Publication du premier décret d’application de la loi Informatique et Libertés version RGPD

(je trouve que les titres commencent à être sacrément longs)

 

On est au mois d’aout, toute l’Europe meurt de chaud, et le Ministère de la Justice a décidé de publier un décret « GDPR-compliant ».

C’est donc le vénérable décret 2005-1309 (vous vous souvenez, celui qui a introduit le CIL en France) qui est modifié par le décret 2018-687.

 

 

Titre 1er, la CNIL

 

On passe, ceux qui sont intéressés connaissent déjà le contenu.

 

Titre 2, des formalités préalables

 

Les articles 7, 8 et 10, pourtant modifiés par le décret de 2018, continuent de parler de déclaration préalable. Alors que le RGPD les supprime, et la loi Informatique et Libertés version 20 juin 2018 les avait supprimé.

Oubli, ou réappartition en douce ?

En tout cas, le chapitre relatif aux déclarations à bel et bien été abrogé.

La suite du Titre ne révolutionne pas le genre, il faudra attendre la mise en œuvre concrète des formulaires pour voir ce qui est attendu.

Pas mal de contenu relatif aux traitements de santé et de recherche, y compris l’apparition d’un comité d’audit du système national des données de santé.

L’article 41 précise quels sont les organismes autorisés à mettre en œuvre les traitements relatifs aux condamnations pénales et infractions. Petite question pratique, cet article interdit aux personnes privées (hors mission de service public) de traiter des données relatives aux infractions. Les secteurs qui avaient bénéficié d’une autorisation unique peuvent continuer à traiter ces données ?

 

Titre 3, le DPO

 

L’article 43 précise les informations à transmettre à la CNIL pour la désignation. Aucune trace de pré-requis ou de connaissance particulière à avoir, c’es de la pure information.

L’article 44 ajoute qu’en cas de mutualisation du DPO par le secteur public, il faut une convention organisant cette mutualisation.

Et le DPO « journalisme » rentre dans le droit commun, plus de mécanisme exceptionnel pour lui.

 

Titre 4, les pouvoirs de la CNIL

 

Les agents de contrôle sont habilités pour 5 ans renouvelables, et il faut un casier vierge, ainsi qu’aucun lien avec l’organisme contrôlé.

Les agents d’autres organismes de contrôle doivent être habilités de façon expresse par la CNIL avant d’opérer un contrôle en France.

Lors d’un contrôle sur place, la CNIL informe au plus tard lors de son arrivée sur les lieux de:

  •  l’objet des vérifications,
  • l’identité et la qualités des personnes chargées du contrôle,
  • du droit d’opposition à la visite (le cas échéant).

Si le RT n’est pas présent, il doit en être informé au plus tard dans les quinze jours. Les agents doivent être en mesure de présenter leur ordre de mission et leur habilitation lors du contrôle.

En cas d’opposition au contrôle, le JLD a 48h pour autoriser ou non le contrôle sur place. L’appel de cette ordonnance n’est pas suspensif.

Un PV est établi à l’issue du contrôle sur place, signé par les agents et le RT (ou son représentant).

 

En cas de contrôle en ligne sous identité d’emprunt, une copie du PV de contrôle est adressé au RT.

 

La CNIL peut aussi auditionner des personnes, et recourir à des experts. Le secret professionnel est opposable lors du contrôle.

 

Viennent ensuite pas mal d’articles sur les formations de sanction, y compris des formations d’urgence et de référé. Je vous souhaite de n’avoir jamais à les lire….

Puis des articles sur le même sujet, mais dans le cadre des coopérations avec d’autres autorités de contrôle.

 

Titre 5, Sureté de l’Etat, et accès aux données

 

Je vous le laisse lire, après tout, vous n’avez rien à vous reprocher, n’est-ce pas ?

(pour les imperméables à l’humour, je précise que c’est du second degré).

 

Titre 6, l’obligation d’information

 

Précision intéressante par l’article 90, si la collecte se fait à distance par oral (qui a dit « centre d’appels » ?) il faudra préciser qu’une copie des mentions d’information peut s’obtenir sur simple demande postérieurement.

 

L’article 91-1 détaulel le contenu du formulaire de violation de données.

 

L’article 91-2 précise que la communication d’une violation de données auprès de la personne concernée se fait par tout moyen permettant d’apporter la preuve de l’accomplissement de cette formalité. Donc exit l’information par téléphone, ou par courrier simple.

 

Ensuite, plusieurs précisions sur les mesures de protection appropriées, la CNIL ayant 2 mois pour se prononcer.

 

L’article 92 indique que la copie d’une pièce d’identité portant signature n’est plus obligatoire, l’identité pouvant être prouvée par tout moyen. En cas de demande par un héritier, il faut prouver la qualité d’héritier.

Titre 7, transfert de données hors UE

 

Personne n’en fait, non ?

 

Au fait, il est hébergé où mon blog ?

 

Le reste du décret ne sera pas analysé, sachez qu’il concerne :

Titre 8, mesures concernant la directive sur les données pénales (2016/680)

 

Titre 9, l’outre-mer

 

Titre 10, dispositions finales

 

Publicités

De la compatibilité ultérieure du traitement, ou comment communiquer avec ses locataires HLM pour vendre

À titre préalable, je précise que ce texte n’est en rien lié à mon employeur actuel.

