cloud computing

PROTECTION DES DONNEES PERSONNELLES : QUELLE ACTUALITE EN 2018?

Le droit de la protection des données à caractère personnel a connu une actualité très dense en 2017. 2018 sera marquée par plusieurs étapes importantes, dont l’entrée en application du RGPD en mai prochain et l’adoption rapide de l’adaptation législative de la loi Informatique et Libertés.  

Le RGPD n’est cependant qu’une des étapes des chantiers ouvertes dans le domaine de la protection des données. 2018 sera ainsi marquée par de nouvelles réformes (partie 1) et devrait aussi connaître de nouvelles jurisprudences marquantes (partie 2).

 

I. LES REFORMES LEGISLATIVES ATTENDUES EN 2018

 

1. La révision de la Directive dite « e-privacy » et sa transformation en règlement

 

  • Qu’est-ce que la Directive e-privacy ? Quel est son champ d’application ? Pourquoi co-existe-elle aux côtés de la directive 95/46 qui va être remplacée par le RGPD ?

 

La Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concerne le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques. Cette directive vise aussi le secteur des communications numériques alors que le RGPD est indifférent quant à la forme de la communication, son objet englobant tous traitements de données à caractère personnel visés à travers son champ d’application. C’est donc une lex specialis par rapport au RGPD, même si ce point a fait l’objet de discussions techniques.

 

  • Pourquoi cette réforme ?

 

La Commission a lancé ce chantier dans l’espoir d’une adoption en mai 2018 et d’une réforme concomitante RGPD / E-privacy. Avec le souci de renforcer le marché unique numérique et la confiance lors de l’utilisation des services numériques via une protection accrue des données personnelles.

 

En effet, depuis la dernière révision de la directive E-privacy en 2009, de très nombreuses évolutions technologiques ont bouleversé ce domaine, notamment dans le secteur des télécommunications avec l’apparition de nouveaux acteurs tels que Skype, Whatsapp, Facebook Messenger qui renouvellent la manière de communiquer grâce à la technique de la VOIP. (« Voix sur IP » [tiré de l’anglais Voice over IP] : manière de communiquer par la voix, sur des réseaux compatibles IP).

 

L’objectif de la Commission est également d’utiliser dans la mesure du possible des « définitions neutres » d’un point de vue technologique afin d’englober les nouveaux services et technologies et d’assurer la pérennité du règlement (p.10), en dépit de la difficulté d’un tel exercice. [1]

 

  • Le calendrier

 

La proposition de règlement concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE (règlement « vie privée et communications électroniques »), a été dévoilée le 10 janvier 2017. [2] En dépit du souhait initial de la Commission d’une adoption le 25 mai 2018, ce calendrier ambitieux ne pourra être atteint, au vu des nombreux points encore ouverts.

 

  • Quels sont les points clés de la réforme ?

 

L’un des objectifs premiers est d’atteindre les fournisseurs de services OTT

Les fournisseurs de services OTT (« Over the Top ») sont les nouveaux géants d’Internet et dominent largement le secteur des télécommunications, comme Whatsapp, Skype, Facebook messenger... Cette réforme prévoit une extension du champ d’application du règlement à ces nouveaux acteurs [3] et notamment que les OTT seront tenus de respecter la confidentialité des communications et les droits fondamentaux des utilisateurs conformément à la Charte.

 

Mieux encadrer les cookies

 

La Commission souhaite clarifier la règlementation sur les cookies afin de donner davantage de pouvoir aux utilisateurs de services de communication en ligne, à travers un renforcement des règles de consentement. Ainsi, les cookies-tiers qui pistent la vie privée des internautes pourraient être bloqués [4] tout en conférant aux utilisateurs un pouvoir de modulation en ce qui concerne le choix des cookies qu’ils souhaitent accepter ou non.

 

Renforcement du consentement des utilisateurs

 

Le renforcement du consentement des individus est au cœur de la réforme. En effet, la Commission souhaite imposer aux opérateurs, des mesures concrètes afin de donner les « pleins pouvoirs » aux utilisateurs. Les considérants de la proposition de règlement (qui pour rappel n’ont pas de valeur juridique) éclairent sur les mesures qui pourraient être mises en œuvre :

 

L’utilisateur, pourrait, par exemple, désormais choisir à « la carte » les cookies qu’il souhaite accepter sur son navigateur ; « Les utilisateurs finaux devraient disposer d'un éventail de réglages de confidentialité́, depuis les plus restrictifs (par exemple, «ne jamais accepter les cookies») jusqu'aux plus permissifs (par exemple, «toujours accepter les cookies»), en passant par des options intermédiaires (par exemple, «rejeter les cookies de tiers» ou «accepter uniquement les cookies propres»). Ces paramètres de confidentialité́ devraient se présenter sous une forme facile à visualiser et à comprendre ». [5]

 

Par exemple, au considérant 24 « Les navigateurs Web sont encouragés à proposer aux utilisateurs finaux des moyens faciles de modifier leurs paramètres de confidentialité à tout moment en cours d'utilisation et à leur permettre de prévoir des exceptions ou d'établir une liste blanche de certains sites Web ou de préciser les sites Web dont ils acceptent toujours ou n'acceptent jamais les cookies (de tiers) ». [6]

Si le bilan de cette réforme est ambitieux - renforcer la protection de la vie privée et des données personnelles dans le cadre d’un dispositif européen intégré – cette dernière reste encore soumise à de nombreuses interrogations quant à son calendrier et à l’issue des travaux législatifs.

 

2. La transposition de la directive « police-justice » du paquet protection des données

 

La transposition à venir de la directive adoptée en même temps que le RGPD ne doit pas être négligée.

 

En effet, la réforme du droit des données personnelles est un « paquet » et la directive (UE) (2016/680) du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données devra être transposée dans les ordres juridiques des différents États-membres, au plus tard, le 6 mai 2018. Le projet d’adaptation de la LIL comprend des dispositions spécifiques, le Sénat devant débuter ses travaux en mars prochain dans le cadre de la procédure accélérée.

 

3. La transposition de la directive NIS : Network and Information Security

 

La Directive NIS Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union vient d’être transposée en droit français le 15 février dernier . http://www.senat.fr/dossier-legislatif/pjl17-105.html

 

Cette directive doit être signalée alors que les préoccupations dans le domaine de la cyber-sécurité sont de plus en plus importantes.

 

II. LES JURISPRUDENCES ATTENDUES EN 2018

 

De nombreuses affaires sont actuellement pendantes.

 

Nous signalons certaines de ces affaires qui touchent non seulement à la protection des données personnelles, mais également de manière transversale, au droit international privé, au droit de la consommation et au droit pénal. A ce titre, les solutions qui seront retenues dans les affaires suivantes présenteront un intérêt particulier pour ces matières :

 

- Microsoft contre Irlande ;

- Affaire « Origine du Monde » ;

- M. Schrems ;

- La question prioritaire de constitutionnalité concernant l’accès à une clef privée de chiffrement par les autorités françaises

 

1. L’affaire Microsoft c/ Ireland

 

Pour rappel, il est question dans cette affaire de la possibilité, pour les autorités américaines, d’avoir accès à des emails hébergés à l’étranger, et notamment en Irlande. Les États-Unis, en vertu de leur loi « SCA » Store Communications Act avaient délivré un mandat à l’encontre de Microsoft, leur enjoignant la fourniture de ces informations. En vertu de la SCA, les autorités répressives américaines peuvent en effet contraindre des fournisseurs de messageries électroniques à procéder à la perquisition, au recueil et  à la reproduction de communications électroniques, à plus forte raison dans le cadre du recours au cloud computing.

