Windows 7, 8 & 10 : bloquer l’hémorragie de données

Je ne vais pas y aller par quatre chemins, même en le paramétrant au maximum Windows 10 fait fuiter un nombre considérables de données :

Frappes au clavier (oh, le mot de passe de votre banque en ligne…), enregistrements webcam et audio (même si Cortana est désactivé), contenu de votre disque dur, etc…

Et bien évidemment, le tout est transmis à des sociétés tierces.

Oh, j’oubliais, le concept est étendu à Windows 7 et 8 (si tout ça ne vous fait pas passer sous un Windows piraté pour être exclu des updates….).

Bon, que faire pour limiter ceci ?

Seule solution que j’ai trouvé pour le moment, mettre en place un DNS menteur.

Je sais, c’est pas beau (Neutralité du Net), Microsoft peut le contourner à l’update suivante, mais en attendant mieux…

Installez Unbound sur votre machine (si vous avez un Pi qui traine, c’est le moment de le ressortir), et ajoutez les lignes qui suivent dans filter.conf. Le tout sans oublier de décommenter la ligne qui va bien dans service.conf ou unbound.conf :

local-zone: « pre.footprintpredict.com » redirect
local-data: « pre.footprintpredict.com A 127.0.0.1 »

local-zone: « reports.wes.df.telemetry.microsoft.com » redirect
local-data: « reports.wes.df.telemetry.microsoft.com A 127.0.0.1 »

local-zone: « df.telemetry.microsoft.com » redirect
local-data: « df.telemetry.microsoft.com A 127.0.0.1 »

local-zone: « oca.telemetry.microsoft.com » redirect
local-data: « oca.telemetry.microsoft.com A 127.0.0.1 »

local-zone: « oca.telemetry.microsoft.com.nsatc.net » redirect
local-data: « oca.telemetry.microsoft.com.nsatc.net A 127.0.0.1 »

local-zone: « vortex-sandbox.data.microsoft.com » redirect
local-data: « vortex-sandbox.data.microsoft.com A 127.0.0.1 »

local-zone: « pre.footprintpredict.com » redirect
local-data: « pre.footprintpredict.com A 127.0.0.1 »

local-zone: « i1.services.social.microsoft.com » redirect
local-data: « i1.services.social.microsoft.com A 127.0.0.1 »

local-zone: « i1.services.social.microsoft.com.nsatc.net » redirect
local-data: « i1.services.social.microsoft.com.nsatc.net A 127.0.0.1 »

local-zone: « telemetry.appex.bing.net » redirect
local-data: « telemetry.appex.bing.net A 127.0.0.1 »

local-zone: « telemetry.urs.microsoft.com » redirect
local-data: « telemetry.urs.microsoft.com A 127.0.0.1 »

local-zone: « cs1.wpc.v0cdn.net » redirect
local-data: « cs1.wpc.v0cdn.net A 127.0.0.1 »

local-zone: « statsfe1.ws.microsoft.com » redirect
local-data: « statsfe1.ws.microsoft.com A 127.0.0.1 »

local-zone: « oca.telemetry.microsoft.com » redirect
local-data: « oca.telemetry.microsoft.com A 127.0.0.1 »

local-zone: « oca.telemetry.microsoft.com.nsatc.net » redirect
local-data: « oca.telemetry.microsoft.com.nsatc.net A 127.0.0.1 »

local-zone: « vortex-sandbox.data.microsoft.com » redirect
local-data: « vortex-sandbox.data.microsoft.com A 127.0.0.1 »

local-zone: « i1.services.social.microsoft.com » redirect
local-data: « i1.services.social.microsoft.com A 127.0.0.1 »

local-zone: « i1.services.social.microsoft.com.nsatc.net » redirect
local-data: « i1.services.social.microsoft.com.nsatc.net A 127.0.0.1 »

local-zone: « df.telemetry.microsoft.com » redirect
local-data: « df.telemetry.microsoft.com A 127.0.0.1 »

local-zone: « reports.wes.df.telemetry.microsoft.com » redirect
local-data: « reports.wes.df.telemetry.microsoft.com A 127.0.0.1 »

local-zone: « cs1.wpc.v0cdn.net » redirect
local-data: « cs1.wpc.v0cdn.net A 127.0.0.1 »

local-zone: « vortex-sandbox.data.microsoft.com » redirect
local-data: « vortex-sandbox.data.microsoft.com A 127.0.0.1 »

local-zone: « pre.footprintpredict.com » redirect
local-data: « pre.footprintpredict.com A 127.0.0.1 »

local-zone: « vortex.data.microsoft.com » redirect
local-data: « vortex.data.microsoft.com A 127.0.0.1 »

local-zone: « vortex-win.data.microsoft.com » redirect
local-data: « vortex-win.data.microsoft.com A 127.0.0.1 »

local-zone: « telecommand.telemetry.microsoft.com » redirect
local-data: « telecommand.telemetry.microsoft.com A 127.0.0.1 »

local-zone: « telecommand.telemetry.microsoft.com.nsatc.net » redirect
local-data: « telecommand.telemetry.microsoft.com.nsatc.net A 127.0.0.1 »

local-zone: « oca.telemetry.microsoft.com » redirect
local-data: « oca.telemetry.microsoft.com A 127.0.0.1 »

local-zone: « oca.telemetry.microsoft.com.nsatc.net » redirect
local-data: « oca.telemetry.microsoft.com.nsatc.net A 127.0.0.1 »

local-zone: « sqm.telemetry.microsoft.com » redirect
local-data: « sqm.telemetry.microsoft.com A 127.0.0.1 »

local-zone: « sqm.telemetry.microsoft.com.nsatc.net » redirect
local-data: « sqm.telemetry.microsoft.com.nsatc.net A 127.0.0.1 »

local-zone: « oca.telemetry.microsoft.com.nsatc.net » redirect
local-data: « oca.telemetry.microsoft.com.nsatc.net A 127.0.0.1 »

local-zone: « pre.footprintpredict.com » redirect
local-data: « pre.footprintpredict.com A 127.0.0.1 »

local-zone: « reports.wes.df.telemetry.microsoft.com » redirect
local-data: « reports.wes.df.telemetry.microsoft.com A 127.0.0.1 »

local-zone: « vortex-win.data.microsoft.com » redirect
local-data: « vortex-win.data.microsoft.com A 127.0.0.1 »

local-zone: « settings-win.data.microsoft.com » redirect
local-data: « settings-win.data.microsoft.com A 127.0.0.1 »

Ca en fait du monde, non ?

