avocat

Avocat spécialiste du RGPD : intervention de Jérôme DEROULEZ à l'école de formation des avocats de Montpellier le 9 novembre 2018

Avocat spécialiste RGPD, Jérôme DEROULEZ est intervenu sur les principes généraux du RGPD. Cette formation était organisée à l'école de formation des avocats centre-sud de Montpellier le 9 novembre 2018.

Elle avait pour public les avocats et élèves avocats.

Jérôme DEROULEZ a notamment rappelé l'architecture du règlement européen et les principaux changements apportés.

Cette formation avait enfin lieu dans le cadre du séminaire européen de formation TRADATA.

DEROULEZ AVOCAT rejoint le GFII (Groupement Français de l'Industrie de l'Information)

ACTUALITES DU CABINET: DEROULEZ AVOCAT a rejoint en novembre 2018 le GFII.  

Think-tank des acteurs du marché de l'information et de la connaissance, le GFII est un lieu de rassemblement unique en France des acteurs de l'information professionnelle. A ce titre, il réunit les acteurs des secteurs publics et privés (producteurs d'information, prestataires de solutions), éditeurs, diffuseurs, agences d'abonnements, cabinets de conseils, avocats etc...

 

Le GFIIhttps://www.gfii.fr/fr/ est aussi un lieu unique d'échanges entre professionnels de l'information unique et ses groupes de travail participent pleinement de cette réflexion pluri-disciplinaire.

 

En rejoignant le GFII, DEROULEZ AVOCAT manifeste son engagement à contribuer à cette réflexion, alors que les données sont aujourd'hui au coeur des nouveaux modèles économiques, techniques, sociaux et juridiques.

NUIT DU DROIT 2018 et RGPD: Jérôme DEROULEZ a participé à la conférence organisée par la Cour d'Appel de Bordeaux au sujet de la protection des données - 4 octobre 2018

RGPD: A l'invitation de la Cour d'Appel de Bordeaux, Jérôme Deroulez est intervenu lors de la conférence organisée sur le RGPD et la protection des données personnelles. Cette conférence organisée le 4 octobre avait pour objet de rappeler les enjeux de la négociation du RGPD et le nouveau cadre applicable aux données personnelles.

Collectivités locales, stationnement payant et RGPD : quels enjeux et quels dispositifs ?

données

données

COLLECTIVITES LOCALES : La CNIL a annoncé dans le cadre de son programme de contrôle 2018 que l'une de ses priorités sera de contrôler la conformité des traitements relatifs à la gestion des services de stationnements payants réalisés au moyen d’équipements connectés. Cette annonce intervient dans un contexte d'évolutions importantes concernant ces services.

En effet, la loi « MAPTAM » n° 2014-58 du 27 janvier 2014 de modernisation de l'action publique territoriale et d'affirmation des métropoles avait modifié les règles en la matière à compter de janvier 2018 et il incombe désormais aux collectivités locales de prendre en charge la gestion du stationnement payant sur la voie publique. Cette loi dépénalise notamment certaines infractions liées au stationnement payant avec la disparition de l’amende au profit d’un forfait de post-stationnement (FPS).

Le contrôle du paiement des redevances de stationnement et la notification des forfaits de post-stationnement pouvant être traités par des prestataires, de nombreuses données personnelles des usagers seront donc transférées à ces derniers dans des conditions qui doivent être encadrées.

La CNIL relève dans son programme de contrôle que de nouveaux outils vont être mis en œuvre comme les dispositifs de lecture automatisée de plaques d’immatriculation (LAPI) pour accroître l’efficacité des procédures de contrôle et du paiement du stationnement. Dispositif qui pose de nombreuses questions et au sujet duquel la CNIL avait déjà formulé des recommandations[1] :

  • Quel contrôle des données collectées, de leur qualité et de la proportionnalité de la collecte?

  • Quel choix des outils, par exemple au regard du principe du privacy-by-design?

  • Comment faciliter l'exercice des droits des personnes concernées?

QUELS ENJEUX RGPD?

Ces enjeux sont potentiellement très nombreux pour les collectivités locales et concernent les éléments suivants:

  • la cartographie des données collectées et leur classement par catégories de données par les collectivités et les prestataires qui devront les identifier;

  • le traitement des risques pour la vie privée à propos de la collecte de données sensibles;

  • la marge de latitude laissée par les collectivités locales à ces prestataires dans le cadre de ces traitements de données;

Par ailleurs, le traitement de ces données peut aussi interpeller au regard du niveau de sécurité qui sera défini et mis en place, alors que la collecte et le traitement de ces données pourra s'apparenter à une forme de profilage.

Enfin, si ce traitement de données était encadré par un mécanisme de formalités préalables et avait fait l’objet d’une délibération de la CNIL n°2018-137 du 19 avril 2018 autorisant l’Agence nationale du traitement automatisé des infractions (ANTAI) à mettre en œuvre un traitement de données à caractère personnel dénommé « Service FPS – ANTAI », le cadre légal post-RGPD supprime ces déclarations mais renforce les obligations des collectivités locales et de leurs prestataires.

QUELLES OBLIGATIONS POUR LES COLLECTIVITES LOCALES ET LEURS SOUS-TRAITANTS?

Les obligations pesant sur les collectivités locales et leurs prestataires sont nombreuses. Ces derniers devront notamment:

  • Assurer une information des personnes concernées (quelles sont les données collectées, pour quelles finalités, à qui sont-elles transférées, comment peuvent-elles y avoir accès) : cette information devra ensuite être portée à la connaissance des personnes de manière effective et transparente (l’information ne devra pas être diluée dans les CGU d’une application mobile ou lors de l’inscription à un abonnement);

  • Respecter les bases légales du traitement de données;

  • Respecter les principes de finalités et éviter les détournements de finalités lors d’un traitement de données ou de recoupements d’informations);

  • Respecter les principes de minimisation des données (la collecte devra respecter les principes de nécessité et de pertinence et devra être accompagnée par des formulaires, des lignes directrices ou des chartes encadrant de manière préventive les conditions de collectes des données. Ces démarches concernent également toutes les applications mobiles, logiciels et de manière générale les outils informatiques qui devront être conçus « privacy-by-design» en protégeant la vie privée des personnes dès la conception de ces applications;

  • Prévoir des durées de conservations (par exemple en prévoyant que les bases de données permettent des suppressions automatiques de données une fois les vérifications effectuées);

  • Assurer la sécurité des données et vérifier que les sous-traitants présentent des garanties de sécurité suffisante.

  • Gérer les destinataires des données et créer un système d'habilitations.

Ces obligations pourront être déclinées à travers les mesures concrètes suivantes:

  • La mise en place du DPO, obligatoire pour les collectivités et en charge du respect du RGPD;

  • Le registre des activités de traitement, tenu par le responsable de traitement et chaque sous-traitant;

  • Des analyses d’impact;

  • Des contrats formalisant la relation avec les prestataires et sous-traitants pour formaliser la répartition des rôles et insérer le cas échéant des dispositions relatives à la confidentialité.

Ce dispositif nouveau s’inscrit dans une démarche de plus en plus connectée des collectivités locales, liée aux développement des applications smart-city et à l'essor de l'Open data. La ville intelligente repose ainsi sur des mécanismes permettant de collecter des données en masse pour les réutiliser afin d’améliorer les infrastructures, d'optimiser l’espace ou de mieux gérer les transports publics. De telles mutations continuent cependant à interpeller du fait des risques de profilage ou de surveillance qu'elles génèrent. Autant de questions qui seront à suivre de près au fur et à mesure de la mise en conformité des collectivités locales et de leurs prestataires et sous-traitants.

Références

[1]https://www.cnil.fr/fr/reforme-du-stationnement-payant-les-recommandations-de-la-cnil

[2]https://www.collectivites-locales.gouv.fr/reforme-stationnement-payant-nouvelle-competence-pour-collectivites-0

[3]https://www.legifrance.gouv.fr/affichJuriAdmin.do?&idTexte=CETATEXT000034017907

[4]https://www.cnil.fr/fr/profilage-et-decision-entierement-automatisee

https://www.cnil.fr/sites/default/files/atoms/files/20171025_wp251_enpdf_profilage.pdf

HOTELS ET RGPD: Quelle sécurité des données personnelles ?

Hôtels et RGPD: Cet article constitue la seconde partie de notre étude relative à la conformité RGPD des hôtels. Il abordera la problématique de la sécurité des données personnelles.

A quelques jours des départs pour les vacances d’été, de nombreuses personnes vont séjourner dans des hôtels ou y utiliser des services en ligne. Les vacanciers sont de plus en plus connectés et élèvent désormais en critère de choix la mise à disposition d’un réseau WIFI dans les chambres d'hôtels. Ce critère était même le plus important selon une enquête réalisée par Hotels.com[1]. Ces « vacances connectées » ne sont cependant pas sans risques comme le rappelle la CNIL dans son article « utiliser un WIFI public ? Voici 5 précautions à prendre... »[2].

données

données

Les hôtels connectés : quels enjeux au regard du RGPD?

RGPD: Les hôtels, en plus de fournir une connexion WIFI, mettent également en place d’autres mesures qui peuvent présenter des risques pour la sécurité des données personnelles de leurs clients et leur bon fonctionnement : mesures de sécurité par des badges, cartes, à l’aide parfois de procédés biométriques, caméra de vidéosurveillance... Or des dispositifs de sécurité adaptés sont nécessaires afin de garantir que les données de leurs clients, simples vacanciers ou même professionnels, dans le cadre de voyages d’affaires soient protégées efficacement.

En effet, le secteur de l’hôtellerie est particulièrement impacté par les nouvelles dispositions du RGPD et devra ainsi en respecter les obligations (mise en place de registre des activités de traitement, réalisation d’études d’impact, désignation d’un DPO). L'obligation de sécurité des données figure également expressément dans le règlement (article 32), à la charge des responsables de traitement et de leurs sous-traitants. Des mesures de sécurité adaptées sont donc nécessaires, avec pour objectif d’éviter des difficultés de type scandale « Dark Hôtel » (quand des hackers avaient exploité des réseaux WIFI d’hôtels de luxe) ou encore de type ransomware[3] (avec en l'espèce une paralysie des systèmes d’ouverture des chambres d’hôtels).

