Ne pas déclarer un traitement à la CNIL, causes et conséquences

NB : il s’agit d’une mise à jour d’un papier écrit en 2011.

Avec la multiplication des ordinateurs personnels, l’utilisation des ERP et CRM, ou encore les réseaux sociaux, les entreprises sont appelées à traiter un nombre toujours plus grand d’informations sur leurs clients et collaborateurs.

À cet égard, la loi du 6 janvier 1978, dite « Informatique et Libertés » ( ci-après « la loi » ), est une loi charnière pour toute entreprise. Elle encadre en effet le traitement de ces données par l’entreprise, de la collecte à leur destruction, en passant par l’archivage et les diverses déclarations obligatoires. Avec bien entendu des sanctions à la clé, prononcées par la CNIL ( amendes voir peines de prison ).

Cependant, depuis quelques années, le juge judiciaire s’est aussi saisi de la question Informatique et Libertés. La Cour de cassation a eu ainsi l’occasion de se prononcer à plusieurs reprises sur l’impact de la non-conformité à la loi Informatique et Libertés au litige qui leur était soumis.

Ces litiges viennent en grande partie de la confusion entretenue autour de la « donnée à caractère personnel ». Selon l’article 2§2 de la loi, il s’agit de toute information relative à une personne identifiée ou identifiable, directement ou pas. Le champ couvert est donc extrêmement large, allant de l’adresse IP à une photo, en passant par les préférences alimentaires ou un relevé bancaire. Dès qu’il est possible de rattacher une information à une personne, même par le biais d’un cryptage ou d’un numéro d’identification, cette information constitue une donnée à caractère personnel, et protégée à ce titre par la loi.

Les principaux points litigieux concernent la définition d’un traitement de données ( I ), ou les conditions dans lesquelles celui-ci est opéré ( II ). Et bien entendu, un certain nombre de conséquences fâcheuses sont attachées à une non-conformité ( III ).

I. Les traitements de données à caractère personnel

Le traitement de données, défini par l’article 2§3 de la loi, s’entend comme toute opération ou ensemble d’opérations portant sur des données à caractère personnel.

Il s’agit tout autant d’un traitement automatisé ( tels une fonction Excel ou un algorithme de tri d’une base de données ) que d’un traitement papier. Relever manuellement les adresses IP – Internet Protocol – d’ordinateurs connectés à un réseau Peer-to-Peer est donc un traitement de données soumis à la loi Informatique et Libertés ( Cass. Crim. 16 juin 2009 ).

De même, détourner la fonction initiale d’un logiciel informatique peut avoir pour conséquence de mettre en œuvre un traitement de données à caractère personnel. Par exemple, utiliser les informations d’un processus de contrôle qualité systématiquement enregistrées pour en déduire l’activité et la productivité du salarié constitue bien un traitement de données devant être déclaré à la CNIL ( Cass. Soc. 11 avril 2008 ).

Enfin, la possibilité d’écouter une conversation téléphonique d’un salarié constitue lui aussi un traitement de données à caractère personnel, dès lors qu’il est possible de rapprocher le message transmis sur le réseau à une personne par le biais de sa voix ou encore du numéro de téléphone ( Cass. Soc. 6 avril 2004 ). Attention aussi aux salariés protégés, qui doivent pouvoir communiquer sans être surveillés ( Cass. Soc. 4 avril 2012 ).

Le chef d’entreprise doit donc être particulièrement vigilant à ce niveau. Dès que des informations relatives à des personnes sont enregistrées, consultées, ou traitées, ces opérations rentrent dans le champ de la loi Informatique et Libertés. Avec toutes les conséquences déclaratives ou de sécurité que cela implique.

La mise à jour d’un logiciel n’entraîne pas, quant à elle, l’obligation de procéder à une modification de la déclaration à la CNIL. En effet, la déclaration porte sur le traitement d’informations, pas sur un logiciel particulier ( Cass. Soc. 23 avril 2013 ).

II. Les conditions opératoires du traitement

Dés qu’un traitement de données est mis en oeuvre ( volontairement ou non ), les personnes concernées ( c’est-à-dire celles à propos desquelles on recueille les informations ) doivent être informées d’un certain nombre de points.

Il faut par exemple s’assurer que la personne a bien donné son accord au recueil et au traitement des informations, et qu’elle soit mise au courant des modalités de s’opposer au traitement de ses données. Et si dans la pratique on empêche que la personne puisse faire valoir son droit d’opposition, le traitement se voit qualifié de déloyal ( Cass. Crim. 14 mars 2006 ).

Parmi les autres informations à fournir à la personne concernée, l’oubli de la mention des droits des personnes concernées sur tous les documents ou l’oubli de la mention du responsable de traitement sont aussi sources de contentieux.

De même, une attention particulière doit être portée au périmètre du traitement. Que ce soit par le biais d’une déclaration normale, simplifiée ou d’une dérogation, l’approbation de la CNIL à la mise en œuvre du traitement ne vaut que pour le cadre dans lequel il a été

déclaré. Ainsi, un système de contrôle qualité ne peut en aucun servir d’outil de mesure de l’activité d’un salarié, à moins d’avoir été expressément mentionné dans la déclaration auprès de la CNIL ( Cass. Soc. 11 avril 2008 ).

Il ne faut pas non plus oublier que les informations enregistrées doivent être exactes, et les corriger le cas échéant. Sauf si cette correction est impossible techniquement ( Cass. Civ 1 04 mai 2012 ).

III. Conséquences de la non-conformité

Les hypothèses de non-conformité sont nombreuses, celles évoquées dans cet article n’étant que celles sur lesquelles la Cour de cassation a eu l’occasion de se prononcer. Plusieurs autres sont appelées à connaître un avenir judiciaire riche, comme par exemple le défaut de sécurité.

Or la conséquence d’une non-conformité est simple, mais extrêmement dangereuse pour une entreprise. Il s’agit de l’illicéité du traitement en cause ( Cass. Com. 04 octobre 2011 ).

Cette illicéité signifie que tout acte basé sur le traitement de données sera illicite, et donc nul. Licencier un salarié volant dans la caisse, avec pour preuve des images de vidéo-surveillance ? Illicite si l’employeur a oublié de déclarer son système de vidéo-surveillance à la CNIL en tant qu’outil de surveillance des salariés. Le licenciement sera ainsi requalifié en licenciement sans cause réelle et sérieuse (Cass. Soc 26 juin 2013 ).

Un salarié refuse de mettre en oeuvre un traitement de données à caractère personnel qui n’a pas été déclaré à la CNIL ? Cela est parfaitement justifié de sa part. À moins que ce traitement ne soit expressément prévu par la loi, comme un chronotachygraphe sur un véhicule poids lourds ( Cass. Soc. 14 janvier 2014 ).

Vous êtes une entreprise qui vend des produits soumis à déclaration de la CNIL ? Attention, le contrat est nul si vous avez oublié d’effectuer la déclaration ( Cass. Com 25 juin 2013 ). La vente d’un fichier de mailing peut ainsi être annulée.

Il apparaît clairement que la loi Informatique et Libertés n’est plus dorénavant une loi sectorielle, et spécifique. Son champ d’application touche l’ensemble de l’économie actuelle, plus aucune entreprise ne peut faire l’impasse sur une mise en conformité avec la loi. Si l’obligation de déclaration à la CNIL est une obligation connue des chefs d’entreprise, ils doivent être conscients que le non-respect du périmètre de déclaration ( ou toute autre irrégularité ) se tournera systématiquement en leur défaveur en cas de règlement judiciaire du différend.

Publicités

La Court de Justice de l’Union Européenne a jugé la Directive Rétention des Données comme invalide – qu’est-ce que ça va changer concrètement ?

Hier (le 08/04/14) la Court de Justice de l’Union Européenne (CJUE) a jugé la Directive Rétention des Données comme incompatible avec la Convention Européenne des Droits de l’Homme, et par conséquent invalide (pour plus de détails).

Les défenseurs de la vie privée sont ravis. Jan Philipp Albrecht (NdT : rapporteur principal pour le projet de règlement européen sur la protection de la vie privée) a qualifié cet arrêt de « victoire majeure des droits fondamentaux en Europe ». Privacy International estime « qu’il est normal que cette terrible directive soit enfin invalidée ».

Mais il existe un gros décalage entre les décisions européennes et les répercussions nationales, particulièrement quand les pays ont une préférence pour l’inaction (NdT : la France fait partie de ceux-là). Après tout, cette décision ne clôt pas le litige à l’encontre de cette directive, entamé en 2006 (la Haute Court irlandaise doit maintenant se prononcer au regard de son droit national, mais guidée par la décision de la CJUE).