La mort des exceptions au droit d’auteur

Ce 20 mai 2015 la chambre criminelle de la Cour de cassation a assassiné les exceptions au droit d’auteur, dans son (déjà) (et tristement) célèbre arrêt Bluetouff.

Je vous épargne les faits, car :

1) j’ai linké l’arrêt deux lignes au-dessus;

2) si vous ne voyez pas de quoi je parle vous avez vécu dans une grotte ces deux dernières années.

On va donc parler de vol d’une oeuvre immatérielle, notion ô combien étrange…

I. Le vol, ce délit

Défini à l’article 311-1 du code pénal, le vol est un délit puni de 3 ans d’emprisonnement et de 45 000€ d’amende.

Le vol est la soustraction frauduleuse de la chose d’autrui.

Je passe les débats doctrinaux sur la notion de chose (matérielle ou immatérielle, meuble ou immeuble), pour sauter à ce qui est couramment admis en pratique : on ne peut voler que ce qui est meuble (donc pas un appartement), et qui est matérialisé (donc pas une action dans une société, mais le titre de propriété de cette action, si). La notion de soustraction est à prendre en compte, c’est à dire qu’il n’est possible de voler quelque chose que si on prive son propriétaire de la jouissance de l’objet pendant au moins un bref instant.

Par exemple, il n’est pas possible de voler une idée (au sens juridique), et photocopier n’est pas voler.

Sauf si, pour faire la photocopie, l’auteur du vol a soustrait frauduleusement les documents à son légitime propriétaire. Cas d’école : avant de quitter l’entreprise pour monter sa propre boite, une personne photocopie tous les documents intéressants. Elle a alors soustrait momentanément les documents à son propriétaire légitime, le temps de la photocopie. Le vol est caractérisé.

Autre élément intéressant, le vol d’électricité. Il n’existe pas, car il n’y a pas de dépossession de l’énergie.

C’est pour cette raison qu’il existe un article spécial dans le code pénal qui incrimine cet acte, en l’assimilant au vol (311-2 du code pénal).

Rappel de théorie générale de droit pénal : si c’est pas explicitement interdit, c’est autorisé.

II. Rappel sur le droit d’auteur et ses exceptions

L’auteur d’une œuvre dispose d’un droit exclusif sur celle-ci (qu’il peut éventuellement céder). Cela implique qu’il est le seul à décider de quand et comment est diffusée son œuvre.

Il existe un certain nombres d’exceptions à ce principe, qui sont strictes et limitatives (à la différence du droit américain qui reconnait le fair use) :

  • droit de citation et d’analyse
  • revues de presse
  • discours publics
  • parodie et caricature
  • enseignement et recherche
  • utilisation au profit de personnes handicapées
  • droit d’information sur un évènement d’actualité (en gros : journalisme)
  • sécurité publique
  • représentation dans une bibliothèque, école, musée

Et c’est tout.

Si vous voulez utiliser une oeuvre, et qu’elle ne rentre pas dans un de ces cadres, il faut l’accord de l’auteur. Sinon, c’est une contrefaçon.

III. L’apport de l’arrêt Bluetouff quant au vol

La Cour de cassation nous indique que :

Attendu que, pour déclarer le prévenu coupable de maintien frauduleux dans un tel système et vol, l’arrêt prononce par les motifs repris aux moyens ;

[Bluetouff] s’est maintenu dans un système de traitement automatisé après avoir découvert que celui-ci était protégé et a soustrait des données qu’il a utilisées sans le consentement de leur propriétaire, la cour d’appel, qui a caractérisé les délits en tous leurs éléments, a justifié sa décision ;

Bienvenue à la soustraction sans soustraction, la chambre criminelle caractérise le vol alors qu’à aucun moment la victime ne s’est vue dépossédée de ses fichiers informatisés (indice : c’est pour cette raison que l’on parle depuis des années de contrefaçon plutôt que de vol). Un dézingage en règle de cet arrêt est à prévoir dans les prochains temps par les universitaires de tous poils sur ce point.

Analysons plutôt comment cette solution s’articule avec les exceptions au droit d’auteur.

L’arrêt n’en fait pas mention (on peut éventuellement tomber sur le droit de citation et d’analyse, en raison de la publication d’un article sur la légionellose).

Donc les deux infractions (vol et contrefaçon) s’articulent chacune de leur coté, avec leurs spécificités propres.

C’est à dire que si une personne publie une œuvre/article/whatever en s’appuyant sur une autre oeuvre, grâce à l’une des exceptions au droit d’auteur précité, elle pourra quand même être condamnée pour vol.

Il suffira juste à l’auteur original de prouver qu’il ne souhaitait pas que son œuvre se retrouve dans les mains de l’auteur secondaire.

[normalement, là, vous avez réalisé que mon titre était racoleur. Il ne s’agit pas à proprement parler de la mort des exceptions au droit d’auteur. Néanmoins, la simple possibilité qu’elle soient mise en échec par l’infraction de vol est une sérieuse limitation à leur exercice.]

Le statut de l’adresse IP (encore) remis en question

Ce qui est bien avec la Justice, c’est que des choses pourtant évidentes mettent du temps à rentrer dans les mœurs des juges. Du coup, on peut médire à leur encontre à moindre frais 🙂

Cour d’appel de Rennes, 28 avril 2015.

Celle-ci nous indique que :

le fait de conserver, en vue de la découverte ultérieure des auteurs de pénétrations non autorisées sur un réseau  informatique, une liste d’adresses IP[…], sans qu’aucun lien entre ces adresses et des personnes physiques ne soit fait, ne constitu[ait] pas un traitement de données à caractère personnel.

Je vous épargne le listing de jurisprudences, certaines allant dans le sens de la reconnaissance comme donnée à caractère personnel (CJUE notamment), d’autres non (CA françaises notamment). Prenez un bon bouquin si ce point vous intéresse.

[troll] Ça ne gène pourtant pas les tribunaux de condamner en vertu de la HADOPI, c’est à dire d’identifier un coupable sur la base d’une IP. [/troll]

Ce que je veux souligner dans cet article, c’est ce point précis :

sans qu’aucun lien entre ces adresses et des personnes physiques ne soit fait

  • RTFM

Loi n°78-17, article 2 :

Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne.

Je reformule à partir de ce qui est en gras :

Constitue une donnée à caractère personnel toute information relative à une personne physique qui peut être identifiée indirectement, par référence à  un ou plusieurs éléments qui lui sont propres.

Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont  peut avoir accès toute autre personne.