Les enjeux liés à la sécurité des hôtels débordent aussi largement du seul droit à la protection des données personnelles et s'étendent au secret professionnel, au secret des affaires, à la propriété intellectuelle, à la concurrence entre entreprises ou encore à l’e-réputation des établissements en cas de violation de données personnelles. Comme indiqué dans notre précédent article, les données collectées sont aussi potentiellement très sensibles (convictions religieuses, opinion politiques, données relatives à la santé, préférence et style de vie...) et doivent à ce titre faire l’objet d’une protection particulière.

I/ Quelles obligations ?

Responsables de traitement, les hôtels devront respecter les principes fondamentaux de la protection des données et se conformer aux nouvelles obligations RGPD. 

Les responsables de traitement devront dans un premier temps faire une cartographie détaillée des données collectées dans le but d’établir un registre des activités de traitement. Chaque traitement de données devra faire l’objet d’une fiche à part entière, comme par exemple une fiche pour le traitement des données RH, une fiche pour le traitement des données clients, une fiche pour le traitement de données par l’intermédiaire de vidéosurveillance ou par le formulaire de collecte du site...

Les responsables de traitement devront prendre en compte des mesures de sécurité adaptées, et ce de manière encore plus importante quand l’hôtel sera connecté.

Caméra de vidéosurveillance, badge contrôlant l’accès aux locaux ou aux chambres, sécurité des sites internet, sécurité des bases de données, conformité des différents sous-traitants et prestataires, sécurité de la mise à disposition du réseau WIFI pour les clients... En cas de mise à disposition d’ordinateurs, TV connectés ou autres objets connectés, il sera également conseillé d’encadrer leur usage par l’intermédiaire d’une charte d’utilisation des ressources informatiques. Cette charte pourra être signée lors de la réservation de la chambre d’hôtel.

Les responsables de traitement devront aussi veiller aux durées de conversation et à leur conformité aux recommandations de la CNIL. A ce titre, ils pourront se référer au référentiel de durées de conservation[4].

Par exemple, en cas de :

  • Données de vidéo surveillance : des caméras de vidéosurveillance peuvent être installées dans les parties communes d’un hôtel à des fins de sécurité par exemple. Les données ne peuvent être conservées que pour une durée de 30 jours (article L.251-1 du code de la sécurité intérieure).

  • Données de trafic (lors de l'utilisation du réseau WIFI d'un hôtel: adresses IP, date, heure, durée de chaque connexion, informations permettant d’identifier le destinataire d’une communication). Si ces données doivent être conservées, ce n'est pas le cas du contenu des communications qui ne doit pas être conservé (par exemple l’objet ou le corps d’un courrier électronique). Ces données peuvent être conservées 1 an à compter de leur enregistrement (article L.34-1 du code des codes et des communications électroniques).

Les responsables de traitement devront également informer les personnes concernées des différents traitements de données les concernant. Il conviendra d’assurer une information des personnes concernées, que ce soit par le moyen d’un panneau d’affichage dans les locaux de l'hôtel ou lors de la réservation de la chambre. Cette information devra être mise à disposition dans des termes simples, de façon claire, non ambiguë et accessible. Ainsi, cette information ne devra pas être communiquée dans le cadre de conditions générales de vente par exemple mais de manière distincte et visible.

Enfin, les responsables de traitement devront mettre en œuvre des mécanismes destinés à assurer une effectivité des droits (droit d’accès, droit à la rectification, droit d’opposition et droit à l’effacement des données personnelles). Une adresse mail contact pourra être mise à disposition des personnes concernées afin de les informer de leurs droits.

II/ Quelle politique de sécurité des données personnelles?

La sécurité n’est pas absolue et les failles de sécurité demeurent possibles. A ce titre, il importe de souligner la nécessité d’une vigilance au quotidien et de l’adoption de bonnes pratiques quant à l’utilisation des outils informatiques.

Des conseils pourront notamment être apportés à la clientèle et par exemple :

  • Ne pas utiliser le WIFI pour communiquer des données sensibles (santé, données bancaires) et privilégier sa propre connexion 3 ou 4G. Désormais avec la fin des frais de d’itinérance à l’intérieur de l’Union européenne, les opérateurs ne facturent plus de supplément au sein de l’UE et cette option est donc à privilégier.

  • Minimiser les informations qui circulent et les connexions à ses comptes personnels

  • Se déconnecter systématiquement après chaque session et ne pas laisser ses affaires personnelles à libre disposition

  • S’assurer de se connecter au bon réseau WIFI et non pas à des WIFI qui porteraient le nom de l’établissement afin de détourner des connexions

  • Ne pas de connecter à des réseaux WIFI non sécurisés

Les hôtels, dans le cadre de la fourniture d’une connexion WIFI devront également penser à :

  • Suivre les recommandations de sécurité relatives aux réseaux WIFI de l’ANSSI[5]

  • Evaluer la sécurité de leurs systèmes informatiques et évaluer le niveau de garantie que présentent leurs sous-traitants et prestataires

  • En cas de traitement de données sensibles, particulières et à grande échelle, procéder à une étude d’impact aux risques de manière à identifier le risque pour ensuite adapter les mesures de sécurité à mettre en place

La sécurité des données personnelles est une obligation à part entière au titre du RGPD. En cas de faille de sécurité, les conséquences sont potentiellement importantes, qu'il s'agisse des risques de sanctions ou des enjeux sur la réputation des hôtels concernés. Alors que l'hôtellerie évolue rapidement pour prendre en compte les besoins d'une clientèle connectée et mobile, ces enjeux ne doivent pas être négligés.

Références : 

[1]https://www.lexpress.fr/tendances/voyage/le-wifi-gratuit-premier-critere-de-choix-d-un-hotel_1230486.html

[2]https://www.cnil.fr/fr/utiliser-un-wifi-public-voici-5-precautions-prendre

[3]http://www.lefigaro.fr/secteur/high-tech/2017/01/30/32001-20170130ARTFIG00169-un-virus-informatique-paralyse-un-hotel-de-luxe-en-autriche.php

[4]https://www.cnil.fr/fr/limiter-la-conservation-des-donnees

[5]https://www.ssi.gouv.fr/guide/recommandations-de-securite-relatives-aux-reseaux-wifi/

Quelle application du RGPD au secteur de l'hôtellerie?

RGPD: Quelle application au secteur de l'hôtellerie?

RGPD""

RGPD""

RGPD: Le secteur de l’hôtellerie collecte aujourd’hui de plus en plus de données personnelles, qu’il s’agisse de données nominatives, des données relatives à la réservation d’une chambre ou de celles liées aux préférences, goûts et habitudes de vie, ou de la santé des clients.

Ces données personnelles sont destinées à satisfaire la clientèle des hôtels et offrir des services de plus en plus personnalisés. Ces données peuvent être ensuite réutilisées et transférées à différents partenaires dans un but de fidélisation ou d’amélioration des prestations.

Cet article constitue un premier volet sur le thème de la conformité RGPD dans le secteur de l’hôtellerie et a pour but de recenser les différentes données collectées par l’hôtellerie et d’aborder les premières questions relatives à leur mise en conformité.

I/ Quelle collecte des données personnelles dans le secteur de l’hôtellerie ?

Différents types de données personnelles de clients sont collectées lors d’une réservation de chambre d’hôtel :

- Des données personnelles peu sensibles, relatives à l’identité (nom, prénom, âge, date de naissance, numéro de téléphone, adresse e-mail etc.) ou à la vie familiale (nombre d’enfants, mariés, célibataires etc.)

- Des données personnelles particulières ou sensibles liées à des allergies ou intolérances alimentaires, à la nécessité d’une chambre aménagée pour des personnes handicapées, ou encore des données issues de moyens biométriques lors de contrôle d’accès.

- Des données relatives aux convictions religieuses ou philosophiques du fait d’un régime alimentaire spécifique en raison de convictions religieuses ou d’une réservation liée à un événement particulier (réunion politique ou syndicale).

Certains hôtels sont également amenés à collecter davantage de données dans le but d’offrir des prestations et une expérience client très qualitative, notamment dans le secteur du luxe.

II/ La collecte de ces données est soumise au RGPD

Toutes ces données peuvent être qualifiées de données personnelles au sens du RGPD, voire de données sensibles : leur recueil devra être encadré et leur collecte respecter les critères de licéité de l’article 5 du RGPD.

Cela signifie que les données collectées doivent être :

  • Traitées de manière licite, loyale, transparente au regard de la personne concernée

  • Collectées pour des finalités déterminées, explicites et légitimes

  • Adéquates, pertinentes et limitées à ce qui est strictement nécessaire au regard des finalités pour lesquelles elles sont traitées

  • Exactes et, si nécessaires, tenues à jour

  • Conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées

  • Traitées de façon à garantir une sécurité appropriée des données à caractère personnel

III/ Quelles obligations au titre du RGPD ?

Des mentions d’informations:

Le traitement et l’utilisation de ces données impliquent de nombreuses obligations, de la mise à disposition d’une information transparente, au recueil du consentement :

- Les gérants d’un hôtel devront mettre à disposition de manière claire, facile et intelligible, les différentes données qu’ils collectent dans le cadre de la relation contractuelle avec leurs clients et prospects.

- Les mentions d’informations devront être adaptées en fonction du mode de recueil : site internet, téléphone, salon du voyage...

- La personne concernée doit être informée des mentions des articles 12 et 13 du RGPD de manière « concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples » et notamment:

  • de l’identité et des coordonnées du responsable du traitement

  • le cas échéant des coordonnées du DPO

  • des finalités du traitement et la base juridique du traitement

  • les destinataires ou les catégories de destinataires des données à caractère personnel

  • les transferts de données en dehors de l’Union européenne

L’intensité de l’obligation d’information pourra également varier en fonction de la nature de la donnée collectée, par exemple dans le cadre d’une utilisation de la biométrie: 

- Les sites Internet devront enfin être mis à jour (mentions légales, mentions obligatoires RGPD et clause données personnelles dans les CGV). Une adresse de contact devra être mise à disposition des personnes concernées de manière à recevoir les questions, les demandes de suppression, de rectification ou d’information sur leurs données.

Registre de traitement

L’article 30 du RGPD impose la tenue d’un registre des activités de traitement afin de recenser l’intégralité des traitements réalisés au sein de l’organisme. Ce registre doit être mis à jour régulièrement, être clair, facilement accessible et compréhensible en cas de procédure de contrôle de la CNIL.

Dans le cas d’un hôtel « connecté » (wifi, caméra de surveillance, sécurité et biométrie), les dispositifs devront aussi être encadrés et documentés afin d’attester de leur conformité.

A suivre dans un prochain article, les enjeux liés à la sécurité des données dans les hôtels.

