RGPD : Jérôme DEROULEZ a publié un article sur les responsabilités des maires dans la Gazette des communes d'avril 2018
Interview de Jérome Deroulez dans la Gazette des Communes
«Données personnelles : quelles responsabilités pour les maires ?»
Jérôme Deroulez est revenu sur les obligations qui pèseront sur le maire en matière de protection des données personnelles à compter du 25 mai prochain, date d'entrée en application du RGPD.
« Alors que le Règlement général sur la protection des données personnelles (RGPD) entre en application le 25 mai prochain, le sujet de la préparation des collectivités locales et des communes à ce nouveau dispositif a agité le Sénat lors des débats sur l’adaptation de la loi Informatique et Libertés la semaine dernière.
La rapporteure du texte, Sophie Joissains, a ainsi souligné que seule une minorité de collectivités territoriales était en conformité et signalé la difficulté au vu des enjeux suscités par le RGPD au niveau local.»
Retrouvez l'intégralité de cet article sur le site de la Gazette des communes.
RGPD: Quelle adaptation en droit français? (2)
Le 14 décembre dernier, nous avons rédigé un premier article sur l’adaptation en droit français du RGPD et les risques liés à un calendrier si contraint, risques également soulignés par la CNIL dans son avis de décembre 2017 (1). En effet, alors que l’adoption de ce règlement européen ouvrait une fenêtre de tir pour une refonte du cadre juridique actuel, seule une première révision limitée aura lieu avant de procéder par ordonnance ultérieurement, ce qui ne permettra pas de disposer au 25 mai 2018 d’un régime consolidé et prévisible.
Par ailleurs, le caractère spécifique de ce processus d’adaptation doit être souligné, alors que les premiers travaux législatifs viennent de débuter en procédure accélérée. En effet, si le RGPD est un règlement (tel que défini par l’article 288 du traité sur le fonctionnement de l’Union européenne (TFUE) et donc directement applicable, sans besoin d’être transposé), ce texte laisse en pratique une marge de manœuvre aux Etats-membres (2) et prévoit 57 points spécifiques devant faire l’objet d’adaptation (et non de transposition), par exemple en matière de consentement des mineurs (3). Si ces dispositions traduisent le compromis politique trouvé à Bruxelles, elles risquent aussi de créer de nouvelles « fragmentations » dans le cadre juridique des données personnelles en cours de construction à l’échelle européenne. (4)
Cette adaptation sera complexe, du fait de sa nécessaire articulation avec la loi pour une République Numérique qui a anticipé de nombreux points du règlement. En effet, la France avait décidé de préempter l’entrée en application du RGPD (alors en cours de négociation) à travers certaines dispositions de la loi Pour une République Numérique, dite « Loi Lemaire », adoptée le 7 octobre 2016. (5) (le calendrier des différents décrets d’application est consultable ici.).
Au-delà des aspects problématiques d’une telle anticipation (au regard du principe de coopération loyale ou des compétences de l’Union européenne), cette loi a aussi repris certaines dispositions du RGPD en les adaptant. C’est le cas par exemple du droit à l’oubli avec la mise en œuvre d’une disposition spécifique pour les mineurs, insérée à l’article 40.II de la Loi informatique et libertés. (6). Or ce nouveau droit devra être analysé au regard du droit à l’oubli consacré à l’article 17 du RGPD et des préoccupations déjà exprimées par l’Assemblée nationale (7).
De la même façon, le droit à la portabilité - consacré dans la proposition initiale du RGPD- a été repris par la loi pour une République Numérique, ce droit s’inscrivant par ailleurs dans le cadre du Marché unique numérique (8) et du courant du Free flow of non-personal data. (9)
La Loi pour une République Numérique a limité le champ d’application du droit à la portabilité envisagé de façon sectorielle dans le code de la consommation, alors que le RGPD ne prévoyait pourtant pas de restriction et consacré un tel droit à la française à l’article L224-42-1 dans la version à venir à partir du 25 mai 2018 du code de la consommation (le consommateur dispose en toutes circonstances d'un droit de récupération de l'ensemble de ses données). Or la portée de cet article devra aussi être appréciée avec celles des dispositions du RGPD, directement applicables et générales.
Si l’adoption de certaines dispositions du RGPD a été anticipée par la loi pour une République numérique, ce règlement n’en constitue pas moins un chantier important au vu des changements induits et des défis qu’il suscite.
Notamment parce que le RGPD constitue une révolution du cadre juridique des données à caractère personnel, révolution soulignée à juste titre par le Conseil d’Etat.
En effet, le RGPD introduit un concept novateur en droit de la protection des données personnelles, avec la notion d’accountability qui renforce la responsabilisation des entreprises et des parties prenantes (10) et qui a de nombreuses conséquences (nomination d’un Data Protection Officer (11) par exemple.
De nouveaux outils sont également mis en place avec la tenue d’un registre des activités de traitement, (12) l’obligation de réalisation d’études d’impact (13) ou encore les obligations au titre des principes de privacy by design et by default (14).
La suppression des formalités préalables constitue un changement notable qui doit être une nouvelle fois souligné. Alors que la LIL prévoyait au chapitre IV « Formalités préalables à la mise en œuvre des traitements » les régimes de déclaration, d’autorisation et de demandes d’avis à la CNIL, le RGPD supprime quasiment l’ensemble de ce régime de formalités préalables en raison de l’abondance des demandes, de la surcharge des autorités de contrôles et de la volonté de limiter les charges administratives (15).
Le projet de loi d’adaptation conserve cependant un régime d’autorisation préalable pour certains traitements (16) (données collectées pour le compte de l’Etat, données biométriques et données génétiques, les données comportant le numéro d’inscription des personnes au Répertoire national d’identification des personnes physiques (NIR).