Le second paragraphe est très intéressant, du coup. Pour déterminer si une personne est identifiable, il faut considérer tous les moyens (illégaux y compris ?) à disposition de toute autre personne. Cela inclut donc les moyens exceptionnels dont peut disposer un petit cercle restreint, du type « enquête judiciaire ».

Or la correspondance IP – abonné est disponible, justement, dans le cadre d’une enquête judiciaire. Et pour le cas d’espèce, l’admin sys de la société mise en cause dispose de logs pour savoir quel salarié est en cause.

Bref, l’argument comme quoi aucun rapprochement entre les IP et les salariés n’est effectivement fait est inopérant. Il suffit qu’il soit possible pour que la loi s’applique.

  • RTFM 2.0

Si vous lisez ce blog, l’extrait du jugement va surement vous laisser un petit arrière-gout. Cet arrière-gout, c’est le pseudonyme. Passons sur le fait que ce concept n’existe pas encore juridiquement en France et au niveau de l’UE. Le projet de Règlement le définit dans son article 4. Ici pour la version du Parlement :

‘pseudonymous data’ means personal data that cannot be attributed to a specific data subject without the use of additional information, as long as such additional information is kept separately and subject to technical and organisational measures to ensure non-attribution

ici pour la version du Conseil Européen :

‘pseudonymisation’ means the processing of personal data in such a way that the data can no longer be attributed to a specific data subject without the use of additional information, as long as such additional information is kept separately and subject to technical and organisational measures to ensure non-attribution to an identified or identifiable person
Donc un wording un peu différent, mais le fond reste le même : une information est conservée et traitée de façon séparée de tout élément, ou conjonction d’éléments, qui pourraient permettre de la rattacher à quelqu’un.
Le sort d’un traitement qui respecte cette séparation est encore un peu floue (les lobbyistes continuent de s’affronter à ce sujet), mais la ligne de base est que ces données restent des données à caractère personnel. Tout au plus les traitements bénéficieront d’un formalisme allégé.
Donc même en appliquant un régime juridique qui n’est pas encore fixé, nos Juges se sont plantés ^^’

Responsabilité du fait des robots

Cela fait un petit moment que je n’ai plus rien posté ici, je vais donc en profiter pour vous faire partager un exercice que j’ai proposé à mes étudiants en TD de droit, 2ème année.

(En plus, comme ça, je serais forcé de me renouveler pour l’année prochaine ^^ ).

Le voici :


Une clinique a expérimenté trois robots aides-soignants. Les trois ont connu des incidents, et l’assurance vous contacte pour savoir qui de la clinique ou du fabricant elle doit assigner en justice.

1. Robot à programmation pré-établie

Le robot a été fourni « clés en main » par le fabricant.

En transportant un patient de son lit à la salle de bain, le robot s’est heurté au cadre de porte. Le patient est tombé au sol et a la jambe droite fracturée.

Le rapport d’expert indique :

La fonction iFranchirPorte() comporte une instruction « read » qui, exécutée sur une puce TSM-101 telle que celle équipant le robot en question, renvoie une valeur erronée.

Cette valeur erronée est la source du dysfonctionnement ayant entrainé le heurt du cadre de porte.

 2. Robot à capacité d’apprentissage par mimétisme

Le robot a connu une phase d’apprentissage des gestes, sous l’instruction d’un aide-soignant de la clinique, pendant une semaine.

En transportant un patient de son lit à la salle de bain, le robot s’est heurté au cadre de porte. Le patient est tombé au sol et a la jambe droite fracturée.

Le rapport d’expert indique :

Les enregistrements de la phase d’apprentissage indiquent que, même si l’aide-soignant a fait la démonstration adéquate des gestes, ceux-ci n’ont pu être enregistrés par le robot. L’aide-soignant n’a pas utilisé les bonnes commandes pour activer la phase d’apprentissage du robot.

3. Robot auto-apprenant

Le robot n’a pas besoin d’apprentissage spécifique, il est capable d’apprendre par lui-même simplement en observant. Il peut agir en autonomie, et peut prendre des décisions en fonction du référentiel qu’il s’est construit.

En passant devant la chambre d’un patient en phase terminale d’un cancer, le robot a pris l’initiative de le poignarder en plein cœur.

Le rapport d’expert indique :

Les tests effectués à réception indiquent que le robot n’avait, à ce moment, que la capacité de se déplacer et d’apprendre de nouveaux gestes et concepts. […] Le dump de la mémoire vive effectué après l’incident montre que le robot a analysé la situation du patient, prenant en compte la douleur ressentie, les chances de guérison et le cout des soins palliatifs. Il en a déduit que la meilleure action possible consistait à « terminer la vie » du patient.

 


Buts recherchés :

  • Faire mobiliser aux étudiants leurs connaissances (ici, les différents régimes de responsabilité), mais  pour une application inédite. Think out of the box.
  • Au travers des pseudo-rapports d’experts, faire comprendre aux étudiants qu’ils doivent être curieux sur le monde qui les entoure, et ne pas se cantonner à leur seul univers juridique (l’avenir sera transdisciplinaire ou ne sera pas).

Solutions :

Tout d’abord, j’insiste bien sur « solutions » au pluriel, car nous sommes dans du pur prospectif. Rien de juridiquement contraignant n’existe à l’heure actuelle, donc la balance peut pencher de n’importe quel coté. C’est un point que j’ai bien souligné lors de la séance.

Pour commencer, enfonçons les portes ouvertes. Les robots sont un bien, un objet, appartenant à quelqu’un. À ce titre, les dommages qu’ils causent relèvent du régime de la responsabilité du fait des choses. Un autre point intéressant à analyser consiste à savoir si un robot concluant un contrat engage son propriétaire, ou pas (a priori, je chercherais du coté du consentement).

1. Robot à programmation pré-établie

Ici, le cas est facile. La clinique n’a absolument pas la main sur le robot, qui se contente de suivre sa programmation pré-établie en fonction des ordres qu’il reçoit.

Deux cas de figure :

  • soit l’ordre est dommageable en lui-même (laisse tomber la personne par terre), auquel cas la clinique pourra être poursuivie (garde du comportement)
  • soit l’exécution de l’ordre est imparfaite, auquel cas c’est le fabricant qui est en cause (faute de conception). Plusieurs régimes de responsabilité peuvent s’entrechoquer ; dans ce cas précis la responsabilité contractuelle aurait la préséance (contrat visant à l’expérimentation des robots en cours). Il est aussi possible d’envisager la responsabilité du fait des choses (garde de la structure), 1383 C. Civ., ou encore la responsabilité des produits défectueux.