 

Microsoft, a cependant refusé de se conformer à ce mandat au motif qu’un mandat de perquisition émis par un juge américain ne pouvait pas produire d’effets en dehors des Etats-Unis et en l’occurrence en Europe.

 

Cette affaire aborde ainsi des questions sensibles au regard de la protection de la vie privée, de l’application extra-territoriale d’une loi et de l’accès à des informations stockées dans des réseaux en nuage. La Cour d’appel fédérale de Manhattan dans une décision rendue le 14 juillet 2016 a donné raison à Microsoft en énonçant que la portée extraterritoriale d’un mandat devait être prévue explicitement par la loi et que ce n’était pas le cas en l’espèce.

 

Après les premières décisions de tribunal rendues en faveur de Microsoft, le Département américain de la Justice a décidé de saisir la Cour suprême américaine dont la décision devrait intervenir en juin 2018. Cette procédure a donné lieu à une trentaine d’amicus curiae (intervention volontaire qui permet de faire part de son point de vue devant la Cour suprême, lorsque des enjeux juridiques et sociaux sont importants). La liste des différents amicus curiae est disponible sur le blog de la Cour Suprême américaine  http://www.scotusblog.com/case-files/cases/united-states-v-microsoft-corp/

 

Deux mémoires sont notables :

 

- D’une part le mémoire de l’association des barreaux européens [7] : qui souhaite alerter sur les enjeux du secret des correspondances entre un avocat et son client En substance, le Conseil des barreaux européens a rédigé un mémoire en soutien à la société Microsoft et dénonce une décision qui pourrait étendre considérablement la capacité du gouvernement américain à se saisir de communications électroniques situées en dehors des USA ».

 

Dès lors, le CCBE met en avant le risque pour la protection de la vie privée des européens et le droit à la confidentialité des avocats dans leurs correspondances avec leurs clients. Il rappelle que le secret professionnel, et l’inviolabilité des communications avec l’avocat est une condition préalable et indispensable au procès équitable.

 

- D’autre part, le mémoire de la Commission européenne [8] qui souhaite s’assurer de la bonne compréhension par la Cour suprême de la législation européenne concernant la protection des données personnelles à la veille de l’entrée en application du RGPD. L’amicus curiae de la Commission européenne est « in support of neither party », la Commission européenne n’apportant son soutien ni aux Etats-Unis ni à Microsoft.

 

Pour rappel, l’Union européenne signale qu’elle fixe des limites strictes aux transferts hors de l’Union européenne grâce à 3 mécanismes (les transferts sur décision d’adéquation, les transferts grâce à des mécanismes appropriés, les transferts fondés sur des règles d’entreprises contraignantes) et souligne que c’est donc un niveau élevé de protection des données que doivent respecter les pays tiers s’ils souhaitent traiter des données relevant du champ d’application du RGPD.

 

2. L’affaire « Origine du monde » contre Facebook, Cour d’appel de Paris du 16 février 2016

 

L’affaire dite « Origine du Monde » contre Facebook est une affaire qui soulève des enjeux en matière de protection des consommateurs sur le réseau social Facebook. [9] À l’origine de cette affaire, un professeur de l’éducation nationale avait posté sur son « mur » (page personnelle) un célèbre tableau du peintre Courbet « l’Origine du Monde ». Le compte du professeur a été suspendu en raison de la violation par ce dernier des conditions générales d’utilisation du réseau social, le tableau étant considéré comme pornographique selon Facebook.

 

Ce professeur a souhaité contester cette décision pour atteinte à la liberté d’expression, alors que Facebook estimait que les juridictions françaises n’étaient pas compétentes, au vu de ses conditions générales d’utilisation du réseau social prévoyant une clause attributive de juridiction au profit de la juridiction de Santa Clara aux États-Unis.

 

Dans ce litige, la Cour d’appel de Paris a notamment relevé que ce professeur était bien un consommateur et décidé d’appliquer les règles du droit de la consommation, notamment les dispositions de l’article L. 132-1 du code de la consommation (ancien article applicable en l’espèce) sur les clauses abusives. La Cour a relevé que cette clause insérée dans les conditions générales d’utilisations de Facebook avait pour objet de supprimer ou entraver l’exercice d’actions en justice ou des voies de recours par le consommateur » (article R. 132-2 du code de la consommation). Ainsi :« Que dès lors, la clause attributive de compétence au profit des juridictions californiennes contenue dans le contrat a pour effet de créer, au détriment du non-professionnel ou du consommateur, un déséquilibre significatif entre les droits et obligations des parties au contrat ; qu’elle a également pour effet de créer une entrave sérieuse pour un utilisateur français à l’exercice de son action en justice (…) Considérant que l’ordonnance déférée sera dans ces conditions confirmée en ce qu’elle a déclaré la clause attributive du contrat abusive et réputée non écrite et retenu la compétence du tribunal de grande instance de Paris pour statuer sur le litige opposant M.X à la société Facebook Inc »

 

A suivre avec la décision de la Cour de Cassation sur ce dossier...

 

3. Schrems et les futures actions de groupe en matière de données personnelles ?

 

Comme nous l’écrivions dans notre précédent article, M. Schrems avait posé une question préjudicielle à la Cour de justice de l’Union européenne aux fins de savoir dans quelle mesure il pouvait engager une action de groupe à l’encontre de Facebook.

 

Le 25 janvier dernier, la Cour a relevé que M. Schrems pouvait, pour son compte engager une action de groupe devant les juridictions de son domicile, peu important son activité commerciale postérieure mais qu’en revanche, il ne le pouvait pas, en tant que cessionnaire des droits d’autres consommateurs.

 

L’actualité de ce sujet présente un intérêt particulier au regard du droit français, puisque a été adopté par l’Assemblée nationale, le 8 février dernier, l’amendement pour une action de groupe collective en matière de données personnelles.

 

En effet, le nouvel article 43 ter de la loi LIL 3, précédemment modifié par l’article 91 de la loi du 18 novembre 2016 relative à la modernisation de la justice du XXIème siècle, a ouvert la possibilité d’une action de groupe ayant subi un dommage causé par un manquement à la LIL. Cette loi a anticipé en partie les dispositions du RGPD qui concernent les voies de recours, responsabilité et sanctions (Voir les articles 77 à 84).

 

L’article 80 du RGPD prévoyait en effet la possibilité pour les personnes « le droit de mandater un organisme, une organisation ou une association à but non lucratif, qui a été valablement constitué conformément au droit d’un État membre, dont les objectifs statutaires sont d’intérêt public et qui est actif dans le domaine de la protection des droits et libertés des personnes concernées dans le cadre de la protection des données à caractère personnel les concernant, pour qu'il introduise une réclamation en son nom, exerce en son nom les droits visés aux articles 77, 78 et 79 et exerce en son nom le droit d'obtenir réparation visé à l'article 82 lorsque le droit d'un État membre le prévoit».