ICO, BLOCKCHAIN et PROJET DE LOI PACTE : QUELLES AVANCEES?

ICO: Le projet de loi relatif à la croissance et à la transformation des entreprises a été présenté en Conseil des ministres ce mercredi 20 juin 2018. Il vient jeter les bases d’une future réglementation des ICO alors que ces levées de fond reposant sur la blockchain étaient jusque là peu encadrées. L'objectif est clairement affiché: offrir un cadre juridique compréhensible et protecteur alors que le financement de l'innovation par les ICO est en plein essor. Ce dernier rejoint une des finalités de la loi PACTE visant à renforcer l'attractivité de la Place de Paris. Le Conseil d'Etat dans son avis a relevé le caractère innovant de cette proposition et l'évolution probable de cet environnement technologique.  

Ce projet de loi PACTE constitue aussi un prolongement des travaux menés par l’Autorité des Marchés Financiers sur ce thème et notamment après la présentation de la synthèse de sa consultation publique portant sur les ICO et marquant un point d'étape du programme UNICORN - consultation publique rendue le 22 février 2018 "UNICORN".

Ce projet de loi contient unchapitre 2relatif aux « émetteurs de jetons ».

Plusieurs points sont à souligner au titre de ce nouveau cadre juridique inédit :

1/ Les dispositions relatives à l’objet de l’ICO

a) La soumission à un visa de l'AMF des offres au public de jetons

Le projet d’article L. 552-1 du code monétaire et financier dispose qu’ « est soumis aux obligations du présent chapitre tout émetteur qui procède à une offre au public de jetons et qui sollicite un visa de l’Autorité des marchés financiers dans les conditions prévues aux articles L.552.4 et suivants ».

Il consacre ainsi le mécanisme du visa dans le cadre d’une démarche volontaire des émetteurs de jetons, à la suite des préconisations faites en ce sens par l'AMF.

b) La définition d’un jeton

Un jeton est qualifié dans le projet de loi comme « tout bien incorporel représentant, sous forme numérique, un ou plusieurs droits, pouvant être émis, inscrits, conservés ou transférés au moyen d’un dispositif d’enregistrement électronique partagé permettant d’identifier, directement ou indirectement, le propriétaire dudit bien ».

Un jeton est donc représentatif d’un droit qui peut être émis, inscrit, conservé, transféré au moyen d’un DEEP, c'est-à-dire une technologie de registre distribué (blockchain).

Faut-il comprendre de ce projet d'article que le jeton sera uniquement représentatif d’un droit ? Dans la pratique, il existe différentes typologies très différentes de jetons qui ne visent pas seulement à représenter un droit. Cette disposition pourra faire l'objet de débats.

Cette disposition indique aussi au titre de la définition du jeton que ce dernier permet également l’identification directe ou indirecte du propriétaire dudit bien. Cette dénomination proche du droit des données personnelles interpelle, au vu de la portée et des conséquences liées au mécanisme d'identification. L'objectif d'une telle référence dépasse le seul enjeu de la protection des données et semble à rapprocher de la lutte contre la corruption et le blanchiment.

c) Qualification de l'offre au public de jetons

Toutes les offres d’ICO ne sont pas concernées par ces dispositions. En effet, le projet d’article L.552-3 du code monétaire et financier dispose que : « une offre au public de jetons consiste à proposer au public, sous quelque forme que ce soit, de souscrire à ces jetons ». « Ne constitue pas une offre au public de jetons, l’offre de jetons ouverte à la souscription par un nombre limité de personnes, fixé par le règlement général de l’Autorité des marchés financiers, agissant pour compte propre ».

Cet article vient préciser le champ d’application de ces dispositions en ajoutant un seuil minimal à la qualification « d’offre au public » de jetons. Certaines ICO seront par conséquent exclues de ce régime.

2/ Les dispositions relatives au contenu des ICO

Un formalisme documentaire imposé

Les ICO ne sont aujourd'hui pas encadrées sur le plan juridique en dépit d'une documentation de plus en plus étoffée en pratique (White paper, conditions générales etc) et ces dernières peuvent présenter des risques pour les souscripteurs. Ce projet de loi PACTE instaure donc un mécanisme destiné à fournir aux souscripteurs des documents d’information encadrés.

Le projet d’article L.552-4 du code monétaire et financier dispose ainsi « que préalablement à toute offre au public de jetons, les émetteurs peuvent solliciter un visa de l’Autorité des marchés financiers ». Dans ce cadre, les émetteurs établissent

  • « Un document destiné à donner toute information utile au public sur l’offre proposée et sur l’émetteur».

  • « Ce document d’information et les communications à caractère promotionnel relatives à l’offre au public présentent un contenu exact, clair et non trompeur et permettent de comprendre les risques afférents à l’offre».

  • « Les modalités de la demande de visa préalable, les pièces nécessaires à l’instruction du dossier et le contenu du document d’information sont précisés par le règlement général de l’Autorité des marchés financiers».

Ce projet de loi vient donc encadrer la documentation que chaque projet devra mettre à disposition des investisseurs. Le contenu devra être clair et non trompeur et permettre aux investisseurs de l’ICO de comprendre les risques afférents à l’offre, ce qui en pratique pourra être complexe à déterminer.

3/ Le rôle de l’AMF et procédure de visa

a) Introduction du mécanisme du visa non obligatoire

Le projet d’article L.552-4 du code monétaire et financier dispose que « préalablement à toute offre au public de jetons, les émetteurs peuvent solliciter un visa de l’Autorité des marchés financiers ».

Le mécanisme du visa n’est pas obligatoire pour faire une levée de fonds par le biais d'une ICO mais il s’inscrit dans une démarche de certification et d’accompagnement volontaire à l’image de procédures mises en œuvre jusqu'aujourd'hui par l’AMF. Il est possible d'imaginer qu'un tel visa constituera une des étapes clés dans la mise en oeuvre d'une ICO et au vu de sa crédibilité.

b) La procédure de contrôle et de révocation de visa devant l’AMF

Ce mécanisme du visa fait l'objet d'un suivi spécifique de la part de l'AMF. En effet, le projet d’article L.552-6 du code monétaire et financier dispose que « si, après avoir apposé son visa, l’Autorité des marchés financiers constate que l’offre proposée au public n’est plus conforme au contenu du document d’information ou ne présente plus les garanties prévues à l’article précédent, elle peut ordonner qu’il soit mis fin à toute nouvelle souscription ou émission, ainsi qu’à toute communication à caractère promotionnel concernant l’offre, et retirer son visa dans les conditions précisées par son règlement général ».

Le visa est donc révocable en cas d’offres qui seraient devenues non conformes aux exigences précitées, avec la possibilité de faire mettre fin aux communications concernant l'offre comme aux nouvelles souscriptions et émissions.

c) Le rôle de l’AMF : de nouveaux pouvoirs de vérification et d’examen?

Ce projet de loi confère à l’AMF un pouvoir de contrôle lorsque les porteurs de projet ICO décideront de se soumettent à cette procédure de visa.

Le projet d’article L.552-5 du code monétaire et financier précise que « l’Autorité des marchés financiers vérifie si l’offre envisagée présente les garanties exigées d’une offre destinée au public et notamment que l’émetteur de jetons :

  • Est constitué sous la forme d’une personne morale établie ou immatriculée en France

  • Met en place tout moyen permettant le suivi et la sauvegarde des actifs recueillis dans le cadre de l’offre

L’Autorité des marchés financiers examine le document d’information, les projets de communications à caractère promotionnel destinées au public postérieurement à la délivrance du visa et les pièces justificatives des garanties apportées. Elle apporte son visa sur le document d’information selon les modalités et dans le délai fixés par son règlement général ».

L’AMF a dès lors un pouvoir de contrôle sur l’entier projet et également sur les documents de publicités qui doivent être clairs et transparents.

4/Les critères relatifs aux parties : l’émetteur et le souscripteur

a) Les qualités de l’émetteur de jetons

Le projet de loi réglemente également la qualité d'émetteur de jeton. En effet, le projet d’article L.552-5 du code monétaire et financier dispose que « l’Autorité des marchés financiers vérifie si l’offre envisagée présente les garanties exigées d’une offre destinée au public et notamment que l’émetteur de jetons :

  • « Est constitué sous la forme d’une personne morale établie ou immatriculée en France

  • Met en place tout moyen permettant le suivi et la sauvegarde des actifs recueillis dans le cadre de l’offre »

Cet article énonce les conditions relatives à l’émetteur de jetons, ce dernier devant être une personne morale immatriculée en France. Cette condition est considérée comme donnant une certaine transparence et des garanties supplémentaires pour les souscripteurs, elle permet aussi d'encourager des porteurs de projets ICO à s'immatriculer en France dans le cadre de leur développement.

Par ailleurs, l’émetteur de jetons doit fournir un moyen permettant le suivi et la sauvegarde des actifs recueillis dans le cadre de l’offre.

b) Le souscripteur de jetons : des garanties renforcées

Enfin le projet d’article L. 552-7 du code monétaire et financier précise que « les souscripteurs sont informés des résultats de l’offre et, le cas échéant, de l’organisation d’un marché secondaire des jetons selon les modalités précisées par le règlement général de l’Autorité des marchés financiers ». 

La protection apportée à ces derniers est renforcée et leur information élargie, en l'absence de tout cadre en la matière. De la même façon l'information sur l'organisation d'un éventuel marché secondaire entrera dans le cadre des compétences de l'AMF.

Ce projet de loi attendu marque une nouvelle étape dans la construction d'un cadre juridique relatif à la blockchain et en l'espèce aux ICO. Si la future loi PACTE devra nécessairement intégrer des aspects fiscaux et comptables à terme pour assurer une réelle attractivité, elle témoigne de l'intérêt grandissant pour ces nouvelles levées de fonds.

Ces dispositions sont aussi un exemple intéressant de "bac à sable", un tel régime optionnel étant de nature à accroître encore les dispositifs juridiques mis en oeuvre par les porteurs de projets.

BLOCKCHAIN : Audition de Jérôme DEROULEZ dans le cadre de la mission de l'Assemblée nationale

BLOCKCHAIN - Dans le cadre de la mission d’information sur les usages des Blockchains (les chaînes de blocs), présidée par M. Julien AUBERT et ayant comme rapporteurs Mme Laure de la RAUDIERE et M. Jean-Michel MIS, Jérôme DEROULEZ  a été auditionné le mardi 17 avril 2018.

