Le mécanisme anti-prism de l’article 43a

On m’a demandé plus de détails sur ce point, alors plongeons dedans. Je dois préciser que je n’ai aucune idée de comment cet article va s’articuler avec la Directive qui est en discussion parallèle, relative aux infractions pénales.

Mise à niveau en droit international

L’autorité d’un État est limitée au territoire qu’il contrôle. Ses lois ne peuvent s’appliquer ailleurs (sauf cas très particuliers), et les décisions de justice qu’il rend n’ont d’effet que chez lui.

Cela a rapidement posé problème pour les particuliers, notamment pour les procédures de divorce. En effet, comment appliquer à quelqu’un vivant en France un jugement de divorce USA condamnant à une pension alimentaire ? Tout simplement en recourant à la reconnaissance de ce jugement, via la procédure d’exequatur. Au sein de l’UE, cet exequatur est automatique (on peut faire exécuter en Allemagne un jugement français), mais pas pour les autres pays. Il faut passer par un juge, qui vérifiera si le jugement ne viole pas les principes essentiels de la loi française (mariage polygame ou répudiation, par exemple), aussi appelés « lois de police » (rien à voir avec les képis bleus). Si le jugement étranger franchit ce barrage, il est alors exécutoire en France. Détail important, cela peut conduire à faire appliquer en France une décision contraire à ce qu’un tribunal français aurait jugé.

Concernant les actions en justice contre l’État, la procédure est plus simple, seuls les tribunaux nationaux peuvent juger l’État.

Le mécanisme de l’article 43a

Tout d’abord, aucune décision de tribunal ou d’administration étrangère demandant à révéler des données à caractère personnel n’est reconnaissable ou exécutoire en UE (la protection des données à caractère personnel devient une loi de police). Sauf en cas de traité d’assistance mutuelle (pour ce point, il faut que les spécialistes du domaine nous donnent la liste exacte des pays concernés, car je n’en ai aucune idée).

Si ce critère de traité international est rempli, avant de s’exécuter, le responsable de traitement (ou son représentant) doit faire une demande d’autorisation préalable à l’autorité de contrôle compétente. Cette autorisation sera accordée si la demande est justifiée par un important motif d’intérêt public (reconnu dans le pays où est établi le responsable de traitement) ou pour l’exercice d’une action en justice.

Le responsable doit alors informer la personne concernée de la demande d’accès et de l’autorisation accordée, ainsi que du nombre de demande d’accès à ses données durant les douze derniers mois.

Et en pratique

Le site français « mouvement quotidien » essaye de s’implanter aux USA. Comme il n’arrive pas à trouver un partenaire local, il doit bâtir de lui-même sa communauté d’utilisateurs. Et donc accepter tous ceux qui se présentent.

Il se trouve qu’un d’eux poste des vidéos de lolcats à la chaîne. Les USA, garants de l’ordre mondial et de la lutte contre les lolcats, décident que poster ce type de vidéo est un acte de terrorisme grave, et demandent donc à Mouvement quotidien toutes les informations utiles pour identifier ce dangereux terroriste.

  • S’il existe un traité d’assistance entre les USA et l’UE : Mouvement quotidien devra saisir la CNIL, qui se prononcera sur la recevabilité de la demande. La lutte contre les lolcats n’est pas reconnue en France, la demande sera donc rejetée.
  • S’il n’existe pas de traité d’assistance : Loi de police, la demande est rejetée d’office.

 

Dans tous les cas, Mouvement quotidien sera dans la mouise. S’il transmet les informations demandées, il sera condamné en France pour non-respect du Règlement. S’il ne les transmet pas, il sera condamné aux USA pour non-respect d’une demande de l’administration (qui aura quand même accès aux informations par un autre biais ^^’ ).

Pré-version du Règlement Protection de la vie privée – partie 4

Quatrième et dernière partie de ce tour d’horizon relatif au texte voté en Commission LIBE, avec le soft law, les autorités de contrôle, les sanctions et les régimes particuliers.

Here we go !

Code de conduite

Ils existaient déjà dans la Directive, on les reconduis à la frontière dans ce Règlement (art. 38). À ma connaissance il n’en existe qu’un seul en France, pour les entreprises de marketing direct (vous avez, celles qui vous appellent après 20h pour vous proposer de la défiscalisation). Loin d’être un succès fulgurant, donc.

Et comme ça ne marche pas très bien, on reprend le dispositif, ça fait commenter les juristes, et qui sait, peut-être qu’un jour quelqu’un lui trouvera une utilité.

Certifications

La CNIL avait lancé ses labels relatifs à la formation et aux procédures d’audit, et voilà qu’elle pourra maintenant labelliser des entreprises et des traitements (art. 39).

L’intérêt de la chose ? Excellente question.

L’intérêt marketing est maigre (combien d’entreprises mettent en avant le fait qu’elles ont un CIL ?). Si j’étais machiavélique, je dirais que c’est une façon intéressante de se faire contrôler par la CNIL, l’entreprise pouvant créer les conditions optimales du contrôle afin d’être certaine de recevoir des bons points et une image (le European Data Protection Seal), et surtout de faire bonne impression pour ne pas figurer sur la liste des entreprises à contrôler en priorité.

