protection des données

Les clés pour réussir son audit RGPD par DEROULEZ AVOCATS

Les clés pour réussir son audit RGPD

AUDIT

AUDIT

L’audit RGPD est une étape clé de la mise en conformité pour les entreprises et toutes les organisations privées ou publiques. La CNIL a d’ailleurs indiqué que la cartographie de l’ensemble des traitements constituait l’une des étapes indispensables d’un plan d’action réussi, au même titre que la désignation d’un pilote ou la gestion des risques.

Nous proposons ici quelques conseils et retours d’expérience au sujet des audits RGPD pour faire de cette étape obligée un outil efficace de mise en conformité et une nouvelle étape dans la valorisation et l’utilisation de données personnelles.

Pourquoi faire un audit RGPD ?

Réaliser un audit RGPD de l’ensemble des traitements de données personnelles peut apparaître comme une étape contraignante mais un tel exercice constitue en réalité l’étape préalable à toute mise en conformité. En effet, c’est cet audit RGPD qui permettra de dresser un état des lieux du niveau de conformité en matière de protection des données. Ce n’est pas une fin en soi non plus mais le début du processus de mise en œuvre du RGPD avec pour objectif de disposer d’un aperçu global et exhaustif des différents traitements de données.

Une vision à 360 degrés

L’audit RGPD ne doit pas seulement lister l’ensemble des données personnelles traitées et les traitements. Au contraire. Il s’agit :

  • d’évaluer la pertinence des données traitées de leur collecte à leur conservation ;

  • de suivre les différents traitements de données et leur historique ;

  • de questionner les prestataires et sous-traitants sur leur politique protection des données ;

  • d’attester des outils mis en place pour permettre l’exercice des droits des personnes concernées (droit d’accès, droit à l’oubli ou à la portabilité) et garantir la transparence ;

  • de vérifier le niveau de sécurité des données et les mesures mises en place (chiffrement, pare-feu, anti-virus etc…).

Un audit spécifique RGPD ?

Cette analyse permet d’avoir une vision objective et exhaustive permettant ensuite de prendre des mesures concrètes et les plus adaptées aux besoins de chaque structure. Cette tâche d’analyse des process et de la documentation peut sembler fastidieuse mais elle doit être considérée avec intérêt car elle constitue la première étape de votre mise en conformité.

Cet exercice fait aussi appel à des notions juridiques, complexes et techniques et il est nécessaire de bien comprendre les contours et les enjeux des notions qui sont mobilisées. Une mauvaise compréhension de ces différents éléments (par exemple des mesures à mettre en place obligatoirement ou non) induira nécessairement une mauvaise réalisation de votre audit et du plan de conformité qui en découle.

Pourquoi désigner un pilote de la conformité ?

C’est la personne en charge de la mise en conformité RGPD, le pilote de la conformité qui devra prendre en charge la réalisation de l’audit. Son rôle est central pour permettre de disposer de toutes les informations nécessaires, depuis la documentation contractuelle, l’historique Informatique et libertés ou les projets impliquant de nouveaux traitements de données.

Le pilote devra aussi mobiliser tous les salariés et personnels concernés ainsi que les équipes techniques et informatiques pour vérifier qu’aucun aspect n’a été oublié. Il ne s’agit pas seulement d’établir un audit exhaustif mais aussi de poser les bases de la documentation RGPD.

Audit RGPD : Quelle approche ?

La réalisation d’un outil RGPD doit mobiliser des outils interactifs et dynamiques ainsi que des normes et des méthodes rigoureuses. En effet, si ce type d’audit diffère d’autres types d’audits (audit produit, audit processus et audit systèmes), l’objectif reste le même : une vérification exhaustive des processus en regard des exigences identifiées, une étude de l’ensemble des processus et du rôle de chaque acteur.

La qualité de cet audit doit faire l’objet d’une réflexion en amont. La CNIL[1] comme d’autres autorités de contrôles (l’ICO[2] britannique notamment) ont ainsi eu l’occasion de préciser leurs exigences et de mettre en place leurs référentiels et labels. Elles ont également proposé des bonnes pratiques qui constituent autant d’outils disponibles pour accompagner au mieux les structures auditées.

Les audits doivent ainsi intégrer des exigences fortes en termes de connaissances utilisées, d’identification des structures auditées, d’identification des traitements et de leur licéité ou d’étude de la sécurité.

Ils doivent aussi prendre en compte les autres démarches initiées ou existantes au sein des entreprises ou des structures concernées (au titre de la démarche qualité, de la RSE ou des normes ISO/IEC 27001 ou ISO/IEC 27552, bonnes pratiques génériques de protection de la vie privée de l’AFNOR ISO/IEC 29151 par exemple).

Choisir un cabinet d’avocat pour réaliser un audit RGPD présente le double avantage de bénéficier de compétences fortes en droit de la protection des données personnelles et d’être conseillé juridiquement tout au long de ce processus.

Réaliser un audit peut enfin être une opportunité pour associer différents partenaires et rassembler des compétences diversifiées, sous réserve des rôles et responsabilités de chacun des acteurs impliqués (cabinets d’avocats, sociétés de conseil, prestataires informatiques et experts en sécurité informatique).

Méthode : comment commencer ?

Un audit RGPD doit être exhaustif et efficace. A ce titre, il importe de pouvoir rapidement disposer d’une grille de lecture d’ensemble. Pour cette raison il est important de privilégier les points suivants :

  • une session de formation et d’information destinée à mobilier autour de ce projet ;

  • la mise en place d’un questionnaire qui permettra de sérier l’ensemble des questions à se poser et de constituer une trame pour l’audit ;

  • le recueil d’information sur la structure à auditer et ses enjeux de développement ;

  • le suivi de l’actualité juridique dans le domaine d’activité audité et les questions spécifiques et ;

  • la compilation des mesures prises avant l’entrée en application du RGPD (déclarations ou autorisations à la CNIL, nomination d’un CIL etc…).

Cartographier

L’audit a pour objectif d’aboutir à une cartographie synthétique de l’ensemble des traitements de données personnelles, depuis leur collecte jusqu’à leur effacement ou leur destruction. Ce travail de cartographie ne doit pas oublier non plus les données conservées en format papier (archives, listings etc…), bien au contraire.

Cet exercice de cartographie suppose de suivre la démarche suivante :

  • Identifier les données personnelles (par exemple les adresses IP, adresses MAC ou les données relatives aux habitudes de vie) ;

  • Classer les données personnelles par catégories et identifier les données sensibles (données d’état-civil, données de santé, données bancaires etc…) ;

  • Evaluer la pertinence des données collectées, dans une visée de minimisation et de proportionnalité ;

  • Recenser les différents traitements effectués sur les données personnelles (pour mémoire la notion de traitement de données englobe toute opération, ou ensemble d’opérations, portant sur de telles données, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion, verrouillage, effacement ou destruction, ...).

Il convient aussi de prendre en compte les éléments suivants :

  • Identifier les différents acteurs et leurs responsabilités (responsable de traitement, sous-traitant, sous-traitant ultérieur etc…), condition indispensable de la définition d’un cadre clair et de la révision de la documentation contractuelle ;

  • Noter les procédures mises en place ou non pour assurer les droits des personnes et le respect des règles en matière de consentement ;

  • Tracer les éventuels transferts internationaux de données (notamment dans le cadre du recours à des sous-traitants et prestataires hors UE ou de recours au cloud) afin de leur apporter les garanties nécessaires ;

  • Revue des mesures de sécurité des données permettant de garantir un niveau de sécurité adapté au risque ;

Audit RGPD : Et après ?