Après une brève présentation de l’activité du cabinet, spécialisé dans les nouvelles technologies et tout particulièrement en droit des données personnelles, le cabinet a exposé les enjeux d'une pratique innovante autour de l’accompagnement et du conseil en Blockchain.

A ce titre, le cabinet réalise pour ses clients des études prospectives sur l'environnement juridique et le contexte de l’émergence de la technologie Blockchain afin d'offrir des prestations de conseils et d'accompagnement adaptés.

Le cabinet rédige également des études prospectives sur la Blockchain Stockage des données sur la blockchain : quels enjeux juridiques?  mais également dans le domaine des nouvelles technologies  - intelligence artificielle (IA émotionnelle), objets connectés etc... 

Lors de cette audition, de nombreux thèmes ont été abordés et notamment les liens entre la protection des données personnelles et la Blockchain, la remise en cause ou non du droit des contrats ou des concepts du droit international privé. 

Le cabinet reste à votre dispositionpour toute demande de conseil et d'accompagnement de vos projets Blockchain.

RGPD : Jérôme DEROULEZ a publié un article sur les responsabilités des maires dans la Gazette des communes d'avril 2018

Interview de Jérome Deroulez dans la Gazette des Communes

«Données personnelles : quelles responsabilités pour les maires ?»

 

Jérôme Deroulez est revenu sur les obligations qui pèseront sur le maire en matière de protection des données personnelles à compter du 25 mai prochain, date d'entrée en application du RGPD.

 

« Alors que le Règlement général sur la protection des données personnelles (RGPD) entre en application le 25 mai prochain, le sujet de la préparation des collectivités locales et des communes à ce nouveau dispositif a agité le Sénat lors des débats sur l’adaptation de la loi Informatique et Libertés la semaine dernière.

La rapporteure du texte, Sophie Joissains, a ainsi souligné que seule une minorité de collectivités territoriales était en conformité et signalé la difficulté au vu des enjeux suscités par le RGPD au niveau local.»

 

Retrouvez l'intégralité de cet article sur le site de la Gazette des communes.

Petites et moyennes entreprises – avez-vous une charte Informatique et Libertés ?

Disposez-vous d’une charte Informatique et Libertés ? Quelles décisions avez-vous prises pour assurer la sécurité des données que vous collectez ou que vous stockez ? La question est d’actualité alors que la vie des entreprises a été marquée en 2017 par plusieurs failles de sécurité et cyber-attaques (Wannacry [1], NotPetya) qui témoignent de la nécessité de former ses équipes et ses salariés à la sécurité des systèmes d’information.

Pourquoi une charte Informatique et Libertés ?

Cette question est cruciale à la veille de l’entrée en application du Règlement général sur la protection des données personnelles qui a fait de la sécurité des systèmes d’information et des données des priorités, le RGPD renforçant par ailleurs les niveaux de sanction applicables.

A ce titre, l’article 32 du RGPD prévoit notamment que le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, et suggère entre autres de recourir à la pseudonymisation et au chiffrement des données à caractère personnel, aux moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement; aux moyens permettant de rétablir la disponibilité des données à caractère personnel ou encore à une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

Accountability et sécurité des données

Avec la consécration du principe d’accountability, responsables de traitement et sous-traitants devront aussi être en mesure de démontrer qu’ils ont mis en œuvre les mesures nécessaires destinées à assurer la sécurité des traitements. Au-delà des outils énumérés par le RGPD, les chartes Informatique et Libertés sont également un moyen efficace pour les entreprises de démontrer leur conformité tout en favorisant en interne la diffusion de la culture de la sécurité informatique.

Pourtant, de nombreuses entreprises n’ont pas encore ou peu cette culture de la sécurité de leurs données comme en atteste ce très récent passage diffusé sur le 19h45 de M6 à une heure de grande audience où apparaissaient, visibles en clair à l’écran, différents mots de passe affichés sur le poste du travail d’un salarié d’ENGIE relevé par un compte Twitter.

Charte informatique et libertes

Charte informatique et libertes

Était ainsi pointée l’absence de prise de conscience de la protection des mots de passe par un mécanisme adéquat.

Le présent article sera donc l’occasion de rappeler la nécessité et l’intérêt pour les entreprises de disposer d’une charte Informatique et Libertés.

Cette charte devra être annexée au règlement intérieur de l’entreprise afin de la rendre opposable aux salariés et collaborateurs.

Qui met en place la charte Informatique et Libertés ?

C’est l’employeur dans le cadre de son pouvoir de direction et de contrôle qui peut (et le plus souvent qui doit) encadrer l’activité informatique et l’accès à Internet de ses salariés et collaborateurs, dans le respect du droit à la vie privée du salarié[2].

En effet, une telle charte est souvent indispensable et notamment pour encadrer les utilisations à des fins privées de certains sites et éviter de futurs contentieux. Peuvent être ainsi traitées par la charte les questions de la consultations de sites qui seraient expressément interdits par la charte informatique [3],l’installation de logiciels non autorisés[4]la divulgation non autorisée d’informations confidentielles [5]les mesures de sécurité qui doivent être mise en œuvre (chiffrement, sécurisation des mots de passe) etc… Avec en conséquence la nécessité d’énoncer clairement ces bonnes pratiques de sécurité au sein de la charte.

La mise en place de la charte a de multiples intérêts : elle constitue un outil pédagogique utile pour les salariés et collaborateurs, notamment lors de nouvelles embauches. Elle permet aussi de valoriser et de protéger les process mis en œuvre au sein des entreprises en matière de sécurité des données personnelles.

Comment rédiger sa charte informatique et libertés? Nos conseils

Introduction de la charte (Préambule) :

  • Indiquez en introduction les objectifs de la Charte.

  • Exposez l’objectif et la portée de la Charte.

  • Expliciter les attentes de votre entreprise pour faire de la charte un outil de sensibilisation en interne sur les questions de sécurité.

  • Indiquez des éléments de protection des données personnelles et mentionnez la désignation d’un DPO ou les personnes « contact » utiles

Opposabilité de la charte :

  • Veillez à énumérer de façon exhaustive tous les personnels et collaborateurs concernés par la charte.

  • Explicitez les modalités d’information sur la charte (lieux d’affichage, documentation, modalités de prise de connaissance par les salariés et les collaborateurs et de signature etc…)

Définitions :

  • Les termes utilisés doivent être clairs et précis.

  • Une attention particulière sera portée à la rédaction de la charte pour en assurer la neutralité technologique à terme afin d’englober de futures innovations technologiques (par exemple la Blockchain ou le recours à l’AI).

Quelles règles d’utilisation du système d’information – usages :

  • Recensez d’abord l’ensemble des besoins auxquels le système d’information doit répondre.

  • Répertoriez tous les outils numériques mis à disposition des salariés et collaborateurs.

  • Définissez une politique de confidentialité des accès et des mots de passe et développez des bonnes pratiques.

  • Définissez et explicitez les pratiques autorisées (gestion des habilitations, usages et renouvellement des mots de passe, procédures à respecter.

  • Définissez quelles sont les mesures de sécurité prises afin de sécuriser l’accès aux différents postes dans votre entreprise.

Quelles obligations pour les utilisateurs ?

  • Rappelez aux utilisateurs qu’ils sont responsables des ressources informatiques qu’ils utilisent.

  • Rappelez aussi des règles de bon sens (ne pas insérer des clefs UBS étrangères à l’entreprise, pas de communication excessive des données et notamment à des personnes non autorisées...).

  • Posez des règles claires quant à l’utilisation d’Internet et des outils informatiques de votre entreprise à des fins personnelles.

  • Définissez des conditions d’utilisation des espaces de stockage ou pour l’installation de logiciels.

  • Rappelez les conditions d’utilisation de la messagerie électronique de l’entreprise et soulignez la présomption de professionnalité des messages transmis.

Outils de contrôle du poste informatique / surveillance du salarié :

  • Indiquez quels outils de filtrage sont mis en place.

  • Explicitez les systèmes de contrôle du salarié et les différentes informations pouvant être enregistrées.

  • Notez que ces outils de contrôles et de surveillance des salariés devront être proportionnés à l’objectif poursuivi.

Travail à distance et mobilité des salariés :

  • Prenez en compte la virtualisation ou non des postes de travail avec leurs conséquences (règles d’attribution et d’usages des matériels, tablettes, téléphones et ordinateurs portables).

  • Posez des règles claires dans les cas de mobilité des salariés et exposez les différentes situations envisageables.

Sanctions :

  • La charte doit indiquer quelles sont les sanctions prévues.

  • Elle doit également préciser les conditions d’engagement de la responsabilité civile et pénale des salariés et des collaborateurs ou de procédures disciplinaires.

Entrée en vigueur de la charte :

  • Précisez la date d’entrée en vigueur de la charte et d’entrée en application.

  • Mettre les annexes en lien ou notes de bas de page

Annexe - Dispositions légales applicables:

- Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (Texte présentant de l'intérêt pour l'EEE)

- Loi informatique et libertés

- Code pénal : article 226-16 à 226-24 et R.625-10 à R.625-13

- Loi Godfrain : article 323-1 et 323-3 code pénal

Références:

[1]https://www.lesechos.fr/idees-debats/cercle/cercle-170062-wannacry-la-cyber-securite-le-talon-dachille-de-lentreprise-2087140.php

[2]« Le salarié a droit, même au temps et au lieu du travail, au respect de l'intimité de sa vie privée ». Cour de cassation,Chambre sociale, 2 octobre 2001, n° 99-42.942. Voir arrêts récent sur la labellisation des fichiers indiqués comme privés et le durcissement de la position de la Cour de cassation après le célèbre arrêt Nikon. CEDH, 22 janvier 2018 ; n° 588/13 mettre l’intégralité du Disc dur comme privé « la dénomination donnée au disque dur lui-même ne peut conférer un caractère personnel à l’intégralité des données qu’il contient ; que la cour d’appel, qui a retenu que la dénomination « D:/données personnelles » du disque dur de l’ordinateur du salarié ne pouvait lui permettre d’utiliser celui-ci à des fins purement privées et en interdire ainsi l’accès à l’employeur, en a légitimement déduit que les fichiers litigieux, qui n’étaient pas identifiés comme étant « privés » selon les préconisations de la charte informatique, pouvaient être régulièrement ouverts par l’employeur ; »

[3]CA Grenoble, ch. soc., 16 janv. 2008, n° 07/01119 : la consultation par un salarié de sites pornographiques, expressément interdit par la Charte informatique, le licenciement pour faute grave du salarié est justifié. Voir aussi Cass. soc., 15 déc. 2010, nº 09-42.691.