Je me suis donc posé la question de savoir quels effets cette décision allait avoir sur les tendances des gouvernements nationaux à collecter les metadonnés de leurs citoyens. Je suis donc allé poser cette question à Alexander Hanff, un défenseur de la vie privée depuis longtemps et PDG de Think Privacy Inc.   (un fournisseur de technologies de protection de la vie privée et conseil en protection de la vie privée). Je ne peux rien faire de mieux que de vous restituer le verbatim de ses explications.

La déclaration par la CJUE est attendue depuis longtemps, mais est la bienvenue, et elle reprend ce que plusieurs experts en droits de l’Homme et en protection de la vie privée expliquent depuis des années. Cependant, ce qu’elle implique pour le Royaume Uni et les autres pays de l’UE est encore flou. Par exemple, la Directive sur la Rétention des Données est transposée de différentes façons dans les droits nationaux selon les pays, et n’est pas limitée à une seule définition dans une seule loi.

Je crois qu’au Royaume Uni elle est implémentée dans plusieurs textes et lois tels que Privacy and Electronic Communication (EC Directive) et la Regulation of Investigatory Powers Act. Ceci signifie que ces textes doivent être changés, mais avant cela la Directive elle-même doit être modifiée pour respecter le jugement de la CJUE (ou alors être rejetée complètement).

Comme vous le savez, les rouages de la machine tourent incroyablement lentement, ce qui veut dire qu’il peut s’écouler beaucoup de temps avant que la Directive ne soit modifiée. Je suppose que cela va rendre difficile pour les citoyens de soulever l’illégalité de leur transposition nationale de la Directive, car ces États-Membres vont simplement dire qu’ils ont simplement ratifiés la Directive et ne peuvent changer leur droit national tant que la Directive elle-même n’est pas modifiée. En d’autres mots, les États-Membres vont certainement dire « Ce n’est pas notre problème, nous faisons simplement ce que Strasbourg/Bruxelles nous disent de faire ! ».

Ceci dit, même si la plainte était entendue, il faudrait un long moment avant que quoi que ce soit n’arrive. Regardez la situation du Royaume uni avec le RIPA (NdT : loi sur les écoutes policières). Il a fallu deux ans avant que la Commission Européenne débute officiellement une procédure en illicéité pour que le Royaume Uni change sa loi pour être en conformité avec le cadre européen sur les interceptions de communications.

Il est bien sûr possible que le gouvernement du Royaume Uni (ou d’un autre État-Membre) décide de lui-même d’annuler les nombreuses dispositions légales relatives à la rétention des données dans son droit interne, ou les amende pour les rendre conforme à l’arrêt de la CJUE. Mais je pense que c’est hautement improbable compte tenu de la valeur de ces informations en terme de renseignement (comme chacun s’en est rendu compte de façon brutale grâce aux révélations Snowden).

Il est possible pour les citoyens (au moins au Royaume Uni, et possiblement dans tous les États-Membres) d’assigner leur gouvernement devant leur tribunaux nationaux. Ainsi (au moins au Royaume Uni) les arrêts des tribunaux nationaux doivent considérer l’impact sur les droits de l’Homme de ce qui est connu comme « l’effet horizontal » du Human Rights Act (le tribunal étant une entité publique) ; donc une assignation contre le gouvernement sous le Human Rights Act, qui a un impact direct sur la décision du tribunal, pourrait donner lieu à une décision intéressante (NdT : en France il ne serait pas possible de faire annuler directement une loi. Chaque juge devra, pour chaque affaire impliquant une disposition trouvant sa source dans la directive, écarter la directive. S’il ne le fait pas, cour d’appel, puis cour de cassation, puis Cour Européenne des droits de l’Homme pour juger la loi nationale en cause [qui pourrait aller dans un autre sens que la décision de la CJUE. C’est beau le droit]). Mais ce type de contentieux serait extrêmement cher et prendrait un temps considérable (NdT : au doigt mouillé, en France, 12 ans avant que l’affaire ne soiot jugée par la Cour Européenne des Droits de l’Homme). Et pendant ce temps le gouvernement pourrait très bien adopter une autre législation qui crée des obstacles (comme certaines lois relatives à la sécurité nationale (NdT : coucou la loi de programmation militaire)).

Il est trop tôt pour savoir comment cette histoire va se dénouer, mais ce développement est intéressant et mérite que l’on s’y attarde.

On doit donc se réjouir du jugement de la CJUE, mais il y a encore beaucoup à faire et beaucoup à prévenir. Il reste un long chemin avant de tout changer au Royaume Uni (NdT : et en France!).

Traduction d’un article de Kevin Townsend, avec son aimable autorisation.

Le mécanisme anti-prism de l’article 43a

On m’a demandé plus de détails sur ce point, alors plongeons dedans. Je dois préciser que je n’ai aucune idée de comment cet article va s’articuler avec la Directive qui est en discussion parallèle, relative aux infractions pénales.

Mise à niveau en droit international

L’autorité d’un État est limitée au territoire qu’il contrôle. Ses lois ne peuvent s’appliquer ailleurs (sauf cas très particuliers), et les décisions de justice qu’il rend n’ont d’effet que chez lui.

Cela a rapidement posé problème pour les particuliers, notamment pour les procédures de divorce. En effet, comment appliquer à quelqu’un vivant en France un jugement de divorce USA condamnant à une pension alimentaire ? Tout simplement en recourant à la reconnaissance de ce jugement, via la procédure d’exequatur. Au sein de l’UE, cet exequatur est automatique (on peut faire exécuter en Allemagne un jugement français), mais pas pour les autres pays. Il faut passer par un juge, qui vérifiera si le jugement ne viole pas les principes essentiels de la loi française (mariage polygame ou répudiation, par exemple), aussi appelés « lois de police » (rien à voir avec les képis bleus). Si le jugement étranger franchit ce barrage, il est alors exécutoire en France. Détail important, cela peut conduire à faire appliquer en France une décision contraire à ce qu’un tribunal français aurait jugé.

Concernant les actions en justice contre l’État, la procédure est plus simple, seuls les tribunaux nationaux peuvent juger l’État.

Le mécanisme de l’article 43a

Tout d’abord, aucune décision de tribunal ou d’administration étrangère demandant à révéler des données à caractère personnel n’est reconnaissable ou exécutoire en UE (la protection des données à caractère personnel devient une loi de police). Sauf en cas de traité d’assistance mutuelle (pour ce point, il faut que les spécialistes du domaine nous donnent la liste exacte des pays concernés, car je n’en ai aucune idée).

Si ce critère de traité international est rempli, avant de s’exécuter, le responsable de traitement (ou son représentant) doit faire une demande d’autorisation préalable à l’autorité de contrôle compétente. Cette autorisation sera accordée si la demande est justifiée par un important motif d’intérêt public (reconnu dans le pays où est établi le responsable de traitement) ou pour l’exercice d’une action en justice.

Le responsable doit alors informer la personne concernée de la demande d’accès et de l’autorisation accordée, ainsi que du nombre de demande d’accès à ses données durant les douze derniers mois.

Et en pratique

Le site français « mouvement quotidien » essaye de s’implanter aux USA. Comme il n’arrive pas à trouver un partenaire local, il doit bâtir de lui-même sa communauté d’utilisateurs. Et donc accepter tous ceux qui se présentent.

Il se trouve qu’un d’eux poste des vidéos de lolcats à la chaîne. Les USA, garants de l’ordre mondial et de la lutte contre les lolcats, décident que poster ce type de vidéo est un acte de terrorisme grave, et demandent donc à Mouvement quotidien toutes les informations utiles pour identifier ce dangereux terroriste.

  • S’il existe un traité d’assistance entre les USA et l’UE : Mouvement quotidien devra saisir la CNIL, qui se prononcera sur la recevabilité de la demande. La lutte contre les lolcats n’est pas reconnue en France, la demande sera donc rejetée.
  • S’il n’existe pas de traité d’assistance : Loi de police, la demande est rejetée d’office.

 

Dans tous les cas, Mouvement quotidien sera dans la mouise. S’il transmet les informations demandées, il sera condamné en France pour non-respect du Règlement. S’il ne les transmet pas, il sera condamné aux USA pour non-respect d’une demande de l’administration (qui aura quand même accès aux informations par un autre biais ^^’ ).

Pré-version du Règlement Protection de la vie privée – partie 4

Quatrième et dernière partie de ce tour d’horizon relatif au texte voté en Commission LIBE, avec le soft law, les autorités de contrôle, les sanctions et les régimes particuliers.

Here we go !

Code de conduite

Ils existaient déjà dans la Directive, on les reconduis à la frontière dans ce Règlement (art. 38). À ma connaissance il n’en existe qu’un seul en France, pour les entreprises de marketing direct (vous avez, celles qui vous appellent après 20h pour vous proposer de la défiscalisation). Loin d’être un succès fulgurant, donc.

Et comme ça ne marche pas très bien, on reprend le dispositif, ça fait commenter les juristes, et qui sait, peut-être qu’un jour quelqu’un lui trouvera une utilité.

