Avocat spécialiste RGPD, Jérôme DEROULEZ est intervenu sur les principes généraux du RGPD. Cette formation était organisée à l'école de formation des avocats centre-sud de Montpellier le 9 novembre 2018.
Elle avait pour public les avocats et élèves avocats.
Jérôme DEROULEZ a notamment rappelé l'architecture du règlement européen et les principaux changements apportés.
Cette formation avait enfin lieu dans le cadre du séminaire européen de formation TRADATA.
RGPD: A l'invitation de la Cour d'Appel de Bordeaux, Jérôme Deroulez est intervenu lors de la conférence organisée sur le RGPD et la protection des données personnelles. Cette conférence organisée le 4 octobre avait pour objet de rappeler les enjeux de la négociation du RGPD et le nouveau cadre applicable aux données personnelles.
données
COLLECTIVITES LOCALES : La CNIL a annoncé dans le cadre de son programme de contrôle 2018 que l'une de ses priorités sera de contrôler la conformité des traitements relatifs à la gestion des services de stationnements payants réalisés au moyen d’équipements connectés. Cette annonce intervient dans un contexte d'évolutions importantes concernant ces services.
En effet, la loi « MAPTAM » n° 2014-58 du 27 janvier 2014 de modernisation de l'action publique territoriale et d'affirmation des métropoles avait modifié les règles en la matière à compter de janvier 2018 et il incombe désormais aux collectivités locales de prendre en charge la gestion du stationnement payant sur la voie publique. Cette loi dépénalise notamment certaines infractions liées au stationnement payant avec la disparition de l’amende au profit d’un forfait de post-stationnement (FPS).
Le contrôle du paiement des redevances de stationnement et la notification des forfaits de post-stationnement pouvant être traités par des prestataires, de nombreuses données personnelles des usagers seront donc transférées à ces derniers dans des conditions qui doivent être encadrées.
La CNIL relève dans son programme de contrôle que de nouveaux outils vont être mis en œuvre comme les dispositifs de lecture automatisée de plaques d’immatriculation (LAPI) pour accroître l’efficacité des procédures de contrôle et du paiement du stationnement. Dispositif qui pose de nombreuses questions et au sujet duquel la CNIL avait déjà formulé des recommandations[1] :
Quel contrôle des données collectées, de leur qualité et de la proportionnalité de la collecte?
Quel choix des outils, par exemple au regard du principe du privacy-by-design?
Comment faciliter l'exercice des droits des personnes concernées?
QUELS ENJEUX RGPD?
Ces enjeux sont potentiellement très nombreux pour les collectivités locales et concernent les éléments suivants:
la cartographie des données collectées et leur classement par catégories de données par les collectivités et les prestataires qui devront les identifier;
le traitement des risques pour la vie privée à propos de la collecte de données sensibles;
la marge de latitude laissée par les collectivités locales à ces prestataires dans le cadre de ces traitements de données;
Par ailleurs, le traitement de ces données peut aussi interpeller au regard du niveau de sécurité qui sera défini et mis en place, alors que la collecte et le traitement de ces données pourra s'apparenter à une forme de profilage.
Enfin, si ce traitement de données était encadré par un mécanisme de formalités préalables et avait fait l’objet d’une délibération de la CNIL n°2018-137 du 19 avril 2018 autorisant l’Agence nationale du traitement automatisé des infractions (ANTAI) à mettre en œuvre un traitement de données à caractère personnel dénommé « Service FPS – ANTAI », le cadre légal post-RGPD supprime ces déclarations mais renforce les obligations des collectivités locales et de leurs prestataires.
QUELLES OBLIGATIONS POUR LES COLLECTIVITES LOCALES ET LEURS SOUS-TRAITANTS?
Les obligations pesant sur les collectivités locales et leurs prestataires sont nombreuses. Ces derniers devront notamment:
Assurer une information des personnes concernées (quelles sont les données collectées, pour quelles finalités, à qui sont-elles transférées, comment peuvent-elles y avoir accès) : cette information devra ensuite être portée à la connaissance des personnes de manière effective et transparente (l’information ne devra pas être diluée dans les CGU d’une application mobile ou lors de l’inscription à un abonnement);
Respecter les bases légales du traitement de données;
Respecter les principes de finalités et éviter les détournements de finalités lors d’un traitement de données ou de recoupements d’informations);
Respecter les principes de minimisation des données (la collecte devra respecter les principes de nécessité et de pertinence et devra être accompagnée par des formulaires, des lignes directrices ou des chartes encadrant de manière préventive les conditions de collectes des données. Ces démarches concernent également toutes les applications mobiles, logiciels et de manière générale les outils informatiques qui devront être conçus « privacy-by-design» en protégeant la vie privée des personnes dès la conception de ces applications;
Prévoir des durées de conservations (par exemple en prévoyant que les bases de données permettent des suppressions automatiques de données une fois les vérifications effectuées);
Assurer la sécurité des données et vérifier que les sous-traitants présentent des garanties de sécurité suffisante.
Gérer les destinataires des données et créer un système d'habilitations.
Ces obligations pourront être déclinées à travers les mesures concrètes suivantes:
La mise en place du DPO, obligatoire pour les collectivités et en charge du respect du RGPD;
Le registre des activités de traitement, tenu par le responsable de traitement et chaque sous-traitant;
Des analyses d’impact;
Des contrats formalisant la relation avec les prestataires et sous-traitants pour formaliser la répartition des rôles et insérer le cas échéant des dispositions relatives à la confidentialité.
Ce dispositif nouveau s’inscrit dans une démarche de plus en plus connectée des collectivités locales, liée aux développement des applications smart-city et à l'essor de l'Open data. La ville intelligente repose ainsi sur des mécanismes permettant de collecter des données en masse pour les réutiliser afin d’améliorer les infrastructures, d'optimiser l’espace ou de mieux gérer les transports publics. De telles mutations continuent cependant à interpeller du fait des risques de profilage ou de surveillance qu'elles génèrent. Autant de questions qui seront à suivre de près au fur et à mesure de la mise en conformité des collectivités locales et de leurs prestataires et sous-traitants.
Références
[1]https://www.cnil.fr/fr/reforme-du-stationnement-payant-les-recommandations-de-la-cnil
[2]https://www.collectivites-locales.gouv.fr/reforme-stationnement-payant-nouvelle-competence-pour-collectivites-0
[3]https://www.legifrance.gouv.fr/affichJuriAdmin.do?&idTexte=CETATEXT000034017907
[4]https://www.cnil.fr/fr/profilage-et-decision-entierement-automatisee
https://www.cnil.fr/sites/default/files/atoms/files/20171025_wp251_enpdf_profilage.pdf
Plusieurs articles ont récemment fait état de la découverte sur la blockchain bitcoin de plusieurs fichiers contenants des liens vers des fichiers pédopornographiques.[1] [2]
Tous ces articles font référence à l’étude menée par la « Communication and Distributed Systems RWTH de l'Université d'Aix la Chapelle et par le «Data Protection Research Institue, Goethe University, de Francfortdisponibleici [3].
Pour la résumer rapidement, cette étude souligne les conséquences du stockage de fichiers « non-financiers » sur la blockchain. En effet, selon les auteurs, il serait possible de stocker des contenus illicites, notamment sur la blockchain "bitcoin" et d'engager ainsi potentiellement la responsabilité des acteurs qui y interviennent.
Les auteurs relèvent ainsi :
«Les blockchains permettent principalement une comptabilité crédible du numérique des événements, par exemple des transferts d'argent dans des crypto-monnaies. Cependant, au-delà de ce but initial, les blockchains enregistrent également irrévocablement des données arbitraires, allant des messages courts aux images.
Cela n’est pas sans risques pour les utilisateurs car chaque participant doit répliquer localement la blockchain complète, en y incluant un contenu potentiellement dangereux. Nous fournissons la première analyse systématique des avantages et des menaces pour la blockchain de ces contenus arbitraires.
Notre analyse montre que certains contenus, par exemple en matière de pornographie illégale, peut rendre la simple possession d'une blockchain illégale.[4]
Basé sur ces aperçus, nous effectuons une analyse quantitative et qualitative approfondie de contenus non intentionnels sur la blockchain "bitcoin".
Bien que la plupart des données proviennent d'extensions bénignes au protocole bitcoin, notre analyse révèle plus de 1600 fichiers sur la blockchain, dont plus de 99% sont des textes ou des images.
Parmi ces fichiers, il y a des contenus clairement répréhensibles comme des liens vers des contenus pédopornographiques, qui sont distribués vers tous les participants à cette blockchain "bitcoin".