 

Cet article sera ainsi modifié :

 

1° Le III est remplacé par un alinéa ainsi rédigé :

 

« Cette action peut être exercée en vue soit de la cessation du manquement mentionné au deuxième alinéa, soit de l’engagement de la responsabilité de la personne ayant causé le dommage afin d’obtenir la réparation des préjudices matériels et moraux subis, soit de ces deux fins. » ;

 

2° Le IV est complété par un alinéa ainsi rédigé :

 

« Lorsque l’action tend à la réparation des préjudices subis, elle s’exerce dans le cadre de la procédure individuelle de réparation définie au chapitre Ier du titre V de la loi n° 2016‑1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle. »

 

Cette nouvelle disposition va donc plus loin, et permet non seulement la cession du manquement mais également la possibilité de demander une répartition des préjudices matériels et moraux subis (v. l’article 82 du RGPD « droit à la réparation et responsabilité »).

 

C’est un avertissement envoyé aux acteurs du web qui devront désormais prendre les mesures nécessaires afin de respecter la législation sur les données personnelles.

 

Les discussions législatives vont se poursuivre en mars prochain au Sénat. A suivre donc en particulier sur ce point.

4. Un personne suspectée d’avoir commis une infraction doit-elle fournir sa clé de déchiffrement ? Le Conseil constitutionnel va trancher

 

Le 10 janvier dernier [10], la Cour de cassation a posé une question prioritaire de constitutionnalité au Conseil constitutionnel à  ce sujet.

 

Les faits de l’espèce concernaient les dispositions de l’article 434-15-2 du code pénal qui dispose que : « Est puni de trois ans d'emprisonnement et de 270 000 € d'amende le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d'un moyen de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en œuvre, sur les réquisitions de ces autorités délivrées en application des titres II et III du livre Ier du code de procédure pénale.

 

Si le refus est opposé alors que la remise ou la mise en œuvre de la convention aurait permis d'éviter la commission d'un crime ou d'un délit ou d'en limiter les effets, la peine est portée à cinq ans d'emprisonnement et à 450 000 € d'amende. »

 

Ainsi, une personne suspectée dans le cadre d’une procédure pénale, serait tenue, en vertu de ce texte, sous peine de sanctions, de transmettre aux enquêtes la convention secrète de déchiffrement (les clefs de chiffrement étant utilisées pour protéger des communications privées, que ce soit pour protéger des mails, des échanges par SMS, des échanges sur des réseaux sociaux, etc).

 

La question posée au Conseil constitutionnel est la suivante : les dispositions de l’article 434-15-2 du code pénal « sont-elles contraires au principe du droit au procès équitable prévu par l’article 16 de la Déclaration des Droits de l’homme et du Citoyen du 26 août 1789, au principe de la présomption d’innocence, duquel découle droit de ne pas s’auto-incriminer et le droit de se taire, prévu à l’article 9 de la Déclaration des Droits de l’Homme et du Citoyen du 26 août 1789 ?"

 

Nous reviendrons plus tard sur cette affaire et ses conséquences.

 

 

 

Références

 

[1] Page 10 de la Proposition du Parlement européen et du Conseil sur la réforme e-privacy

http://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:52017PC0010&from=EN

[2] http://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:52017PC0010&from=EN

[3] Page 5 de la Proposition du Parlement européen et du Conseil sur la réforme e-privacy

http://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:52017PC0010&from=EN

[4] Voir le Considérant 23 et article 8 de la Proposition du Parlement européen et du Conseil sur la réforme e-privacy

[5]http://www.ccbe.eu/fileadmin/speciality_distribution/public/documents/Pressreleases/2018/FR_SVL_20180125_PR_0418.pdf

[6] https://www.supremecourt.gov/DocketPDF/17/17-2/23655/20171213123137791_17-2%20ac%20European%20Commission%20for%20filing.pdf

[7] https://www.supremecourt.gov/DocketPDF/17/17-2/28246/20180118123639107_17-2%20Council%20of%20Bars%20and%20Law%20Societies%20Amicus%20Brief.pdf

[8] https://www.supremecourt.gov/DocketPDF/17/17-2/23655/20171213123137791_17-2%20ac%20European%20Commission%20for%20filing.pdf

[9] https://www.cottineau.net/wp-content/uploads/2016/02/facebook-jugement-cour-appel-paris-12-fevrier-2016.pdf

[10] https://www.courdecassation.fr/jurisprudence_2/qpc_3396/3478_10_38354.html

 

PROTECTION DES DONNEES PERSONNELLES: QUE RETENIR DE 2017?

L’année 2017 a été marquée par une actualité fournie en matière de protection des données personnelles. Nous vous présentons une sélection de ces différents événements marquants, notamment en matière de sécurité des données (1), les décisions à signaler de la Commission européenne et de la CNIL (2) ainsi que les dossiers en cours devant la Cour de justice de l’Union européenne (3).  

I. Les atteintes à la sécurité des données

 

1/ Ransomwares

 

Les rançon-logiciels, (traduits de l’anglais : ransomwares) ont été au cœur de l’actualité en 2017 et parmi eux : Wannacry, Petya, NotPetya. Ceux-ci ont considérablement affecté les administrations, les hôpitaux [1], les entreprises [2], et les particuliers. Ces virus se sont transformés en véritables outils de prise d’otage numérique. Dernièrement, lors du Forum International de la Cybersécurité qui s’est déroulé à Lille, le 23 et 24 janvier 2018, le ministre de l'Intérieur Gérard Collomb a annoncé un plan de lutte contre les cyber-menaces avec la création de 800 postes consacrés à cette priorité : « Que l’on pense par exemple à Wannacry, cette cyberattaque mondiale ayant touché en mai dernier des institutions et des entreprises de 150 pays, parmi lesquels de grands constructeurs automobiles, des opérateurs téléphoniques, mais aussi des hôpitaux. Durant plusieurs heures, des usines ont été paralysées. Le préjudice subi s’évalue en centaines de millions de dollars. »

 

Toutefois, pour l’instant en France, en dépit de l’existence de dispositions pénales avec les articles 323-1 et 323-2 du Code Pénal (atteinte aux systèmes d’informations), les sanctions restent encore très faibles.  La vigilance reste cependant essentielle dans ce domaine, au vu notamment de l’attention portée par la CNIL au niveau de sécurité apporté pour protéger les traitements de données personnelles.

 

2/ Failles de sécurité

 

Equifax est un fournisseur de données financières (notamment pour la solvabilité et les capacités de remboursement des personnes) qui a subi une faille de sécurité très importante au cours de l’année passée au cours de laquelle des pirates informatiques ont eu accès aux informations personnelles de plus de 140 millions d'Américains. Ainsi plusieurs centaines de millions d’américains ont été touchés par ce vol d’identité numérique qui concernait des données telles que le nom, prénom, numéro de carte de crédit, numéro de sécurité sociale...

 

Uber, a aussi annoncé par le biais de son nouveau directeur général, Dara Khosrowshahi dans un communiqué de novembre dernier le vol de données de 57 millions d’utilisateurs.

 

Ces deux affaires ont provoqué des réactions fortes, notamment au vu du manque de clarté et de transparence supposé de ces entreprises, bien au-delà des failles de sécurité.

 

Or il faut souligner dans ce domaine que le nouvel article 33 du RGPD vient opérer un changement en matière de violation de données personnelles. En effet, cette disposition oblige les opérateurs à notifier une violation de données à caractère personnel. « En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l'autorité de contrôle compétente conformément à l'article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l'autorité de contrôle n'a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard ».

 

Cela signifie qu’à partir de mai 2018, les mesures prises par les entreprises, en réaction à une faille de sécurité seront scrutées à la loupe par les autorités de contrôle. Et les éventuelles mesures correctives -prises ou non – seront aussi analysées dans le cas de sanctions.

