big data

DATA: Proposition pour un marché européen de la donnée

DATA: La Commission européenne a déposé une proposition de règlement ( http://ec.europa.eu/transparency/regdoc/rep/1/2017/EN/COM-2017-495-F1-EN-MAIN-PART-1.PDF ) visant à mettre en oeuvre un marché unique de la donnée. Parallèlement aux règles déjà en vigueur pour les données à caractère personnel, ces futures dispositions devraient permettre le stockage et le traitement des données à caractère non personnel dans l'ensemble de l'Union de manière à stimuler la compétitivité des entreprises européennes et à moderniser les services publics dans un véritable marché unique européen des services de données. Ce règlement devrait ainsi permettre l'émergence d'un marché unique européen des services de données et favoriser la croissance des entreprises innovantes dont l'importance avait été soulignée par le Conseil Européen de décembre 2016. Libre circulation de la data

Ce futur cadre prévoit un principe de libre circulation des données à caractère non personnel dans l'Union européenne, un principe de disponibilité des données à des fins de contrôle réglementaire et l'élaboration de codes de conduite de l'Union européenne. Ces mesures devraient, pour la Commission européenne (http://europa.eu/rapid/press-release_IP-17-3190_fr.htm) consolider le marché européen du stockage et du traitement de données, en facilitant notamment le recours aux services en cloud.

Data et données personnelles

A noter: ces mesures compléteront les dispositions applicables à la protection des données personnelles pour aboutir à terme à un corps de règles européennes des données, étape-clé dans la stratégie de l'UE pour un marché unique numérique. Parallèlement à ces travaux la Commission a lancé une consultation publique sur la ré-utilisation des données publiques, prélude à une révision du texte.

BIG DATA : Jérôme Deroulez a présidé la table ronde sur la "personnalisation" de la loi au Sénat dans le cadre du colloque Big Data (17 mars 2017)

BIG DATA: Colloque organisé au SENAT au sujet du BIG DATA et de ses enjeux juridiques. Ce colloque était co-organisé par l'Université de Lorraine, l'Université de Chicago, l'IHEJ et le Cercle Montesquieu au sujet des implications juridiques du BIG DATA.

Jérôme DEROULEZ a présidé la table ronde consacrée à la personnalisation de la loi, dans le cadre de ce colloque:

Chair: Jérôme Deroulez, Attorney at Law, Member of the Paris Bar Incubator; Anthony J. Casey, Professor of Law, University of Chicago School of Law, The End of Rules and Standards; David Restrepo Amariles, Professor of law, HEC Paris, Law’s Learning Algorithm: Making Rules Fit through Big Data; Ariel Porat, Professor of Law, Tel Aviv University, and Visiting Professor of Law, University of Chicago, Personalized Negligence Law and Big Data.

Les interventions ont porté notamment sur les conséquences de l'utilisation de l'intelligence artificielle ou des données en masse au vu du recours au BIG DATA. Ces présentations ont été suivies par un échange avec la salle.

Interventions à retrouver sur YouTube:

https://www.youtube.com/watch?v=8p5ZSODJ20Y&feature=youtu.be

 

Objects connectés: rapport d'information de l'Assemblée nationale du 10 janvier 2017, quelles perspectives ?

Corinne Erhel et Laure de la Raudière ont présenté leur rapport d’information consacré à l’internet des objets le 10 janvier dernier dans le cadre des travaux de la commission des affaires économiques de l’Assemblée Nationale.  

Exhaustif, ce rapport embrasse toutes les questions posées par les objets connectés : du fait de pratiques extrêmement diverses (santé, agriculture, maintenance ou surveillance), l’internet des objets suscite en effet de très défis concrets, à commencer par la question d’un éventuel contrôle ou d’une régulation de ces nouvelles innovations.

 

Ce rapport souligne aussi le potentiel des objets connectés dans une perspective nationale, en se penchant sur les secteurs français en pointe (avec un focus sur certaines institutions comme l’INRIA), l’organisation des différentes formes de soutien à l’innovation (notamment avec la French Tech) et la question du financement de l’innovation. Le relevé de ces points forts s’accompagne aussi d’une réflexion sur les infrastructures nécessaires à terme (connexion sans fil, réseaux bas débit ou transition vers la 5G) comme sur l’environnement fiscal et règlementaire de ce secteur. Le déploiement d’un écosystème français des objets connectés nécessite également un effort de formation à la transition numérique, volet indispensable pour une approche globale.