Par ailleurs, au titre de ces innovations, le RGPD prévoit également un élargissement de la notion de données sensibles, élargissement qui concerne à la fois le champ d’application de la notion et le régime de protection lié. C’est le cas des données biométriques : ces dernières devenant désormais des données particulières, (17) des données génétiques et des données du NIR.
Ces éléments traduisent la complexité du contexte de ce processus d’adaptation du RGPD. Les futurs débats législatifs devront aussi se pencher sur le contenu de ce règlement et sur les défis qu’il suscite.
I. COMMENT INTERPRETER LE RGPD DANS LE CADRE DE SON ADAPTATION?
Un des difficultés majeures d’application pratique du RGPD est qu’il se fonde sur différentes notions-clés pour la mise en œuvre de ses obligations (nomination d’un DPO, réalisation d’étude d’impact, notification de données personnelles par exemple) sans pour autant les définir. En l’absence de telles précisions, une marge d’interprétation est laissée aux Etats-membres dans le cadre du processus d’adaptation législatif
Trois notions-clés du RGPD suscitent notamment des interrogations :
A/ Risque élevé
La notion de risque élevé est un critère pertinent pour la mise en œuvre d’une étude d’impact (article 35 du RGPD) ou pour la notification d’une violation de données à caractère personnel.
- A ce titre, le considérant 86 énonce que : Le responsable du traitement devrait communiquer une violation de données à caractère personnel à la personne concernée dans les meilleurs délais lorsque cette violation est susceptible d'engendrer un risque élevé pour les droits et libertés de la personne physique afin qu'elle puisse prendre les précautions qui s'imposent.
Pourtant, la notion de risque élevé n’est pas définie par le RGPD même si les considérant 90 et 91 permettent de saisir ce que serait un risque élevé « par exemple, en raison de leur caractère sensible, lorsque, en conformité avec l'état des connaissances technologiques, une nouvelle technique est appliquée à grande échelle, ainsi qu'à d'autres opérations de traitement qui engendrent un risque élevé́ pour les droits et libertés des personnes concernées ».
De la même façon, le G29 a évoqué cette notion dans ses lignes directrices du 13 décembre 2017 sans la définir.
B/ Suivi des personnes à grande échelle
Cette notion est récurrente dans le RGPD et sert de critère d’appréciation pour la désignation d’un DPO et pour la réalisation d’une étude d’impact.
En effet, l’article 37 dispose qu’un DPO doit être désigné lorsque :
b) les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ; ou
c) les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l'article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10.
Par ailleurs, le RGPD dispose qu’une analyse d'impact relative à la protection des données (…) requise dans les cas suivants : (…)
b) le traitement à grande échelle de catégories particulières de données visées à l'article 9, paragraphe 1, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10; ou
c) la surveillance systématique à grande échelle d'une zone accessible au public.
Cette notion est précisée par le considérant 91 (sans valeur juridique) qui évoque des opérations de traitement à grande échelle qui visent à traiter un volume considérable de données à caractère personnel au niveau régional, national ou supranational, qui peuvent affecter un nombre important de personnes concernées.
Le G29 a dressé dans ses lignes directrices une liste de recommandations de critères pertinents (18)( le nombre de personnes concernées, soit en valeur absolue, soit en valeur relative par rapport à la population concernée, le volume de données et/ou le spectre des données traitées; la durée, ou la permanence, des activités de traitement des données; l’étendue géographique de l’activité de traitement) qui devront être précisés.
C/ Profilage
Pour mémoire, la Loi Informatique et Libertés ne donnait pas de définitions du profilage qui est défini à l’article 4.4 du RGPD comme toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique. Le profilage permettrait ainsi d’isoler certains aspects de la personnalité et de générer des résumés de personnalité. En complément, l’article 22 du RGPD (décision individuelle automatisée, y compris le profilage) pose le principe selon lequel la personne concernée a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire.
Par ailleurs, le G29, qui a rendu des lignes directrices concernant le profilage le 3 octobre 2017 dernier, (19) distingue trois formes de profilage à savoir (i) general profiling; (ii) decision-making based on profiling; and (iii) solely automated decision-making, including profiling.
Une telle interprétation sous-entendrait que l’article 22 ne s’appliquerait qu’à ces types de profilage, interprétation qui doit être confirmée.
Ces notions illustrent la difficulté pour les législateurs nationaux d’adapter le RGPD et de définir des règles cohérentes à l’échelle de l’Union européenne. A ce stade, les lignes directrices du G29 fournissent des compléments utiles au texte européen, sans préjuger de la valeur juridique qui leur sera conférée, dans l’attente des éventuelles interprétations jurisprudentielles.
II. QUELLE FUTURE MISE EN OEUVRE?
A/ Comment garantir la cohérence du futur dispositif ?
Dans le cadre de la procédure accélérée et comme vu ci-dessus, l’adaptation du RGPD se fera sur la base de la structure actuelle de la loi informatique et libertés de 1978, avant une future codification par voie d’ordonnance. Ce choix symbolique soulève cependant des problèmes de lisibilité et de sécurité juridique comme le relève à juste titre la CNIL dans son avis du 30 novembre 2017, difficultés qui pourraient être préjudiciables pour les responsables de traitement comme les personnes concernées.
Cette méthodologie est sujette à caution du fait :
- de la difficulté d’identifier les redondances ou incompatibilités à supprimer, en l’absence de travaux exhaustifs ;
- de l’absence de lisibilité des critères d’application territoriale du RGPD d’une part et des droits nationaux d’autre part, au vu des dérogations autorisées (par exemple à l’article 85 du RGPD en matière de presse. Comment garantir des dispositifs opérationnels et cohérents avec le règlement, d’un pays à l’autre à ce stade ?
- de la difficulté d’éviter la reprise telle quelle des dispositions du RGPD alors que la Commission a rappelé ses exigences dans le cadre de l’adaptation du texte à travers sa Communication du 24 janvier dernier (COM, 2018,43). Il y est ainsi rappelé que les Etats-membres ne doivent pas reprendre directement les dispositions du texte sauf si de telles répétitions étaient nécessaires pour garantir la cohérence du cadre juridique ou l’intelligibilité des droits nationaux.