Avec notre analyse, nous soulignons ainsi l'importance pour l'avenir de la blockchain de répondre à la possibilité d'insertion de données involontaires et d'en protéger ses utilisateurs en conséquence. »[5]
Cette étude vient ainsi à l’encontre d’une idée reçue selon laquelle la blockchain bitcoin serait totalement sécurisée et ouvre des perspectives de réflexions juridiques dans ce cadre, au vu des usages pouvant être fait de la possibilité de stocker des contenus ou des données arbitraires (arbitrary data) sur une blockchain (autres que les contenus liés à des transactions).
Après avoir exposé brièvement les différentes techniques qui permettent de stocker des données non financières (partie 1), nous essayerons de formuler les enjeux de l’insertion de ces données comme les contours de leur appréhension juridique à ce stade (partie 2).
A l’origine, la blockchain "bitcoin" était notamment destinée à fournir un "enregistrement" pour des transactions financières. D’autres blockchains, comme Ethereum, ont été pensées pour y inscrire d'autres types de données et notamment pour conclure des smart-contrats.
Les résultats de l'étude évoquée plus haut soulignent que la part de données non financières reste très limitée. En effet, l'article indique que seulement 1,4% des 251 millions de transactions sur la blockchain "bitcoin" incluent des données arbitraires:
“In total, our detectors found 3 535 855 transactions carrying a total payload of 118.53 MiB, i.e., only 1.4 % of Bitcoin transactions contain non-financial data. »
Les transactions non-financières ne représentent donc qu’une part très marginale des transactions.
Blockchain Bitcoin
(1) Les méthodes d'insertion de données de bas niveau « low-level data Insertion methodes »
OP-RETURN : possibilité d’insérer des données financières, limité à 80B par transaction.
COINBASE : seuls les mineurs peuvent insérer de petits morceaux de données
NON-STANDARD TRANSACTIONS
STANDARD FINANCIAL TRANSACTIONS
(2) Les méthodes de services d’insertion de contenu
Ces méthodes permettent d'insérer des données comme des documents ou des images dans la blockchain, en utilisant différents protocoles:
CryptoGraffiti (ajout de contenu à travers une simple transaction)
Satoshi Uploader (insertion de données avec un champ de longueur et une somme de contrôle spécifique pour en faciliter le décodage)
P2SH Injectors (légère modification de l'écriture des Pay-to-Script-Hash)
Apertus (fragmentation de contenu à travers un grand nombre de transactions, en utilisant un nombre aléatoire d'écritures de transactions Pay-to-Pub-Key-Hash - P2PKH: ces fragments sont référencés dans des archives stockées dans la blockchain qui sera ensuite utilisée pour les ré-assembler).
Ces méthodes traduisent les différentes possibilités d'insérer des contenus "arbitraires" sur la blockchain "bitcoin", depuis les techniques réservées aux seuls mineurs à celles ouvertes à d'autres utilisateurs.
(1) Les bénéfices
La blockchain "bitcoin" offre deux canaux d'insertion de "morceaux" de données non financières (OP_RETURN et COINBASE), chaque canal présentant ses bénéfices et ses inconvénients.
OP_RETURN[6] : ce canal permet à quiconque d’insérer des données arbitraires de petites tailles, ce qui peut se révéler très utile avec la possibilité par exemple d’attester de l’existence de documents[7] ou de proposer des services notariaux. Cette fonction est d’ailleurs critiquée puisque la blockchain "bitcoin" n’a pas vocation à devenir une technologie de stockage des données dans un registre distribué[8].
COINBASE : avec cette méthode, seuls les mineurs peuvent ajouter des données non financières aux nouveaux blocs qu'ils minent.
Les bénéfices liés à la possibilité de stocker des données non financières sont nombreux, qu'il s'agisse de l'archivage de données historiques ou de la résistance à la censure. Cependant les conditions du stockage de ces données et leur réplication à tous les utilisateurs de la blockchain peuvent interroger en l'absence de possibilité de le refuser.
L’insertion de données non-financières peut présenter des risques pour tous les utilisateurs de la blockchain au vu des différents types de fichiers pouvant être contenus et notamment:
Contrefaçon : une manière de contourner la répression concernant le téléchargement illégal.
Malware : télécharger un virus sur la Blockchain qui pourrait se répandre.
Violation de la vie privée : menaces, chantage, revenge porn...
Contenu politique sensibles : révélations de secrets d’Etats
Contenus illégaux : pédopornographie
Les auteurs de l'étude ont indiqué avoir mis en évidence:
Contrefaçon : 7 fichiers
Des clefs cryptographiques dérobées
Un logiciel aidant à casser les protections anti-contrefaçon de DVD
Violation de la vie privée : photos de mariage, échanges de mails, post, forum de discussion, numéro de téléphone, adresse, compte bancaire...
Contenu politique sensible : lanceurs d’alertes, résistants à la censure...
Contenu illicite : au moins 8 fichiers concernant du contenu sexuel, parmi ces fichiers, 2 d’entre eux contenaient des sauvegardes de liens qui renvoyaient vers de la pédopornographie, contenant 274 liens vers des sites web[9]
Si la majorité des contenus étaient pour la plupart licites, d’autres au contraire sont potentiellement susceptibles de poursuites et les auteurs de l'étude ont recommandé que les [10] « futures conceptions de blockchain doivent faire face pro activement aux contenus répréhensibles ».
A ce titre, ils recommandent un système de "filtrage" des transactions entrantes évolutif et transparent dont les modalités restent néanmoins à fixer.
Ces débats montrent la place grandissante prise par les considérations éthiques au sujet des crypto-monnaies à l’instar de Conscoin qui se présente comme étant une crypto-monnaie éthique.« Cryptocurrency with a Conscience: Using Artificial Intelligence to Develop Money that Advances Human Ethical Values »[11]
Une blockchain est un registre distribué, c'est-à-dire que chaque transaction est validée par les nœuds du réseau. Afin de valider ces transactions, tous les nœuds possèdent, de façon répliquée, cette blockchain.
« En conclusion, un large éventail de contenu répréhensible peut causer un préjudice direct si possédé par les utilisateurs. Contrairement aux systèmes tels que les plates-formes de médias sociaux, réseaux de partage de fichiers, ou des systèmes de stockage en ligne, ce contenu peut être stocké sur blockchains anonymement[12] et irrévocablement. Puisque toutes les données Blockchain sont téléchargées et constamment conservés par les utilisateurs, ils sont responsables de tout contenu ajouté à la Blockchain par d'autres. Par conséquent, il serait illégal de participer à un système basé sur Blockchain dès qu'il contient du contenu illégal. »[13]
En conséquence et de manière très schématique, chaque utilisateur qui aura une "copie" de la blockchain détiendrait donc aussi des fichiers potentiellement illégaux. Voire ne pourrait connaître totalement toutes les informations contenues dans une blockchain.
Il existe une idée et très souvent partagée sur la blockchain bitcoin, qui serait que toutes les transactions sont parfaitement anonymisées. Or, cette affirmation est à relativiser comme l’ont souligné de nombreuses études (et notamment, notamment « An analysis of Anonymity in the Bitcoin System ») [14].
Il s’agirait plutôt d’un pseudonymat qui permettrait de rattacher la transaction à un individu plutôt qu’un réel anonymat. Les différences entre l’anonymisation et la pseudonymisation sont parfois difficiles à saisir en droit de la protection des données personnelles et le Groupe de travail de l’article 29, dans un avis rendu le 10 avril 2014[15] a présenté à ce titre les différentes techniques d’anonymisation (une donnée anonyme est une donnée qui ne peut être attribuée à une personne identifiée). Or, sur la blockchain bitcoin, il est possible par un faisceau d’indices d’identifier indirectement une personne.
Même si les techniques de « mixage de bitcoin[16] » permettent de disperser plus encore les informations liées à une transaction par exemple, l'utilisation de cette technique a fait débat. Ainsi, certains services de mixage de Bitcoin sont revenus sur leurs positions et indiqué que le mixage de bitcoin était contraire à l’idéologie initiale de la blockchain qui était la transparence et non l’anonymat.
C’est dans cette volonté de transparence qu’ont émergé de nombreux explorateurs de Blockchain comme par exemple le sitehttps://blockchain.info/fr .
La question de l'identification ouvre cependant des champs de recherche et de discussions qui portent aussi bien sur les "valeurs" véhiculées par la blockchain bitcoin notamment (ou d'autres blockchains) que sur les métamorphoses de l'identité.
Dans l’étude précédemment citée, la question de l'insertion de liens renvoyant vers des sites pédophiles et notamment vers le darkweb a été soulignée. La première question à régler sera donc de déterminer qui est le poseur de lien ? Or la question de l’auteur de l’acte sera particulièrement délicate à établir. Pour le moment, il n’y a pas d’obligation de démontrer son identité pour enregistrer des transactions sur la Blockchain même si de potentielles régulations à ce sujet ne sont pas exclues.
