Pré-version du Règlement Protection de la vie privée – partie 2

Au menu de cet article, les droits des personnes !

Ont-ils bougé, se sont-ils amoindris ou au contraire améliorés ? Réponse maintenant.

Les différents textes :

La directive 95/46 CE (celle encore en vigueur) est trouvable là : http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:fr:HTML

Le texte voté lundi 23/10/13 ici : http://t.co/UN1D7mIzZh

L’analyse des dix premiers articles du texte : https://wiedenhoff.wordpress.com/2013/10/23/pre-version-du-reglement-protection-de-la-vie-privee-partie-1

Information des personnes concernées

Alors là, oui, ça s’améliore. On n’en est pas encore au niveau des paquets de cigarette qui prescrivent la taille et la police des mentions obligatoires (vous savez, le fameux « fumer tue »), mais il y a un net progrès par rapport à la Directive (que je nuancerais plus loin).

Ainsi, la personne concernée a le droit à une information sous une forme claire et intelligible, concise et transparente (art. 11).

Avant on avait ça :

https://fr-fr.facebook.com/full_data_use_policy

Et maintenant on passera à quelque chose comme ça :

https://heello.com/terms

Il doit aussi être possible d’exercer ses droits de façon numérique, avec un délai de réponse réduit à 40 jours (art. 12). Je ne suis pas certain que raccourcir le délai de 2 mois à 40 jours soit une bonne chose, ça risque d’être compliqué dans certaines structures (je pense notamment aux administrations) pour être dans les temps.

Autre point extrêmement positif, les entreprises auront l’obligation de répercuter les demandes de suppression ou de changement à leurs partenaires. Fini les ventes de données tous azimuts, il va falloir garder trace de quelles données sont revendues à qui (art. 13).

Enfin, sauf si cela demande un effort disproportionné au responsable de traitement.

Dans la pratique, l’administration ne s’embêtera pas avec ça, et les gros data brokers argumenteront qu’ils ne peuvent garder toutes les traces de toutes les ventes, et donc répercuter tous les changements. Le principe était très bon et relevait même de la bonne administration de l’entreprise, il n’aurait pas fallu laisser une porte de sortie… snif.

Arrive ensuite le moment le plus lollesque du texte, l’article 13a.

Autant il demande à fournir des informations tout à fait pertinentes à la personne concernée (données conservées sous la forme chiffrée, etc.) sous la forme d’icônes visant à faciliter la compréhension de la politique applicable aux données, autant certaines informations sont juste … à coté de la plaque.

Demander à une entreprise d’informer ses clients qu’elle en va pas respecter leurs droits relève d’une vision assez particulière du monde des affaires (si j’étais sarcastique, je dirais que je m’inquiète de voir des personnes autant déconnectées du monde réel dicter la façon dont on doit travailler).

Sur les informations générales que le responsable du traitement doit fournir, on retrouve les mêmes informations que précédemment, formulées différemment (art.14). Deux additions notables néanmoins, l’obligation d’informer de l’existence d’un profilage et ses conséquences (savants calculs bancaires pour déterminer s’il est sage d’accorder un prêt, par exemple) et celle d’informer si les autorités publiques ont demandé des informations lors des 12 derniers mois.

Dans le cas de revente de fichiers de données, l’entreprise qui achète un fichier doit prévenir les personnes qui figurent dans ce fichier d’où elle a obtenue leurs données. Ça existait déjà dans la Directive, et comme pour la Directive, personne ne va s’embêter avec ça.

En plus, le texte prévoit un échappatoire légal. Si quelqu’un acquiert des données de façon indirecte (achat de fichier, par exemple), il échappe à l’obligation d’information de la personne concernée s’il est soumis au secret professionnel, d’une façon légale (médecin, etc.) ou via le règlement intérieur.

Je ne voudrais pas faire de mauvais esprit, mais ça commence à faire pas mal d’exceptions laissées à la discrétion des entreprises.

Droits d’accès, de rectification et de suppression

Là aussi, on est en territoire connu. Le droit d’accès (art. 15) reste sur des bases identiques, avec comme différence notable l’obligation pour le responsable de traitement d’indiquer à qui les données ont été transmises ad nominem (en lieu et place du classique « à nos partenaires commerciaux »). Ça a l’air tout bête comme ça, mais ça va faire chauffer les DSI pour adapter les systèmes en place. Ce genre de disposition ne sera clairement pas applicable de suite (et le jour où elle le sera, j’imagine déjà la taille du fichier fourni par Google ou Facebook).