Les transferts internationaux (hors EU)

L’économie est mondialisée, c’est un fait. Le numérique aussi, c’est encore plus évident. Donc les données voyagent, y compris en dehors de l’UE.

Pour cela, pas besoin de formalités particulières pour les pays dont la Commission reconnaît qu’ils un niveau de protection équivalent en matière de vie privée, comme l’Argentine et d’autres que j’ai oublié (art. 41). Les USA sont à part, ils bénéficient du Safe Harbor, un code de conduite local. Aucune vérification n’est faite sur la réalité du respect des engagements, des entreprises comme Facebook ou Google l’ont d’ailleurs signé. Il est remis en cause, et la décision n’est pas encore tranchée.

Si l’on transfère des données vers un pays un pays ne relevant pas du mécanisme cité, quatre solutions sont possibles (art. 42).

Première solution, utiliser des règles d’entreprises contraignantes, ou BCR (art. 43). Crées par la pratique ces dernières années, il ne s’agit ni plus ni moins que d’une procédure d’autorisation préalable par l’autorité de contrôle du transfert de données. Le détail amusant est que ces BCR seront validées par l’autorité de contrôle principale (j’y reviens plus loin), pour toute l’UE. Donc l’Information Commissionner irlandais pourrait autoriser des transferts massifs de données exécutables en France.

Autre possibilité prévue, bénéficier du fameux European Data Protection Seal (pour les deux parties au transfert).

Si l’on inclue des clauses contractuelles dans le contrat, il faut que ce soient des clauses contractuelles types validées par l’autorité compétente, ou sinon elles doivent être autorisées par celle-ci.

Un mécanisme anti-prism est aussi prévu (art. 43a), plus de détails par ici.

Les autorités de contrôle

Cette partie de l’analyse va aller très vite. Le Parlement Européen a voté un texte, tandis que le Conseil Européen (les gouvernements des 28) continue de s’écharper à ce sujet. Il est quasiment certain que le texte du Parlement ne soit pas repris.

Quel est donc le nœud du problème ?

En abordant les BCR, j’ai parlé de l’autorité de contrôle principale. Comme les gros traitements (type Google ou Facebook) concernent tous les pays de l’UE, il est compliqué de mettre en place une action coordonnée à leur encontre (le contentieux de la CNIL contre Google est vieux de plusieurs années, et court toujours).

Il faut donc trouver un mécanisme qui permette d’accélérer les investigations. La Commission a donc imaginée la création d’un mécanisme permettant de désigner une seule autorité de contrôle compétente au plan européen, à sa charge de mener les investigations et les sanctions.

Et c’est sur ce point que ça pose problème. L’Irlande est ravie de la proposition, son Information Commissioner étant réputé pour protéger Facebook. La CNIL, elle, râle, et formule une contreproposition via le Conseil Européen (cette proposition étant tellement complexe qu’elle fait passer le mécanisme de règlement des conflits de l’OMC pour un modèle du genre).

L’idée derrière cette contreproposition est de laisser du pouvoir aux autres autorités de contrôle en cas d’inaction de l’autorité de contrôle principal.

On en est là pour le moment.

Quoi ? Vous vous attendiez à ce que les discussions portent sur des choses aussi vénales que de savoir si le citoyen va devoir traduire sa plainte en slovaque lui-même, ou si la CNIL s’en chargera ? Non non, on discute de préservation de plates-bandes, pas de l’intérêt du citoyen.

Bref, on en saura plus d’ici la fin de l’année sur la position du Conseil Européen.

Les sanctions

Gros changements dans ce domaine. Fini les sanctions mirobolantes à 100 000 € (CNIL all-time high score), voici venu le temps des sanction à hauteur de 5% du chiffre d’affaire mondial !

NB : on comprend mieux pourquoi la CNIL veut absolument conserver un bout de pré-carré… En sanctionnant la bande des GAFA (Google, Amazon, Facebook, Apple), on rebouche le trou de la Sécu d’un coup ! (15 milliards $ en amendes cumulées pour ces quatre-là).

Cas spéciaux

Je vous annonce depuis le premier article que j’allais parler des traitements statistiques, scientifiques et historiques. Et bien c’est le moment.

Mais avant cela, mentionnons que la liberté de la presse est conservée, les droits conférés par le Règlement pouvant être mis de coté par une législation nationale spécifique (art. 80).

Si un Etat veut permettre l’accès à tous les documents qu’il produit, libre à lui (on pense à la Suède), grâce à l’article 80a. Mais là, comme le texte ne met aucune barrière, je me demande comment vont être arbitrés les différents si un citoyen trouve que son pays va trop loin dans l’ouverture.

Viennent ensuite les règles relatives au traitement des données de santé (art. 81). Ils sont permis uniquement s’ils concernent les soins (au sens large), la santé publique, ou la protection sociale.

Il y a pas mal à dire sur le fait que le texte considère que la protection sociale se limite à l’assurance-maladie (en oubliant la vieillesse, le chômage, etc.), et que le critère principal est le rapport qualité-prix, mais je laisse cette critique à d’autres.

Ce que je voudrais soulever est que le texte passe complètement sous silence la e-health. Il n’y a absolument RIEN qui autorise la mise en place de services basés sur le monitoring de santé. Pire, si jamais on arrivait à interpréter le texte de façon à y voir une autorisation à demi-mots, il faudrait une loi pour autoriser chaque start-up à lancer son business ! (WTF!) Le sujet a été remonté au Ministère de la Santé, espérons qu’il soit pris en compte.

