Le gouvernement français doit amender le projet de loi sur la protection des données afin de protéger les chercheurs en matière de sécurité qui s’emploient à mettre au jour les abus de données personnelles et à dissiper les craintes que ce projet de loi ne pénalise accidentellement.
L’initiative fait suite à un rapport issu de divers journaux sur les préoccupations et a été accueillie favorablement par l’un des chercheurs qui a tiré la sonnette d’alarme. Je suis très satisfait des amendements “, a déclaré Lukasz Olejnik, chercheur indépendant en cybersécurité et protection de la vie privée.
Une nouvelle loi pour 2018 ?
Le projet de loi pour 2018 contiendra une disposition érigeant en infraction criminelle le fait de “ré-identifier intentionnellement ou par insouciance des personnes à partir de données anonymes ou pseudonymisées”, avec la possibilité d’une amende illimitée pour les contrevenants.
Lorsque l’amendement a été publié pour la première fois en août, les chercheurs en matière de sécurité craignaient d’enfreindre la loi s’ils menaient des recherches démontrant une anonymisation inadéquate de la part d’autres personnes.
Maintenant, le gouvernement a déposé un amendement au projet de loi prévoyant une exemption pour les chercheurs qui effectuent des ” tests d’efficacité “. Les chercheurs devront aviser la CNIL dans les trois jours suivant la dés-anonymisation réussie des données et démontrer qu’ils ont agi dans l’intérêt public et sans intention de causer des dommages ou de la détresse dans la ré-identification des données.
Le ministère dédié à la culture et au numérique, a déclaré :”Nous renforçons les lois française sur la protection des données pour les adapter à l’ère numérique en donnant aux gens plus de contrôle sur leurs propres données. Cet amendement permettra à nos chercheurs de premier plan dans le domaine de la cybersécurité de poursuivre leur travail essentiel pour découvrir les abus de données personnelles.”
Un compromis dit-on ?
Il a été aussi déclaré que cet amendements proposait ” un compromis raisonnable ” entre les besoins des chercheurs et les risques d’abus et exceptions. Cette affaire souligne la nécessité d’une analyse attentive des règlements et amendements proposés sur la protection des données, que ce soit en France ou ailleurs. De nos jours, une réglementation technologique mal conçue a le potentiel d’affecter négativement des sociétés entières.
Le manque d’anonymat des données est un problème courant. En 2006, AOL avait publié une sélection ” anonymisée ” de requêtes de recherche qui révélaient des affaires, des maladies et des activités criminelles lorsqu’elle a été dés-anonymisée par simple croisement avec des annuaires téléphoniques. La même année, Netflix a été poursuivie en justice après avoir publié des critiques anonymes qui dénonçaient une lesbienne refoulée.
En août de l’année dernière, des chercheurs allemands ont acheté les données de navigation “anonymes” de 3 millions d’Allemands auprès d’un courtier en données, et a réussi à découvrir les penchants pornographiques d’un juge, les problèmes médicaux d’un député et les détails des affaires criminelles en cours. En espérant que cet amendement ne puisse pas générer de telles fuites !