2016

PROTECTION DES DONNEES PERSONNELLES: Jérôme DEROULEZ est intervenu le 9 décembre à Bruxelles (DBF) au sujet du droit de la concurrence et de la détention de données.

PROTECTION DES DONNEES : Jérôme DEROULEZ est intervenu le 9 décembre à Bruxelles (DBF) au sujet du droit de la concurrence et de la détention de données. Droit de la concurrence et protection des données (https://twitter.com/dbfbxl/status/807210302743920640?lang=fr ) :

 

Cette session organisée par la Délégation des Barreaux de France avait pour objet d'évoquer les enjeux croisés du droit de la concurrence, de la détention de données, du Big Data et de la protection des données. ( https://www.dbfbruxelles.eu/wp-content/uploads/2016/12/PROGINSCRIPTIONCONCURRENCE.pdf )

 

De nombreux points ont été évoqués et notamment la possibilité d'une appréciation ou non par les autorités de la concurrence du respect ou non des règles de protection des données personnelles. Ou de l'impact de la législation sur la protection des données sur d'autres politiques et notamment en matière de concurrence. Les récents rapports des autorités française et allemande de la concurrence ont été évoqués à ce sujet ( http://www.autoritedelaconcurrence.fr/doc/rapport-concurrence-donnees-vf-mai2016.pdf ).

RGPD ET PROTECTION DES DONNEES PERSONNELLES: Intervention de Jérôme DEROULEZ à Lille dans le cadre de la conférence le Village byCA-NDF (23 novembre 2016)

RGPD et données personnelles: Présentation des grandes lignes de la réforme de la protection des données personnelles, suite à l'adoption du GDPR et à ses conséquences dans le domaine bancaire. Passage en revue des points clés du règlement européen et des modalités de mises en oeuvre ( https://www.euratechnologies.com/agenda/conference-objets-connectes-big-data-nouvelles-regles-europeennes-big-bang-de-protection-donnees-personnelles/ ).

A suivre sur YouTube: https://www.youtube.com/watch?v=IA4NkYZh9t8&feature=youtu.be

Loi SAPIN II et blockchain : vers un droit de la blockchain français ?

L’adoption de la loi SAPIN II le 8 novembre dernier constitue une nouvelle étape pour la blockchain à la suite de l’ordonnance n°2016-520 relative aux bons de caisse (v. notre précédent article Actualité législative de la blockchain)  

En effet, l’article 120 de la loi autorise le gouvernement à prendre par voie d’ordonnance les mesures nécessaires pour adapter le droit applicables aux titres financiers et aux valeurs mobilières afin de permettre la représentation et la transmission, au moyen d’un dispositif d’enregistrement électronique partagé, des titres financiers qui ne sont pas admis aux opérations d’un dépositaire central ni livrés dans un système de règlement et de livraison d’instruments financiers.

 

Cette disposition vise à donner un cadre juridique aux opérations sur les titres non cotés effectuées au moyen d’une technologie blockchain.

 

Le recours à une ordonnance, s’il s’insère dans un calendrier délicat au vu des futures échéances électorales, consacre une étape supplémentaire dans la réflexion sur la régulation de la blockchain.

 

Alors que cette technologie reste encore très largement l’objet de débats sinon de spéculations et qu’elle commence à connaître de nombreuses applications concrètes (certes encore expérimentales pour certaines), il est indéniable que les travaux législatifs sur la loi SAPIN II ont été marqués par une prise de conscience de la nécessité de bâtir un environnement juridique favorable, au-delà du simple modèle expérimental d’une sandbox. Et cet article consacre la nécessité de progresser rapidement, au risque sinon de se voir concurrencer par d’autres modèles législatifs ou réglementaires, en Europe ou à l’international.

 

L’intérêt des parlementaires pour la blockchain n’est donc plus à démontrer. En témoignent les travaux de la commission des finances du Sénat qui notent que l’authentification des titres financiers constitue l’un des enjeux les plus importants pour la place de Paris, dans le contexte d’une concurrence accrue avec les autres bourses européennes. La mise en place d’un cadre juridique adapté et sécurisé constitue donc une nécessité, dans un délai très rapide et en procédant par étape, pour éviter de notamment de transformer de façon brutale les gestionnaires de blockchains en opérateurs de marchés financiers.

 

Le sujet est donc bien la construction d’un droit de la blockchain sans éluder toutes les questions qui restent se poser (nature de la ou des blockchain(s) envisagée(s), enjeux en termes de preuve et de responsabilité, émergence de nouveaux marchés, intervention du législateur européen). Cela implique aussi pour les acteurs de la blockchain de se mobiliser pour aboutir à une législation intelligente et prenant en compte toutes les spécificités de cette technologie.

Actualité de la protection des données

De nombreux développement dans l’actualité de la protection des données en Europe et aux Etats-Unis. Une actualité marquée par de nombreux chantiers législatifs alors que la mise en oeuvre de ces législations vis à vis d’un monde numérique en pleine évolution se pose de plus en plus. Privacy Shield

Suite à l’adoption définitive du Privacy Shield le 12 juillet dernier, le secrétaire d’Etat américain au Commerce, Penny Pritzker a mis en place le 1er août le mécanisme d’auto-certification pour les entreprises américaines participant à ce programme. 200 sociétés selon les derniers chiffres disponibles y participeraient d’ores et déjà, dont Microsoft, Salesforce ou encore Google, cet engouement montrant la nécessité d’un cadre juridique sécurisé pour les transferts de données entre l’Union européenne et les Etats-Unis.

Des réserves demeurent toujours : certaines d’entre elles ont été exprimées par le G29 -qui regroupe les autorités de protection des données européennes- dans son avis du 29 juillet dernier[1]. Ce comité a souligné ses préoccupations quant au manque de garanties précises concernant l’accès des autorités publiques aux données transférées aux Etats-Unis. Le G29 a d’ores et déjà pris date pour la première évaluation annuelle conjointe du Privacy Shield et souligné qu’il se pencherait alors sur l’effectivité ou non des garanties mises en place.

L’adoption du Privacy Shield n’est qu’une étape. Si sa mise en place implique un suivi attentif, sa portée à moyen et long terme reste encore sujette à caution. Rappelons aussi que le Congrès américain s’est inquiété de la remise à cause à terme par la Cour de Justice de l’Union européenne d’accords visant d’autres flux de données transatlantiques (transport aérien par exemple).

Révision de la directive vie privée : le chantier se poursuit

La Commission européenne avait indiqué quels objectifs elle poursuivait avec la révision de la directive privée[2] (assurer la cohérence avec le règlement protection des données, moderniser les dispositions de la directive au vu des innovations technologiques, renforcer la sécurité et la confidentialité des communications en Europe). Elle a organisé une consultation publique qui s’est terminée le 5 juillet dernier, en complément des travaux menés avec les parties prenantes sur le sujet.