 2. Robot à capacité d’apprentissage par mimétisme

Les choses se corsent un peu. Le fabricant à livré un robot exempt de défauts, mais nécessitant une phase d’apprentissage. C’est cet apprentissage qui a mal été réalisé, or il incombait à la clinique. Donc responsabilité de la clinique (garde du comportement).

3. Robot auto-apprenant

Ce cas de figure relève pour le moment de la science-fiction. Mais comme des équipes de chercheurs y travaillent, il faut l’envisager.

Ici, ni le fabricant ni la clinique n’ont la maitrise de ce que le robot enregistre, apprend et déduit. Il agit en autonomie. La question de sa personnalité juridique se pose donc ; faut-il donner une personnalité juridique quelconque à un objet capable d’agir de son propre chef, hors de toute supervision humaine ?

Une solution juridique envisageable serait de toujours considérer la responsabilité du fait des choses applicables :

  • si le fait relève d’une action interdite par la loi (comme le meurtre), le fabricant serait responsable (garde de la structure, et/ou responsabilité des produits défectueux)
  • si le fait relève d’une action courante du robot (comme ne pas arriver à franchir une porte), la clinique serait responsable (garde du comportement).

Une autre approche serait de s’inspirer des anciennes règles en vigueur pour la responsabilité des parents du fait de leur enfant, à savoir de devoir démontrer que la clinique a commis une « faute d’éducation » envers le robot, en ne lui inculquant pas les limites de ce qui est autorisé et interdit. Mais cette solution se heurterait à de nombreux obstacles économiques (ne serait-ce que la durée nécessaire pour l’apprentissage).

Privacy in practice : le trackeur d’activités

Parler du (manque de) respect de la vie privée des nouveaux joujoux électroniques c’est bien, mais le constater en pratique c’est mieux !

J’ai récemment découvert que les assurances françaises se lançaient dans la surveillance de leurs assurés par trackeur interposé (Axa, par exemple). Et comme les assurances anglo-saxonnes visent aussi les entreprises, ce n’est qu’une question de temps avant que les entreprises françaises se voient proposé le deal suivant :

On vous fait une remise de 20% si vous équipez vos salariés du dernier BigBro Tracker ™ et que ceux-ci ont un mode de vie sain et équilibré.

Je ne m’étendrais pas sur l’aspect juridique du sujet, vu que de toute façon le code du travail est optionnel en France (note : humour noir).

Donc, pour vérifier l’utilité concrète de ce type de joujou, j’ai décidé de m’en acheter un. Histoire de voir, en vrai, ce que ça vaut. Il s’agit du trackeur MiBand, de la marque Xiaomi (la même que mon téléphone), qui a en plus l’avantage de ne pas être vendu à un tarif exorbitant.

Voici donc mes impressions au bout de 2 jours d’utilisation, sachant que je passe sur les fonctions annexes pour me concentrer sur le trackeur :

Screenshot_2014-12-19-17-47-11

 Le mode JOUR.

On définit un objectif de pas à atteindre (8000 pas étant le chiffre recommandé), et le trackeur calcule combien on en fait dans la journée. C’est approximatif (marge d’erreur de 10% chez moi), et le trackeur vibre quand on atteint l’objectif journalier.

Un graphique à barres indique, heure par heure, combien de pas ont été effectués (entre 9h et 12h, ce chiffre est proche du zéro … ).

Le mode NUIT.

Screenshot_2014-12-19-17-47-19

Il trace l’heure d’endormissement et de réveil, les phases de sommeil léger et profond (quand on ne bouge plus du tout).

Il vibre à l’heure du réveil. Vous avez ci-contre la nuit typique d’un parent dont l’enfant est malade et pleure la nuit ^^.

Donc, au bout de deux jours d’utilisation, mon sentiment est que les salariés n’ont RIEN à gagner en se faisant équiper de ce genre de gadget :

  • Le sentiment d’être badgé comme un pigeon est fort (et pourtant, je m’en suis équipé volontairement)
  • Être traqué 24h/24 par son entreprise, ça ne se justifie que très rarement, et en aucun cas pour économiser quelques euros de cotisations à une mutuelle
  • Qui dans l’entreprise aurait accès à ces données, et dans quelles conditions ? (tout le monde connait le décalage entre les postures de principe et la réalité)
  • Quel usage de ces données aura la mutuelle ? Qu’est-ce que l’employé va en retirer (en dehors d’un rabais de quelques euros sur sa mutuelle) ?
  • Si ces bracelets embarquent la fonction GPS, c’est le jackpot pour l’employeur…
  • Quelles sont les sanctions si un employé ne respecte pas le deal ? Hausse de sa cotisation (et donc doublement perdant ) ? Sans parler des erreurs de mesure des trackeurs…

Bref, affaire à suivre…

Ça s’passe comme ça au SGAE #euDataP

SGAE, kézako ? Secrétariat Général des Affaires Européennes.

Rappel (simplifié): dans l’UE, il faut que trois organes tombent d’accord pour qu’une législation soit adoptée : la Commission Européenne, le Parlement Européen, et le Conseil de l’Union Européenne (représentant les gouvernements des 28).

Le SGAE est l’organe qui (entre autre) coordonne la position de la France au Conseil de l’Union Européenne. Il s’agit du lieu de réflexion qui valide les propositions des différents organismes français, et les transmet aux représentants de la France à Bruxelles (ou ailleurs).

Par mon ancien job, j’ai réussis à participer à quelques une de ces réunions, relatives à #euDataP (merci à la personne qui m’y a fait entrer, elle se reconnaitra). Il s’agissait des réunions interministérielles (par opposition aux réunions avec les lobbys et les experts), regroupant en général le ministère de la santé, l’économie (fisc + INSEE) et la justice. D’autres ministères intervenaient de temps à autre, pour porter des revendications spécifiques (la culture qui défendait le point de vue des archivistes et de la presse, les douanes qui demandaient un aménagement pour les recherches transfrontières, etc.).

Et à ce niveau, deux choses m’ont énormément choqué :

  • J’étais le seul « spécialiste » autour de la table.

Plusieurs autres personnes avaient des connaissances dans le domaine de la privacy, mais ces connaissances portaient surtout sur des contraintes règlementaires spécifiques (ex : INSEE et l’établissement de statistiques). À les entendre, aucune ne savait à quoi ressemblait une déclaration à la CNIL, ni n’avait eu à ferrailler avec une direction métier pour faire retirer certaines données d’un traitement.