- du caractère incomplet de cette loi d’adaptation (21) avant la refonte prévue par voie d’ordonnance ;
B/ Quel impact économique du RGPD ?
De nombreux acteurs économiques s’interrogent également sur l’impact économique de la mise en conformité du RGPD dans un contexte où les normes juridiques restent incertaines.
Le Conseil d’Etat s’est aussi interrogé sur l’impact de ce règlement et a ainsi relevé dans son avis que n’a pas été étudié le coût de la mise en œuvre du texte en particulier pour les entreprises, ainsi que ses conséquences budgétaires, pour l’Etat, ses établissements et les collectivités territoriales, n’ont pas été analysées. (22)
Le sujet de la mise en conformité des entreprises est également récurrent. Alors que certaines grandes entreprises ont communiqué sur leurs procédures de mise en conformité (23), d’autres entreprises ont indiqué ne pas se sentir prêtes pour faire face à ces changements législatifs. Ce point a notamment été signalé à l'occasion de la 12ème université de l'AFCDP par la présidente de la CNIL, Isabelle Falque-Pierrotin qui a rappelé les retards des entreprises pour recruter des délégués à la protection des données personnelles.
Se pose à ce titre la question des incitations ou des mécanismes de sensibilisation déployés, à l’instar de certains outils pratiques (à l’image du logiciel CNIL en matière de PIA) (24).
Autant de questions et d’éléments à suivre dans le cadre des travaux sur cette loi d’adaptation et notamment lors des discussions en séance publique à partir du 6 février prochain. Nous aurons l'occasion d'y revenir dans de prochains articles.
REFERENCES
(2) Considérant 10 RGPD.
(3) (Notamment concernant l’âge des enfants, où l’accord parental des nécessaire avant l’utilisation de services de la société de l’information. Les Etats-membres peuvent choisir un âge entre 13 ans minimum et 16 ans (article 8)).
(4) N°4544 : rapport d’information assemblée nationale
(5) https://www.legifrance.gouv.fr/eli/loi/2016/10/7/ECFI1524250L/jo LOI n° 2016-1321 du 7 octobre 2016 pour une République numérique
(6) Article 40.II. — Sur demande de la personne concernée, le responsable du traitement est tenu d'effacer dans les meilleurs délais les données à caractère personnel qui ont été collectées dans le cadre de l'offre de services de la société de l'information lorsque la personne concernée était mineure au moment de la collecte. Lorsqu'il a transmis les données en cause à un tiers lui-même responsable de traitement, il prend des mesures raisonnables, y compris d'ordre technique, compte tenu des technologies disponibles et des coûts de mise en œuvre, pour informer le tiers qui traite ces données que la personne concernée a demandé l'effacement de tout lien vers celles-ci, ou de toute copie ou de toute reproduction de celles-ci.
(7) http://www.assemblee-nationale.fr/14/projets/pl3318-ei.asp
(8) https://ec.europa.eu/commission/priorities/digital-single-market_fr
(9) https://ec.europa.eu/digital-single-market/en/free-flow-non-personal-data
(10) (En créant par ailleurs de nouvelles catégories : coresponsable de traitement, créant un formalisme pour les contrats de sous-traitance, obligations accrues du sous-traitant etc.).
(11) Article 37 RGPD
(12) Article 30 RGPD
(13) Article 35 RGPD
(14) Article 25 RGPD
(15) Article 35. RGPD
(16) Page 7 de l’avis du Conseil d’État NOR : JUSC1732261L (point 22).
(17) Article 9 RGPD
(18) Lignes directrices du 13 décembre 2017 https://www.cnil.fr/sites/default/files/atoms/files/wp243rev01_fr.pdf
(19) Page 8-9 lignes directrices du 3 octobre 2017 du G29). 17/EN WP 251, Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679
(20) Article 8 - Après l’article 5 de la même loi, il est inséré un article 5-1 ainsi rédigé : « Art. 5-1 - Les règles nationales, prises sur le fondement des dispositions du règlement (UE) 2016/679 renvoyant au droit national le soin d’adapter ou de compléter les droits et obligations prévus par ce règlement, s’appliquent dès lors que la personne concernée réside en France, y compris lorsque le responsable de traitement n’est pas établi en France. « Toutefois, lorsqu'est en cause un des traitements mentionnés au 2 de l'article 85 du même règlement, les règles nationales mentionnées au premier alinéa sont celles dont relève le responsable de traitement, lorsqu’il est établi dans l’Union européenne. »
(22) Avis du Conseil d’État, page 2. l’avis du Conseil d’État NOR : JUSC1732261L
(24) https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil
BLOCKCHAIN: Parution de l'étude annuelle 2017 du Conseil d'Etat sur l'ubérisation.
Parution de l'étude 2017 du Conseil d'Etat sur l'ubérisation.
Conseil d'Etat
Jérôme DEROULEZ et Florence G'SELL avaient été entendus (http://www.conseil-etat.fr/Decisions-Avis-Publications/Etudes-Publications/Rapports-Etudes/Etude-annuelle-2017-Puissance-publique-et-plateformes-numeriques-accompagner-l-uberisation) dans le cadre de la préparation de cette étude au sujet de la blockchain, de sa régulation et des enjeux législatifs à venir.
Blockchain
Ils ont notamment évoqué les travaux qu'ils mènent concernant la régulation de la blockchain ainsi que les enjeux que cette technologie suscite dans de très nombreux domaines, en France comme au niveau international.
BLOCKCHAIN : Jérôme DEROULEZ a rédigé un article dans la Semaine Juridique du 18 septembre 2017 - "Blockchain et données personnelles, quelle protection de la vie privée?"