Le G29 a rendu le 19 juillet dernier son avis sur ce chantier[3] en soulignant que :

  • Des règles européennes spécifiques pour les communications électroniques devaient être conservées ;

  • Un haut niveau de protection des données personnelles devait être assuré, grâce à la cohérence entre la future directive et le règlement protection des données ;

  • Le champ d’application de la directive devait être précisé, au regard notamment de ses définitions et des catégories de services visées ;

  • La protection de la confidentialité des communications électroniques ou des services fonctionnant de façon équivalente restait un objectif essentiel (à articuler avec les impératifs de conservation des données) : à cet égard le G29 appelait à réécrire l’article 5§3 (confidentialité des communications) ;

  • Les dispositions sur les failles de sécurité devaient être supprimées, afin d’éviter les doublons avec le règlement protection des données.

Cet avis devra être apprécié à la lumière des autres avis publiés et notamment du contrôleur européen à la protection des données[4] qui milite aussi en faveur d’une clarification du cadre juridique au regard de la charte des droits fondamentaux, de l’extension du champ de la directive vie privée et d’une plus grande protection de la confidentialité des communications.

Le règlement protection des données constitue d’ores et déjà une ligne de négociation difficile à contourner par les opérateurs du secteur. Par ailleurs, si la transformation de la directive 95/46 en règlement a rebattu les cartes du principe de son articulation avec la directive vie privée, reste à en décliner les modalités concrètes sur de nombreux points (failles de sécurité, limitations etc.). Ce qui sera particulièrement délicat.

Politique de confidentialité

A noter par ailleurs, les préoccupations exprimées par les régulateurs européens au sujet des nouvelles conditions d’utilisation de Whatsapp et des changements en terme de politique de confidentialité. Le bureau britannique en charge de la protection de la vie privée (ICO) a annoncé avoir ouvert une enquête le 26 août, en l’absence de précision de la part de l’entreprise sur l’étendue du partage de données. La CNIL pour le G29 a aussi noté ses préoccupations.

Ce dossier devra être suivi de près dans les mois qui viennent car il montre que les changements de règles de confidentialité ou de partage des données apparaissent de plus en plus comme des outils à manier avec précaution. A défaut, les conséquences en termes d’image ou de réputation peuvent être pénalisantes.

A suivre : une décision de la Cour d’appel de Manhattan[5] du 14 juillet dernier a estimé que Microsoft n’avait pas à transmettre aux autorités américaines, dans le cadre d’une procédure judiciaire, le contenu des e-mails d’un de ses clients dont les données étaient exclusivement stockées dans des serveurs étrangers, en l’espèce en Irlande. La question posée devrait pousser le Congrès américain à légiférer pour préciser quel niveau de protection doit être apporté en matière de respect de la vie privée, y compris en modernisant des législations estimées par certains observateurs comme obsolètes. Il appartiendra aussi au Congrès de se pencher sur l’application extra-territoriale de ces dispositions, au vu des prises de position de la Cour suprême américaine et des mutations technologiques récentes (cloud computing notamment). Cette décision qui recoupe de très nombreuses problématiques liées à l’économie digitale aux Etats-Unis mais aussi en Europe devrait cependant continuer à faire couler beaucoup d’encre.

 

[1] Déclaration du G29 relative à la décision de la Commission européenne concernant le Privacy Shield en date du 29 juillet 2016 https://www.cnil.fr/fr/declaration-du-g29-relative-la-decision-de-la-commission-europeenne-concernant-le-privacy-shield

[2] https://ec.europa.eu/digital-single-market/en/news/eprivacy-directive-commission-launches-public-consultation-kick-start-review

[3] Opinion 03/2016 du 19 juillet 2019 on the evaluation and review of the ePrivacy Directive (2002/58/EC)

[4] Opinion 5/2016 – preliminary EDPS Opinion on the revision of the E-Privacy directive https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2016/16-07-22_Opinion_ePrivacy_EN.pdf

[5] https://www.justsecurity.org/wp-content/uploads/2016/07/Microsoft-Ireland-2d-Cir-Opinion-20160714.pdf

Actualité législative de la blockchain en Europe

BRUXELLES ET LA REVOLUTION BLOCKCHAIN Le sujet « blockchain » connaît aujourd’hui une forte actualité à travers toute l’Europe, qu’il s’agisse des initiatives prises par certains Etats-membres (programme e-residency ou expérience de vote en ligne en Estonie, registre foncier suédois, projet blockchain et crypto-currencies polonais, rapport du Government Office for Science britannique de janvier 2016 notamment) ou des très nombreux projets initiés par des entreprises.

La blockchain fait aussi l’objet d’une attention soutenue de la part des institutions européennes.

C’est le cas dans le domaine bancaire et financier (rapport de l’autorité bancaire européenne sur les monnaies virtuelles de juin 2014 et analyse de la BCE sur les systèmes de monnaies virtuelles de février 2015 par exemple). C’est également le cas dans d’autres domaines, avec un intérêt marqué pour les applications civiques de la blockchain.

Pas d’actualité législative

Il n’y a pas aujourd’hui d’actualité législative proprement dite qui pourrait concerner la blockchain à l’échelle de l’Union européenne mais la période actuelle évoque plutôt une phase pré-législative intense, marquée par une ambition double : ne pas empêcher le développement de cette technologie en Europe et créer un écosystème favorable à l’échelle de l’UE, avec le souci d’une réglementation intelligente.

Ambition qui s’inscrit aussi dans le cadre de l’agenda digital et de l’horizon 2020 du programme européen de recherche et d’innovation.

Le Parlement européen et la Commission européenne ont organisé plusieurs évènements très prospectifs sur le sujet (et notamment un atelier sur la blockchain et les cryptomonnaies organisé par la DG CONNECT en avril 2015, un séminaire du groupe libéral ADLE consacré à la question de la régulation – regulatory technology or technology to regulate- en mars 2016 et une conférence en juin dernier -Blockchains for social good)

Une résolution du Parlement européen du 26 mai 2016

Doit être particulièrement signalé le rapport de la commission des affaires économiques du Parlement européen sur les monnaies virtuelles en date du 3 mai 2016 adopté grâce à l’impulsion de J. von Weizsacker, député allemand et la résolution du Parlement du 26 mai 2016 qui a souligné la nécessité d’évaluer le droit de l’Union européenne à l’aune de ces nouvelles technologies.

Quels enjeux ?

De ces discussions, il résulte aussi que trois types d’enjeux peuvent être identifiés, qui pourraient à terme nécessiter une intervention législative de la Commission européenne dans le domaine de la blockchain :

1/ des enjeux en terme de réduction des risques (cyber-risques, risques de fraude, de blanchiment, de concurrence ou encore de respect de la vie privée ;

2/ des enjeux en terme de confiance globale : certification, traçabilité notamment agro-alimentaire, sécurité des transactions immobilières ou encore protection de la propriété intellectuelle, et enfin ;

3/ des enjeux en terme de compétitivité au regard de l’avantage que pourrait constituer ou non l’existence d’une législation spécifique de l’Union européenne.

Ces éléments traduisent l’importance du suivi accordé par Bruxelles à l’actualité de la blockchain. Ils montrent aussi qu’une approche strictement nationale n’est ni pertinente ni efficace, quelque soit l’angle sous lequel ce dossier est appréhendé.