Dans l’hypothèse où la personne est identifiable, il est possible de faire l’analogie avec le régime juridique des poseurs de liens hypertextes retenu en matière de contrefaçon. La Cour de justice de l’Union européenne, par une série d’arrêts, a crée de façon prétorienne les critères d’engagement de la responsabilité des poseurs d’hyperliens[17]. Dans le récent arrêt GS Media[18], la CJUE a apporté des éléments de précisions et indiqué pour retenir la contrefaçon qu'il était nécessaire que la personne ait connaissance du caractère illégal de la publication de ces œuvres[19].
Quelle responsabilité pénale pour la personne qui inscrit des données dans une blockchain?
Si la question de la répression pénale de la détention de fichiers pédopornographiques est réglée par le Code Pénal[20] indépendamment de son support (clef USB, disque dur...), celle du stockage de fichiers sur la blockchain interpelle: stocker des fichiers sur la blockchain peut-il être assimilé à une détention au sens du Code Pénal? Se pose aussi la question de la "propriété" de la blockchain dans tous les sens du terme...
La personne peut-elle être sanctionnée sur le terrain de la complicité ?
Un mineur peut-il être poursuivi sur le terrain de la complicité? En effet, selon les techniques utilisées, le mineur pour valider les blocs doit répliquer la blockchain, dans des conditions telles que sa connaissance de l'existence des fichiers illicites sera délicate à établir. Et devra requérir des modalités d'expertise spécifiques. Par ailleurs, plusieurs médias ont également dévoilé que les utilisateurs de certains sites minaient des crypto-monnaie à leur insu ! [21] La question est donc ouverte...
Quels instruments? Ces questions ouvrent la voie à une prospective juridique et débordent très largement les seuls enjeux en matière de données personnelles ou de droit pénal. A ce titre, l'utilisation de la blockchain interpelle les outils existants du droit international privé (quelle loi applicable, quelle juridiction applicable?). En fonction des types de données et de fichiers stockés, de très nombreuses conventions internationales pourraient aussi trouver à s'appliquer comme la Convention internationale de protection de l’enfance[22], les Conventions internationales de protection de la propriété intellectuelle[23], les conventions de protection de la vie privée[24] ou encore le RGPD [25].
Au-delà de cette étude, la question de l’appréhension juridique de la blockchain se fait de plus en plus pressante. A fur et à mesure de sa démocratisation, les questions posées par l'utilisation ou les modes de fonctionnement des blockchains -et notamment de la blockchain bitcoin- interpellent les juristes dans des domaines très différents (droit des données personnelles, droit international privé, droit pénal...) et devront être évoqués ou prises en compte, à défaut d'une régulation globale dont les contours sont difficilement envisageables à ce jour.
[3]https://fc18.ifca.ai/preproceedings/6.pdf
[4] Affirmation à nuancer en raison, comme nous allons le voir, des différentes incertitudes concernant l’appréhension juridique de ce phénomène et les potentiels obstacles juridiques.
[5] Traduit librement depuis l’étude originale en anglais cite précédemment. (Page 1)
[6] Analyse of Bitcoin OP_RETURN metadata
[7] p.5
[8]https://en.bitcoin.it/wiki/OP_RETURN
[9] Page 13
[10] Page 13
[11]https://www.finyear.com/attachment/641777/
Dans cet article, nous contestons une telle présomption que l'argent doit avoir une valeur-neutre. En bâtissant sur les progrès de l'intelligence artificielle, de la cryptographie, et des machines éthiques, nous soutenons qu'il est possible de concevoir des crypto-monnaies artificiellement intelligentes, qui ne sont pas éthiquement neutres, mais qui régulent de manière autonome leur propre usage d'une manière qui reflète les valeurs éthiques de certains êtres humains, ou de sociétés humaines, même entières
[12] Attention toutefois : il s’agit plutôt de pseudonymat que d’anonymat
[13] Page 7
[14] An Analysis of Anonymity in the Bitcoin System Fergal Reid Martin Harriganhttp://fc17.ifca.ai/bitcoin/papers/bitcoin17-final32.pdf
[15]http://www.dataprotection.ro/servlet/ViewDocument?id=1288 et voir aussi la décision du Conseil d’Etat du 8 février 2017
[16]https://cryptoactu.com/cryptomonnaies/plus-gros-service-de-mixage-de-bitcoin-monde-ferme-portes/
[17] CJUE, 13 février 2014, Svensson, C-466/12
CJUE, 21 octobre 2014, C-348/13
[18]http://curia.europa.eu/juris/document/document.jsf?docid=183124
L’article 3, paragraphe 1, de la directive 2001/29/CE du Parlement européen et du Conseil, du 22 mai 2001, sur l’harmonisation de certains aspects du droit d’auteur et des droits voisins dans la société de l’information, doit être interprété en ce sens que, afin d’établir si le fait de placer, sur un site Internet, des liens hypertexte vers des œuvres protégées, librement disponibles sur un autre site Internet sans l’autorisation du titulaire du droit d’auteur, constitue une « communication au public » au sens de cette disposition, il convient de déterminer si ces liens sont fournis sans but lucratif par une personne qui ne connaissait pas ou ne pouvait raisonnablement pas connaître le caractère illégal de la publication de ces œuvres sur cet autre site Internet ou si, au contraire, lesdits liens sont fournis dans un tel but, hypothèse dans laquelle cette connaissance doit être présumée.
[19] La Cour de justice énonce que le caractère lucratif est un indice qui quant à lui permettra au cas par cas de prouver l’intention et la connaissance des conséquences juridiques de l’acte. Mais ce n’est pas pour autant une condition de qualification.
[20] Article 227-23 du code pénal
[22] Protocole facultatif à la Convention relative aux droits de l'enfant, concernant la vente d'enfants, la prostitution des enfants et la pornographie mettant en scène des enfants
http://www.ohchr.org/FR/ProfessionalInterest/Pages/OPSCCRC.aspx
[23] Convention de Berne de 1886 offrant une protection minimale sur tous les Etats signataires
[24]Directive 2013/40/UE du Parlement et du Conseil Européen du 12 aout 2013, relative aux attaques contre les systèmes d’information remplaçant la décision cadre 2005/222/JAI du Conseil.
L’année 2017 a été marquée par une actualité fournie en matière de protection des données personnelles. Nous vous présentons une sélection de ces différents événements marquants, notamment en matière de sécurité des données (1), les décisions à signaler de la Commission européenne et de la CNIL (2) ainsi que les dossiers en cours devant la Cour de justice de l’Union européenne (3).
I. Les atteintes à la sécurité des données
1/ Ransomwares
Les rançon-logiciels, (traduits de l’anglais : ransomwares) ont été au cœur de l’actualité en 2017 et parmi eux : Wannacry, Petya, NotPetya. Ceux-ci ont considérablement affecté les administrations, les hôpitaux [1], les entreprises [2], et les particuliers. Ces virus se sont transformés en véritables outils de prise d’otage numérique. Dernièrement, lors du Forum International de la Cybersécurité qui s’est déroulé à Lille, le 23 et 24 janvier 2018, le ministre de l'Intérieur Gérard Collomb a annoncé un plan de lutte contre les cyber-menaces avec la création de 800 postes consacrés à cette priorité : « Que l’on pense par exemple à Wannacry, cette cyberattaque mondiale ayant touché en mai dernier des institutions et des entreprises de 150 pays, parmi lesquels de grands constructeurs automobiles, des opérateurs téléphoniques, mais aussi des hôpitaux. Durant plusieurs heures, des usines ont été paralysées. Le préjudice subi s’évalue en centaines de millions de dollars. »
Toutefois, pour l’instant en France, en dépit de l’existence de dispositions pénales avec les articles 323-1 et 323-2 du Code Pénal (atteinte aux systèmes d’informations), les sanctions restent encore très faibles. La vigilance reste cependant essentielle dans ce domaine, au vu notamment de l’attention portée par la CNIL au niveau de sécurité apporté pour protéger les traitements de données personnelles.
2/ Failles de sécurité
Equifax est un fournisseur de données financières (notamment pour la solvabilité et les capacités de remboursement des personnes) qui a subi une faille de sécurité très importante au cours de l’année passée au cours de laquelle des pirates informatiques ont eu accès aux informations personnelles de plus de 140 millions d'Américains. Ainsi plusieurs centaines de millions d’américains ont été touchés par ce vol d’identité numérique qui concernait des données telles que le nom, prénom, numéro de carte de crédit, numéro de sécurité sociale...
Uber, a aussi annoncé par le biais de son nouveau directeur général, Dara Khosrowshahi dans un communiqué de novembre dernier le vol de données de 57 millions d’utilisateurs.