 

C’est une tonalité positive et volontariste qui est adoptée par ce rapport : réussir le virage de l’internet des objets en France est à portée de main pour Corinne Erhel et Laure de la Raudière, à condition de relever certains défis. Cela implique d’améliorer l’environnement fiscal et réglementaire de l’innovation et la protection de l’innovation à travers certaines initiatives concrètes : renforcement du capital-risque, accroissement du nombre de business angels et du recours au financement participatif, meilleure structuration de l’accompagnement des entreprises, start-ups ou non.

 

Ce rapport appelle cependant deux remarques.

 

Le développement de l’internet des objets doit aussi s’appuyer sur une démarche cohérente en matière de protection des données personnelles et notamment au vu de la masse et des flux de données qui seront potentiellement générés. L’utilisation de ces données, leur exploitation comme leur circulation ne sont pas neutres et généreront à terme des écosystèmes particulièrement importants. La sécurité de ces données, leur contrôle, les modalités de consentement, la protection de la vie privée dans le cadre d’objets connectés touchant à la santé par exemple ou les risques de profilage auront une sensibilité particulière. Ces aspects doivent être pris en compte dans le cadre de la mise en œuvre en 2018 du règlement européen sur la protection des données personnelles mais pas seulement.

 

En effet, s’il n’existe pas encore de cadre juridique spécifique applicable aux objets connectés, un tel dispositif pourrait être proposé par Bruxelles pour faciliter le développement d’un « marché intérieur » de l’internet des objets. La Commission européenne l’a dit à plusieurs reprises, le G29 qui regroupe les autorités de protection des données également. Ces travaux préparatoires doivent donc être anticipés dès aujourd’hui par les professionnels de l’internet des objets pour aboutir à une sécurité juridique renforcée, vis-à-vis de leurs produits comme des données qu’ils génèrent.

PROTECTION DES DONNEES PERSONNELLES: Jérôme DEROULEZ est intervenu le 9 décembre à Bruxelles (DBF) au sujet du droit de la concurrence et de la détention de données.

PROTECTION DES DONNEES : Jérôme DEROULEZ est intervenu le 9 décembre à Bruxelles (DBF) au sujet du droit de la concurrence et de la détention de données. Droit de la concurrence et protection des données (https://twitter.com/dbfbxl/status/807210302743920640?lang=fr ) :

 

Cette session organisée par la Délégation des Barreaux de France avait pour objet d'évoquer les enjeux croisés du droit de la concurrence, de la détention de données, du Big Data et de la protection des données. ( https://www.dbfbruxelles.eu/wp-content/uploads/2016/12/PROGINSCRIPTIONCONCURRENCE.pdf )

 

De nombreux points ont été évoqués et notamment la possibilité d'une appréciation ou non par les autorités de la concurrence du respect ou non des règles de protection des données personnelles. Ou de l'impact de la législation sur la protection des données sur d'autres politiques et notamment en matière de concurrence. Les récents rapports des autorités française et allemande de la concurrence ont été évoqués à ce sujet ( http://www.autoritedelaconcurrence.fr/doc/rapport-concurrence-donnees-vf-mai2016.pdf ).

RGPD ET PROTECTION DES DONNEES PERSONNELLES: Intervention de Jérôme DEROULEZ à Lille dans le cadre de la conférence le Village byCA-NDF (23 novembre 2016)

RGPD et données personnelles: Présentation des grandes lignes de la réforme de la protection des données personnelles, suite à l'adoption du GDPR et à ses conséquences dans le domaine bancaire. Passage en revue des points clés du règlement européen et des modalités de mises en oeuvre ( https://www.euratechnologies.com/agenda/conference-objets-connectes-big-data-nouvelles-regles-europeennes-big-bang-de-protection-donnees-personnelles/ ).

A suivre sur YouTube: https://www.youtube.com/watch?v=IA4NkYZh9t8&feature=youtu.be

RGPD : Publication par Jérôme Deroulez dans le Village de la Justice au sujet de la protection des données personnelles

RGPD et protection des données personnelles: vers de nouvelles règles européennes ( https://www.village-justice.com/articles/protection-des-donnees,21234.html )  

Le « paquet protection des données » doit être formellement adopté au printemps 2016, suite à l’accord intervenu entre le Parlement européen et le Conseil de l’Union européenne en décembre dernier, pour une entrée en application dans un délai de deux ans.