[4]CA Paris, pôle 6, ch. 5, 19 janv. 2012, no 10/04071, M. Rudy c/ Sté Zétès, en l’espèce un technicien de maintenance avait installé sur son poste de travail des logiciels qui n’étaient pas autorisés par la Charte informatique.

[5]Cass. soc., 5 juill. 2011, n° 10-14.685 la salariée a été licenciée pour faute grave : la salariée avait permis à un autre salarié qui n’y était pas habilité d’utiliser son code d’accès pour télécharger des informations confidentielles.

Sources complémentaires :

https://www.ssi.gouv.fr/uploads/2017/06/guide-charte-utilisation-moyens-informatiques-outils-numeriques_anssi.pdf

https://www.cnil.fr/sites/default/files/typo/document/20100730-MOD-CHARTE_INFORMATIQUE_CIL-VD.pdf

PROTECTION DES DONNEES PERSONNELLES: QUE RETENIR DE 2017?

L’année 2017 a été marquée par une actualité fournie en matière de protection des données personnelles. Nous vous présentons une sélection de ces différents événements marquants, notamment en matière de sécurité des données (1), les décisions à signaler de la Commission européenne et de la CNIL (2) ainsi que les dossiers en cours devant la Cour de justice de l’Union européenne (3).  

I. Les atteintes à la sécurité des données

 

1/ Ransomwares

 

Les rançon-logiciels, (traduits de l’anglais : ransomwares) ont été au cœur de l’actualité en 2017 et parmi eux : Wannacry, Petya, NotPetya. Ceux-ci ont considérablement affecté les administrations, les hôpitaux [1], les entreprises [2], et les particuliers. Ces virus se sont transformés en véritables outils de prise d’otage numérique. Dernièrement, lors du Forum International de la Cybersécurité qui s’est déroulé à Lille, le 23 et 24 janvier 2018, le ministre de l'Intérieur Gérard Collomb a annoncé un plan de lutte contre les cyber-menaces avec la création de 800 postes consacrés à cette priorité : « Que l’on pense par exemple à Wannacry, cette cyberattaque mondiale ayant touché en mai dernier des institutions et des entreprises de 150 pays, parmi lesquels de grands constructeurs automobiles, des opérateurs téléphoniques, mais aussi des hôpitaux. Durant plusieurs heures, des usines ont été paralysées. Le préjudice subi s’évalue en centaines de millions de dollars. »

 

Toutefois, pour l’instant en France, en dépit de l’existence de dispositions pénales avec les articles 323-1 et 323-2 du Code Pénal (atteinte aux systèmes d’informations), les sanctions restent encore très faibles.  La vigilance reste cependant essentielle dans ce domaine, au vu notamment de l’attention portée par la CNIL au niveau de sécurité apporté pour protéger les traitements de données personnelles.

 

2/ Failles de sécurité

 

Equifax est un fournisseur de données financières (notamment pour la solvabilité et les capacités de remboursement des personnes) qui a subi une faille de sécurité très importante au cours de l’année passée au cours de laquelle des pirates informatiques ont eu accès aux informations personnelles de plus de 140 millions d'Américains. Ainsi plusieurs centaines de millions d’américains ont été touchés par ce vol d’identité numérique qui concernait des données telles que le nom, prénom, numéro de carte de crédit, numéro de sécurité sociale...

 

Uber, a aussi annoncé par le biais de son nouveau directeur général, Dara Khosrowshahi dans un communiqué de novembre dernier le vol de données de 57 millions d’utilisateurs.

 

Ces deux affaires ont provoqué des réactions fortes, notamment au vu du manque de clarté et de transparence supposé de ces entreprises, bien au-delà des failles de sécurité.

 

Or il faut souligner dans ce domaine que le nouvel article 33 du RGPD vient opérer un changement en matière de violation de données personnelles. En effet, cette disposition oblige les opérateurs à notifier une violation de données à caractère personnel. « En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l'autorité de contrôle compétente conformément à l'article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l'autorité de contrôle n'a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard ».

 

Cela signifie qu’à partir de mai 2018, les mesures prises par les entreprises, en réaction à une faille de sécurité seront scrutées à la loupe par les autorités de contrôle. Et les éventuelles mesures correctives -prises ou non – seront aussi analysées dans le cas de sanctions.

 

II. Les sanctions prises par la Commission européenne et la CNIL

 

Facebook et Google ont été condamnées par la Commission européenne sur le terrain du droit de la concurrence, droit qui ne paraît aujourd’hui ne plus pouvoir ignorer les enjeux liés aux données personnelles.

 

Le rachat de Whatsapp par Facebook : analyse au regard du droit de la concurrence et de la violation de l’obligation d’information :

 

Ce rachat de Whatsapp par Facebook a donné lieu à deux décisions, la première de la Commission européenne (1), la seconde, de la CNIL (2).

 

1/ La sanction par la Commission européenne du 16 mai 2016 pour fourniture d’informations dénaturées

 

La sanction par la Commission européenne [3] de Facebook repose sur plusieurs aspects.

 

En effet était en cause la possibilité d’interconnexion des utilisateurs de l’application Whatsapp et ceux de Facebook. « La Commission a constaté que, contrairement à ce qu'avait déclaré Facebook en 2014 dans le cadre de la procédure de contrôle des concentrations, la possibilité technique de mettre en correspondance les identités des utilisateurs de Facebook et de WhatsApp existait déjà cette année-là et que les employés de Facebook étaient au courant de cette possibilité ».

 

La Commission a évalué les risques pour la concurrence, au regard du Règlement européen sur le contrôle des concentrations n° 139/2004 du Conseil du 20 janvier 2004, dans l’hypothèse d’une absence d’interconnexion entre les deux services. Or, la Commission a relevé que « la possibilité technique de mettre en correspondance les identités des utilisateurs de Facebook et de WhatsApp existait déjà cette année-là et que les employés de Facebook étaient au courant de cette possibilité ». Et elle a de fait prononcé cette sanction.

 

Dans le cadre de cette sanction a aussi été évoquée en filigrane les enjeux de la constitution de bases de données personnelles particulièrement importantes et leurs effets sur la concurrence.

 

2/ Sanction de la CNIL à l’égard de Facebook pour manquements à la loi informatique et libertés

 

La formation restreinte de la CNIL a également prononcé, le 27 avril 2016, une sanction de 150.000 €, rendue publique, à l’encontre des sociétés Facebook INC et Facebook Ireland. Cette dernière a été prononcée en raison de nombreux manquements à la loi Informatique et Libertés et notamment sur des points importants concernant le consentement des personnes concernées et la collecte loyale des données personnelles (notamment en raison de l’utilisation du cookie DATR qui recueillaient également des informations sur les personnes non inscrites sur Facebook), le manquement au recueil du consentement des personnes concernées.

 

3/ Google : Sanction de la Commission européenne pour abus de position dominante

 

La Commission a également infligé à Google une amende de 2,42 milliards d’euros le 27 juin dernier pour abus de position dominante sur le marché des moteurs de recherche et pour avoir favorisé son propre service de comparaison de prix (4). Google aurait ainsi abusé de sa position dominante sur ce marché un conférant à son service de comparaison des prix un avantage illégal.

 

III. En cours: les affaires pendantes devant la Cour de justice de l’Union européenne

 

1/ Le droit à l’oubli :

 

Le droit à l’oubli numérique a été consacré de manière jurisprudentielle par la célèbre décision Google Spain du 13 mai 2014. Toutefois, la possibilité de retirer un contenu sur Internet existait déjà sous la LIL, par le mécanisme des articles 38 (droit d’opposition) et 40 (droit de suppression). Néanmoins, depuis sa consécration jurisprudentielle, de nombreuses questions pratiques persistent et ce droit se heurte à différents intérêts en présence et notamment : droit du public à l’information, liberté d’expression, sécurité juridique.... La Cour de justice, a également rappelé, à l’occasion d’une décision, CJUE, Cammera di Commercio c. M. Manni, du 9 mars 2017, que le droit à l’oubli n’était pas absolu et qu’il devait être mis en balance avec le principe de sécurité juridique des tiers.

 

Le Conseil d’État a, par ailleurs et à deux reprises, posé des questions préjudicielles à la Cour de justice de l’Union européenne qui restent pendantes :

 

  • D’une part, une première question préjudicielle du Conseil d’État du 24 février 2017, dans des affaires jointes n°391000, 393769, 399999, 401258, qui concernaient des données sensibles. Très brièvement, la première concernait un photomontage satirique mettant en scène la directrice du cabinet d’un maire, la deuxième un ancien responsable de l’église de Scientologie, la troisième une mise en examen qui concernait des hommes politiques et enfin la quatrième affaire pour des faits de pédophilie. La question concernait les obligations du moteur de recherche en cas de demande de déréférencement d’un tel contenu.

 

  • D’autre part, une seconde question préjudicielle du Conseil d’État du 19 juillet 2017, sur la portée territoriale des injonctions de déréférencement à l’encontre du moteur de recherche. La question concernait le champ d’application du déférencement au sujet duquel la CNIL a adopté une position claire dans son communiqué du 12 janvier 2017 : un déréférencement mondial. [5].

 

2/ M. Schrems

 

Maximilien Schrems est un étudiant autrichien qui s’est fait connaître par la célèbre affaire qui a mené à l’invalidation du « Safe Habor » concernant le transfert aux USA de certaines données personnelles et à son remplacement par le Privacy Shield. (CJUE, 6 octobre 2015) [6]

 

Courant 2017, ont été posées deux questions préjudicielles à la Cour de justice de l’Union européenne :

 

  • D’une part, une première question préjudicielle, concernait la qualité de « consommateur » de M. Schrems, individuellement, et ce, lorsque ce dernier est cessionnaire des actions de groupes d’autres consommateurs. Posée le 19 septembre 2016 [7] à la Cour de justice de l’Union européenne, cette dernière a statué le 25 janvier 2018.

 

La position retenue par la CJUE était intéressante à un double égard pour déterminer d’une part, si un «consommateur» perd cette qualité lorsque après avoir utilisé pendant relativement longtemps un compte Facebook privé, « pour faire valoir ses droits, il publie des livres, et donne parfois également des conférences rémunérées, exploite des sites Internet, collecte des dons afin de faire valoir les droits et se fait céder les droits de nombreux consommateurs en contrepartie de l’assurance de leur remettre le montant obtenu, après déduction des frais de justice, au cas où il obtiendrait gain de cause» et d’autre part si ce consommateur peut se prévaloir du tribunal du lieu de son domicile quand il devient cessionnaire des droits des autres consommateurs.