La CNIL vient de sanctionner un OPH pour une utilisation non conforme de son fichier de locataires.

La sanction, sur le fond, est logique. Il s’agit d’un exemple ultra-classique de détournement de finalités, c’est-à-dire l’utilisation de données à caractère personnel dans un but incompatible avec celui annoncé lors de la collecte.

En l’espèce, les locataires de l’organisme HLM avaient confiés leurs données afin d’établir et gérer leur bail d’habitation, pas pour recevoir l’actualité politique du maire (même si cette actualité les touche).

Le troisième grief soulevé par la CNIL est en revanche beaucoup plus novateur : la compatibilité ultérieure du traitement.

Petit extrait de la décision :

En dernier lieu, la formation restreinte considère que si, au titre de ses obligations en qualité de bailleur, l’OPH a la possibilité d’adresser un courrier aux locataires, y compris pour les informer sur les conséquences, avérées ou non, de la réforme du montant des APL, il ne pouvait en revanche légitimement pas utiliser les données à caractère personnel de l’ensemble des locataires du parc immobilier social, dès lors que le courrier adressé dépassait la simple finalité d’information.

A cet égard, la formation restreinte relève qu’une communication sur le projet de réforme des APL par voie d’affichage dans les entrées d’immeuble était également prévue, ce qui aurait permis le cas échéant d’aller au-delà de la simple information des locataires sur cette réforme sans utiliser de donnée personnelle et, par suite, sans méconnaître les principes fondamentaux de la protection des données à caractère personnel.

Il résulte de ce qui précède qu’en utilisant le fichier de ses locataires en leur adressant un courrier excédant manifestement la stricte information des personnes, l’OPH a traité lesdites données à caractère personnel de manière incompatible avec la finalité initiale de la collecte – à savoir la gestion des demandes de logement social ou du parc immobilier – en méconnaissance du 2° de l’article 6 de la loi Informatique et Libertés.

Pour mémoire, l’article 6-2 dispose que les données « sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités« .

Ceci étant précisé, analysons le raisonnement de la CNIL :

  • Il est possible de traiter des données pour de la communication d’ordre politique (la CNIL parle de conséquences avérées ou non), du moment que cette communication (i) vise exclusivement les personnes impactées par l’objet de la communication, (ii) qu’elle est lien avec ses obligation de bailleur et (iii) qu’elle informe, y compris avec une dose de mauvaise foi, sur les conséquences d’un choix ;
  • Pour communiquer avec l’ensemble des locataires dans un but de propagande politique, une méthode n’utilisant pas de données à caractère personnel doit être utilisé ;
  • En effet, la finalité de gestion locative est incompatible avec une finalité de communication d’ordre politique ;
  • Il est précisé que, dans le deuxième grief, la CNIL met sur le même plan la réutilisation des données à des fins politiques, électorales et commerciales.

Comme la CNIL met sur le même plan les finalités politique et commerciale, il est permis de penser qu’un bailleur peut adresser des communications commerciales à ses locataires, dès lors qu’il respecte les trois conditions indiquées plus haut. Prenons deux exemples :

  • Informer les locataires que des places de parkings sont disponibles dans leur résidence. Cibler les locataires habitant dans la résidence ne va pas poser de soucis. En revanche, proposer une place de parking ne rentre pas dans les obligation en tant que bailleur ; cette communication n’est donc pas possible.
  • Informer les locataires que leur résidence va être mise en vente. Ici aussi, cibler les locataires vivant dans la résidence ne va pas poser de soucis. Et comme la vente va toucher directement l’exécution contractuelle (disparition ou changement de bailleur), cela touche bien aux obligations de bailleur. Cependant, il ne sera pas possible de communiquer de cette manière à l’ensemble des locataires, car ils ne sont pas directement concernés. Un message plus générique devra leur être adressé.

En somme, cette décision va forcer les organismes HLM à bien analyser la façon dont ils communiquent avec leur locataires. En effet, communiquer sans traiter de données à caractère personnel peut être assez lourd en terme opérationnel. L’affichage dans les halls demande du temps, et n’apporte pas la garantie d’une bonne transmission du message. L’utilisation d’un message via l’intranet (ou par courriel, SMS, etc.) est dorénavant très encadré, car il nécessite de traiter des données à caractère personnel.

Les bailleurs vont devoir soit être obligés de calibrer leur message pour rester dans le domaine de l’information (la mauvaise foi étant permise), soit adapter leurs SI pour être en mesure de cibler précisément les destinataires des différents messages.

Le droit à l’image du salarié

J’ai récemment eu l’occasion de côtoyer une des nombreuses zones grises du droit, à savoir le droit à l’image d’un salarié lorsqu’il s’agit d’illustrer son activité professionnelle.

Le droit à l’image d’un particulier est bien balisé, celui du salarié utilisé à des fins lucratives aussi (mannequins, sportifs, etc.).

Mais entre les deux, quid ?

Exemple : une entreprise de prestation de services à domicile veut réaliser un tableau avec tous ses collaborateurs intervenant à domicile, en indiquant leur spécialité (ménage, garde d’enfants, etc.) et le secteur géographique. Le tout serait affiché dans le hall d’accueil de l’agence. Bien évidemment, le contrat de travail est vierge de toute clause portant sur ce point.

Penchons-nous sur les différents cas de figure.