Une fois avoir répondu à toutes ces questions et dressé un panorama exhaustif des traitements de données, un rapport d’audit sera rédigé qui prendra en compte l’ensemble des éléments recueillis.

Ce rapport d’audit donnera lieu à un plan d’action RGPD adapté à votre structure et qui fera apparaître les différentes missions par liste de priorités. Enfin, la mise en place de solutions adaptées à vos besoins vous sera proposée au titre de votre mise en conformité.

Cet audit pourra enfin constituer une base à la documentation devant être constituée au titre de l’accountability.

L’audit RGPD permettra aussi d’interroger l’ensemble des traitements effectués sur la base des principes du RGPD et de la législation Informatique et libertés (proportionalité, minimisation etc…).

A cet égard, la réalisation d’un audit doit également permettre de promouvoir une réflexion interne sur la gouvernance de la donnée et les usages. De plus, la mise en place d’outils privacy-by-design suppose souvent une approche globale technique et juridique qui doit être pensée en amont, afin de pouvoir développer des applications et des solutions plus respectueuses de la vie privée. Dans le cas des environnements les plus complexes

Le cabinet DEROULEZ AVOCAT vous accompagne dans la réalisation de votre audit RGPD et reste à votre disposition pour toutes vos questions.

[1]https://www.cnil.fr/fr/les-labels-cnil

[2]https://ico.org.uk/media/for-organisations/documents/1533/auditing_data_protection.pdf

Quelle application du RGPD au secteur de l'hôtellerie?

RGPD: Quelle application au secteur de l'hôtellerie?

RGPD""

RGPD""

RGPD: Le secteur de l’hôtellerie collecte aujourd’hui de plus en plus de données personnelles, qu’il s’agisse de données nominatives, des données relatives à la réservation d’une chambre ou de celles liées aux préférences, goûts et habitudes de vie, ou de la santé des clients.

Ces données personnelles sont destinées à satisfaire la clientèle des hôtels et offrir des services de plus en plus personnalisés. Ces données peuvent être ensuite réutilisées et transférées à différents partenaires dans un but de fidélisation ou d’amélioration des prestations.

Cet article constitue un premier volet sur le thème de la conformité RGPD dans le secteur de l’hôtellerie et a pour but de recenser les différentes données collectées par l’hôtellerie et d’aborder les premières questions relatives à leur mise en conformité.

I/ Quelle collecte des données personnelles dans le secteur de l’hôtellerie ?

Différents types de données personnelles de clients sont collectées lors d’une réservation de chambre d’hôtel :

- Des données personnelles peu sensibles, relatives à l’identité (nom, prénom, âge, date de naissance, numéro de téléphone, adresse e-mail etc.) ou à la vie familiale (nombre d’enfants, mariés, célibataires etc.)

- Des données personnelles particulières ou sensibles liées à des allergies ou intolérances alimentaires, à la nécessité d’une chambre aménagée pour des personnes handicapées, ou encore des données issues de moyens biométriques lors de contrôle d’accès.

- Des données relatives aux convictions religieuses ou philosophiques du fait d’un régime alimentaire spécifique en raison de convictions religieuses ou d’une réservation liée à un événement particulier (réunion politique ou syndicale).

Certains hôtels sont également amenés à collecter davantage de données dans le but d’offrir des prestations et une expérience client très qualitative, notamment dans le secteur du luxe.

II/ La collecte de ces données est soumise au RGPD

Toutes ces données peuvent être qualifiées de données personnelles au sens du RGPD, voire de données sensibles : leur recueil devra être encadré et leur collecte respecter les critères de licéité de l’article 5 du RGPD.

Cela signifie que les données collectées doivent être :

  • Traitées de manière licite, loyale, transparente au regard de la personne concernée

  • Collectées pour des finalités déterminées, explicites et légitimes

  • Adéquates, pertinentes et limitées à ce qui est strictement nécessaire au regard des finalités pour lesquelles elles sont traitées

  • Exactes et, si nécessaires, tenues à jour

  • Conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées

  • Traitées de façon à garantir une sécurité appropriée des données à caractère personnel

III/ Quelles obligations au titre du RGPD ?

Des mentions d’informations:

Le traitement et l’utilisation de ces données impliquent de nombreuses obligations, de la mise à disposition d’une information transparente, au recueil du consentement :

- Les gérants d’un hôtel devront mettre à disposition de manière claire, facile et intelligible, les différentes données qu’ils collectent dans le cadre de la relation contractuelle avec leurs clients et prospects.

- Les mentions d’informations devront être adaptées en fonction du mode de recueil : site internet, téléphone, salon du voyage...

- La personne concernée doit être informée des mentions des articles 12 et 13 du RGPD de manière « concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples » et notamment:

  • de l’identité et des coordonnées du responsable du traitement

  • le cas échéant des coordonnées du DPO

  • des finalités du traitement et la base juridique du traitement

  • les destinataires ou les catégories de destinataires des données à caractère personnel

  • les transferts de données en dehors de l’Union européenne

L’intensité de l’obligation d’information pourra également varier en fonction de la nature de la donnée collectée, par exemple dans le cadre d’une utilisation de la biométrie: 

- Les sites Internet devront enfin être mis à jour (mentions légales, mentions obligatoires RGPD et clause données personnelles dans les CGV). Une adresse de contact devra être mise à disposition des personnes concernées de manière à recevoir les questions, les demandes de suppression, de rectification ou d’information sur leurs données.

Registre de traitement

L’article 30 du RGPD impose la tenue d’un registre des activités de traitement afin de recenser l’intégralité des traitements réalisés au sein de l’organisme. Ce registre doit être mis à jour régulièrement, être clair, facilement accessible et compréhensible en cas de procédure de contrôle de la CNIL.

Dans le cas d’un hôtel « connecté » (wifi, caméra de surveillance, sécurité et biométrie), les dispositifs devront aussi être encadrés et documentés afin d’attester de leur conformité.

A suivre dans un prochain article, les enjeux liés à la sécurité des données dans les hôtels.

RGPD: Jérôme DEROULEZ a participé au numéro spécial COMMUNICATION COMMERCE ELECTRONIQUE dédié au RGPD

RGPD: Jérôme DEROULEZ a rédigé un article consacré aux autorités de contrôle en droit des données personnelles. http://www.lexiskiosque.fr/catalog/communication-commerce-electronique/communication-commerce-electronique/n4-2018  

Cet article a été publié dans le numéro spécial COMMUNICATION COMMERCE ELECTRONIQUE consacré au RGPD.

 

Ce numéro avait pour vocation de balayer les problématiques de la protection des données avant l'entrée en application du règlement.

 

 

RGPD : Jérôme DEROULEZ a publié un article sur les responsabilités des maires dans la Gazette des communes d'avril 2018

Interview de Jérome Deroulez dans la Gazette des Communes

«Données personnelles : quelles responsabilités pour les maires ?»

 

Jérôme Deroulez est revenu sur les obligations qui pèseront sur le maire en matière de protection des données personnelles à compter du 25 mai prochain, date d'entrée en application du RGPD.

 

« Alors que le Règlement général sur la protection des données personnelles (RGPD) entre en application le 25 mai prochain, le sujet de la préparation des collectivités locales et des communes à ce nouveau dispositif a agité le Sénat lors des débats sur l’adaptation de la loi Informatique et Libertés la semaine dernière.

