vie privée

BLOCKCHAIN : Audition de Jérôme DEROULEZ dans le cadre de la mission de l'Assemblée nationale

BLOCKCHAIN - Dans le cadre de la mission d’information sur les usages des Blockchains (les chaînes de blocs), présidée par M. Julien AUBERT et ayant comme rapporteurs Mme Laure de la RAUDIERE et M. Jean-Michel MIS, Jérôme DEROULEZ  a été auditionné le mardi 17 avril 2018.

Après une brève présentation de l’activité du cabinet, spécialisé dans les nouvelles technologies et tout particulièrement en droit des données personnelles, le cabinet a exposé les enjeux d'une pratique innovante autour de l’accompagnement et du conseil en Blockchain.

A ce titre, le cabinet réalise pour ses clients des études prospectives sur l'environnement juridique et le contexte de l’émergence de la technologie Blockchain afin d'offrir des prestations de conseils et d'accompagnement adaptés.

Le cabinet rédige également des études prospectives sur la Blockchain Stockage des données sur la blockchain : quels enjeux juridiques?  mais également dans le domaine des nouvelles technologies  - intelligence artificielle (IA émotionnelle), objets connectés etc... 

Lors de cette audition, de nombreux thèmes ont été abordés et notamment les liens entre la protection des données personnelles et la Blockchain, la remise en cause ou non du droit des contrats ou des concepts du droit international privé. 

Le cabinet reste à votre dispositionpour toute demande de conseil et d'accompagnement de vos projets Blockchain.

PROTECTION DES DONNEES PERSONNELLES: QUE RETENIR DE 2017?

L’année 2017 a été marquée par une actualité fournie en matière de protection des données personnelles. Nous vous présentons une sélection de ces différents événements marquants, notamment en matière de sécurité des données (1), les décisions à signaler de la Commission européenne et de la CNIL (2) ainsi que les dossiers en cours devant la Cour de justice de l’Union européenne (3).  

I. Les atteintes à la sécurité des données

 

1/ Ransomwares

 

Les rançon-logiciels, (traduits de l’anglais : ransomwares) ont été au cœur de l’actualité en 2017 et parmi eux : Wannacry, Petya, NotPetya. Ceux-ci ont considérablement affecté les administrations, les hôpitaux [1], les entreprises [2], et les particuliers. Ces virus se sont transformés en véritables outils de prise d’otage numérique. Dernièrement, lors du Forum International de la Cybersécurité qui s’est déroulé à Lille, le 23 et 24 janvier 2018, le ministre de l'Intérieur Gérard Collomb a annoncé un plan de lutte contre les cyber-menaces avec la création de 800 postes consacrés à cette priorité : « Que l’on pense par exemple à Wannacry, cette cyberattaque mondiale ayant touché en mai dernier des institutions et des entreprises de 150 pays, parmi lesquels de grands constructeurs automobiles, des opérateurs téléphoniques, mais aussi des hôpitaux. Durant plusieurs heures, des usines ont été paralysées. Le préjudice subi s’évalue en centaines de millions de dollars. »

 

Toutefois, pour l’instant en France, en dépit de l’existence de dispositions pénales avec les articles 323-1 et 323-2 du Code Pénal (atteinte aux systèmes d’informations), les sanctions restent encore très faibles.  La vigilance reste cependant essentielle dans ce domaine, au vu notamment de l’attention portée par la CNIL au niveau de sécurité apporté pour protéger les traitements de données personnelles.

 

2/ Failles de sécurité

 

Equifax est un fournisseur de données financières (notamment pour la solvabilité et les capacités de remboursement des personnes) qui a subi une faille de sécurité très importante au cours de l’année passée au cours de laquelle des pirates informatiques ont eu accès aux informations personnelles de plus de 140 millions d'Américains. Ainsi plusieurs centaines de millions d’américains ont été touchés par ce vol d’identité numérique qui concernait des données telles que le nom, prénom, numéro de carte de crédit, numéro de sécurité sociale...

 

Uber, a aussi annoncé par le biais de son nouveau directeur général, Dara Khosrowshahi dans un communiqué de novembre dernier le vol de données de 57 millions d’utilisateurs.

 

Ces deux affaires ont provoqué des réactions fortes, notamment au vu du manque de clarté et de transparence supposé de ces entreprises, bien au-delà des failles de sécurité.

 

Or il faut souligner dans ce domaine que le nouvel article 33 du RGPD vient opérer un changement en matière de violation de données personnelles. En effet, cette disposition oblige les opérateurs à notifier une violation de données à caractère personnel. « En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l'autorité de contrôle compétente conformément à l'article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l'autorité de contrôle n'a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard ».

 

Cela signifie qu’à partir de mai 2018, les mesures prises par les entreprises, en réaction à une faille de sécurité seront scrutées à la loupe par les autorités de contrôle. Et les éventuelles mesures correctives -prises ou non – seront aussi analysées dans le cas de sanctions.

 

II. Les sanctions prises par la Commission européenne et la CNIL

 

Facebook et Google ont été condamnées par la Commission européenne sur le terrain du droit de la concurrence, droit qui ne paraît aujourd’hui ne plus pouvoir ignorer les enjeux liés aux données personnelles.

 

Le rachat de Whatsapp par Facebook : analyse au regard du droit de la concurrence et de la violation de l’obligation d’information :

 

Ce rachat de Whatsapp par Facebook a donné lieu à deux décisions, la première de la Commission européenne (1), la seconde, de la CNIL (2).

 

1/ La sanction par la Commission européenne du 16 mai 2016 pour fourniture d’informations dénaturées

 

La sanction par la Commission européenne [3] de Facebook repose sur plusieurs aspects.

 

En effet était en cause la possibilité d’interconnexion des utilisateurs de l’application Whatsapp et ceux de Facebook. « La Commission a constaté que, contrairement à ce qu'avait déclaré Facebook en 2014 dans le cadre de la procédure de contrôle des concentrations, la possibilité technique de mettre en correspondance les identités des utilisateurs de Facebook et de WhatsApp existait déjà cette année-là et que les employés de Facebook étaient au courant de cette possibilité ».

 

La Commission a évalué les risques pour la concurrence, au regard du Règlement européen sur le contrôle des concentrations n° 139/2004 du Conseil du 20 janvier 2004, dans l’hypothèse d’une absence d’interconnexion entre les deux services. Or, la Commission a relevé que « la possibilité technique de mettre en correspondance les identités des utilisateurs de Facebook et de WhatsApp existait déjà cette année-là et que les employés de Facebook étaient au courant de cette possibilité ». Et elle a de fait prononcé cette sanction.

 

Dans le cadre de cette sanction a aussi été évoquée en filigrane les enjeux de la constitution de bases de données personnelles particulièrement importantes et leurs effets sur la concurrence.

 

2/ Sanction de la CNIL à l’égard de Facebook pour manquements à la loi informatique et libertés

 

La formation restreinte de la CNIL a également prononcé, le 27 avril 2016, une sanction de 150.000 €, rendue publique, à l’encontre des sociétés Facebook INC et Facebook Ireland. Cette dernière a été prononcée en raison de nombreux manquements à la loi Informatique et Libertés et notamment sur des points importants concernant le consentement des personnes concernées et la collecte loyale des données personnelles (notamment en raison de l’utilisation du cookie DATR qui recueillaient également des informations sur les personnes non inscrites sur Facebook), le manquement au recueil du consentement des personnes concernées.

 

3/ Google : Sanction de la Commission européenne pour abus de position dominante

 

La Commission a également infligé à Google une amende de 2,42 milliards d’euros le 27 juin dernier pour abus de position dominante sur le marché des moteurs de recherche et pour avoir favorisé son propre service de comparaison de prix (4). Google aurait ainsi abusé de sa position dominante sur ce marché un conférant à son service de comparaison des prix un avantage illégal.

 

III. En cours: les affaires pendantes devant la Cour de justice de l’Union européenne

 

1/ Le droit à l’oubli :

 

Le droit à l’oubli numérique a été consacré de manière jurisprudentielle par la célèbre décision Google Spain du 13 mai 2014. Toutefois, la possibilité de retirer un contenu sur Internet existait déjà sous la LIL, par le mécanisme des articles 38 (droit d’opposition) et 40 (droit de suppression). Néanmoins, depuis sa consécration jurisprudentielle, de nombreuses questions pratiques persistent et ce droit se heurte à différents intérêts en présence et notamment : droit du public à l’information, liberté d’expression, sécurité juridique.... La Cour de justice, a également rappelé, à l’occasion d’une décision, CJUE, Cammera di Commercio c. M. Manni, du 9 mars 2017, que le droit à l’oubli n’était pas absolu et qu’il devait être mis en balance avec le principe de sécurité juridique des tiers.

 

Le Conseil d’État a, par ailleurs et à deux reprises, posé des questions préjudicielles à la Cour de justice de l’Union européenne qui restent pendantes :

 

  • D’une part, une première question préjudicielle du Conseil d’État du 24 février 2017, dans des affaires jointes n°391000, 393769, 399999, 401258, qui concernaient des données sensibles. Très brièvement, la première concernait un photomontage satirique mettant en scène la directrice du cabinet d’un maire, la deuxième un ancien responsable de l’église de Scientologie, la troisième une mise en examen qui concernait des hommes politiques et enfin la quatrième affaire pour des faits de pédophilie. La question concernait les obligations du moteur de recherche en cas de demande de déréférencement d’un tel contenu.

 

  • D’autre part, une seconde question préjudicielle du Conseil d’État du 19 juillet 2017, sur la portée territoriale des injonctions de déréférencement à l’encontre du moteur de recherche. La question concernait le champ d’application du déférencement au sujet duquel la CNIL a adopté une position claire dans son communiqué du 12 janvier 2017 : un déréférencement mondial. [5].