Cette méconnaissance de l’application réelle de la loi n’était pas trop gênante quand le SGAE arrivait à organiser des rencontres avec les experts ou lobbys. Mais bien souvent les délais de réponse imposés au niveau européen étaient tellement courts (48h) que seules les réunions interministérielles étaient organisées. Laisser des bureaucrates définir des règles censées s’appliquer dans l’économie « réelle » …

Et quand j’avais le malheur de contredire un collègue … Tous avaient environ 20 à 25 ans de plus que moi, le p’tit jeune, et des titres ronflant (sous-directeur d’un obscur organisme, co-auteur d’un rapport XYZ, etc.). Inutile de dire que le ton montait tout de suite de quelques crans ^^’. Étrangement, ma position n’était quasiment jamais reprise par le SGAE (ironie inside). Mais elle était discutée la réunion d’après, car un autre pays avait fait les mêmes remarques que moi, et figurait donc dans les points à étudier #jdcjdr.

 Et la CNIL, me direz-vous ? Elle ne venait pas à ces réunions ?

En fait, je ne l’ai vu qu’une fois. Pas pour présenter les enjeux du texte ou apporter un éclairage technique sur un point particulier, non. Elle n’est venue que pour défendre son beefsteak territorial (voir ici pour les détails).

  • La défense de l’intérêt général.

Ces réunions regroupant les différents ministères (censés agir pour le bien commun), je m’attendais à discuter de l’intérêt général, à opérer une balance entre les intérêts économiques des entreprises et les intérêts des citoyens.

Que dalle.

Pas une seule fois je n’ai entendu prononcés les mots « citoyen » ou « intérêt général ».

Les représentants des ministères défendaient tous, de manière unanime, l’allègement de leur propre charge de travail.

Le texte ne devait surtout pas leur rajouter un peu de travail en plus.

Éventuellement, ils répercutaient aussi les demandes des lobbys qui avaient l’oreille de leur ministre (la Culture était forte à ce jeu).

Et quand ils ne comprenaient pas un point, ils le passaient sous silence, sans chercher à savoir ce qu’il voulait dire (j’avais, par exemple, essayé d’expliquer qu’interdire l’usage des identifiants gérés par l’Etat comme pseudonymes était une bonne idée. Le silence qui a suivi était tellement pesant que j’ai cru m’être trompé de salle de réunion…).

Je n’ai pu participer à ces réunions que pendant une année, mais elles ont réussi à me convaincre définitivement que l’Administration française était un parasite qui vivait sur le dos de la société.

La diarrhée normative actuelle fait que l’Administration est focalisée sur la façon de réduire le nombre de normes qu’elle viole (la maitrise des risques), et abaisser les exigences normatives en est une. Et sa deuxième préoccupation est de se pérenniser, en faisant plaisir aux copains influents au mépris des moins influents (les Sans-dents).

Instaurer une 6è (ou 7è ou 8è) république ne servira à rien tant qu’on n’aura pas remis le citoyen au centre des préoccupations de l’Etat.

#EUDataP : pourquoi ça coince ?

Note : pour ceux qui ne savent pas où on en est dans la procédure d’adoption du texte, je vous invite à relire ceci.

 

Donc, le texte coince toujours en Conseil de l’Union Européenne.

 

Si encore ça coinçait sur le montant des sanctions financières ou sur les obligations à charge des entreprises, je comprendrais, il s’agit d’orientations politiques. Mais là, ça coince principalement sur une querelle de plate-bandes.

 

Le motif ? Qui aura le droit de taper sur les doigts des GAFA (Google, Amazon, Facebook, Apple). Ceci sont en effet installés en Irlande, pays où la CNIL locale est assez coulante (voire complaisante).

 

Le mécanisme prévu à l’origine par la Commission européenne ressemblait à ça :

désignation chef de file - proposition Commission

Le lieu d’établissement principal servait à désigner l’autorité de contrôle compétente (la CNIL compétente, quoi) pour instruire le dossier, et infliger une sanction valant pour toute l’UE.

 

La CNIL française a bondi de sa chaise en voyant ça, et a proposé le mécanisme suivant :

CNIL-sanctions

Ce mécanisme permettait à n’importe quelle autorité de contrôle de sanctionner les entreprises sur son territoire, quelle que soit la décision de l’autorité de contrôle compétente pour l’ensemble de l’UE (autorité chef de file).

 

L’Irlande a bondi de sa chaise, ainsi que la Commission Européenne.

L’Irlande on sait pourquoi, tandis que la Commission tient au principe du one-stop-shop (une autorité chef de file pour l’ensemble de l’Europe) pour faciliter la vie des entreprises.

 

Soit, la CNIL a pris acte, et a fait montre du génie légistique caractéristique de la France pour imaginer un mécanisme de désignation de l’autorité chef de file :

Irlande-3

Je n’essaie même pas de vous expliquer le processus, mais au bout d’un an de tractation et de réunions/avis divers, la procédure pouvait aboutir à un constat de blocage. Fin de la discussion, chacun rentre chez soi, et les GAFA sont tranquilles.

Inutile de souligner que la plupart des pays n’ont même pas compris la proposition française (qui n’était accompagnée d’aucun schéma explicatif)…

 

Voilà, on en est là. Ca discute depuis plus de 8 mois sur le sujet des chefs de file.

 

Et me direz-vous, à quand un one-stop-shop pour le citoyen ?

Encore faudrait-il qu’on se soucie du citoyen dans ces discussions…

La Court de Justice de l’Union Européenne a jugé la Directive Rétention des Données comme invalide – qu’est-ce que ça va changer concrètement ?

Hier (le 08/04/14) la Court de Justice de l’Union Européenne (CJUE) a jugé la Directive Rétention des Données comme incompatible avec la Convention Européenne des Droits de l’Homme, et par conséquent invalide (pour plus de détails).

Les défenseurs de la vie privée sont ravis. Jan Philipp Albrecht (NdT : rapporteur principal pour le projet de règlement européen sur la protection de la vie privée) a qualifié cet arrêt de « victoire majeure des droits fondamentaux en Europe ». Privacy International estime « qu’il est normal que cette terrible directive soit enfin invalidée ».

Mais il existe un gros décalage entre les décisions européennes et les répercussions nationales, particulièrement quand les pays ont une préférence pour l’inaction (NdT : la France fait partie de ceux-là). Après tout, cette décision ne clôt pas le litige à l’encontre de cette directive, entamé en 2006 (la Haute Court irlandaise doit maintenant se prononcer au regard de son droit national, mais guidée par la décision de la CJUE).