La rapporteure du texte, Sophie Joissains, a ainsi souligné que seule une minorité de collectivités territoriales était en conformité et signalé la difficulté au vu des enjeux suscités par le RGPD au niveau local.»

 

Retrouvez l'intégralité de cet article sur le site de la Gazette des communes.

Petites et moyennes entreprises – avez-vous une charte Informatique et Libertés ?

Disposez-vous d’une charte Informatique et Libertés ? Quelles décisions avez-vous prises pour assurer la sécurité des données que vous collectez ou que vous stockez ? La question est d’actualité alors que la vie des entreprises a été marquée en 2017 par plusieurs failles de sécurité et cyber-attaques (Wannacry [1], NotPetya) qui témoignent de la nécessité de former ses équipes et ses salariés à la sécurité des systèmes d’information.

Pourquoi une charte Informatique et Libertés ?

Cette question est cruciale à la veille de l’entrée en application du Règlement général sur la protection des données personnelles qui a fait de la sécurité des systèmes d’information et des données des priorités, le RGPD renforçant par ailleurs les niveaux de sanction applicables.

A ce titre, l’article 32 du RGPD prévoit notamment que le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, et suggère entre autres de recourir à la pseudonymisation et au chiffrement des données à caractère personnel, aux moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement; aux moyens permettant de rétablir la disponibilité des données à caractère personnel ou encore à une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

Accountability et sécurité des données

Avec la consécration du principe d’accountability, responsables de traitement et sous-traitants devront aussi être en mesure de démontrer qu’ils ont mis en œuvre les mesures nécessaires destinées à assurer la sécurité des traitements. Au-delà des outils énumérés par le RGPD, les chartes Informatique et Libertés sont également un moyen efficace pour les entreprises de démontrer leur conformité tout en favorisant en interne la diffusion de la culture de la sécurité informatique.

Pourtant, de nombreuses entreprises n’ont pas encore ou peu cette culture de la sécurité de leurs données comme en atteste ce très récent passage diffusé sur le 19h45 de M6 à une heure de grande audience où apparaissaient, visibles en clair à l’écran, différents mots de passe affichés sur le poste du travail d’un salarié d’ENGIE relevé par un compte Twitter.

Charte informatique et libertes

Charte informatique et libertes

Était ainsi pointée l’absence de prise de conscience de la protection des mots de passe par un mécanisme adéquat.

Le présent article sera donc l’occasion de rappeler la nécessité et l’intérêt pour les entreprises de disposer d’une charte Informatique et Libertés.

Cette charte devra être annexée au règlement intérieur de l’entreprise afin de la rendre opposable aux salariés et collaborateurs.

Qui met en place la charte Informatique et Libertés ?

C’est l’employeur dans le cadre de son pouvoir de direction et de contrôle qui peut (et le plus souvent qui doit) encadrer l’activité informatique et l’accès à Internet de ses salariés et collaborateurs, dans le respect du droit à la vie privée du salarié[2].

En effet, une telle charte est souvent indispensable et notamment pour encadrer les utilisations à des fins privées de certains sites et éviter de futurs contentieux. Peuvent être ainsi traitées par la charte les questions de la consultations de sites qui seraient expressément interdits par la charte informatique [3],l’installation de logiciels non autorisés[4]la divulgation non autorisée d’informations confidentielles [5]les mesures de sécurité qui doivent être mise en œuvre (chiffrement, sécurisation des mots de passe) etc… Avec en conséquence la nécessité d’énoncer clairement ces bonnes pratiques de sécurité au sein de la charte.

La mise en place de la charte a de multiples intérêts : elle constitue un outil pédagogique utile pour les salariés et collaborateurs, notamment lors de nouvelles embauches. Elle permet aussi de valoriser et de protéger les process mis en œuvre au sein des entreprises en matière de sécurité des données personnelles.

Comment rédiger sa charte informatique et libertés? Nos conseils

Introduction de la charte (Préambule) :

  • Indiquez en introduction les objectifs de la Charte.

  • Exposez l’objectif et la portée de la Charte.

  • Expliciter les attentes de votre entreprise pour faire de la charte un outil de sensibilisation en interne sur les questions de sécurité.

  • Indiquez des éléments de protection des données personnelles et mentionnez la désignation d’un DPO ou les personnes « contact » utiles

Opposabilité de la charte :

  • Veillez à énumérer de façon exhaustive tous les personnels et collaborateurs concernés par la charte.

  • Explicitez les modalités d’information sur la charte (lieux d’affichage, documentation, modalités de prise de connaissance par les salariés et les collaborateurs et de signature etc…)

Définitions :

  • Les termes utilisés doivent être clairs et précis.

  • Une attention particulière sera portée à la rédaction de la charte pour en assurer la neutralité technologique à terme afin d’englober de futures innovations technologiques (par exemple la Blockchain ou le recours à l’AI).

Quelles règles d’utilisation du système d’information – usages :

  • Recensez d’abord l’ensemble des besoins auxquels le système d’information doit répondre.

  • Répertoriez tous les outils numériques mis à disposition des salariés et collaborateurs.

  • Définissez une politique de confidentialité des accès et des mots de passe et développez des bonnes pratiques.

  • Définissez et explicitez les pratiques autorisées (gestion des habilitations, usages et renouvellement des mots de passe, procédures à respecter.

  • Définissez quelles sont les mesures de sécurité prises afin de sécuriser l’accès aux différents postes dans votre entreprise.

Quelles obligations pour les utilisateurs ?

  • Rappelez aux utilisateurs qu’ils sont responsables des ressources informatiques qu’ils utilisent.

  • Rappelez aussi des règles de bon sens (ne pas insérer des clefs UBS étrangères à l’entreprise, pas de communication excessive des données et notamment à des personnes non autorisées...).

  • Posez des règles claires quant à l’utilisation d’Internet et des outils informatiques de votre entreprise à des fins personnelles.

  • Définissez des conditions d’utilisation des espaces de stockage ou pour l’installation de logiciels.

  • Rappelez les conditions d’utilisation de la messagerie électronique de l’entreprise et soulignez la présomption de professionnalité des messages transmis.

Outils de contrôle du poste informatique / surveillance du salarié :

  • Indiquez quels outils de filtrage sont mis en place.

  • Explicitez les systèmes de contrôle du salarié et les différentes informations pouvant être enregistrées.

  • Notez que ces outils de contrôles et de surveillance des salariés devront être proportionnés à l’objectif poursuivi.

Travail à distance et mobilité des salariés :

  • Prenez en compte la virtualisation ou non des postes de travail avec leurs conséquences (règles d’attribution et d’usages des matériels, tablettes, téléphones et ordinateurs portables).

  • Posez des règles claires dans les cas de mobilité des salariés et exposez les différentes situations envisageables.

Sanctions :

  • La charte doit indiquer quelles sont les sanctions prévues.

  • Elle doit également préciser les conditions d’engagement de la responsabilité civile et pénale des salariés et des collaborateurs ou de procédures disciplinaires.

Entrée en vigueur de la charte :

  • Précisez la date d’entrée en vigueur de la charte et d’entrée en application.