Protection des données personnelles : intervention de J. Deroulez, Avocat à CAMPUS

Actualité de la protection des données  personnelles Jérôme DEROULEZ, Avocat a dispensé une formation dans le cadre de CAMPUS (Formation continue des avocats du Barreau de Paris).

Sujet : l'actualité de la protection des données personnelles en Europe.

Suite à l’accord intervenu entre le Parlement européen et le Conseil de l’Union européenne en décembre dernier, le règlement et la directive du « paquet protection des données » devraient être formellement adoptés au printemps prochain.

Entrée en application prévue pour 2018.

Premier état des lieux de ces nouvelles règles et plus spécifiquement du règlement.

 

 

 

Internet of Things and privacy: which European Union regulatory guidance?

Smart home, connected car, smart city, e-health ... the scope of the Internet of Things (IoT) is increasingly growing and could lead to a so-called “third internet” revolution, partly linked to the increasing volume of data uploaded. By 2020, the number of connected objects is an estimated between 20 and 50 billion, with an impact on the world economy between 2,000 and 5,000 billion per year. The spread of the Internet of Things today raises many technical issues (5G initiatives in Europe and the United States, network management costs, implementation of complex value chains) and many challenges in terms of protection of privacy, confidentiality, cyber security or regarding to the supervision of the generated and collected personal data.

While these technologies operate without boundaries and are designed mostly with global ambition, their deployment can not ignore the requirements of the European Union with regard to the right to the protection of personal data, right enshrined in Article 16 of the Treaty on the functioning of the European Union (TFEU) and the Charter of fundamental rights.

There is currently no specific legislation applicable to IoT at European level but its fundamentals and principles are being subject to thorough discussion in Brussels. And the adoption of the "data protection" package could give new impetus to these debates.

Indeed, the future of the Internet of Things - with the exponential growth of the mass of data generated, collected, stored and possibly processed or transferred - is an issue that the EU can’t ignore. First to achieve the development of this sector (in terms of safety or reliability) but also to provide it with strong guarantees.

Are the provisions of a specific framework necessary to the IoT or could the existing rules be sufficient?

If there is no consensus regarding the added value that a specific European legislation may bring, there is a discussion committed to the framework or principles that should regulate the IoT.

Thus, a first contribution was made by the Article 29 Group (established by Directive 95/46 and said WP29). The WP29 issued an opinion in September 2014 on the Internet of Things, to contribute to a uniform application of existing EU framework with practical recommendations.

The WP29 has immediately pointed out that uncontrolled developments of the Internet of Things could lead to illegal forms of surveillance contrary to the European Union law. The WP identified six types of risk:

- Lack of control and information asymmetry flows;

- Quality of the user’s consent;

- The potential uses of the "raw data” transmitted and their use for purposes unrelated to their original collection (secondary uses);

- Risk profiling and privacy monitoring with the proliferation of sensors;

- Limitations on the possibility to remain anonymous when using services;

- Security with the need to ensure at all steps of the development of these tools, confidentiality, integrity and maximum safety criteria;

The WP29 also underlined the obligations of stakeholders of the Internet of Things, in the legal framework provided for by Directive 95/46 and Directive 2002/58 ("e-privacy") when applicable, namely: conditions of consent, legal basis of data processing, fair and proportionate collection of data, specific processing for sensitive data, requirements for transparency and security of processing. For example, the WP29 recalled the requirement for explicit consent regarding sensitive data and especially health data.

In its provisional findings, the WP29 requested:

- The systematic use of impact assessments;

- The deletion of unused collected data;

- The possibility for "users" to control their data and the use made of it (beyond the information that must be given to them);

- The limitation of the possibilities to locate or identify an individual continuously.

Secondly, the European Parliament issued a working document in September 2015[1], during the negotiation of the “data protection package”. The document dedicated to Big Data  had quite an offensive stance by recalling that the regulation of “IoT” should respect the fundamental right to personal data protection guaranteed by the Charter of fundamental rights.

It also included the conclusions of the WP29 Opinion to strengthen the effective control of users over their personal data, improve the quality of consent when collecting data and ensure a high level of protection of personal data when data are transferred to third parties outside the European Union –which is a constant concern of the European Parliament.

Lastly, the adoption of the "data protection" package (regulation plus directive) on April 2016 led to a new framework for the Internet of Things.

Even though it does not include specific provisions in this field, the regulation contains some recommendations of the G29, notably enshrining the principles of privacy-by-design (protection of privacy by design of the object) and privacy -by-default (protection of privacy by default), providing a toolbox for compliance or increasing the level of sanctions (eg in the situation of security breaches). The new provisions strengthening privacy (right to forget or to data portability) are also heading in the direction of greater information towards users from digital companies.

The regulation which will be applicable by May 2018, will be one of the regulatory basis of the Internet of Things and will provide a legal ground for any future consideration of more specific provisions.

The major players of the “IoT” will also be interested in by the revision of the e-privacy Directive.

The European Commission has launched a public consultation on the text until the 5th of July, with three issues:

- how to ensure consistency between this directive and the data protection package (eg on reporting data breaches)?

- Should the rules of the E-privacy Directive be modified, regarding new technological innovations and new players emerging in the field of electronic communications?

- How to strengthen the security and confidentiality of communications across the European Union?

Although the Commission has not yet reported on the provisions of the directive worth to be re-considered, the challenge is considerable for operators and players in the telecommunications sector since the revised directive will be -with the "data protection" regulation- a new regulatory scheme to the “IoT” field.

When these legislative projects will be passed, what shall be the added value of any new European legislation? And why should the European Commission propose one?

The European Commission has already raised some concerns[2] and reported problems such as fragmentation between national industrial policies, lack of interoperability standards or legal uncertainty of the transfers of datas outside the European Union.

The Commission knows it will be hard to advocate for specific legislation in the field of IoT. This is also the position of a majority of players in the sector including the AIOTI (Internet of Things Alliance for Innovation) who fear a regulation that would not be "technology neutral" and would freeze the extremely rapid evolution of this sector. This was often often said during the negotiation of the "data protection package".

 

[1] http://www.europarl.europa.eu/RegData/etudes/STUD/2015/536455/IPOL_STU(2015)536455_EN.pdf

[2]  Working document – Advancing the Internet of Things in Europe. 19 avril 2016 SWD(2016)110/2

L’Union européenne doit-elle réglementer l’Internet des objets ?

Maison intelligente, voiture connectée, smart city, e-santé… les domaines d’application de l’internet des objets (IoT) ne cessent de croître et constituent selon certains une troisième révolution de l’internet[1] en partie liée à l’accroissement du volume de données mises en ligne. A l’horizon 2020, le nombre d’objets connectés est estimé entre 20 et 50 milliards, avec un impact sur l’économie mondiale compris entre 2.000 et 5.000 milliards d’euros par an. Le déploiement de l’internet des objets soulève aujourd’hui de nombreuses questions techniques (initiatives 5G en Europe et aux Etats-Unis, coûts de gestion des réseaux, mise en place de chaînes de valeurs complexes). Il suscite aussi de nombreux défis en terme de protection de la vie privée, de confidentialité, de cyber-sécurité ou encore d’encadrement des données personnelles générées et collectées.