Ensuite un article sur les données concernant les employés (art. 82). Rien de surprenant dedans, c’est juste une explication des principes généraux à destination des employeurs qui auraient fait semblant de ne pas les comprendre. Un petit regret cependant, la phrase « le consentement donnée dans une relation de travail n’est jamais libre » devient le gloubi-goulba suivant : « le consentement d’un employé ne constitue pas une base légale valide pour un traitement par l’employeur quand le consentement n’a pas été donné librement ». Dommage.

La Sécu en prend aussi pour son grade (art. 82a), fini les décrets en Conseil d’Etat, maintenant tout sera géré par le Parlement.

Et nous arrivons, enfin, à l’article relatif aux traitements à finalité statistique, historique ou scientifique (art. 83).

Cet article prévoit que l’on peut traiter des données à caractère personnel pour une des trois finalités décrites plus haut, à condition qu’il soit impossible de le faire de façon anonyme ou pseudonyme.

Soit.

Commençons par les statistiques. Selon moi, une statistique c’est anonyme. Donc traiter des données à caractère personnel en lieu et place de données anonymes pour produire des statistiques ça n’a pas de sens. Ou alors, on veut permettre la reconstitution de l’échantillon à partir de la statistique produite (avec les puissances de calcul actuellement disponibles, c’est envisageable).

Viennent ensuite les recherches scientifiques. Aucun garde-fou n’est proposé, en dehors de l’article relatif aux données de santé. De même, qui est compétent pour jugée que la finalité poursuivie est bien scientifique ? Mettre sur pied sur une surveillance généralisée de l’internet en UE, au motif qu’il est envisagé d’écrire un article académique sur les différentes habitudes nationale en matière de numérique est-il permis au titre de cet article ? Je n’en sais rien, et je n’ai absolument aucune idée de vers qui me tourner pour obtenir la réponse…

Et la finalité historique… La ficelle de la surveillance généralisée est encore plus grosse que pour les finalités scientifiques. Qui peut affirmer qu’un événement apparemment anodin n’aura pas un impact conséquent sur l’Histoire dix ou quinze ans après ? Donc on enregistre tout. Plus sérieusement, mon questionnement est le même que pour les finalités scientifiques, qui est légitime a affirmer qu’un traitement est pertinent sur le plan historique ?

On continue avec les archives (art. 83a), fruit du lobby des archivistes, qui avaient peur que le droit à l’oubli n’impacte de façon trop conséquente leur travail.

Ces deux articles (83 et 83a) mettent en évidence une tendance lourde dans le domaine de la protection de la vie privée, celui de la conservation des données. Personne ne sait exactement combien de temps il est nécessaire de conserver les informations, surtout si celles-ci présentent un intérêt dans un domaine particulier.

L’ancienne Directive abordait le sujet avec trois niveaux de conservation (en production – archive courante – archive historique), alors qu’ici le processus me paraît plus dynamique. Si la donnée présente un intérêt (historique, scientifique), on peut la conserver dans la base au motif qu’elle y figure pour l’une des finalités que je viens d’exposer.

Je pense que c’est de cette façon qu’il faut comprendre les articles 83 et 83a, mais il n’empêche qu’un responsable de traitement un peu roublard pourra les détourner de la façon que j’ai exposé.

Enfin, je terminerais la lecture de ce texte par mentionner un article sur le secret professionnel (art. 84), qui lui aussi va encore bouger suite au Conseil Européen, et un article sur les Églises et autres traitements communautaires (art. 85).

Un point important n’est pas abordé dans ce texte, c’est la question des traitements existants. Le conseil Européen se bat afin que les traitements existants testent légaux après l’entrée en vigueur de ce Règlement, tandis que la rédaction de ce texte implique qu’il faille mettre à jours tous les traitements suite à son adoption.

En mot final, je dirais que je suis mitigé sur ce texte, il y a du bon et du moins bon. Mais globalement, je trouve que trop d’éléments sont laissés à l’appréciation des entreprises. Le CIL-DPO va avoir besoin de courage pour mener sa mission à bien.

 Partie 3 – Obligations du responsable de traitement

Pré-version du Règlement Protection de la vie privée – partie 3

Continuons notre lecture, et passons aux obligations du responsable de traitement et de son sous-traitant (dans le domaine de la protection de la vie privée, le sous-traitant est celui qui agit sur ordre d’un responsable de traitement, c’est un tout petit peu différent de la notion en marché public).

Les différents textes :

La directive 95/46 CE (celle encore en vigueur) est trouvable là : http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:fr:HTML

Le texte voté lundi 23/10/13 ici : http://t.co/UN1D7mIzZh

L’analyse des dix premiers articles du texte : https://wiedenhoff.wordpress.com/2013/10/23/pre-version-du-reglement-protection-de-la-vie-privee-partie-1

L’analyse des droits des personnes : https://wiedenhoff.wordpress.com/2013/10/23/pre-version-du-reglement-protection-de-la-vie-privee-partie-2

Généralités

Sur le plan des définitions (art. 22), le responsable du traitement reste identique à la Directive. Par contre, apparaît la notion de cout. En fonction de l’état de l’art et des couts, le responsable doit prendre toutes le mesures raisonnables pour se mettre en conformité. Je vous ai déjà dit que je trouvais qu’il y avait beaucoup de choses laissées à l’appréciation des entreprises, non ?