  • Mettre les annexes en lien ou notes de bas de page

Annexe - Dispositions légales applicables:

- Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (Texte présentant de l'intérêt pour l'EEE)

- Loi informatique et libertés

- Code pénal : article 226-16 à 226-24 et R.625-10 à R.625-13

- Loi Godfrain : article 323-1 et 323-3 code pénal

Références:

[1]https://www.lesechos.fr/idees-debats/cercle/cercle-170062-wannacry-la-cyber-securite-le-talon-dachille-de-lentreprise-2087140.php

[2]« Le salarié a droit, même au temps et au lieu du travail, au respect de l'intimité de sa vie privée ». Cour de cassation,Chambre sociale, 2 octobre 2001, n° 99-42.942. Voir arrêts récent sur la labellisation des fichiers indiqués comme privés et le durcissement de la position de la Cour de cassation après le célèbre arrêt Nikon. CEDH, 22 janvier 2018 ; n° 588/13 mettre l’intégralité du Disc dur comme privé « la dénomination donnée au disque dur lui-même ne peut conférer un caractère personnel à l’intégralité des données qu’il contient ; que la cour d’appel, qui a retenu que la dénomination « D:/données personnelles » du disque dur de l’ordinateur du salarié ne pouvait lui permettre d’utiliser celui-ci à des fins purement privées et en interdire ainsi l’accès à l’employeur, en a légitimement déduit que les fichiers litigieux, qui n’étaient pas identifiés comme étant « privés » selon les préconisations de la charte informatique, pouvaient être régulièrement ouverts par l’employeur ; »

[3]CA Grenoble, ch. soc., 16 janv. 2008, n° 07/01119 : la consultation par un salarié de sites pornographiques, expressément interdit par la Charte informatique, le licenciement pour faute grave du salarié est justifié. Voir aussi Cass. soc., 15 déc. 2010, nº 09-42.691.

[4]CA Paris, pôle 6, ch. 5, 19 janv. 2012, no 10/04071, M. Rudy c/ Sté Zétès, en l’espèce un technicien de maintenance avait installé sur son poste de travail des logiciels qui n’étaient pas autorisés par la Charte informatique.

[5]Cass. soc., 5 juill. 2011, n° 10-14.685 la salariée a été licenciée pour faute grave : la salariée avait permis à un autre salarié qui n’y était pas habilité d’utiliser son code d’accès pour télécharger des informations confidentielles.

Sources complémentaires :

https://www.ssi.gouv.fr/uploads/2017/06/guide-charte-utilisation-moyens-informatiques-outils-numeriques_anssi.pdf

https://www.cnil.fr/sites/default/files/typo/document/20100730-MOD-CHARTE_INFORMATIQUE_CIL-VD.pdf

PROTECTION DES DONNEES PERSONNELLES : QUELLE ACTUALITE EN 2018?

Le droit de la protection des données à caractère personnel a connu une actualité très dense en 2017. 2018 sera marquée par plusieurs étapes importantes, dont l’entrée en application du RGPD en mai prochain et l’adoption rapide de l’adaptation législative de la loi Informatique et Libertés.  

Le RGPD n’est cependant qu’une des étapes des chantiers ouvertes dans le domaine de la protection des données. 2018 sera ainsi marquée par de nouvelles réformes (partie 1) et devrait aussi connaître de nouvelles jurisprudences marquantes (partie 2).

 

I. LES REFORMES LEGISLATIVES ATTENDUES EN 2018

 

1. La révision de la Directive dite « e-privacy » et sa transformation en règlement

 

  • Qu’est-ce que la Directive e-privacy ? Quel est son champ d’application ? Pourquoi co-existe-elle aux côtés de la directive 95/46 qui va être remplacée par le RGPD ?

 

La Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concerne le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques. Cette directive vise aussi le secteur des communications numériques alors que le RGPD est indifférent quant à la forme de la communication, son objet englobant tous traitements de données à caractère personnel visés à travers son champ d’application. C’est donc une lex specialis par rapport au RGPD, même si ce point a fait l’objet de discussions techniques.

 

  • Pourquoi cette réforme ?

 

La Commission a lancé ce chantier dans l’espoir d’une adoption en mai 2018 et d’une réforme concomitante RGPD / E-privacy. Avec le souci de renforcer le marché unique numérique et la confiance lors de l’utilisation des services numériques via une protection accrue des données personnelles.

 

En effet, depuis la dernière révision de la directive E-privacy en 2009, de très nombreuses évolutions technologiques ont bouleversé ce domaine, notamment dans le secteur des télécommunications avec l’apparition de nouveaux acteurs tels que Skype, Whatsapp, Facebook Messenger qui renouvellent la manière de communiquer grâce à la technique de la VOIP. (« Voix sur IP » [tiré de l’anglais Voice over IP] : manière de communiquer par la voix, sur des réseaux compatibles IP).

 

L’objectif de la Commission est également d’utiliser dans la mesure du possible des « définitions neutres » d’un point de vue technologique afin d’englober les nouveaux services et technologies et d’assurer la pérennité du règlement (p.10), en dépit de la difficulté d’un tel exercice. [1]

 

  • Le calendrier

 

La proposition de règlement concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE (règlement « vie privée et communications électroniques »), a été dévoilée le 10 janvier 2017. [2] En dépit du souhait initial de la Commission d’une adoption le 25 mai 2018, ce calendrier ambitieux ne pourra être atteint, au vu des nombreux points encore ouverts.

 

  • Quels sont les points clés de la réforme ?

 

L’un des objectifs premiers est d’atteindre les fournisseurs de services OTT

Les fournisseurs de services OTT (« Over the Top ») sont les nouveaux géants d’Internet et dominent largement le secteur des télécommunications, comme Whatsapp, Skype, Facebook messenger... Cette réforme prévoit une extension du champ d’application du règlement à ces nouveaux acteurs [3] et notamment que les OTT seront tenus de respecter la confidentialité des communications et les droits fondamentaux des utilisateurs conformément à la Charte.

 

Mieux encadrer les cookies

 

La Commission souhaite clarifier la règlementation sur les cookies afin de donner davantage de pouvoir aux utilisateurs de services de communication en ligne, à travers un renforcement des règles de consentement. Ainsi, les cookies-tiers qui pistent la vie privée des internautes pourraient être bloqués [4] tout en conférant aux utilisateurs un pouvoir de modulation en ce qui concerne le choix des cookies qu’ils souhaitent accepter ou non.

 

Renforcement du consentement des utilisateurs

 

Le renforcement du consentement des individus est au cœur de la réforme. En effet, la Commission souhaite imposer aux opérateurs, des mesures concrètes afin de donner les « pleins pouvoirs » aux utilisateurs. Les considérants de la proposition de règlement (qui pour rappel n’ont pas de valeur juridique) éclairent sur les mesures qui pourraient être mises en œuvre :

 

L’utilisateur, pourrait, par exemple, désormais choisir à « la carte » les cookies qu’il souhaite accepter sur son navigateur ; « Les utilisateurs finaux devraient disposer d'un éventail de réglages de confidentialité́, depuis les plus restrictifs (par exemple, «ne jamais accepter les cookies») jusqu'aux plus permissifs (par exemple, «toujours accepter les cookies»), en passant par des options intermédiaires (par exemple, «rejeter les cookies de tiers» ou «accepter uniquement les cookies propres»). Ces paramètres de confidentialité́ devraient se présenter sous une forme facile à visualiser et à comprendre ». [5]

 

Par exemple, au considérant 24 « Les navigateurs Web sont encouragés à proposer aux utilisateurs finaux des moyens faciles de modifier leurs paramètres de confidentialité à tout moment en cours d'utilisation et à leur permettre de prévoir des exceptions ou d'établir une liste blanche de certains sites Web ou de préciser les sites Web dont ils acceptent toujours ou n'acceptent jamais les cookies (de tiers) ». [6]

Si le bilan de cette réforme est ambitieux - renforcer la protection de la vie privée et des données personnelles dans le cadre d’un dispositif européen intégré – cette dernière reste encore soumise à de nombreuses interrogations quant à son calendrier et à l’issue des travaux législatifs.