Alors que ces technologies ne connaissent pas de frontière et sont conçues le plus souvent avec une ambition globale, leur déploiement ne peut ignorer les exigences de l’Union européenne au regard du droit à la protection des données personnelles, droit consacré par l’article 16 du traité sur le fonctionnement de l’Union européenne (TFUE) et par la charte des droits fondamentaux.

Si l’IoT ne connaît pas encore de dispositif législatif spécifique à l’échelle de l’Europe, une réflexion s’est engagée en son sein depuis plusieurs années quant aux fondamentaux et aux principes qui pourraient être dégagés. Et l’adoption du paquet « protection des données » pourrait donner un nouvel élan à ces débats.

En effet, l’avenir de l’Internet des Objets et la croissance exponentielle de la masse des données générées, collectées, stockées et éventuellement traitées ou transférées constitue un sujet que l’Union européenne ne peut laisser de côté.

D’abord pour garantir le développement de ce secteur (en termes de sécurité ou de fiabilité) mais aussi pour lui apporter des garanties fortes.

Faut-il pour autant un cadre spécifique ou les règles existantes sont-elles suffisantes ?

S’il n’y a pas de consensus quant à la plus-value qu’apporterait une législation européenne spécifique, la réflexion est néanmoins engagée quant au cadre ou aux principes qui devraient tout de même encadrer l’IoT.

Ainsi, une première contribution a été apportée par le groupe article 29 (institué par la directive 95/46 et dit G29). Ce dernier a adopté en septembre 2014 un avis[2] sur l’internet des objets, pour contribuer à une application uniforme du cadre européen existant, assorti de recommandations pratiques ciblées selon les différents acteurs.

Le G29 a d’emblée pointé que des développements incontrôlés de l’internet des objets pourraient conduire à des formes de surveillance illégales contraires au droit de l’Union européenne. Il a identifié 6 types de risques posés par ces objets :

  • le manque de contrôle comme le caractère asymétrique des flux d’informations ;

  • la qualité du consentement par l’usager ;

  • les usages potentiels des données « brutes » transmises et leur utilisation à des fins sans lien avec leur collecte originelle ;

  • les risques de profilage et de surveillance de la vie privée avec la multiplication des capteurs ;

  • les limitations à la possibilité de demeurer anonyme lors de l’utilisation de certains services ;

  • la sécurité, avec la nécessité de veiller à toutes les étapes du développement de ces outils à des critères de confidentialité, d’intégrité et de sécurité maximales

Le G29 soulignait aussi les obligations pesant sur les parties prenantes de l’Internet des objets, dans les cadres prévus par la directive 95/46 et la directive 2002/58 (« e-privacy ») lorsqu’elles trouvent à s’appliquer, à savoir : conditions du consentement, base légale du traitement de données, collecte loyale et proportionnée des données, traitement spécifique des données sensibles, exigences en terme de transparence et sécurité des traitements. A titre d’exemple, le G29 rappelait l’exigence d’un consentement explicite pour les données sensibles et plus particulièrement les données de santé.

Dans ses conclusions provisoires, le G29 a demandé :

  • le recours systématique à des études d’impact ;

  • la suppression des données non utilisées et collectées ;

  • la possibilité pour les « utilisateurs » de contrôler leurs données et l’usage qui en est fait (au-delà de l’information qui doit leur être apportée) ;

  • la limitation des possibilités de localiser ou d’identifier en continu une personne.

En second lieu, un document de travail du Parlement européen[3] de septembre 2015 consacré au Big Data et intervenu pendant la  négociation du paquet « protection des données » a fait état d’une position plus offensive, en rappelant d’abord que la règlementation de l’IoT devait respecter le droit fondamental à la protection des données personnelles garanti par la Charte des droits fondamentaux.

Cette étude a repris les exigences formulées par le G29 afin de renforcer le contrôle effectif des usagers sur leurs données personnelles, d’améliorer la qualité du consentement lors du recueil des données et de garantir un niveau élevé de protection de ces données lors de transferts à des tiers ou hors de l’Union européenne, sujet récurrent de préoccupation pour le Parlement européen.

Enfin, le règlement « protection des données » adopté le 14 avril 2016 a créé un nouveau cadre pour l’internet des objets.

Alors même qu’il ne comprend pas de dispositions spécifiques à ce domaine, le règlement reprend certaines préconisations du G29, notamment en consacrant les principes de privacy-by-design (protection de la vie privée dès la conception de l’objet) et privacy-by-default (protection de la vie privée par défaut), en apportant une boite à outils en matière de conformité ou en renforçant le niveau des sanctions (par exemple dans le cas des failles de sécurité). Les nouvelles dispositions renforçant la vie privée (droit à l’oubli ou à la portabilité des données) vont également dans le sens d’une plus grande information des usagers vis-à-vis des acteurs du numérique.

Ce règlement qui sera applicable en avril 2018 constituera l’une des bases de la règlementation de l’internet des objets et fournira la base de toute réflexion future sur des dispositions plus spécifiques.

Le chantier de la révision de la directive vie privée intéressera aussi les acteurs de l’IoT.

La Commission européenne a ouvert une consultation publique sur ce texte jusqu’au 5 juillet prochain, avec trois objectifs :

  • assurer la cohérence entre cette directive et le paquet protection des données (par exemple sur la notification des failles de sécurité) ;

  • modifier le cas échéant les règles de la directive au vu des innovations technologiques et des nouveaux acteurs émergeant dans le domaine des communications électroniques ;

  • renforcer la sécurité et la confidentialité des communications à travers l’Union européenne.

Même si la Commission n’a pas encore communiqué sur les dispositions du texte qu’elle souhaite réviser, cette consultation est importante et l’enjeu est de taille pour les opérateurs et les acteurs du secteur des télécommunications puisque le futur texte constituera avec le règlement « protection des données » un socle règlementaire révisé pour l’internet des objets.

Lorsque ces chantiers législatifs seront terminés, quels pourront être les arguments de la Commission européenne pour proposer une –éventuelle- législation spécifique ?

Cette dernière a déjà évoqué quelques préoccupations et signalé des difficultés comme la fragmentation entre les politiques industrielles nationales, le risque de moindre inter-opérabilité des standards[4] ou encore l’insécurité juridique des transferts hors Union Européenne des données personnelles collectées dans le cadre de l’IoT.

La Commission sait qu’il sera difficile de militer en faveur d’une législation spécifique à l’internet des objets. C’est en effet la position d’une majorité d’acteurs du secteur et notamment de l’AIOTI (Alliance for Internet of Things Innovation[5]) qui redoutent une règlementation qui ne serait pas « technologiquement neutre » et qui figerait l’évolution extrêmement rapide de ce secteur, argument largement recevable et qui avait été souvent repris lors de la négociation du « paquet protection des données ».

Le message de la Commission européenne est néanmoins clair, selon nous. Aujourd’hui c’est aux opérateurs de renforcer la sécurité de l’IoT de façon générale. En l’absence d’initiatives concrètes et effectives, notamment dans le domaine de la protection des données personnelles, elle interviendra pour fixer les règles du jeu, au besoin en s’appuyant sur le Parlement européen.

