Données personnelles et sécurité publique
La protection des données personnelles revêt une importance fondamentale pour la sécurité publique, car « le choix, la collecte, le traitement des données ne peuvent être légalement autorisés que si ces activités répondent à des finalités légitimes. Ces activités doivent être réalisées de manière adéquate et proportionnée au regard de ces finalités. Il s’agit donc de trouver le juste équilibre entre la prévention des risques et la préservation des libertés individuelles. Or, les risques d’atteinte à la vie privée sont d’autant plus importants que les individus se livrent très facilement sur les réseaux ».
Une menace débridée
Quand on lui demande quel est l’état de la menace en France, Christiane Féral-Schuhl dresse un tableau plutôt réaliste et relativement critique. « Une protection déficiente expose les individus à des risques (usurpation d’identité, discrimination, atteinte à la réputation, etc.) et fragilise également la sécurité publique puisque cela facilite la commission des actes malveillants. La menace cyber n’est pas suffisamment maîtrisée ou alors elle est sous-évaluée. Elle s’est amplifiée et a connu une forte accélération suite au développement des objets connectés et notamment du télétravail, dont la conséquence est souvent le mélange entre la sphère privée et la sphère professionnelle. »
Les organisations sont trop souvent vulnérables face à une menace qui est aujourd’hui bien connue. « On concentre souvent l’analyse sur les risques d’attaques, mais la menace est aussi liée à la négligence interne, au manque de vigilance », précise-t-elle. D’où l’importance de sensibiliser les individus. « L’informatisation s’est toujours faite de manière empirique, voire désordonnée, c’est pourquoi il faut une démarche de conformité. Il s’agit d’un exercice qui demande aux responsables de traitement beaucoup de rigueur pour bien anticiper les risques. »
L’avancée technologique est si rapide, que les textes ne sont pas toujours adaptés et doivent évoluer rapidement pour rester pertinents. L’ouvrage Cybersécurité, mode d’emploi, publié dans sa deuxième édition en 2025 aux éditions PUF a nécessité une refonte complète pour tenir compte de l’inflation législative et réglementaire. « Beaucoup de textes notamment au plan européen sont sortis depuis la première édition (2022) – DMA, DSA, règlement sur la cyberrésilience, AI Act… – afin d’apporter et de définir de nouvelles règles », témoigne maître Féral-Schuhl.
Comment y remédier ?
L’avocate rappelle que « la sécurisation des données personnelles est une obligation légale pour les responsables de traitement. Ils doivent mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, notamment pour empêcher l’accès non autorisé, la perte ou la diffusion illicite de ces données. Le RGPD – qui s’inscrit dans la continuité de la Loi informatique et libertés – revêt un caractère pédagogique évident, créant parfois un réflexe d’agacement, mais il faut lui reconnaître deux qualités importantes : une référence – puisqu’il a su inspirer beaucoup de textes à travers le monde – et une approche structurante », complète-t-elle. « La CNIL insiste par exemple sur la sécurisation du poste de travail, qui constitue un point névralgique de la sécurité des systèmes d’information. »
Avec l’édition de cette bande dessinée, maître Féral-Schuhl entend faire passer le message que l’on croit contrôler les outils numériques alors que souvent, ce sont eux qui nous contrôlent, « au travers de l’histoire d’Adélaïde, une jeune femme de 35 ans, connectée 24 heures sur 24 ». Les applications incitent à un « déshabillage numérique » de la personne, si bien que « certaines données personnelles partagées avec l’application ne sont, parfois, même pas des informations que l’on partage avec nos proches ». Ce type de donnée personnelle fait partie de la « sphère de l’intime », au-delà de la vie privée. C’est le cas de certaines données de santé. Il faut en tout état de cause avoir présent à l’esprit que la notion de « vie privée » est subjective, « le curseur bouge en fonction des époques et des pays ».
À titre d’exemple, « Adelaïde croit contrôler ses données personnelles, mais celles-ci sont collectées puis réexploitées. En s’inscrivant sur une application de coach sportif, elle croit pouvoir contrôler son poids, mais en échange, elle transmet surtout des données personnelles liées à sa santé, qui sont ensuite réexploitées, par exemple par un assureur qui lui alloue des points pour la récompenser de ses efforts pour rester en bonne santé, en fonction du nombre d’heures de sport qu’elle fait par semaine ».
Par ailleurs, il faut souligner le caractère irréversible de la démarche de transmission des données. « Les systèmes ont une mémoire d’éléphant et ne restituent jamais les données personnelles. Celles-ci peuvent mettre la personne en situation de vulnérabilité », prévient Christiane Féral-Schuhl. « Autre exemple, certains individus envoient leur ADN pour analyse aux États-Unis, ADN qui est ensuite recueilli dans des bases de données dont on ne contrôle ni l’usage ni la finalité », alerte l’avocate. Et de conclure : « Vous pensez contrôler, mais c’est vous qui êtes contrôlé ! ».