Ces deux affaires ont provoqué des réactions fortes, notamment au vu du manque de clarté et de transparence supposé de ces entreprises, bien au-delà des failles de sécurité.
Or il faut souligner dans ce domaine que le nouvel article 33 du RGPD vient opérer un changement en matière de violation de données personnelles. En effet, cette disposition oblige les opérateurs à notifier une violation de données à caractère personnel. « En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l'autorité de contrôle compétente conformément à l'article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l'autorité de contrôle n'a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard ».
Cela signifie qu’à partir de mai 2018, les mesures prises par les entreprises, en réaction à une faille de sécurité seront scrutées à la loupe par les autorités de contrôle. Et les éventuelles mesures correctives -prises ou non – seront aussi analysées dans le cas de sanctions.
II. Les sanctions prises par la Commission européenne et la CNIL
Facebook et Google ont été condamnées par la Commission européenne sur le terrain du droit de la concurrence, droit qui ne paraît aujourd’hui ne plus pouvoir ignorer les enjeux liés aux données personnelles.
Le rachat de Whatsapp par Facebook : analyse au regard du droit de la concurrence et de la violation de l’obligation d’information :
Ce rachat de Whatsapp par Facebook a donné lieu à deux décisions, la première de la Commission européenne (1), la seconde, de la CNIL (2).
1/ La sanction par la Commission européenne du 16 mai 2016 pour fourniture d’informations dénaturées
La sanction par la Commission européenne [3] de Facebook repose sur plusieurs aspects.
En effet était en cause la possibilité d’interconnexion des utilisateurs de l’application Whatsapp et ceux de Facebook. « La Commission a constaté que, contrairement à ce qu'avait déclaré Facebook en 2014 dans le cadre de la procédure de contrôle des concentrations, la possibilité technique de mettre en correspondance les identités des utilisateurs de Facebook et de WhatsApp existait déjà cette année-là et que les employés de Facebook étaient au courant de cette possibilité ».
La Commission a évalué les risques pour la concurrence, au regard du Règlement européen sur le contrôle des concentrations n° 139/2004 du Conseil du 20 janvier 2004, dans l’hypothèse d’une absence d’interconnexion entre les deux services. Or, la Commission a relevé que « la possibilité technique de mettre en correspondance les identités des utilisateurs de Facebook et de WhatsApp existait déjà cette année-là et que les employés de Facebook étaient au courant de cette possibilité ». Et elle a de fait prononcé cette sanction.
Dans le cadre de cette sanction a aussi été évoquée en filigrane les enjeux de la constitution de bases de données personnelles particulièrement importantes et leurs effets sur la concurrence.
2/ Sanction de la CNIL à l’égard de Facebook pour manquements à la loi informatique et libertés
La formation restreinte de la CNIL a également prononcé, le 27 avril 2016, une sanction de 150.000 €, rendue publique, à l’encontre des sociétés Facebook INC et Facebook Ireland. Cette dernière a été prononcée en raison de nombreux manquements à la loi Informatique et Libertés et notamment sur des points importants concernant le consentement des personnes concernées et la collecte loyale des données personnelles (notamment en raison de l’utilisation du cookie DATR qui recueillaient également des informations sur les personnes non inscrites sur Facebook), le manquement au recueil du consentement des personnes concernées.
3/ Google : Sanction de la Commission européenne pour abus de position dominante
La Commission a également infligé à Google une amende de 2,42 milliards d’euros le 27 juin dernier pour abus de position dominante sur le marché des moteurs de recherche et pour avoir favorisé son propre service de comparaison de prix (4). Google aurait ainsi abusé de sa position dominante sur ce marché un conférant à son service de comparaison des prix un avantage illégal.
III. En cours: les affaires pendantes devant la Cour de justice de l’Union européenne
1/ Le droit à l’oubli :
Le droit à l’oubli numérique a été consacré de manière jurisprudentielle par la célèbre décision Google Spain du 13 mai 2014. Toutefois, la possibilité de retirer un contenu sur Internet existait déjà sous la LIL, par le mécanisme des articles 38 (droit d’opposition) et 40 (droit de suppression). Néanmoins, depuis sa consécration jurisprudentielle, de nombreuses questions pratiques persistent et ce droit se heurte à différents intérêts en présence et notamment : droit du public à l’information, liberté d’expression, sécurité juridique.... La Cour de justice, a également rappelé, à l’occasion d’une décision, CJUE, Cammera di Commercio c. M. Manni, du 9 mars 2017, que le droit à l’oubli n’était pas absolu et qu’il devait être mis en balance avec le principe de sécurité juridique des tiers.
Le Conseil d’État a, par ailleurs et à deux reprises, posé des questions préjudicielles à la Cour de justice de l’Union européenne qui restent pendantes :
D’une part, une première question préjudicielle du Conseil d’État du 24 février 2017, dans des affaires jointes n°391000, 393769, 399999, 401258, qui concernaient des données sensibles. Très brièvement, la première concernait un photomontage satirique mettant en scène la directrice du cabinet d’un maire, la deuxième un ancien responsable de l’église de Scientologie, la troisième une mise en examen qui concernait des hommes politiques et enfin la quatrième affaire pour des faits de pédophilie. La question concernait les obligations du moteur de recherche en cas de demande de déréférencement d’un tel contenu.
D’autre part, une seconde question préjudicielle du Conseil d’État du 19 juillet 2017, sur la portée territoriale des injonctions de déréférencement à l’encontre du moteur de recherche. La question concernait le champ d’application du déférencement au sujet duquel la CNIL a adopté une position claire dans son communiqué du 12 janvier 2017 : un déréférencement mondial. [5].
2/ M. Schrems
Maximilien Schrems est un étudiant autrichien qui s’est fait connaître par la célèbre affaire qui a mené à l’invalidation du « Safe Habor » concernant le transfert aux USA de certaines données personnelles et à son remplacement par le Privacy Shield. (CJUE, 6 octobre 2015) [6]
Courant 2017, ont été posées deux questions préjudicielles à la Cour de justice de l’Union européenne :
D’une part, une première question préjudicielle, concernait la qualité de « consommateur » de M. Schrems, individuellement, et ce, lorsque ce dernier est cessionnaire des actions de groupes d’autres consommateurs. Posée le 19 septembre 2016 [7] à la Cour de justice de l’Union européenne, cette dernière a statué le 25 janvier 2018.
La position retenue par la CJUE était intéressante à un double égard pour déterminer d’une part, si un «consommateur» perd cette qualité lorsque après avoir utilisé pendant relativement longtemps un compte Facebook privé, « pour faire valoir ses droits, il publie des livres, et donne parfois également des conférences rémunérées, exploite des sites Internet, collecte des dons afin de faire valoir les droits et se fait céder les droits de nombreux consommateurs en contrepartie de l’assurance de leur remettre le montant obtenu, après déduction des frais de justice, au cas où il obtiendrait gain de cause» et d’autre part si ce consommateur peut se prévaloir du tribunal du lieu de son domicile quand il devient cessionnaire des droits des autres consommateurs.
Ces questions étaient importantes au regard du droit international privé. En effet, l’article 18 du Règlement Bruxelles I bis pose une exception au principe selon lequel, la juridiction compétente est celle du tribunal du défendeur -afin de faciliter les démarches du consommateur- et permet à ce dernier de saisir le tribunal de son propre domicile. La Cour de justice, dans sa décision du 25 janvier 2018 dernier a indiqué que M. Max Schrems conservait sa qualité de consommateur et que peu importait son activité postérieure, qu’il pouvait ainsi engager une action contre Facebook Ireland en Autriche. En revanche, la CJUE a souligné qu’en tant que cessionnaire des droits des autres consommateurs, M. SCHREMS ne pouvait bénéficier de l’exception issue de l’article 18 du Règlement Bruxelles I bis et saisir le tribunal de son propre domicile aux fins d’une action collective.
Cette position est en lien direct avec l’actualité puisque a été adopté par l’Assemblée nationale, le 8 février dernier, un amendement pour une action de groupe collective en matière de données personnelles. [8]
D’autre part, une seconde question préjudicielle posée par la Haute Cour d’Irlande, [9] à propos d’une autre action Max Schrems concernait les clauses contractuelles types de Facebook.
Dans cette affaire, il était question de la validité des clauses contractuelles types de Facebook. Pour rappel, il existe un principe d’interdiction de transferts des données personnelles vers des pays tiers à l’Union européenne [10]. Ces transferts, sont toutefois autorisés, dans certains cas :
Le pays bénéficie d’une décision d’adéquation [11]
Un transfert fondé sur des garanties appropriées [12]
Ou encore, sur le fondement de règles d’entreprises contraignantes [13]
Etait ici en cause le mécanisme des clauses contractuelles mises en place par Facebook, qui selon M. Schrems ne garantissaient pas une protection suffisante, notamment en raison des programmes de surveillances américains. En effet, dans la décision rendue le 3 octobre 2017 par la Haute Cour Irlandaise [14], les autorités gouvernementales américaines, auraient, selon Max Schrems, un accès aux données personnelles d’européens du fait du programme PRISM.