 

2. La transposition de la directive « police-justice » du paquet protection des données

 

La transposition à venir de la directive adoptée en même temps que le RGPD ne doit pas être négligée.

 

En effet, la réforme du droit des données personnelles est un « paquet » et la directive (UE) (2016/680) du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données devra être transposée dans les ordres juridiques des différents États-membres, au plus tard, le 6 mai 2018. Le projet d’adaptation de la LIL comprend des dispositions spécifiques, le Sénat devant débuter ses travaux en mars prochain dans le cadre de la procédure accélérée.

 

3. La transposition de la directive NIS : Network and Information Security

 

La Directive NIS Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union vient d’être transposée en droit français le 15 février dernier . http://www.senat.fr/dossier-legislatif/pjl17-105.html

 

Cette directive doit être signalée alors que les préoccupations dans le domaine de la cyber-sécurité sont de plus en plus importantes.

 

II. LES JURISPRUDENCES ATTENDUES EN 2018

 

De nombreuses affaires sont actuellement pendantes.

 

Nous signalons certaines de ces affaires qui touchent non seulement à la protection des données personnelles, mais également de manière transversale, au droit international privé, au droit de la consommation et au droit pénal. A ce titre, les solutions qui seront retenues dans les affaires suivantes présenteront un intérêt particulier pour ces matières :

 

- Microsoft contre Irlande ;

- Affaire « Origine du Monde » ;

- M. Schrems ;

- La question prioritaire de constitutionnalité concernant l’accès à une clef privée de chiffrement par les autorités françaises

 

1. L’affaire Microsoft c/ Ireland

 

Pour rappel, il est question dans cette affaire de la possibilité, pour les autorités américaines, d’avoir accès à des emails hébergés à l’étranger, et notamment en Irlande. Les États-Unis, en vertu de leur loi « SCA » Store Communications Act avaient délivré un mandat à l’encontre de Microsoft, leur enjoignant la fourniture de ces informations. En vertu de la SCA, les autorités répressives américaines peuvent en effet contraindre des fournisseurs de messageries électroniques à procéder à la perquisition, au recueil et  à la reproduction de communications électroniques, à plus forte raison dans le cadre du recours au cloud computing.

 

Microsoft, a cependant refusé de se conformer à ce mandat au motif qu’un mandat de perquisition émis par un juge américain ne pouvait pas produire d’effets en dehors des Etats-Unis et en l’occurrence en Europe.

 

Cette affaire aborde ainsi des questions sensibles au regard de la protection de la vie privée, de l’application extra-territoriale d’une loi et de l’accès à des informations stockées dans des réseaux en nuage. La Cour d’appel fédérale de Manhattan dans une décision rendue le 14 juillet 2016 a donné raison à Microsoft en énonçant que la portée extraterritoriale d’un mandat devait être prévue explicitement par la loi et que ce n’était pas le cas en l’espèce.

 

Après les premières décisions de tribunal rendues en faveur de Microsoft, le Département américain de la Justice a décidé de saisir la Cour suprême américaine dont la décision devrait intervenir en juin 2018. Cette procédure a donné lieu à une trentaine d’amicus curiae (intervention volontaire qui permet de faire part de son point de vue devant la Cour suprême, lorsque des enjeux juridiques et sociaux sont importants). La liste des différents amicus curiae est disponible sur le blog de la Cour Suprême américaine  http://www.scotusblog.com/case-files/cases/united-states-v-microsoft-corp/

 

Deux mémoires sont notables :

 

- D’une part le mémoire de l’association des barreaux européens [7] : qui souhaite alerter sur les enjeux du secret des correspondances entre un avocat et son client En substance, le Conseil des barreaux européens a rédigé un mémoire en soutien à la société Microsoft et dénonce une décision qui pourrait étendre considérablement la capacité du gouvernement américain à se saisir de communications électroniques situées en dehors des USA ».

 

Dès lors, le CCBE met en avant le risque pour la protection de la vie privée des européens et le droit à la confidentialité des avocats dans leurs correspondances avec leurs clients. Il rappelle que le secret professionnel, et l’inviolabilité des communications avec l’avocat est une condition préalable et indispensable au procès équitable.

 

- D’autre part, le mémoire de la Commission européenne [8] qui souhaite s’assurer de la bonne compréhension par la Cour suprême de la législation européenne concernant la protection des données personnelles à la veille de l’entrée en application du RGPD. L’amicus curiae de la Commission européenne est « in support of neither party », la Commission européenne n’apportant son soutien ni aux Etats-Unis ni à Microsoft.

 

Pour rappel, l’Union européenne signale qu’elle fixe des limites strictes aux transferts hors de l’Union européenne grâce à 3 mécanismes (les transferts sur décision d’adéquation, les transferts grâce à des mécanismes appropriés, les transferts fondés sur des règles d’entreprises contraignantes) et souligne que c’est donc un niveau élevé de protection des données que doivent respecter les pays tiers s’ils souhaitent traiter des données relevant du champ d’application du RGPD.

 

2. L’affaire « Origine du monde » contre Facebook, Cour d’appel de Paris du 16 février 2016

 

L’affaire dite « Origine du Monde » contre Facebook est une affaire qui soulève des enjeux en matière de protection des consommateurs sur le réseau social Facebook. [9] À l’origine de cette affaire, un professeur de l’éducation nationale avait posté sur son « mur » (page personnelle) un célèbre tableau du peintre Courbet « l’Origine du Monde ». Le compte du professeur a été suspendu en raison de la violation par ce dernier des conditions générales d’utilisation du réseau social, le tableau étant considéré comme pornographique selon Facebook.

 

Ce professeur a souhaité contester cette décision pour atteinte à la liberté d’expression, alors que Facebook estimait que les juridictions françaises n’étaient pas compétentes, au vu de ses conditions générales d’utilisation du réseau social prévoyant une clause attributive de juridiction au profit de la juridiction de Santa Clara aux États-Unis.

 

Dans ce litige, la Cour d’appel de Paris a notamment relevé que ce professeur était bien un consommateur et décidé d’appliquer les règles du droit de la consommation, notamment les dispositions de l’article L. 132-1 du code de la consommation (ancien article applicable en l’espèce) sur les clauses abusives. La Cour a relevé que cette clause insérée dans les conditions générales d’utilisations de Facebook avait pour objet de supprimer ou entraver l’exercice d’actions en justice ou des voies de recours par le consommateur » (article R. 132-2 du code de la consommation). Ainsi :« Que dès lors, la clause attributive de compétence au profit des juridictions californiennes contenue dans le contrat a pour effet de créer, au détriment du non-professionnel ou du consommateur, un déséquilibre significatif entre les droits et obligations des parties au contrat ; qu’elle a également pour effet de créer une entrave sérieuse pour un utilisateur français à l’exercice de son action en justice (…) Considérant que l’ordonnance déférée sera dans ces conditions confirmée en ce qu’elle a déclaré la clause attributive du contrat abusive et réputée non écrite et retenu la compétence du tribunal de grande instance de Paris pour statuer sur le litige opposant M.X à la société Facebook Inc »

 

A suivre avec la décision de la Cour de Cassation sur ce dossier...