 

2/ M. Schrems

 

Maximilien Schrems est un étudiant autrichien qui s’est fait connaître par la célèbre affaire qui a mené à l’invalidation du « Safe Habor » concernant le transfert aux USA de certaines données personnelles et à son remplacement par le Privacy Shield. (CJUE, 6 octobre 2015) [6]

 

Courant 2017, ont été posées deux questions préjudicielles à la Cour de justice de l’Union européenne :

 

  • D’une part, une première question préjudicielle, concernait la qualité de « consommateur » de M. Schrems, individuellement, et ce, lorsque ce dernier est cessionnaire des actions de groupes d’autres consommateurs. Posée le 19 septembre 2016 [7] à la Cour de justice de l’Union européenne, cette dernière a statué le 25 janvier 2018.

 

La position retenue par la CJUE était intéressante à un double égard pour déterminer d’une part, si un «consommateur» perd cette qualité lorsque après avoir utilisé pendant relativement longtemps un compte Facebook privé, « pour faire valoir ses droits, il publie des livres, et donne parfois également des conférences rémunérées, exploite des sites Internet, collecte des dons afin de faire valoir les droits et se fait céder les droits de nombreux consommateurs en contrepartie de l’assurance de leur remettre le montant obtenu, après déduction des frais de justice, au cas où il obtiendrait gain de cause» et d’autre part si ce consommateur peut se prévaloir du tribunal du lieu de son domicile quand il devient cessionnaire des droits des autres consommateurs.

 

Ces questions étaient importantes au regard du droit international privé. En effet, l’article 18 du Règlement Bruxelles I bis pose une exception au principe selon lequel, la juridiction compétente est celle du tribunal du défendeur -afin de faciliter les démarches du consommateur- et permet à ce dernier de saisir le tribunal de son propre domicile. La Cour de justice, dans sa décision du 25 janvier 2018 dernier a indiqué que M. Max Schrems conservait sa qualité de consommateur et que peu importait son activité postérieure, qu’il pouvait ainsi engager une action contre Facebook Ireland en Autriche. En revanche, la CJUE a souligné qu’en tant que cessionnaire des droits des autres consommateurs, M. SCHREMS ne pouvait bénéficier de l’exception issue de l’article 18 du Règlement Bruxelles I bis et saisir le tribunal de son propre domicile aux fins d’une action collective.

 

Cette position est en lien direct avec l’actualité puisque a été adopté par l’Assemblée nationale, le 8 février dernier, un amendement pour une action de groupe collective en matière de données personnelles. [8]

 

  • D’autre part, une seconde question préjudicielle posée par la Haute Cour d’Irlande, [9] à propos d’une autre action Max Schrems concernait les clauses contractuelles types de Facebook.

 

Dans cette affaire, il était question de la validité des clauses contractuelles types de Facebook. Pour rappel, il existe un principe d’interdiction de transferts des données personnelles vers des pays tiers à l’Union européenne [10]. Ces transferts, sont toutefois autorisés, dans certains cas :

  • Le pays bénéficie d’une décision d’adéquation [11]

  • Un transfert fondé sur des garanties appropriées [12]

  • Ou encore, sur le fondement de règles d’entreprises contraignantes [13]

 

Etait ici en cause le mécanisme des clauses contractuelles mises en place par Facebook, qui selon M. Schrems ne garantissaient pas une protection suffisante, notamment en raison des programmes de surveillances américains. En effet, dans la décision rendue le 3 octobre 2017 par la Haute Cour Irlandaise [14], les autorités gouvernementales américaines, auraient, selon Max Schrems, un accès aux données personnelles d’européens du fait du programme PRISM.

 

 

En conclusion, il est notable que les questions relatives aux données personnelles ont occupé une part importante de l’actualité en 2017. Le RGPD, sujet inscrit à l'agenda des entreprises témoigne de la préoccupation grandissante pour ces aspects tandis que la CNIL, par son action de plus en plus visible incite également les personnes à se préoccuper de leurs données personnelles. Cet « empowerment » des individus sur le contrôle de leurs données est désormais consacré à l’article 1 de la LIL du fait des dispositions de la loi pour une République Numérique (« toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant »). Ce principe d’autodétermination informationnelle est ainsi la clef de voûte de la protection des données à caractère personnel avant même de finaliser l'adaptation du RGPD.

 

Dossier majeur de 2017, la protection des données personnelles devrait ainsi connaître une nouvelle actualité nourrie dans les mois à venir. Notre prochain article évoquera les décisions et événements attendus en 2018.

 

 

 

REFERENCES

 

[1] http://www.zdnet.fr/actualites/ransomware-le-nettoyage-se-poursuit-apres-le-chaos-wannacry-39852650.htm

 

[2] http://www.zdnet.fr/actualites/ransomware-petya-un-colis-a-300-millions-de-dollars-pour-maersk-39856172.htm

 

[3] Délibération n°SAN – 2017-006 du 27 avril 2017 - Délibération de la formation restreinte SAN –

2017-006 du 27 Avril 2017 prononçant une sanction pécuniaire à l'encontre des sociétés FACEBOOK INC. et FACEBOOK IRELAND

 

[4] http://europa.eu/rapid/press-release_IP-17-1784_fr.htm

 

[5] https://www.cnil.fr/fr/pour-un-droit-au-dereferencement-mondial

 

[6] CJUE, 6 octobre 2015, C-362/14

 

[7] Affaire C-498/16: Demande de décision préjudicielle présentée par l’Oberster Gerichtshof (Autriche) le 19 septembre 2016 — Maximilian Schrems/Facebook Ireland Limited

 

[8] L’article 43 ter de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifié :

1° Le III est remplacé par un alinéa ainsi rédigé :

« Cette action peut être exercée en vue soit de la cessation du manquement mentionné au deuxième alinéa, soit de l’engagement de la responsabilité de la personne ayant causé le dommage afin d’obtenir la réparation des préjudices matériels et moraux subis, soit de ces deux fins. » ;

2° Le IV est complété par un alinéa ainsi rédigé :

« Lorsque l’action tend à la réparation des préjudices subis, elle s’exerce dans le cadre de la procédure individuelle de réparation définie au chapitre Ier du titre V de la loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle. »

 

[9] The High Court Commercial [2016 No. 4809 P.] Between The Data Protection Commissioner Plaintiff And Facebook Ireland limited and Maximillian Schrems Defendants http://www.courts.ie/Judgments.nsf/09859e7a3f34669680256ef3004a27de/8131a5dde8baf9ff802581b70035c4ff?OpenDocument

 

[10] Article 44 du RGPD

 

[11] Article 45 du RGPD

 

[12] Article 46 du RGPD

 

[13] Article 47 du RGPD

 

[14] He states that there is clear evidence that leads him to believe that his personal data controlled by Facebook and processed by Facebook Inc. is at the very least “made available” to US government authorities under various known and unknown legal provisions and spy programmes such as the “PRISM” programme (which I explain more fully below). He also believes that there is a likelihood that his personal data has, in addition, been accessed under these provisions as he was prevented from boarding a transatlantic flight on the 16th of March, 2012, to the United States for reasons of “national security”. (page 35).

RGPD: Quelle adaptation en droit français? (2)

Le 14 décembre dernier, nous avons rédigé un premier article sur l’adaptation en droit français du RGPD et les risques liés à un calendrier si contraint, risques également soulignés par la CNIL dans son avis de décembre 2017 (1). En effet, alors que l’adoption de ce règlement européen ouvrait une fenêtre de tir pour une refonte du cadre juridique actuel, seule une première révision limitée aura lieu avant de procéder par ordonnance ultérieurement, ce qui ne permettra pas de disposer au 25 mai 2018 d’un régime consolidé et prévisible.  

Par ailleurs, le caractère spécifique de ce processus d’adaptation doit être souligné, alors que les premiers travaux législatifs viennent de débuter en procédure accélérée. En effet, si le RGPD est un règlement (tel que défini par  l’article 288 du traité sur le fonctionnement de l’Union européenne (TFUE) et donc directement applicable, sans besoin d’être transposé), ce texte laisse en pratique une marge de manœuvre aux Etats-membres (2) et prévoit 57 points spécifiques devant faire l’objet d’adaptation (et non de transposition), par exemple en matière de consentement des mineurs (3). Si ces dispositions traduisent le compromis politique trouvé à Bruxelles, elles risquent aussi de créer de nouvelles « fragmentations » dans le cadre juridique des données personnelles en cours de construction à l’échelle européenne. (4)

 

Cette adaptation sera complexe, du fait de sa nécessaire articulation avec la loi pour une République Numérique qui a anticipé de nombreux points du règlement. En effet, la France avait décidé de préempter l’entrée en application du RGPD (alors en cours de négociation) à travers certaines dispositions de la loi Pour une République Numérique, dite « Loi Lemaire », adoptée le 7 octobre 2016. (5) (le calendrier des différents décrets d’application est consultable ici.).

 

Au-delà des aspects problématiques d’une telle anticipation (au regard du principe de coopération loyale ou des compétences de l’Union européenne), cette loi a aussi repris certaines dispositions du RGPD en les adaptant. C’est le cas par exemple du droit à l’oubli avec la mise en œuvre d’une disposition spécifique pour les mineurs, insérée à l’article 40.II de la Loi informatique et libertés. (6). Or ce nouveau droit devra être analysé au regard du droit à l’oubli consacré à l’article 17 du RGPD et des préoccupations déjà exprimées par l’Assemblée nationale (7).