En conclusion, il est notable que les questions relatives aux données personnelles ont occupé une part importante de l’actualité en 2017. Le RGPD, sujet inscrit à l'agenda des entreprises témoigne de la préoccupation grandissante pour ces aspects tandis que la CNIL, par son action de plus en plus visible incite également les personnes à se préoccuper de leurs données personnelles. Cet « empowerment » des individus sur le contrôle de leurs données est désormais consacré à l’article 1 de la LIL du fait des dispositions de la loi pour une République Numérique (« toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant »). Ce principe d’autodétermination informationnelle est ainsi la clef de voûte de la protection des données à caractère personnel avant même de finaliser l'adaptation du RGPD.
Dossier majeur de 2017, la protection des données personnelles devrait ainsi connaître une nouvelle actualité nourrie dans les mois à venir. Notre prochain article évoquera les décisions et événements attendus en 2018.
REFERENCES
[3] Délibération n°SAN – 2017-006 du 27 avril 2017 - Délibération de la formation restreinte SAN –
2017-006 du 27 Avril 2017 prononçant une sanction pécuniaire à l'encontre des sociétés FACEBOOK INC. et FACEBOOK IRELAND
[4] http://europa.eu/rapid/press-release_IP-17-1784_fr.htm
[5] https://www.cnil.fr/fr/pour-un-droit-au-dereferencement-mondial
[6] CJUE, 6 octobre 2015, C-362/14
[7] Affaire C-498/16: Demande de décision préjudicielle présentée par l’Oberster Gerichtshof (Autriche) le 19 septembre 2016 — Maximilian Schrems/Facebook Ireland Limited
[8] L’article 43 ter de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifié :
1° Le III est remplacé par un alinéa ainsi rédigé :
« Cette action peut être exercée en vue soit de la cessation du manquement mentionné au deuxième alinéa, soit de l’engagement de la responsabilité de la personne ayant causé le dommage afin d’obtenir la réparation des préjudices matériels et moraux subis, soit de ces deux fins. » ;
2° Le IV est complété par un alinéa ainsi rédigé :
« Lorsque l’action tend à la réparation des préjudices subis, elle s’exerce dans le cadre de la procédure individuelle de réparation définie au chapitre Ier du titre V de la loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle. »
[9] The High Court Commercial [2016 No. 4809 P.] Between The Data Protection Commissioner Plaintiff And Facebook Ireland limited and Maximillian Schrems Defendants http://www.courts.ie/Judgments.nsf/09859e7a3f34669680256ef3004a27de/8131a5dde8baf9ff802581b70035c4ff?OpenDocument
[10] Article 44 du RGPD
[11] Article 45 du RGPD
[12] Article 46 du RGPD
[13] Article 47 du RGPD
[14] He states that there is clear evidence that leads him to believe that his personal data controlled by Facebook and processed by Facebook Inc. is at the very least “made available” to US government authorities under various known and unknown legal provisions and spy programmes such as the “PRISM” programme (which I explain more fully below). He also believes that there is a likelihood that his personal data has, in addition, been accessed under these provisions as he was prevented from boarding a transatlantic flight on the 16th of March, 2012, to the United States for reasons of “national security”. (page 35).
BRUXELLES: Interview de Jérôme Deroulez par Arnaud Dumourier dans le Monde du Droit du 17 novembre 2017. http://www.lemondedudroit.fr/interviews/54590-interview-jerome-deroulez-pourquoi-inscrire-bruxelles.html
Pourquoi ouvrir un bureau à Bruxelles? Cet interview portait sur les intérêts et avantages pour les avocats français d'ouvrir un bureau à Bruxelles.
Cet article évoque aussi les raisons d'une présence à Bruxelles pour intégrer au mieux les travaux législatifs européens en cours et à venir, plus spécifiquement dans les domaines de la protection des données personnelles ou des nouvelles technologies.
La Cour de Justice de l'Union européenne a rendu le 26 juillet dernier son avis au sujet de l'accord PNR UE / Canada suite à la demande émise par le Parlement européen le 30 janvier 2015 (http://curia.europa.eu/juris/document/document.jsf?text=&docid=193216&pageIndex=0&doclang=fr&mode=lst&dir=&occ=first&part=1&cid=964955). Dans son avis, la Cour a estimé que cet accord était incompatible avec la Charte des droits fondamentaux. Elle a marqué une nouvelle étape dans sa construction jurisprudentielle du droit à la protection des données personnelles en Europe.
De quoi s'agit-il? Comme avec les Etats-Unis ou l'Australie, l'Union européenne a négocié cet accord avec le Canada afin de pouvoir transférer les données des passagers aériens (données PNR) à des fins de lutte contre le terrorisme et d'autres formes de criminalité transnationale. Ces données énumérées dans l'accord peuvent dès lors être conservées, utilisées voire transférées vers des pays tiers par les autorités canadiennes. Du fait de la sensibilité de tels transferts, ces négociations ont été marquées par des passes d'armes entre Conseil et Parlement européen. La saisine de la Cour pour avis, avant conclusion de l'accord, avait pour objet de vérifier la base juridique de l'accord et sa compatibilité avec la Charte et les traités européens.
Analyse de la CJUE. La Cour a d'abord rappelé que cet accord devait être apprécié dans sa double composante, sécurité publique et protection des données passagers, sanctionnant l'absence de base juridique dédiée (en l'espèce l'article 16§2 TFUE). Si la Cour n'a pas remis en cause le principe du transfert de ces données au vu de l'objectif de protection de la sécurité et de la sûreté publique, elle a néanmoins souligné les incompatibilités entre certains points de l'accord et la charte des droits fondamentaux.
Parmi ses réserves figurent notamment la délimitation des données PNR à transférer, le transfert de données sensibles, l'absence de limitation au strict nécessaire des données PNR comme les conditions de leur communication à des autorités publiques canadiennes ou encore l'absence de surveillance du respect des règles de l'accord par une autorité indépendante.
En conséquence, la Cour a dressé la liste des points devant être repris pour que cet accord puisse être compatible avec la Charte des droits fondamentaux. Liste des points qui pourrait être complexe à mettre en oeuvre (par exemple sur le droit à l'information individuelle des passagers aériens en cas d'utilisation de leurs données).
Conséquences. Si cet avis témoigne d'une construction étape par étape d'une jurisprudence méthodique de la CJUE en faveur du droit à la protection des données personnelles, il devrait aussi avoir de nombreuses conséquences politiques et juridiques. Quid du devenir de cet accord qui devait encore être conclu et de la période transitoire mise en place pour encadrer les transferts de données PNR? Comment adapter l'accord et surtout convaincre le Canada de prendre en compte l'avis de la Cour? Quelle portée vis à vis des accords PNR existants ou de la directive PNR-UE? Quelle portée pour les compagnies aériennes et les prestataires privés assurant la mise en oeuvre de ces transferts?
Cette liste non exclusive témoigne de l'importance de cet avis qui devrait également entraîner une réévaluation des positions européennes et des directives de négociations de l'Union européenne face à ses partenaires européens. Le signal envoyé par la CJUE a dès lors clairement une portée internationale et marque une nouvelle étape dans l'encadrement et la limitation des transferts de données en masse.
De façon plus générale, cet avis marque l'insistance de la Cour à dégager des marqueurs clairs d'un niveau efficace de protection des données personnelles. Qu'il s'agisse de la lutte contre le terrorisme (PNR, directive rétention des données) ou des transferts de données en matière civile ou commerciale (Safe Harbor), la Cour a dégagé de nombreux critères permettant d'attester ou non du respect des règles européennes.
A la veille de l'entrée en vigueur en mai 2018 du règlement général sur la protection des données personnelles, c'est un nouvel avertissement qui est adressé, bien au-delà du seul cadre des données PNR.
Silhouettes of business people traveling on airport; waiting at the plane boarding gates.
Jérôme Deroulez, Avocat a représenté l'Incubateur du Barreau de Paris lors du congrès des avocats allemands - DeutscherAnwaltVerein - à Essen le 26 mai 2017. A cette occasion, Jérôme Deroulez, Avocat a participé à l'atelier "How to be an innovative lawyer"
Maison intelligente, voiture connectée, smart city, e-santé… les domaines d’application de l’internet des objets (IoT) ne cessent de croître et constituent selon certains une troisième révolution de l’internet[1] en partie liée à l’accroissement du volume de données mises en ligne. A l’horizon 2020, le nombre d’objets connectés est estimé entre 20 et 50 milliards, avec un impact sur l’économie mondiale compris entre 2.000 et 5.000 milliards d’euros par an. Le déploiement de l’internet des objets soulève aujourd’hui de nombreuses questions techniques (initiatives 5G en Europe et aux Etats-Unis, coûts de gestion des réseaux, mise en place de chaînes de valeurs complexes). Il suscite aussi de nombreux défis en terme de protection de la vie privée, de confidentialité, de cyber-sécurité ou encore d’encadrement des données personnelles générées et collectées.