 

II. Les sanctions prises par la Commission européenne et la CNIL

 

Facebook et Google ont été condamnées par la Commission européenne sur le terrain du droit de la concurrence, droit qui ne paraît aujourd’hui ne plus pouvoir ignorer les enjeux liés aux données personnelles.

 

Le rachat de Whatsapp par Facebook : analyse au regard du droit de la concurrence et de la violation de l’obligation d’information :

 

Ce rachat de Whatsapp par Facebook a donné lieu à deux décisions, la première de la Commission européenne (1), la seconde, de la CNIL (2).

 

1/ La sanction par la Commission européenne du 16 mai 2016 pour fourniture d’informations dénaturées

 

La sanction par la Commission européenne [3] de Facebook repose sur plusieurs aspects.

 

En effet était en cause la possibilité d’interconnexion des utilisateurs de l’application Whatsapp et ceux de Facebook. « La Commission a constaté que, contrairement à ce qu'avait déclaré Facebook en 2014 dans le cadre de la procédure de contrôle des concentrations, la possibilité technique de mettre en correspondance les identités des utilisateurs de Facebook et de WhatsApp existait déjà cette année-là et que les employés de Facebook étaient au courant de cette possibilité ».

 

La Commission a évalué les risques pour la concurrence, au regard du Règlement européen sur le contrôle des concentrations n° 139/2004 du Conseil du 20 janvier 2004, dans l’hypothèse d’une absence d’interconnexion entre les deux services. Or, la Commission a relevé que « la possibilité technique de mettre en correspondance les identités des utilisateurs de Facebook et de WhatsApp existait déjà cette année-là et que les employés de Facebook étaient au courant de cette possibilité ». Et elle a de fait prononcé cette sanction.

 

Dans le cadre de cette sanction a aussi été évoquée en filigrane les enjeux de la constitution de bases de données personnelles particulièrement importantes et leurs effets sur la concurrence.

 

2/ Sanction de la CNIL à l’égard de Facebook pour manquements à la loi informatique et libertés

 

La formation restreinte de la CNIL a également prononcé, le 27 avril 2016, une sanction de 150.000 €, rendue publique, à l’encontre des sociétés Facebook INC et Facebook Ireland. Cette dernière a été prononcée en raison de nombreux manquements à la loi Informatique et Libertés et notamment sur des points importants concernant le consentement des personnes concernées et la collecte loyale des données personnelles (notamment en raison de l’utilisation du cookie DATR qui recueillaient également des informations sur les personnes non inscrites sur Facebook), le manquement au recueil du consentement des personnes concernées.

 

3/ Google : Sanction de la Commission européenne pour abus de position dominante

 

La Commission a également infligé à Google une amende de 2,42 milliards d’euros le 27 juin dernier pour abus de position dominante sur le marché des moteurs de recherche et pour avoir favorisé son propre service de comparaison de prix (4). Google aurait ainsi abusé de sa position dominante sur ce marché un conférant à son service de comparaison des prix un avantage illégal.

 

III. En cours: les affaires pendantes devant la Cour de justice de l’Union européenne

 

1/ Le droit à l’oubli :

 

Le droit à l’oubli numérique a été consacré de manière jurisprudentielle par la célèbre décision Google Spain du 13 mai 2014. Toutefois, la possibilité de retirer un contenu sur Internet existait déjà sous la LIL, par le mécanisme des articles 38 (droit d’opposition) et 40 (droit de suppression). Néanmoins, depuis sa consécration jurisprudentielle, de nombreuses questions pratiques persistent et ce droit se heurte à différents intérêts en présence et notamment : droit du public à l’information, liberté d’expression, sécurité juridique.... La Cour de justice, a également rappelé, à l’occasion d’une décision, CJUE, Cammera di Commercio c. M. Manni, du 9 mars 2017, que le droit à l’oubli n’était pas absolu et qu’il devait être mis en balance avec le principe de sécurité juridique des tiers.

 

Le Conseil d’État a, par ailleurs et à deux reprises, posé des questions préjudicielles à la Cour de justice de l’Union européenne qui restent pendantes :

 

  • D’une part, une première question préjudicielle du Conseil d’État du 24 février 2017, dans des affaires jointes n°391000, 393769, 399999, 401258, qui concernaient des données sensibles. Très brièvement, la première concernait un photomontage satirique mettant en scène la directrice du cabinet d’un maire, la deuxième un ancien responsable de l’église de Scientologie, la troisième une mise en examen qui concernait des hommes politiques et enfin la quatrième affaire pour des faits de pédophilie. La question concernait les obligations du moteur de recherche en cas de demande de déréférencement d’un tel contenu.

 

  • D’autre part, une seconde question préjudicielle du Conseil d’État du 19 juillet 2017, sur la portée territoriale des injonctions de déréférencement à l’encontre du moteur de recherche. La question concernait le champ d’application du déférencement au sujet duquel la CNIL a adopté une position claire dans son communiqué du 12 janvier 2017 : un déréférencement mondial. [5].

 

2/ M. Schrems

 

Maximilien Schrems est un étudiant autrichien qui s’est fait connaître par la célèbre affaire qui a mené à l’invalidation du « Safe Habor » concernant le transfert aux USA de certaines données personnelles et à son remplacement par le Privacy Shield. (CJUE, 6 octobre 2015) [6]

 

Courant 2017, ont été posées deux questions préjudicielles à la Cour de justice de l’Union européenne :

 

  • D’une part, une première question préjudicielle, concernait la qualité de « consommateur » de M. Schrems, individuellement, et ce, lorsque ce dernier est cessionnaire des actions de groupes d’autres consommateurs. Posée le 19 septembre 2016 [7] à la Cour de justice de l’Union européenne, cette dernière a statué le 25 janvier 2018.

 

La position retenue par la CJUE était intéressante à un double égard pour déterminer d’une part, si un «consommateur» perd cette qualité lorsque après avoir utilisé pendant relativement longtemps un compte Facebook privé, « pour faire valoir ses droits, il publie des livres, et donne parfois également des conférences rémunérées, exploite des sites Internet, collecte des dons afin de faire valoir les droits et se fait céder les droits de nombreux consommateurs en contrepartie de l’assurance de leur remettre le montant obtenu, après déduction des frais de justice, au cas où il obtiendrait gain de cause» et d’autre part si ce consommateur peut se prévaloir du tribunal du lieu de son domicile quand il devient cessionnaire des droits des autres consommateurs.

 

Ces questions étaient importantes au regard du droit international privé. En effet, l’article 18 du Règlement Bruxelles I bis pose une exception au principe selon lequel, la juridiction compétente est celle du tribunal du défendeur -afin de faciliter les démarches du consommateur- et permet à ce dernier de saisir le tribunal de son propre domicile. La Cour de justice, dans sa décision du 25 janvier 2018 dernier a indiqué que M. Max Schrems conservait sa qualité de consommateur et que peu importait son activité postérieure, qu’il pouvait ainsi engager une action contre Facebook Ireland en Autriche. En revanche, la CJUE a souligné qu’en tant que cessionnaire des droits des autres consommateurs, M. SCHREMS ne pouvait bénéficier de l’exception issue de l’article 18 du Règlement Bruxelles I bis et saisir le tribunal de son propre domicile aux fins d’une action collective.

