Des préoccupations concernant le partage de données à l'hébergement de contenu préjudiciable, chaque semaine semble apporter plus de clameurs pour de nouvelles lois pour réglementer les géants de la technologie et rendre Internet "plus sûr". Mais que se passe-t-il si nos lois existantes sur la protection des données, du moins en Europe, pourrait réaliser la plupart du travail?

L'Allemagne a déjà commencé à introduire une nouvelle législation, promulguer une loi en 2018 qui oblige les entreprises de médias sociaux à supprimer les contenus haineux. Au Royaume-Uni, le gouvernement a proposé un code de pratique pour les sociétés de médias sociaux afin de lutter contre les "contenus abusifs". Et le secrétaire à la Santé, Matt Hancock, a maintenant exigé des lois réglementant la suppression de ce contenu. Pendant ce temps, Le chef adjoint de l'opposition, Tom Watson, a suggéré une obligation légale de diligence pour les entreprises technologiques, conformément aux récentes propositions de Carnegie UK Trust.

Ce qui est remarquable dans bon nombre de ces propositions, c'est à quel point elles font référence et rappellent le nouveau règlement général sur la protection des données (RGPD) de l'UE. Hancock, qui a dirigé l'introduction de cette législation au Royaume-Uni (bien qu'il ait également été accusé d'une compréhension limitée de celle-ci) a évoqué le contrôle qu'elle donne aux personnes sur l'utilisation de leurs données. Watson a rappelé le niveau des amendes imposées par le RGPD, laissant entendre que des sanctions similaires pourraient s'appliquer à ceux qui manquent à son devoir de diligence proposé.

Les propositions Carnegie, développé par l'ancien fonctionnaire William Perrin et l'universitaire Lorna Woods, ont été inspirés par l'approche du RGPD consistant à déterminer les mesures de protection nécessaires au cas par cas. Lorsqu'un traitement impliquant des données est susceptible de présenter un risque élevé pour les droits et libertés des personnes, la personne en charge du processus doit effectuer ce que l'on appelle une analyse d'impact sur la protection des données (DPIA). Cela implique d'évaluer les risques et de déterminer ce qui peut être fait pour les atténuer.

La chose importante à noter ici est que, alors que les anciennes lois sur la protection des données se concentraient largement sur la vie privée des personnes, Le RGPD concerne leurs droits et libertés plus larges. Cela inclut des éléments liés à « la protection sociale, à des fins humanitaires et de santé publique". Elle s'applique également à toute personne dont les droits sont menacés, pas seulement les personnes dont les données sont traitées.

Droits et libertés existants

Bon nombre des problèmes qui nous inquiètent au sujet des médias sociaux peuvent être considérés comme des atteintes aux droits et libertés. Et cela signifie que les entreprises de médias sociaux pourraient sans doute être obligées de résoudre ces problèmes en réalisant des évaluations d'impact sur la protection des données en vertu de la législation RGPD existante. Cela comprend la prise de mesures pour atténuer les risques, comme la sécurisation des données.

Par exemple, il est prouvé que les médias sociaux peuvent augmenter le risque de suicide chez les personnes vulnérables, et cela signifie que les médias sociaux peuvent présenter un risque pour le droit à la vie de ces personnes, le premier droit protégé par la Convention européenne des droits de l'homme (CEDH). Si les réseaux sociaux utilisent des données personnelles pour montrer aux gens du contenu qui pourrait augmenter ce risque pour leur vie, alors, sous RGPD, le réseau devrait reconsidérer son évaluation d'impact et prendre les mesures appropriées pour atténuer le risque.

Le scandale Cambridge Analytica, où Facebook n'a pas réussi à protéger les données qui ont ensuite été utilisées pour cibler les utilisateurs dans des campagnes politiques, peut également être considérée en termes de risque pour les droits. Par exemple, Protocole 1, L'article 3 de la CEDH protège le droit à des « élections libres ».

Dans le cadre de son enquête sur le scandale, le Commissariat à l'information du Royaume-Uni a demandé aux partis politiques de réaliser des analyses d'impact, sur la base de la crainte que le profilage des personnes en fonction de leurs opinions politiques ne viole leurs droits. Mais étant donné le rôle de Facebook dans le traitement des données concernées, on pourrait sans doute demander à l'entreprise de faire de même pour voir quels risques pour les élections libres ses pratiques posent.

Pensez à ce que vous pourriez casser

De l'histoire continue de Facebook de surprise et d'excuses, vous pourriez penser que les effets néfastes de toute nouvelle fonctionnalité dans les médias sociaux sont totalement imprévisibles. Mais étant donné que la devise de l'entreprise était autrefois « aller vite et casser les choses », il ne semble pas exagéré de demander à Facebook et aux autres géants de la technologie d'essayer d'anticiper les problèmes que leurs tentatives de casser pourraient causer.

Demander "qu'est-ce qui pourrait mal tourner ?" devrait susciter des réponses sérieuses au lieu d'être une expression désinvolte d'optimisme. Cela devrait impliquer d'examiner non seulement comment la technologie est censée fonctionner, mais aussi comment il pourrait être abusé, comment ça pourrait aller trop loin, et ce qui pourrait arriver s'il est victime d'une faille de sécurité. C'est exactement ce que les sociétés de médias sociaux ont fait trop peu.

Je dirais que les dispositions existantes du RGPD, s'il est correctement appliqué, devrait suffire à obliger les entreprises technologiques à prendre des mesures pour remédier à une grande partie de ce qui ne va pas avec la situation actuelle. En utilisant l'existant, une législation soigneusement planifiée et très appréciée est meilleure et plus efficace que d'essayer de concevoir, promulguer et appliquer de nouvelles lois susceptibles d'avoir leurs propres problèmes ou de créer un potentiel d'abus.

Appliquer des évaluations d'impact de cette manière partagerait l'approche fondée sur les risques consistant à consacrer les entreprises technologiques à un devoir de diligence. Et en pratique, ce n'est peut-être pas très différent mais sans certains des problèmes potentiels, qui sont nombreux et complexes. Utiliser la loi de cette manière enverrait un message clair :les entreprises de médias sociaux devraient assumer les risques de sécurité sur Internet qu'elles contribuent à créer, et les gérer en coordination avec les régulateurs.

Cet article est republié à partir de The Conversation sous une licence Creative Commons. Lire l'article original.