Alors que ces technologies ne connaissent pas de frontière et sont conçues le plus souvent avec une ambition globale, leur déploiement ne peut ignorer les exigences de l’Union européenne au regard du droit à la protection des données personnelles, droit consacré par l’article 16 du traité sur le fonctionnement de l’Union européenne (TFUE) et par la charte des droits fondamentaux.
Si l’IoT ne connaît pas encore de dispositif législatif spécifique à l’échelle de l’Europe, une réflexion s’est engagée en son sein depuis plusieurs années quant aux fondamentaux et aux principes qui pourraient être dégagés. Et l’adoption du paquet « protection des données » pourrait donner un nouvel élan à ces débats.
En effet, l’avenir de l’Internet des Objets et la croissance exponentielle de la masse des données générées, collectées, stockées et éventuellement traitées ou transférées constitue un sujet que l’Union européenne ne peut laisser de côté.
D’abord pour garantir le développement de ce secteur (en termes de sécurité ou de fiabilité) mais aussi pour lui apporter des garanties fortes.
Faut-il pour autant un cadre spécifique ou les règles existantes sont-elles suffisantes ?
S’il n’y a pas de consensus quant à la plus-value qu’apporterait une législation européenne spécifique, la réflexion est néanmoins engagée quant au cadre ou aux principes qui devraient tout de même encadrer l’IoT.
Ainsi, une première contribution a été apportée par le groupe article 29 (institué par la directive 95/46 et dit G29). Ce dernier a adopté en septembre 2014 un avis[2] sur l’internet des objets, pour contribuer à une application uniforme du cadre européen existant, assorti de recommandations pratiques ciblées selon les différents acteurs.
Le G29 a d’emblée pointé que des développements incontrôlés de l’internet des objets pourraient conduire à des formes de surveillance illégales contraires au droit de l’Union européenne. Il a identifié 6 types de risques posés par ces objets :
le manque de contrôle comme le caractère asymétrique des flux d’informations ;
la qualité du consentement par l’usager ;
les usages potentiels des données « brutes » transmises et leur utilisation à des fins sans lien avec leur collecte originelle ;
les risques de profilage et de surveillance de la vie privée avec la multiplication des capteurs ;
les limitations à la possibilité de demeurer anonyme lors de l’utilisation de certains services ;
la sécurité, avec la nécessité de veiller à toutes les étapes du développement de ces outils à des critères de confidentialité, d’intégrité et de sécurité maximales
Le G29 soulignait aussi les obligations pesant sur les parties prenantes de l’Internet des objets, dans les cadres prévus par la directive 95/46 et la directive 2002/58 (« e-privacy ») lorsqu’elles trouvent à s’appliquer, à savoir : conditions du consentement, base légale du traitement de données, collecte loyale et proportionnée des données, traitement spécifique des données sensibles, exigences en terme de transparence et sécurité des traitements. A titre d’exemple, le G29 rappelait l’exigence d’un consentement explicite pour les données sensibles et plus particulièrement les données de santé.
Dans ses conclusions provisoires, le G29 a demandé :
le recours systématique à des études d’impact ;
la suppression des données non utilisées et collectées ;
la possibilité pour les « utilisateurs » de contrôler leurs données et l’usage qui en est fait (au-delà de l’information qui doit leur être apportée) ;
la limitation des possibilités de localiser ou d’identifier en continu une personne.
En second lieu, un document de travail du Parlement européen[3] de septembre 2015 consacré au Big Data et intervenu pendant la négociation du paquet « protection des données » a fait état d’une position plus offensive, en rappelant d’abord que la règlementation de l’IoT devait respecter le droit fondamental à la protection des données personnelles garanti par la Charte des droits fondamentaux.
Cette étude a repris les exigences formulées par le G29 afin de renforcer le contrôle effectif des usagers sur leurs données personnelles, d’améliorer la qualité du consentement lors du recueil des données et de garantir un niveau élevé de protection de ces données lors de transferts à des tiers ou hors de l’Union européenne, sujet récurrent de préoccupation pour le Parlement européen.
Enfin, le règlement « protection des données » adopté le 14 avril 2016 a créé un nouveau cadre pour l’internet des objets.
Alors même qu’il ne comprend pas de dispositions spécifiques à ce domaine, le règlement reprend certaines préconisations du G29, notamment en consacrant les principes de privacy-by-design (protection de la vie privée dès la conception de l’objet) et privacy-by-default (protection de la vie privée par défaut), en apportant une boite à outils en matière de conformité ou en renforçant le niveau des sanctions (par exemple dans le cas des failles de sécurité). Les nouvelles dispositions renforçant la vie privée (droit à l’oubli ou à la portabilité des données) vont également dans le sens d’une plus grande information des usagers vis-à-vis des acteurs du numérique.
Ce règlement qui sera applicable en avril 2018 constituera l’une des bases de la règlementation de l’internet des objets et fournira la base de toute réflexion future sur des dispositions plus spécifiques.
Le chantier de la révision de la directive vie privée intéressera aussi les acteurs de l’IoT.
La Commission européenne a ouvert une consultation publique sur ce texte jusqu’au 5 juillet prochain, avec trois objectifs :
assurer la cohérence entre cette directive et le paquet protection des données (par exemple sur la notification des failles de sécurité) ;
modifier le cas échéant les règles de la directive au vu des innovations technologiques et des nouveaux acteurs émergeant dans le domaine des communications électroniques ;
renforcer la sécurité et la confidentialité des communications à travers l’Union européenne.
Même si la Commission n’a pas encore communiqué sur les dispositions du texte qu’elle souhaite réviser, cette consultation est importante et l’enjeu est de taille pour les opérateurs et les acteurs du secteur des télécommunications puisque le futur texte constituera avec le règlement « protection des données » un socle règlementaire révisé pour l’internet des objets.
Lorsque ces chantiers législatifs seront terminés, quels pourront être les arguments de la Commission européenne pour proposer une –éventuelle- législation spécifique ?
Cette dernière a déjà évoqué quelques préoccupations et signalé des difficultés comme la fragmentation entre les politiques industrielles nationales, le risque de moindre inter-opérabilité des standards[4] ou encore l’insécurité juridique des transferts hors Union Européenne des données personnelles collectées dans le cadre de l’IoT.
La Commission sait qu’il sera difficile de militer en faveur d’une législation spécifique à l’internet des objets. C’est en effet la position d’une majorité d’acteurs du secteur et notamment de l’AIOTI (Alliance for Internet of Things Innovation[5]) qui redoutent une règlementation qui ne serait pas « technologiquement neutre » et qui figerait l’évolution extrêmement rapide de ce secteur, argument largement recevable et qui avait été souvent repris lors de la négociation du « paquet protection des données ».
Le message de la Commission européenne est néanmoins clair, selon nous. Aujourd’hui c’est aux opérateurs de renforcer la sécurité de l’IoT de façon générale. En l’absence d’initiatives concrètes et effectives, notamment dans le domaine de la protection des données personnelles, elle interviendra pour fixer les règles du jeu, au besoin en s’appuyant sur le Parlement européen.
[1] L’internet des objets (page 156) in La protection des données personnelles. Guillaume Desgens-Pasanau. Lexis Nexis, décembre 2015
[2] Avis du groupe de l’article 29 numéro 8/2014 sur les récents développements de l’internet des objets. 16 septembre 2014.
[3] http://www.europarl.europa.eu/RegData/etudes/STUD/2015/536455/IPOL_STU(2015)536455_EN.pdf
[4] Document de travail de la Commission européenne – Advancing the Internet of Things in Europe. 19 avril 2016 SWD(2016)110/2
[5] Rapport de l’AIOTI – WG Policy du 15 octobre 2015
Article paru dans le Village de la Justice le 19 février 2016 - ( https://www.village-justice.com/articles/sphere-securite-Safe-Harbour,21514.html )
Le 6 octobre 2015, la Cour de justice de l’Union européenne (CJUE) a invalidé la décision de la Commission européenne du 26 juillet 2000 (dite « Safe Harbour ») qui constatait que les Etats-Unis assuraient un niveau de protection adéquat aux données transférées depuis l’Union européenne, marquant sa préoccupation pour la protection des données personnelles.