 

[1] L’internet des objets (page 156) in La protection des données personnelles. Guillaume Desgens-Pasanau. Lexis Nexis, décembre 2015

[2] Avis du groupe de l’article 29 numéro 8/2014 sur les récents développements de l’internet des objets. 16 septembre 2014.

[3] http://www.europarl.europa.eu/RegData/etudes/STUD/2015/536455/IPOL_STU(2015)536455_EN.pdf

[4] Document de travail de la Commission européenne – Advancing the Internet of Things in Europe. 19 avril 2016 SWD(2016)110/2

[5] Rapport de l’AIOTI – WG Policy du 15 octobre 2015

PRIVACY SHIELD ET PROTECTION DES DONNEES: Publication par Jérôme Deroulez d'un article dans le Village de la Justice

Article paru dans le Village de la Justice le 19 février 2016 - ( https://www.village-justice.com/articles/sphere-securite-Safe-Harbour,21514.html )  

Le 6 octobre 2015, la Cour de justice de l’Union européenne (CJUE) a invalidé la décision de la Commission européenne du 26 juillet 2000 (dite « Safe Harbour ») qui constatait que les Etats-Unis assuraient un niveau de protection adéquat aux données transférées depuis l’Union européenne, marquant sa préoccupation pour la protection des données personnelles.

Le 2 février dernier, la Commission européenne a annoncé avoir trouvé un accord avec les autorités américaines sur un « bouclier de protection » destiné à remplacer le « Safe Harbour », accord dont le contenu devrait être rendu public dans les prochaines semaines. « Bouclier de papier » selon ses détracteurs, socle plus protecteur des droits fondamentaux pour la Commission. Un état des lieux s’impose.

 

Rappel:

 

La décision «  Safe Harbour » a été attaquée par Maximilian Schrems, ressortissant autrichien et utilisateur de Facebook depuis 2008, qui avait déposé plainte auprès de l’autorité irlandaise de protection des données compétente du fait de l’installation en Irlande des serveurs européens de Facebook. Suite au rejet de cette plainte par l’autorité de contrôle irlandaise, M. Schrems avait introduit un recours devant la Haute cour de justice irlandaise. Celle-ci a sursis à statuer et saisi la CJUE d’une question préjudicielle afin de déterminer si l’autorité de contrôle nationale saisie était absolument liée par la décision d’adéquation de la Commission et, dans le cas contraire, si cette dernière autorité pouvait mener sa propre enquête.

 

Répondant à cette question préjudicielle, la CJUE a jugé que l’existence d’une décision d’adéquation de la Commission n’avait pas pour effet d’empêcher une autorité nationale de contrôle d’enquêter sur une plainte alléguant qu’un pays tiers n’assurait pas un niveau de protection adéquat et le cas échant de suspendre le transfert des données. Elle a également invalidé la décision « Safe Harbour ».

 

PROTECTION DES DONNEES ET PRIVACY SHIELD

 

Cet arrêt revêt une portée fondamentale en ce qui concerne le droit de la protection des données en Europe, à la suite de l’arrêt Digital Right Ireland C-293/12 du 8 avril 2014, la CJUE rappelant au législateur européen la nécessité de prévoir des garanties effectives et concrètes, quitte à remettre en cause l’équilibre législatif et règlementaire européen actuel. Il emporte aussi de nombreuses conséquences.

 

Un arrêt et des réactions en chaîne

 

Suite aux délais fixés par le groupe de travail article 29 (dit G29) regroupant les autorités de contrôle en matière de protection des données, la Commission européenne s’était engagée à négocier un nouveau texte avant la fin du mois de janvier pour mettre un terme à la situation d’insécurité juridique ouverte par l’invalidation du Safe Harbour.

 

Le 2 février, la Commission a annoncé avoir trouvé un accord avec les Etats-Unis sur la base d’un nouveau « bouclier de protection » (« privacy shield »), sensé remplacer et améliorer le Safe Harbor sans donner le sentiment d’un Safe Harbor bis, un tel outil risquant d’emblée de faire l’objet de vives contestations par le Parlement européen et notamment sa commission des libertés civiles (LIBE).

 

Ce projet (« privacy shield ») n’a pas encore été rendu public. La Commission a publié un communiqué de presse évoquant ses grandes lignes, laissant cependant la porte ouverte à toutes les conjectures en dépit des termes rassurants qu’elle a utilisés :

  • obligations plus fortes mises à la charge des entreprises américaines exploitant les données de citoyens européens et renforcement des contrôles exercés par le département du commerce américain grâce à une coopération accrue avec les autorités de contrôle européennes ;

  • nouveaux mécanismes de contrôle des accès des autorités publiques américaines aux données concernées, monitoring régulier et suivi annuel conjoint de l’accord ;

  • mise en œuvre de plusieurs types de recours effectifs, sans précision, et notamment de modes alternatifs gratuits. Un nouveau médiateur doit aussi être désigné s’agissant d’accès possibles par les autorités nationales en matière de renseignement.

 

A la suite de ces déclarations, le collège des commissaires s’est engagé à présenter un projet de décision d’adéquation, après avis du G29 et consultation du comité des représentants du Conseil (comité article 31), conformément à la procédure prévue par les articles 25 et 31 de la directive 95/46/CE.

 

PROTECTION DES DONNEES ET TRANSFERTS DE DONNEES HORS UE

 

De son côté, lors de sa réunion des 2 et 3 février 2016, le G29 a rappelé sa très grande vigilance sur les conditions dans lesquelles des données pouvaient être transférées de l’Union européenne vers les Etats-Unis. Il a aussi souligné de façon liminaire, faute de texte à ce stade, que quatre exigences devraient être remplies :

  • traitement fondé sur des règles claires, précises et accessibles ;

  • application des principes de nécessité et de proportionnalité en lien avec les objectifs légitimes poursuivis ;

  • existence d’un mécanisme de contrôle indépendant d’une part et ;

  • voies de recours concrètes et effectives ouvertes aux personnes physiques d’autre part.

 

Le G29 a souligné ses préoccupations comme ses doutes au vu du cadre américain en vigueur.

 

Il a enfin marqué la nécessité de disposer avant fin février du contenu de l’accord pour un examen détaillé, se plaçant ainsi en position d’arbitre, avant des discussions décisives. 
Le Parlement européen (et notamment la commission LIBE) n’est associé qu’à la marge à cette procédure (dans le cadre du contrôle de l’exercice des compétences d’exécution de la Commission), ce qui ne l’empêchera pas de rester impliqué politiquement et de veiller aux équilibres du futur accord.

 

En tout état de cause, l’accord sur le futur « bouclier de protection » est lié à un compromis sur la mise en œuvre de voies de recours effectives.

 

RECOURS ET PROTECTION DES DONNEES

 

L’existence de voies de recours effectives, clé de voute d’un accord sur le futur « Privacy Shield » ?