Les notions de protection de la vie privée par défaut et par la conception font leur entrée( art. 23). Vous m’excuserez, mais je vais rester sur les anglicismes pour ces termes, et parler de privacy by design et privacy by default. Ces notions sont connues et reconnues (et explicites), je ne vais donc pas m’étendre dessus. Par contre, bonne idée de les inclure.

Ensuite, mon article préféré, les responsables de traitement joints (art. 24). Cet article oblige les partenaires à bien établir leurs responsabilités respectives dans les traitements en présence, sous peine d’être responsables conjointement des erreurs de l’un. Je me demande comment les entreprises fonctionnant avec du cloud vont intégrer cet élément (vraie question, ce coup-ci). En effet, un contrat de type Amazon AWS, dans lequel il est écrit qu’Amazon n’est responsable de rien concernant sa plate-forme de cloud, me paraît difficilement justifiable (surtout si c’est Amazon qui a une défaillance de sécurité). Il y aura de la jurisprudence à faire dans ce domaine.

L’obligation d’avoir un représentant sur le territoire de l’UE est maintenue pour les entreprises extérieures (sauf une ou deux exceptions minimes) (art. 25), et le sous-traitant est traité de la même façon que dans la Directive (les conditions ajoutées étant de pur bon sens) (art. 26 et 27).

Puis, au détour d’un article sans surprise ni saveur, paf, le Registre des traitements devient obligatoire (art. 28). Apparu avec le décret de 2005 en France, pour les entreprises ayant désigné un CIL, il s’agit d’un registre regroupant toute la documentation nécessaire pour prouver que les traitements de l’entreprise sont conformes au Règlement. C’est juste dommage qu’il ne soit pas mentionné que ce Registre soit public.

L’article suivant (art. 29) nous explique que les responsables de traitement ont dorénavant l’obligation de coopérer avec les autorités de contrôle (la CNIL en France). Il n’est donc plus possible de s’opposer à un contrôle sur place ? (autre vraie question).

Ensuite, vient l’obligation de garder les données de façon sécurisée (art. 30), obligation toutefois modulée en fonction de l’état de l’art et des couts d’implémentation.

Entre les efforts disproportionnés et les couts d’implémentation, il y a quand même possibilité de ne pas appliquer les ¾ du Règlement… Passons…

Le texte détaille un peu les attentes, et explique qu’il faut plus de protection si on traite des données sensibles. Rien de neuf sous le soleil, c’est une description du minimum vital à faire en entreprise (mais qui souvent n’est pas fait).

Les notifications de violation (art. 31 et 32) font leur apparition, auparavant réservées au secteur des telco. Les lobbyistes et Parlementaires ont beaucoup débattus sur le délai dans lequel il fallait faire public cette violation, la formulation finale étant « sans retard indu » (ou l’art de ménager la chèvre et le chou). Il faut donc expliquer à l’autorité de contrôle ce qui s’est passé, et les mesures prises pour atténuer les conséquences. Les personnes dont les données se seront faites piratées sont aussi prévenues afin qu’elles puissent agir (opposition à sa carte bleu, etc.), à moins que les données soient chiffrées (donc si le site web affiche un logo en vertu de l’article 14 comme quoi les données sont stockées chiffrées, il ne vous préviendra pas s’il est piraté. Même si le chiffrement qu’il utilise est largement insuffisant).

L’analyse d’impact fait aussi son apparition (art. 32a), et a pour but de déterminer les impacts sur la vie privée des personnes concernées du traitement. Elle est obligatoire notamment en présence de données sensibles, de géolocalisation, sur des enfants, des employés, concerne plus de 5000 personnes en un an (les critères sont alternatifs), etc.

Bref, dans la plupart des cas, cette analyse sera obligatoire.

Il faudra la revoir au bout d’un an, ou dès que le traitement connait un gros changement.

Cette étude devra contenir pas mal d’éléments (art. 33), description technique, étude de risque, mesures de protection et autres garde-fous, etc.

Par contre, être obligé de me la repalucher tous les deux ans (art. 33a), NIET. Je n’ai rien contre la reprendre quand le traitement évolue (significativement ou non), voir même après un an ou deux pour être sûr que l’analyse (prédictive) était d’équerre avec ce qui se pratique en réalité ; mais la revoir tous les deux ans, NON.

D’abord parce que si le contexte ou le traitement n’ont pas bougé, l’analyse est toujours valide et il n’est pas nécessaire de la revoir (ou juste une fois pour être sûr que l’on ne s’était pas trompé). D’autre part, en matière de charge administrative inutile, elle se pose là. Un rapide calcul sur la base de mes dossiers au boulot me fait dire que si ce point est adopté, je vais passer 25% de mon temps à envoyer des mails à la DSI et aux directions métiers pour leur demander si un truc a bougé depuis la dernière fois. Et ce temps perdu, ce n’est pas du temps où je peux faire du privacy by design/default.