Certifications

La CNIL avait lancé ses labels relatifs à la formation et aux procédures d’audit, et voilà qu’elle pourra maintenant labelliser des entreprises et des traitements (art. 39).

L’intérêt de la chose ? Excellente question.

L’intérêt marketing est maigre (combien d’entreprises mettent en avant le fait qu’elles ont un CIL ?). Si j’étais machiavélique, je dirais que c’est une façon intéressante de se faire contrôler par la CNIL, l’entreprise pouvant créer les conditions optimales du contrôle afin d’être certaine de recevoir des bons points et une image (le European Data Protection Seal), et surtout de faire bonne impression pour ne pas figurer sur la liste des entreprises à contrôler en priorité.

Les transferts internationaux (hors EU)

L’économie est mondialisée, c’est un fait. Le numérique aussi, c’est encore plus évident. Donc les données voyagent, y compris en dehors de l’UE.

Pour cela, pas besoin de formalités particulières pour les pays dont la Commission reconnaît qu’ils un niveau de protection équivalent en matière de vie privée, comme l’Argentine et d’autres que j’ai oublié (art. 41). Les USA sont à part, ils bénéficient du Safe Harbor, un code de conduite local. Aucune vérification n’est faite sur la réalité du respect des engagements, des entreprises comme Facebook ou Google l’ont d’ailleurs signé. Il est remis en cause, et la décision n’est pas encore tranchée.

Si l’on transfère des données vers un pays un pays ne relevant pas du mécanisme cité, quatre solutions sont possibles (art. 42).

Première solution, utiliser des règles d’entreprises contraignantes, ou BCR (art. 43). Crées par la pratique ces dernières années, il ne s’agit ni plus ni moins que d’une procédure d’autorisation préalable par l’autorité de contrôle du transfert de données. Le détail amusant est que ces BCR seront validées par l’autorité de contrôle principale (j’y reviens plus loin), pour toute l’UE. Donc l’Information Commissionner irlandais pourrait autoriser des transferts massifs de données exécutables en France.

Autre possibilité prévue, bénéficier du fameux European Data Protection Seal (pour les deux parties au transfert).

Si l’on inclue des clauses contractuelles dans le contrat, il faut que ce soient des clauses contractuelles types validées par l’autorité compétente, ou sinon elles doivent être autorisées par celle-ci.

Un mécanisme anti-prism est aussi prévu (art. 43a), plus de détails par ici.

Les autorités de contrôle

Cette partie de l’analyse va aller très vite. Le Parlement Européen a voté un texte, tandis que le Conseil Européen (les gouvernements des 28) continue de s’écharper à ce sujet. Il est quasiment certain que le texte du Parlement ne soit pas repris.

Quel est donc le nœud du problème ?

En abordant les BCR, j’ai parlé de l’autorité de contrôle principale. Comme les gros traitements (type Google ou Facebook) concernent tous les pays de l’UE, il est compliqué de mettre en place une action coordonnée à leur encontre (le contentieux de la CNIL contre Google est vieux de plusieurs années, et court toujours).

Il faut donc trouver un mécanisme qui permette d’accélérer les investigations. La Commission a donc imaginée la création d’un mécanisme permettant de désigner une seule autorité de contrôle compétente au plan européen, à sa charge de mener les investigations et les sanctions.

Et c’est sur ce point que ça pose problème. L’Irlande est ravie de la proposition, son Information Commissioner étant réputé pour protéger Facebook. La CNIL, elle, râle, et formule une contreproposition via le Conseil Européen (cette proposition étant tellement complexe qu’elle fait passer le mécanisme de règlement des conflits de l’OMC pour un modèle du genre).

L’idée derrière cette contreproposition est de laisser du pouvoir aux autres autorités de contrôle en cas d’inaction de l’autorité de contrôle principal.

On en est là pour le moment.

Quoi ? Vous vous attendiez à ce que les discussions portent sur des choses aussi vénales que de savoir si le citoyen va devoir traduire sa plainte en slovaque lui-même, ou si la CNIL s’en chargera ? Non non, on discute de préservation de plates-bandes, pas de l’intérêt du citoyen.

Bref, on en saura plus d’ici la fin de l’année sur la position du Conseil Européen.

Les sanctions

Gros changements dans ce domaine. Fini les sanctions mirobolantes à 100 000 € (CNIL all-time high score), voici venu le temps des sanction à hauteur de 5% du chiffre d’affaire mondial !

NB : on comprend mieux pourquoi la CNIL veut absolument conserver un bout de pré-carré… En sanctionnant la bande des GAFA (Google, Amazon, Facebook, Apple), on rebouche le trou de la Sécu d’un coup ! (15 milliards $ en amendes cumulées pour ces quatre-là).

Cas spéciaux

Je vous annonce depuis le premier article que j’allais parler des traitements statistiques, scientifiques et historiques. Et bien c’est le moment.

Mais avant cela, mentionnons que la liberté de la presse est conservée, les droits conférés par le Règlement pouvant être mis de coté par une législation nationale spécifique (art. 80).

Si un Etat veut permettre l’accès à tous les documents qu’il produit, libre à lui (on pense à la Suède), grâce à l’article 80a. Mais là, comme le texte ne met aucune barrière, je me demande comment vont être arbitrés les différents si un citoyen trouve que son pays va trop loin dans l’ouverture.

Viennent ensuite les règles relatives au traitement des données de santé (art. 81). Ils sont permis uniquement s’ils concernent les soins (au sens large), la santé publique, ou la protection sociale.

Il y a pas mal à dire sur le fait que le texte considère que la protection sociale se limite à l’assurance-maladie (en oubliant la vieillesse, le chômage, etc.), et que le critère principal est le rapport qualité-prix, mais je laisse cette critique à d’autres.

Ce que je voudrais soulever est que le texte passe complètement sous silence la e-health. Il n’y a absolument RIEN qui autorise la mise en place de services basés sur le monitoring de santé. Pire, si jamais on arrivait à interpréter le texte de façon à y voir une autorisation à demi-mots, il faudrait une loi pour autoriser chaque start-up à lancer son business ! (WTF!) Le sujet a été remonté au Ministère de la Santé, espérons qu’il soit pris en compte.

Ensuite un article sur les données concernant les employés (art. 82). Rien de surprenant dedans, c’est juste une explication des principes généraux à destination des employeurs qui auraient fait semblant de ne pas les comprendre. Un petit regret cependant, la phrase « le consentement donnée dans une relation de travail n’est jamais libre » devient le gloubi-goulba suivant : « le consentement d’un employé ne constitue pas une base légale valide pour un traitement par l’employeur quand le consentement n’a pas été donné librement ». Dommage.

La Sécu en prend aussi pour son grade (art. 82a), fini les décrets en Conseil d’Etat, maintenant tout sera géré par le Parlement.

Et nous arrivons, enfin, à l’article relatif aux traitements à finalité statistique, historique ou scientifique (art. 83).

Cet article prévoit que l’on peut traiter des données à caractère personnel pour une des trois finalités décrites plus haut, à condition qu’il soit impossible de le faire de façon anonyme ou pseudonyme.

Soit.

Commençons par les statistiques. Selon moi, une statistique c’est anonyme. Donc traiter des données à caractère personnel en lieu et place de données anonymes pour produire des statistiques ça n’a pas de sens. Ou alors, on veut permettre la reconstitution de l’échantillon à partir de la statistique produite (avec les puissances de calcul actuellement disponibles, c’est envisageable).

Viennent ensuite les recherches scientifiques. Aucun garde-fou n’est proposé, en dehors de l’article relatif aux données de santé. De même, qui est compétent pour jugée que la finalité poursuivie est bien scientifique ? Mettre sur pied sur une surveillance généralisée de l’internet en UE, au motif qu’il est envisagé d’écrire un article académique sur les différentes habitudes nationale en matière de numérique est-il permis au titre de cet article ? Je n’en sais rien, et je n’ai absolument aucune idée de vers qui me tourner pour obtenir la réponse…

Et la finalité historique… La ficelle de la surveillance généralisée est encore plus grosse que pour les finalités scientifiques. Qui peut affirmer qu’un événement apparemment anodin n’aura pas un impact conséquent sur l’Histoire dix ou quinze ans après ? Donc on enregistre tout. Plus sérieusement, mon questionnement est le même que pour les finalités scientifiques, qui est légitime a affirmer qu’un traitement est pertinent sur le plan historique ?

On continue avec les archives (art. 83a), fruit du lobby des archivistes, qui avaient peur que le droit à l’oubli n’impacte de façon trop conséquente leur travail.

Ces deux articles (83 et 83a) mettent en évidence une tendance lourde dans le domaine de la protection de la vie privée, celui de la conservation des données. Personne ne sait exactement combien de temps il est nécessaire de conserver les informations, surtout si celles-ci présentent un intérêt dans un domaine particulier.