Autre point à souligner, il est possible d’envoyer les informations sous un format électronique, interopérable (un document Microsoft Office est-il interopérable !?).

Le droit de rectification est lui aussi présent, pas de surprise à ce niveau (art. 16). Le droit de suppression (ou droit à l’oubli) aussi (art.17), avec obligation pour le responsable de traitement de faire procéder à l’effacement des données chez les tiers (sans pouvoir se défausser en expliquant que c’est trop compliqué). Suivent aussi pas mal de dispositions techniques sur quand et comment faire, et notamment quand ne pas supprimer immédiatement des données en raison d’une obligation légales. Des éclaircissements bienvenus, car ils étaient sous-entendus dans la Directive.

Un point me chagrine cependant, c’est la disparition du rôle des ayant-droits (qui existaient dans la loi française, et que j’avais réussis à faire inclure dans certains amendements). Une fois que la personne concernée meurt, qui est compétent pour demander la suppression des données ? Il y a un gros sujet de fond sur l’aspect patrimonial que peuvent revêtir ces données. C’est dommage que le Parlement Européen le laisse de coté.

Objection, votre honneur !

Comme précédemment, il est possible d’objecter à figurer dans un traitement de données (art. 19). Le plus facile est de refuser de donner son consentement. Cependant, il est possible de traiter des données sans l’accord de la personne (voir la partie 1). Celle-ci pourra malgré tout s’y opposer si ces traitements sont basés sur l’intérêt vital de la personne concernée (s’il est nécessaire pour un médecin d’accéder à des données vous concernant, vous avez le droit de refuser et de mourir), ou sur la mission de service public dévolue au responsable de traitement.

Et encore, même si vous refusez, le responsable de traitement pourra invoquer un motif supplantant vos droits et libertés fondamentales pour traiter quand même vos données. Vous me suivez ? Non ? Tant pis, dans la pratique ça va surtout intéresser les avocats.

Par contre, si le traitement est basé sur l’intérêt légitime (du responsable de traitement ou d’un tiers), vous pouvez vous y opposer quand vous voulez sans exception. Et ce droit doit vous être communiqué de façon claire.

Profilage

Sauf obligation légale ou intérêt commercial supplantant vos droits et libertés fondamentaux, vous avez le droit à vous opposez à faire l’objet de profilage (art 20).

Mais il faut bien comprendre ce qu’est le profilage. Il s’agit d’analyser certains aspects vous concernant afin de (tenter de) prédire certains autres aspects. Allez-vous rembourser votre prêt ? Êtes-vous un fraudeur potentiel ? Quelles informations sont susceptibles de vous intéresser ?

C’est un domaine très vaste, et les applications sont TRES variées (vous êtes un homme de 50 ans, vous serez intéressé par de l’information sur le cancer de la prostate ; vous êtes d’origine rom et avez 30 ans et 13 enfants, vous êtes une cible potentielle de lutte contre la fraude aux allocations familiales). Certaines sont légitimes, d’autres moins (voir pas du tout).

Comme dit plus haut, vous pouvez vous opposer à figurer dans un système de profilage, et ce droit doit vous être mentionné d’une façon « hautement visible ».

On retrouve aussi un aspect connu de la jurisprudence de la CNIL, qui veut qu’une mesure affectant les droits des personnes (refuser une allocation familiale, par exemple) ne peut être basée uniquement sur un traitement automatisé, il est nécessaire d’avoir une intervention humaine dans le dossier.

Mesures d’exception

Que serait un texte garantissant des droits s’il n’y avait pas le couplet traditionnel sur la sureté de l’Etat ?

On le retrouve à l’article 21, et on explique que les droits exposés dans cet article sont inopérants dès que l’on est en présence de sécurité publique, d’investigation criminelle, d’imposition (WTF !?) de procédure disciplinaire engagée par les Ordres nationaux (Ordre des médecins, des avocats, etc.), ou pour vous protéger (ah, la fameuse lutte anti-terroriste).

Par contre, ça doit faire l’objet d’une loi, qui explique les objectifs poursuivis, le responsable de traitement, les moyens utilisés, les gardes-fous, et la façon dont vous êtes prévenus que vos droits sont supprimés.

Petit détail amusant, le texte interdit que le secteur privé soit associé à ces traitements.

Partie 1 – Généralités

Partie 3 – Les obligations du responsable de traitement

Publicités

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s