 

Cette position est en lien direct avec l’actualité puisque a été adopté par l’Assemblée nationale, le 8 février dernier, un amendement pour une action de groupe collective en matière de données personnelles. [8]

 

  • D’autre part, une seconde question préjudicielle posée par la Haute Cour d’Irlande, [9] à propos d’une autre action Max Schrems concernait les clauses contractuelles types de Facebook.

 

Dans cette affaire, il était question de la validité des clauses contractuelles types de Facebook. Pour rappel, il existe un principe d’interdiction de transferts des données personnelles vers des pays tiers à l’Union européenne [10]. Ces transferts, sont toutefois autorisés, dans certains cas :

  • Le pays bénéficie d’une décision d’adéquation [11]

  • Un transfert fondé sur des garanties appropriées [12]

  • Ou encore, sur le fondement de règles d’entreprises contraignantes [13]

 

Etait ici en cause le mécanisme des clauses contractuelles mises en place par Facebook, qui selon M. Schrems ne garantissaient pas une protection suffisante, notamment en raison des programmes de surveillances américains. En effet, dans la décision rendue le 3 octobre 2017 par la Haute Cour Irlandaise [14], les autorités gouvernementales américaines, auraient, selon Max Schrems, un accès aux données personnelles d’européens du fait du programme PRISM.

 

 

En conclusion, il est notable que les questions relatives aux données personnelles ont occupé une part importante de l’actualité en 2017. Le RGPD, sujet inscrit à l'agenda des entreprises témoigne de la préoccupation grandissante pour ces aspects tandis que la CNIL, par son action de plus en plus visible incite également les personnes à se préoccuper de leurs données personnelles. Cet « empowerment » des individus sur le contrôle de leurs données est désormais consacré à l’article 1 de la LIL du fait des dispositions de la loi pour une République Numérique (« toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant »). Ce principe d’autodétermination informationnelle est ainsi la clef de voûte de la protection des données à caractère personnel avant même de finaliser l'adaptation du RGPD.

 

Dossier majeur de 2017, la protection des données personnelles devrait ainsi connaître une nouvelle actualité nourrie dans les mois à venir. Notre prochain article évoquera les décisions et événements attendus en 2018.

 

 

 

REFERENCES

 

[1] http://www.zdnet.fr/actualites/ransomware-le-nettoyage-se-poursuit-apres-le-chaos-wannacry-39852650.htm

 

[2] http://www.zdnet.fr/actualites/ransomware-petya-un-colis-a-300-millions-de-dollars-pour-maersk-39856172.htm

 

[3] Délibération n°SAN – 2017-006 du 27 avril 2017 - Délibération de la formation restreinte SAN –

2017-006 du 27 Avril 2017 prononçant une sanction pécuniaire à l'encontre des sociétés FACEBOOK INC. et FACEBOOK IRELAND

 

[4] http://europa.eu/rapid/press-release_IP-17-1784_fr.htm

 

[5] https://www.cnil.fr/fr/pour-un-droit-au-dereferencement-mondial

 

[6] CJUE, 6 octobre 2015, C-362/14

 

[7] Affaire C-498/16: Demande de décision préjudicielle présentée par l’Oberster Gerichtshof (Autriche) le 19 septembre 2016 — Maximilian Schrems/Facebook Ireland Limited

 

[8] L’article 43 ter de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifié :

1° Le III est remplacé par un alinéa ainsi rédigé :

« Cette action peut être exercée en vue soit de la cessation du manquement mentionné au deuxième alinéa, soit de l’engagement de la responsabilité de la personne ayant causé le dommage afin d’obtenir la réparation des préjudices matériels et moraux subis, soit de ces deux fins. » ;

2° Le IV est complété par un alinéa ainsi rédigé :

« Lorsque l’action tend à la réparation des préjudices subis, elle s’exerce dans le cadre de la procédure individuelle de réparation définie au chapitre Ier du titre V de la loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle. »

 

[9] The High Court Commercial [2016 No. 4809 P.] Between The Data Protection Commissioner Plaintiff And Facebook Ireland limited and Maximillian Schrems Defendants http://www.courts.ie/Judgments.nsf/09859e7a3f34669680256ef3004a27de/8131a5dde8baf9ff802581b70035c4ff?OpenDocument

 

[10] Article 44 du RGPD

 

[11] Article 45 du RGPD

 

[12] Article 46 du RGPD

 

[13] Article 47 du RGPD

 

[14] He states that there is clear evidence that leads him to believe that his personal data controlled by Facebook and processed by Facebook Inc. is at the very least “made available” to US government authorities under various known and unknown legal provisions and spy programmes such as the “PRISM” programme (which I explain more fully below). He also believes that there is a likelihood that his personal data has, in addition, been accessed under these provisions as he was prevented from boarding a transatlantic flight on the 16th of March, 2012, to the United States for reasons of “national security”. (page 35).

DATA: Proposition pour un marché européen de la donnée

DATA: La Commission européenne a déposé une proposition de règlement ( http://ec.europa.eu/transparency/regdoc/rep/1/2017/EN/COM-2017-495-F1-EN-MAIN-PART-1.PDF ) visant à mettre en oeuvre un marché unique de la donnée. Parallèlement aux règles déjà en vigueur pour les données à caractère personnel, ces futures dispositions devraient permettre le stockage et le traitement des données à caractère non personnel dans l'ensemble de l'Union de manière à stimuler la compétitivité des entreprises européennes et à moderniser les services publics dans un véritable marché unique européen des services de données. Ce règlement devrait ainsi permettre l'émergence d'un marché unique européen des services de données et favoriser la croissance des entreprises innovantes dont l'importance avait été soulignée par le Conseil Européen de décembre 2016. Libre circulation de la data

Ce futur cadre prévoit un principe de libre circulation des données à caractère non personnel dans l'Union européenne, un principe de disponibilité des données à des fins de contrôle réglementaire et l'élaboration de codes de conduite de l'Union européenne. Ces mesures devraient, pour la Commission européenne (http://europa.eu/rapid/press-release_IP-17-3190_fr.htm) consolider le marché européen du stockage et du traitement de données, en facilitant notamment le recours aux services en cloud.

Data et données personnelles

A noter: ces mesures compléteront les dispositions applicables à la protection des données personnelles pour aboutir à terme à un corps de règles européennes des données, étape-clé dans la stratégie de l'UE pour un marché unique numérique. Parallèlement à ces travaux la Commission a lancé une consultation publique sur la ré-utilisation des données publiques, prélude à une révision du texte.

Internet of Things and privacy: which European Union regulatory guidance?

Smart home, connected car, smart city, e-health ... the scope of the Internet of Things (IoT) is increasingly growing and could lead to a so-called “third internet” revolution, partly linked to the increasing volume of data uploaded. By 2020, the number of connected objects is an estimated between 20 and 50 billion, with an impact on the world economy between 2,000 and 5,000 billion per year. The spread of the Internet of Things today raises many technical issues (5G initiatives in Europe and the United States, network management costs, implementation of complex value chains) and many challenges in terms of protection of privacy, confidentiality, cyber security or regarding to the supervision of the generated and collected personal data.

While these technologies operate without boundaries and are designed mostly with global ambition, their deployment can not ignore the requirements of the European Union with regard to the right to the protection of personal data, right enshrined in Article 16 of the Treaty on the functioning of the European Union (TFEU) and the Charter of fundamental rights.

There is currently no specific legislation applicable to IoT at European level but its fundamentals and principles are being subject to thorough discussion in Brussels. And the adoption of the "data protection" package could give new impetus to these debates.