L’ancienne Directive abordait le sujet avec trois niveaux de conservation (en production – archive courante – archive historique), alors qu’ici le processus me paraît plus dynamique. Si la donnée présente un intérêt (historique, scientifique), on peut la conserver dans la base au motif qu’elle y figure pour l’une des finalités que je viens d’exposer.

Je pense que c’est de cette façon qu’il faut comprendre les articles 83 et 83a, mais il n’empêche qu’un responsable de traitement un peu roublard pourra les détourner de la façon que j’ai exposé.

Enfin, je terminerais la lecture de ce texte par mentionner un article sur le secret professionnel (art. 84), qui lui aussi va encore bouger suite au Conseil Européen, et un article sur les Églises et autres traitements communautaires (art. 85).

Un point important n’est pas abordé dans ce texte, c’est la question des traitements existants. Le conseil Européen se bat afin que les traitements existants testent légaux après l’entrée en vigueur de ce Règlement, tandis que la rédaction de ce texte implique qu’il faille mettre à jours tous les traitements suite à son adoption.

En mot final, je dirais que je suis mitigé sur ce texte, il y a du bon et du moins bon. Mais globalement, je trouve que trop d’éléments sont laissés à l’appréciation des entreprises. Le CIL-DPO va avoir besoin de courage pour mener sa mission à bien.

 Partie 3 – Obligations du responsable de traitement

Pré-version du Règlement Protection de la vie privée – partie 3

Continuons notre lecture, et passons aux obligations du responsable de traitement et de son sous-traitant (dans le domaine de la protection de la vie privée, le sous-traitant est celui qui agit sur ordre d’un responsable de traitement, c’est un tout petit peu différent de la notion en marché public).

Les différents textes :

La directive 95/46 CE (celle encore en vigueur) est trouvable là : http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:fr:HTML

Le texte voté lundi 23/10/13 ici : http://t.co/UN1D7mIzZh

L’analyse des dix premiers articles du texte : https://wiedenhoff.wordpress.com/2013/10/23/pre-version-du-reglement-protection-de-la-vie-privee-partie-1

L’analyse des droits des personnes : https://wiedenhoff.wordpress.com/2013/10/23/pre-version-du-reglement-protection-de-la-vie-privee-partie-2

Généralités

Sur le plan des définitions (art. 22), le responsable du traitement reste identique à la Directive. Par contre, apparaît la notion de cout. En fonction de l’état de l’art et des couts, le responsable doit prendre toutes le mesures raisonnables pour se mettre en conformité. Je vous ai déjà dit que je trouvais qu’il y avait beaucoup de choses laissées à l’appréciation des entreprises, non ?

Les notions de protection de la vie privée par défaut et par la conception font leur entrée( art. 23). Vous m’excuserez, mais je vais rester sur les anglicismes pour ces termes, et parler de privacy by design et privacy by default. Ces notions sont connues et reconnues (et explicites), je ne vais donc pas m’étendre dessus. Par contre, bonne idée de les inclure.

Ensuite, mon article préféré, les responsables de traitement joints (art. 24). Cet article oblige les partenaires à bien établir leurs responsabilités respectives dans les traitements en présence, sous peine d’être responsables conjointement des erreurs de l’un. Je me demande comment les entreprises fonctionnant avec du cloud vont intégrer cet élément (vraie question, ce coup-ci). En effet, un contrat de type Amazon AWS, dans lequel il est écrit qu’Amazon n’est responsable de rien concernant sa plate-forme de cloud, me paraît difficilement justifiable (surtout si c’est Amazon qui a une défaillance de sécurité). Il y aura de la jurisprudence à faire dans ce domaine.

L’obligation d’avoir un représentant sur le territoire de l’UE est maintenue pour les entreprises extérieures (sauf une ou deux exceptions minimes) (art. 25), et le sous-traitant est traité de la même façon que dans la Directive (les conditions ajoutées étant de pur bon sens) (art. 26 et 27).

Puis, au détour d’un article sans surprise ni saveur, paf, le Registre des traitements devient obligatoire (art. 28). Apparu avec le décret de 2005 en France, pour les entreprises ayant désigné un CIL, il s’agit d’un registre regroupant toute la documentation nécessaire pour prouver que les traitements de l’entreprise sont conformes au Règlement. C’est juste dommage qu’il ne soit pas mentionné que ce Registre soit public.

L’article suivant (art. 29) nous explique que les responsables de traitement ont dorénavant l’obligation de coopérer avec les autorités de contrôle (la CNIL en France). Il n’est donc plus possible de s’opposer à un contrôle sur place ? (autre vraie question).

Ensuite, vient l’obligation de garder les données de façon sécurisée (art. 30), obligation toutefois modulée en fonction de l’état de l’art et des couts d’implémentation.

Entre les efforts disproportionnés et les couts d’implémentation, il y a quand même possibilité de ne pas appliquer les ¾ du Règlement… Passons…

Le texte détaille un peu les attentes, et explique qu’il faut plus de protection si on traite des données sensibles. Rien de neuf sous le soleil, c’est une description du minimum vital à faire en entreprise (mais qui souvent n’est pas fait).

Les notifications de violation (art. 31 et 32) font leur apparition, auparavant réservées au secteur des telco. Les lobbyistes et Parlementaires ont beaucoup débattus sur le délai dans lequel il fallait faire public cette violation, la formulation finale étant « sans retard indu » (ou l’art de ménager la chèvre et le chou). Il faut donc expliquer à l’autorité de contrôle ce qui s’est passé, et les mesures prises pour atténuer les conséquences. Les personnes dont les données se seront faites piratées sont aussi prévenues afin qu’elles puissent agir (opposition à sa carte bleu, etc.), à moins que les données soient chiffrées (donc si le site web affiche un logo en vertu de l’article 14 comme quoi les données sont stockées chiffrées, il ne vous préviendra pas s’il est piraté. Même si le chiffrement qu’il utilise est largement insuffisant).

L’analyse d’impact fait aussi son apparition (art. 32a), et a pour but de déterminer les impacts sur la vie privée des personnes concernées du traitement. Elle est obligatoire notamment en présence de données sensibles, de géolocalisation, sur des enfants, des employés, concerne plus de 5000 personnes en un an (les critères sont alternatifs), etc.

Bref, dans la plupart des cas, cette analyse sera obligatoire.

Il faudra la revoir au bout d’un an, ou dès que le traitement connait un gros changement.

Cette étude devra contenir pas mal d’éléments (art. 33), description technique, étude de risque, mesures de protection et autres garde-fous, etc.

Par contre, être obligé de me la repalucher tous les deux ans (art. 33a), NIET. Je n’ai rien contre la reprendre quand le traitement évolue (significativement ou non), voir même après un an ou deux pour être sûr que l’analyse (prédictive) était d’équerre avec ce qui se pratique en réalité ; mais la revoir tous les deux ans, NON.

D’abord parce que si le contexte ou le traitement n’ont pas bougé, l’analyse est toujours valide et il n’est pas nécessaire de la revoir (ou juste une fois pour être sûr que l’on ne s’était pas trompé). D’autre part, en matière de charge administrative inutile, elle se pose là. Un rapide calcul sur la base de mes dossiers au boulot me fait dire que si ce point est adopté, je vais passer 25% de mon temps à envoyer des mails à la DSI et aux directions métiers pour leur demander si un truc a bougé depuis la dernière fois. Et ce temps perdu, ce n’est pas du temps où je peux faire du privacy by design/default.

Procédure de déclaration

Vient ensuite un des plus gros changements du texte, la disparition des demandes d’autorisation (art. 34). La Directive prévoyait un régime basé sur les déclarations à l’autorité de contrôle, puis un éventuel contrôle sur place par celle-ci. Dans certains domaines, il fallait attendre (et attendre, et attendre encore) l’autorisation expresse de celle-ci avant de lancer le traitement. Le décret de 2005 que j’ai déjà mentionné avait introduit une procédure super-simplifiée auprès du CIL, où rien n’était à envoyer à l’autorité de contrôle.

Là, le Règlement supprime les demandes d’autorisation, il suffira donc d’envoyer un dossier à la CNIL pour démarrer le traitement. Éventuellement, celle-ci pourra faire des propositions ou interdire le traitement après coup. Mais la machine sera lancée.

Si un CIL a été désigné, ce sera a lui de vérifier que tout est ok. S’il découvre un gros soucis, il pourra saisir la CNIL.