 

3. Schrems et les futures actions de groupe en matière de données personnelles ?

 

Comme nous l’écrivions dans notre précédent article, M. Schrems avait posé une question préjudicielle à la Cour de justice de l’Union européenne aux fins de savoir dans quelle mesure il pouvait engager une action de groupe à l’encontre de Facebook.

 

Le 25 janvier dernier, la Cour a relevé que M. Schrems pouvait, pour son compte engager une action de groupe devant les juridictions de son domicile, peu important son activité commerciale postérieure mais qu’en revanche, il ne le pouvait pas, en tant que cessionnaire des droits d’autres consommateurs.

 

L’actualité de ce sujet présente un intérêt particulier au regard du droit français, puisque a été adopté par l’Assemblée nationale, le 8 février dernier, l’amendement pour une action de groupe collective en matière de données personnelles.

 

En effet, le nouvel article 43 ter de la loi LIL 3, précédemment modifié par l’article 91 de la loi du 18 novembre 2016 relative à la modernisation de la justice du XXIème siècle, a ouvert la possibilité d’une action de groupe ayant subi un dommage causé par un manquement à la LIL. Cette loi a anticipé en partie les dispositions du RGPD qui concernent les voies de recours, responsabilité et sanctions (Voir les articles 77 à 84).

 

L’article 80 du RGPD prévoyait en effet la possibilité pour les personnes « le droit de mandater un organisme, une organisation ou une association à but non lucratif, qui a été valablement constitué conformément au droit d’un État membre, dont les objectifs statutaires sont d’intérêt public et qui est actif dans le domaine de la protection des droits et libertés des personnes concernées dans le cadre de la protection des données à caractère personnel les concernant, pour qu'il introduise une réclamation en son nom, exerce en son nom les droits visés aux articles 77, 78 et 79 et exerce en son nom le droit d'obtenir réparation visé à l'article 82 lorsque le droit d'un État membre le prévoit».

 

Cet article sera ainsi modifié :

 

1° Le III est remplacé par un alinéa ainsi rédigé :

 

« Cette action peut être exercée en vue soit de la cessation du manquement mentionné au deuxième alinéa, soit de l’engagement de la responsabilité de la personne ayant causé le dommage afin d’obtenir la réparation des préjudices matériels et moraux subis, soit de ces deux fins. » ;

 

2° Le IV est complété par un alinéa ainsi rédigé :

 

« Lorsque l’action tend à la réparation des préjudices subis, elle s’exerce dans le cadre de la procédure individuelle de réparation définie au chapitre Ier du titre V de la loi n° 2016‑1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle. »

 

Cette nouvelle disposition va donc plus loin, et permet non seulement la cession du manquement mais également la possibilité de demander une répartition des préjudices matériels et moraux subis (v. l’article 82 du RGPD « droit à la réparation et responsabilité »).

 

C’est un avertissement envoyé aux acteurs du web qui devront désormais prendre les mesures nécessaires afin de respecter la législation sur les données personnelles.

 

Les discussions législatives vont se poursuivre en mars prochain au Sénat. A suivre donc en particulier sur ce point.

4. Un personne suspectée d’avoir commis une infraction doit-elle fournir sa clé de déchiffrement ? Le Conseil constitutionnel va trancher

 

Le 10 janvier dernier [10], la Cour de cassation a posé une question prioritaire de constitutionnalité au Conseil constitutionnel à  ce sujet.

 

Les faits de l’espèce concernaient les dispositions de l’article 434-15-2 du code pénal qui dispose que : « Est puni de trois ans d'emprisonnement et de 270 000 € d'amende le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d'un moyen de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en œuvre, sur les réquisitions de ces autorités délivrées en application des titres II et III du livre Ier du code de procédure pénale.

 

Si le refus est opposé alors que la remise ou la mise en œuvre de la convention aurait permis d'éviter la commission d'un crime ou d'un délit ou d'en limiter les effets, la peine est portée à cinq ans d'emprisonnement et à 450 000 € d'amende. »

 

Ainsi, une personne suspectée dans le cadre d’une procédure pénale, serait tenue, en vertu de ce texte, sous peine de sanctions, de transmettre aux enquêtes la convention secrète de déchiffrement (les clefs de chiffrement étant utilisées pour protéger des communications privées, que ce soit pour protéger des mails, des échanges par SMS, des échanges sur des réseaux sociaux, etc).

 

La question posée au Conseil constitutionnel est la suivante : les dispositions de l’article 434-15-2 du code pénal « sont-elles contraires au principe du droit au procès équitable prévu par l’article 16 de la Déclaration des Droits de l’homme et du Citoyen du 26 août 1789, au principe de la présomption d’innocence, duquel découle droit de ne pas s’auto-incriminer et le droit de se taire, prévu à l’article 9 de la Déclaration des Droits de l’Homme et du Citoyen du 26 août 1789 ?"

 

Nous reviendrons plus tard sur cette affaire et ses conséquences.

 

 

 

Références

 

[1] Page 10 de la Proposition du Parlement européen et du Conseil sur la réforme e-privacy

http://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:52017PC0010&from=EN

[2] http://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:52017PC0010&from=EN

[3] Page 5 de la Proposition du Parlement européen et du Conseil sur la réforme e-privacy

http://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:52017PC0010&from=EN

[4] Voir le Considérant 23 et article 8 de la Proposition du Parlement européen et du Conseil sur la réforme e-privacy

[5]http://www.ccbe.eu/fileadmin/speciality_distribution/public/documents/Pressreleases/2018/FR_SVL_20180125_PR_0418.pdf

[6] https://www.supremecourt.gov/DocketPDF/17/17-2/23655/20171213123137791_17-2%20ac%20European%20Commission%20for%20filing.pdf

[7] https://www.supremecourt.gov/DocketPDF/17/17-2/28246/20180118123639107_17-2%20Council%20of%20Bars%20and%20Law%20Societies%20Amicus%20Brief.pdf

[8] https://www.supremecourt.gov/DocketPDF/17/17-2/23655/20171213123137791_17-2%20ac%20European%20Commission%20for%20filing.pdf

[9] https://www.cottineau.net/wp-content/uploads/2016/02/facebook-jugement-cour-appel-paris-12-fevrier-2016.pdf

[10] https://www.courdecassation.fr/jurisprudence_2/qpc_3396/3478_10_38354.html

 

PROTECTION DES DONNEES ET RGPD : Jérôme Deroulez a rédigé un article dans la revue pratique de la prospective et de l'innovation d'octobre 2017 sur la mise en oeuvre du privacy-by-design

Privacy by design: comment mettre en musique norme juridique et exigences technologies avec le RGPD?  

L’entrée en application du nouveau règlement général sur la protection des données personnelles (RGPD http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679) en mai 2018 va entraîner une révolution copernicienne dans la mise en œuvre concrète du droit à la protection des données personnelles.

 

Contenu du principe de privacy by design (RGPD)

 

Au titre de ces innovations, l’article 25 du futur règlement (RGPD) prévoit un principe de protection des données dès la conception d’un traitement (privacy-by-design) : compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu'au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée.

 

Privacy by design et accountability

 

Ainsi, les mécanismes existants de notification préalable ou d’autorisation seront remplacés par une démarche plus globale de responsabilisation ou d’accountability. En conséquence et au vu de l’article 25 du RGPD, les responsables de traitement devront être en mesure de démontrer à postériori toutes les mesures prises pour prévenir les risques de sécurité tout en garantissant simultanément un haut niveau de protection des données personnelles.

