J’ai
reçu, comme membre, ce document de Liberté pour l’Histoire et j’ai pensé à vous
le faire partager :
«
Communiqué de Liberté
pour l’histoire
Lors de son assemblée générale du 1er juin 2013, l’association
Liberté pour l’histoire a mis à son ordre du jour le projet de règlement
européen concernant les données à caractère personnel (DCP) et la pétition
contre ce projet lancée par l’Association des archivistes français. Après une
large discussion, à laquelle ont pris part des représentants de différentes
disciplines, l’Assemblée a décidé, à l’unanimité moins une abstention, de
s’associer à cette pétition.
Conscients des difficultés du problème et de la nécessité de concilier «
devoir de mémoire » et « droit à l’oubli », nous souhaitons très vivement que
s’engage une discussion avec les parlementaires européens pour éclairer leurs
décisions.
En tant que président de Liberté pour l’histoire, j’ai signé la pétition
des archivistes, ce qui engage l’association tout entière. J’invite également
tous les adhérents et tous les signataires de l’appel de Blois à signer personnellement
ce texte que nous reproduisons ici. Je les en remercie à l’avance et les engage
à consulter sur notre site la note qu’a bien voulu rédiger Nathalie Carré de
Malberg sur ce sujet.
Pierre Nora, président de Liberté pour l’histoire »
« Note sur le projet de règlement européen concernant les données à
caractère personnel (DCP)
Contextualisation du vote de l’assemblée générale de « Liberté pour
l’histoire » en faveur de la signature de la pétition « Citoyens contre le
projet de règlement européen sur les données personnelles »
Par Nathalie Carré de Malberg, agrégée et docteure en histoire, MC en
histoire contemporaine, Paris-X-Nanterre
I – À l’origine de la pétition : « Citoyens contre le projet de règlement
européen sur les données personnelles (voir Annexe I) »
En 2010, à Stockholm, le Conseil européen a adopté le « programme de
Stockholm » ainsi qu’un plan d’action fournissant une feuille de route pour le
travail de l’Union européenne dans le domaine de la justice, de la liberté et
de la sécurité pour la période 2010-2014 (JOC 115 du 4.5.2010). À cette occasion il a
invité la Commission européenne à évaluer le fonctionnement des instruments
de l’Union européenne relatifs à la protection des DCP (données à caractère
personnel) et à présenter des initiatives, législatives ou non, à leur sujet.
La directive avait deux objectifs : protéger le droit fondamental à la
protection des DCP et garantir leur libre circulation entre les États membres.
La décision-cadre était destinée à protéger les DCP dans le domaine de la
coopération policière et judiciaire en matière pénale.
Dans sa communication du 20 avril 2010, la Commission a conclu que l’UE
avait besoin, à l’égard du droit fondamental à la protection des DCP, d’une
politique plus globale et plus cohérente qui rende l’exercice du droit à la
protection des données par les personnes physiques, plus effectif. Elle a
établi pour cela un nouveau cadre juridique composé de deux propositions
législatives :
— un règlement général modifiant la directive de 1995 et s’imposant aux
législations nationales ;
— une directive modifiant la décision-cadre de 2008.
Après deux années de consultations et de conférences multiples sur le
sujet, la Commission a abouti à une proposition de règlement le 25 janvier 2012 et
a saisi sur le fond la commission des libertés civiles de la justice et des
affaires intérieures du Parlement européen (dite commission LIBE).
L’exposé des motifs du règlement décrit bien le contexte technique et
juridique de son intervention.
D’une part, l’évolution des technologies facilite plus que jamais la transmission,
l’accessibilité et l’utilisation des DCP et transforme en profondeur l’économie
comme les rapports sociaux. « Or, précise l’exposé, l’instauration d’un climat
de confiance dans l’environnement en ligne est essentielle au développement
économique. S’ils n’ont pas totalement confiance, les consommateurs hésiteront
à faire des achats en ligne et à recourir à de nouveaux services, ce qui risque
deralentir l’innovation dans l’utilisation des nouvelles technologies. La
protection des données à caractère personnel joue donc un rôle crucial dans la
stratégie numérique pour l’Europeet, plus généralement, dans la stratégie
Europe 2020. »
D’autre part, l’article 16 du traité de Lisbonne, selon lequel toute
personne a droit à la protection des DCP le concernant, et l’article 8 de la
Charte des droits fondamentaux de l’UE, rappelant que la protection des DCP est
un droit fondamental, constituent les bases juridiques.