 

Il faut souligner tout d’abord que la CJUE avait rappelé dans son arrêt du 6 octobre 2015 qu’une règlementation ne prévoyant « aucune possibilité pour le justiciable d’exercer des voies de droit afin d’avoir accès à des données à caractère personnel le concernant […] ne respecte pas le contenu essentiel du droit fondamental à une protection juridictionnelle effective tel que consacré à l’article 47 de la Charte des droits fondamentaux », marquant l’importance de ce droit (§95).

 

De plus, la question des voies de recours constitue depuis une dizaine d’années l’un des points d’achoppement marquant des négociations transatlantiques en matière de protection des données, notamment dans le cadre du transfert des données PNR ou de l’accord TFTP. Si des compromis le plus souvent provisoires et assortis de clauses de rendez-vous ont pu être apportés, la jurisprudence de la CJUE fixe dorénavant des perspectives beaucoup plus exigeantes.

 

Il convient aussi de rappeler que l’existence de voies de recours a par ailleurs été insérée dans le futur règlement protection des données, comme une des conditions devant être prise en compte « notamment » par la Commission pour évaluer le caractère adéquat du niveau de protection (article 41 §2 a). Cette condition est un marqueur clair (avec d’autres) des discussions à venir.

 

La négociation du futur accord « parapluie » UE-USA présenté comme un socle de garanties et de droits au regard des transferts de données consentis par l’Union européenne en matière répressive est l’un des terrains où se discute le plus âprement cette question : en effet, cet accord finalisé le 8 septembre 2015 doit encore être formellement conclu et approuvé par le Parlement européen, en vertu des dispositions de l’article 218 du traité TFUE.

 

Pour convaincre le Parlement, la Commission avait souligné l’extension envisagée des dispositions du Privacy Act américain de 1974 aux citoyens européens à travers un « Judicial Redress Act » qui devrait être adopté avant la conclusion de l’accord « parapluie » : le texte a été voté par le Congrès le 11 février dernier, dans l’attente de sa signature à priori rapide par Barack Obama.

 

Si la portée juridique de ce texte reste à apprécier concrètement, sa portée politique et symbolique va largement au-delà de l’accord « parapluie » et témoigne que la mise en place de voies de recours effectives constitue un enjeu clé des négociations dans le domaine de la protection des données.

 

Le Parlement européen reste à convaincre, l’avis négatif de son service juridique du 14 janvier 2016 sur le projet d’accord « parapluie » UE-USA fondé sur l’absence de véritable voie de recours en témoigne.

 

QUEL PRIVACY SHIELD AU VU DU NOUVEAU CADRE EUROPEEN DE PROTECTION DES DONNEES?

 

Les futurs débats au sein du Conseil et du Parlement en vue de la conclusion de cet accord auront dès lors par effet de capillarité des connexions directes avec les discussions à venir sur le « Privacy Shield », et ce en dépit de leurs différences de nature juridique et de modalités d’adoption.

 

Les discussions entre l’Union européenne et les Etats-Unis dans ce domaine doivent-elles se concentrer sur ce point unique ? Certainement pas. Un document de travail du Parlement européen ébauche une comparaison des législations européennes et américaines en matière de protection des données et relève qu’au-delà de la question d’un recours effectif, de nombreuses autres garanties doivent également être apportées (supervision indépendante, principe de minimisation, surveillance et notification des failles de sécurité etc…), ces critères se rapprochant de ceux édictés par le G29 dans l’attente de la publication du texte du « Privacy Shield ».

Protection des données personnelles : vers de nouvelles règles européennes

Suite à l’accord intervenu entre le Parlement européen et le Conseil de l’Union européenne en décembre 2015, le règlement et la directive du « paquet protection des données » devraient être formellement adoptés au printemps 2016, pour une entrée en application en 2018. Premier état des lieux de ces nouvelles règles et plus spécifiquement du règlement. Le « paquet protection des données » doit être formellement adopté au printemps 2016, suite à l’accord intervenu entre le Parlement européen et le Conseil de l’Union européenne en décembre dernier, pour une entrée en application dans un délai de deux ans.

Bref rappel chronologique  :

Ce « paquet protection des données » (règlement et directive) avait été proposé par la Commission européenne le 25 janvier 2012, afin de remplacer et de moderniser la directive 95/46 et la décision-cadre de 2008, sur la protection des données personnelles.

Le processus de négociation depuis 2012 a été particulièrement complexe du fait des mutations intervenues depuis 1995 dans le domaine numérique et de leurs conséquences pratiques sur la protection des données (essor des usages liées à Internet, respect de la vie privée, propriété des données...).

Le nombre des acteurs potentiellement concernés par cette modernisation législative a également connu une croissance exponentielle, alors que la protection des données personnelles est devenu un enjeu de société très largement médiatisé (droit à l’oubli, surveillance de masse, big data, utilisation du cloud etc).

Du fait de ces éléments, le processus législatif de co-décision [1] entre Conseil, Parlement et Commission européenne a été le théâtre de divergences d’appréciation fortes entre institutions, voire en leur sein (entre Etats membres ou entre groupes politiques européens).

Le remplacement de la directive 95/46 par un règlement a aussi constitué un véritable enjeu puisque le futur texte sera un acte normatif à portée générale et contraignant pour les institutions, les Etats membres et les particuliers, sans transposition nationale.

En tout état de cause, l’accord intervenu entre le Parlement européen et le Conseil, marque une étape supplémentaire dans la construction du droit effectif à la protection des données personnelles au sein de l’Union européenne :

  • Il intervient en effet après deux arrêts marquants de la Cour de Justice de l’Union européenne en 2014 et 2015 [2] qui ont consacré ce droit et rappelé au législateur européen la nécessité de prévoir des garanties effectives et concrètes ;

  • Ce paquet législatif apporte aussi une nouvelle traduction du droit à la protection des données personnelles prévu par le traité sur le fonctionnement de l’Union européenne (article 16 TFUE) [3], droit fondamental garanti par la Charte des droits fondamentaux [4].

Quelles premières conclusions retirer du règlement ?

La portée du règlement doit s’apprécier au regard des objectifs initiaux de la Commission européenne (1/ renforcement du niveau de protection des données personnelles, 2/ facilitation des flux de données au sein du marché intérieur et 3/ réduction des charges administratives).

Après 10 trilogues, le futur règlement apparaît évidemment comme un texte capital (plus de 200 pages, 91 articles, au moins une centaine de considérants) qui imposera une remise à niveau importante, tant pour les opérateurs privés que les autorités publiques.

Le G29 [5] qui regroupe les autorités de contrôle nationales comme la CNIL a déjà fait part de sa disponibilité quant aux travaux à conduire pour mener à bien ce processus.

1/ S’agissant du renforcement du niveau de protection des données personnelles, ce texte affirme ses ambitions avec entre autres :

  • Un champ d’application matériel et géographique du règlement ambitieux qui opère une refonte des articles 3 et 4 de la directive 95/46 (et revoit notamment des règles de détermination du droit applicable) ;

  • Le renforcement des conditions du consentement (article 7) et en particulier du consentement parental ;

  • La consécration du droit à l’oubli (article 17), mesure phare pour la Commission lorsqu’elle avait décliné sa proposition et du droit à la portabilité des données (article 18) ;

  • L’encadrement du profilage (article 20) ;

  • La mise en œuvre d’un mécanisme élargi de notification des failles de sécurité (articles 31 et suivants).