L’avenir de la blockchain ( https://twitter.com/JCP_G ) est en partie lié à la façon dont cette technologie intégrera les préoccupations relatives à la vie privée. Son développement économique passe ainsi par la prise en compte des législations et des réglementations en matière de compliance, de KYC ou de protection des données personnelles, gage de sécurité juridique et de confiance. Une telle étape peut sembler difficile sinon complexe au vu des spécificités de la blockchain, en apparence rétive à toute forme de régulation. Pourtant ce processus est déjà entamé et témoigne des usages envisageables de cette technologie de stockage et de transmission d’information au regard de la protection des données personnelles. http://www.tendancedroit.fr/wp-content/uploads/2017/09/EtudeJCPG-38.pdf
Blockchain et RGPD
Le droit à la protection des données connaît un regain d’intérêt avec l’entrée en application le 25 mai prochain du règlement européen relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) d’une part et la jurisprudence active de la Cour de justice de Luxembourg d’autre part, comme en témoignent ses arrêts récents ou son avis du 26 juillet dernier au sujet des transferts de données passagers. La construction européenne du droit à la protection des données voit ainsi le champ d’application de ses dispositions s’étendre de façon importante, depuis les traitements relevant de la matière civile ou commerciale aux fichiers dits de souveraineté. De plus, le contrôle exercé par la Cour de justice sur les transferts internationaux de données et l’inclusion dans le champ d’application géographique du règlement des activités dirigées vers l’Union européenne contribuent à élargir encore les traitements de données visés.
Blockchain et effectivité de la vie privée
Par ailleurs le développement des nouvelles technologies suscite de nouveaux défis quant à l’effectivité du droit à la protection des données personnelles. En effet, l’essor des réseaux sociaux, la montée en puissance du cloud computing ou l’explosion du e-commerce sont autant de nouveaux paris à relever avec en filigrane la question de l’application extraterritoriale de la loi. Dans le même temps, les possibilités techniques d’interception des communications et des messageries se sont multipliées, facilitant la surveillance de la vie privée à grande échelle. L’irruption de la blockchain dans ce paysage mouvementé ajoute un élément de complexité supplémentaire.
Généralement définie comme une technologie de stockage et de transmission d’information, transparente, sécurisée et fonctionnant sans organe de contrôle, la blockchain présente l’intérêt et la réputation d’être sécurisée, distribuée et de pouvoir être partagée par tous ses utilisateurs, sans intermédiaire, chacun pouvant vérifier la validité de la chaîne. Technologie disruptive présentant de très nombreuses applications et potentialités, elle suscite une attention grandissante à la hauteur des investissements consentis et un intérêt marqué des régulateurs et des législateurs.
Privacy vs Blockchain
La confrontation entre le droit à la protection des données personnelles et la technologie blockchain ouvre des champs d’analyse et de prospective très vastes : le développement de la blockchain pourrait-il entraver ou limiter le droit à la protection des données ? La blockchain est-elle la promesse sombre d’une forme d’identification ou de surveillance sans limite ? Comment la blockchain pourrait-elle intégrer les préoccupations liées au respect de la vie privée dans le cadre de son évolution ? Ces questions sont loin d’être théoriques aujourd’hui. En effet, cette problématique blockchain/vie privée fait l’objet de nombreux débats, en Europe et aux États-Unis suscitant aussi bien l’expertise des régulateurs, des législateurs, des universités et des centres de recherches que des communautés impliquées, en se caractérisant toutefois par une grande diversité des positions à la lumière de la complexité de cette technologie.
Le développement de la blockchain – comme la multiplication de ses cas d’usages – pourrait s’avérer un frein à la montée en puissance du droit à la protection des données personnelles du fait de ses caractéristiques techniques. Cette technologie pourrait également être entravée ou limitée du fait de réglementations peu incitatives, en réponse à des dérives régulièrement critiquées (anonymat, blanchiment, fraude etc.). Pour autant, force est de constater que le droit de la protection des données personnelles présente de nombreuses affinités avec la technologie blockchain, ne serait-ce qu’au regard de l’utilisation de cryptographie pour assurer la sécurité des données. Cet article évoquera donc les défis que la blockchain doit résoudre en matière de protection de la vie privée et des données personnelles comme les solutions qui pourront être apportées le cas échéant, cette technologie pouvant constituer le creuset de techniques novatrices de protection des données tout en sécurisant les nouveaux marchés liés au Big Data et au numérique.
DONNEES PERSONNELLES : nouveau coup de semonce de la Cour de Luxembourg
La Cour de Justice de l'Union européenne a rendu le 26 juillet dernier son avis au sujet de l'accord PNR UE / Canada suite à la demande émise par le Parlement européen le 30 janvier 2015 (http://curia.europa.eu/juris/document/document.jsf?text=&docid=193216&pageIndex=0&doclang=fr&mode=lst&dir=&occ=first&part=1&cid=964955). Dans son avis, la Cour a estimé que cet accord était incompatible avec la Charte des droits fondamentaux. Elle a marqué une nouvelle étape dans sa construction jurisprudentielle du droit à la protection des données personnelles en Europe.
Contenu de l'avis PNR UE/Canada
De quoi s'agit-il? Comme avec les Etats-Unis ou l'Australie, l'Union européenne a négocié cet accord avec le Canada afin de pouvoir transférer les données des passagers aériens (données PNR) à des fins de lutte contre le terrorisme et d'autres formes de criminalité transnationale. Ces données énumérées dans l'accord peuvent dès lors être conservées, utilisées voire transférées vers des pays tiers par les autorités canadiennes. Du fait de la sensibilité de tels transferts, ces négociations ont été marquées par des passes d'armes entre Conseil et Parlement européen. La saisine de la Cour pour avis, avant conclusion de l'accord, avait pour objet de vérifier la base juridique de l'accord et sa compatibilité avec la Charte et les traités européens.