  • Tout le monde est d’accord

Seriously, vous avez vraiment besoin que je développe !?

Pensez à bien cadrer les usages qui peuvent être faits des images (ou pas ^^’) dans l’autorisation d’exploitation de l’image.

  • Au moins une personne n’est pas d’accord

Vous ne pouvez pas l’obliger à aller se faire tirer le portrait. Et même si l’employé « consentait » à y aller (je rappelle que le consentement dans le cadre professionnel est loin d’être libre), ce consentement ne porte que sur le fait de se faire tirer le portrait, pas sur une éventuelle diffusion.

L’exception d’actualité ne peut pas non plus jouer, car un tableau d’affichage est loin d’en être une (d’actualité).

Il est cependant possible de se réfugier derrière un jugement du TI de Saint Denis du 27 aout 2015, qui prévoit une exception pour cause d’activité professionnelle.

C’est un jugement de TI, donc loin d’être parole d’évangile… Pensez toujours à vérifier si la C.Cass. ne s’est pas prononcée sur ce sujet avant d’utiliser cette exception.

Qu’apprend-on ?

Lorsqu’elles n’excèdent pas l’activité professionnelle consécutive de la finalité de la captation des images litigieuses, les diffusions non préalablement autorisées ne sont pas constitutives d’une atteinte aux droits de la personne en cause.

Il est donc possible de diffuser la photo d’une personne dans son activité professionnelle, s’il s’agit d’illustrer cette activité.

Le responsable de l’agence pourra donc prendre en photo ses salariés dans leur travail (en faisant attention aux droits des autres personnes) et réaliser son tableau, sans avoir besoin du consentement des-dits salariés.

  • Et si un salarié continue de s’opposer ?

C’est un motif personnel, non ?

Windows 7, 8 & 10 : bloquer l’hémorragie de données

Je ne vais pas y aller par quatre chemins, même en le paramétrant au maximum Windows 10 fait fuiter un nombre considérables de données :

Frappes au clavier (oh, le mot de passe de votre banque en ligne…), enregistrements webcam et audio (même si Cortana est désactivé), contenu de votre disque dur, etc…

Et bien évidemment, le tout est transmis à des sociétés tierces.

Oh, j’oubliais, le concept est étendu à Windows 7 et 8 (si tout ça ne vous fait pas passer sous un Windows piraté pour être exclu des updates….).

Bon, que faire pour limiter ceci ?

Seule solution que j’ai trouvé pour le moment, mettre en place un DNS menteur.

Je sais, c’est pas beau (Neutralité du Net), Microsoft peut le contourner à l’update suivante, mais en attendant mieux…

Installez Unbound sur votre machine (si vous avez un Pi qui traine, c’est le moment de le ressortir), et ajoutez les lignes qui suivent dans filter.conf. Le tout sans oublier de décommenter la ligne qui va bien dans service.conf ou unbound.conf :

local-zone: « pre.footprintpredict.com » redirect
local-data: « pre.footprintpredict.com A 127.0.0.1 »

local-zone: « reports.wes.df.telemetry.microsoft.com » redirect
local-data: « reports.wes.df.telemetry.microsoft.com A 127.0.0.1 »

local-zone: « df.telemetry.microsoft.com » redirect
local-data: « df.telemetry.microsoft.com A 127.0.0.1 »

local-zone: « oca.telemetry.microsoft.com » redirect
local-data: « oca.telemetry.microsoft.com A 127.0.0.1 »

local-zone: « oca.telemetry.microsoft.com.nsatc.net » redirect
local-data: « oca.telemetry.microsoft.com.nsatc.net A 127.0.0.1 »

local-zone: « vortex-sandbox.data.microsoft.com » redirect
local-data: « vortex-sandbox.data.microsoft.com A 127.0.0.1 »

local-zone: « pre.footprintpredict.com » redirect
local-data: « pre.footprintpredict.com A 127.0.0.1 »

local-zone: « i1.services.social.microsoft.com » redirect
local-data: « i1.services.social.microsoft.com A 127.0.0.1 »

local-zone: « i1.services.social.microsoft.com.nsatc.net » redirect
local-data: « i1.services.social.microsoft.com.nsatc.net A 127.0.0.1 »

local-zone: « telemetry.appex.bing.net » redirect
local-data: « telemetry.appex.bing.net A 127.0.0.1 »

local-zone: « telemetry.urs.microsoft.com » redirect
local-data: « telemetry.urs.microsoft.com A 127.0.0.1 »

local-zone: « cs1.wpc.v0cdn.net » redirect
local-data: « cs1.wpc.v0cdn.net A 127.0.0.1 »

local-zone: « statsfe1.ws.microsoft.com » redirect
local-data: « statsfe1.ws.microsoft.com A 127.0.0.1 »

local-zone: « oca.telemetry.microsoft.com » redirect
local-data: « oca.telemetry.microsoft.com A 127.0.0.1 »

local-zone: « oca.telemetry.microsoft.com.nsatc.net » redirect
local-data: « oca.telemetry.microsoft.com.nsatc.net A 127.0.0.1 »

local-zone: « vortex-sandbox.data.microsoft.com » redirect
local-data: « vortex-sandbox.data.microsoft.com A 127.0.0.1 »

local-zone: « i1.services.social.microsoft.com » redirect
local-data: « i1.services.social.microsoft.com A 127.0.0.1 »