Mais le cadre juridique existant a conduit à une « fragmentation » de la
mise en œuvre de cette protection des DCP et à une insécurité juridique aussi
bien pour les personnes physiques que pour les opérateurs économiques et les
pouvoirs publics.
L’objectif du règlement est donc de « doter l’Union d’un cadre juridique
plus solide et plus cohérent en matière de protection des données, assorti
d’une application rigoureuse des règles, afin de permettre à l’économie
numérique de se développer sur tout le marché intérieur et aux personnes
physiques de maîtriser l’utilisation qui est faite des données les concernant
».
Le 17 décembre 2012, le rapporteur de la commission LIBE, le jeune député
allemand de trente et un ans, Jan Philip Albrecht, qui siège dans le groupe du
parti Vert européen, a publié un rapport contenant 350 amendements. Depuis
lors, 2 783 amendements supplémentaires ont été déposés, certains accentuant
les risques de cette protection, d’autres la limitant. Les grands et moins
grands opérateurs ne se sont pas privés en effet d’un intense lobbying devant
ce projet qui menace leur modèle économique.
Car l’objectif principal du règlement et des amendements du rapport
Albrecht, qu’aucun citoyen, chercheur ou archiviste ne conteste, est bien
d’éviter que de grands opérateurs privés tels Google, Amazon ou Facebook ne
conservent et n’utilisent des données personnelles à d’autres fins que celles
voulues par les émetteurs de ces informations, notamment à des fins
commerciales.
II – Le droit à la conservation et à l’exploitation des archives menacé
À la lecture du projet de règlement et du rapport Albrecht, l’AAF (Association des archivistes français),
rejointe par d’autres associations, notamment de généalogistes, a pointé des «
éléments susceptibles d’impacter la conservation des archives, leur diffusion
et leur exploitation ». Les historiens alertés ont bien vu, eux aussi, que ces
mêmes éléments comportaient des risques sérieux pour la recherche historique.
Au nom du droit à l’oubli, qui garantit le respect de la vie privée, certains
des articles de ce règlement et certains amendements du rapport obligeraient,
en l’état et sauf exceptions trop imprécises ou inapplicables, tous les
organismes publics et privés soit à détruire, soit à anonymiser les données en
leur possession, quel qu’en soit le support, une fois passé le délai pour lequel
elles auraient été collectées.
L’anonymat, qui pourrait apparaître comme un moindre mal de prime abord,
n’est en fait pas une solution. Comme le fait remarquer Hervé Lemoine,
directeur des archives de France, avant de rendre ces données anonymes ou de
les transformer en statistiques, encore faut-il pouvoir y accéder et qu’elles
restent consultables à des fins de vérification ultérieure. Par ailleurs, si
l’anonymat est largement utilisé non seulement par les sciences sociales, mais
par les historiens travaillant sur des populations importantes, il devient
inappropriéscientifiquement quand l’étude porte sur de petits effectifs dotés
d’individualités non réductibles à l’ensemble. L’erreur de pourcentage est
alors redoutable, la vérification nominative nécessaire et les personnalités
doivent pouvoir être identifiées, comme l’ont démontré les travaux sur les
grands corps ou ceux d’Alain Plessis sur les régents de la Banque de France.
En mars 2013, l’AAF a lancé une pétition (voir Annexe I) qui a rapidement pris de
l’ampleur, dépassant le milieu professionnel des archivistes ou généalogistes
européens et signée par des enseignants chercheurs de toutes disciplines ou de
simples citoyens. Les vingt-sept directeurs des archives se sont aussi
mobilisés. Le 24 avril 2013, à Amsterdam, le comité directeur de la section des
associations professionnelles du Conseil international des archives a appelé au
soutien de cette pétition, qui comptait, le 6 juin 2013, 47 222 signatures
émanant de toute l’Europe et même du mon entier.
