Pré-version du Règlement Protection de la vie privée – partie 4

Quatrième et dernière partie de ce tour d’horizon relatif au texte voté en Commission LIBE, avec le soft law, les autorités de contrôle, les sanctions et les régimes particuliers.

Here we go !

Code de conduite

Ils existaient déjà dans la Directive, on les reconduis à la frontière dans ce Règlement (art. 38). À ma connaissance il n’en existe qu’un seul en France, pour les entreprises de marketing direct (vous avez, celles qui vous appellent après 20h pour vous proposer de la défiscalisation). Loin d’être un succès fulgurant, donc.

Et comme ça ne marche pas très bien, on reprend le dispositif, ça fait commenter les juristes, et qui sait, peut-être qu’un jour quelqu’un lui trouvera une utilité.

Certifications

La CNIL avait lancé ses labels relatifs à la formation et aux procédures d’audit, et voilà qu’elle pourra maintenant labelliser des entreprises et des traitements (art. 39).

L’intérêt de la chose ? Excellente question.

L’intérêt marketing est maigre (combien d’entreprises mettent en avant le fait qu’elles ont un CIL ?). Si j’étais machiavélique, je dirais que c’est une façon intéressante de se faire contrôler par la CNIL, l’entreprise pouvant créer les conditions optimales du contrôle afin d’être certaine de recevoir des bons points et une image (le European Data Protection Seal), et surtout de faire bonne impression pour ne pas figurer sur la liste des entreprises à contrôler en priorité.

Les transferts internationaux (hors EU)

L’économie est mondialisée, c’est un fait. Le numérique aussi, c’est encore plus évident. Donc les données voyagent, y compris en dehors de l’UE.

Pour cela, pas besoin de formalités particulières pour les pays dont la Commission reconnaît qu’ils un niveau de protection équivalent en matière de vie privée, comme l’Argentine et d’autres que j’ai oublié (art. 41). Les USA sont à part, ils bénéficient du Safe Harbor, un code de conduite local. Aucune vérification n’est faite sur la réalité du respect des engagements, des entreprises comme Facebook ou Google l’ont d’ailleurs signé. Il est remis en cause, et la décision n’est pas encore tranchée.

Si l’on transfère des données vers un pays un pays ne relevant pas du mécanisme cité, quatre solutions sont possibles (art. 42).

Première solution, utiliser des règles d’entreprises contraignantes, ou BCR (art. 43). Crées par la pratique ces dernières années, il ne s’agit ni plus ni moins que d’une procédure d’autorisation préalable par l’autorité de contrôle du transfert de données. Le détail amusant est que ces BCR seront validées par l’autorité de contrôle principale (j’y reviens plus loin), pour toute l’UE. Donc l’Information Commissionner irlandais pourrait autoriser des transferts massifs de données exécutables en France.

Autre possibilité prévue, bénéficier du fameux European Data Protection Seal (pour les deux parties au transfert).

Si l’on inclue des clauses contractuelles dans le contrat, il faut que ce soient des clauses contractuelles types validées par l’autorité compétente, ou sinon elles doivent être autorisées par celle-ci.

Un mécanisme anti-prism est aussi prévu (art. 43a), plus de détails par ici.

Les autorités de contrôle

Cette partie de l’analyse va aller très vite. Le Parlement Européen a voté un texte, tandis que le Conseil Européen (les gouvernements des 28) continue de s’écharper à ce sujet. Il est quasiment certain que le texte du Parlement ne soit pas repris.

Quel est donc le nœud du problème ?

En abordant les BCR, j’ai parlé de l’autorité de contrôle principale. Comme les gros traitements (type Google ou Facebook) concernent tous les pays de l’UE, il est compliqué de mettre en place une action coordonnée à leur encontre (le contentieux de la CNIL contre Google est vieux de plusieurs années, et court toujours).

Il faut donc trouver un mécanisme qui permette d’accélérer les investigations. La Commission a donc imaginée la création d’un mécanisme permettant de désigner une seule autorité de contrôle compétente au plan européen, à sa charge de mener les investigations et les sanctions.

Et c’est sur ce point que ça pose problème. L’Irlande est ravie de la proposition, son Information Commissioner étant réputé pour protéger Facebook. La CNIL, elle, râle, et formule une contreproposition via le Conseil Européen (cette proposition étant tellement complexe qu’elle fait passer le mécanisme de règlement des conflits de l’OMC pour un modèle du genre).

L’idée derrière cette contreproposition est de laisser du pouvoir aux autres autorités de contrôle en cas d’inaction de l’autorité de contrôle principal.

On en est là pour le moment.

Quoi ? Vous vous attendiez à ce que les discussions portent sur des choses aussi vénales que de savoir si le citoyen va devoir traduire sa plainte en slovaque lui-même, ou si la CNIL s’en chargera ? Non non, on discute de préservation de plates-bandes, pas de l’intérêt du citoyen.

Bref, on en saura plus d’ici la fin de l’année sur la position du Conseil Européen.

Les sanctions

Gros changements dans ce domaine. Fini les sanctions mirobolantes à 100 000 € (CNIL all-time high score), voici venu le temps des sanction à hauteur de 5% du chiffre d’affaire mondial !

NB : on comprend mieux pourquoi la CNIL veut absolument conserver un bout de pré-carré… En sanctionnant la bande des GAFA (Google, Amazon, Facebook, Apple), on rebouche le trou de la Sécu d’un coup ! (15 milliards $ en amendes cumulées pour ces quatre-là).