 

Bref rappel chronologique sur le RGPD  :

 

Ce « paquet protection des données » (règlement et directive) avait été proposé par la Commission européenne le 25 janvier 2012, afin de remplacer et de moderniser la directive 95/46 et la décision-cadre de 2008, sur la protection des données personnelles.

Le processus de négociation du RGPD depuis 2012 a été particulièrement complexe du fait des mutations intervenues depuis 1995 dans le domaine numérique et de leurs conséquences pratiques sur la protection des données (essor des usages liées à Internet, respect de la vie privée, propriété des données...).

Le nombre des acteurs potentiellement concernés par cette modernisation législative a également connu une croissance exponentielle, alors que la protection des données personnelles est devenu un enjeu de société très largement médiatisé (droit à l’oubli, surveillance de masse, big data, utilisation du cloud etc).

Du fait de ces éléments, le processus législatif de co-décision [1] entre Conseil, Parlement et Commission européenne a été le théâtre de divergences d’appréciation fortes entre institutions, voire en leur sein (entre Etats membres ou entre groupes politiques européens).

Le remplacement de la directive 95/46 par un règlement a aussi constitué un véritable enjeu puisque le futur texte sera un acte normatif à portée générale et contraignant pour les institutions, les Etats membres et les particuliers, sans transposition nationale.

En tout état de cause, l’accord intervenu entre le Parlement européen et le Conseil, marque une étape supplémentaire dans la construction du droit effectif à la protection des données personnelles au sein de l’Union européenne :

  • Il intervient en effet après deux arrêts marquants de la Cour de Justice de l’Union européenne en 2014 et 2015 [2] qui ont consacré ce droit et rappelé au législateur européen la nécessité de prévoir des garanties effectives et concrètes ;

  • Ce paquet législatif apporte aussi une nouvelle traduction du droit à la protection des données personnelles prévu par le traité sur le fonctionnement de l’Union européenne (article 16 TFUE) [3], droit fondamental garanti par la Charte des droits fondamentaux [4].

Quelles premières conclusions retirer du règlement (RGPD) ?

La portée du règlement doit s’apprécier au regard des objectifs initiaux de la Commission européenne (1/ renforcement du niveau de protection des données personnelles, 2/ facilitation des flux de données au sein du marché intérieur et 3/ réduction des charges administratives).

Après 10 trilogues, le futur règlement apparaît évidemment comme un texte capital (plus de 200 pages, 91 articles, au moins une centaine de considérants) qui imposera une remise à niveau importante, tant pour les opérateurs privés que les autorités publiques.

Le G29 [5] qui regroupe les autorités de contrôle nationales comme la CNIL a déjà fait part de sa disponibilité quant aux travaux à conduire pour mener à bien ce processus.

 

1/ S’agissant du renforcement du niveau de protection des données personnelles, le RGPD affirme ses ambitions avec entre autres :

 

  • Un champ d’application matériel et géographique du règlement ambitieux qui opère une refonte des articles 3 et 4 de la directive 95/46 (et revoit notamment des règles de détermination du droit applicable) ;

  • Le renforcement des conditions du consentement (article 7) et en particulier du consentement parental ;

  • La consécration du droit à l’oubli (article 17), mesure phare pour la Commission lorsqu’elle avait décliné sa proposition et du droit à la portabilité des données (article 18) ;

  • L’encadrement du profilage (article 20) ;

  • La mise en œuvre d’un mécanisme élargi de notification des failles de sécurité (articles 31 et suivants).

Ces dispositions sont-elles à la hauteur des ambitions ?

Elles marquent la volonté du Conseil comme du Parlement de créer des marqueurs tangibles et des nouveaux droits mais elles pourraient au final aboutir à une réalité plus contrastée au vu des nombreuses exceptions crées par le règlement ou reprises de la directive 95/46.

 

2/ Le règlement a aussi pour finalité de faciliter les flux de données au sein du marché intérieur :

 

La dimension « marché intérieur » de ce règlement a été régulièrement soulignée par la Commission, avec en filigrane la nécessité de créer un environnement législatif favorable aux futurs champions européens du numérique.