Ne nous faisons pas d’illusion, la CNIL ne verra plus beaucoup de dossiers lui arriver. Le CIL étant un employé du responsable de traitement, il est mal placé pour bloquer un process. Il faut juste espérer que la CNIL redirige ses moyens vers les activités de contrôle…

Le CIL (ou Data Protection Officier)

Le CIL (art. 35) est le Héros des temps modernes, le Chevaliers des veuves et orphelins numériques. C’est lui qui est chargé de calmer les ardeurs des informaticiens découvrant les possibilités du Big Data et du Data Mining (quand c’est combiné, c’est encore pire). Il doit faire passer les aspirations des directions métiers sous les fourches caudines de la protection de la vie privée, car c’est à lui de prendre en compte les aspirations des personnes concernées en matière de vie privée. En d’autres termes, c’est un membre du célèbre « Department of NO »

Toujours est-il qu’il va devenir quasi-obligatoire, les conditions obligeant à en désigner un étant très larges (plus de 5000 prospects/an ? Il faut en désigner un…). Saluons la rationalisation des possibilités de désignation, qui reconnaît la possibilité de les organiser en réseau au sein d’un groupe d’entreprises, ou de le désigner en fonction de l’organisation si particulière des administrations et autres services publics.

La désignation est limitée dans le temps et reconductible, ce qui est censé lui assurer un minimum d’impartialité. Il n’est révocable pendant son office que s’il ne répond plus aux exigences du métier (décrites dans le considérant 75a).

Il est rattaché directement au responsable de traitement (PDG, etc.) (art. 36), et ses missions ne bougent pas vraiment par rapport au décret de 2005, il se voit juste rajouté la mission de veiller à ce que les études d’impact soient menées (art. 37). Regrettons quand même que le statut de ses collaborateurs ne soit pas abordé (car oui, dans certaines structures la charge est si lourde qu’il faut plusieurs ETP pour l’absorber).

Partie 2 – Les droits des personnes

Partie 4 – Sanction, autorités de contrôles, transferts internationaux

Pré-version du Règlement Protection de la vie privée – partie 2

Au menu de cet article, les droits des personnes !

Ont-ils bougé, se sont-ils amoindris ou au contraire améliorés ? Réponse maintenant.

Les différents textes :

La directive 95/46 CE (celle encore en vigueur) est trouvable là : http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:fr:HTML

Le texte voté lundi 23/10/13 ici : http://t.co/UN1D7mIzZh

L’analyse des dix premiers articles du texte : https://wiedenhoff.wordpress.com/2013/10/23/pre-version-du-reglement-protection-de-la-vie-privee-partie-1

Information des personnes concernées

Alors là, oui, ça s’améliore. On n’en est pas encore au niveau des paquets de cigarette qui prescrivent la taille et la police des mentions obligatoires (vous savez, le fameux « fumer tue »), mais il y a un net progrès par rapport à la Directive (que je nuancerais plus loin).

Ainsi, la personne concernée a le droit à une information sous une forme claire et intelligible, concise et transparente (art. 11).

Avant on avait ça :

https://fr-fr.facebook.com/full_data_use_policy

Et maintenant on passera à quelque chose comme ça :

https://heello.com/terms

Il doit aussi être possible d’exercer ses droits de façon numérique, avec un délai de réponse réduit à 40 jours (art. 12). Je ne suis pas certain que raccourcir le délai de 2 mois à 40 jours soit une bonne chose, ça risque d’être compliqué dans certaines structures (je pense notamment aux administrations) pour être dans les temps.

Autre point extrêmement positif, les entreprises auront l’obligation de répercuter les demandes de suppression ou de changement à leurs partenaires. Fini les ventes de données tous azimuts, il va falloir garder trace de quelles données sont revendues à qui (art. 13).

Enfin, sauf si cela demande un effort disproportionné au responsable de traitement.

Dans la pratique, l’administration ne s’embêtera pas avec ça, et les gros data brokers argumenteront qu’ils ne peuvent garder toutes les traces de toutes les ventes, et donc répercuter tous les changements. Le principe était très bon et relevait même de la bonne administration de l’entreprise, il n’aurait pas fallu laisser une porte de sortie… snif.

Arrive ensuite le moment le plus lollesque du texte, l’article 13a.

Autant il demande à fournir des informations tout à fait pertinentes à la personne concernée (données conservées sous la forme chiffrée, etc.) sous la forme d’icônes visant à faciliter la compréhension de la politique applicable aux données, autant certaines informations sont juste … à coté de la plaque.

Demander à une entreprise d’informer ses clients qu’elle en va pas respecter leurs droits relève d’une vision assez particulière du monde des affaires (si j’étais sarcastique, je dirais que je m’inquiète de voir des personnes autant déconnectées du monde réel dicter la façon dont on doit travailler).

Sur les informations générales que le responsable du traitement doit fournir, on retrouve les mêmes informations que précédemment, formulées différemment (art.14). Deux additions notables néanmoins, l’obligation d’informer de l’existence d’un profilage et ses conséquences (savants calculs bancaires pour déterminer s’il est sage d’accorder un prêt, par exemple) et celle d’informer si les autorités publiques ont demandé des informations lors des 12 derniers mois.

Dans le cas de revente de fichiers de données, l’entreprise qui achète un fichier doit prévenir les personnes qui figurent dans ce fichier d’où elle a obtenue leurs données. Ça existait déjà dans la Directive, et comme pour la Directive, personne ne va s’embêter avec ça.

En plus, le texte prévoit un échappatoire légal. Si quelqu’un acquiert des données de façon indirecte (achat de fichier, par exemple), il échappe à l’obligation d’information de la personne concernée s’il est soumis au secret professionnel, d’une façon légale (médecin, etc.) ou via le règlement intérieur.

Je ne voudrais pas faire de mauvais esprit, mais ça commence à faire pas mal d’exceptions laissées à la discrétion des entreprises.

Droits d’accès, de rectification et de suppression

Là aussi, on est en territoire connu. Le droit d’accès (art. 15) reste sur des bases identiques, avec comme différence notable l’obligation pour le responsable de traitement d’indiquer à qui les données ont été transmises ad nominem (en lieu et place du classique « à nos partenaires commerciaux »). Ça a l’air tout bête comme ça, mais ça va faire chauffer les DSI pour adapter les systèmes en place. Ce genre de disposition ne sera clairement pas applicable de suite (et le jour où elle le sera, j’imagine déjà la taille du fichier fourni par Google ou Facebook).

Autre point à souligner, il est possible d’envoyer les informations sous un format électronique, interopérable (un document Microsoft Office est-il interopérable !?).

Le droit de rectification est lui aussi présent, pas de surprise à ce niveau (art. 16). Le droit de suppression (ou droit à l’oubli) aussi (art.17), avec obligation pour le responsable de traitement de faire procéder à l’effacement des données chez les tiers (sans pouvoir se défausser en expliquant que c’est trop compliqué). Suivent aussi pas mal de dispositions techniques sur quand et comment faire, et notamment quand ne pas supprimer immédiatement des données en raison d’une obligation légales. Des éclaircissements bienvenus, car ils étaient sous-entendus dans la Directive.

Un point me chagrine cependant, c’est la disparition du rôle des ayant-droits (qui existaient dans la loi française, et que j’avais réussis à faire inclure dans certains amendements). Une fois que la personne concernée meurt, qui est compétent pour demander la suppression des données ? Il y a un gros sujet de fond sur l’aspect patrimonial que peuvent revêtir ces données. C’est dommage que le Parlement Européen le laisse de coté.

Objection, votre honneur !

Comme précédemment, il est possible d’objecter à figurer dans un traitement de données (art. 19). Le plus facile est de refuser de donner son consentement. Cependant, il est possible de traiter des données sans l’accord de la personne (voir la partie 1). Celle-ci pourra malgré tout s’y opposer si ces traitements sont basés sur l’intérêt vital de la personne concernée (s’il est nécessaire pour un médecin d’accéder à des données vous concernant, vous avez le droit de refuser et de mourir), ou sur la mission de service public dévolue au responsable de traitement.

Et encore, même si vous refusez, le responsable de traitement pourra invoquer un motif supplantant vos droits et libertés fondamentales pour traiter quand même vos données. Vous me suivez ? Non ? Tant pis, dans la pratique ça va surtout intéresser les avocats.

Par contre, si le traitement est basé sur l’intérêt légitime (du responsable de traitement ou d’un tiers), vous pouvez vous y opposer quand vous voulez sans exception. Et ce droit doit vous être communiqué de façon claire.

Profilage

Sauf obligation légale ou intérêt commercial supplantant vos droits et libertés fondamentaux, vous avez le droit à vous opposez à faire l’objet de profilage (art 20).

Mais il faut bien comprendre ce qu’est le profilage. Il s’agit d’analyser certains aspects vous concernant afin de (tenter de) prédire certains autres aspects. Allez-vous rembourser votre prêt ? Êtes-vous un fraudeur potentiel ? Quelles informations sont susceptibles de vous intéresser ?