Je me suis donc posé la question de savoir quels effets cette décision allait avoir sur les tendances des gouvernements nationaux à collecter les metadonnés de leurs citoyens. Je suis donc allé poser cette question à Alexander Hanff, un défenseur de la vie privée depuis longtemps et PDG de Think Privacy Inc.   (un fournisseur de technologies de protection de la vie privée et conseil en protection de la vie privée). Je ne peux rien faire de mieux que de vous restituer le verbatim de ses explications.

La déclaration par la CJUE est attendue depuis longtemps, mais est la bienvenue, et elle reprend ce que plusieurs experts en droits de l’Homme et en protection de la vie privée expliquent depuis des années. Cependant, ce qu’elle implique pour le Royaume Uni et les autres pays de l’UE est encore flou. Par exemple, la Directive sur la Rétention des Données est transposée de différentes façons dans les droits nationaux selon les pays, et n’est pas limitée à une seule définition dans une seule loi.

Je crois qu’au Royaume Uni elle est implémentée dans plusieurs textes et lois tels que Privacy and Electronic Communication (EC Directive) et la Regulation of Investigatory Powers Act. Ceci signifie que ces textes doivent être changés, mais avant cela la Directive elle-même doit être modifiée pour respecter le jugement de la CJUE (ou alors être rejetée complètement).

Comme vous le savez, les rouages de la machine tourent incroyablement lentement, ce qui veut dire qu’il peut s’écouler beaucoup de temps avant que la Directive ne soit modifiée. Je suppose que cela va rendre difficile pour les citoyens de soulever l’illégalité de leur transposition nationale de la Directive, car ces États-Membres vont simplement dire qu’ils ont simplement ratifiés la Directive et ne peuvent changer leur droit national tant que la Directive elle-même n’est pas modifiée. En d’autres mots, les États-Membres vont certainement dire « Ce n’est pas notre problème, nous faisons simplement ce que Strasbourg/Bruxelles nous disent de faire ! ».

Ceci dit, même si la plainte était entendue, il faudrait un long moment avant que quoi que ce soit n’arrive. Regardez la situation du Royaume uni avec le RIPA (NdT : loi sur les écoutes policières). Il a fallu deux ans avant que la Commission Européenne débute officiellement une procédure en illicéité pour que le Royaume Uni change sa loi pour être en conformité avec le cadre européen sur les interceptions de communications.

Il est bien sûr possible que le gouvernement du Royaume Uni (ou d’un autre État-Membre) décide de lui-même d’annuler les nombreuses dispositions légales relatives à la rétention des données dans son droit interne, ou les amende pour les rendre conforme à l’arrêt de la CJUE. Mais je pense que c’est hautement improbable compte tenu de la valeur de ces informations en terme de renseignement (comme chacun s’en est rendu compte de façon brutale grâce aux révélations Snowden).

Il est possible pour les citoyens (au moins au Royaume Uni, et possiblement dans tous les États-Membres) d’assigner leur gouvernement devant leur tribunaux nationaux. Ainsi (au moins au Royaume Uni) les arrêts des tribunaux nationaux doivent considérer l’impact sur les droits de l’Homme de ce qui est connu comme « l’effet horizontal » du Human Rights Act (le tribunal étant une entité publique) ; donc une assignation contre le gouvernement sous le Human Rights Act, qui a un impact direct sur la décision du tribunal, pourrait donner lieu à une décision intéressante (NdT : en France il ne serait pas possible de faire annuler directement une loi. Chaque juge devra, pour chaque affaire impliquant une disposition trouvant sa source dans la directive, écarter la directive. S’il ne le fait pas, cour d’appel, puis cour de cassation, puis Cour Européenne des droits de l’Homme pour juger la loi nationale en cause [qui pourrait aller dans un autre sens que la décision de la CJUE. C’est beau le droit]). Mais ce type de contentieux serait extrêmement cher et prendrait un temps considérable (NdT : au doigt mouillé, en France, 12 ans avant que l’affaire ne soiot jugée par la Cour Européenne des Droits de l’Homme). Et pendant ce temps le gouvernement pourrait très bien adopter une autre législation qui crée des obstacles (comme certaines lois relatives à la sécurité nationale (NdT : coucou la loi de programmation militaire)).

Il est trop tôt pour savoir comment cette histoire va se dénouer, mais ce développement est intéressant et mérite que l’on s’y attarde.

On doit donc se réjouir du jugement de la CJUE, mais il y a encore beaucoup à faire et beaucoup à prévenir. Il reste un long chemin avant de tout changer au Royaume Uni (NdT : et en France!).

Traduction d’un article de Kevin Townsend, avec son aimable autorisation.

Le mécanisme anti-prism de l’article 43a

On m’a demandé plus de détails sur ce point, alors plongeons dedans. Je dois préciser que je n’ai aucune idée de comment cet article va s’articuler avec la Directive qui est en discussion parallèle, relative aux infractions pénales.

Mise à niveau en droit international

L’autorité d’un État est limitée au territoire qu’il contrôle. Ses lois ne peuvent s’appliquer ailleurs (sauf cas très particuliers), et les décisions de justice qu’il rend n’ont d’effet que chez lui.

Cela a rapidement posé problème pour les particuliers, notamment pour les procédures de divorce. En effet, comment appliquer à quelqu’un vivant en France un jugement de divorce USA condamnant à une pension alimentaire ? Tout simplement en recourant à la reconnaissance de ce jugement, via la procédure d’exequatur. Au sein de l’UE, cet exequatur est automatique (on peut faire exécuter en Allemagne un jugement français), mais pas pour les autres pays. Il faut passer par un juge, qui vérifiera si le jugement ne viole pas les principes essentiels de la loi française (mariage polygame ou répudiation, par exemple), aussi appelés « lois de police » (rien à voir avec les képis bleus). Si le jugement étranger franchit ce barrage, il est alors exécutoire en France. Détail important, cela peut conduire à faire appliquer en France une décision contraire à ce qu’un tribunal français aurait jugé.

Concernant les actions en justice contre l’État, la procédure est plus simple, seuls les tribunaux nationaux peuvent juger l’État.

Le mécanisme de l’article 43a

Tout d’abord, aucune décision de tribunal ou d’administration étrangère demandant à révéler des données à caractère personnel n’est reconnaissable ou exécutoire en UE (la protection des données à caractère personnel devient une loi de police). Sauf en cas de traité d’assistance mutuelle (pour ce point, il faut que les spécialistes du domaine nous donnent la liste exacte des pays concernés, car je n’en ai aucune idée).