Procédure de déclaration

Vient ensuite un des plus gros changements du texte, la disparition des demandes d’autorisation (art. 34). La Directive prévoyait un régime basé sur les déclarations à l’autorité de contrôle, puis un éventuel contrôle sur place par celle-ci. Dans certains domaines, il fallait attendre (et attendre, et attendre encore) l’autorisation expresse de celle-ci avant de lancer le traitement. Le décret de 2005 que j’ai déjà mentionné avait introduit une procédure super-simplifiée auprès du CIL, où rien n’était à envoyer à l’autorité de contrôle.

Là, le Règlement supprime les demandes d’autorisation, il suffira donc d’envoyer un dossier à la CNIL pour démarrer le traitement. Éventuellement, celle-ci pourra faire des propositions ou interdire le traitement après coup. Mais la machine sera lancée.

Si un CIL a été désigné, ce sera a lui de vérifier que tout est ok. S’il découvre un gros soucis, il pourra saisir la CNIL.

Ne nous faisons pas d’illusion, la CNIL ne verra plus beaucoup de dossiers lui arriver. Le CIL étant un employé du responsable de traitement, il est mal placé pour bloquer un process. Il faut juste espérer que la CNIL redirige ses moyens vers les activités de contrôle…

Le CIL (ou Data Protection Officier)

Le CIL (art. 35) est le Héros des temps modernes, le Chevaliers des veuves et orphelins numériques. C’est lui qui est chargé de calmer les ardeurs des informaticiens découvrant les possibilités du Big Data et du Data Mining (quand c’est combiné, c’est encore pire). Il doit faire passer les aspirations des directions métiers sous les fourches caudines de la protection de la vie privée, car c’est à lui de prendre en compte les aspirations des personnes concernées en matière de vie privée. En d’autres termes, c’est un membre du célèbre « Department of NO »

Toujours est-il qu’il va devenir quasi-obligatoire, les conditions obligeant à en désigner un étant très larges (plus de 5000 prospects/an ? Il faut en désigner un…). Saluons la rationalisation des possibilités de désignation, qui reconnaît la possibilité de les organiser en réseau au sein d’un groupe d’entreprises, ou de le désigner en fonction de l’organisation si particulière des administrations et autres services publics.

La désignation est limitée dans le temps et reconductible, ce qui est censé lui assurer un minimum d’impartialité. Il n’est révocable pendant son office que s’il ne répond plus aux exigences du métier (décrites dans le considérant 75a).

Il est rattaché directement au responsable de traitement (PDG, etc.) (art. 36), et ses missions ne bougent pas vraiment par rapport au décret de 2005, il se voit juste rajouté la mission de veiller à ce que les études d’impact soient menées (art. 37). Regrettons quand même que le statut de ses collaborateurs ne soit pas abordé (car oui, dans certaines structures la charge est si lourde qu’il faut plusieurs ETP pour l’absorber).

Partie 2 – Les droits des personnes

Partie 4 – Sanction, autorités de contrôles, transferts internationaux

Pré-version du Règlement Protection de la vie privée – partie 2

Au menu de cet article, les droits des personnes !

Ont-ils bougé, se sont-ils amoindris ou au contraire améliorés ? Réponse maintenant.

Les différents textes :

La directive 95/46 CE (celle encore en vigueur) est trouvable là : http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:fr:HTML

Le texte voté lundi 23/10/13 ici : http://t.co/UN1D7mIzZh

L’analyse des dix premiers articles du texte : https://wiedenhoff.wordpress.com/2013/10/23/pre-version-du-reglement-protection-de-la-vie-privee-partie-1

Information des personnes concernées

Alors là, oui, ça s’améliore. On n’en est pas encore au niveau des paquets de cigarette qui prescrivent la taille et la police des mentions obligatoires (vous savez, le fameux « fumer tue »), mais il y a un net progrès par rapport à la Directive (que je nuancerais plus loin).

Ainsi, la personne concernée a le droit à une information sous une forme claire et intelligible, concise et transparente (art. 11).

Avant on avait ça :

https://fr-fr.facebook.com/full_data_use_policy

Et maintenant on passera à quelque chose comme ça :

https://heello.com/terms

Il doit aussi être possible d’exercer ses droits de façon numérique, avec un délai de réponse réduit à 40 jours (art. 12). Je ne suis pas certain que raccourcir le délai de 2 mois à 40 jours soit une bonne chose, ça risque d’être compliqué dans certaines structures (je pense notamment aux administrations) pour être dans les temps.

Autre point extrêmement positif, les entreprises auront l’obligation de répercuter les demandes de suppression ou de changement à leurs partenaires. Fini les ventes de données tous azimuts, il va falloir garder trace de quelles données sont revendues à qui (art. 13).

Enfin, sauf si cela demande un effort disproportionné au responsable de traitement.

Dans la pratique, l’administration ne s’embêtera pas avec ça, et les gros data brokers argumenteront qu’ils ne peuvent garder toutes les traces de toutes les ventes, et donc répercuter tous les changements. Le principe était très bon et relevait même de la bonne administration de l’entreprise, il n’aurait pas fallu laisser une porte de sortie… snif.

Arrive ensuite le moment le plus lollesque du texte, l’article 13a.

Autant il demande à fournir des informations tout à fait pertinentes à la personne concernée (données conservées sous la forme chiffrée, etc.) sous la forme d’icônes visant à faciliter la compréhension de la politique applicable aux données, autant certaines informations sont juste … à coté de la plaque.