local-zone: « i1.services.social.microsoft.com.nsatc.net » redirect
local-data: « i1.services.social.microsoft.com.nsatc.net A 127.0.0.1 »

local-zone: « df.telemetry.microsoft.com » redirect
local-data: « df.telemetry.microsoft.com A 127.0.0.1 »

local-zone: « reports.wes.df.telemetry.microsoft.com » redirect
local-data: « reports.wes.df.telemetry.microsoft.com A 127.0.0.1 »

local-zone: « cs1.wpc.v0cdn.net » redirect
local-data: « cs1.wpc.v0cdn.net A 127.0.0.1 »

local-zone: « vortex-sandbox.data.microsoft.com » redirect
local-data: « vortex-sandbox.data.microsoft.com A 127.0.0.1 »

local-zone: « pre.footprintpredict.com » redirect
local-data: « pre.footprintpredict.com A 127.0.0.1 »

local-zone: « vortex.data.microsoft.com » redirect
local-data: « vortex.data.microsoft.com A 127.0.0.1 »

local-zone: « vortex-win.data.microsoft.com » redirect
local-data: « vortex-win.data.microsoft.com A 127.0.0.1 »

local-zone: « telecommand.telemetry.microsoft.com » redirect
local-data: « telecommand.telemetry.microsoft.com A 127.0.0.1 »

local-zone: « telecommand.telemetry.microsoft.com.nsatc.net » redirect
local-data: « telecommand.telemetry.microsoft.com.nsatc.net A 127.0.0.1 »

local-zone: « oca.telemetry.microsoft.com » redirect
local-data: « oca.telemetry.microsoft.com A 127.0.0.1 »

local-zone: « oca.telemetry.microsoft.com.nsatc.net » redirect
local-data: « oca.telemetry.microsoft.com.nsatc.net A 127.0.0.1 »

local-zone: « sqm.telemetry.microsoft.com » redirect
local-data: « sqm.telemetry.microsoft.com A 127.0.0.1 »

local-zone: « sqm.telemetry.microsoft.com.nsatc.net » redirect
local-data: « sqm.telemetry.microsoft.com.nsatc.net A 127.0.0.1 »

local-zone: « oca.telemetry.microsoft.com.nsatc.net » redirect
local-data: « oca.telemetry.microsoft.com.nsatc.net A 127.0.0.1 »

local-zone: « pre.footprintpredict.com » redirect
local-data: « pre.footprintpredict.com A 127.0.0.1 »

local-zone: « reports.wes.df.telemetry.microsoft.com » redirect
local-data: « reports.wes.df.telemetry.microsoft.com A 127.0.0.1 »

local-zone: « vortex-win.data.microsoft.com » redirect
local-data: « vortex-win.data.microsoft.com A 127.0.0.1 »

local-zone: « settings-win.data.microsoft.com » redirect
local-data: « settings-win.data.microsoft.com A 127.0.0.1 »

Ca en fait du monde, non ?

La mort des exceptions au droit d’auteur

Ce 20 mai 2015 la chambre criminelle de la Cour de cassation a assassiné les exceptions au droit d’auteur, dans son (déjà) (et tristement) célèbre arrêt Bluetouff.

Je vous épargne les faits, car :

1) j’ai linké l’arrêt deux lignes au-dessus;

2) si vous ne voyez pas de quoi je parle vous avez vécu dans une grotte ces deux dernières années.

On va donc parler de vol d’une oeuvre immatérielle, notion ô combien étrange…

I. Le vol, ce délit

Défini à l’article 311-1 du code pénal, le vol est un délit puni de 3 ans d’emprisonnement et de 45 000€ d’amende.

Le vol est la soustraction frauduleuse de la chose d’autrui.

Je passe les débats doctrinaux sur la notion de chose (matérielle ou immatérielle, meuble ou immeuble), pour sauter à ce qui est couramment admis en pratique : on ne peut voler que ce qui est meuble (donc pas un appartement), et qui est matérialisé (donc pas une action dans une société, mais le titre de propriété de cette action, si). La notion de soustraction est à prendre en compte, c’est à dire qu’il n’est possible de voler quelque chose que si on prive son propriétaire de la jouissance de l’objet pendant au moins un bref instant.

Par exemple, il n’est pas possible de voler une idée (au sens juridique), et photocopier n’est pas voler.

Sauf si, pour faire la photocopie, l’auteur du vol a soustrait frauduleusement les documents à son légitime propriétaire. Cas d’école : avant de quitter l’entreprise pour monter sa propre boite, une personne photocopie tous les documents intéressants. Elle a alors soustrait momentanément les documents à son propriétaire légitime, le temps de la photocopie. Le vol est caractérisé.

Autre élément intéressant, le vol d’électricité. Il n’existe pas, car il n’y a pas de dépossession de l’énergie.

C’est pour cette raison qu’il existe un article spécial dans le code pénal qui incrimine cet acte, en l’assimilant au vol (311-2 du code pénal).

Rappel de théorie générale de droit pénal : si c’est pas explicitement interdit, c’est autorisé.

II. Rappel sur le droit d’auteur et ses exceptions

L’auteur d’une œuvre dispose d’un droit exclusif sur celle-ci (qu’il peut éventuellement céder). Cela implique qu’il est le seul à décider de quand et comment est diffusée son œuvre.