 

Ces questions étaient importantes au regard du droit international privé. En effet, l’article 18 du Règlement Bruxelles I bis pose une exception au principe selon lequel, la juridiction compétente est celle du tribunal du défendeur -afin de faciliter les démarches du consommateur- et permet à ce dernier de saisir le tribunal de son propre domicile. La Cour de justice, dans sa décision du 25 janvier 2018 dernier a indiqué que M. Max Schrems conservait sa qualité de consommateur et que peu importait son activité postérieure, qu’il pouvait ainsi engager une action contre Facebook Ireland en Autriche. En revanche, la CJUE a souligné qu’en tant que cessionnaire des droits des autres consommateurs, M. SCHREMS ne pouvait bénéficier de l’exception issue de l’article 18 du Règlement Bruxelles I bis et saisir le tribunal de son propre domicile aux fins d’une action collective.

 

Cette position est en lien direct avec l’actualité puisque a été adopté par l’Assemblée nationale, le 8 février dernier, un amendement pour une action de groupe collective en matière de données personnelles. [8]

 

  • D’autre part, une seconde question préjudicielle posée par la Haute Cour d’Irlande, [9] à propos d’une autre action Max Schrems concernait les clauses contractuelles types de Facebook.

 

Dans cette affaire, il était question de la validité des clauses contractuelles types de Facebook. Pour rappel, il existe un principe d’interdiction de transferts des données personnelles vers des pays tiers à l’Union européenne [10]. Ces transferts, sont toutefois autorisés, dans certains cas :

  • Le pays bénéficie d’une décision d’adéquation [11]

  • Un transfert fondé sur des garanties appropriées [12]

  • Ou encore, sur le fondement de règles d’entreprises contraignantes [13]

 

Etait ici en cause le mécanisme des clauses contractuelles mises en place par Facebook, qui selon M. Schrems ne garantissaient pas une protection suffisante, notamment en raison des programmes de surveillances américains. En effet, dans la décision rendue le 3 octobre 2017 par la Haute Cour Irlandaise [14], les autorités gouvernementales américaines, auraient, selon Max Schrems, un accès aux données personnelles d’européens du fait du programme PRISM.

 

 

En conclusion, il est notable que les questions relatives aux données personnelles ont occupé une part importante de l’actualité en 2017. Le RGPD, sujet inscrit à l'agenda des entreprises témoigne de la préoccupation grandissante pour ces aspects tandis que la CNIL, par son action de plus en plus visible incite également les personnes à se préoccuper de leurs données personnelles. Cet « empowerment » des individus sur le contrôle de leurs données est désormais consacré à l’article 1 de la LIL du fait des dispositions de la loi pour une République Numérique (« toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant »). Ce principe d’autodétermination informationnelle est ainsi la clef de voûte de la protection des données à caractère personnel avant même de finaliser l'adaptation du RGPD.

 

Dossier majeur de 2017, la protection des données personnelles devrait ainsi connaître une nouvelle actualité nourrie dans les mois à venir. Notre prochain article évoquera les décisions et événements attendus en 2018.

 

 

 

REFERENCES

 

[1] http://www.zdnet.fr/actualites/ransomware-le-nettoyage-se-poursuit-apres-le-chaos-wannacry-39852650.htm

 

[2] http://www.zdnet.fr/actualites/ransomware-petya-un-colis-a-300-millions-de-dollars-pour-maersk-39856172.htm

 

[3] Délibération n°SAN – 2017-006 du 27 avril 2017 - Délibération de la formation restreinte SAN –

2017-006 du 27 Avril 2017 prononçant une sanction pécuniaire à l'encontre des sociétés FACEBOOK INC. et FACEBOOK IRELAND

 

[4] http://europa.eu/rapid/press-release_IP-17-1784_fr.htm

 

[5] https://www.cnil.fr/fr/pour-un-droit-au-dereferencement-mondial

 

[6] CJUE, 6 octobre 2015, C-362/14

 

[7] Affaire C-498/16: Demande de décision préjudicielle présentée par l’Oberster Gerichtshof (Autriche) le 19 septembre 2016 — Maximilian Schrems/Facebook Ireland Limited

 

[8] L’article 43 ter de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifié :

1° Le III est remplacé par un alinéa ainsi rédigé :

« Cette action peut être exercée en vue soit de la cessation du manquement mentionné au deuxième alinéa, soit de l’engagement de la responsabilité de la personne ayant causé le dommage afin d’obtenir la réparation des préjudices matériels et moraux subis, soit de ces deux fins. » ;

2° Le IV est complété par un alinéa ainsi rédigé :

« Lorsque l’action tend à la réparation des préjudices subis, elle s’exerce dans le cadre de la procédure individuelle de réparation définie au chapitre Ier du titre V de la loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle. »

 

[9] The High Court Commercial [2016 No. 4809 P.] Between The Data Protection Commissioner Plaintiff And Facebook Ireland limited and Maximillian Schrems Defendants http://www.courts.ie/Judgments.nsf/09859e7a3f34669680256ef3004a27de/8131a5dde8baf9ff802581b70035c4ff?OpenDocument

 

[10] Article 44 du RGPD

 

[11] Article 45 du RGPD

 

[12] Article 46 du RGPD

 

[13] Article 47 du RGPD

 

[14] He states that there is clear evidence that leads him to believe that his personal data controlled by Facebook and processed by Facebook Inc. is at the very least “made available” to US government authorities under various known and unknown legal provisions and spy programmes such as the “PRISM” programme (which I explain more fully below). He also believes that there is a likelihood that his personal data has, in addition, been accessed under these provisions as he was prevented from boarding a transatlantic flight on the 16th of March, 2012, to the United States for reasons of “national security”. (page 35).

Bruxelles: Interview de Jérôme DEROULEZ dans le Monde du Droit. 17 novembre 2017

BRUXELLES: Interview de Jérôme Deroulez par Arnaud Dumourier dans le Monde du Droit du 17 novembre 2017. http://www.lemondedudroit.fr/interviews/54590-interview-jerome-deroulez-pourquoi-inscrire-bruxelles.html   

Pourquoi ouvrir un bureau à Bruxelles? Cet interview portait sur les intérêts et avantages pour les avocats français d'ouvrir un bureau à Bruxelles.

 

Cet article évoque aussi les raisons d'une présence à Bruxelles pour intégrer au mieux les travaux législatifs européens en cours et à venir, plus spécifiquement dans les domaines de la protection des données personnelles ou des nouvelles technologies.

Intervention de Jérôme DEROULEZ sur la régulation de la blockchain - Academic Days on Open Government and Digital Issues. Paris. 14 novembre 2017

Jérôme DEROULEZ est intervenu au sujet de la régulation de la blockchain dans le cadre des Academic Days on Open Government and Digital Issues (Paris I) qui avaient lieu à Paris les 14 et 15 novembre 2017. Un atelier spécifique a été organisé au sujet de la blockchain et des algorithmes et de leurs problématiques juridiques.

PROTECTION DES DONNEES PERSONNELLES: Jérôme Deroulez a publié un article sur la protection et la sécurité des données dans la Semaine Juridique du 16 octobre 2017 (JCP G)

PROTECTION ET SECURITE DES DONNEES PERSONNELLES  

Alors que les « fuites » de données personnelles sont devenues un sujet médiatique, le sujet de la sécurité et de la protection des données personnelles constitue aujourd’hui un enjeu juridique sensible, en plus de l’impératif technique.

 

CNIL et renforcement de la protection des données personnelles

 

En effet, l’accroissement des pouvoirs de sanctions de la CNIL et des autorités de contrôle européennes, avec l’entrée en vigueur de la loi n°2016-1321 du 7 octobre 2016 pour une République numérique et du règlement général sur la protection des données personnelles UE 2016/679 (http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679 RGPD), crée une nouvelle donne notable.

 

Deux délibérations à noter en matière de protection des données personnelles

 

En témoignent deux délibérations de la CNIL prononcées les 18 et 20 juillet 2017 contre les sociétés HERTZ et OUICAR et qui délimitent concrètement les obligations à charge des responsables de traitement et de leurs sous-traitants.

 

Ces deux délibérations qui obéissent à un contexte spécifique en dépit de nombreux traits communs constituent un rappel utile à la veille de l’entrée en application du règlement général sur la protection des données (RGPD).

BLOCKCHAIN ET DROIT: Jérôme Deroulez est intervenu lors du 28ème club LexisNexis organisé en partenariat avec le Club des Juristes

BLOCKCHAIN: Jérôme Deroulez est intervenu au sujet des enjeux juridiques posés par le blockchain (cas d'usages, applications et utilisation probable, régulation et encadrement législatif). Il a évoqué les travaux français en vue d'un futur droit de la blockchain, au vu de l'ordonnance sur les mini-bons et de la future ordonnance sur les titres non cotés. Cette présentation a fait l'objet d'une publication dans la Semaine Juridique le 29 mai 2017 ( http://www.tendancedroit.fr/wp-content/uploads/2017/05/La-semaine-juridique-1.pdf )  

  1. Pourquoi les avocats doivent-ils s’intéresser à la blockchain ?

 

La blockchain intéresse les avocats aujourd’hui à plus d’un titre.

D’abord parce que cette technologie et son potentiel suscitent de très nombreuses questions d’ordre juridique (mode de preuve, conception de smart-contracts, identité et blockchain, transferts de titres de propriété etc…). De plus, la multiplication des applications ou des expérimentations fondées sur la blockchain interpellent et posent de très nombreux défis aux avocats lorsqu’ils doivent accompagner leurs clients sur ces projets (notamment dans le domaine des droits de propriété intellectuelle, littéraire ou artistique).

Par ailleurs, la plupart des régulateurs ou des autorités de contrôle se positionnent aujourd’hui sur cette technologie et son impact notamment en matière bancaire et financière avec un nombre de rapports et d’études exponentiel. Et les investissements aujourd’hui consentis au niveau international sur cette technologie sont aussi un marqueur qui doit attirer notre attention : partout la blockchain interpelle et constitue le signe de changements importants.

Enfin, au-delà du phénomène de mode lié à cette technologie volontiers décrite comme « punk », l’intervention de l’avocat permet de réfléchir au cadre juridique général de ces travaux et de poser des jalons pour les sécuriser et les pérenniser.