Indeed, the future of the Internet of Things - with the exponential growth of the mass of data generated, collected, stored and possibly processed or transferred - is an issue that the EU can’t ignore. First to achieve the development of this sector (in terms of safety or reliability) but also to provide it with strong guarantees.

Are the provisions of a specific framework necessary to the IoT or could the existing rules be sufficient?

If there is no consensus regarding the added value that a specific European legislation may bring, there is a discussion committed to the framework or principles that should regulate the IoT.

Thus, a first contribution was made by the Article 29 Group (established by Directive 95/46 and said WP29). The WP29 issued an opinion in September 2014 on the Internet of Things, to contribute to a uniform application of existing EU framework with practical recommendations.

The WP29 has immediately pointed out that uncontrolled developments of the Internet of Things could lead to illegal forms of surveillance contrary to the European Union law. The WP identified six types of risk:

- Lack of control and information asymmetry flows;

- Quality of the user’s consent;

- The potential uses of the "raw data” transmitted and their use for purposes unrelated to their original collection (secondary uses);

- Risk profiling and privacy monitoring with the proliferation of sensors;

- Limitations on the possibility to remain anonymous when using services;

- Security with the need to ensure at all steps of the development of these tools, confidentiality, integrity and maximum safety criteria;

The WP29 also underlined the obligations of stakeholders of the Internet of Things, in the legal framework provided for by Directive 95/46 and Directive 2002/58 ("e-privacy") when applicable, namely: conditions of consent, legal basis of data processing, fair and proportionate collection of data, specific processing for sensitive data, requirements for transparency and security of processing. For example, the WP29 recalled the requirement for explicit consent regarding sensitive data and especially health data.

In its provisional findings, the WP29 requested:

- The systematic use of impact assessments;

- The deletion of unused collected data;

- The possibility for "users" to control their data and the use made of it (beyond the information that must be given to them);

- The limitation of the possibilities to locate or identify an individual continuously.

Secondly, the European Parliament issued a working document in September 2015[1], during the negotiation of the “data protection package”. The document dedicated to Big Data  had quite an offensive stance by recalling that the regulation of “IoT” should respect the fundamental right to personal data protection guaranteed by the Charter of fundamental rights.

It also included the conclusions of the WP29 Opinion to strengthen the effective control of users over their personal data, improve the quality of consent when collecting data and ensure a high level of protection of personal data when data are transferred to third parties outside the European Union –which is a constant concern of the European Parliament.

Lastly, the adoption of the "data protection" package (regulation plus directive) on April 2016 led to a new framework for the Internet of Things.

Even though it does not include specific provisions in this field, the regulation contains some recommendations of the G29, notably enshrining the principles of privacy-by-design (protection of privacy by design of the object) and privacy -by-default (protection of privacy by default), providing a toolbox for compliance or increasing the level of sanctions (eg in the situation of security breaches). The new provisions strengthening privacy (right to forget or to data portability) are also heading in the direction of greater information towards users from digital companies.

The regulation which will be applicable by May 2018, will be one of the regulatory basis of the Internet of Things and will provide a legal ground for any future consideration of more specific provisions.

The major players of the “IoT” will also be interested in by the revision of the e-privacy Directive.

The European Commission has launched a public consultation on the text until the 5th of July, with three issues:

- how to ensure consistency between this directive and the data protection package (eg on reporting data breaches)?

- Should the rules of the E-privacy Directive be modified, regarding new technological innovations and new players emerging in the field of electronic communications?

- How to strengthen the security and confidentiality of communications across the European Union?

Although the Commission has not yet reported on the provisions of the directive worth to be re-considered, the challenge is considerable for operators and players in the telecommunications sector since the revised directive will be -with the "data protection" regulation- a new regulatory scheme to the “IoT” field.

When these legislative projects will be passed, what shall be the added value of any new European legislation? And why should the European Commission propose one?

The European Commission has already raised some concerns[2] and reported problems such as fragmentation between national industrial policies, lack of interoperability standards or legal uncertainty of the transfers of datas outside the European Union.

The Commission knows it will be hard to advocate for specific legislation in the field of IoT. This is also the position of a majority of players in the sector including the AIOTI (Internet of Things Alliance for Innovation) who fear a regulation that would not be "technology neutral" and would freeze the extremely rapid evolution of this sector. This was often often said during the negotiation of the "data protection package".

 

[1] http://www.europarl.europa.eu/RegData/etudes/STUD/2015/536455/IPOL_STU(2015)536455_EN.pdf

[2]  Working document – Advancing the Internet of Things in Europe. 19 avril 2016 SWD(2016)110/2

L’Union européenne doit-elle réglementer l’Internet des objets ?

Maison intelligente, voiture connectée, smart city, e-santé… les domaines d’application de l’internet des objets (IoT) ne cessent de croître et constituent selon certains une troisième révolution de l’internet[1] en partie liée à l’accroissement du volume de données mises en ligne. A l’horizon 2020, le nombre d’objets connectés est estimé entre 20 et 50 milliards, avec un impact sur l’économie mondiale compris entre 2.000 et 5.000 milliards d’euros par an. Le déploiement de l’internet des objets soulève aujourd’hui de nombreuses questions techniques (initiatives 5G en Europe et aux Etats-Unis, coûts de gestion des réseaux, mise en place de chaînes de valeurs complexes). Il suscite aussi de nombreux défis en terme de protection de la vie privée, de confidentialité, de cyber-sécurité ou encore d’encadrement des données personnelles générées et collectées.

Alors que ces technologies ne connaissent pas de frontière et sont conçues le plus souvent avec une ambition globale, leur déploiement ne peut ignorer les exigences de l’Union européenne au regard du droit à la protection des données personnelles, droit consacré par l’article 16 du traité sur le fonctionnement de l’Union européenne (TFUE) et par la charte des droits fondamentaux.

Si l’IoT ne connaît pas encore de dispositif législatif spécifique à l’échelle de l’Europe, une réflexion s’est engagée en son sein depuis plusieurs années quant aux fondamentaux et aux principes qui pourraient être dégagés. Et l’adoption du paquet « protection des données » pourrait donner un nouvel élan à ces débats.

En effet, l’avenir de l’Internet des Objets et la croissance exponentielle de la masse des données générées, collectées, stockées et éventuellement traitées ou transférées constitue un sujet que l’Union européenne ne peut laisser de côté.

D’abord pour garantir le développement de ce secteur (en termes de sécurité ou de fiabilité) mais aussi pour lui apporter des garanties fortes.

Faut-il pour autant un cadre spécifique ou les règles existantes sont-elles suffisantes ?

S’il n’y a pas de consensus quant à la plus-value qu’apporterait une législation européenne spécifique, la réflexion est néanmoins engagée quant au cadre ou aux principes qui devraient tout de même encadrer l’IoT.

Ainsi, une première contribution a été apportée par le groupe article 29 (institué par la directive 95/46 et dit G29). Ce dernier a adopté en septembre 2014 un avis[2] sur l’internet des objets, pour contribuer à une application uniforme du cadre européen existant, assorti de recommandations pratiques ciblées selon les différents acteurs.