Il existe un certain nombres d’exceptions à ce principe, qui sont strictes et limitatives (à la différence du droit américain qui reconnait le fair use) :

  • droit de citation et d’analyse
  • revues de presse
  • discours publics
  • parodie et caricature
  • enseignement et recherche
  • utilisation au profit de personnes handicapées
  • droit d’information sur un évènement d’actualité (en gros : journalisme)
  • sécurité publique
  • représentation dans une bibliothèque, école, musée

Et c’est tout.

Si vous voulez utiliser une oeuvre, et qu’elle ne rentre pas dans un de ces cadres, il faut l’accord de l’auteur. Sinon, c’est une contrefaçon.

III. L’apport de l’arrêt Bluetouff quant au vol

La Cour de cassation nous indique que :

Attendu que, pour déclarer le prévenu coupable de maintien frauduleux dans un tel système et vol, l’arrêt prononce par les motifs repris aux moyens ;

[Bluetouff] s’est maintenu dans un système de traitement automatisé après avoir découvert que celui-ci était protégé et a soustrait des données qu’il a utilisées sans le consentement de leur propriétaire, la cour d’appel, qui a caractérisé les délits en tous leurs éléments, a justifié sa décision ;

Bienvenue à la soustraction sans soustraction, la chambre criminelle caractérise le vol alors qu’à aucun moment la victime ne s’est vue dépossédée de ses fichiers informatisés (indice : c’est pour cette raison que l’on parle depuis des années de contrefaçon plutôt que de vol). Un dézingage en règle de cet arrêt est à prévoir dans les prochains temps par les universitaires de tous poils sur ce point.

Analysons plutôt comment cette solution s’articule avec les exceptions au droit d’auteur.

L’arrêt n’en fait pas mention (on peut éventuellement tomber sur le droit de citation et d’analyse, en raison de la publication d’un article sur la légionellose).

Donc les deux infractions (vol et contrefaçon) s’articulent chacune de leur coté, avec leurs spécificités propres.

C’est à dire que si une personne publie une œuvre/article/whatever en s’appuyant sur une autre oeuvre, grâce à l’une des exceptions au droit d’auteur précité, elle pourra quand même être condamnée pour vol.

Il suffira juste à l’auteur original de prouver qu’il ne souhaitait pas que son œuvre se retrouve dans les mains de l’auteur secondaire.

[normalement, là, vous avez réalisé que mon titre était racoleur. Il ne s’agit pas à proprement parler de la mort des exceptions au droit d’auteur. Néanmoins, la simple possibilité qu’elle soient mise en échec par l’infraction de vol est une sérieuse limitation à leur exercice.]

Le statut de l’adresse IP (encore) remis en question

Ce qui est bien avec la Justice, c’est que des choses pourtant évidentes mettent du temps à rentrer dans les mœurs des juges. Du coup, on peut médire à leur encontre à moindre frais 🙂

Cour d’appel de Rennes, 28 avril 2015.

Celle-ci nous indique que :

le fait de conserver, en vue de la découverte ultérieure des auteurs de pénétrations non autorisées sur un réseau  informatique, une liste d’adresses IP[…], sans qu’aucun lien entre ces adresses et des personnes physiques ne soit fait, ne constitu[ait] pas un traitement de données à caractère personnel.

Je vous épargne le listing de jurisprudences, certaines allant dans le sens de la reconnaissance comme donnée à caractère personnel (CJUE notamment), d’autres non (CA françaises notamment). Prenez un bon bouquin si ce point vous intéresse.

[troll] Ça ne gène pourtant pas les tribunaux de condamner en vertu de la HADOPI, c’est à dire d’identifier un coupable sur la base d’une IP. [/troll]

Ce que je veux souligner dans cet article, c’est ce point précis :

sans qu’aucun lien entre ces adresses et des personnes physiques ne soit fait

  • RTFM

Loi n°78-17, article 2 :

Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne.

Je reformule à partir de ce qui est en gras :

Constitue une donnée à caractère personnel toute information relative à une personne physique qui peut être identifiée indirectement, par référence à  un ou plusieurs éléments qui lui sont propres.

Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont  peut avoir accès toute autre personne.

Le second paragraphe est très intéressant, du coup. Pour déterminer si une personne est identifiable, il faut considérer tous les moyens (illégaux y compris ?) à disposition de toute autre personne. Cela inclut donc les moyens exceptionnels dont peut disposer un petit cercle restreint, du type « enquête judiciaire ».

Or la correspondance IP – abonné est disponible, justement, dans le cadre d’une enquête judiciaire. Et pour le cas d’espèce, l’admin sys de la société mise en cause dispose de logs pour savoir quel salarié est en cause.

Bref, l’argument comme quoi aucun rapprochement entre les IP et les salariés n’est effectivement fait est inopérant. Il suffit qu’il soit possible pour que la loi s’applique.