 

  1. Les pratiques évoluent, quel sera le rôle de l’avocat demain ?

 

Le rôle de l’avocat évoluera forcément, du fait de l’effet conjugué de nombreuses technologies comme la blockchain, l’intelligence artificielle, la justice prédictive ou encore les robots. Nos façons de travailler, nos modèles de développement comme nos outils sont susceptibles d’être impactés. Les relations avec nos clients sont aussi d’ores et déjà profondément modifiées par la révolution numérique et évolueront encore.

S’il est difficile de prédire quel sera le rôle de l’avocat demain, il est en revanche nécessaire pour les barreaux de se pencher de près sur les conséquences croisées des innovations qui font aujourd’hui l’actualité et révolutionnent en profondeur notre économie. C’est aussi l’un des moteurs de l’Incubateur du Barreau de Paris pour rapprocher l’innovation des cabinets tout en mettant en valeur les projets les plus intéressants au niveau juridique et en les accompagnant sur leurs volets éthiques et déontologiques notamment.

 

  1. Quel impact de la blockchain sur la régulation ? Faut-il légiférer sur la blockchain ?

 

La blockchain a d’ores et déjà un impact en termes de régulation et de législation. Les enjeux juridiques de la définition du bitcoin et des monnaies virtuelles comme leur appréhension par les régulateurs internationaux ont suscité des premiers travaux législatifs ou pré-législatifs. L’ordonnance sur les mini-bons et la future ordonnance sur les titres non-côtés issue de la loi Sapin II devraient aussi jeter les bases d’un droit français de la blockchain appelé de leurs vœux par de nombreux parlementaires.

Ces travaux ne se limitent pas à la France, le Royaume-Uni, le Luxembourg, l’Australie, Singapour ou les Etats-Unis ont d’ores et déjà lancé des réflexions législatives en la matière. L’Union européenne a marqué son intérêt. Et des projets de norme ISO de cette technologie ont débuté.

D’ici un ou deux ans, plusieurs exemples de législations centrées sur certains effets liés à l’utilisation de la blockchain devraient avoir été adoptés -à défaut d’une régulation à proprement parler particulièrement complexe à envisager. La promotion du modèle du sandbox ou bac à sable est aussi une option à envisager sérieusement : à l’instar de certaines propositions anglo-saxonnes, ce concept permet d’éviter de légiférer trop tôt dans le cas de technologies très évolutives notamment et de permettre aux législateurs comme aux régulateurs de prendre le pouls des projets en cours. En tout état de cause, le modèle du sandbox est un appel à appréhender autrement les modes de régulation en évoluant vers des solutions de co-création, plus ouvertes et collaboratives.

PRIVACY SHIELD ET PROTECTION DES DONNEES: Publication par Jérôme Deroulez d'un article dans le Village de la Justice

Article paru dans le Village de la Justice le 19 février 2016 - ( https://www.village-justice.com/articles/sphere-securite-Safe-Harbour,21514.html )  

Le 6 octobre 2015, la Cour de justice de l’Union européenne (CJUE) a invalidé la décision de la Commission européenne du 26 juillet 2000 (dite « Safe Harbour ») qui constatait que les Etats-Unis assuraient un niveau de protection adéquat aux données transférées depuis l’Union européenne, marquant sa préoccupation pour la protection des données personnelles.

Le 2 février dernier, la Commission européenne a annoncé avoir trouvé un accord avec les autorités américaines sur un « bouclier de protection » destiné à remplacer le « Safe Harbour », accord dont le contenu devrait être rendu public dans les prochaines semaines. « Bouclier de papier » selon ses détracteurs, socle plus protecteur des droits fondamentaux pour la Commission. Un état des lieux s’impose.

 

Rappel:

 

La décision «  Safe Harbour » a été attaquée par Maximilian Schrems, ressortissant autrichien et utilisateur de Facebook depuis 2008, qui avait déposé plainte auprès de l’autorité irlandaise de protection des données compétente du fait de l’installation en Irlande des serveurs européens de Facebook. Suite au rejet de cette plainte par l’autorité de contrôle irlandaise, M. Schrems avait introduit un recours devant la Haute cour de justice irlandaise. Celle-ci a sursis à statuer et saisi la CJUE d’une question préjudicielle afin de déterminer si l’autorité de contrôle nationale saisie était absolument liée par la décision d’adéquation de la Commission et, dans le cas contraire, si cette dernière autorité pouvait mener sa propre enquête.

 

Répondant à cette question préjudicielle, la CJUE a jugé que l’existence d’une décision d’adéquation de la Commission n’avait pas pour effet d’empêcher une autorité nationale de contrôle d’enquêter sur une plainte alléguant qu’un pays tiers n’assurait pas un niveau de protection adéquat et le cas échant de suspendre le transfert des données. Elle a également invalidé la décision « Safe Harbour ».

 

PROTECTION DES DONNEES ET PRIVACY SHIELD

 

Cet arrêt revêt une portée fondamentale en ce qui concerne le droit de la protection des données en Europe, à la suite de l’arrêt Digital Right Ireland C-293/12 du 8 avril 2014, la CJUE rappelant au législateur européen la nécessité de prévoir des garanties effectives et concrètes, quitte à remettre en cause l’équilibre législatif et règlementaire européen actuel. Il emporte aussi de nombreuses conséquences.

 

Un arrêt et des réactions en chaîne

 

Suite aux délais fixés par le groupe de travail article 29 (dit G29) regroupant les autorités de contrôle en matière de protection des données, la Commission européenne s’était engagée à négocier un nouveau texte avant la fin du mois de janvier pour mettre un terme à la situation d’insécurité juridique ouverte par l’invalidation du Safe Harbour.

 

Le 2 février, la Commission a annoncé avoir trouvé un accord avec les Etats-Unis sur la base d’un nouveau « bouclier de protection » (« privacy shield »), sensé remplacer et améliorer le Safe Harbor sans donner le sentiment d’un Safe Harbor bis, un tel outil risquant d’emblée de faire l’objet de vives contestations par le Parlement européen et notamment sa commission des libertés civiles (LIBE).

 

Ce projet (« privacy shield ») n’a pas encore été rendu public. La Commission a publié un communiqué de presse évoquant ses grandes lignes, laissant cependant la porte ouverte à toutes les conjectures en dépit des termes rassurants qu’elle a utilisés :

  • obligations plus fortes mises à la charge des entreprises américaines exploitant les données de citoyens européens et renforcement des contrôles exercés par le département du commerce américain grâce à une coopération accrue avec les autorités de contrôle européennes ;

  • nouveaux mécanismes de contrôle des accès des autorités publiques américaines aux données concernées, monitoring régulier et suivi annuel conjoint de l’accord ;

  • mise en œuvre de plusieurs types de recours effectifs, sans précision, et notamment de modes alternatifs gratuits. Un nouveau médiateur doit aussi être désigné s’agissant d’accès possibles par les autorités nationales en matière de renseignement.

 

A la suite de ces déclarations, le collège des commissaires s’est engagé à présenter un projet de décision d’adéquation, après avis du G29 et consultation du comité des représentants du Conseil (comité article 31), conformément à la procédure prévue par les articles 25 et 31 de la directive 95/46/CE.

 

PROTECTION DES DONNEES ET TRANSFERTS DE DONNEES HORS UE

 

De son côté, lors de sa réunion des 2 et 3 février 2016, le G29 a rappelé sa très grande vigilance sur les conditions dans lesquelles des données pouvaient être transférées de l’Union européenne vers les Etats-Unis. Il a aussi souligné de façon liminaire, faute de texte à ce stade, que quatre exigences devraient être remplies :

  • traitement fondé sur des règles claires, précises et accessibles ;

  • application des principes de nécessité et de proportionnalité en lien avec les objectifs légitimes poursuivis ;

  • existence d’un mécanisme de contrôle indépendant d’une part et ;

  • voies de recours concrètes et effectives ouvertes aux personnes physiques d’autre part.

 

Le G29 a souligné ses préoccupations comme ses doutes au vu du cadre américain en vigueur.

 

Il a enfin marqué la nécessité de disposer avant fin février du contenu de l’accord pour un examen détaillé, se plaçant ainsi en position d’arbitre, avant des discussions décisives. 
Le Parlement européen (et notamment la commission LIBE) n’est associé qu’à la marge à cette procédure (dans le cadre du contrôle de l’exercice des compétences d’exécution de la Commission), ce qui ne l’empêchera pas de rester impliqué politiquement et de veiller aux équilibres du futur accord.

 

En tout état de cause, l’accord sur le futur « bouclier de protection » est lié à un compromis sur la mise en œuvre de voies de recours effectives.

 

RECOURS ET PROTECTION DES DONNEES

 

L’existence de voies de recours effectives, clé de voute d’un accord sur le futur « Privacy Shield » ?

 

Il faut souligner tout d’abord que la CJUE avait rappelé dans son arrêt du 6 octobre 2015 qu’une règlementation ne prévoyant « aucune possibilité pour le justiciable d’exercer des voies de droit afin d’avoir accès à des données à caractère personnel le concernant […] ne respecte pas le contenu essentiel du droit fondamental à une protection juridictionnelle effective tel que consacré à l’article 47 de la Charte des droits fondamentaux », marquant l’importance de ce droit (§95).

 

De plus, la question des voies de recours constitue depuis une dizaine d’années l’un des points d’achoppement marquant des négociations transatlantiques en matière de protection des données, notamment dans le cadre du transfert des données PNR ou de l’accord TFTP. Si des compromis le plus souvent provisoires et assortis de clauses de rendez-vous ont pu être apportés, la jurisprudence de la CJUE fixe dorénavant des perspectives beaucoup plus exigeantes.

 

Il convient aussi de rappeler que l’existence de voies de recours a par ailleurs été insérée dans le futur règlement protection des données, comme une des conditions devant être prise en compte « notamment » par la Commission pour évaluer le caractère adéquat du niveau de protection (article 41 §2 a). Cette condition est un marqueur clair (avec d’autres) des discussions à venir.

 

La négociation du futur accord « parapluie » UE-USA présenté comme un socle de garanties et de droits au regard des transferts de données consentis par l’Union européenne en matière répressive est l’un des terrains où se discute le plus âprement cette question : en effet, cet accord finalisé le 8 septembre 2015 doit encore être formellement conclu et approuvé par le Parlement européen, en vertu des dispositions de l’article 218 du traité TFUE.

 

Pour convaincre le Parlement, la Commission avait souligné l’extension envisagée des dispositions du Privacy Act américain de 1974 aux citoyens européens à travers un « Judicial Redress Act » qui devrait être adopté avant la conclusion de l’accord « parapluie » : le texte a été voté par le Congrès le 11 février dernier, dans l’attente de sa signature à priori rapide par Barack Obama.