Appréciation de la CJUE sur l'accord PNR
Analyse de la CJUE. La Cour a d'abord rappelé que cet accord devait être apprécié dans sa double composante, sécurité publique et protection des données passagers, sanctionnant l'absence de base juridique dédiée (en l'espèce l'article 16§2 TFUE). Si la Cour n'a pas remis en cause le principe du transfert de ces données au vu de l'objectif de protection de la sécurité et de la sûreté publique, elle a néanmoins souligné les incompatibilités entre certains points de l'accord et la charte des droits fondamentaux.
Parmi ses réserves figurent notamment la délimitation des données PNR à transférer, le transfert de données sensibles, l'absence de limitation au strict nécessaire des données PNR comme les conditions de leur communication à des autorités publiques canadiennes ou encore l'absence de surveillance du respect des règles de l'accord par une autorité indépendante.
En conséquence, la Cour a dressé la liste des points devant être repris pour que cet accord puisse être compatible avec la Charte des droits fondamentaux. Liste des points qui pourrait être complexe à mettre en oeuvre (par exemple sur le droit à l'information individuelle des passagers aériens en cas d'utilisation de leurs données).
Quelles suites pour les accords PNR ?
Conséquences. Si cet avis témoigne d'une construction étape par étape d'une jurisprudence méthodique de la CJUE en faveur du droit à la protection des données personnelles, il devrait aussi avoir de nombreuses conséquences politiques et juridiques. Quid du devenir de cet accord qui devait encore être conclu et de la période transitoire mise en place pour encadrer les transferts de données PNR? Comment adapter l'accord et surtout convaincre le Canada de prendre en compte l'avis de la Cour? Quelle portée vis à vis des accords PNR existants ou de la directive PNR-UE? Quelle portée pour les compagnies aériennes et les prestataires privés assurant la mise en oeuvre de ces transferts?
Cette liste non exclusive témoigne de l'importance de cet avis qui devrait également entraîner une réévaluation des positions européennes et des directives de négociations de l'Union européenne face à ses partenaires européens. Le signal envoyé par la CJUE a dès lors clairement une portée internationale et marque une nouvelle étape dans l'encadrement et la limitation des transferts de données en masse.
Un nouvel avertissement?
De façon plus générale, cet avis marque l'insistance de la Cour à dégager des marqueurs clairs d'un niveau efficace de protection des données personnelles. Qu'il s'agisse de la lutte contre le terrorisme (PNR, directive rétention des données) ou des transferts de données en matière civile ou commerciale (Safe Harbor), la Cour a dégagé de nombreux critères permettant d'attester ou non du respect des règles européennes.
A la veille de l'entrée en vigueur en mai 2018 du règlement général sur la protection des données personnelles, c'est un nouvel avertissement qui est adressé, bien au-delà du seul cadre des données PNR.
Silhouettes of business people traveling on airport; waiting at the plane boarding gates.
GDPR, données personnelles et risque pénal : article de Jérôme Deroulez dans la Lettre des Juristes d'Affaires du 10 juillet 2017.
Quelles conséquences avec la mise en œuvre du RGPD en matière pénale ?
Plus de sanctions ? Plus de compliance ? Plus de CNIL ? Plus de juge ? Encore beaucoup d’incertitudes si près de la date butoir…
Aujourd’hui, l’effectivité du droit à la protection des données personnelles est garantie par des sanctions pénales prévues aux articles 226-16 et suivants du Code Pénal qui complètent le dispositif de la loi Informatique et libertés du 6 janvier 1978.
L’application du nouveau règlement européen sur la protection des données personnelles (GDPR) à partir du 25 mai 2018 va rebattre les cartes de ce dispositif complexe. En effet, en abrogeant la directive 95/46 dont la transposition avait déjà entrainé de nombreuses modifications de la loi de 1978, ce texte remet en cause plusieurs mécanismes existants.
Ainsi, le GDPR consacre le principe clé d’accountability –obligation de prouver la conformité- et supprime les formalités et déclarations préalables en les remplaçant par de nouvelles obligations (mise en œuvre d’études d’impact, notification des failles de sécurité, documentation, data protection officer, etc...).
Le droit pénal existant sur ce sujet va être impacté par le règlement, même si les modifications à venir restent difficiles à évaluer. Du fait d’un nombre important de renvoi au droit national et au vu des innovations apportées, le GDPR nécessite une adaptation législative partiellement anticipée par la loi pour une République numérique du 7 octobre 2016 et qui doit encore être complétée avant la date butoir de mai 2018.
GDPR: Que va faire le législateur français ?
Il a la mission délicate d’adapter le régime des sanctions applicables comme leur périmètre, au-delà des sanctions administratives pouvant être prononcées par la CNIL, afin de déterminer notamment si un dispositif pénal doit sanctionner certains manquements visés par le règlement. Les dispositions relatives au non accomplissement des formalités préalables devront aussi être modifiées et éventuellement remplacées ; de la même façon les sanctions prévues en cas de non-respect d’une injonction de cesser un traitement ou de retrait d’autorisation prononcé par la CNIL pourraient être amendées avec la refonte du dispositif général.
La liste des délits visés aux articles 226-17-1 pourrait enfin être étoffée pour tenir compte des nouvelles prescriptions du règlement et renforcer l’obligation générale de sécurité des données. Ces futurs débats portent des enjeux importants pour préciser la portée du règlement et apprécier l’architecture globale des sanctions prévues.
Ainsi, il faudra – pour les praticiens - suivre les choix législatifs qui seront faits au vu du recours ou non à de nouvelles sanctions pénales et du rôle laissé au juge pénal vis-à-vis de la CNIL qui bénéficie quant à elle de prérogatives renforcées et de nouvelles modalités de coopération avec ses homologues européennes.
La philosophie de ce règlement (GDPR) promeut une forme de conformité dynamique, de façon proactive et anticipée. Quelle voie choisira le législateur ? Et comment se préparer en entreprise ? A ce titre, la montée en puissance de la problématique « données personnelles » comme sa sensibilité (en matière de transferts internationaux de données ou d’obligations de KYC - Know Your Customer par exemple) militent en faveur de son intégration dans les programmes de compliance. Un tel réflexe sera ainsi de nature à prévenir et anticiper de façon globale le risque pénal, comme le risque de sanctions financières.