Si ce critère de traité international est rempli, avant de s’exécuter, le responsable de traitement (ou son représentant) doit faire une demande d’autorisation préalable à l’autorité de contrôle compétente. Cette autorisation sera accordée si la demande est justifiée par un important motif d’intérêt public (reconnu dans le pays où est établi le responsable de traitement) ou pour l’exercice d’une action en justice.

Le responsable doit alors informer la personne concernée de la demande d’accès et de l’autorisation accordée, ainsi que du nombre de demande d’accès à ses données durant les douze derniers mois.

Et en pratique

Le site français « mouvement quotidien » essaye de s’implanter aux USA. Comme il n’arrive pas à trouver un partenaire local, il doit bâtir de lui-même sa communauté d’utilisateurs. Et donc accepter tous ceux qui se présentent.

Il se trouve qu’un d’eux poste des vidéos de lolcats à la chaîne. Les USA, garants de l’ordre mondial et de la lutte contre les lolcats, décident que poster ce type de vidéo est un acte de terrorisme grave, et demandent donc à Mouvement quotidien toutes les informations utiles pour identifier ce dangereux terroriste.

  • S’il existe un traité d’assistance entre les USA et l’UE : Mouvement quotidien devra saisir la CNIL, qui se prononcera sur la recevabilité de la demande. La lutte contre les lolcats n’est pas reconnue en France, la demande sera donc rejetée.
  • S’il n’existe pas de traité d’assistance : Loi de police, la demande est rejetée d’office.

 

Dans tous les cas, Mouvement quotidien sera dans la mouise. S’il transmet les informations demandées, il sera condamné en France pour non-respect du Règlement. S’il ne les transmet pas, il sera condamné aux USA pour non-respect d’une demande de l’administration (qui aura quand même accès aux informations par un autre biais ^^’ ).

Pré-version du Règlement Protection de la vie privée – partie 4

Quatrième et dernière partie de ce tour d’horizon relatif au texte voté en Commission LIBE, avec le soft law, les autorités de contrôle, les sanctions et les régimes particuliers.

Here we go !

Code de conduite

Ils existaient déjà dans la Directive, on les reconduis à la frontière dans ce Règlement (art. 38). À ma connaissance il n’en existe qu’un seul en France, pour les entreprises de marketing direct (vous avez, celles qui vous appellent après 20h pour vous proposer de la défiscalisation). Loin d’être un succès fulgurant, donc.

Et comme ça ne marche pas très bien, on reprend le dispositif, ça fait commenter les juristes, et qui sait, peut-être qu’un jour quelqu’un lui trouvera une utilité.

Certifications

La CNIL avait lancé ses labels relatifs à la formation et aux procédures d’audit, et voilà qu’elle pourra maintenant labelliser des entreprises et des traitements (art. 39).

L’intérêt de la chose ? Excellente question.

L’intérêt marketing est maigre (combien d’entreprises mettent en avant le fait qu’elles ont un CIL ?). Si j’étais machiavélique, je dirais que c’est une façon intéressante de se faire contrôler par la CNIL, l’entreprise pouvant créer les conditions optimales du contrôle afin d’être certaine de recevoir des bons points et une image (le European Data Protection Seal), et surtout de faire bonne impression pour ne pas figurer sur la liste des entreprises à contrôler en priorité.

Les transferts internationaux (hors EU)

L’économie est mondialisée, c’est un fait. Le numérique aussi, c’est encore plus évident. Donc les données voyagent, y compris en dehors de l’UE.

Pour cela, pas besoin de formalités particulières pour les pays dont la Commission reconnaît qu’ils un niveau de protection équivalent en matière de vie privée, comme l’Argentine et d’autres que j’ai oublié (art. 41). Les USA sont à part, ils bénéficient du Safe Harbor, un code de conduite local. Aucune vérification n’est faite sur la réalité du respect des engagements, des entreprises comme Facebook ou Google l’ont d’ailleurs signé. Il est remis en cause, et la décision n’est pas encore tranchée.

Si l’on transfère des données vers un pays un pays ne relevant pas du mécanisme cité, quatre solutions sont possibles (art. 42).

Première solution, utiliser des règles d’entreprises contraignantes, ou BCR (art. 43). Crées par la pratique ces dernières années, il ne s’agit ni plus ni moins que d’une procédure d’autorisation préalable par l’autorité de contrôle du transfert de données. Le détail amusant est que ces BCR seront validées par l’autorité de contrôle principale (j’y reviens plus loin), pour toute l’UE. Donc l’Information Commissionner irlandais pourrait autoriser des transferts massifs de données exécutables en France.

Autre possibilité prévue, bénéficier du fameux European Data Protection Seal (pour les deux parties au transfert).

Si l’on inclue des clauses contractuelles dans le contrat, il faut que ce soient des clauses contractuelles types validées par l’autorité compétente, ou sinon elles doivent être autorisées par celle-ci.

Un mécanisme anti-prism est aussi prévu (art. 43a), plus de détails par ici.

Les autorités de contrôle

Cette partie de l’analyse va aller très vite. Le Parlement Européen a voté un texte, tandis que le Conseil Européen (les gouvernements des 28) continue de s’écharper à ce sujet. Il est quasiment certain que le texte du Parlement ne soit pas repris.

Quel est donc le nœud du problème ?

En abordant les BCR, j’ai parlé de l’autorité de contrôle principale. Comme les gros traitements (type Google ou Facebook) concernent tous les pays de l’UE, il est compliqué de mettre en place une action coordonnée à leur encontre (le contentieux de la CNIL contre Google est vieux de plusieurs années, et court toujours).

Il faut donc trouver un mécanisme qui permette d’accélérer les investigations. La Commission a donc imaginée la création d’un mécanisme permettant de désigner une seule autorité de contrôle compétente au plan européen, à sa charge de mener les investigations et les sanctions.

Et c’est sur ce point que ça pose problème. L’Irlande est ravie de la proposition, son Information Commissioner étant réputé pour protéger Facebook. La CNIL, elle, râle, et formule une contreproposition via le Conseil Européen (cette proposition étant tellement complexe qu’elle fait passer le mécanisme de règlement des conflits de l’OMC pour un modèle du genre).

L’idée derrière cette contreproposition est de laisser du pouvoir aux autres autorités de contrôle en cas d’inaction de l’autorité de contrôle principal.