C’est un domaine très vaste, et les applications sont TRES variées (vous êtes un homme de 50 ans, vous serez intéressé par de l’information sur le cancer de la prostate ; vous êtes d’origine rom et avez 30 ans et 13 enfants, vous êtes une cible potentielle de lutte contre la fraude aux allocations familiales). Certaines sont légitimes, d’autres moins (voir pas du tout).

Comme dit plus haut, vous pouvez vous opposer à figurer dans un système de profilage, et ce droit doit vous être mentionné d’une façon « hautement visible ».

On retrouve aussi un aspect connu de la jurisprudence de la CNIL, qui veut qu’une mesure affectant les droits des personnes (refuser une allocation familiale, par exemple) ne peut être basée uniquement sur un traitement automatisé, il est nécessaire d’avoir une intervention humaine dans le dossier.

Mesures d’exception

Que serait un texte garantissant des droits s’il n’y avait pas le couplet traditionnel sur la sureté de l’Etat ?

On le retrouve à l’article 21, et on explique que les droits exposés dans cet article sont inopérants dès que l’on est en présence de sécurité publique, d’investigation criminelle, d’imposition (WTF !?) de procédure disciplinaire engagée par les Ordres nationaux (Ordre des médecins, des avocats, etc.), ou pour vous protéger (ah, la fameuse lutte anti-terroriste).

Par contre, ça doit faire l’objet d’une loi, qui explique les objectifs poursuivis, le responsable de traitement, les moyens utilisés, les gardes-fous, et la façon dont vous êtes prévenus que vos droits sont supprimés.

Petit détail amusant, le texte interdit que le secteur privé soit associé à ces traitements.

Partie 1 – Généralités

Partie 3 – Les obligations du responsable de traitement

Pré-version du Règlement Protection de la vie privée – partie 1

Suite à l’adoption lundi 23/10/13 de la version du Parlement Européen concernant la protection de la vie privée, je vais faire une série d’articles analysant point par point ce texte.

Aujourd’hui, les provisions générales du texte (articles 1 à 10).

Mais tout d’abord, un point de procédure :

Le texte voté lundi soir (et analysé ici) n’est pas la règlementation qui entrera en vigueur. Il s’agit simplement du texte voté par le Parlement Européen. Les gouvernements des 28 (oui, 28, la Croatie est devenue membre de l’UE depuis le début de l’année) doivent avaliser ce texte, ou faire leur propre proposition.

Ils feront certainement leur propre proposition, le texte sur lequel ils travaillent diffère pas mal de celui adopté par le Parlement. Cependant, cette proposition ne sera pas adoptée de suite (vous savez bien que l’administration est lente, alors imaginez quand 28 administrations de nationalités différentes travaillent ensemble…).

S’entamera ensuite une procédure de trilogue (Parlement Européen – Gouvernements des 28 – Commission Européenne) pour arriver à un texte acceptable par tous.

NB : vous noterez la très grande démocratie du processus… Déjà que le texte voté lundi 23/10/13 soir est le fruit de négociations feutrées, sans discussions officielles ; le texte issu du trilogue sera élaboré de façon encore plus obscure et feutrée (les lobbyistes américains doivent être aux anges).

En un mot comme en cent, bien malin sera celui qui arrivera à prédire le contour final du texte. Au pire on peut partir en conjectures, et au mieux analyser ce qu’on a sous la main.

Les différents textes :

La directive 95/46 CE (celle encore en vigueur) est trouvable là : http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:fr:HTML

Le texte voté lundi 23/10/13 ici : http://t.co/UN1D7mIzZh

 Allez, c’est parti !

Généralités

Au plan matériel (art. 2), ça ne bouge pas vraiment, le texte s’applique pour les traitements (papier ou informatique) à but professionnel. Les activités domestiques sont épargnées.

Sont concernées par ce texte (art.3) tous les professionnels exerçant dans l’UE, ou traitant des données de personnes situées dans l’UE (et paf Facebook).

Les définitions (art. 4) ont pas mal bougé.

La définition de donnée à caractère personnel ne change pas, c’est tout ce qui se rapporte à une personne identifiable. Une personne est identifiable si à partir des informations dont vous disposez vous pouvez l’identifier. Ça semble tomber sous le sens, mais c’est assez complexe en pratique. Si je parle d’un toxicomane mineur habitant à Triffoullis-les-Oies (20 habitants), est-il identifiable ? Pour la plupart des gens non, mais pour la pharmacie qui lui fournit son Subutex, oui. Le considérant 23 indique aussi qu’il faut prendre en considération les moyens à disposition et les efforts déployés pour déterminer si la personne est identifiable. Donc si ça fatigue trop Google de croiser ses bases pouir vous retrouver, vous êtes considéré comme non-identifiable et ne bénéficiez pas de la protection de ce texte. Mais rien ne garantit qu’il ne décidera pas un jour de faire l’effort de vous retrouver quand même…

On voit aussi apparaitre la notion de données pseudonymes. Est pseudonyme une donnée à caractère personnel qu’on ne peut raccrocher à son titulaire sans information complémentaire (sic!). On a donc une donnée à caractère personnel dont on doit s’assurer que l’attribut identifiant est séparé de la donnée elle-même. Du coup, imaginons une base de données qui enregistre plein de choses sur plein de personnes. Si mon outil de restitution ne prévoit pas de remontée des noms-prénoms (et autres éléments identifiants), je suis considéré comme maniant des données pseudonymes ? Quelles sont les autres protections à mettre autour ? (pour l’exemple que j’ai donnée, a minima, l’impossibilité de mettre en place d’autres requêtes que celles existantes et qui ne font pas remonter les éléments identifiants). Bref, ces pseudonymes posent de vraies questions, auxquelles les CNIL européennes vont devoir répondre (je me poile déjà en imaginant la CNIL tentant d’aller faire un contrôle de Google AdSense..).

Viennent ensuite les données chiffrées (« encrypted data »). Ce sont des données à caractère personnel que les moyens technologiques rendent illisibles pour toutes personnes non autorisées à les lire. Cependant, tout chiffrage se casse, c’est une simple question de temps. Donc cette catégorie est obsolète dès son origine ?

Vient ensuite une bonne nouvelle. Le consentement. Plus question maintenant de le présumer (en utilisant nos services vous acceptez que l’on revende vos données à qui en veut), le consentement doit résulter d’une action explicite (case à cocher, à condition qu’elle ne soit pas pré-cochée, etc.), et porte sur une finalité spécifique.

Les fuites de données font leur entrée dans les définitions, de même que les données génétiques et biométriques. Pas grand chose à dire à leur sujet, c’est explicite.

Principes dirigeant le traitement

L’article 5 précise les principes qui dirigent les traitements de données. On retrouve les mêmes que dans la Directive 95/46/CE, simplement présentés différemment. Si on veut ergoter, on peut signaler que les données n’ont plus besoin d’être nécessaires au traitement, mais doivent plutôt être le minimum nécessaire pour accomplir la finalité. Différence sémantique, sans grosse conséquence pour la pratique pour le moment (on verra d’ici quelques années si la CNIL sanctionne une société pour avoir enregistré un numéro de fax afin d’envoyer de la pub).

Pour mémoire, les données doivent être collectées et traitées de façon loyale, licite et transparente, dans une finalité déterminée, limitées au strict nécessaire, à jour et pertinentes, conservées pour la durée minimale nécessaire sous une forme qui permet à la personne concernée d’exercer ses droits, sans subir d’altération, sous la direction du responsable de traitement (ouf, vous pouvez reprendre votre souffle).

Les bases légales pour procéder à un traitement ne bougent pas (art. 6), sauf sur deux points. L’intérêt historique, statistique ou scientifique peut justifier un traitement (on y reviendra plus loin), et l’intérêt légitime d’un tiers aussi.

Cette notion d’intérêt légitime était déjà fumeuse dans la Directive, là on rajoute la possibilité de traiter des données en vertu de l’intérêt légitime d’un tiers. Gros problèmes en vue. Ok, quelques gardes-fous sont mis en place (et encore…), mais leur effectivité laisse place au doute. Et quand bien même, j’attends le jour où la CNIL fera une descente sur Palo Alto, Californie, pour contrôler les entreprises de la Sillicon Valley (oui, c’est une pique gratuite).

Vient ensuite une des grosses innovations du texte, tout un article sur la notion de consentement (art. 7). Fini le consentement « version violeur » (elle n’a pas dit « non », m’sieur le juge), maintenant le responsable de traitement doit prouver que la personne a consentie au traitement de ses données pour une finalité spécifique. Être d’accord pour que ses données soient traitées dans le cadre d’un webmail ne signifie pas accord pour que ces mêmes données soient revendues à un tiers. Et si on tente de noyer le poisson (comme Facebook et ses CGU de 14 pages), le contrat est entièrement nul (vous vous en moquez, mais pour un juriste ça signifie des annulations en cascade derrière).