Article publié dans la LJA le 10 juillet 2017. https://twitter.com/JuristesAffaire?lang=fr
INNOVATION: Jérôme Deroulez a représenté l'Incubateur du Barreau de Paris lors du congrès des avocats allemands - DeutscherAnwaltVerein - à Essen le 26 mai 2017
Jérôme Deroulez, Avocat a représenté l'Incubateur du Barreau de Paris lors du congrès des avocats allemands - DeutscherAnwaltVerein - à Essen le 26 mai 2017. A cette occasion, Jérôme Deroulez, Avocat a participé à l'atelier "How to be an innovative lawyer"
BIG DATA : Jérôme Deroulez a présidé la table ronde sur la "personnalisation" de la loi au Sénat dans le cadre du colloque Big Data (17 mars 2017)
BIG DATA: Colloque organisé au SENAT au sujet du BIG DATA et de ses enjeux juridiques. Ce colloque était co-organisé par l'Université de Lorraine, l'Université de Chicago, l'IHEJ et le Cercle Montesquieu au sujet des implications juridiques du BIG DATA.
Jérôme DEROULEZ a présidé la table ronde consacrée à la personnalisation de la loi, dans le cadre de ce colloque:
Chair: Jérôme Deroulez, Attorney at Law, Member of the Paris Bar Incubator; Anthony J. Casey, Professor of Law, University of Chicago School of Law, The End of Rules and Standards; David Restrepo Amariles, Professor of law, HEC Paris, Law’s Learning Algorithm: Making Rules Fit through Big Data; Ariel Porat, Professor of Law, Tel Aviv University, and Visiting Professor of Law, University of Chicago, Personalized Negligence Law and Big Data.
Les interventions ont porté notamment sur les conséquences de l'utilisation de l'intelligence artificielle ou des données en masse au vu du recours au BIG DATA. Ces présentations ont été suivies par un échange avec la salle.
Interventions à retrouver sur YouTube:
https://www.youtube.com/watch?v=8p5ZSODJ20Y&feature=youtu.be
BLOCKCHAIN: Jérôme Deroulez a publié un article consacré aux implications juridiques de la blockchain en matière de preuve, dans la revue Dalloz Avocats - Février 2017
BLOCKCHAIN ET PREUVE
Consacrée une nouvelle fois comme une innovation à suivre en 2017 avec l’intelligence artificielle ou la réalité augmentée, la blockchain suscite un intérêt immense à la mesure de sa complexité, avec une multiplication des applications possibles et en dépit de son caractère instable et évolutif.
Qu'est-ce que la blockchain?
Comprendre et tenter de définir la blockchain constitue un premier enjeu (https://bitcoin.fr/la-blockchain-cest-quoi/). On entend généralement par ce terme une technologie de stockage et de transmission d’information, transparente, sécurisée et fonctionnant sans organe central de contrôle, cette base de données étant réputée distribuée et sécurisée en ce qu’elle peut être partagée par ses différents utilisateurs, sans intermédiaire, chacun pouvant vérifier la validité de la chaîne.
Définitions de la blockchain
A titre d’exemple, la commission des finances du Sénat a considéré lors de ses travaux sur le projet de loi relatif à la transparence, à la lutte contre la corruption et la modernisation de la vie économique que la blockchain pouvait être définie comme une technologie informatique d'authentification décentralisée des opérations, sans l'intervention d'un tiers de confiance central […] et un grand registre de transactions public et accessible sur Internet, qui utilise un protocole de pair-à-pair (peer to peer) pour valider toute opération réalisée entre deux personnes.
Cette technologie est aussi indissociable de son application historique, le bitcoin, cette « monnaie » sans banque ni banque centrale, monnaie virtuelle décentralisée et anonyme dont la finalité est de parvenir à un système monétaire « sans confiance ». Ses origines remontent au document intitulé Bitcoin : A Peer-toPeer Electronic Cash System, publié en 2008 sous le pseudonyme de Satochi Nakamoto et proposant un nouveau système monétaire reposant sur un serveur horodaté, une chaîne de bits et des fonctions de hashage, de cryptographie et de probabilité.
Blockchain et bitcoin
Ce projet avait aussi pour objectif de répondre aux défis de la crise de 2008, de créer une monnaie sans intermédiaires bancaires et financiers et de remplacer ces derniers par une architecture collaborative et sécurisée (registre de compte unique et transparent, identification par une clef publique, minage, vérification et traitement des paiements par résolution de calculs informatiques, intervention de mineurs…). C’est très largement sur la base du bitcoin que se sont construites la réflexion, les pratiques et les grilles d’interprétation de la blockchain, avec une multiplication des expérimentations principalement dans le domaine bancaire et financier.
Applications
En témoignent les initiatives comme la start-up R3 qui regroupe une trentaine de grandes banques internationales, Ripple dédiée aux transferts financiers internationaux, Augur ou encore de nombreux autres acteurs qui considèrent avec attention les potentiels immenses de la blockchain. Les projets sur la blockchain reposent également sur d’autres pans de l’innovation technologique (intelligence artificielle, Big Data, etc) comme dans le cadre d’Hyperledger et recouvrent les domaines de l’internet des objets, l’industrie, la robotique, l’agriculture connectée, l’industrie musicale, les fab-labs, la ville intelligente ou encore l’assurance. Le but est aussi de développer d’autres types de blockchains sur la base ou au-delà de l’architecture sous-jacente du bitcoin, dans le cadre de blockchains privées ou publiques.