 

De la même façon, le droit à la portabilité - consacré dans la proposition initiale du RGPD- a été repris par la loi pour une République Numérique, ce droit s’inscrivant par ailleurs dans le cadre du Marché unique numérique (8) et du courant du Free flow of non-personal data. (9)

 

La Loi pour une République Numérique a limité le champ d’application du droit à la portabilité envisagé de façon sectorielle dans le code de la consommation, alors que le RGPD ne prévoyait pourtant pas de restriction et consacré un tel droit à la française à l’article L224-42-1 dans la version à venir à partir du 25 mai 2018 du code de la consommation (le consommateur dispose en toutes circonstances d'un droit de récupération de l'ensemble de ses données). Or la portée de cet article devra aussi être appréciée avec celles des dispositions du RGPD, directement applicables et générales.

 

Si l’adoption de certaines dispositions du RGPD a été anticipée par la loi pour une République numérique, ce règlement n’en constitue pas moins un chantier important au vu des changements induits et des défis qu’il suscite.

 

Notamment parce que le RGPD constitue une révolution du cadre juridique des données à caractère personnel, révolution soulignée à juste titre par le Conseil d’Etat.

 

En effet, le RGPD introduit un concept novateur en droit de la protection des données personnelles, avec la notion d’accountability qui renforce la responsabilisation des entreprises et des parties prenantes (10) et qui a de nombreuses conséquences (nomination d’un Data Protection Officer (11) par exemple.

 

De nouveaux outils sont également mis en place avec la tenue d’un registre des activités de traitement, (12) l’obligation de réalisation d’études d’impact (13) ou encore les obligations au titre des principes de privacy by design et by default (14).

 

La suppression des formalités préalables constitue un changement notable qui doit être une nouvelle fois souligné. Alors que la LIL prévoyait au chapitre IV « Formalités préalables à la mise en œuvre des traitements » les régimes de déclaration, d’autorisation et de demandes d’avis à la CNIL, le RGPD supprime quasiment l’ensemble de ce régime de formalités préalables en raison de l’abondance des demandes, de la surcharge des autorités de contrôles et de la volonté de limiter les charges administratives (15).

 

Le projet de loi d’adaptation conserve cependant un régime d’autorisation préalable pour certains traitements (16) (données collectées pour le compte de l’Etat, données biométriques et données génétiques, les données comportant le numéro d’inscription des personnes au Répertoire national d’identification des personnes physiques (NIR).

 

Par ailleurs, au titre de ces innovations, le RGPD prévoit également un élargissement de la notion de données sensibles, élargissement qui concerne à la fois le champ d’application de la notion et le régime de protection lié. C’est le cas des données biométriques : ces dernières devenant désormais des données particulières, (17) des données génétiques et des données du NIR.

 

Ces éléments traduisent la complexité du contexte de ce processus d’adaptation du RGPD. Les futurs débats législatifs devront aussi se pencher sur le contenu de ce règlement et sur les défis qu’il suscite.

 

I. COMMENT INTERPRETER LE RGPD DANS LE CADRE DE SON ADAPTATION?

 

Un des difficultés majeures d’application pratique du RGPD est qu’il se fonde sur différentes notions-clés pour la mise en œuvre de ses obligations (nomination d’un DPO, réalisation d’étude d’impact, notification de données personnelles par exemple) sans pour autant les définir. En l’absence de telles précisions, une marge d’interprétation est laissée aux Etats-membres dans le cadre du processus d’adaptation législatif

 

Trois notions-clés du RGPD suscitent notamment des interrogations :

 

A/ Risque élevé

 

La notion de risque élevé est un critère pertinent pour la mise en œuvre d’une étude d’impact (article 35 du RGPD) ou pour la notification d’une violation de données à caractère personnel.

 

-          A ce titre, le considérant 86 énonce que : Le responsable du traitement devrait communiquer une violation de données à caractère personnel à la personne concernée dans les meilleurs délais lorsque cette violation est susceptible d'engendrer un risque élevé pour les droits et libertés de la personne physique afin qu'elle puisse prendre les précautions qui s'imposent.

 

Pourtant, la notion de risque élevé n’est pas définie par le RGPD même si les considérant 90 et 91 permettent de saisir ce que serait un risque élevé « par exemple, en raison de leur caractère sensible, lorsque, en conformité avec l'état des connaissances technologiques, une nouvelle technique est appliquée à grande échelle, ainsi qu'à d'autres opérations de traitement qui engendrent un risque élevé́ pour les droits et libertés des personnes concernées ».

 

De la même façon, le G29 a évoqué cette notion dans ses lignes directrices du 13 décembre 2017 sans la définir.

 

B/ Suivi des personnes à grande échelle

 

Cette notion est récurrente dans le RGPD et sert de critère d’appréciation pour la désignation d’un DPO et pour la réalisation d’une étude d’impact.

 

En effet, l’article 37 dispose qu’un DPO doit être désigné lorsque :

b)  les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ; ou

c)  les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l'article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10.

 

Par ailleurs, le RGPD dispose qu’une analyse d'impact relative à la protection des données (…) requise dans les cas suivants : (…)

b)  le traitement à grande échelle de catégories particulières de données visées à l'article 9, paragraphe 1, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10; ou

c)  la surveillance systématique à grande échelle d'une zone accessible au public.

 

Cette notion est précisée par le considérant 91 (sans valeur juridique) qui évoque des opérations de traitement à grande échelle qui visent à traiter un volume considérable de données à caractère personnel au niveau régional, national ou supranational, qui peuvent affecter un nombre important de personnes concernées.

 

Le G29 a dressé dans ses lignes directrices une liste de recommandations de critères pertinents (18)( le nombre de personnes concernées, soit en valeur absolue, soit en valeur relative par rapport à la population concernée, le volume de données et/ou le spectre des données traitées; la durée, ou la permanence, des activités de traitement des données; l’étendue géographique de l’activité de traitement) qui devront être précisés.

 

C/ Profilage

 

Pour mémoire, la Loi Informatique et Libertés ne donnait pas de définitions du profilage qui est défini à l’article 4.4 du RGPD comme toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique. Le profilage permettrait ainsi d’isoler certains aspects de la personnalité et de générer des résumés de personnalité. En complément, l’article 22 du RGPD (décision individuelle automatisée, y compris le profilage) pose le principe selon lequel la personne concernée a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire.

 

Par ailleurs, le G29, qui a rendu des lignes directrices concernant le profilage le 3 octobre 2017 dernier, (19) distingue trois formes de profilage à savoir (i) general profiling; (ii) decision-making based on profiling; and (iii) solely automated decision-making, including profiling.

 

Une telle interprétation sous-entendrait que l’article 22 ne s’appliquerait qu’à ces types de profilage, interprétation qui doit être confirmée.

 

Ces notions illustrent la difficulté pour les législateurs nationaux d’adapter le RGPD et de définir des règles cohérentes à l’échelle de l’Union européenne. A ce stade, les lignes directrices du G29 fournissent des compléments utiles au texte européen, sans préjuger de la valeur juridique qui leur sera conférée, dans l’attente des éventuelles interprétations jurisprudentielles.

 

II. QUELLE FUTURE MISE EN OEUVRE?

 

A/ Comment garantir la cohérence du futur dispositif ?

 

Dans le cadre de la procédure accélérée et comme vu ci-dessus, l’adaptation du RGPD se fera sur la base de la structure actuelle de la loi informatique et libertés de 1978, avant une future codification par voie d’ordonnance. Ce choix symbolique soulève cependant des problèmes de lisibilité et de sécurité juridique comme le relève à juste titre la CNIL dans son avis du 30 novembre 2017, difficultés qui pourraient être préjudiciables pour les responsables de traitement comme les personnes concernées.

 

Cette méthodologie est sujette à caution du fait :

 

-          de la difficulté d’identifier les redondances ou incompatibilités à supprimer, en l’absence de travaux exhaustifs ;

-          de l’absence de lisibilité des critères d’application territoriale du RGPD d’une part et des droits nationaux d’autre part, au vu des dérogations autorisées (par exemple à l’article 85 du RGPD en matière de presse. Comment garantir des dispositifs opérationnels et cohérents avec le règlement, d’un pays à l’autre à ce stade ?

-          de la difficulté d’éviter la reprise telle quelle des dispositions du RGPD alors que la Commission a rappelé ses exigences dans le cadre de l’adaptation du texte à travers sa Communication du 24 janvier dernier (COM, 2018,43). Il y est ainsi rappelé que les Etats-membres ne doivent pas reprendre directement les dispositions du texte sauf si de telles répétitions étaient nécessaires pour garantir la cohérence du cadre juridique ou l’intelligibilité des droits nationaux.

-          du caractère incomplet de cette loi d’adaptation (21) avant la refonte prévue par voie d’ordonnance ;

 

B/ Quel impact économique du RGPD ?

 

De nombreux acteurs économiques s’interrogent également sur l’impact économique de la mise en conformité du RGPD dans un contexte où les normes juridiques restent incertaines.

Le Conseil d’Etat s’est aussi interrogé sur l’impact de ce règlement et a ainsi relevé dans son avis que n’a pas été étudié le coût de la mise en œuvre du texte en particulier pour les entreprises, ainsi que ses conséquences budgétaires, pour l’Etat, ses établissements et les collectivités territoriales, n’ont pas été analysées. (22)

Le sujet de la mise en conformité des entreprises est également récurrent. Alors que certaines grandes entreprises ont communiqué sur leurs procédures de mise en conformité (23), d’autres entreprises ont indiqué ne pas se sentir prêtes pour faire face à ces changements législatifs. Ce point a notamment été signalé à l'occasion de la 12ème université de l'AFCDP par la présidente de la CNIL, Isabelle Falque-Pierrotin qui a rappelé les retards des entreprises pour recruter des délégués à la protection des données personnelles.

 

Se pose à ce titre la question des incitations ou des mécanismes de sensibilisation déployés, à l’instar de certains outils pratiques (à l’image du logiciel CNIL en matière de PIA) (24).

 

Autant de questions et d’éléments à suivre dans le cadre des travaux sur cette loi d’adaptation et notamment lors des discussions en séance publique à partir du 6 février prochain. Nous aurons l'occasion d'y revenir dans de prochains articles. 