Un article apparait aussi sur les enfants (art. 8) (au passage on notera que les définitions parlent d’un enfant de moins de 18 ans, et dans l’article 8 on parle de moins de 13 ans). Un enfant ne peut consentir à un traitement de données sns l’accord de ses parents, à charge du responsable de traitement de vérifier que c’est bien le parent qui donne l’accord. Il est ironique de noter que créer un profil en ligne (Facebook, Google, forum quelconque, etc. ) est dorénavant considéré comme aussi grave que vendre une maison du point de vue de l’enfant (accord parental exigé).

Les données sensibles (celles que l’on n’a pas le droit de traiter, sauf exception) voient un ajout, la notion de « gender identity ». Amha, ça correspond plutôt à « se sentir homme (ou femme) » plutôt que « sexe (h/f) », mais tant que ce point ne sera pas expliciter noi sur blanc, on court au-devant de GROS soucis. S’il est interdit de traiter le sexe d’une personne, il devient aussi interdit de traiter son prénom (en général révélateur du sexe). Il sera aussi interdit de procéder aux bilans sociaux d’entreprise (lutte contre les discriminations au travail), de même que prendre un congé maternité (car réservé aux femmes). Une panoplie infinie d’ennuis en perspective 🙂 .

Autrement, on y retrouve aussi les notions d’intérêt historique, scientifique ou statistique comme base légale pour traiter ce type de données, mais comme dit plus tôt, j’y reviendrais plus loin. Les archives sont aussi une base légale au traitement de ce type de données.

Pour le reste, ça ne bouge que dans la formulation.

Enfin, pudiquement intitulé « traitements ne permettant pas l’identification », l’article 10 instaure le premier cheval de Troie de ce texte.

Si le traitement ne concerne que des données anonymes ou pseudonymes, la personne concernée n’a plus aucun droit.

Aucun.

Droit d’opposition, d’accès, ou être informé si la base se fait piraté et que vos données sont dans la nature, du moment que c’était des données pseudonymes, vous n’avez aucun droit à être informé (rappel : les données pseudonymes sont des données dont l’élément identifiant est gardé séparément. En cas de piratage, rien n’empêche le pirate de piquer les données et les éléments identifiants).

Partie 2 – Les droits des personnes

Numericable : connectez-vous au meilleur #OuPas

Tout d’abord, je tient à préciser que ce n’est pas dans mes habitudes de cracher mon venin sur les sociétés qui ne remplissent pas correctement leurs obligations. Mais là, Numericable atteint des sommets en terme de foutage de tronche.

 

Exposé des faits :

 

Je déménage en mai 2013. Le 16/05/13, je contacte Numericable pour un abonnement Internet. Je croyais être couvert par la fibre, mais en fait non. Du coup, je fais l’abonnement ADSL chez eux (je les avais au bout du fil).

 

Je ne connais pas mon numéro de téléphone car l’ancien occupant (qui se trouve être mon propriétaire) a déménagé sa ligne en même temps que son mobilier, dans l’appartement juste en dessous du mien.

 

Anticipant le piège du dégroupage de la mauvaise ligne, je donne au moins trois fois le numéro de mon appartement, qui se trouve être le 101 (on est geek ou on ne l’est pas). Dans la foulée, Numericable m’envoie un SMS qui m’informe que ma demande d’ouverture de ligne est prise en compte.

 

Je réceptionne le modem rapidement, je branche, et j’attends.

 

Trois jours passent, je croise mon bailleur qui me demande si j’ai fait un abonnement téléphonique. Sur le coup, je trouve la question étrange, mais ne réagis pas.

 

Au bout de 10 jours, je reçois un courrier m’informant que, compte tenu de la résiliation de ma ligne ADSL, je devais leur renvoyer le modem. Le soir même, je reçois à nouveau le SMS m’informant de la prise en compte de la demande d’ouverture de ligne ADSL.

 

Quiproquo spotted.

 

Mais à ce moment, ayant d’autres soucis en tête, je me dis que Numericable est une boite cohérente, que ce quiproquo va être détecté, et qu’ils vont me contacter par téléphone.

 

Nada.

 

Une semaine plus tard, je les appelle pour les entendre dire que l’abonnement a été résilié (par qui ?). Je leur explique que non, c’était pas moi qui avais résilié l’abonnement. Pas possible de revenir en arrière, je dois faire un nouveau contrat. Et payer 50€ de frais d’ouverture de ligne (que je n’avais pas dû payer lors du premier contrat). Et contacter moi-même Orange pour ouvrir une ligne téléphonique (alors que le contrat donne explicitement mandat à Numericable pour faire ce boulot).

 

Je m’exécute, ouvre la ligne Orange, et envoie le numéro de ligne à Numericable pour le dégroupage. On est début juin 2013.

 

Je réceptionne le nouveau modem, renvoie l’ancien, et attends.

 

Début juillet, je vois une demande de prélèvement provenant de Numericable à hauteur de 300€. Demande refusée sur le champ. Et en même temps, il me prélèvent l’abonnement mensuel, alors que la ligne n’est pas encore en fonction.

 

Viennent les vacances, plein d’évènements persos, qui font que je n’ai le temps de constater que la ligne ADSL n’est toujours pas opérationnelle que fin aout (au passage, ça n’a visiblement pas choqué les sysadmins de Numericable de voir une ligne ADSL avec 0 échanges de données pendant deux mois). Il est évidemment inutile de préciser qu’ils continuaient à me prélever l’abonnement mensuel pendant ce temps.

 

Je contacte le service client, qui fait des tests. Ca ne marche toujours pas , je les recontacte, retest, re-ça ne marche toujours pas.

 

Tout début septembre, un technicien Orange passe chez moi. Il bricole les branchements téléphoniques. Quand il repart, il m’indique que la ligne fonctionne.

 

Mais mon coco, c’est la ligne de mon propriétaire que tu as branché chez moi.

 

Cette ligne téléphonique fonctionne peut-être, mais ce n’est pas la mienne. Je le signale derechef au service client de Numericable, qui s’en moquer royalement (comprendre : ils ne prennent pas la peine de le noter au dossier). Ils promettent de me rappeler le lendemain.

 

Comme une semaine après rien n’avait bougé, je les rappelle à nouveau. Je leur re-signale le soucis, le télé-conseiller fait deux-trois tests, et statue. Il faut une expertise conjointe Orange-Numéricable. RDV est pris, on me demande d’être présent le jour de l’expertise.

 

Le lendemain, une société de recouvrement m’envoie un SMS pour m’indiquer qu’ils ont un dossier à mon encontre, en provenance de Numericable. Il s’avère que le prélèvement de 300€ que j’avais refusé représente un an d’abonnement, facturé au titre de l’abonnement résilié (celui que Numericable a résilié sans me prévenir). J’explique le contexte  à la personne de la société de recouvrement, qui en prend note. Je lui indique aussi qu’il est hors de question que je paye le moindre centime. Depuis, j’attends.

 

Je pose donc congé pour l’expertise, et le jour J j’attends. J’attends. J’attends. J’aaaaattttteeeennndddsss. Deux heures après l’heure prévue pour l’expertise, comme personne n’est venu, je contacte le service clients pour demander ce qui se passe. La télé-conseillère botte en touche, en m’indiquant que le dossier est transmis à son responsable, qui doit me rappeler le lendemain.

 

Évidemment, personne ne rappelle. Au bout d’une semaine j’essaie de les joindre, sans succès. Temps d’attente estimé pour avoir un conseiller : 4 minutes. Je poireaute deux fois 15 minutes, sans succès.

 

Résultat, j’en ai ma claque d’attendre, ça fait plus de 4 mois que j’ai demandé une ligne ADSL et elle n’est toujours pas arrivée. Numericable me prend pour un âne en refusant de me parler et en temporisant, et essaye de me racketter en envoyant une société de recouvrement encaisser une dette fictive.

 

L’honnêteté intellectuelle m’oblige à préciser que je soupçonne fortement Orange d’être à l’origine des problèmes de ligne. Car à chaque intervention d’un technicien d’Orange (mon propriétaire a aussi des soucis) un nouveau problème apparaît.

 

Mais ça n’excuse en aucun cas l’incompétence de Numericable dans la gestion de ce dossier (on sent bien en filigrane des discussions avec les télé-conseillers la présence de procédures bien lourdes et inefficaces). Résultat des courses, je suis en train de rédiger la demande introductive d’instance.

 

Être obligé de passer par la justice pour avoir une connexion internet, je trouve ça pathétique.

Non, le Règlement « vie privée » n’est pas rejeté

J’ai lu ici et que le projet de Règlement européen sur la protection des données à caractère personnel était rejeté. Cette interprétation provient d’une mauvaise analyse des discours de la dernière réunion entre les Ministres de la Justice de l’UE, le 6 juin 2013.