  • RTFM 2.0

Si vous lisez ce blog, l’extrait du jugement va surement vous laisser un petit arrière-gout. Cet arrière-gout, c’est le pseudonyme. Passons sur le fait que ce concept n’existe pas encore juridiquement en France et au niveau de l’UE. Le projet de Règlement le définit dans son article 4. Ici pour la version du Parlement :

‘pseudonymous data’ means personal data that cannot be attributed to a specific data subject without the use of additional information, as long as such additional information is kept separately and subject to technical and organisational measures to ensure non-attribution

ici pour la version du Conseil Européen :

‘pseudonymisation’ means the processing of personal data in such a way that the data can no longer be attributed to a specific data subject without the use of additional information, as long as such additional information is kept separately and subject to technical and organisational measures to ensure non-attribution to an identified or identifiable person
Donc un wording un peu différent, mais le fond reste le même : une information est conservée et traitée de façon séparée de tout élément, ou conjonction d’éléments, qui pourraient permettre de la rattacher à quelqu’un.
Le sort d’un traitement qui respecte cette séparation est encore un peu floue (les lobbyistes continuent de s’affronter à ce sujet), mais la ligne de base est que ces données restent des données à caractère personnel. Tout au plus les traitements bénéficieront d’un formalisme allégé.
Donc même en appliquant un régime juridique qui n’est pas encore fixé, nos Juges se sont plantés ^^’

Responsabilité du fait des robots

Cela fait un petit moment que je n’ai plus rien posté ici, je vais donc en profiter pour vous faire partager un exercice que j’ai proposé à mes étudiants en TD de droit, 2ème année.

(En plus, comme ça, je serais forcé de me renouveler pour l’année prochaine ^^ ).

Le voici :


Une clinique a expérimenté trois robots aides-soignants. Les trois ont connu des incidents, et l’assurance vous contacte pour savoir qui de la clinique ou du fabricant elle doit assigner en justice.

1. Robot à programmation pré-établie

Le robot a été fourni « clés en main » par le fabricant.

En transportant un patient de son lit à la salle de bain, le robot s’est heurté au cadre de porte. Le patient est tombé au sol et a la jambe droite fracturée.

Le rapport d’expert indique :

La fonction iFranchirPorte() comporte une instruction « read » qui, exécutée sur une puce TSM-101 telle que celle équipant le robot en question, renvoie une valeur erronée.

Cette valeur erronée est la source du dysfonctionnement ayant entrainé le heurt du cadre de porte.

 2. Robot à capacité d’apprentissage par mimétisme

Le robot a connu une phase d’apprentissage des gestes, sous l’instruction d’un aide-soignant de la clinique, pendant une semaine.

En transportant un patient de son lit à la salle de bain, le robot s’est heurté au cadre de porte. Le patient est tombé au sol et a la jambe droite fracturée.

Le rapport d’expert indique :

Les enregistrements de la phase d’apprentissage indiquent que, même si l’aide-soignant a fait la démonstration adéquate des gestes, ceux-ci n’ont pu être enregistrés par le robot. L’aide-soignant n’a pas utilisé les bonnes commandes pour activer la phase d’apprentissage du robot.

3. Robot auto-apprenant

Le robot n’a pas besoin d’apprentissage spécifique, il est capable d’apprendre par lui-même simplement en observant. Il peut agir en autonomie, et peut prendre des décisions en fonction du référentiel qu’il s’est construit.

En passant devant la chambre d’un patient en phase terminale d’un cancer, le robot a pris l’initiative de le poignarder en plein cœur.

Le rapport d’expert indique :

Les tests effectués à réception indiquent que le robot n’avait, à ce moment, que la capacité de se déplacer et d’apprendre de nouveaux gestes et concepts. […] Le dump de la mémoire vive effectué après l’incident montre que le robot a analysé la situation du patient, prenant en compte la douleur ressentie, les chances de guérison et le cout des soins palliatifs. Il en a déduit que la meilleure action possible consistait à « terminer la vie » du patient.

 


Buts recherchés :

  • Faire mobiliser aux étudiants leurs connaissances (ici, les différents régimes de responsabilité), mais  pour une application inédite. Think out of the box.
  • Au travers des pseudo-rapports d’experts, faire comprendre aux étudiants qu’ils doivent être curieux sur le monde qui les entoure, et ne pas se cantonner à leur seul univers juridique (l’avenir sera transdisciplinaire ou ne sera pas).

Solutions :

Tout d’abord, j’insiste bien sur « solutions » au pluriel, car nous sommes dans du pur prospectif. Rien de juridiquement contraignant n’existe à l’heure actuelle, donc la balance peut pencher de n’importe quel coté. C’est un point que j’ai bien souligné lors de la séance.

Pour commencer, enfonçons les portes ouvertes. Les robots sont un bien, un objet, appartenant à quelqu’un. À ce titre, les dommages qu’ils causent relèvent du régime de la responsabilité du fait des choses. Un autre point intéressant à analyser consiste à savoir si un robot concluant un contrat engage son propriétaire, ou pas (a priori, je chercherais du coté du consentement).

1. Robot à programmation pré-établie

Ici, le cas est facile. La clinique n’a absolument pas la main sur le robot, qui se contente de suivre sa programmation pré-établie en fonction des ordres qu’il reçoit.

Deux cas de figure :

  • soit l’ordre est dommageable en lui-même (laisse tomber la personne par terre), auquel cas la clinique pourra être poursuivie (garde du comportement)
  • soit l’exécution de l’ordre est imparfaite, auquel cas c’est le fabricant qui est en cause (faute de conception). Plusieurs régimes de responsabilité peuvent s’entrechoquer ; dans ce cas précis la responsabilité contractuelle aurait la préséance (contrat visant à l’expérimentation des robots en cours). Il est aussi possible d’envisager la responsabilité du fait des choses (garde de la structure), 1383 C. Civ., ou encore la responsabilité des produits défectueux.