On en est là pour le moment.

Quoi ? Vous vous attendiez à ce que les discussions portent sur des choses aussi vénales que de savoir si le citoyen va devoir traduire sa plainte en slovaque lui-même, ou si la CNIL s’en chargera ? Non non, on discute de préservation de plates-bandes, pas de l’intérêt du citoyen.

Bref, on en saura plus d’ici la fin de l’année sur la position du Conseil Européen.

Les sanctions

Gros changements dans ce domaine. Fini les sanctions mirobolantes à 100 000 € (CNIL all-time high score), voici venu le temps des sanction à hauteur de 5% du chiffre d’affaire mondial !

NB : on comprend mieux pourquoi la CNIL veut absolument conserver un bout de pré-carré… En sanctionnant la bande des GAFA (Google, Amazon, Facebook, Apple), on rebouche le trou de la Sécu d’un coup ! (15 milliards $ en amendes cumulées pour ces quatre-là).

Cas spéciaux

Je vous annonce depuis le premier article que j’allais parler des traitements statistiques, scientifiques et historiques. Et bien c’est le moment.

Mais avant cela, mentionnons que la liberté de la presse est conservée, les droits conférés par le Règlement pouvant être mis de coté par une législation nationale spécifique (art. 80).

Si un Etat veut permettre l’accès à tous les documents qu’il produit, libre à lui (on pense à la Suède), grâce à l’article 80a. Mais là, comme le texte ne met aucune barrière, je me demande comment vont être arbitrés les différents si un citoyen trouve que son pays va trop loin dans l’ouverture.

Viennent ensuite les règles relatives au traitement des données de santé (art. 81). Ils sont permis uniquement s’ils concernent les soins (au sens large), la santé publique, ou la protection sociale.

Il y a pas mal à dire sur le fait que le texte considère que la protection sociale se limite à l’assurance-maladie (en oubliant la vieillesse, le chômage, etc.), et que le critère principal est le rapport qualité-prix, mais je laisse cette critique à d’autres.

Ce que je voudrais soulever est que le texte passe complètement sous silence la e-health. Il n’y a absolument RIEN qui autorise la mise en place de services basés sur le monitoring de santé. Pire, si jamais on arrivait à interpréter le texte de façon à y voir une autorisation à demi-mots, il faudrait une loi pour autoriser chaque start-up à lancer son business ! (WTF!) Le sujet a été remonté au Ministère de la Santé, espérons qu’il soit pris en compte.

Ensuite un article sur les données concernant les employés (art. 82). Rien de surprenant dedans, c’est juste une explication des principes généraux à destination des employeurs qui auraient fait semblant de ne pas les comprendre. Un petit regret cependant, la phrase « le consentement donnée dans une relation de travail n’est jamais libre » devient le gloubi-goulba suivant : « le consentement d’un employé ne constitue pas une base légale valide pour un traitement par l’employeur quand le consentement n’a pas été donné librement ». Dommage.

La Sécu en prend aussi pour son grade (art. 82a), fini les décrets en Conseil d’Etat, maintenant tout sera géré par le Parlement.

Et nous arrivons, enfin, à l’article relatif aux traitements à finalité statistique, historique ou scientifique (art. 83).

Cet article prévoit que l’on peut traiter des données à caractère personnel pour une des trois finalités décrites plus haut, à condition qu’il soit impossible de le faire de façon anonyme ou pseudonyme.

Soit.

Commençons par les statistiques. Selon moi, une statistique c’est anonyme. Donc traiter des données à caractère personnel en lieu et place de données anonymes pour produire des statistiques ça n’a pas de sens. Ou alors, on veut permettre la reconstitution de l’échantillon à partir de la statistique produite (avec les puissances de calcul actuellement disponibles, c’est envisageable).

Viennent ensuite les recherches scientifiques. Aucun garde-fou n’est proposé, en dehors de l’article relatif aux données de santé. De même, qui est compétent pour jugée que la finalité poursuivie est bien scientifique ? Mettre sur pied sur une surveillance généralisée de l’internet en UE, au motif qu’il est envisagé d’écrire un article académique sur les différentes habitudes nationale en matière de numérique est-il permis au titre de cet article ? Je n’en sais rien, et je n’ai absolument aucune idée de vers qui me tourner pour obtenir la réponse…

Et la finalité historique… La ficelle de la surveillance généralisée est encore plus grosse que pour les finalités scientifiques. Qui peut affirmer qu’un événement apparemment anodin n’aura pas un impact conséquent sur l’Histoire dix ou quinze ans après ? Donc on enregistre tout. Plus sérieusement, mon questionnement est le même que pour les finalités scientifiques, qui est légitime a affirmer qu’un traitement est pertinent sur le plan historique ?

On continue avec les archives (art. 83a), fruit du lobby des archivistes, qui avaient peur que le droit à l’oubli n’impacte de façon trop conséquente leur travail.

Ces deux articles (83 et 83a) mettent en évidence une tendance lourde dans le domaine de la protection de la vie privée, celui de la conservation des données. Personne ne sait exactement combien de temps il est nécessaire de conserver les informations, surtout si celles-ci présentent un intérêt dans un domaine particulier.

L’ancienne Directive abordait le sujet avec trois niveaux de conservation (en production – archive courante – archive historique), alors qu’ici le processus me paraît plus dynamique. Si la donnée présente un intérêt (historique, scientifique), on peut la conserver dans la base au motif qu’elle y figure pour l’une des finalités que je viens d’exposer.

Je pense que c’est de cette façon qu’il faut comprendre les articles 83 et 83a, mais il n’empêche qu’un responsable de traitement un peu roublard pourra les détourner de la façon que j’ai exposé.

Enfin, je terminerais la lecture de ce texte par mentionner un article sur le secret professionnel (art. 84), qui lui aussi va encore bouger suite au Conseil Européen, et un article sur les Églises et autres traitements communautaires (art. 85).

Un point important n’est pas abordé dans ce texte, c’est la question des traitements existants. Le conseil Européen se bat afin que les traitements existants testent légaux après l’entrée en vigueur de ce Règlement, tandis que la rédaction de ce texte implique qu’il faille mettre à jours tous les traitements suite à son adoption.

En mot final, je dirais que je suis mitigé sur ce texte, il y a du bon et du moins bon. Mais globalement, je trouve que trop d’éléments sont laissés à l’appréciation des entreprises. Le CIL-DPO va avoir besoin de courage pour mener sa mission à bien.

 Partie 3 – Obligations du responsable de traitement