Le G29 a d’emblée pointé que des développements incontrôlés de l’internet des objets pourraient conduire à des formes de surveillance illégales contraires au droit de l’Union européenne. Il a identifié 6 types de risques posés par ces objets :

  • le manque de contrôle comme le caractère asymétrique des flux d’informations ;

  • la qualité du consentement par l’usager ;

  • les usages potentiels des données « brutes » transmises et leur utilisation à des fins sans lien avec leur collecte originelle ;

  • les risques de profilage et de surveillance de la vie privée avec la multiplication des capteurs ;

  • les limitations à la possibilité de demeurer anonyme lors de l’utilisation de certains services ;

  • la sécurité, avec la nécessité de veiller à toutes les étapes du développement de ces outils à des critères de confidentialité, d’intégrité et de sécurité maximales

Le G29 soulignait aussi les obligations pesant sur les parties prenantes de l’Internet des objets, dans les cadres prévus par la directive 95/46 et la directive 2002/58 (« e-privacy ») lorsqu’elles trouvent à s’appliquer, à savoir : conditions du consentement, base légale du traitement de données, collecte loyale et proportionnée des données, traitement spécifique des données sensibles, exigences en terme de transparence et sécurité des traitements. A titre d’exemple, le G29 rappelait l’exigence d’un consentement explicite pour les données sensibles et plus particulièrement les données de santé.

Dans ses conclusions provisoires, le G29 a demandé :

  • le recours systématique à des études d’impact ;

  • la suppression des données non utilisées et collectées ;

  • la possibilité pour les « utilisateurs » de contrôler leurs données et l’usage qui en est fait (au-delà de l’information qui doit leur être apportée) ;

  • la limitation des possibilités de localiser ou d’identifier en continu une personne.

En second lieu, un document de travail du Parlement européen[3] de septembre 2015 consacré au Big Data et intervenu pendant la  négociation du paquet « protection des données » a fait état d’une position plus offensive, en rappelant d’abord que la règlementation de l’IoT devait respecter le droit fondamental à la protection des données personnelles garanti par la Charte des droits fondamentaux.

Cette étude a repris les exigences formulées par le G29 afin de renforcer le contrôle effectif des usagers sur leurs données personnelles, d’améliorer la qualité du consentement lors du recueil des données et de garantir un niveau élevé de protection de ces données lors de transferts à des tiers ou hors de l’Union européenne, sujet récurrent de préoccupation pour le Parlement européen.

Enfin, le règlement « protection des données » adopté le 14 avril 2016 a créé un nouveau cadre pour l’internet des objets.

Alors même qu’il ne comprend pas de dispositions spécifiques à ce domaine, le règlement reprend certaines préconisations du G29, notamment en consacrant les principes de privacy-by-design (protection de la vie privée dès la conception de l’objet) et privacy-by-default (protection de la vie privée par défaut), en apportant une boite à outils en matière de conformité ou en renforçant le niveau des sanctions (par exemple dans le cas des failles de sécurité). Les nouvelles dispositions renforçant la vie privée (droit à l’oubli ou à la portabilité des données) vont également dans le sens d’une plus grande information des usagers vis-à-vis des acteurs du numérique.

Ce règlement qui sera applicable en avril 2018 constituera l’une des bases de la règlementation de l’internet des objets et fournira la base de toute réflexion future sur des dispositions plus spécifiques.

Le chantier de la révision de la directive vie privée intéressera aussi les acteurs de l’IoT.

La Commission européenne a ouvert une consultation publique sur ce texte jusqu’au 5 juillet prochain, avec trois objectifs :

  • assurer la cohérence entre cette directive et le paquet protection des données (par exemple sur la notification des failles de sécurité) ;

  • modifier le cas échéant les règles de la directive au vu des innovations technologiques et des nouveaux acteurs émergeant dans le domaine des communications électroniques ;

  • renforcer la sécurité et la confidentialité des communications à travers l’Union européenne.

Même si la Commission n’a pas encore communiqué sur les dispositions du texte qu’elle souhaite réviser, cette consultation est importante et l’enjeu est de taille pour les opérateurs et les acteurs du secteur des télécommunications puisque le futur texte constituera avec le règlement « protection des données » un socle règlementaire révisé pour l’internet des objets.

Lorsque ces chantiers législatifs seront terminés, quels pourront être les arguments de la Commission européenne pour proposer une –éventuelle- législation spécifique ?

Cette dernière a déjà évoqué quelques préoccupations et signalé des difficultés comme la fragmentation entre les politiques industrielles nationales, le risque de moindre inter-opérabilité des standards[4] ou encore l’insécurité juridique des transferts hors Union Européenne des données personnelles collectées dans le cadre de l’IoT.

La Commission sait qu’il sera difficile de militer en faveur d’une législation spécifique à l’internet des objets. C’est en effet la position d’une majorité d’acteurs du secteur et notamment de l’AIOTI (Alliance for Internet of Things Innovation[5]) qui redoutent une règlementation qui ne serait pas « technologiquement neutre » et qui figerait l’évolution extrêmement rapide de ce secteur, argument largement recevable et qui avait été souvent repris lors de la négociation du « paquet protection des données ».

Le message de la Commission européenne est néanmoins clair, selon nous. Aujourd’hui c’est aux opérateurs de renforcer la sécurité de l’IoT de façon générale. En l’absence d’initiatives concrètes et effectives, notamment dans le domaine de la protection des données personnelles, elle interviendra pour fixer les règles du jeu, au besoin en s’appuyant sur le Parlement européen.

 

[1] L’internet des objets (page 156) in La protection des données personnelles. Guillaume Desgens-Pasanau. Lexis Nexis, décembre 2015

[2] Avis du groupe de l’article 29 numéro 8/2014 sur les récents développements de l’internet des objets. 16 septembre 2014.

[3] http://www.europarl.europa.eu/RegData/etudes/STUD/2015/536455/IPOL_STU(2015)536455_EN.pdf

[4] Document de travail de la Commission européenne – Advancing the Internet of Things in Europe. 19 avril 2016 SWD(2016)110/2

[5] Rapport de l’AIOTI – WG Policy du 15 octobre 2015

RGPD : Publication par Jérôme Deroulez dans le Village de la Justice au sujet de la protection des données personnelles

RGPD et protection des données personnelles: vers de nouvelles règles européennes ( https://www.village-justice.com/articles/protection-des-donnees,21234.html )  

Le « paquet protection des données » doit être formellement adopté au printemps 2016, suite à l’accord intervenu entre le Parlement européen et le Conseil de l’Union européenne en décembre dernier, pour une entrée en application dans un délai de deux ans.

 

Bref rappel chronologique sur le RGPD  :

 

Ce « paquet protection des données » (règlement et directive) avait été proposé par la Commission européenne le 25 janvier 2012, afin de remplacer et de moderniser la directive 95/46 et la décision-cadre de 2008, sur la protection des données personnelles.

Le processus de négociation du RGPD depuis 2012 a été particulièrement complexe du fait des mutations intervenues depuis 1995 dans le domaine numérique et de leurs conséquences pratiques sur la protection des données (essor des usages liées à Internet, respect de la vie privée, propriété des données...).

Le nombre des acteurs potentiellement concernés par cette modernisation législative a également connu une croissance exponentielle, alors que la protection des données personnelles est devenu un enjeu de société très largement médiatisé (droit à l’oubli, surveillance de masse, big data, utilisation du cloud etc).

Du fait de ces éléments, le processus législatif de co-décision [1] entre Conseil, Parlement et Commission européenne a été le théâtre de divergences d’appréciation fortes entre institutions, voire en leur sein (entre Etats membres ou entre groupes politiques européens).