 

REFERENCES

 

(1)     https://www.cnil.fr/fr/la-cnil-publie-son-avis-sur-le-projet-de-loi-relatif-la-protection-des-donnees-personnelles

(2)     Considérant 10 RGPD.

(3)     (Notamment concernant l’âge des enfants, où l’accord parental des nécessaire avant l’utilisation de services de la société de l’information. Les Etats-membres peuvent choisir un âge entre 13 ans minimum et 16 ans (article 8)).

(4)     N°4544 : rapport d’information assemblée nationale

(5)    https://www.legifrance.gouv.fr/eli/loi/2016/10/7/ECFI1524250L/jo  LOI n° 2016-1321 du 7 octobre 2016 pour une République numérique

(6)     Article 40.II. — Sur demande de la personne concernée, le responsable du traitement est tenu d'effacer dans les meilleurs délais les données à caractère personnel qui ont été collectées dans le cadre de l'offre de services de la société de l'information lorsque la personne concernée était mineure au moment de la collecte. Lorsqu'il a transmis les données en cause à un tiers lui-même responsable de traitement, il prend des mesures raisonnables, y compris d'ordre technique, compte tenu des technologies disponibles et des coûts de mise en œuvre, pour informer le tiers qui traite ces données que la personne concernée a demandé l'effacement de tout lien vers celles-ci, ou de toute copie ou de toute reproduction de celles-ci.

(7)     http://www.assemblee-nationale.fr/14/projets/pl3318-ei.asp

(8)     https://ec.europa.eu/commission/priorities/digital-single-market_fr

(9)     https://ec.europa.eu/digital-single-market/en/free-flow-non-personal-data

(10) (En créant par ailleurs de nouvelles catégories : coresponsable de traitement, créant un formalisme pour les contrats de sous-traitance, obligations accrues du sous-traitant etc.).

(11) Article 37 RGPD

(12) Article 30 RGPD

(13) Article 35 RGPD

(14) Article 25 RGPD

(15) Article 35. RGPD

(16) Page 7 de l’avis du Conseil d’État NOR : JUSC1732261L (point 22).

(17) Article 9 RGPD

(18) Lignes directrices du 13 décembre 2017 https://www.cnil.fr/sites/default/files/atoms/files/wp243rev01_fr.pdf

(19) Page 8-9 lignes directrices du 3 octobre 2017 du G29). 17/EN WP 251, Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679

(20) Article 8 - Après l’article 5 de la même loi, il est inséré un article 5-1 ainsi rédigé : « Art. 5-1 - Les règles nationales, prises sur le fondement des dispositions du règlement (UE) 2016/679 renvoyant au droit national le soin d’adapter ou de compléter les droits et obligations prévus par ce règlement, s’appliquent dès lors que la personne concernée réside en France, y compris lorsque le responsable de traitement n’est pas établi en France. « Toutefois, lorsqu'est en cause un des traitements mentionnés au 2 de l'article 85 du même règlement, les règles nationales mentionnées au premier alinéa sont celles dont relève le responsable de traitement, lorsqu’il est établi dans l’Union européenne. »

(21) Page 31, 32 Délibération n° 2017-299 du 30 novembre 2017 portant avis sur un projet de loi d’adaptation au droit de l’Union européenne de la loi n°78-17 du janvier 1978

(22) Avis du Conseil d’État, page 2. l’avis du Conseil d’État NOR : JUSC1732261L

(23) https://www.numerama.com/politique/324477-facebook-assure-quil-sera-pret-pour-le-nouveau-reglement-europeen-sur-les-donnees-personnelles.html

(24) https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil

PROTECTION DES DONNEES PERSONNELLES: Jérôme Deroulez a publié un article sur la protection et la sécurité des données dans la Semaine Juridique du 16 octobre 2017 (JCP G)

PROTECTION ET SECURITE DES DONNEES PERSONNELLES  

Alors que les « fuites » de données personnelles sont devenues un sujet médiatique, le sujet de la sécurité et de la protection des données personnelles constitue aujourd’hui un enjeu juridique sensible, en plus de l’impératif technique.

 

CNIL et renforcement de la protection des données personnelles

 

En effet, l’accroissement des pouvoirs de sanctions de la CNIL et des autorités de contrôle européennes, avec l’entrée en vigueur de la loi n°2016-1321 du 7 octobre 2016 pour une République numérique et du règlement général sur la protection des données personnelles UE 2016/679 (http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679 RGPD), crée une nouvelle donne notable.

 

Deux délibérations à noter en matière de protection des données personnelles

 

En témoignent deux délibérations de la CNIL prononcées les 18 et 20 juillet 2017 contre les sociétés HERTZ et OUICAR et qui délimitent concrètement les obligations à charge des responsables de traitement et de leurs sous-traitants.

 

Ces deux délibérations qui obéissent à un contexte spécifique en dépit de nombreux traits communs constituent un rappel utile à la veille de l’entrée en application du règlement général sur la protection des données (RGPD).

BLOCKCHAIN : Jérôme DEROULEZ a rédigé un article dans la Semaine Juridique du 18 septembre 2017 - "Blockchain et données personnelles, quelle protection de la vie privée?"

L’avenir de la blockchain ( https://twitter.com/JCP_G ) est en partie lié à la façon dont cette technologie intégrera les préoccupations relatives à la vie privée. Son développement économique passe ainsi par la prise en compte des législations et des réglementations en matière de compliance, de KYC ou de protection des données personnelles, gage de sécurité juridique et de confiance. Une telle étape peut sembler difficile sinon complexe au vu des spécificités de la blockchain, en apparence rétive à toute forme de régulation. Pourtant ce processus est déjà entamé et témoigne des usages envisageables de cette technologie de stockage et de transmission d’information au regard de la protection des données personnelles. http://www.tendancedroit.fr/wp-content/uploads/2017/09/EtudeJCPG-38.pdf  

Blockchain et RGPD

 

Le droit à la protection des données connaît un regain d’intérêt avec l’entrée en application le 25 mai prochain du règlement européen relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) d’une part et la jurisprudence active de la Cour de justice de Luxembourg d’autre part, comme en témoignent ses arrêts récents ou son avis du 26 juillet dernier au sujet des transferts de données passagers. La construction européenne du droit à la protection des données voit ainsi le champ d’application de ses dispositions s’étendre de façon importante, depuis les traitements relevant de la matière civile ou commerciale aux fichiers dits de souveraineté. De plus, le contrôle exercé par la Cour de justice sur les transferts internationaux de données et l’inclusion dans le champ d’application géographique du règlement des activités dirigées vers l’Union européenne contribuent à élargir encore les traitements de données visés.

 

Blockchain et effectivité de la vie privée

 

Par ailleurs le développement des nouvelles technologies suscite de nouveaux défis quant à l’effectivité du droit à la protection des données personnelles. En effet, l’essor des réseaux sociaux, la montée en puissance du cloud computing ou l’explosion du e-commerce sont autant de nouveaux paris à relever avec en filigrane la question de l’application extraterritoriale de la loi. Dans le même temps, les possibilités techniques d’interception des communications et des messageries se sont multipliées, facilitant la surveillance de la vie privée à grande échelle. L’irruption de la blockchain dans ce paysage mouvementé ajoute un élément de complexité supplémentaire.

 

Généralement définie comme une technologie de stockage et de transmission d’information, transparente, sécurisée et fonctionnant sans organe de contrôle, la blockchain présente l’intérêt et la réputation d’être sécurisée, distribuée et de pouvoir être partagée par tous ses utilisateurs, sans intermédiaire, chacun pouvant vérifier la validité de la chaîne. Technologie disruptive présentant de très nombreuses applications et potentialités, elle suscite une attention grandissante à la hauteur des investissements consentis et un intérêt marqué des régulateurs et des législateurs.

 

Privacy vs Blockchain 

 

La confrontation entre le droit à la protection des données personnelles et la technologie blockchain ouvre des champs d’analyse et de prospective très vastes : le développement de la blockchain pourrait-il entraver ou limiter le droit à la protection des données ? La blockchain est-elle la promesse sombre d’une forme d’identification ou de surveillance sans limite ? Comment la blockchain pourrait-elle intégrer les préoccupations liées au respect de la vie privée dans le cadre de son évolution ? Ces questions sont loin d’être théoriques aujourd’hui. En effet, cette problématique blockchain/vie privée fait l’objet de nombreux débats, en Europe et aux États-Unis suscitant aussi bien l’expertise des régulateurs, des législateurs, des universités et des centres de recherches que des communautés impliquées, en se caractérisant toutefois par une grande diversité des positions à la lumière de la complexité de cette technologie.

 

Le développement de la blockchain – comme la multiplication de ses cas d’usages – pourrait s’avérer un frein à la montée en puissance du droit à la protection des données personnelles du fait de ses caractéristiques techniques. Cette technologie pourrait également être entravée ou limitée du fait de réglementations peu incitatives, en réponse à des dérives régulièrement critiquées (anonymat, blanchiment, fraude etc.). Pour autant, force est de constater que le droit de la protection des données personnelles présente de nombreuses affinités avec la technologie blockchain, ne serait-ce qu’au regard de l’utilisation de cryptographie pour assurer la sécurité des données. Cet article évoquera donc les défis que la blockchain doit résoudre en matière de protection de la vie privée et des données personnelles comme les solutions qui pourront être apportées le cas échéant, cette technologie pouvant constituer le creuset de techniques novatrices de protection des données tout en sécurisant les nouveaux marchés liés au Big Data et au numérique.