Demander à une entreprise d’informer ses clients qu’elle en va pas respecter leurs droits relève d’une vision assez particulière du monde des affaires (si j’étais sarcastique, je dirais que je m’inquiète de voir des personnes autant déconnectées du monde réel dicter la façon dont on doit travailler).

Sur les informations générales que le responsable du traitement doit fournir, on retrouve les mêmes informations que précédemment, formulées différemment (art.14). Deux additions notables néanmoins, l’obligation d’informer de l’existence d’un profilage et ses conséquences (savants calculs bancaires pour déterminer s’il est sage d’accorder un prêt, par exemple) et celle d’informer si les autorités publiques ont demandé des informations lors des 12 derniers mois.

Dans le cas de revente de fichiers de données, l’entreprise qui achète un fichier doit prévenir les personnes qui figurent dans ce fichier d’où elle a obtenue leurs données. Ça existait déjà dans la Directive, et comme pour la Directive, personne ne va s’embêter avec ça.

En plus, le texte prévoit un échappatoire légal. Si quelqu’un acquiert des données de façon indirecte (achat de fichier, par exemple), il échappe à l’obligation d’information de la personne concernée s’il est soumis au secret professionnel, d’une façon légale (médecin, etc.) ou via le règlement intérieur.

Je ne voudrais pas faire de mauvais esprit, mais ça commence à faire pas mal d’exceptions laissées à la discrétion des entreprises.

Droits d’accès, de rectification et de suppression

Là aussi, on est en territoire connu. Le droit d’accès (art. 15) reste sur des bases identiques, avec comme différence notable l’obligation pour le responsable de traitement d’indiquer à qui les données ont été transmises ad nominem (en lieu et place du classique « à nos partenaires commerciaux »). Ça a l’air tout bête comme ça, mais ça va faire chauffer les DSI pour adapter les systèmes en place. Ce genre de disposition ne sera clairement pas applicable de suite (et le jour où elle le sera, j’imagine déjà la taille du fichier fourni par Google ou Facebook).

Autre point à souligner, il est possible d’envoyer les informations sous un format électronique, interopérable (un document Microsoft Office est-il interopérable !?).

Le droit de rectification est lui aussi présent, pas de surprise à ce niveau (art. 16). Le droit de suppression (ou droit à l’oubli) aussi (art.17), avec obligation pour le responsable de traitement de faire procéder à l’effacement des données chez les tiers (sans pouvoir se défausser en expliquant que c’est trop compliqué). Suivent aussi pas mal de dispositions techniques sur quand et comment faire, et notamment quand ne pas supprimer immédiatement des données en raison d’une obligation légales. Des éclaircissements bienvenus, car ils étaient sous-entendus dans la Directive.

Un point me chagrine cependant, c’est la disparition du rôle des ayant-droits (qui existaient dans la loi française, et que j’avais réussis à faire inclure dans certains amendements). Une fois que la personne concernée meurt, qui est compétent pour demander la suppression des données ? Il y a un gros sujet de fond sur l’aspect patrimonial que peuvent revêtir ces données. C’est dommage que le Parlement Européen le laisse de coté.

Objection, votre honneur !

Comme précédemment, il est possible d’objecter à figurer dans un traitement de données (art. 19). Le plus facile est de refuser de donner son consentement. Cependant, il est possible de traiter des données sans l’accord de la personne (voir la partie 1). Celle-ci pourra malgré tout s’y opposer si ces traitements sont basés sur l’intérêt vital de la personne concernée (s’il est nécessaire pour un médecin d’accéder à des données vous concernant, vous avez le droit de refuser et de mourir), ou sur la mission de service public dévolue au responsable de traitement.

Et encore, même si vous refusez, le responsable de traitement pourra invoquer un motif supplantant vos droits et libertés fondamentales pour traiter quand même vos données. Vous me suivez ? Non ? Tant pis, dans la pratique ça va surtout intéresser les avocats.

Par contre, si le traitement est basé sur l’intérêt légitime (du responsable de traitement ou d’un tiers), vous pouvez vous y opposer quand vous voulez sans exception. Et ce droit doit vous être communiqué de façon claire.

Profilage

Sauf obligation légale ou intérêt commercial supplantant vos droits et libertés fondamentaux, vous avez le droit à vous opposez à faire l’objet de profilage (art 20).

Mais il faut bien comprendre ce qu’est le profilage. Il s’agit d’analyser certains aspects vous concernant afin de (tenter de) prédire certains autres aspects. Allez-vous rembourser votre prêt ? Êtes-vous un fraudeur potentiel ? Quelles informations sont susceptibles de vous intéresser ?

C’est un domaine très vaste, et les applications sont TRES variées (vous êtes un homme de 50 ans, vous serez intéressé par de l’information sur le cancer de la prostate ; vous êtes d’origine rom et avez 30 ans et 13 enfants, vous êtes une cible potentielle de lutte contre la fraude aux allocations familiales). Certaines sont légitimes, d’autres moins (voir pas du tout).

Comme dit plus haut, vous pouvez vous opposer à figurer dans un système de profilage, et ce droit doit vous être mentionné d’une façon « hautement visible ».