Le remplacement de la directive 95/46 par un règlement a aussi constitué un véritable enjeu puisque le futur texte sera un acte normatif à portée générale et contraignant pour les institutions, les Etats membres et les particuliers, sans transposition nationale.

En tout état de cause, l’accord intervenu entre le Parlement européen et le Conseil, marque une étape supplémentaire dans la construction du droit effectif à la protection des données personnelles au sein de l’Union européenne :

  • Il intervient en effet après deux arrêts marquants de la Cour de Justice de l’Union européenne en 2014 et 2015 [2] qui ont consacré ce droit et rappelé au législateur européen la nécessité de prévoir des garanties effectives et concrètes ;

  • Ce paquet législatif apporte aussi une nouvelle traduction du droit à la protection des données personnelles prévu par le traité sur le fonctionnement de l’Union européenne (article 16 TFUE) [3], droit fondamental garanti par la Charte des droits fondamentaux [4].

Quelles premières conclusions retirer du règlement (RGPD) ?

La portée du règlement doit s’apprécier au regard des objectifs initiaux de la Commission européenne (1/ renforcement du niveau de protection des données personnelles, 2/ facilitation des flux de données au sein du marché intérieur et 3/ réduction des charges administratives).

Après 10 trilogues, le futur règlement apparaît évidemment comme un texte capital (plus de 200 pages, 91 articles, au moins une centaine de considérants) qui imposera une remise à niveau importante, tant pour les opérateurs privés que les autorités publiques.

Le G29 [5] qui regroupe les autorités de contrôle nationales comme la CNIL a déjà fait part de sa disponibilité quant aux travaux à conduire pour mener à bien ce processus.

 

1/ S’agissant du renforcement du niveau de protection des données personnelles, le RGPD affirme ses ambitions avec entre autres :

 

  • Un champ d’application matériel et géographique du règlement ambitieux qui opère une refonte des articles 3 et 4 de la directive 95/46 (et revoit notamment des règles de détermination du droit applicable) ;

  • Le renforcement des conditions du consentement (article 7) et en particulier du consentement parental ;

  • La consécration du droit à l’oubli (article 17), mesure phare pour la Commission lorsqu’elle avait décliné sa proposition et du droit à la portabilité des données (article 18) ;

  • L’encadrement du profilage (article 20) ;

  • La mise en œuvre d’un mécanisme élargi de notification des failles de sécurité (articles 31 et suivants).

Ces dispositions sont-elles à la hauteur des ambitions ?

Elles marquent la volonté du Conseil comme du Parlement de créer des marqueurs tangibles et des nouveaux droits mais elles pourraient au final aboutir à une réalité plus contrastée au vu des nombreuses exceptions crées par le règlement ou reprises de la directive 95/46.

 

2/ Le règlement a aussi pour finalité de faciliter les flux de données au sein du marché intérieur :

 

La dimension « marché intérieur » de ce règlement a été régulièrement soulignée par la Commission, avec en filigrane la nécessité de créer un environnement législatif favorable aux futurs champions européens du numérique.

Plusieurs dispositions constituent des avancées :

  • Le remplacement de la directive 95/46 par un règlement devrait de façon générale favoriser la mise en œuvre de normes européennes uniformes, en l’absence de transpositions nationales (en dépit de certains renvois spécifiques aux Etats membres) ;

  • Le chapitre V - transferts de données personnelles vers des Etats tiers ou des organisations internationales (articles 40 et suivants) constitue une part essentielle de cet instrument et renforce les mécanismes existants et pour certains critiqués (décision d’adéquation, binding corporate rules) ;

  • Le nouveau « mécanisme de cohérence » (article 57) et les dispositions sur les autorités de contrôle (chapitre VI et VII) doivent structurer la coopération entre ces dernières et faciliter les flux de données au sein du marché intérieur ;

  • Le niveau des sanctions prévu aux articles 78 et suivants (jusque 4% du chiffre d’affaires annuel total mondial) est aussi de nature à renforcer la portée des nouvelles règles européennes et leur efficacité. Ces mécanismes de sanctions faisaient partie des éléments clés de la proposition de la Commission et constituent une véritable innovation. Ils rapprochent aussi cette matière du droit de la concurrence.

Ces règles du RGPD constituent pour certaines de véritables nouveautés, c’est le cas du très controversé mécanisme de cohérence, adopté dans une version dégradée par rapport à la proposition de la Commission. Son succès devra être analysé dans le temps, en fonction des objectifs affichés : il signe néanmoins une préférence pour ce type de mécanisme européen préféré à d’autres méthodes de rapprochement des législations jugées moins efficaces.

 

3/ Le RGPD doit aussi participer à la réduction des charges administratives.

 

Plusieurs mécanismes participent de cet objectif :

  • Renforcement des mécanismes de coopération entre autorités de contrôle et traitement des plaintes ;

  • Simplification générale des obligations pesant sur les entreprises ;

  • Dispenses spécifiques pour les PME de nombreuses tâches (notification préalable, établissement de certaines bases de données etc).

Il faut s’interroger cependant sur l’économie générale du règlement.

Le règlement crée en effet des obligations supplémentaires qui pourront s’apprécier comme des charges nouvelles dans le cadre d’une sorte de «  supervision permanente » (mise en œuvre des nouveaux droits dont le droit à l’oubli, études d’impact, documentation, nouvelles obligations mises à la charge des sous-traitants), qu’ils s’agissent des PME ou non. A noter par exemple, dans le cas du traitement de données sensibles, certaines exemptions prévues pour les PME ne trouveront pas à s’appliquer, faisant ainsi basculer l’opérateur concerné dans le régime général.

 

Ces remarques restent préliminaires et devront être complétées par une analyse exhaustive du RGPD, une fois sa version définitive consolidée, traduite dans les langues officielles de l’Union européenne et publiée au Journal Officiel de l’Union Européenne.

[1] Procédure de co-décision : Cette procédure prévue par l’article 294 TFUE consacre le Parlement européen et le Conseil de l’Union européenne comme co-législateurs et leur permet d’arrêter des actes conjointement avec le Conseil de l’Union européenne, sauf dans les cas prévus par les traités. C’est la procédure législative ordinaire prévue par le Traité de Lisbonne.

[2] Arrêt de la CJUE du 8 avril 2014, invalidant la directive 2006/24/CE sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications dans les affaires jointes C-293/12 et C-594/12 Digital Rights Ireland et Seitlinger e.a et arrêt de la CJUE du 6 octobre 2015, invalidant la décision de la Commission constatant que les Etats-Unis assurent un niveau de protection adéquat aux données à caractère personnel transférées (Safe Harbor) dans l’affaire C-362/14 Maximillian Schrems / Data Protection Commissioner.

[3] Article 16 TFUE : 1. Toute personne a droit à la protection des données à caractère personnel la concernant. 2. Le Parlement européen et le Conseil statuant conformément à la procédure législative ordinaire, fixent les règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union, ainsi que par les Etats-membres dans l’exercice d’activités qui relèvent du champ d’application du droit de l’Union, et à la libre circulation de ces données. Le respect de ces règles est soumis au contrôle d’autorités indépendantes. Les règles adoptées sur la base du présent article sont sans préjudice des règles spécifiques prévues à l’article 39 du traité sur l’Union européenne.

[4] Article 8 de la charte des droits fondamentaux de l’Union européenne – protection des données à caractère personnel : 1. Toute personne a droit à la protection des données à caractère personnel la concernant. […]