III – Les éléments du règlement et du rapport Albrecht qui méritent des
éclaircissements, des garanties, voire des corrections
Ce n’est bien sûr pas tout le contenu de ce règlement qui inquiète ou
suscite des questions, des historiens notamment, mais quelques articles ou
amendements (l’AAF en pointe une dizaine). Relevons les plus importants.
À l’article 4, la question de la définition de la personne concernée par
les données personnelles reste sans réponse. S’agit-il d’une personne vivante ?
Si la personne concernée peut être décédée, son consentement, évoqué dans le
même article, est-il transféré aux ayants droit ? Dans cette hypothèse on voit
bien que les obstacles à la recherche en histoire sociale deviendraient
insurmontables.
L’article 5 e pose la question de la durée de conservation courante des
données, au-delà de celle fixée lors de la création ou de la collecte. Quel
service au sein des organismes sera responsable de l’autorisation de conserver,
autorisation renouvelable périodiquement ? Prenons l’exemple des dossiers de
candidature à un concours, administratif ou non, sur support papier ou
numérique, dossiers nécessaires à toute étude historique sur la fabrication des
élites et sur la méritocratie. Le dossier sera-t-il conservé au-delà de la date
du concours ? Et qui au sein des écoles privées ou publiques sera habilité à
donner et renouveler l’autorisation ?
L’AAF, bien consciente que seule une minorité de données sera au final
conservée, plaide pour que tous les organismes amenés à collecter des données
s’équipent d’un système d’archivage électronique, en espérant que toutes les
applications informatiques disposent rapidement de fonctionnalités permettant
d’assurer une conservation correcte à l’issue du traitement initial, ce qui
n’est pas encore le cas. Reste à se demander si cela serait possible pour des
chercheurs isolés qui fabriquent leur propre base de données.
L’amendement 101 à ce même article 5 e du rapport Albrecht soulève une
autre question, en énumérant les cas où l’intérêt légitime du responsable du
traitement des données personnelles prévaut ou non sur celui de la personne
concernée. L’AAF fait remarquer que les cas de traitement opérés par un
chercheur ou par un service de conservation ne sont pas évoqués dans cet
amendement.
C’est surtout l’article 83 du règlement (voir Annexe 2) et les neuf amendements du
rapporteur (rapport, p.
212), sur les cinquante-huit déposés sur cet article, qui intéressent les
historiens puisque c’est lui qui définit les conditions spécifiques pour le
traitement de données à caractère personnel à des fins historiques,
statistiques et de recherche scientifique.
Un amendement exclut du traitement de ces données à finalité scientifique
historique ou statistique celles qui concernent les enfants de moins de treize
ans et toutes les données sensibles classées en neuf catégories (race ou origine
ethnique, religion ou croyance, opinion politique, appartenance a un groupe de
conviction, données à caractère génétique, médical, sexuel, judiciaire).
On ne peut s’empêcher de penser que les nombreux travaux sur les réseaux de
résistance ou les partis politiques ou encore comme ceux de Claire Andrieu sur
le club Jean Moulin auraient pu ne pas exister si cet amendement avait été voté
plus tôt.
Un autre amendement (1 bis) ajoute deux conditions supplémentaires
pour exploiter les DCP à des fins historiques : que la personne concernée ait
donné son consentement (se posent alors les mêmes difficultés de définition que
celles évoquées plus haut) ; qu’il doit s’agir « de servir un intérêt public
extrêmement élevé ».
L’historien se voit ici plongé dans la perplexité : comment définir, en
droit et en fait, « un intérêt public extrêmement élevé » ? où mettre le
curseur ? L’historien est bien placé pour savoir que les intérêts publics,
élevés ou pas, changent avec le temps. L’amendement prévoit en outre que cette
dérogation serait accordée par une autorité de contrôle compétente propre à
chaque État, mais sans préciser la composition ni les conditions de nomination
de cette autorité de contrôle.