 

DONNEES PERSONNELLES : nouveau coup de semonce de la Cour de Luxembourg

La Cour de Justice de l'Union européenne a rendu le 26 juillet dernier son avis au sujet de l'accord PNR UE / Canada suite à la demande émise par le Parlement européen le 30 janvier 2015 (http://curia.europa.eu/juris/document/document.jsf?text=&docid=193216&pageIndex=0&doclang=fr&mode=lst&dir=&occ=first&part=1&cid=964955). Dans son avis, la Cour a estimé que cet accord était incompatible avec la Charte des droits fondamentaux. Elle a marqué une nouvelle étape dans sa construction jurisprudentielle du droit à la protection des données personnelles en Europe.

Contenu de l'avis PNR UE/Canada

De quoi s'agit-il? Comme avec les Etats-Unis ou l'Australie, l'Union européenne a négocié cet accord avec le Canada afin de pouvoir transférer les données des passagers aériens (données PNR) à des fins de lutte contre le terrorisme et d'autres formes de criminalité transnationale. Ces données énumérées dans l'accord peuvent dès lors être conservées, utilisées voire transférées vers des pays tiers par les autorités canadiennes. Du fait de la sensibilité de tels transferts, ces négociations ont été marquées par des passes d'armes entre Conseil et Parlement européen. La saisine de la Cour pour avis, avant conclusion de l'accord, avait pour objet de vérifier la base juridique de l'accord et sa compatibilité avec la Charte et les traités européens.

Appréciation de la CJUE sur l'accord PNR

Analyse de la CJUE. La Cour a d'abord rappelé que cet accord devait être apprécié dans sa double composante, sécurité publique et protection des données passagers, sanctionnant l'absence de base juridique dédiée (en l'espèce l'article 16§2 TFUE). Si la Cour n'a pas remis en cause le principe du transfert de ces données au vu de l'objectif de protection de la sécurité et de la sûreté publique, elle a néanmoins souligné les incompatibilités entre certains points de l'accord et la charte des droits fondamentaux.

Parmi ses réserves figurent notamment la délimitation des données PNR à transférer, le transfert de données sensibles, l'absence de limitation au strict nécessaire des données PNR comme les conditions de leur communication à des autorités publiques canadiennes ou encore l'absence de surveillance du respect des règles de l'accord par une autorité indépendante.

En conséquence, la Cour a dressé la liste des points devant être repris pour que cet accord puisse être compatible avec la Charte des droits fondamentaux. Liste des points qui pourrait être complexe à mettre en oeuvre (par exemple sur le droit à l'information individuelle des passagers aériens en cas d'utilisation de leurs données).

Quelles suites pour les accords PNR ?

Conséquences. Si cet avis témoigne d'une construction étape par étape d'une jurisprudence méthodique de la CJUE en faveur du droit à la protection des données personnelles, il devrait aussi avoir de nombreuses conséquences politiques et juridiques. Quid du devenir de cet accord qui devait encore être conclu et de la période transitoire mise en place pour encadrer les transferts de données PNR? Comment adapter l'accord et surtout convaincre le Canada de prendre en compte l'avis de la Cour? Quelle portée vis à vis des accords PNR existants ou de la directive PNR-UE? Quelle portée pour les compagnies aériennes et les prestataires privés assurant la mise en oeuvre de ces transferts?

Cette liste non exclusive témoigne de l'importance de cet avis qui devrait également entraîner une réévaluation des positions européennes et des directives de négociations de l'Union européenne face à ses partenaires européens. Le signal envoyé par la CJUE a dès lors clairement une portée internationale et marque une nouvelle étape dans l'encadrement et la limitation des transferts de données en masse.

Un nouvel avertissement?

De façon plus générale, cet avis marque l'insistance de la Cour à dégager des marqueurs clairs d'un niveau efficace de protection des données personnelles. Qu'il s'agisse de la lutte contre le terrorisme (PNR, directive rétention des données) ou des transferts de données en matière civile ou commerciale (Safe Harbor), la Cour a dégagé de nombreux critères permettant d'attester ou non du respect des règles européennes.

A la veille de l'entrée en vigueur en mai 2018 du règlement général sur la protection des données personnelles, c'est un nouvel avertissement qui est adressé, bien au-delà du seul cadre des données PNR.

http://curia.europa.eu/juris/document/document.jsf?text=&docid=193216&pageIndex=0&doclang=fr&mode=lst&dir=&occ=first&part=1&cid=621924

Silhouettes of business people traveling on airport; waiting at the plane boarding gates.

Silhouettes of business people traveling on airport; waiting at the plane boarding gates.

PROTECTION DES DONNEES, RESPECT DE LA VIE PRIVEE ET LIBERTE D'EXPRESSION

Arrêt intéressant de la CEDH du 27 juin 2017 (Grande Chambre - Aff Satakunnan Markkinapörssi OY et Satamedia OY c/ Finlande. Requête 931/13) s'agissant de la conciliation entre protection des données, protection de la vie privée et liberté d'expression, à propos de la publication par la presse finlandaise de données fiscales de personnes physiques.

Historique

La CJUE d'abord saisie en 2008 d'une question préjudicielle dans ce dossier (C-73-07) avait estimé que ces activités pouvaient être qualifiées de traitements de données à caractère personnel tout en reconnaissant que leur divulgation pouvait entrer dans l'activité de journalisme et donc être couverte par la dérogation prévue par la directive 95/46.

Saisie en 2010, la CEDH a relevé les normes pertinentes de l'Union européenne dont la charte des droits fondamentaux et fait directement référence au futur règlement UE 2016/679 -et à ses dérogations aux fins de journalisme héritées de la directive 95/46.

Elle a aussi cité la jurisprudence de la CJUE sur la protection des données et la liberté d'expression, au vu de ses multiples rappels soulignant que les dispositions du droit européen sur la protection des données devaient être interprétées à la lumière des droits fondamentaux garantis par la Convention et par la Charte.

Liberté de la presse, protection des données et vie privée

Après un rappel exhaustif de la jurisprudence de la CJUE en matière de protection des données, la CEDH a noté les spécificités de cette affaire (au vu du large accès du public aux données fiscales en cause) et souligné les principes généraux gouvernant sa propre jurisprudence, en terme de liberté de la presse, de droit à la vie privée et de protection des données.

Elle a estimé enfin qu'il n'y avait pas eu de violation de l'article 10 de la convention relatif sur la liberté de la presse et que les autorités finlandaises avaient tenu compte des principes et des critères de sa jurisprudence, quant à la mise en balance du droit au respect de la vie privée et du droit à la liberté d'expression, en agissant dans les limites de leur marge d'appréciation et en ménageant un juste équilibre entre les intérêts concurrents en jeu.

Cet arrêt est intéressant à plus d'un titre, dans la mesure où il éclaire les principes généraux gouvernant les jurisprudences de la CEDH et de la CJUE en matière de respect de la vie privée, de protection des données personnelles et de droit à la liberté d'expression, en fournissant un panorama exhaustif.

L'arrêt en question souligne aussi les apports croisés de ces différentes jurisprudences et la double protection apportée à ces droits, tant par la Cour de Luxembourg que par la Cour de Strabourg et leur souci d'un exercice concret de ces droits. Il rappelle enfin, à travers les opinions dissidentes, les débats sur la notion d'activité journalistique et ses contours comme sur la mise en balance de droits concurrents.

Protection des données, CJUE et CEDH

Il sera intéressant d'observer à l'avenir comment la montée en puissance du droit à la protection des données personnelles, consacré comme droit fondamental par le traité de Lisbonne continuera à être traduite concrètement dans les futures jurisprudences des deux Cours. A noter également la référence au GDPR (règlement 2016/679) par la CEDH.

PRIVACY SHIELD: AVERTISSEMENT DU PARLEMENT EUROPEEN

BRUXELLES: Le Parlement européen a adopté à une large majorité (306 votes en faveur, 240 votes contre) le 6 avril une résolution faisant part de ses inquiétudes au sujet du niveau de protection des données assuré par l'accord transatlantique Privacy-Shield. Au vu des nouvelles dispositions élargissant le périmètre de la NSA (notamment les nouvelles dispositions intervenues en janvier 2017 autorisant la collecte de données personnelles en masse, en dehors du cadre judiciaire) et des votes intervenus au Congrès en mars dernier (cf notre dernier article), les parlementaires européens estiment que le Privacy Shield pourrait être mis en cause. Ce vote est une première alarme à destination de la Commission et des autorités américaines avant l'évaluation conjointe qui doit avoir lieu en septembre prochain.

A travers cette résolution, le Parlement européen rappelle son inquiétude quant aux garanties concrètes apportées en matière de protection des données personnelles par les autorités américaines et de l'effectivité de leur engagement à mettre en oeuvre les dispositions souhaitées par l'Union européenne. A défaut de réponse claire, cet accord pourrait être remis en cause, alors que plus de 1900 entreprises ont adhéré à ses principes.

 

VIE PRIVEE UE/US : Le Congrès américain a révoqué les règles relatives à la vie privée dans le secteur des télécoms : quelles conséquences ?

Après le Sénat, la chambre des Représentants a supprimé hier les règles protectrices de la vie privée qui avaient été imposées aux fournisseurs d’accès Internet. Ces règles qui n’étaient pas encore applicables imposaient à ces sociétés de recueillir le consentement de leurs clients avant de commercialiser leurs données (par exemple leur historique de navigation). Ce vote constitue un nouveau signal de recul sur le terrain de la vie privée et la Commission européenne s’est inquiétée ce matin de ces nouvelles remises en causes des droits des citoyens européens sur le territoire américain, à l’occasion du traitement de leurs données personnelles.