Cas spéciaux

Je vous annonce depuis le premier article que j’allais parler des traitements statistiques, scientifiques et historiques. Et bien c’est le moment.

Mais avant cela, mentionnons que la liberté de la presse est conservée, les droits conférés par le Règlement pouvant être mis de coté par une législation nationale spécifique (art. 80).

Si un Etat veut permettre l’accès à tous les documents qu’il produit, libre à lui (on pense à la Suède), grâce à l’article 80a. Mais là, comme le texte ne met aucune barrière, je me demande comment vont être arbitrés les différents si un citoyen trouve que son pays va trop loin dans l’ouverture.

Viennent ensuite les règles relatives au traitement des données de santé (art. 81). Ils sont permis uniquement s’ils concernent les soins (au sens large), la santé publique, ou la protection sociale.

Il y a pas mal à dire sur le fait que le texte considère que la protection sociale se limite à l’assurance-maladie (en oubliant la vieillesse, le chômage, etc.), et que le critère principal est le rapport qualité-prix, mais je laisse cette critique à d’autres.

Ce que je voudrais soulever est que le texte passe complètement sous silence la e-health. Il n’y a absolument RIEN qui autorise la mise en place de services basés sur le monitoring de santé. Pire, si jamais on arrivait à interpréter le texte de façon à y voir une autorisation à demi-mots, il faudrait une loi pour autoriser chaque start-up à lancer son business ! (WTF!) Le sujet a été remonté au Ministère de la Santé, espérons qu’il soit pris en compte.

Ensuite un article sur les données concernant les employés (art. 82). Rien de surprenant dedans, c’est juste une explication des principes généraux à destination des employeurs qui auraient fait semblant de ne pas les comprendre. Un petit regret cependant, la phrase « le consentement donnée dans une relation de travail n’est jamais libre » devient le gloubi-goulba suivant : « le consentement d’un employé ne constitue pas une base légale valide pour un traitement par l’employeur quand le consentement n’a pas été donné librement ». Dommage.

La Sécu en prend aussi pour son grade (art. 82a), fini les décrets en Conseil d’Etat, maintenant tout sera géré par le Parlement.

Et nous arrivons, enfin, à l’article relatif aux traitements à finalité statistique, historique ou scientifique (art. 83).

Cet article prévoit que l’on peut traiter des données à caractère personnel pour une des trois finalités décrites plus haut, à condition qu’il soit impossible de le faire de façon anonyme ou pseudonyme.

Soit.

Commençons par les statistiques. Selon moi, une statistique c’est anonyme. Donc traiter des données à caractère personnel en lieu et place de données anonymes pour produire des statistiques ça n’a pas de sens. Ou alors, on veut permettre la reconstitution de l’échantillon à partir de la statistique produite (avec les puissances de calcul actuellement disponibles, c’est envisageable).

Viennent ensuite les recherches scientifiques. Aucun garde-fou n’est proposé, en dehors de l’article relatif aux données de santé. De même, qui est compétent pour jugée que la finalité poursuivie est bien scientifique ? Mettre sur pied sur une surveillance généralisée de l’internet en UE, au motif qu’il est envisagé d’écrire un article académique sur les différentes habitudes nationale en matière de numérique est-il permis au titre de cet article ? Je n’en sais rien, et je n’ai absolument aucune idée de vers qui me tourner pour obtenir la réponse…

Et la finalité historique… La ficelle de la surveillance généralisée est encore plus grosse que pour les finalités scientifiques. Qui peut affirmer qu’un événement apparemment anodin n’aura pas un impact conséquent sur l’Histoire dix ou quinze ans après ? Donc on enregistre tout. Plus sérieusement, mon questionnement est le même que pour les finalités scientifiques, qui est légitime a affirmer qu’un traitement est pertinent sur le plan historique ?

On continue avec les archives (art. 83a), fruit du lobby des archivistes, qui avaient peur que le droit à l’oubli n’impacte de façon trop conséquente leur travail.

Ces deux articles (83 et 83a) mettent en évidence une tendance lourde dans le domaine de la protection de la vie privée, celui de la conservation des données. Personne ne sait exactement combien de temps il est nécessaire de conserver les informations, surtout si celles-ci présentent un intérêt dans un domaine particulier.

L’ancienne Directive abordait le sujet avec trois niveaux de conservation (en production – archive courante – archive historique), alors qu’ici le processus me paraît plus dynamique. Si la donnée présente un intérêt (historique, scientifique), on peut la conserver dans la base au motif qu’elle y figure pour l’une des finalités que je viens d’exposer.

Je pense que c’est de cette façon qu’il faut comprendre les articles 83 et 83a, mais il n’empêche qu’un responsable de traitement un peu roublard pourra les détourner de la façon que j’ai exposé.

Enfin, je terminerais la lecture de ce texte par mentionner un article sur le secret professionnel (art. 84), qui lui aussi va encore bouger suite au Conseil Européen, et un article sur les Églises et autres traitements communautaires (art. 85).

Un point important n’est pas abordé dans ce texte, c’est la question des traitements existants. Le conseil Européen se bat afin que les traitements existants testent légaux après l’entrée en vigueur de ce Règlement, tandis que la rédaction de ce texte implique qu’il faille mettre à jours tous les traitements suite à son adoption.

En mot final, je dirais que je suis mitigé sur ce texte, il y a du bon et du moins bon. Mais globalement, je trouve que trop d’éléments sont laissés à l’appréciation des entreprises. Le CIL-DPO va avoir besoin de courage pour mener sa mission à bien.

 Partie 3 – Obligations du responsable de traitement

Publicités

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s