 2. Robot à capacité d’apprentissage par mimétisme

Les choses se corsent un peu. Le fabricant à livré un robot exempt de défauts, mais nécessitant une phase d’apprentissage. C’est cet apprentissage qui a mal été réalisé, or il incombait à la clinique. Donc responsabilité de la clinique (garde du comportement).

3. Robot auto-apprenant

Ce cas de figure relève pour le moment de la science-fiction. Mais comme des équipes de chercheurs y travaillent, il faut l’envisager.

Ici, ni le fabricant ni la clinique n’ont la maitrise de ce que le robot enregistre, apprend et déduit. Il agit en autonomie. La question de sa personnalité juridique se pose donc ; faut-il donner une personnalité juridique quelconque à un objet capable d’agir de son propre chef, hors de toute supervision humaine ?

Une solution juridique envisageable serait de toujours considérer la responsabilité du fait des choses applicables :

  • si le fait relève d’une action interdite par la loi (comme le meurtre), le fabricant serait responsable (garde de la structure, et/ou responsabilité des produits défectueux)
  • si le fait relève d’une action courante du robot (comme ne pas arriver à franchir une porte), la clinique serait responsable (garde du comportement).

Une autre approche serait de s’inspirer des anciennes règles en vigueur pour la responsabilité des parents du fait de leur enfant, à savoir de devoir démontrer que la clinique a commis une « faute d’éducation » envers le robot, en ne lui inculquant pas les limites de ce qui est autorisé et interdit. Mais cette solution se heurterait à de nombreux obstacles économiques (ne serait-ce que la durée nécessaire pour l’apprentissage).

Privacy in practice : le trackeur d’activités

Parler du (manque de) respect de la vie privée des nouveaux joujoux électroniques c’est bien, mais le constater en pratique c’est mieux !

J’ai récemment découvert que les assurances françaises se lançaient dans la surveillance de leurs assurés par trackeur interposé (Axa, par exemple). Et comme les assurances anglo-saxonnes visent aussi les entreprises, ce n’est qu’une question de temps avant que les entreprises françaises se voient proposé le deal suivant :

On vous fait une remise de 20% si vous équipez vos salariés du dernier BigBro Tracker ™ et que ceux-ci ont un mode de vie sain et équilibré.

Je ne m’étendrais pas sur l’aspect juridique du sujet, vu que de toute façon le code du travail est optionnel en France (note : humour noir).

Donc, pour vérifier l’utilité concrète de ce type de joujou, j’ai décidé de m’en acheter un. Histoire de voir, en vrai, ce que ça vaut. Il s’agit du trackeur MiBand, de la marque Xiaomi (la même que mon téléphone), qui a en plus l’avantage de ne pas être vendu à un tarif exorbitant.

Voici donc mes impressions au bout de 2 jours d’utilisation, sachant que je passe sur les fonctions annexes pour me concentrer sur le trackeur :

Screenshot_2014-12-19-17-47-11

 Le mode JOUR.

On définit un objectif de pas à atteindre (8000 pas étant le chiffre recommandé), et le trackeur calcule combien on en fait dans la journée. C’est approximatif (marge d’erreur de 10% chez moi), et le trackeur vibre quand on atteint l’objectif journalier.

Un graphique à barres indique, heure par heure, combien de pas ont été effectués (entre 9h et 12h, ce chiffre est proche du zéro … ).

Le mode NUIT.

Screenshot_2014-12-19-17-47-19

Il trace l’heure d’endormissement et de réveil, les phases de sommeil léger et profond (quand on ne bouge plus du tout).

Il vibre à l’heure du réveil. Vous avez ci-contre la nuit typique d’un parent dont l’enfant est malade et pleure la nuit ^^.

Donc, au bout de deux jours d’utilisation, mon sentiment est que les salariés n’ont RIEN à gagner en se faisant équiper de ce genre de gadget :

  • Le sentiment d’être badgé comme un pigeon est fort (et pourtant, je m’en suis équipé volontairement)
  • Être traqué 24h/24 par son entreprise, ça ne se justifie que très rarement, et en aucun cas pour économiser quelques euros de cotisations à une mutuelle
  • Qui dans l’entreprise aurait accès à ces données, et dans quelles conditions ? (tout le monde connait le décalage entre les postures de principe et la réalité)
  • Quel usage de ces données aura la mutuelle ? Qu’est-ce que l’employé va en retirer (en dehors d’un rabais de quelques euros sur sa mutuelle) ?
  • Si ces bracelets embarquent la fonction GPS, c’est le jackpot pour l’employeur…
  • Quelles sont les sanctions si un employé ne respecte pas le deal ? Hausse de sa cotisation (et donc doublement perdant ) ? Sans parler des erreurs de mesure des trackeurs…

Bref, affaire à suivre…

#EDGF14 : ça a causé surveillance massive

Ce lundi se tenait le congrès annuel des autorités de contrôle européennes (les CNIL, quoi), à Paris au Palais de l’UNSECO.

La vue depuis le Palais de L'UNSECO

La vue depuis le Palais de l’UNSECO.

Étant invité, j’y suis allé bien volontiers pour troller sur Twitter.