Ces dispositions sont-elles à la hauteur des ambitions ?

Elles marquent la volonté du Conseil comme du Parlement de créer des marqueurs tangibles et des nouveaux droits mais elles pourraient au final aboutir à une réalité plus contrastée au vu des nombreuses exceptions crées par le règlement ou reprises de la directive 95/46.

2/ Le règlement a aussi pour finalité de faciliter les flux de données au sein du marché intérieur :

La dimension « marché intérieur »de ce règlement a été régulièrement soulignée par la Commission, avec en filigrane la nécessité de créer un environnement législatif favorable aux futurs champions européens du numérique.

Plusieurs dispositions constituent des avancées :

  • Le remplacement de la directive 95/46 par un règlement devrait de façon générale favoriser la mise en œuvre de normes européennes uniformes, en l’absence de transpositions nationales (en dépit de certains renvois spécifiques aux Etats membres) ;

  • Le chapitre V - transferts de données personnelles vers des Etats tiers ou des organisations internationales (articles 40 et suivants) constitue une part essentielle de cet instrument et renforce les mécanismes existants et pour certains critiqués (décision d’adéquation, binding corporate rules) ;

  • Le nouveau « mécanisme de cohérence » (article 57) et les dispositions sur les autorités de contrôle (chapitre VI et VII) doivent structurer la coopération entre ces dernières et faciliter les flux de données au sein du marché intérieur ;

  • Le niveau des sanctions prévu aux articles 78 et suivants (jusque 4% du chiffre d’affaires annuel total mondial) est aussi de nature à renforcer la portée des nouvelles règles européennes et leur efficacité. Ces mécanismes de sanctions faisaient partie des éléments clés de la proposition de la Commission et constituent une véritable innovation. Ils rapprochent aussi cette matière du droit de la concurrence.

Ces règles constituent pour certaines de véritables nouveautés, c’est le cas du très controversé mécanisme de cohérence, adopté dans une version dégradée par rapport à la proposition de la Commission. Son succès devra être analysé dans le temps, en fonction des objectifs affichés : il signe néanmoins une préférence pour ce type de mécanisme européen préféré à d’autres méthodes de rapprochement des législations jugées moins efficaces.

3/ Ce texte doit aussi participer à la réduction des charges administratives.

Plusieurs mécanismes participent de cet objectif :

  • Renforcement des mécanismes de coopération entre autorités de contrôle et traitement des plaintes ;

  • Simplification générale des obligations pesant sur les entreprises ;

  • Dispenses spécifiques pour les PME de nombreuses tâches (notification préalable, établissement de certaines bases de données etc).

Il faut s’interroger cependant sur l’économie générale du règlement.

Le règlement crée en effet des obligations supplémentaires qui pourront s’apprécier comme des charges nouvelles dans le cadre d’une sorte de «  supervision permanente » (mise en œuvre des nouveaux droits dont le droit à l’oubli, études d’impact, documentation, nouvelles obligations mises à la charge des sous-traitants), qu’ils s’agissent des PME ou non. A noter par exemple, dans le cas du traitement de données sensibles, certaines exemptions prévues pour les PME ne trouveront pas à s’appliquer, faisant ainsi basculer l’opérateur concerné dans le régime général.

Ces remarques restent préliminaires et devront être complétées par une analyse exhaustive du règlement, une fois sa version définitive consolidée, traduite dans les langues officielles de l’Union européenne et publiée au Journal Officiel de l’Union Européenne.

[1] Procédure de co-décision : Cette procédure prévue par l’article 294 TFUE consacre le Parlement européen et le Conseil de l’Union européenne comme co-législateurs et leur permet d’arrêter des actes conjointement avec le Conseil de l’Union européenne, sauf dans les cas prévus par les traités. C’est la procédure législative ordinaire prévue par le Traité de Lisbonne.

[2] Arrêt de la CJUE du 8 avril 2014, invalidant la directive 2006/24/CE sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications dans les affaires jointes C-293/12 et C-594/12 Digital Rights Ireland et Seitlinger e.a et arrêt de la CJUE du 6 octobre 2015, invalidant la décision de la Commission constatant que les Etats-Unis assurent un niveau de protection adéquat aux données à caractère personnel transférées (Safe Harbor) dans l’affaire C-362/14 Maximillian Schrems / Data Protection Commissioner.

[3] Article 16 TFUE : 1. Toute personne a droit à la protection des données à caractère personnel la concernant. 2. Le Parlement européen et le Conseil statuant conformément à la procédure législative ordinaire, fixent les règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union, ainsi que par les Etats-membres dans l’exercice d’activités qui relèvent du champ d’application du droit de l’Union, et à la libre circulation de ces données. Le respect de ces règles est soumis au contrôle d’autorités indépendantes. Les règles adoptées sur la base du présent article sont sans préjudice des règles spécifiques prévues à l’article 39 du traité sur l’Union européenne.

[4] Article 8 de la charte des droits fondamentaux de l’Union européenne – protection des données à caractère personnel : 1. Toute personne a droit à la protection des données à caractère personnel la concernant. […]

RGPD : Publication par Jérôme Deroulez dans le Village de la Justice au sujet de la protection des données personnelles

RGPD et protection des données personnelles: vers de nouvelles règles européennes ( https://www.village-justice.com/articles/protection-des-donnees,21234.html )  

Le « paquet protection des données » doit être formellement adopté au printemps 2016, suite à l’accord intervenu entre le Parlement européen et le Conseil de l’Union européenne en décembre dernier, pour une entrée en application dans un délai de deux ans.

 

Bref rappel chronologique sur le RGPD  :

 

Ce « paquet protection des données » (règlement et directive) avait été proposé par la Commission européenne le 25 janvier 2012, afin de remplacer et de moderniser la directive 95/46 et la décision-cadre de 2008, sur la protection des données personnelles.

Le processus de négociation du RGPD depuis 2012 a été particulièrement complexe du fait des mutations intervenues depuis 1995 dans le domaine numérique et de leurs conséquences pratiques sur la protection des données (essor des usages liées à Internet, respect de la vie privée, propriété des données...).

Le nombre des acteurs potentiellement concernés par cette modernisation législative a également connu une croissance exponentielle, alors que la protection des données personnelles est devenu un enjeu de société très largement médiatisé (droit à l’oubli, surveillance de masse, big data, utilisation du cloud etc).

Du fait de ces éléments, le processus législatif de co-décision [1] entre Conseil, Parlement et Commission européenne a été le théâtre de divergences d’appréciation fortes entre institutions, voire en leur sein (entre Etats membres ou entre groupes politiques européens).

Le remplacement de la directive 95/46 par un règlement a aussi constitué un véritable enjeu puisque le futur texte sera un acte normatif à portée générale et contraignant pour les institutions, les Etats membres et les particuliers, sans transposition nationale.