Que le pouvoir de décider qu’une recherche relève ou non d’« un intérêt
public extrêmement élevé » autorisant la dérogation appartienne à une autorité
de contrôle quelle qu’elle soit ne peut qu’alarmer les chercheurs, notamment
les adhérents de l’association Liberté pour l’histoire. Car c’est bien au
chercheur et à son directeur de recherche ou de laboratoire éventuel d’estimer
seuls l’intérêt, élevé ou pas, d’une recherche.
Doit-on aussi rappeler qu’avant de se lancer dans une recherche il faut
avoir au préalable consulté des données ? En veut-on un exemple personnel ?
C’est parce que j’ai eu accès aux dossiers de carrière des inspecteurs des
finances sous Vichy que j’ai pu constater que certains, partis avant la guerre
dans l’entreprise, avaient choisi sans y être contraints, entre 1940 et 1942
surtout, de revenir servir l’État. Constat qui méritait dès lors une étude
approfondie.
Le même article 83 du règlement traite de la publication ou de la diffusion
autorisée de données à caractère personnel seulement si, une fois encore, la
personne a donné son consentement, ou si elle a elle-même publié ses données,
ou encore si les intérêts de la personne ne prévalent pas sur l’intérêt de la
recherche. L’AAF fait remarquer que la primauté de l’intérêt personnel est
discutable quand il s’agit de données collectées par une organisation pour
rendre service à la personne, comme les aides sociales. Mais comment un
historien curieux de mesurer la méritocratie à la française pourra-t-il
connaître et compter les boursiers dans une école si l’élève boursier est en
droit de demander l’effacement de cette information, qui ne lui appartient
pourtant pas ? Plus généralement, qui aurait pu trancher de l’intérêt de la publication
de dictionnaires historiques des patrons français et des inspecteurs des
finances, dictionnaires élaborés à partir de dossiers personnels transposés
dans une base de données ? Toutes les études prosopographiques seraient-elles
donc condamnées ?
Le rapport Albrecht va plus loin encore en supprimant purement et
simplement cette dernière condition et en affirmant que « les fins
scientifiques ne devraient pas primer sur l’intérêt de la personne concernée à
ne pas voir ses données personnelles publiées » ! À le suivre, il y aurait fort
à parier que, dans les études sur les grands corps pendant la guerre, les «
résistants » seraient comptabilisés et cités, tandis que les « compromis »
resteraient dans l’ombre, nourrissant une légende rose bien peu historique.
Le problème soulevé par l’article 83, comme le fait justement remarquer
l’AAF, est qu’il considère les données à caractère personnel comme un bloc sans
distinction d’émetteur, de support, de finalité, d’ancienneté, appliquant les
mêmes précautions à des traitements automatisés ou informatiques de données
papier créés il y a plus de cinquante ans qu’à des données collectées
aujourd’hui ou demain par des opérateurs pour ajuster leurs campagnes
marketingsur les bonnes cibles : un thésard, un journal, un parti, une
entreprise ou une administration sont traités de la même manière que des
opérateurs numériques comme Google ou Amazon.
IV – Et maintenant ?
L’objet de l’association Liberté pour l’histoire, fondée en 2005, est de «
faire reconnaître la dimension spécifique de la recherche et de l’enseignement
historiques et de défendre la liberté d’expression des historiens contre les
interventions politiques et les pressions idéologiques de toute nature et de
toute origine ». C’est en raison de cet objet que l’assemblée générale qui
s’est tenue le 1er juin 2013 à Paris a été saisie de la question.
Son président Pierre Nora a fait lire la pétition de l’AAF, qui se conclut par
un appel à une suspension du vote le temps qu’un débat approfondi s’installe et
que des solutions soient trouvées pour éviter « qu’on ne jette le bébé avec
l’eau du bain ». Après une riche discussion au cours de laquelle des
représentants d’autres disciplines que l’histoire se sont exprimés et où la
marque parfois un peu corporatiste de la pétition n’a pas été occultée, la
signature de la pétition par Liberté pour l’histoire a été votée à l’unanimité
moins une abstention.