Le 2 février dernier, la Commission européenne a annoncé avoir trouvé un accord avec les autorités américaines sur un « bouclier de protection » destiné à remplacer le « Safe Harbour », accord dont le contenu devrait être rendu public dans les prochaines semaines. « Bouclier de papier » selon ses détracteurs, socle plus protecteur des droits fondamentaux pour la Commission. Un état des lieux s’impose.
Rappel:
La décision « Safe Harbour » a été attaquée par Maximilian Schrems, ressortissant autrichien et utilisateur de Facebook depuis 2008, qui avait déposé plainte auprès de l’autorité irlandaise de protection des données compétente du fait de l’installation en Irlande des serveurs européens de Facebook. Suite au rejet de cette plainte par l’autorité de contrôle irlandaise, M. Schrems avait introduit un recours devant la Haute cour de justice irlandaise. Celle-ci a sursis à statuer et saisi la CJUE d’une question préjudicielle afin de déterminer si l’autorité de contrôle nationale saisie était absolument liée par la décision d’adéquation de la Commission et, dans le cas contraire, si cette dernière autorité pouvait mener sa propre enquête.
Répondant à cette question préjudicielle, la CJUE a jugé que l’existence d’une décision d’adéquation de la Commission n’avait pas pour effet d’empêcher une autorité nationale de contrôle d’enquêter sur une plainte alléguant qu’un pays tiers n’assurait pas un niveau de protection adéquat et le cas échant de suspendre le transfert des données. Elle a également invalidé la décision « Safe Harbour ».
PROTECTION DES DONNEES ET PRIVACY SHIELD
Cet arrêt revêt une portée fondamentale en ce qui concerne le droit de la protection des données en Europe, à la suite de l’arrêt Digital Right Ireland C-293/12 du 8 avril 2014, la CJUE rappelant au législateur européen la nécessité de prévoir des garanties effectives et concrètes, quitte à remettre en cause l’équilibre législatif et règlementaire européen actuel. Il emporte aussi de nombreuses conséquences.
Un arrêt et des réactions en chaîne
Suite aux délais fixés par le groupe de travail article 29 (dit G29) regroupant les autorités de contrôle en matière de protection des données, la Commission européenne s’était engagée à négocier un nouveau texte avant la fin du mois de janvier pour mettre un terme à la situation d’insécurité juridique ouverte par l’invalidation du Safe Harbour.
Le 2 février, la Commission a annoncé avoir trouvé un accord avec les Etats-Unis sur la base d’un nouveau « bouclier de protection » (« privacy shield »), sensé remplacer et améliorer le Safe Harbor sans donner le sentiment d’un Safe Harbor bis, un tel outil risquant d’emblée de faire l’objet de vives contestations par le Parlement européen et notamment sa commission des libertés civiles (LIBE).
Ce projet (« privacy shield ») n’a pas encore été rendu public. La Commission a publié un communiqué de presse évoquant ses grandes lignes, laissant cependant la porte ouverte à toutes les conjectures en dépit des termes rassurants qu’elle a utilisés :
obligations plus fortes mises à la charge des entreprises américaines exploitant les données de citoyens européens et renforcement des contrôles exercés par le département du commerce américain grâce à une coopération accrue avec les autorités de contrôle européennes ;
nouveaux mécanismes de contrôle des accès des autorités publiques américaines aux données concernées, monitoring régulier et suivi annuel conjoint de l’accord ;
mise en œuvre de plusieurs types de recours effectifs, sans précision, et notamment de modes alternatifs gratuits. Un nouveau médiateur doit aussi être désigné s’agissant d’accès possibles par les autorités nationales en matière de renseignement.
A la suite de ces déclarations, le collège des commissaires s’est engagé à présenter un projet de décision d’adéquation, après avis du G29 et consultation du comité des représentants du Conseil (comité article 31), conformément à la procédure prévue par les articles 25 et 31 de la directive 95/46/CE.
PROTECTION DES DONNEES ET TRANSFERTS DE DONNEES HORS UE
De son côté, lors de sa réunion des 2 et 3 février 2016, le G29 a rappelé sa très grande vigilance sur les conditions dans lesquelles des données pouvaient être transférées de l’Union européenne vers les Etats-Unis. Il a aussi souligné de façon liminaire, faute de texte à ce stade, que quatre exigences devraient être remplies :
traitement fondé sur des règles claires, précises et accessibles ;
application des principes de nécessité et de proportionnalité en lien avec les objectifs légitimes poursuivis ;
existence d’un mécanisme de contrôle indépendant d’une part et ;
voies de recours concrètes et effectives ouvertes aux personnes physiques d’autre part.
Le G29 a souligné ses préoccupations comme ses doutes au vu du cadre américain en vigueur.
Il a enfin marqué la nécessité de disposer avant fin février du contenu de l’accord pour un examen détaillé, se plaçant ainsi en position d’arbitre, avant des discussions décisives.
Le Parlement européen (et notamment la commission LIBE) n’est associé qu’à la marge à cette procédure (dans le cadre du contrôle de l’exercice des compétences d’exécution de la Commission), ce qui ne l’empêchera pas de rester impliqué politiquement et de veiller aux équilibres du futur accord.
En tout état de cause, l’accord sur le futur « bouclier de protection » est lié à un compromis sur la mise en œuvre de voies de recours effectives.
RECOURS ET PROTECTION DES DONNEES
L’existence de voies de recours effectives, clé de voute d’un accord sur le futur « Privacy Shield » ?
Il faut souligner tout d’abord que la CJUE avait rappelé dans son arrêt du 6 octobre 2015 qu’une règlementation ne prévoyant « aucune possibilité pour le justiciable d’exercer des voies de droit afin d’avoir accès à des données à caractère personnel le concernant […] ne respecte pas le contenu essentiel du droit fondamental à une protection juridictionnelle effective tel que consacré à l’article 47 de la Charte des droits fondamentaux », marquant l’importance de ce droit (§95).
De plus, la question des voies de recours constitue depuis une dizaine d’années l’un des points d’achoppement marquant des négociations transatlantiques en matière de protection des données, notamment dans le cadre du transfert des données PNR ou de l’accord TFTP. Si des compromis le plus souvent provisoires et assortis de clauses de rendez-vous ont pu être apportés, la jurisprudence de la CJUE fixe dorénavant des perspectives beaucoup plus exigeantes.
Il convient aussi de rappeler que l’existence de voies de recours a par ailleurs été insérée dans le futur règlement protection des données, comme une des conditions devant être prise en compte « notamment » par la Commission pour évaluer le caractère adéquat du niveau de protection (article 41 §2 a). Cette condition est un marqueur clair (avec d’autres) des discussions à venir.
La négociation du futur accord « parapluie » UE-USA présenté comme un socle de garanties et de droits au regard des transferts de données consentis par l’Union européenne en matière répressive est l’un des terrains où se discute le plus âprement cette question : en effet, cet accord finalisé le 8 septembre 2015 doit encore être formellement conclu et approuvé par le Parlement européen, en vertu des dispositions de l’article 218 du traité TFUE.
Pour convaincre le Parlement, la Commission avait souligné l’extension envisagée des dispositions du Privacy Act américain de 1974 aux citoyens européens à travers un « Judicial Redress Act » qui devrait être adopté avant la conclusion de l’accord « parapluie » : le texte a été voté par le Congrès le 11 février dernier, dans l’attente de sa signature à priori rapide par Barack Obama.
Si la portée juridique de ce texte reste à apprécier concrètement, sa portée politique et symbolique va largement au-delà de l’accord « parapluie » et témoigne que la mise en place de voies de recours effectives constitue un enjeu clé des négociations dans le domaine de la protection des données.
Le Parlement européen reste à convaincre, l’avis négatif de son service juridique du 14 janvier 2016 sur le projet d’accord « parapluie » UE-USA fondé sur l’absence de véritable voie de recours en témoigne.
QUEL PRIVACY SHIELD AU VU DU NOUVEAU CADRE EUROPEEN DE PROTECTION DES DONNEES?
Les futurs débats au sein du Conseil et du Parlement en vue de la conclusion de cet accord auront dès lors par effet de capillarité des connexions directes avec les discussions à venir sur le « Privacy Shield », et ce en dépit de leurs différences de nature juridique et de modalités d’adoption.
Les discussions entre l’Union européenne et les Etats-Unis dans ce domaine doivent-elles se concentrer sur ce point unique ? Certainement pas. Un document de travail du Parlement européen ébauche une comparaison des législations européennes et américaines en matière de protection des données et relève qu’au-delà de la question d’un recours effectif, de nombreuses autres garanties doivent également être apportées (supervision indépendante, principe de minimisation, surveillance et notification des failles de sécurité etc…), ces critères se rapprochant de ceux édictés par le G29 dans l’attente de la publication du texte du « Privacy Shield ».