Blockchain et droit de la preuve
Distribuée, décentralisée, sécurisée, la technologie blockchain intéresse évidemment le droit de la preuve, ne serait-ce qu’au vu des affinités entre la terminologie liée à cette technologie et celle de l’admissibilité des modes de preuve. La blockchain pourrait ainsi prolonger un processus de dématérialisation des modes de preuve déjà entamé, en dépit des interrogations et des défis restant à relever (...)
Loi SAPIN II et blockchain : vers un droit de la blockchain français ?
L’adoption de la loi SAPIN II le 8 novembre dernier constitue une nouvelle étape pour la blockchain à la suite de l’ordonnance n°2016-520 relative aux bons de caisse (v. notre précédent article Actualité législative de la blockchain)
En effet, l’article 120 de la loi autorise le gouvernement à prendre par voie d’ordonnance les mesures nécessaires pour adapter le droit applicables aux titres financiers et aux valeurs mobilières afin de permettre la représentation et la transmission, au moyen d’un dispositif d’enregistrement électronique partagé, des titres financiers qui ne sont pas admis aux opérations d’un dépositaire central ni livrés dans un système de règlement et de livraison d’instruments financiers.
Cette disposition vise à donner un cadre juridique aux opérations sur les titres non cotés effectuées au moyen d’une technologie blockchain.
Le recours à une ordonnance, s’il s’insère dans un calendrier délicat au vu des futures échéances électorales, consacre une étape supplémentaire dans la réflexion sur la régulation de la blockchain.
Alors que cette technologie reste encore très largement l’objet de débats sinon de spéculations et qu’elle commence à connaître de nombreuses applications concrètes (certes encore expérimentales pour certaines), il est indéniable que les travaux législatifs sur la loi SAPIN II ont été marqués par une prise de conscience de la nécessité de bâtir un environnement juridique favorable, au-delà du simple modèle expérimental d’une sandbox. Et cet article consacre la nécessité de progresser rapidement, au risque sinon de se voir concurrencer par d’autres modèles législatifs ou réglementaires, en Europe ou à l’international.
L’intérêt des parlementaires pour la blockchain n’est donc plus à démontrer. En témoignent les travaux de la commission des finances du Sénat qui notent que l’authentification des titres financiers constitue l’un des enjeux les plus importants pour la place de Paris, dans le contexte d’une concurrence accrue avec les autres bourses européennes. La mise en place d’un cadre juridique adapté et sécurisé constitue donc une nécessité, dans un délai très rapide et en procédant par étape, pour éviter de notamment de transformer de façon brutale les gestionnaires de blockchains en opérateurs de marchés financiers.
Le sujet est donc bien la construction d’un droit de la blockchain sans éluder toutes les questions qui restent se poser (nature de la ou des blockchain(s) envisagée(s), enjeux en termes de preuve et de responsabilité, émergence de nouveaux marchés, intervention du législateur européen). Cela implique aussi pour les acteurs de la blockchain de se mobiliser pour aboutir à une législation intelligente et prenant en compte toutes les spécificités de cette technologie.
RGPD : Publication par Jérôme Deroulez dans le Village de la Justice au sujet de la protection des données personnelles
RGPD et protection des données personnelles: vers de nouvelles règles européennes ( https://www.village-justice.com/articles/protection-des-donnees,21234.html )
Le « paquet protection des données » doit être formellement adopté au printemps 2016, suite à l’accord intervenu entre le Parlement européen et le Conseil de l’Union européenne en décembre dernier, pour une entrée en application dans un délai de deux ans.
Bref rappel chronologique sur le RGPD :
Ce « paquet protection des données » (règlement et directive) avait été proposé par la Commission européenne le 25 janvier 2012, afin de remplacer et de moderniser la directive 95/46 et la décision-cadre de 2008, sur la protection des données personnelles.
Le processus de négociation du RGPD depuis 2012 a été particulièrement complexe du fait des mutations intervenues depuis 1995 dans le domaine numérique et de leurs conséquences pratiques sur la protection des données (essor des usages liées à Internet, respect de la vie privée, propriété des données...).
Le nombre des acteurs potentiellement concernés par cette modernisation législative a également connu une croissance exponentielle, alors que la protection des données personnelles est devenu un enjeu de société très largement médiatisé (droit à l’oubli, surveillance de masse, big data, utilisation du cloud etc).
Du fait de ces éléments, le processus législatif de co-décision [1] entre Conseil, Parlement et Commission européenne a été le théâtre de divergences d’appréciation fortes entre institutions, voire en leur sein (entre Etats membres ou entre groupes politiques européens).
Le remplacement de la directive 95/46 par un règlement a aussi constitué un véritable enjeu puisque le futur texte sera un acte normatif à portée générale et contraignant pour les institutions, les Etats membres et les particuliers, sans transposition nationale.
En tout état de cause, l’accord intervenu entre le Parlement européen et le Conseil, marque une étape supplémentaire dans la construction du droit effectif à la protection des données personnelles au sein de l’Union européenne :
Il intervient en effet après deux arrêts marquants de la Cour de Justice de l’Union européenne en 2014 et 2015 [2] qui ont consacré ce droit et rappelé au législateur européen la nécessité de prévoir des garanties effectives et concrètes ;
Ce paquet législatif apporte aussi une nouvelle traduction du droit à la protection des données personnelles prévu par le traité sur le fonctionnement de l’Union européenne (article 16 TFUE) [3], droit fondamental garanti par la Charte des droits fondamentaux [4].
Quelles premières conclusions retirer du règlement (RGPD) ?
La portée du règlement doit s’apprécier au regard des objectifs initiaux de la Commission européenne (1/ renforcement du niveau de protection des données personnelles, 2/ facilitation des flux de données au sein du marché intérieur et 3/ réduction des charges administratives).
Après 10 trilogues, le futur règlement apparaît évidemment comme un texte capital (plus de 200 pages, 91 articles, au moins une centaine de considérants) qui imposera une remise à niveau importante, tant pour les opérateurs privés que les autorités publiques.