Plusieurs dispositions constituent des avancées :

  • Le remplacement de la directive 95/46 par un règlement devrait de façon générale favoriser la mise en œuvre de normes européennes uniformes, en l’absence de transpositions nationales (en dépit de certains renvois spécifiques aux Etats membres) ;

  • Le chapitre V - transferts de données personnelles vers des Etats tiers ou des organisations internationales (articles 40 et suivants) constitue une part essentielle de cet instrument et renforce les mécanismes existants et pour certains critiqués (décision d’adéquation, binding corporate rules) ;

  • Le nouveau « mécanisme de cohérence » (article 57) et les dispositions sur les autorités de contrôle (chapitre VI et VII) doivent structurer la coopération entre ces dernières et faciliter les flux de données au sein du marché intérieur ;

  • Le niveau des sanctions prévu aux articles 78 et suivants (jusque 4% du chiffre d’affaires annuel total mondial) est aussi de nature à renforcer la portée des nouvelles règles européennes et leur efficacité. Ces mécanismes de sanctions faisaient partie des éléments clés de la proposition de la Commission et constituent une véritable innovation. Ils rapprochent aussi cette matière du droit de la concurrence.

Ces règles du RGPD constituent pour certaines de véritables nouveautés, c’est le cas du très controversé mécanisme de cohérence, adopté dans une version dégradée par rapport à la proposition de la Commission. Son succès devra être analysé dans le temps, en fonction des objectifs affichés : il signe néanmoins une préférence pour ce type de mécanisme européen préféré à d’autres méthodes de rapprochement des législations jugées moins efficaces.

 

3/ Le RGPD doit aussi participer à la réduction des charges administratives.

 

Plusieurs mécanismes participent de cet objectif :

  • Renforcement des mécanismes de coopération entre autorités de contrôle et traitement des plaintes ;

  • Simplification générale des obligations pesant sur les entreprises ;

  • Dispenses spécifiques pour les PME de nombreuses tâches (notification préalable, établissement de certaines bases de données etc).

Il faut s’interroger cependant sur l’économie générale du règlement.

Le règlement crée en effet des obligations supplémentaires qui pourront s’apprécier comme des charges nouvelles dans le cadre d’une sorte de «  supervision permanente » (mise en œuvre des nouveaux droits dont le droit à l’oubli, études d’impact, documentation, nouvelles obligations mises à la charge des sous-traitants), qu’ils s’agissent des PME ou non. A noter par exemple, dans le cas du traitement de données sensibles, certaines exemptions prévues pour les PME ne trouveront pas à s’appliquer, faisant ainsi basculer l’opérateur concerné dans le régime général.

 

Ces remarques restent préliminaires et devront être complétées par une analyse exhaustive du RGPD, une fois sa version définitive consolidée, traduite dans les langues officielles de l’Union européenne et publiée au Journal Officiel de l’Union Européenne.

[1] Procédure de co-décision : Cette procédure prévue par l’article 294 TFUE consacre le Parlement européen et le Conseil de l’Union européenne comme co-législateurs et leur permet d’arrêter des actes conjointement avec le Conseil de l’Union européenne, sauf dans les cas prévus par les traités. C’est la procédure législative ordinaire prévue par le Traité de Lisbonne.

[2] Arrêt de la CJUE du 8 avril 2014, invalidant la directive 2006/24/CE sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications dans les affaires jointes C-293/12 et C-594/12 Digital Rights Ireland et Seitlinger e.a et arrêt de la CJUE du 6 octobre 2015, invalidant la décision de la Commission constatant que les Etats-Unis assurent un niveau de protection adéquat aux données à caractère personnel transférées (Safe Harbor) dans l’affaire C-362/14 Maximillian Schrems / Data Protection Commissioner.

[3] Article 16 TFUE : 1. Toute personne a droit à la protection des données à caractère personnel la concernant. 2. Le Parlement européen et le Conseil statuant conformément à la procédure législative ordinaire, fixent les règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union, ainsi que par les Etats-membres dans l’exercice d’activités qui relèvent du champ d’application du droit de l’Union, et à la libre circulation de ces données. Le respect de ces règles est soumis au contrôle d’autorités indépendantes. Les règles adoptées sur la base du présent article sont sans préjudice des règles spécifiques prévues à l’article 39 du traité sur l’Union européenne.

[4] Article 8 de la charte des droits fondamentaux de l’Union européenne – protection des données à caractère personnel : 1. Toute personne a droit à la protection des données à caractère personnel la concernant. […]