 

Privacy by design et mesures techniques dans le RGPD?

 

Les contours de cette obligation dépassent largement la sphère juridique puisqu’ils imposent de mettre en place des mesures techniques et organisationnelles et d’en contrôler le caractère adéquat ou approprié. Ces dispositions marquent ainsi la nécessité et la difficulté pour le juriste en général et l’avocat en particulier de posséder une expertise spécifique de ces technologies pour en apprécier la portée et l’effectivité.

 

PROTECTION DES DONNEES PERSONNELLES: Jérôme Deroulez a publié un article sur la protection et la sécurité des données dans la Semaine Juridique du 16 octobre 2017 (JCP G)

PROTECTION ET SECURITE DES DONNEES PERSONNELLES  

Alors que les « fuites » de données personnelles sont devenues un sujet médiatique, le sujet de la sécurité et de la protection des données personnelles constitue aujourd’hui un enjeu juridique sensible, en plus de l’impératif technique.

 

CNIL et renforcement de la protection des données personnelles

 

En effet, l’accroissement des pouvoirs de sanctions de la CNIL et des autorités de contrôle européennes, avec l’entrée en vigueur de la loi n°2016-1321 du 7 octobre 2016 pour une République numérique et du règlement général sur la protection des données personnelles UE 2016/679 (http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679 RGPD), crée une nouvelle donne notable.

 

Deux délibérations à noter en matière de protection des données personnelles

 

En témoignent deux délibérations de la CNIL prononcées les 18 et 20 juillet 2017 contre les sociétés HERTZ et OUICAR et qui délimitent concrètement les obligations à charge des responsables de traitement et de leurs sous-traitants.

 

Ces deux délibérations qui obéissent à un contexte spécifique en dépit de nombreux traits communs constituent un rappel utile à la veille de l’entrée en application du règlement général sur la protection des données (RGPD).

BLOCKCHAIN : Jérôme DEROULEZ a rédigé un article dans la Semaine Juridique du 18 septembre 2017 - "Blockchain et données personnelles, quelle protection de la vie privée?"

L’avenir de la blockchain ( https://twitter.com/JCP_G ) est en partie lié à la façon dont cette technologie intégrera les préoccupations relatives à la vie privée. Son développement économique passe ainsi par la prise en compte des législations et des réglementations en matière de compliance, de KYC ou de protection des données personnelles, gage de sécurité juridique et de confiance. Une telle étape peut sembler difficile sinon complexe au vu des spécificités de la blockchain, en apparence rétive à toute forme de régulation. Pourtant ce processus est déjà entamé et témoigne des usages envisageables de cette technologie de stockage et de transmission d’information au regard de la protection des données personnelles. http://www.tendancedroit.fr/wp-content/uploads/2017/09/EtudeJCPG-38.pdf  

Blockchain et RGPD

 

Le droit à la protection des données connaît un regain d’intérêt avec l’entrée en application le 25 mai prochain du règlement européen relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) d’une part et la jurisprudence active de la Cour de justice de Luxembourg d’autre part, comme en témoignent ses arrêts récents ou son avis du 26 juillet dernier au sujet des transferts de données passagers. La construction européenne du droit à la protection des données voit ainsi le champ d’application de ses dispositions s’étendre de façon importante, depuis les traitements relevant de la matière civile ou commerciale aux fichiers dits de souveraineté. De plus, le contrôle exercé par la Cour de justice sur les transferts internationaux de données et l’inclusion dans le champ d’application géographique du règlement des activités dirigées vers l’Union européenne contribuent à élargir encore les traitements de données visés.

 

Blockchain et effectivité de la vie privée

 

Par ailleurs le développement des nouvelles technologies suscite de nouveaux défis quant à l’effectivité du droit à la protection des données personnelles. En effet, l’essor des réseaux sociaux, la montée en puissance du cloud computing ou l’explosion du e-commerce sont autant de nouveaux paris à relever avec en filigrane la question de l’application extraterritoriale de la loi. Dans le même temps, les possibilités techniques d’interception des communications et des messageries se sont multipliées, facilitant la surveillance de la vie privée à grande échelle. L’irruption de la blockchain dans ce paysage mouvementé ajoute un élément de complexité supplémentaire.

 

Généralement définie comme une technologie de stockage et de transmission d’information, transparente, sécurisée et fonctionnant sans organe de contrôle, la blockchain présente l’intérêt et la réputation d’être sécurisée, distribuée et de pouvoir être partagée par tous ses utilisateurs, sans intermédiaire, chacun pouvant vérifier la validité de la chaîne. Technologie disruptive présentant de très nombreuses applications et potentialités, elle suscite une attention grandissante à la hauteur des investissements consentis et un intérêt marqué des régulateurs et des législateurs.

 

Privacy vs Blockchain 

 

La confrontation entre le droit à la protection des données personnelles et la technologie blockchain ouvre des champs d’analyse et de prospective très vastes : le développement de la blockchain pourrait-il entraver ou limiter le droit à la protection des données ? La blockchain est-elle la promesse sombre d’une forme d’identification ou de surveillance sans limite ? Comment la blockchain pourrait-elle intégrer les préoccupations liées au respect de la vie privée dans le cadre de son évolution ? Ces questions sont loin d’être théoriques aujourd’hui. En effet, cette problématique blockchain/vie privée fait l’objet de nombreux débats, en Europe et aux États-Unis suscitant aussi bien l’expertise des régulateurs, des législateurs, des universités et des centres de recherches que des communautés impliquées, en se caractérisant toutefois par une grande diversité des positions à la lumière de la complexité de cette technologie.

 

Le développement de la blockchain – comme la multiplication de ses cas d’usages – pourrait s’avérer un frein à la montée en puissance du droit à la protection des données personnelles du fait de ses caractéristiques techniques. Cette technologie pourrait également être entravée ou limitée du fait de réglementations peu incitatives, en réponse à des dérives régulièrement critiquées (anonymat, blanchiment, fraude etc.). Pour autant, force est de constater que le droit de la protection des données personnelles présente de nombreuses affinités avec la technologie blockchain, ne serait-ce qu’au regard de l’utilisation de cryptographie pour assurer la sécurité des données. Cet article évoquera donc les défis que la blockchain doit résoudre en matière de protection de la vie privée et des données personnelles comme les solutions qui pourront être apportées le cas échéant, cette technologie pouvant constituer le creuset de techniques novatrices de protection des données tout en sécurisant les nouveaux marchés liés au Big Data et au numérique.

 

DONNEES PERSONNELLES : nouveau coup de semonce de la Cour de Luxembourg

La Cour de Justice de l'Union européenne a rendu le 26 juillet dernier son avis au sujet de l'accord PNR UE / Canada suite à la demande émise par le Parlement européen le 30 janvier 2015 (http://curia.europa.eu/juris/document/document.jsf?text=&docid=193216&pageIndex=0&doclang=fr&mode=lst&dir=&occ=first&part=1&cid=964955). Dans son avis, la Cour a estimé que cet accord était incompatible avec la Charte des droits fondamentaux. Elle a marqué une nouvelle étape dans sa construction jurisprudentielle du droit à la protection des données personnelles en Europe.