Le G29 [5] qui regroupe les autorités de contrôle nationales comme la CNIL a déjà fait part de sa disponibilité quant aux travaux à conduire pour mener à bien ce processus.
1/ S’agissant du renforcement du niveau de protection des données personnelles, le RGPD affirme ses ambitions avec entre autres :
Un champ d’application matériel et géographique du règlement ambitieux qui opère une refonte des articles 3 et 4 de la directive 95/46 (et revoit notamment des règles de détermination du droit applicable) ;
Le renforcement des conditions du consentement (article 7) et en particulier du consentement parental ;
La consécration du droit à l’oubli (article 17), mesure phare pour la Commission lorsqu’elle avait décliné sa proposition et du droit à la portabilité des données (article 18) ;
L’encadrement du profilage (article 20) ;
La mise en œuvre d’un mécanisme élargi de notification des failles de sécurité (articles 31 et suivants).
Ces dispositions sont-elles à la hauteur des ambitions ?
Elles marquent la volonté du Conseil comme du Parlement de créer des marqueurs tangibles et des nouveaux droits mais elles pourraient au final aboutir à une réalité plus contrastée au vu des nombreuses exceptions crées par le règlement ou reprises de la directive 95/46.
2/ Le règlement a aussi pour finalité de faciliter les flux de données au sein du marché intérieur :
La dimension « marché intérieur » de ce règlement a été régulièrement soulignée par la Commission, avec en filigrane la nécessité de créer un environnement législatif favorable aux futurs champions européens du numérique.
Plusieurs dispositions constituent des avancées :
Le remplacement de la directive 95/46 par un règlement devrait de façon générale favoriser la mise en œuvre de normes européennes uniformes, en l’absence de transpositions nationales (en dépit de certains renvois spécifiques aux Etats membres) ;
Le chapitre V - transferts de données personnelles vers des Etats tiers ou des organisations internationales (articles 40 et suivants) constitue une part essentielle de cet instrument et renforce les mécanismes existants et pour certains critiqués (décision d’adéquation, binding corporate rules) ;
Le nouveau « mécanisme de cohérence » (article 57) et les dispositions sur les autorités de contrôle (chapitre VI et VII) doivent structurer la coopération entre ces dernières et faciliter les flux de données au sein du marché intérieur ;
Le niveau des sanctions prévu aux articles 78 et suivants (jusque 4% du chiffre d’affaires annuel total mondial) est aussi de nature à renforcer la portée des nouvelles règles européennes et leur efficacité. Ces mécanismes de sanctions faisaient partie des éléments clés de la proposition de la Commission et constituent une véritable innovation. Ils rapprochent aussi cette matière du droit de la concurrence.
Ces règles du RGPD constituent pour certaines de véritables nouveautés, c’est le cas du très controversé mécanisme de cohérence, adopté dans une version dégradée par rapport à la proposition de la Commission. Son succès devra être analysé dans le temps, en fonction des objectifs affichés : il signe néanmoins une préférence pour ce type de mécanisme européen préféré à d’autres méthodes de rapprochement des législations jugées moins efficaces.
3/ Le RGPD doit aussi participer à la réduction des charges administratives.
Plusieurs mécanismes participent de cet objectif :
Renforcement des mécanismes de coopération entre autorités de contrôle et traitement des plaintes ;
Simplification générale des obligations pesant sur les entreprises ;
Dispenses spécifiques pour les PME de nombreuses tâches (notification préalable, établissement de certaines bases de données etc).
Il faut s’interroger cependant sur l’économie générale du règlement.
Le règlement crée en effet des obligations supplémentaires qui pourront s’apprécier comme des charges nouvelles dans le cadre d’une sorte de « supervision permanente » (mise en œuvre des nouveaux droits dont le droit à l’oubli, études d’impact, documentation, nouvelles obligations mises à la charge des sous-traitants), qu’ils s’agissent des PME ou non. A noter par exemple, dans le cas du traitement de données sensibles, certaines exemptions prévues pour les PME ne trouveront pas à s’appliquer, faisant ainsi basculer l’opérateur concerné dans le régime général.
Ces remarques restent préliminaires et devront être complétées par une analyse exhaustive du RGPD, une fois sa version définitive consolidée, traduite dans les langues officielles de l’Union européenne et publiée au Journal Officiel de l’Union Européenne.
[1] Procédure de co-décision : Cette procédure prévue par l’article 294 TFUE consacre le Parlement européen et le Conseil de l’Union européenne comme co-législateurs et leur permet d’arrêter des actes conjointement avec le Conseil de l’Union européenne, sauf dans les cas prévus par les traités. C’est la procédure législative ordinaire prévue par le Traité de Lisbonne.
[2] Arrêt de la CJUE du 8 avril 2014, invalidant la directive 2006/24/CE sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications dans les affaires jointes C-293/12 et C-594/12 Digital Rights Ireland et Seitlinger e.a et arrêt de la CJUE du 6 octobre 2015, invalidant la décision de la Commission constatant que les Etats-Unis assurent un niveau de protection adéquat aux données à caractère personnel transférées (Safe Harbor) dans l’affaire C-362/14 Maximillian Schrems / Data Protection Commissioner.
[3] Article 16 TFUE : 1. Toute personne a droit à la protection des données à caractère personnel la concernant. 2. Le Parlement européen et le Conseil statuant conformément à la procédure législative ordinaire, fixent les règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union, ainsi que par les Etats-membres dans l’exercice d’activités qui relèvent du champ d’application du droit de l’Union, et à la libre circulation de ces données. Le respect de ces règles est soumis au contrôle d’autorités indépendantes. Les règles adoptées sur la base du présent article sont sans préjudice des règles spécifiques prévues à l’article 39 du traité sur l’Union européenne.
[4] Article 8 de la charte des droits fondamentaux de l’Union européenne – protection des données à caractère personnel : 1. Toute personne a droit à la protection des données à caractère personnel la concernant. […]