personnel?

-       Quelle est l’autorité de contrôle de l’entreprise (position du MEDEF pagez 18)?

-       Comment mettre en place le droit à l’oubli ?

Si ce règlement entre en vigueur en 2015 comme prévu, il sera directement applicable pour l’ensemble des pays européens. Les CIL vet RSSI ont avoir du pain sur la planche en 2014 et 2015 ...