 

Si la portée juridique de ce texte reste à apprécier concrètement, sa portée politique et symbolique va largement au-delà de l’accord « parapluie » et témoigne que la mise en place de voies de recours effectives constitue un enjeu clé des négociations dans le domaine de la protection des données.

 

Le Parlement européen reste à convaincre, l’avis négatif de son service juridique du 14 janvier 2016 sur le projet d’accord « parapluie » UE-USA fondé sur l’absence de véritable voie de recours en témoigne.

 

QUEL PRIVACY SHIELD AU VU DU NOUVEAU CADRE EUROPEEN DE PROTECTION DES DONNEES?

 

Les futurs débats au sein du Conseil et du Parlement en vue de la conclusion de cet accord auront dès lors par effet de capillarité des connexions directes avec les discussions à venir sur le « Privacy Shield », et ce en dépit de leurs différences de nature juridique et de modalités d’adoption.

 

Les discussions entre l’Union européenne et les Etats-Unis dans ce domaine doivent-elles se concentrer sur ce point unique ? Certainement pas. Un document de travail du Parlement européen ébauche une comparaison des législations européennes et américaines en matière de protection des données et relève qu’au-delà de la question d’un recours effectif, de nombreuses autres garanties doivent également être apportées (supervision indépendante, principe de minimisation, surveillance et notification des failles de sécurité etc…), ces critères se rapprochant de ceux édictés par le G29 dans l’attente de la publication du texte du « Privacy Shield ».

RGPD : Publication par Jérôme Deroulez dans le Village de la Justice au sujet de la protection des données personnelles

RGPD et protection des données personnelles: vers de nouvelles règles européennes ( https://www.village-justice.com/articles/protection-des-donnees,21234.html )  

Le « paquet protection des données » doit être formellement adopté au printemps 2016, suite à l’accord intervenu entre le Parlement européen et le Conseil de l’Union européenne en décembre dernier, pour une entrée en application dans un délai de deux ans.

 

Bref rappel chronologique sur le RGPD  :

 

Ce « paquet protection des données » (règlement et directive) avait été proposé par la Commission européenne le 25 janvier 2012, afin de remplacer et de moderniser la directive 95/46 et la décision-cadre de 2008, sur la protection des données personnelles.

Le processus de négociation du RGPD depuis 2012 a été particulièrement complexe du fait des mutations intervenues depuis 1995 dans le domaine numérique et de leurs conséquences pratiques sur la protection des données (essor des usages liées à Internet, respect de la vie privée, propriété des données...).

Le nombre des acteurs potentiellement concernés par cette modernisation législative a également connu une croissance exponentielle, alors que la protection des données personnelles est devenu un enjeu de société très largement médiatisé (droit à l’oubli, surveillance de masse, big data, utilisation du cloud etc).

Du fait de ces éléments, le processus législatif de co-décision [1] entre Conseil, Parlement et Commission européenne a été le théâtre de divergences d’appréciation fortes entre institutions, voire en leur sein (entre Etats membres ou entre groupes politiques européens).

Le remplacement de la directive 95/46 par un règlement a aussi constitué un véritable enjeu puisque le futur texte sera un acte normatif à portée générale et contraignant pour les institutions, les Etats membres et les particuliers, sans transposition nationale.

En tout état de cause, l’accord intervenu entre le Parlement européen et le Conseil, marque une étape supplémentaire dans la construction du droit effectif à la protection des données personnelles au sein de l’Union européenne :

  • Il intervient en effet après deux arrêts marquants de la Cour de Justice de l’Union européenne en 2014 et 2015 [2] qui ont consacré ce droit et rappelé au législateur européen la nécessité de prévoir des garanties effectives et concrètes ;

  • Ce paquet législatif apporte aussi une nouvelle traduction du droit à la protection des données personnelles prévu par le traité sur le fonctionnement de l’Union européenne (article 16 TFUE) [3], droit fondamental garanti par la Charte des droits fondamentaux [4].

Quelles premières conclusions retirer du règlement (RGPD) ?

La portée du règlement doit s’apprécier au regard des objectifs initiaux de la Commission européenne (1/ renforcement du niveau de protection des données personnelles, 2/ facilitation des flux de données au sein du marché intérieur et 3/ réduction des charges administratives).

Après 10 trilogues, le futur règlement apparaît évidemment comme un texte capital (plus de 200 pages, 91 articles, au moins une centaine de considérants) qui imposera une remise à niveau importante, tant pour les opérateurs privés que les autorités publiques.

Le G29 [5] qui regroupe les autorités de contrôle nationales comme la CNIL a déjà fait part de sa disponibilité quant aux travaux à conduire pour mener à bien ce processus.

 

1/ S’agissant du renforcement du niveau de protection des données personnelles, le RGPD affirme ses ambitions avec entre autres :

 

  • Un champ d’application matériel et géographique du règlement ambitieux qui opère une refonte des articles 3 et 4 de la directive 95/46 (et revoit notamment des règles de détermination du droit applicable) ;

  • Le renforcement des conditions du consentement (article 7) et en particulier du consentement parental ;

  • La consécration du droit à l’oubli (article 17), mesure phare pour la Commission lorsqu’elle avait décliné sa proposition et du droit à la portabilité des données (article 18) ;

  • L’encadrement du profilage (article 20) ;

  • La mise en œuvre d’un mécanisme élargi de notification des failles de sécurité (articles 31 et suivants).

Ces dispositions sont-elles à la hauteur des ambitions ?

Elles marquent la volonté du Conseil comme du Parlement de créer des marqueurs tangibles et des nouveaux droits mais elles pourraient au final aboutir à une réalité plus contrastée au vu des nombreuses exceptions crées par le règlement ou reprises de la directive 95/46.

 

2/ Le règlement a aussi pour finalité de faciliter les flux de données au sein du marché intérieur :

 

La dimension « marché intérieur » de ce règlement a été régulièrement soulignée par la Commission, avec en filigrane la nécessité de créer un environnement législatif favorable aux futurs champions européens du numérique.

Plusieurs dispositions constituent des avancées :

  • Le remplacement de la directive 95/46 par un règlement devrait de façon générale favoriser la mise en œuvre de normes européennes uniformes, en l’absence de transpositions nationales (en dépit de certains renvois spécifiques aux Etats membres) ;

  • Le chapitre V - transferts de données personnelles vers des Etats tiers ou des organisations internationales (articles 40 et suivants) constitue une part essentielle de cet instrument et renforce les mécanismes existants et pour certains critiqués (décision d’adéquation, binding corporate rules) ;

  • Le nouveau « mécanisme de cohérence » (article 57) et les dispositions sur les autorités de contrôle (chapitre VI et VII) doivent structurer la coopération entre ces dernières et faciliter les flux de données au sein du marché intérieur ;

  • Le niveau des sanctions prévu aux articles 78 et suivants (jusque 4% du chiffre d’affaires annuel total mondial) est aussi de nature à renforcer la portée des nouvelles règles européennes et leur efficacité. Ces mécanismes de sanctions faisaient partie des éléments clés de la proposition de la Commission et constituent une véritable innovation. Ils rapprochent aussi cette matière du droit de la concurrence.

Ces règles du RGPD constituent pour certaines de véritables nouveautés, c’est le cas du très controversé mécanisme de cohérence, adopté dans une version dégradée par rapport à la proposition de la Commission. Son succès devra être analysé dans le temps, en fonction des objectifs affichés : il signe néanmoins une préférence pour ce type de mécanisme européen préféré à d’autres méthodes de rapprochement des législations jugées moins efficaces.

 

3/ Le RGPD doit aussi participer à la réduction des charges administratives.

 

Plusieurs mécanismes participent de cet objectif :

  • Renforcement des mécanismes de coopération entre autorités de contrôle et traitement des plaintes ;

  • Simplification générale des obligations pesant sur les entreprises ;

  • Dispenses spécifiques pour les PME de nombreuses tâches (notification préalable, établissement de certaines bases de données etc).

Il faut s’interroger cependant sur l’économie générale du règlement.

Le règlement crée en effet des obligations supplémentaires qui pourront s’apprécier comme des charges nouvelles dans le cadre d’une sorte de «  supervision permanente » (mise en œuvre des nouveaux droits dont le droit à l’oubli, études d’impact, documentation, nouvelles obligations mises à la charge des sous-traitants), qu’ils s’agissent des PME ou non. A noter par exemple, dans le cas du traitement de données sensibles, certaines exemptions prévues pour les PME ne trouveront pas à s’appliquer, faisant ainsi basculer l’opérateur concerné dans le régime général.

 

Ces remarques restent préliminaires et devront être complétées par une analyse exhaustive du RGPD, une fois sa version définitive consolidée, traduite dans les langues officielles de l’Union européenne et publiée au Journal Officiel de l’Union Européenne.

[1] Procédure de co-décision : Cette procédure prévue par l’article 294 TFUE consacre le Parlement européen et le Conseil de l’Union européenne comme co-législateurs et leur permet d’arrêter des actes conjointement avec le Conseil de l’Union européenne, sauf dans les cas prévus par les traités. C’est la procédure législative ordinaire prévue par le Traité de Lisbonne.

[2] Arrêt de la CJUE du 8 avril 2014, invalidant la directive 2006/24/CE sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications dans les affaires jointes C-293/12 et C-594/12 Digital Rights Ireland et Seitlinger e.a et arrêt de la CJUE du 6 octobre 2015, invalidant la décision de la Commission constatant que les Etats-Unis assurent un niveau de protection adéquat aux données à caractère personnel transférées (Safe Harbor) dans l’affaire C-362/14 Maximillian Schrems / Data Protection Commissioner.

[3] Article 16 TFUE : 1. Toute personne a droit à la protection des données à caractère personnel la concernant. 2. Le Parlement européen et le Conseil statuant conformément à la procédure législative ordinaire, fixent les règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union, ainsi que par les Etats-membres dans l’exercice d’activités qui relèvent du champ d’application du droit de l’Union, et à la libre circulation de ces données. Le respect de ces règles est soumis au contrôle d’autorités indépendantes. Les règles adoptées sur la base du présent article sont sans préjudice des règles spécifiques prévues à l’article 39 du traité sur l’Union européenne.

[4] Article 8 de la charte des droits fondamentaux de l’Union européenne – protection des données à caractère personnel : 1. Toute personne a droit à la protection des données à caractère personnel la concernant. […]