A titre provisoire, plusieurs conséquences sont envisageables :

  • Une remise en cause éventuelle du Privacy Shield UE-US, au vu de l’amoindrissement des garanties apportées par les Etats-Unis alors que ces garanties constituent un pan essentiel de cet accord (du fait des exigences formulées par le droit européen et de la jurisprudence de la CJUE) ;

  • Une déstabilisation des autres accords existants qui incluent des volets « protection des données personnelles » : c’est le cas par exemple de l’accord concernant le transfert des données passagers (PNR) ;

  • Le risque d’une évolution législative diamétralement opposée entre les Etats-Unis et l’Union européenne en termes de protection des données personnelles, rendant le cadre juridique applicable plus complexe pour l’ensemble des acteurs économiques ;

  • Des difficultés accrues pour les opérateurs devant appliquer et respecter tant les législations européenne et américaine en la matière ;

  • La montée d’une forme d’inquiétude quant au traitement et à l’utilisation des données personnelles par ces fournisseurs d’accès internet, inquiétude qui pourrait à terme générer des risques de réputation ou favoriser la montée en puissance de solutions alternatives.

Le déplacement de V. Jourova à Washington la semaine prochaine au sujet du Privacy Shield sera une occasion de tester les préoccupations européennes comme leur accueil par les autorités américaines.

Lock on the laptop keyboard background

Lock on the laptop keyboard background

PROTECTION DES DONNEES PERSONNELLES: Jérôme DEROULEZ est intervenu le 9 décembre à Bruxelles (DBF) au sujet du droit de la concurrence et de la détention de données.

PROTECTION DES DONNEES : Jérôme DEROULEZ est intervenu le 9 décembre à Bruxelles (DBF) au sujet du droit de la concurrence et de la détention de données. Droit de la concurrence et protection des données (https://twitter.com/dbfbxl/status/807210302743920640?lang=fr ) :

 

Cette session organisée par la Délégation des Barreaux de France avait pour objet d'évoquer les enjeux croisés du droit de la concurrence, de la détention de données, du Big Data et de la protection des données. ( https://www.dbfbruxelles.eu/wp-content/uploads/2016/12/PROGINSCRIPTIONCONCURRENCE.pdf )

 

De nombreux points ont été évoqués et notamment la possibilité d'une appréciation ou non par les autorités de la concurrence du respect ou non des règles de protection des données personnelles. Ou de l'impact de la législation sur la protection des données sur d'autres politiques et notamment en matière de concurrence. Les récents rapports des autorités française et allemande de la concurrence ont été évoqués à ce sujet ( http://www.autoritedelaconcurrence.fr/doc/rapport-concurrence-donnees-vf-mai2016.pdf ).

L’Union européenne doit-elle réglementer l’Internet des objets ?

Maison intelligente, voiture connectée, smart city, e-santé… les domaines d’application de l’internet des objets (IoT) ne cessent de croître et constituent selon certains une troisième révolution de l’internet[1] en partie liée à l’accroissement du volume de données mises en ligne. A l’horizon 2020, le nombre d’objets connectés est estimé entre 20 et 50 milliards, avec un impact sur l’économie mondiale compris entre 2.000 et 5.000 milliards d’euros par an. Le déploiement de l’internet des objets soulève aujourd’hui de nombreuses questions techniques (initiatives 5G en Europe et aux Etats-Unis, coûts de gestion des réseaux, mise en place de chaînes de valeurs complexes). Il suscite aussi de nombreux défis en terme de protection de la vie privée, de confidentialité, de cyber-sécurité ou encore d’encadrement des données personnelles générées et collectées.

Alors que ces technologies ne connaissent pas de frontière et sont conçues le plus souvent avec une ambition globale, leur déploiement ne peut ignorer les exigences de l’Union européenne au regard du droit à la protection des données personnelles, droit consacré par l’article 16 du traité sur le fonctionnement de l’Union européenne (TFUE) et par la charte des droits fondamentaux.

Si l’IoT ne connaît pas encore de dispositif législatif spécifique à l’échelle de l’Europe, une réflexion s’est engagée en son sein depuis plusieurs années quant aux fondamentaux et aux principes qui pourraient être dégagés. Et l’adoption du paquet « protection des données » pourrait donner un nouvel élan à ces débats.

En effet, l’avenir de l’Internet des Objets et la croissance exponentielle de la masse des données générées, collectées, stockées et éventuellement traitées ou transférées constitue un sujet que l’Union européenne ne peut laisser de côté.

D’abord pour garantir le développement de ce secteur (en termes de sécurité ou de fiabilité) mais aussi pour lui apporter des garanties fortes.

Faut-il pour autant un cadre spécifique ou les règles existantes sont-elles suffisantes ?

S’il n’y a pas de consensus quant à la plus-value qu’apporterait une législation européenne spécifique, la réflexion est néanmoins engagée quant au cadre ou aux principes qui devraient tout de même encadrer l’IoT.

Ainsi, une première contribution a été apportée par le groupe article 29 (institué par la directive 95/46 et dit G29). Ce dernier a adopté en septembre 2014 un avis[2] sur l’internet des objets, pour contribuer à une application uniforme du cadre européen existant, assorti de recommandations pratiques ciblées selon les différents acteurs.

Le G29 a d’emblée pointé que des développements incontrôlés de l’internet des objets pourraient conduire à des formes de surveillance illégales contraires au droit de l’Union européenne. Il a identifié 6 types de risques posés par ces objets :

  • le manque de contrôle comme le caractère asymétrique des flux d’informations ;

  • la qualité du consentement par l’usager ;

  • les usages potentiels des données « brutes » transmises et leur utilisation à des fins sans lien avec leur collecte originelle ;

  • les risques de profilage et de surveillance de la vie privée avec la multiplication des capteurs ;

  • les limitations à la possibilité de demeurer anonyme lors de l’utilisation de certains services ;

  • la sécurité, avec la nécessité de veiller à toutes les étapes du développement de ces outils à des critères de confidentialité, d’intégrité et de sécurité maximales

Le G29 soulignait aussi les obligations pesant sur les parties prenantes de l’Internet des objets, dans les cadres prévus par la directive 95/46 et la directive 2002/58 (« e-privacy ») lorsqu’elles trouvent à s’appliquer, à savoir : conditions du consentement, base légale du traitement de données, collecte loyale et proportionnée des données, traitement spécifique des données sensibles, exigences en terme de transparence et sécurité des traitements. A titre d’exemple, le G29 rappelait l’exigence d’un consentement explicite pour les données sensibles et plus particulièrement les données de santé.

Dans ses conclusions provisoires, le G29 a demandé :

  • le recours systématique à des études d’impact ;

  • la suppression des données non utilisées et collectées ;

  • la possibilité pour les « utilisateurs » de contrôler leurs données et l’usage qui en est fait (au-delà de l’information qui doit leur être apportée) ;

  • la limitation des possibilités de localiser ou d’identifier en continu une personne.

En second lieu, un document de travail du Parlement européen[3] de septembre 2015 consacré au Big Data et intervenu pendant la  négociation du paquet « protection des données » a fait état d’une position plus offensive, en rappelant d’abord que la règlementation de l’IoT devait respecter le droit fondamental à la protection des données personnelles garanti par la Charte des droits fondamentaux.

Cette étude a repris les exigences formulées par le G29 afin de renforcer le contrôle effectif des usagers sur leurs données personnelles, d’améliorer la qualité du consentement lors du recueil des données et de garantir un niveau élevé de protection de ces données lors de transferts à des tiers ou hors de l’Union européenne, sujet récurrent de préoccupation pour le Parlement européen.

Enfin, le règlement « protection des données » adopté le 14 avril 2016 a créé un nouveau cadre pour l’internet des objets.

Alors même qu’il ne comprend pas de dispositions spécifiques à ce domaine, le règlement reprend certaines préconisations du G29, notamment en consacrant les principes de privacy-by-design (protection de la vie privée dès la conception de l’objet) et privacy-by-default (protection de la vie privée par défaut), en apportant une boite à outils en matière de conformité ou en renforçant le niveau des sanctions (par exemple dans le cas des failles de sécurité). Les nouvelles dispositions renforçant la vie privée (droit à l’oubli ou à la portabilité des données) vont également dans le sens d’une plus grande information des usagers vis-à-vis des acteurs du numérique.

Ce règlement qui sera applicable en avril 2018 constituera l’une des bases de la règlementation de l’internet des objets et fournira la base de toute réflexion future sur des dispositions plus spécifiques.

Le chantier de la révision de la directive vie privée intéressera aussi les acteurs de l’IoT.

La Commission européenne a ouvert une consultation publique sur ce texte jusqu’au 5 juillet prochain, avec trois objectifs :

  • assurer la cohérence entre cette directive et le paquet protection des données (par exemple sur la notification des failles de sécurité) ;

  • modifier le cas échéant les règles de la directive au vu des innovations technologiques et des nouveaux acteurs émergeant dans le domaine des communications électroniques ;

  • renforcer la sécurité et la confidentialité des communications à travers l’Union européenne.

Même si la Commission n’a pas encore communiqué sur les dispositions du texte qu’elle souhaite réviser, cette consultation est importante et l’enjeu est de taille pour les opérateurs et les acteurs du secteur des télécommunications puisque le futur texte constituera avec le règlement « protection des données » un socle règlementaire révisé pour l’internet des objets.

Lorsque ces chantiers législatifs seront terminés, quels pourront être les arguments de la Commission européenne pour proposer une –éventuelle- législation spécifique ?

Cette dernière a déjà évoqué quelques préoccupations et signalé des difficultés comme la fragmentation entre les politiques industrielles nationales, le risque de moindre inter-opérabilité des standards[4] ou encore l’insécurité juridique des transferts hors Union Européenne des données personnelles collectées dans le cadre de l’IoT.

La Commission sait qu’il sera difficile de militer en faveur d’une législation spécifique à l’internet des objets. C’est en effet la position d’une majorité d’acteurs du secteur et notamment de l’AIOTI (Alliance for Internet of Things Innovation[5]) qui redoutent une règlementation qui ne serait pas « technologiquement neutre » et qui figerait l’évolution extrêmement rapide de ce secteur, argument largement recevable et qui avait été souvent repris lors de la négociation du « paquet protection des données ».