On retrouve aussi un aspect connu de la jurisprudence de la CNIL, qui veut qu’une mesure affectant les droits des personnes (refuser une allocation familiale, par exemple) ne peut être basée uniquement sur un traitement automatisé, il est nécessaire d’avoir une intervention humaine dans le dossier.

Mesures d’exception

Que serait un texte garantissant des droits s’il n’y avait pas le couplet traditionnel sur la sureté de l’Etat ?

On le retrouve à l’article 21, et on explique que les droits exposés dans cet article sont inopérants dès que l’on est en présence de sécurité publique, d’investigation criminelle, d’imposition (WTF !?) de procédure disciplinaire engagée par les Ordres nationaux (Ordre des médecins, des avocats, etc.), ou pour vous protéger (ah, la fameuse lutte anti-terroriste).

Par contre, ça doit faire l’objet d’une loi, qui explique les objectifs poursuivis, le responsable de traitement, les moyens utilisés, les gardes-fous, et la façon dont vous êtes prévenus que vos droits sont supprimés.

Petit détail amusant, le texte interdit que le secteur privé soit associé à ces traitements.

Partie 1 – Généralités

Partie 3 – Les obligations du responsable de traitement

Pré-version du Règlement Protection de la vie privée – partie 1

Suite à l’adoption lundi 23/10/13 de la version du Parlement Européen concernant la protection de la vie privée, je vais faire une série d’articles analysant point par point ce texte.

Aujourd’hui, les provisions générales du texte (articles 1 à 10).

Mais tout d’abord, un point de procédure :

Le texte voté lundi soir (et analysé ici) n’est pas la règlementation qui entrera en vigueur. Il s’agit simplement du texte voté par le Parlement Européen. Les gouvernements des 28 (oui, 28, la Croatie est devenue membre de l’UE depuis le début de l’année) doivent avaliser ce texte, ou faire leur propre proposition.

Ils feront certainement leur propre proposition, le texte sur lequel ils travaillent diffère pas mal de celui adopté par le Parlement. Cependant, cette proposition ne sera pas adoptée de suite (vous savez bien que l’administration est lente, alors imaginez quand 28 administrations de nationalités différentes travaillent ensemble…).

S’entamera ensuite une procédure de trilogue (Parlement Européen – Gouvernements des 28 – Commission Européenne) pour arriver à un texte acceptable par tous.

NB : vous noterez la très grande démocratie du processus… Déjà que le texte voté lundi 23/10/13 soir est le fruit de négociations feutrées, sans discussions officielles ; le texte issu du trilogue sera élaboré de façon encore plus obscure et feutrée (les lobbyistes américains doivent être aux anges).

En un mot comme en cent, bien malin sera celui qui arrivera à prédire le contour final du texte. Au pire on peut partir en conjectures, et au mieux analyser ce qu’on a sous la main.

Les différents textes :

La directive 95/46 CE (celle encore en vigueur) est trouvable là : http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:fr:HTML

Le texte voté lundi 23/10/13 ici : http://t.co/UN1D7mIzZh

 Allez, c’est parti !

Généralités

Au plan matériel (art. 2), ça ne bouge pas vraiment, le texte s’applique pour les traitements (papier ou informatique) à but professionnel. Les activités domestiques sont épargnées.

Sont concernées par ce texte (art.3) tous les professionnels exerçant dans l’UE, ou traitant des données de personnes situées dans l’UE (et paf Facebook).

Les définitions (art. 4) ont pas mal bougé.

La définition de donnée à caractère personnel ne change pas, c’est tout ce qui se rapporte à une personne identifiable. Une personne est identifiable si à partir des informations dont vous disposez vous pouvez l’identifier. Ça semble tomber sous le sens, mais c’est assez complexe en pratique. Si je parle d’un toxicomane mineur habitant à Triffoullis-les-Oies (20 habitants), est-il identifiable ? Pour la plupart des gens non, mais pour la pharmacie qui lui fournit son Subutex, oui. Le considérant 23 indique aussi qu’il faut prendre en considération les moyens à disposition et les efforts déployés pour déterminer si la personne est identifiable. Donc si ça fatigue trop Google de croiser ses bases pouir vous retrouver, vous êtes considéré comme non-identifiable et ne bénéficiez pas de la protection de ce texte. Mais rien ne garantit qu’il ne décidera pas un jour de faire l’effort de vous retrouver quand même…

On voit aussi apparaitre la notion de données pseudonymes. Est pseudonyme une donnée à caractère personnel qu’on ne peut raccrocher à son titulaire sans information complémentaire (sic!). On a donc une donnée à caractère personnel dont on doit s’assurer que l’attribut identifiant est séparé de la donnée elle-même. Du coup, imaginons une base de données qui enregistre plein de choses sur plein de personnes. Si mon outil de restitution ne prévoit pas de remontée des noms-prénoms (et autres éléments identifiants), je suis considéré comme maniant des données pseudonymes ? Quelles sont les autres protections à mettre autour ? (pour l’exemple que j’ai donnée, a minima, l’impossibilité de mettre en place d’autres requêtes que celles existantes et qui ne font pas remonter les éléments identifiants). Bref, ces pseudonymes posent de vraies questions, auxquelles les CNIL européennes vont devoir répondre (je me poile déjà en imaginant la CNIL tentant d’aller faire un contrôle de Google AdSense..).