D’ores et déjà, la mobilisation a été utile, y compris celle du ministère
de la Culture en France. Le vote prévu pour avril, reporté au 29 mai, est
désormais programmé au mieux pour le 9 juillet, l’examen des milliers
d’amendements risquant d’en retarder encore l’échéance.
Mais tant que les modifications et garanties souhaitées par les signataires
n’auront pas été prises en compte, les historiens, particulièrement concernés,
doivent rester vigilants. D’autant que les parlementaires européens sont agacés
par l’intense lobbying des opérateurs, dont la presse s’est fait l’écho, et que
les scandales à répétition d’usages abusifs de données numériques stockées ou
non dans des clouds, y compris, récemment de la part d’administrations
publiques américaines, peuvent pousser les parlementaires à plus
d’intransigeance, au risque de l’amalgame avec des pratiques, elles,
scientifiques.
L’équilibre entre le droit à l’histoire et le droit à l’oubli est difficile
à trouver. Faisons confiance aux parlementaires européens, désormais alertés et
mieux informés, pour éviter que ne s’écrive un jour une histoire sans nom et
pour garantir aux peuples le droit de connaître leur histoire et celui
d’accéder aux informations administratives en laissant aux autorités nationales
chargées des archives nominatives d’exercer leurs responsabilités conformément
au droit de chaque pays et, en France, au Code du patrimoine. Rappelons que la
conservation des données personnelles, dans les conditions prévues par
celui-ci, protège les citoyens, mieux que leur destruction, par exemple contre
la diffamation.
Pour les historiens, les modifications souhaitables doivent éviter de
distinguer entre les données détenues par les services d’archives publiques, d’une
part, et celles conservées par les entreprises ou les particuliers, d’autre
part. De même, toute distinction selon le support ne serait pas plus
pertinente, car sinon qu’en serait-il des archives orales une fois la campagne
de collecte terminée et les résultats recherchés publiés ?
À ce jour la position du gouvernement français n’a pas été rendue publique.
Mais il se dit que les négociateurs français proposeraient au Conseil européen,
après le vote en séance plénière, une dérogation « spéciale archives ». Mais
encore ?
Souhaitons qu’il ne soit pas trop tard et restons vigilants.
Nathalie Carré de Malberg, 11 juin 2013.
Pour éviter que de grands opérateurs privés du Web (Google, Facebook, etc.)
puissent conserver et utiliser des données personnelles, la Commission
européenne et le Parlement européen se préparent à adopter, pour le printemps
2013, une solution radicale : un règlement qui obligera tous les organismes
publics et privés à détruire ou à anonymiser ces données une fois que le
traitement pour lequel elles auront été collectées sera achevé, ou passé un
court délai. La Commission veut ainsi assurer aux Européens un droit à l’oubli
qui garantirait le respect de leur vie privée.
Ce règlement portera sur les données personnelles sur toutes leurs formes,
informatiques ou papier. Il s’appliquera immédiatement et s’imposera aux
législations nationales déjà en place.
Vous avez fini vos études ? L’école ou l’université éliminera votre
dossier. Vous avez vendu un bien immobilier ? Les services du cadastre
détruiront les traces de votre propriété. Vous n’êtes plus employé par votre
entreprise ? Celle-ci supprimera les informations vous concernant. À chacun de
veiller sur ses propres données, ne comptez plus sur les services publics ou
sur votre employeur !
S’il est évident que la réutilisation des informations personnelles à
l’insu des citoyens et à des fins commerciales, qui est largement facilitée par
les techniques informatiques, doit être combattue par tous les moyens, la
destruction systématique de ces données ou leur anonymisation pour éviter des
dérives revient en revanche à jeter le bébé avec l’eau du bain. Comme si,
plutôt que de renforcer la conservation sécurisée de notre patrimoine et
l’accès à celui-ci dans des conditions respectueuses des libertés
individuelles, l’Europe, pour notre bien, nous imposait une amnésie collective.
Collecter et conserver des données individuelles à des fins patrimoniales
ou juridiques au-delà des stricts besoins qui ont présidé à leur création,
assurer aux citoyens l’accès à l’information tout en protégeant les éléments
essentiels de leur vie privée est l’apanage des démocraties, qui disposent
depuis longtemps de législations strictes dans ce domaine.