Le message de la Commission européenne est néanmoins clair, selon nous. Aujourd’hui c’est aux opérateurs de renforcer la sécurité de l’IoT de façon générale. En l’absence d’initiatives concrètes et effectives, notamment dans le domaine de la protection des données personnelles, elle interviendra pour fixer les règles du jeu, au besoin en s’appuyant sur le Parlement européen.

 

[1] L’internet des objets (page 156) in La protection des données personnelles. Guillaume Desgens-Pasanau. Lexis Nexis, décembre 2015

[2] Avis du groupe de l’article 29 numéro 8/2014 sur les récents développements de l’internet des objets. 16 septembre 2014.

[3] http://www.europarl.europa.eu/RegData/etudes/STUD/2015/536455/IPOL_STU(2015)536455_EN.pdf

[4] Document de travail de la Commission européenne – Advancing the Internet of Things in Europe. 19 avril 2016 SWD(2016)110/2

[5] Rapport de l’AIOTI – WG Policy du 15 octobre 2015

PRIVACY SHIELD ET PROTECTION DES DONNEES: Publication par Jérôme Deroulez d'un article dans le Village de la Justice

Article paru dans le Village de la Justice le 19 février 2016 - ( https://www.village-justice.com/articles/sphere-securite-Safe-Harbour,21514.html )  

Le 6 octobre 2015, la Cour de justice de l’Union européenne (CJUE) a invalidé la décision de la Commission européenne du 26 juillet 2000 (dite « Safe Harbour ») qui constatait que les Etats-Unis assuraient un niveau de protection adéquat aux données transférées depuis l’Union européenne, marquant sa préoccupation pour la protection des données personnelles.

Le 2 février dernier, la Commission européenne a annoncé avoir trouvé un accord avec les autorités américaines sur un « bouclier de protection » destiné à remplacer le « Safe Harbour », accord dont le contenu devrait être rendu public dans les prochaines semaines. « Bouclier de papier » selon ses détracteurs, socle plus protecteur des droits fondamentaux pour la Commission. Un état des lieux s’impose.

 

Rappel:

 

La décision «  Safe Harbour » a été attaquée par Maximilian Schrems, ressortissant autrichien et utilisateur de Facebook depuis 2008, qui avait déposé plainte auprès de l’autorité irlandaise de protection des données compétente du fait de l’installation en Irlande des serveurs européens de Facebook. Suite au rejet de cette plainte par l’autorité de contrôle irlandaise, M. Schrems avait introduit un recours devant la Haute cour de justice irlandaise. Celle-ci a sursis à statuer et saisi la CJUE d’une question préjudicielle afin de déterminer si l’autorité de contrôle nationale saisie était absolument liée par la décision d’adéquation de la Commission et, dans le cas contraire, si cette dernière autorité pouvait mener sa propre enquête.

 

Répondant à cette question préjudicielle, la CJUE a jugé que l’existence d’une décision d’adéquation de la Commission n’avait pas pour effet d’empêcher une autorité nationale de contrôle d’enquêter sur une plainte alléguant qu’un pays tiers n’assurait pas un niveau de protection adéquat et le cas échant de suspendre le transfert des données. Elle a également invalidé la décision « Safe Harbour ».

 

PROTECTION DES DONNEES ET PRIVACY SHIELD

 

Cet arrêt revêt une portée fondamentale en ce qui concerne le droit de la protection des données en Europe, à la suite de l’arrêt Digital Right Ireland C-293/12 du 8 avril 2014, la CJUE rappelant au législateur européen la nécessité de prévoir des garanties effectives et concrètes, quitte à remettre en cause l’équilibre législatif et règlementaire européen actuel. Il emporte aussi de nombreuses conséquences.

 

Un arrêt et des réactions en chaîne

 

Suite aux délais fixés par le groupe de travail article 29 (dit G29) regroupant les autorités de contrôle en matière de protection des données, la Commission européenne s’était engagée à négocier un nouveau texte avant la fin du mois de janvier pour mettre un terme à la situation d’insécurité juridique ouverte par l’invalidation du Safe Harbour.

 

Le 2 février, la Commission a annoncé avoir trouvé un accord avec les Etats-Unis sur la base d’un nouveau « bouclier de protection » (« privacy shield »), sensé remplacer et améliorer le Safe Harbor sans donner le sentiment d’un Safe Harbor bis, un tel outil risquant d’emblée de faire l’objet de vives contestations par le Parlement européen et notamment sa commission des libertés civiles (LIBE).

 

Ce projet (« privacy shield ») n’a pas encore été rendu public. La Commission a publié un communiqué de presse évoquant ses grandes lignes, laissant cependant la porte ouverte à toutes les conjectures en dépit des termes rassurants qu’elle a utilisés :

  • obligations plus fortes mises à la charge des entreprises américaines exploitant les données de citoyens européens et renforcement des contrôles exercés par le département du commerce américain grâce à une coopération accrue avec les autorités de contrôle européennes ;

  • nouveaux mécanismes de contrôle des accès des autorités publiques américaines aux données concernées, monitoring régulier et suivi annuel conjoint de l’accord ;

  • mise en œuvre de plusieurs types de recours effectifs, sans précision, et notamment de modes alternatifs gratuits. Un nouveau médiateur doit aussi être désigné s’agissant d’accès possibles par les autorités nationales en matière de renseignement.

 

A la suite de ces déclarations, le collège des commissaires s’est engagé à présenter un projet de décision d’adéquation, après avis du G29 et consultation du comité des représentants du Conseil (comité article 31), conformément à la procédure prévue par les articles 25 et 31 de la directive 95/46/CE.

 

PROTECTION DES DONNEES ET TRANSFERTS DE DONNEES HORS UE

 

De son côté, lors de sa réunion des 2 et 3 février 2016, le G29 a rappelé sa très grande vigilance sur les conditions dans lesquelles des données pouvaient être transférées de l’Union européenne vers les Etats-Unis. Il a aussi souligné de façon liminaire, faute de texte à ce stade, que quatre exigences devraient être remplies :

  • traitement fondé sur des règles claires, précises et accessibles ;

  • application des principes de nécessité et de proportionnalité en lien avec les objectifs légitimes poursuivis ;

  • existence d’un mécanisme de contrôle indépendant d’une part et ;

  • voies de recours concrètes et effectives ouvertes aux personnes physiques d’autre part.

 

Le G29 a souligné ses préoccupations comme ses doutes au vu du cadre américain en vigueur.

 

Il a enfin marqué la nécessité de disposer avant fin février du contenu de l’accord pour un examen détaillé, se plaçant ainsi en position d’arbitre, avant des discussions décisives. 
Le Parlement européen (et notamment la commission LIBE) n’est associé qu’à la marge à cette procédure (dans le cadre du contrôle de l’exercice des compétences d’exécution de la Commission), ce qui ne l’empêchera pas de rester impliqué politiquement et de veiller aux équilibres du futur accord.

 

En tout état de cause, l’accord sur le futur « bouclier de protection » est lié à un compromis sur la mise en œuvre de voies de recours effectives.

 

RECOURS ET PROTECTION DES DONNEES

 

L’existence de voies de recours effectives, clé de voute d’un accord sur le futur « Privacy Shield » ?

 

Il faut souligner tout d’abord que la CJUE avait rappelé dans son arrêt du 6 octobre 2015 qu’une règlementation ne prévoyant « aucune possibilité pour le justiciable d’exercer des voies de droit afin d’avoir accès à des données à caractère personnel le concernant […] ne respecte pas le contenu essentiel du droit fondamental à une protection juridictionnelle effective tel que consacré à l’article 47 de la Charte des droits fondamentaux », marquant l’importance de ce droit (§95).

 

De plus, la question des voies de recours constitue depuis une dizaine d’années l’un des points d’achoppement marquant des négociations transatlantiques en matière de protection des données, notamment dans le cadre du transfert des données PNR ou de l’accord TFTP. Si des compromis le plus souvent provisoires et assortis de clauses de rendez-vous ont pu être apportés, la jurisprudence de la CJUE fixe dorénavant des perspectives beaucoup plus exigeantes.

 

Il convient aussi de rappeler que l’existence de voies de recours a par ailleurs été insérée dans le futur règlement protection des données, comme une des conditions devant être prise en compte « notamment » par la Commission pour évaluer le caractère adéquat du niveau de protection (article 41 §2 a). Cette condition est un marqueur clair (avec d’autres) des discussions à venir.

 

La négociation du futur accord « parapluie » UE-USA présenté comme un socle de garanties et de droits au regard des transferts de données consentis par l’Union européenne en matière répressive est l’un des terrains où se discute le plus âprement cette question : en effet, cet accord finalisé le 8 septembre 2015 doit encore être formellement conclu et approuvé par le Parlement européen, en vertu des dispositions de l’article 218 du traité TFUE.

 

Pour convaincre le Parlement, la Commission avait souligné l’extension envisagée des dispositions du Privacy Act américain de 1974 aux citoyens européens à travers un « Judicial Redress Act » qui devrait être adopté avant la conclusion de l’accord « parapluie » : le texte a été voté par le Congrès le 11 février dernier, dans l’attente de sa signature à priori rapide par Barack Obama.

 

Si la portée juridique de ce texte reste à apprécier concrètement, sa portée politique et symbolique va largement au-delà de l’accord « parapluie » et témoigne que la mise en place de voies de recours effectives constitue un enjeu clé des négociations dans le domaine de la protection des données.

 

Le Parlement européen reste à convaincre, l’avis négatif de son service juridique du 14 janvier 2016 sur le projet d’accord « parapluie » UE-USA fondé sur l’absence de véritable voie de recours en témoigne.

 

QUEL PRIVACY SHIELD AU VU DU NOUVEAU CADRE EUROPEEN DE PROTECTION DES DONNEES?