Viennent ensuite les données chiffrées (« encrypted data »). Ce sont des données à caractère personnel que les moyens technologiques rendent illisibles pour toutes personnes non autorisées à les lire. Cependant, tout chiffrage se casse, c’est une simple question de temps. Donc cette catégorie est obsolète dès son origine ?

Vient ensuite une bonne nouvelle. Le consentement. Plus question maintenant de le présumer (en utilisant nos services vous acceptez que l’on revende vos données à qui en veut), le consentement doit résulter d’une action explicite (case à cocher, à condition qu’elle ne soit pas pré-cochée, etc.), et porte sur une finalité spécifique.

Les fuites de données font leur entrée dans les définitions, de même que les données génétiques et biométriques. Pas grand chose à dire à leur sujet, c’est explicite.

Principes dirigeant le traitement

L’article 5 précise les principes qui dirigent les traitements de données. On retrouve les mêmes que dans la Directive 95/46/CE, simplement présentés différemment. Si on veut ergoter, on peut signaler que les données n’ont plus besoin d’être nécessaires au traitement, mais doivent plutôt être le minimum nécessaire pour accomplir la finalité. Différence sémantique, sans grosse conséquence pour la pratique pour le moment (on verra d’ici quelques années si la CNIL sanctionne une société pour avoir enregistré un numéro de fax afin d’envoyer de la pub).

Pour mémoire, les données doivent être collectées et traitées de façon loyale, licite et transparente, dans une finalité déterminée, limitées au strict nécessaire, à jour et pertinentes, conservées pour la durée minimale nécessaire sous une forme qui permet à la personne concernée d’exercer ses droits, sans subir d’altération, sous la direction du responsable de traitement (ouf, vous pouvez reprendre votre souffle).

Les bases légales pour procéder à un traitement ne bougent pas (art. 6), sauf sur deux points. L’intérêt historique, statistique ou scientifique peut justifier un traitement (on y reviendra plus loin), et l’intérêt légitime d’un tiers aussi.

Cette notion d’intérêt légitime était déjà fumeuse dans la Directive, là on rajoute la possibilité de traiter des données en vertu de l’intérêt légitime d’un tiers. Gros problèmes en vue. Ok, quelques gardes-fous sont mis en place (et encore…), mais leur effectivité laisse place au doute. Et quand bien même, j’attends le jour où la CNIL fera une descente sur Palo Alto, Californie, pour contrôler les entreprises de la Sillicon Valley (oui, c’est une pique gratuite).

Vient ensuite une des grosses innovations du texte, tout un article sur la notion de consentement (art. 7). Fini le consentement « version violeur » (elle n’a pas dit « non », m’sieur le juge), maintenant le responsable de traitement doit prouver que la personne a consentie au traitement de ses données pour une finalité spécifique. Être d’accord pour que ses données soient traitées dans le cadre d’un webmail ne signifie pas accord pour que ces mêmes données soient revendues à un tiers. Et si on tente de noyer le poisson (comme Facebook et ses CGU de 14 pages), le contrat est entièrement nul (vous vous en moquez, mais pour un juriste ça signifie des annulations en cascade derrière).

Un article apparait aussi sur les enfants (art. 8) (au passage on notera que les définitions parlent d’un enfant de moins de 18 ans, et dans l’article 8 on parle de moins de 13 ans). Un enfant ne peut consentir à un traitement de données sns l’accord de ses parents, à charge du responsable de traitement de vérifier que c’est bien le parent qui donne l’accord. Il est ironique de noter que créer un profil en ligne (Facebook, Google, forum quelconque, etc. ) est dorénavant considéré comme aussi grave que vendre une maison du point de vue de l’enfant (accord parental exigé).

Les données sensibles (celles que l’on n’a pas le droit de traiter, sauf exception) voient un ajout, la notion de « gender identity ». Amha, ça correspond plutôt à « se sentir homme (ou femme) » plutôt que « sexe (h/f) », mais tant que ce point ne sera pas expliciter noi sur blanc, on court au-devant de GROS soucis. S’il est interdit de traiter le sexe d’une personne, il devient aussi interdit de traiter son prénom (en général révélateur du sexe). Il sera aussi interdit de procéder aux bilans sociaux d’entreprise (lutte contre les discriminations au travail), de même que prendre un congé maternité (car réservé aux femmes). Une panoplie infinie d’ennuis en perspective 🙂 .

Autrement, on y retrouve aussi les notions d’intérêt historique, scientifique ou statistique comme base légale pour traiter ce type de données, mais comme dit plus tôt, j’y reviendrais plus loin. Les archives sont aussi une base légale au traitement de ce type de données.

Pour le reste, ça ne bouge que dans la formulation.

Enfin, pudiquement intitulé « traitements ne permettant pas l’identification », l’article 10 instaure le premier cheval de Troie de ce texte.

Si le traitement ne concerne que des données anonymes ou pseudonymes, la personne concernée n’a plus aucun droit.

Aucun.

Droit d’opposition, d’accès, ou être informé si la base se fait piraté et que vos données sont dans la nature, du moment que c’était des données pseudonymes, vous n’avez aucun droit à être informé (rappel : les données pseudonymes sont des données dont l’élément identifiant est gardé séparément. En cas de piratage, rien n’empêche le pirate de piquer les données et les éléments identifiants).

Partie 2 – Les droits des personnes