En tout état de cause, l’accord intervenu entre le Parlement européen et le Conseil, marque une étape supplémentaire dans la construction du droit effectif à la protection des données personnelles au sein de l’Union européenne :

  • Il intervient en effet après deux arrêts marquants de la Cour de Justice de l’Union européenne en 2014 et 2015 [2] qui ont consacré ce droit et rappelé au législateur européen la nécessité de prévoir des garanties effectives et concrètes ;

  • Ce paquet législatif apporte aussi une nouvelle traduction du droit à la protection des données personnelles prévu par le traité sur le fonctionnement de l’Union européenne (article 16 TFUE) [3], droit fondamental garanti par la Charte des droits fondamentaux [4].

Quelles premières conclusions retirer du règlement (RGPD) ?

La portée du règlement doit s’apprécier au regard des objectifs initiaux de la Commission européenne (1/ renforcement du niveau de protection des données personnelles, 2/ facilitation des flux de données au sein du marché intérieur et 3/ réduction des charges administratives).

Après 10 trilogues, le futur règlement apparaît évidemment comme un texte capital (plus de 200 pages, 91 articles, au moins une centaine de considérants) qui imposera une remise à niveau importante, tant pour les opérateurs privés que les autorités publiques.

Le G29 [5] qui regroupe les autorités de contrôle nationales comme la CNIL a déjà fait part de sa disponibilité quant aux travaux à conduire pour mener à bien ce processus.

 

1/ S’agissant du renforcement du niveau de protection des données personnelles, le RGPD affirme ses ambitions avec entre autres :

 

  • Un champ d’application matériel et géographique du règlement ambitieux qui opère une refonte des articles 3 et 4 de la directive 95/46 (et revoit notamment des règles de détermination du droit applicable) ;

  • Le renforcement des conditions du consentement (article 7) et en particulier du consentement parental ;

  • La consécration du droit à l’oubli (article 17), mesure phare pour la Commission lorsqu’elle avait décliné sa proposition et du droit à la portabilité des données (article 18) ;

  • L’encadrement du profilage (article 20) ;

  • La mise en œuvre d’un mécanisme élargi de notification des failles de sécurité (articles 31 et suivants).

Ces dispositions sont-elles à la hauteur des ambitions ?

Elles marquent la volonté du Conseil comme du Parlement de créer des marqueurs tangibles et des nouveaux droits mais elles pourraient au final aboutir à une réalité plus contrastée au vu des nombreuses exceptions crées par le règlement ou reprises de la directive 95/46.

 

2/ Le règlement a aussi pour finalité de faciliter les flux de données au sein du marché intérieur :

 

La dimension « marché intérieur » de ce règlement a été régulièrement soulignée par la Commission, avec en filigrane la nécessité de créer un environnement législatif favorable aux futurs champions européens du numérique.

Plusieurs dispositions constituent des avancées :

  • Le remplacement de la directive 95/46 par un règlement devrait de façon générale favoriser la mise en œuvre de normes européennes uniformes, en l’absence de transpositions nationales (en dépit de certains renvois spécifiques aux Etats membres) ;

  • Le chapitre V - transferts de données personnelles vers des Etats tiers ou des organisations internationales (articles 40 et suivants) constitue une part essentielle de cet instrument et renforce les mécanismes existants et pour certains critiqués (décision d’adéquation, binding corporate rules) ;

  • Le nouveau « mécanisme de cohérence » (article 57) et les dispositions sur les autorités de contrôle (chapitre VI et VII) doivent structurer la coopération entre ces dernières et faciliter les flux de données au sein du marché intérieur ;

  • Le niveau des sanctions prévu aux articles 78 et suivants (jusque 4% du chiffre d’affaires annuel total mondial) est aussi de nature à renforcer la portée des nouvelles règles européennes et leur efficacité. Ces mécanismes de sanctions faisaient partie des éléments clés de la proposition de la Commission et constituent une véritable innovation. Ils rapprochent aussi cette matière du droit de la concurrence.

Ces règles du RGPD constituent pour certaines de véritables nouveautés, c’est le cas du très controversé mécanisme de cohérence, adopté dans une version dégradée par rapport à la proposition de la Commission. Son succès devra être analysé dans le temps, en fonction des objectifs affichés : il signe néanmoins une préférence pour ce type de mécanisme européen préféré à d’autres méthodes de rapprochement des législations jugées moins efficaces.

 

3/ Le RGPD doit aussi participer à la réduction des charges administratives.

 

Plusieurs mécanismes participent de cet objectif :

  • Renforcement des mécanismes de coopération entre autorités de contrôle et traitement des plaintes ;

  • Simplification générale des obligations pesant sur les entreprises ;

  • Dispenses spécifiques pour les PME de nombreuses tâches (notification préalable, établissement de certaines bases de données etc).

Il faut s’interroger cependant sur l’économie générale du règlement.

Le règlement crée en effet des obligations supplémentaires qui pourront s’apprécier comme des charges nouvelles dans le cadre d’une sorte de «  supervision permanente » (mise en œuvre des nouveaux droits dont le droit à l’oubli, études d’impact, documentation, nouvelles obligations mises à la charge des sous-traitants), qu’ils s’agissent des PME ou non. A noter par exemple, dans le cas du traitement de données sensibles, certaines exemptions prévues pour les PME ne trouveront pas à s’appliquer, faisant ainsi basculer l’opérateur concerné dans le régime général.

 

Ces remarques restent préliminaires et devront être complétées par une analyse exhaustive du RGPD, une fois sa version définitive consolidée, traduite dans les langues officielles de l’Union européenne et publiée au Journal Officiel de l’Union Européenne.

[1] Procédure de co-décision : Cette procédure prévue par l’article 294 TFUE consacre le Parlement européen et le Conseil de l’Union européenne comme co-législateurs et leur permet d’arrêter des actes conjointement avec le Conseil de l’Union européenne, sauf dans les cas prévus par les traités. C’est la procédure législative ordinaire prévue par le Traité de Lisbonne.

[2] Arrêt de la CJUE du 8 avril 2014, invalidant la directive 2006/24/CE sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications dans les affaires jointes C-293/12 et C-594/12 Digital Rights Ireland et Seitlinger e.a et arrêt de la CJUE du 6 octobre 2015, invalidant la décision de la Commission constatant que les Etats-Unis assurent un niveau de protection adéquat aux données à caractère personnel transférées (Safe Harbor) dans l’affaire C-362/14 Maximillian Schrems / Data Protection Commissioner.

[3] Article 16 TFUE : 1. Toute personne a droit à la protection des données à caractère personnel la concernant. 2. Le Parlement européen et le Conseil statuant conformément à la procédure législative ordinaire, fixent les règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union, ainsi que par les Etats-membres dans l’exercice d’activités qui relèvent du champ d’application du droit de l’Union, et à la libre circulation de ces données. Le respect de ces règles est soumis au contrôle d’autorités indépendantes. Les règles adoptées sur la base du présent article sont sans préjudice des règles spécifiques prévues à l’article 39 du traité sur l’Union européenne.

[4] Article 8 de la charte des droits fondamentaux de l’Union européenne – protection des données à caractère personnel : 1. Toute personne a droit à la protection des données à caractère personnel la concernant. […]