 

Les futurs débats au sein du Conseil et du Parlement en vue de la conclusion de cet accord auront dès lors par effet de capillarité des connexions directes avec les discussions à venir sur le « Privacy Shield », et ce en dépit de leurs différences de nature juridique et de modalités d’adoption.

 

Les discussions entre l’Union européenne et les Etats-Unis dans ce domaine doivent-elles se concentrer sur ce point unique ? Certainement pas. Un document de travail du Parlement européen ébauche une comparaison des législations européennes et américaines en matière de protection des données et relève qu’au-delà de la question d’un recours effectif, de nombreuses autres garanties doivent également être apportées (supervision indépendante, principe de minimisation, surveillance et notification des failles de sécurité etc…), ces critères se rapprochant de ceux édictés par le G29 dans l’attente de la publication du texte du « Privacy Shield ».

RGPD : Publication par Jérôme Deroulez dans le Village de la Justice au sujet de la protection des données personnelles

RGPD et protection des données personnelles: vers de nouvelles règles européennes ( https://www.village-justice.com/articles/protection-des-donnees,21234.html )  

Le « paquet protection des données » doit être formellement adopté au printemps 2016, suite à l’accord intervenu entre le Parlement européen et le Conseil de l’Union européenne en décembre dernier, pour une entrée en application dans un délai de deux ans.

 

Bref rappel chronologique sur le RGPD  :

 

Ce « paquet protection des données » (règlement et directive) avait été proposé par la Commission européenne le 25 janvier 2012, afin de remplacer et de moderniser la directive 95/46 et la décision-cadre de 2008, sur la protection des données personnelles.

Le processus de négociation du RGPD depuis 2012 a été particulièrement complexe du fait des mutations intervenues depuis 1995 dans le domaine numérique et de leurs conséquences pratiques sur la protection des données (essor des usages liées à Internet, respect de la vie privée, propriété des données...).

Le nombre des acteurs potentiellement concernés par cette modernisation législative a également connu une croissance exponentielle, alors que la protection des données personnelles est devenu un enjeu de société très largement médiatisé (droit à l’oubli, surveillance de masse, big data, utilisation du cloud etc).

Du fait de ces éléments, le processus législatif de co-décision [1] entre Conseil, Parlement et Commission européenne a été le théâtre de divergences d’appréciation fortes entre institutions, voire en leur sein (entre Etats membres ou entre groupes politiques européens).

Le remplacement de la directive 95/46 par un règlement a aussi constitué un véritable enjeu puisque le futur texte sera un acte normatif à portée générale et contraignant pour les institutions, les Etats membres et les particuliers, sans transposition nationale.

En tout état de cause, l’accord intervenu entre le Parlement européen et le Conseil, marque une étape supplémentaire dans la construction du droit effectif à la protection des données personnelles au sein de l’Union européenne :

  • Il intervient en effet après deux arrêts marquants de la Cour de Justice de l’Union européenne en 2014 et 2015 [2] qui ont consacré ce droit et rappelé au législateur européen la nécessité de prévoir des garanties effectives et concrètes ;

  • Ce paquet législatif apporte aussi une nouvelle traduction du droit à la protection des données personnelles prévu par le traité sur le fonctionnement de l’Union européenne (article 16 TFUE) [3], droit fondamental garanti par la Charte des droits fondamentaux [4].

Quelles premières conclusions retirer du règlement (RGPD) ?

La portée du règlement doit s’apprécier au regard des objectifs initiaux de la Commission européenne (1/ renforcement du niveau de protection des données personnelles, 2/ facilitation des flux de données au sein du marché intérieur et 3/ réduction des charges administratives).

Après 10 trilogues, le futur règlement apparaît évidemment comme un texte capital (plus de 200 pages, 91 articles, au moins une centaine de considérants) qui imposera une remise à niveau importante, tant pour les opérateurs privés que les autorités publiques.

Le G29 [5] qui regroupe les autorités de contrôle nationales comme la CNIL a déjà fait part de sa disponibilité quant aux travaux à conduire pour mener à bien ce processus.

 

1/ S’agissant du renforcement du niveau de protection des données personnelles, le RGPD affirme ses ambitions avec entre autres :

 

  • Un champ d’application matériel et géographique du règlement ambitieux qui opère une refonte des articles 3 et 4 de la directive 95/46 (et revoit notamment des règles de détermination du droit applicable) ;

  • Le renforcement des conditions du consentement (article 7) et en particulier du consentement parental ;

  • La consécration du droit à l’oubli (article 17), mesure phare pour la Commission lorsqu’elle avait décliné sa proposition et du droit à la portabilité des données (article 18) ;

  • L’encadrement du profilage (article 20) ;

  • La mise en œuvre d’un mécanisme élargi de notification des failles de sécurité (articles 31 et suivants).

Ces dispositions sont-elles à la hauteur des ambitions ?

Elles marquent la volonté du Conseil comme du Parlement de créer des marqueurs tangibles et des nouveaux droits mais elles pourraient au final aboutir à une réalité plus contrastée au vu des nombreuses exceptions crées par le règlement ou reprises de la directive 95/46.

 

2/ Le règlement a aussi pour finalité de faciliter les flux de données au sein du marché intérieur :

 

La dimension « marché intérieur » de ce règlement a été régulièrement soulignée par la Commission, avec en filigrane la nécessité de créer un environnement législatif favorable aux futurs champions européens du numérique.

Plusieurs dispositions constituent des avancées :

  • Le remplacement de la directive 95/46 par un règlement devrait de façon générale favoriser la mise en œuvre de normes européennes uniformes, en l’absence de transpositions nationales (en dépit de certains renvois spécifiques aux Etats membres) ;

  • Le chapitre V - transferts de données personnelles vers des Etats tiers ou des organisations internationales (articles 40 et suivants) constitue une part essentielle de cet instrument et renforce les mécanismes existants et pour certains critiqués (décision d’adéquation, binding corporate rules) ;

  • Le nouveau « mécanisme de cohérence » (article 57) et les dispositions sur les autorités de contrôle (chapitre VI et VII) doivent structurer la coopération entre ces dernières et faciliter les flux de données au sein du marché intérieur ;

  • Le niveau des sanctions prévu aux articles 78 et suivants (jusque 4% du chiffre d’affaires annuel total mondial) est aussi de nature à renforcer la portée des nouvelles règles européennes et leur efficacité. Ces mécanismes de sanctions faisaient partie des éléments clés de la proposition de la Commission et constituent une véritable innovation. Ils rapprochent aussi cette matière du droit de la concurrence.

Ces règles du RGPD constituent pour certaines de véritables nouveautés, c’est le cas du très controversé mécanisme de cohérence, adopté dans une version dégradée par rapport à la proposition de la Commission. Son succès devra être analysé dans le temps, en fonction des objectifs affichés : il signe néanmoins une préférence pour ce type de mécanisme européen préféré à d’autres méthodes de rapprochement des législations jugées moins efficaces.

 

3/ Le RGPD doit aussi participer à la réduction des charges administratives.

 

Plusieurs mécanismes participent de cet objectif :

  • Renforcement des mécanismes de coopération entre autorités de contrôle et traitement des plaintes ;

  • Simplification générale des obligations pesant sur les entreprises ;

  • Dispenses spécifiques pour les PME de nombreuses tâches (notification préalable, établissement de certaines bases de données etc).

Il faut s’interroger cependant sur l’économie générale du règlement.

Le règlement crée en effet des obligations supplémentaires qui pourront s’apprécier comme des charges nouvelles dans le cadre d’une sorte de «  supervision permanente » (mise en œuvre des nouveaux droits dont le droit à l’oubli, études d’impact, documentation, nouvelles obligations mises à la charge des sous-traitants), qu’ils s’agissent des PME ou non. A noter par exemple, dans le cas du traitement de données sensibles, certaines exemptions prévues pour les PME ne trouveront pas à s’appliquer, faisant ainsi basculer l’opérateur concerné dans le régime général.

 

Ces remarques restent préliminaires et devront être complétées par une analyse exhaustive du RGPD, une fois sa version définitive consolidée, traduite dans les langues officielles de l’Union européenne et publiée au Journal Officiel de l’Union Européenne.

[1] Procédure de co-décision : Cette procédure prévue par l’article 294 TFUE consacre le Parlement européen et le Conseil de l’Union européenne comme co-législateurs et leur permet d’arrêter des actes conjointement avec le Conseil de l’Union européenne, sauf dans les cas prévus par les traités. C’est la procédure législative ordinaire prévue par le Traité de Lisbonne.

[2] Arrêt de la CJUE du 8 avril 2014, invalidant la directive 2006/24/CE sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications dans les affaires jointes C-293/12 et C-594/12 Digital Rights Ireland et Seitlinger e.a et arrêt de la CJUE du 6 octobre 2015, invalidant la décision de la Commission constatant que les Etats-Unis assurent un niveau de protection adéquat aux données à caractère personnel transférées (Safe Harbor) dans l’affaire C-362/14 Maximillian Schrems / Data Protection Commissioner.

[3] Article 16 TFUE : 1. Toute personne a droit à la protection des données à caractère personnel la concernant. 2. Le Parlement européen et le Conseil statuant conformément à la procédure législative ordinaire, fixent les règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union, ainsi que par les Etats-membres dans l’exercice d’activités qui relèvent du champ d’application du droit de l’Union, et à la libre circulation de ces données. Le respect de ces règles est soumis au contrôle d’autorités indépendantes. Les règles adoptées sur la base du présent article sont sans préjudice des règles spécifiques prévues à l’article 39 du traité sur l’Union européenne.

[4] Article 8 de la charte des droits fondamentaux de l’Union européenne – protection des données à caractère personnel : 1. Toute personne a droit à la protection des données à caractère personnel la concernant. […]

Suivez nous sur les réseaux sociaux

Follow us on social networks

// Aseptio