L’Europe ne doit pas interdire la conservation des données, mais au
contraire assurer leur protection et leur diffusion contrôlées. Elle doit
garantir aux citoyens que les ressources techniques, financières et humaines
nécessaires, incluant la présence de professionnels qualifiés, soient allouées
à la gestion adéquate de ces données.
Afin d’éviter une décision irréparable, nous demandons à la Commission
européenne de suspendre l’adoption de ce règlement et d’approfondir le débat.
Cordialement,
[Votre nom]
Annexe II. Projet d’article 83 du règlement
Article 83
Traitements de données à des fins de recherche
historique, statistique et scientifique
1. Dans les limites du présent règlement, les données à caractère personnel
ne peuvent faire l'objet d'un traitement à des fins de recherche historique,
statistique ou scientifique que si :
a) ces finalités ne peuvent être atteintes d’une autre façon par le
traitement de données qui ne permettent pas ou ne permettent plus d’identifier
la personne concernée ;
b) les données permettant de rattacher des informations à une personne
concernée identifiée ou identifiable sont conservées séparément des autres
informations, à condition que ces fins puissent être atteintes de cette
manière.
2. Les organismes effectuant des recherches historiques, statistiques ou
scientifiques ne peuvent publier ou divulguer des données à caractère personnel
que si :
a) la personne concernée a donné son consentement, sous réserve du respect
des conditions énoncées à l'article 7 ;
b) la publication de données à caractère personnel est nécessaire pour
présenter les résultats de la recherche ou pour faciliter la recherche, sous
réserve que les intérêts ou les libertés ou les droits fondamentaux de la
personne concernée ne prévalent pas sur l'intérêt de la recherche ; ou
c) la personne concernée a rendu publiques les données en cause.
3. La Commission est habilitée à adopter des actes délégués en conformité
avec l’article 86, aux fins de préciser davantage les critères et les exigences
applicables au traitement de données à caractère personnel visé aux paragraphes
1 et 2, ainsi que toute limitation nécessaire des droits d’information et
d’accès de la personne concernée, et de préciser les conditions et garanties
applicables aux droits de la personne concernée dans les circonstances en
cause. »
Jean Vinatier
SERIATIM 2013
Internautes : Afrique du Sud, Albanie, Algérie, Angola, Arabie
Saoudite, Argentine, Arménie, Australie, Bahamas, Bangladesh, Biélorussie,
Bénin, Bolivie, Bosnie Herzégovine, Brésil, Burkina Faso, Cambodge, Cameroun,
Canada, Chili, Chine (+Hongkong & Macao), Chypre, Colombie, Congo-Kinshasa,
Corée du Sud, Costa-Rica, Côte d’Ivoire, Djibouti, EAU, Egypte, Etats-Unis (30
Etats & Puerto Rico), Equateur, Ethiopie, Ghana, Gabon, Gambie, Géorgie,
Guatemala, Guinée, Guinée, Haïti, Honduras, Inde, Indonésie, Irak, Iran, Islande,
Israël, Jamaïque, Jordanie, Kazakhstan, Kenya, Laos, Liban, Libye,
Liechtenstein, Macédoine, Madagascar, Malaisie, Malawi, Mali, Maurice, Maroc,
Mauritanie, Mexique, Moldavie, Monaco, Népal, Niger, Nigeria, Norvège, Nouvelle
Zélande, Oman, Ouzbékistan, Palestine, Pakistan, Pérou, Philippines, Qatar,
République Centrafricaine, République Dominicaine, Russie, Rwanda, San
Salvador, Saint-Marin, Sénégal, Serbie, Singapour, Slovénie, Somalie, Suisse,
Syrie, Taiwan, Thaïlande, Togo, Tunisie, Turquie, Union européenne (27 dont
France + DOM-TOM, Nouvelle-Calédonie, Polynésie, Saint-Pierre–et-Miquelon), Ukraine, Uruguay, Vatican, Venezuela, Vietnam, Yémen