RGPD et protection des données personnelles: vers de nouvelles règles européennes ( https://www.village-justice.com/articles/protection-des-donnees,21234.html )
Le « paquet protection des données » doit être formellement adopté au printemps 2016, suite à l’accord intervenu entre le Parlement européen et le Conseil de l’Union européenne en décembre dernier, pour une entrée en application dans un délai de deux ans.
Bref rappel chronologique sur le RGPD :
Ce « paquet protection des données » (règlement et directive) avait été proposé par la Commission européenne le 25 janvier 2012, afin de remplacer et de moderniser la directive 95/46 et la décision-cadre de 2008, sur la protection des données personnelles.
Le processus de négociation du RGPD depuis 2012 a été particulièrement complexe du fait des mutations intervenues depuis 1995 dans le domaine numérique et de leurs conséquences pratiques sur la protection des données (essor des usages liées à Internet, respect de la vie privée, propriété des données...).
Le nombre des acteurs potentiellement concernés par cette modernisation législative a également connu une croissance exponentielle, alors que la protection des données personnelles est devenu un enjeu de société très largement médiatisé (droit à l’oubli, surveillance de masse, big data, utilisation du cloud etc).
Du fait de ces éléments, le processus législatif de co-décision [1] entre Conseil, Parlement et Commission européenne a été le théâtre de divergences d’appréciation fortes entre institutions, voire en leur sein (entre Etats membres ou entre groupes politiques européens).
Le remplacement de la directive 95/46 par un règlement a aussi constitué un véritable enjeu puisque le futur texte sera un acte normatif à portée générale et contraignant pour les institutions, les Etats membres et les particuliers, sans transposition nationale.
En tout état de cause, l’accord intervenu entre le Parlement européen et le Conseil, marque une étape supplémentaire dans la construction du droit effectif à la protection des données personnelles au sein de l’Union européenne :
Il intervient en effet après deux arrêts marquants de la Cour de Justice de l’Union européenne en 2014 et 2015 [2] qui ont consacré ce droit et rappelé au législateur européen la nécessité de prévoir des garanties effectives et concrètes ;
Ce paquet législatif apporte aussi une nouvelle traduction du droit à la protection des données personnelles prévu par le traité sur le fonctionnement de l’Union européenne (article 16 TFUE) [3], droit fondamental garanti par la Charte des droits fondamentaux [4].
Quelles premières conclusions retirer du règlement (RGPD) ?
La portée du règlement doit s’apprécier au regard des objectifs initiaux de la Commission européenne (1/ renforcement du niveau de protection des données personnelles, 2/ facilitation des flux de données au sein du marché intérieur et 3/ réduction des charges administratives).
Après 10 trilogues, le futur règlement apparaît évidemment comme un texte capital (plus de 200 pages, 91 articles, au moins une centaine de considérants) qui imposera une remise à niveau importante, tant pour les opérateurs privés que les autorités publiques.
Le G29 [5] qui regroupe les autorités de contrôle nationales comme la CNIL a déjà fait part de sa disponibilité quant aux travaux à conduire pour mener à bien ce processus.
1/ S’agissant du renforcement du niveau de protection des données personnelles, le RGPD affirme ses ambitions avec entre autres :
Un champ d’application matériel et géographique du règlement ambitieux qui opère une refonte des articles 3 et 4 de la directive 95/46 (et revoit notamment des règles de détermination du droit applicable) ;
Le renforcement des conditions du consentement (article 7) et en particulier du consentement parental ;
La consécration du droit à l’oubli (article 17), mesure phare pour la Commission lorsqu’elle avait décliné sa proposition et du droit à la portabilité des données (article 18) ;
L’encadrement du profilage (article 20) ;
La mise en œuvre d’un mécanisme élargi de notification des failles de sécurité (articles 31 et suivants).
Ces dispositions sont-elles à la hauteur des ambitions ?
Elles marquent la volonté du Conseil comme du Parlement de créer des marqueurs tangibles et des nouveaux droits mais elles pourraient au final aboutir à une réalité plus contrastée au vu des nombreuses exceptions crées par le règlement ou reprises de la directive 95/46.
2/ Le règlement a aussi pour finalité de faciliter les flux de données au sein du marché intérieur :
La dimension « marché intérieur » de ce règlement a été régulièrement soulignée par la Commission, avec en filigrane la nécessité de créer un environnement législatif favorable aux futurs champions européens du numérique.
Plusieurs dispositions constituent des avancées :
Le remplacement de la directive 95/46 par un règlement devrait de façon générale favoriser la mise en œuvre de normes européennes uniformes, en l’absence de transpositions nationales (en dépit de certains renvois spécifiques aux Etats membres) ;
Le chapitre V - transferts de données personnelles vers des Etats tiers ou des organisations internationales (articles 40 et suivants) constitue une part essentielle de cet instrument et renforce les mécanismes existants et pour certains critiqués (décision d’adéquation, binding corporate rules) ;
Le nouveau « mécanisme de cohérence » (article 57) et les dispositions sur les autorités de contrôle (chapitre VI et VII) doivent structurer la coopération entre ces dernières et faciliter les flux de données au sein du marché intérieur ;
Le niveau des sanctions prévu aux articles 78 et suivants (jusque 4% du chiffre d’affaires annuel total mondial) est aussi de nature à renforcer la portée des nouvelles règles européennes et leur efficacité. Ces mécanismes de sanctions faisaient partie des éléments clés de la proposition de la Commission et constituent une véritable innovation. Ils rapprochent aussi cette matière du droit de la concurrence.
Ces règles du RGPD constituent pour certaines de véritables nouveautés, c’est le cas du très controversé mécanisme de cohérence, adopté dans une version dégradée par rapport à la proposition de la Commission. Son succès devra être analysé dans le temps, en fonction des objectifs affichés : il signe néanmoins une préférence pour ce type de mécanisme européen préféré à d’autres méthodes de rapprochement des législations jugées moins efficaces.
3/ Le RGPD doit aussi participer à la réduction des charges administratives.
Plusieurs mécanismes participent de cet objectif :
Renforcement des mécanismes de coopération entre autorités de contrôle et traitement des plaintes ;
Simplification générale des obligations pesant sur les entreprises ;
Dispenses spécifiques pour les PME de nombreuses tâches (notification préalable, établissement de certaines bases de données etc).
Il faut s’interroger cependant sur l’économie générale du règlement.
Le règlement crée en effet des obligations supplémentaires qui pourront s’apprécier comme des charges nouvelles dans le cadre d’une sorte de « supervision permanente » (mise en œuvre des nouveaux droits dont le droit à l’oubli, études d’impact, documentation, nouvelles obligations mises à la charge des sous-traitants), qu’ils s’agissent des PME ou non. A noter par exemple, dans le cas du traitement de données sensibles, certaines exemptions prévues pour les PME ne trouveront pas à s’appliquer, faisant ainsi basculer l’opérateur concerné dans le régime général.
Ces remarques restent préliminaires et devront être complétées par une analyse exhaustive du RGPD, une fois sa version définitive consolidée, traduite dans les langues officielles de l’Union européenne et publiée au Journal Officiel de l’Union Européenne.
[1] Procédure de co-décision : Cette procédure prévue par l’article 294 TFUE consacre le Parlement européen et le Conseil de l’Union européenne comme co-législateurs et leur permet d’arrêter des actes conjointement avec le Conseil de l’Union européenne, sauf dans les cas prévus par les traités. C’est la procédure législative ordinaire prévue par le Traité de Lisbonne.
[2] Arrêt de la CJUE du 8 avril 2014, invalidant la directive 2006/24/CE sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications dans les affaires jointes C-293/12 et C-594/12 Digital Rights Ireland et Seitlinger e.a et arrêt de la CJUE du 6 octobre 2015, invalidant la décision de la Commission constatant que les Etats-Unis assurent un niveau de protection adéquat aux données à caractère personnel transférées (Safe Harbor) dans l’affaire C-362/14 Maximillian Schrems / Data Protection Commissioner.
[3] Article 16 TFUE : 1. Toute personne a droit à la protection des données à caractère personnel la concernant. 2. Le Parlement européen et le Conseil statuant conformément à la procédure législative ordinaire, fixent les règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union, ainsi que par les Etats-membres dans l’exercice d’activités qui relèvent du champ d’application du droit de l’Union, et à la libre circulation de ces données. Le respect de ces règles est soumis au contrôle d’autorités indépendantes. Les règles adoptées sur la base du présent article sont sans préjudice des règles spécifiques prévues à l’article 39 du traité sur l’Union européenne.
[4] Article 8 de la charte des droits fondamentaux de l’Union européenne – protection des données à caractère personnel : 1. Toute personne a droit à la protection des données à caractère personnel la concernant. […]