Je retiendrais deux choses de cet évènement : les discussions sur la surveillance massive, et le régime juridique des données.

  • La surveillance des citoyens

Le leitmotiv de quasiment toutes les interventions était, bien évidemment, les révélations d’E. SNOWDEN. Que personne n’avait pris la peine d’inviter, of course.

L’intervention la plus remarquée sur le sujet sera celle du député URVOAS,  qui est membre de la délégation parlementaire du renseignement (le comité supposé surveiller l’emploi des services de renseignement par le Gouvernement).

En mode troll, celui-ci nous assènera deux énormités :

* Si l’action des services de renseignement s’inscrit dans un cadre légal, il n’y a rien à y redire.

Encore un qui confond légal et juste… S’il n’était pas aussi président de la commission des lois, ce genre d’argumentation « café du commerce » ferait sourire ; mais là….

* Si on se balade à poil sur les autoroutes de l’information, on ne peut pas se plaindre qu’on ne respecte pas sa vie privée.

Je n’ai même pas envie d’analyser cet argument tellement il est grotesque.

Aussi, l’occasion était trop belle pour les autorités de contrôle de marquer leur incapacité à agir, en rendant public une déclaration commune dénonçant la surveillance massive (consultable ici). Un point m’a littéralement sauté au visage, c’est le point 6 :

La surveillance secrète, massive et indiscriminée de personnes en Europe, que ce soit pas des acteurs publics ou privés, qu’ils agissent au sein des Etats membres de l’Union ou ailleurs, n’est pas conforme aux Traités et législation européens. Elle est inacceptable sur le plan éthique.

Le juriste qui est en moi défaille à ces mots… Une lecture restrictive du texte, que ne manquera pas de faire le troll mentionné plus haut, permet de faire de la surveillance secrète et massive, du moment qu’elle vise une catégorie particulière de population (à tout hasard, les musulmans). Bref, j’arrête là sur ce sujet, sinon on va dire que je fais du mauvais esprit.

Passons au point suivant : le régime juridique des données.

  • Une donnée à caractère personnel, c’est quoi ?

Le régime juridique de la donnée à caractère personnel, cet éternel serpent de mer…

Lundi, nous avons eu le droit à trois visions différentes, toutes portées par des acteurs privés.

* Atos, représentée par Thierry BRETON, ex-ministre de l’Economie. La vision est simple, la donnée à caractère personnel en tant que bien ou morceau de l’identité de la personne, OSEF. Tout ce qu’Atos veut, c’est un régime bien défini pour savoir quels services développer. Au passage, j’ai croisé leur futur CIL ; bon courage à lui (et un peu de lecture pour lui, histoire qu’il sache où il met les pieds).

* CozyCloud, représenté par Benjamin ANDRE son fondateur. Il veut absolument sécuriser le droit à la portabilité, pour assoir son business model consistant à rapatrier toutes les données d’une personne chez elle (ou sur un serveur loué). Ceci afin de  mettre en place un écosystème lié à la valorisation de ces données regroupées en un endroit.

* Skyrock, représenté par Pierre BELLANGER, son PDG. De loin la vision la plus rafraichissante  et innovante des trois, à savoir que les données à caractère personnel sont un bien commun (au même titre que l’eau, par exemple). Tout le monde peut donc se servir dedans, sans se gêner. La justification théorique avancée est que l’analyse des données d’une personne A permet de déduire le comportement d’une personne B. Donc open bar sur les données. #Mwarf

Guerre de plate-bandes (bis)

J’ai déjà parlé de la guerre que se livrent les Gouvernements des 28 à propos du one-stop-shop mechanism (OSSM).

Si si, vous vous en souvenez, la discussion concernant le fait de savoir qui pourra condamner les GAFAs.

 

Et ben les discussions continuent.

 

Mais il faut reconnaitre que des progrès ont été réalisés, la procédure commence à devenir compréhensible. D’ailleurs, je vous laisse ici un schéma réalisé par @CarloPiltz.

one stop shop

Original : @CarloPiltz -25 Nov 2014

 

  • Si l’affaire reste purement interne à un pays, l’autorité national de contrôle de votre pays (la CNIL en France) sera compétente. Rien de neuf sous le soleil.
  • Si l’entreprise en cause a des établissements dans plusieurs pays (une grosse société d’assurance, par exemple), ou si elle intervient depuis un seul pays vers plusieurs autres (ex :depuis l’Irlande vers le reste de l’UE), l’OSSM entre en jeu :
    1. Co-décision si les différents pays se mettent d’accord, l’autorité chef de file propose une sanction que les autorités locales vont formellement prononcer. Si un désaccord intervient, on passe au règlement des conflits
    2. Règlement des conflits, ou consistency mechanism. En cas de désaccord sur l’autorité chef de file (coucou CNIL, coucou ICO, coucou Facebook), sur la coopération pendant l’instruction de la procédure, ou sur la sanction. L’organisme de coopération européen (EDPB, qui viendrait en remplacement du G29) tranche le cas, et la décision s’impose aux autorités nationales.

 

Les décisions de l’EDPB seraient attaquables devant la CJUE, et celles des autorités nationale devant les juridictions nationales.

 

Ce mécanisme n’est pas encore la panacée (pourquoi ne pas faire intervenir directement l’EDPB ?), mais c’est clairement un pas en avant. Je suis curieux de voir les réactions des délégations nationales.