Avant d’aller plus loin voici un rapide rappel de la procédure de décision :

  • La Commission Européenne propose un texte (janvier 2012)
  • Le Parlement Européen et le Conseil de l’Union Européenne (les gouvernements des 27) discutent ce texte, et apportent des modifications (en ce moment)
  • Trilogue entre la Commission, le Parlement et le Conseil, pour aboutir au texte final (à venir)

Au niveau du Conseil de l’Union Européenne, les 27 gouvernements n’ont pas réussis à se mettre d’accord pendant les 6 mois de la présidence irlandaise. Celle-ci poussait à la roue pour faire adopter le texte par le Conseil avant la fin juin 2013, afin qu’elle garde la main haute sur le contenu (Google, Facebook & co, dealers de données, sont établis en Irlande).

Seulement les autres gouvernements ont été échaudés par cette pratique, et ont joué la montre. Du coup, constat de désaccord ce 6 juin, et appel pour repousser l’examen du texte. Coïncidence de calendrier, nous aurons un Conseil européen du Numérique en octobre. La Lituanie, futur président du Conseil, semble d’ailleurs moins pressé que l’Irlande de boucler ce texte.

Pour le Parlement Européen, une intense activité de lobbying des sociétés américaines à conduit à l’adoption d’une myriades d’amendements (plus de 4000). Chacun devant être examiné, discuté et négocié, ça ralentit forcément les choses. Du coup, le votes en commission LIBE a été repoussé plusieurs fois, et se tiendra certainement après l’été. De ce vote dépendra ce qui sera soumis à l’assemblée plénière du Parlement Européen, et donc de la version du texte adoptée par le Parlement. Les plus optimistes envisagent un vote en assemblée plénière pour mars 2014.

Mais ….

En mai 2014 nous aurons des élections pour renouveler le Parlement Européen. Les eurodéputés en charge des négociations sur ce dossier risquent de ne pas être réélus, il faudra donc en désigner de nouveaux, qui devront prendre connaissance du dossier (et qui seront certainement moins favorables aux citoyens que l’est actuellement Jan Albrecht). Donc si le Parlement adopte le texte en mars, et que les gouvernements ont réussi à se mettre d’accord à cette période, la période de trilogue sera concentrée sur un mois. Dur…

Si ce trilogue rate, ou que la fenêtre est manquée, on repartira certainement pour un tour de négociations au Parlement, et le texte en sera décalé d’autant.

Bref, pas de panique, le texte n’est pas rejeté, le calendrier est juste compliqué pour une adoption rapide 😉

Données à caractère personnel et décès de la personne concernée

La mort s’invite (enfin) dans le débat sur les données à caractère personnel. Voici donc quelques éléments de réflexion pour alimenter la discussion.

 

« Les morts ne sont plus des personnes ; ils ne sont plus rien ».

 

Cette formule de Planiol indique que la personne étant décédée, tous ses droits disparaissent avec elle. Néanmoins, le droit s’est interrogé sur le devenir du corps physique du défunt [1]. Ainsi l’intégrité physique de la personne décédée doit continuer à être respectée, tandis que le droit à l’intégrité morale (droit à l’image, etc.) s’éteint.

 

Se pose cependant la question du devenir des données à caractère personnel de la personne décédée. Ces données, relatives à la personne (qui n’est plus rien depuis son décès, rappelons-le), devraient donc disparaître en même temps qu’elle.

 

Or, il n’en est rien. Que ce soit pour des raisons de preuve [2] ou bassement commerciales [3], les données sont rarement effacées (ou au moins mises aux archives) pour prendre en compte le décès [4].

 

L’UE ignore le sujet, malgré le fait qu’elle avait voté en 1995 une directive 95/46/CE, pour obliger les pays européens à se doter d’une loi « informatique et libertés ». C’est le code de la santé publique qui, en 2002, traite en premier du problème. L’article L.1110-4 permet aux ayant-droits d’avoir accès aux informations concernant la personne décédée pour faire valoir leurs droits [5]. En 2005, le décret 2005-1309 du 20 octobre 2005 (qui introduit le Correspondant Informatique et Libertés en droit français) permet aux héritiers [6] de faire rectifier les informations pour faire prendre en compte le décès de la personne. En clair, demander à Facebook d’indiquer sur le profil que la personne est décédée.

 

Depuis, plusieurs pays se sont dotés de législations sur la protection des données. Ainsi, les Philippines sont le premier pays [7] à accorder aux ayant-droits la possibilité d’agir de façon global sur les données d’une personne décédée. Et le règlement européen en préparation voit, enfin, apparaître des amendements proposant d’accorder aux ayant-droits le pouvoir sur les données de la personne décédée [8]. Dans le même temps, en Conseil Européen, les gouvernements se demandent quelle position adopter. Avec, par exemple, d’un coté l’Espagne, qui souhaite qu’une personne décédée ne bénéficie plus de la protection de la loi Informatique et Libertés, et de l’autre la France qui souhaite a minima rester sur la législation actuelle.

 

Mais quelles sont les conséquences de tels amendements ?

 

Deux théories s’opposent.

 

On pourrait se dire que les données à caractère personnel seraient un bien incorporel de la personne, pour être transmises à sa mort. Un peu comme une action en Bourse se transmet aux descendants. Cependant, cette vision se heurte à un obstacle pratique. Tant que le partage successoral n’est pas effectué, les droits d’accès, de rectification et de suppression sont possédées en indivision par les ayant-droits, qui doivent les décisions à la majorité des 2/3 [9]. Vient ensuite la délicate question du partage. Quelle valeur pécuniaire a un compte Facebook ? Twitter ? Les données à caractère personnel traitées par le fisc peuvent avoir une valeur intrinsèque négative pour la personne concernée [10], faut-il les prendre en compte ? En étant jusqu’au-boutiste, le partage doit s’exercer traitement par traitement, puis information par information.  Mais ceci ne tient pas compte du fait que le domaine numérique est incorporel. Ainsi, dupliquer une photo numérique est enfantin, et ne prive personne de la jouissance pleine et entière de celle-ci (au contraire d’une photo développée, dont la transmission à l’un prive l’autre de la visionner).

 

Ou alors, on pourrait envisager que les données à caractère personnel constituent une partie de la personnalité de la personne, qui lui subsistent [11]. Les ayant-droits deviendraient les gardiens de la mémoire de la personne décédée, chargés de prendre les mesures nécessaires à la défense de celle-ci.

La conséquence pratique de ces amendements est, elle, plus évidente.

 

Si les ayant-droits acquièrent la propriété des données à caractère personnel du défunt, ils exercent un contrôle absolu dessus. Cela inclut, par exemple, l’obligation de demander l’accord des héritiers pour diffuser une photo d’une personne décédée. Et donc la possibilité de monnayer ces données.

 

A l’opposé, le rôle de gardien de la mémoire s’inscrit plus dans la continuité de la législation actuelle. Les ayant-droits se voient dévolus un rôle de défense de la mémoire de la personne défunte, et ne peuvent agir que si cette mémoire est bafouée. La différence avec le régime actuel se situe dans le fait que l’atteinte à la mémoire ne se voit caractérisée que par le traitement d’informations erronées.

 

Enfin, la position du gouvernement espagnol mérite un petit paragraphe pour elle seule. Si la protection juridique disparaît avec la mort de la personne concernée, que deviennent les données à ex-caractère personnel ? L’obligation de suppression des donnés périmées s’apprécie par rapport à une personne, or un mort n’est plus personne. Donc disparition de facto des obligations pesant sur les responsables de traitement, et open-bar sur l’utilisation des données !

 

**************************************************************************************

 

[1] http://actu.dalloz-etudiant.fr/le-billet/article/la-tete-dhenri-iv//h/8208c10e8b247e92bf0b02925408fc19.html

[2] Par exemple, votre FAI va conserver les données relatives à votre contrat (nom, prénom, adresse, etc.) le temps que court le contrat, puis encore 5 ans.

[3] Même décédé, un utilisateur inscrit sur un réseau social compte comme membre du réseau, et fait tourner le compteur d’adhérents.

[4] Alors que, pourtant, il s’agit d’une obligation légale (article 6 §4 de la loi 78-17, dite Informatique et Libertés).

[5] L’objectif initial était l’accès au dossier médical. Mais l’article est rédigé d’une façon tellement large qu’il permet d’accéder à tout type d’information.

[6] Et non pas aux ayant-droits.

[7] A ma connaissance.

[8] Les idées étant de libre parcours, celles-ci ont fait le voyage depuis les Philippines 😉

[9] Organiser un vote pour faire rectifier un profil facebook me paraît assez délirant. Et à condition d’avoir mis la main sur les codes d’accès au compte …

[10] Elles servent à établir ses impôts…

[11] Tout comme l’on considère qu’on ne peut porter atteinte à la mémoire des morts.