Contenu de l'avis PNR UE/Canada

De quoi s'agit-il? Comme avec les Etats-Unis ou l'Australie, l'Union européenne a négocié cet accord avec le Canada afin de pouvoir transférer les données des passagers aériens (données PNR) à des fins de lutte contre le terrorisme et d'autres formes de criminalité transnationale. Ces données énumérées dans l'accord peuvent dès lors être conservées, utilisées voire transférées vers des pays tiers par les autorités canadiennes. Du fait de la sensibilité de tels transferts, ces négociations ont été marquées par des passes d'armes entre Conseil et Parlement européen. La saisine de la Cour pour avis, avant conclusion de l'accord, avait pour objet de vérifier la base juridique de l'accord et sa compatibilité avec la Charte et les traités européens.

Appréciation de la CJUE sur l'accord PNR

Analyse de la CJUE. La Cour a d'abord rappelé que cet accord devait être apprécié dans sa double composante, sécurité publique et protection des données passagers, sanctionnant l'absence de base juridique dédiée (en l'espèce l'article 16§2 TFUE). Si la Cour n'a pas remis en cause le principe du transfert de ces données au vu de l'objectif de protection de la sécurité et de la sûreté publique, elle a néanmoins souligné les incompatibilités entre certains points de l'accord et la charte des droits fondamentaux.

Parmi ses réserves figurent notamment la délimitation des données PNR à transférer, le transfert de données sensibles, l'absence de limitation au strict nécessaire des données PNR comme les conditions de leur communication à des autorités publiques canadiennes ou encore l'absence de surveillance du respect des règles de l'accord par une autorité indépendante.

En conséquence, la Cour a dressé la liste des points devant être repris pour que cet accord puisse être compatible avec la Charte des droits fondamentaux. Liste des points qui pourrait être complexe à mettre en oeuvre (par exemple sur le droit à l'information individuelle des passagers aériens en cas d'utilisation de leurs données).

Quelles suites pour les accords PNR ?

Conséquences. Si cet avis témoigne d'une construction étape par étape d'une jurisprudence méthodique de la CJUE en faveur du droit à la protection des données personnelles, il devrait aussi avoir de nombreuses conséquences politiques et juridiques. Quid du devenir de cet accord qui devait encore être conclu et de la période transitoire mise en place pour encadrer les transferts de données PNR? Comment adapter l'accord et surtout convaincre le Canada de prendre en compte l'avis de la Cour? Quelle portée vis à vis des accords PNR existants ou de la directive PNR-UE? Quelle portée pour les compagnies aériennes et les prestataires privés assurant la mise en oeuvre de ces transferts?

Cette liste non exclusive témoigne de l'importance de cet avis qui devrait également entraîner une réévaluation des positions européennes et des directives de négociations de l'Union européenne face à ses partenaires européens. Le signal envoyé par la CJUE a dès lors clairement une portée internationale et marque une nouvelle étape dans l'encadrement et la limitation des transferts de données en masse.

Un nouvel avertissement?

De façon plus générale, cet avis marque l'insistance de la Cour à dégager des marqueurs clairs d'un niveau efficace de protection des données personnelles. Qu'il s'agisse de la lutte contre le terrorisme (PNR, directive rétention des données) ou des transferts de données en matière civile ou commerciale (Safe Harbor), la Cour a dégagé de nombreux critères permettant d'attester ou non du respect des règles européennes.

A la veille de l'entrée en vigueur en mai 2018 du règlement général sur la protection des données personnelles, c'est un nouvel avertissement qui est adressé, bien au-delà du seul cadre des données PNR.

http://curia.europa.eu/juris/document/document.jsf?text=&docid=193216&pageIndex=0&doclang=fr&mode=lst&dir=&occ=first&part=1&cid=621924

Silhouettes of business people traveling on airport; waiting at the plane boarding gates.

Silhouettes of business people traveling on airport; waiting at the plane boarding gates.

GDPR, données personnelles et risque pénal : article de Jérôme Deroulez dans la Lettre des Juristes d'Affaires du 10 juillet 2017.

Quelles conséquences avec la mise en œuvre du RGPD en matière pénale ? 

Plus de sanctions ? Plus de compliance ? Plus de CNIL ? Plus de juge ? Encore beaucoup d’incertitudes si près de la date butoir…

Aujourd’hui, l’effectivité du droit à la protection des données personnelles est garantie par des sanctions pénales prévues aux articles 226-16 et suivants du Code Pénal qui complètent le dispositif de la loi Informatique et libertés du 6 janvier 1978.

L’application du nouveau règlement européen sur la protection des données personnelles (GDPR) à partir du 25 mai 2018 va rebattre les cartes de ce dispositif complexe. En effet,  en abrogeant la directive 95/46 dont la transposition avait déjà entrainé de nombreuses modifications de la loi de 1978, ce texte remet en cause plusieurs mécanismes existants.

Ainsi, le GDPR consacre le principe clé d’accountability –obligation de prouver la conformité- et supprime les formalités et déclarations préalables en les remplaçant par de nouvelles obligations (mise en œuvre d’études d’impact, notification des failles de sécurité, documentation, data protection officer, etc...).

Le droit pénal existant sur ce sujet va être impacté par le règlement, même si les modifications à venir restent difficiles à évaluer. Du fait d’un nombre important de renvoi au droit national et au vu des innovations apportées, le GDPR nécessite une adaptation législative partiellement anticipée par la loi pour une République numérique du 7 octobre 2016 et qui doit encore être complétée avant la date butoir de mai 2018.

GDPR: Que va faire le  législateur français ?

Il a la mission délicate d’adapter le régime des sanctions applicables comme leur périmètre, au-delà des sanctions administratives pouvant être prononcées par la CNIL, afin de déterminer notamment si un dispositif pénal doit sanctionner certains manquements visés par le règlement. Les dispositions relatives au non accomplissement des formalités préalables devront aussi être modifiées et éventuellement remplacées ; de la même façon les sanctions prévues en cas de non-respect d’une injonction de cesser un traitement ou de retrait d’autorisation prononcé par la CNIL pourraient être amendées avec la refonte du dispositif général.

La liste des délits visés aux articles 226-17-1 pourrait enfin être étoffée pour tenir compte des nouvelles prescriptions du règlement et renforcer l’obligation générale de sécurité des données. Ces futurs débats portent des enjeux importants pour préciser la portée du règlement et apprécier l’architecture globale des sanctions prévues.

Ainsi, il faudra – pour les praticiens - suivre les choix législatifs qui seront faits au vu du recours ou non à de nouvelles sanctions pénales et du rôle laissé au juge pénal vis-à-vis de la CNIL qui bénéficie quant à elle de prérogatives renforcées et de nouvelles modalités de coopération avec ses homologues européennes.

La philosophie de ce règlement (GDPR) promeut une forme de conformité dynamique, de façon proactive et anticipée. Quelle voie choisira le législateur ? Et comment se préparer en entreprise ? A ce titre, la montée en puissance de la problématique « données personnelles » comme sa sensibilité (en matière de transferts internationaux de données ou d’obligations de KYC - Know Your Customer par exemple) militent en faveur de son intégration dans les programmes de compliance. Un tel réflexe sera ainsi de nature à prévenir et anticiper de façon globale le risque pénal, comme le risque de sanctions financières.

Article publié dans la LJA le 10 juillet 2017. https://twitter.com/JuristesAffaire?lang=fr

PROTECTION DES DONNEES, RESPECT DE LA VIE PRIVEE ET LIBERTE D'EXPRESSION

Arrêt intéressant de la CEDH du 27 juin 2017 (Grande Chambre - Aff Satakunnan Markkinapörssi OY et Satamedia OY c/ Finlande. Requête 931/13) s'agissant de la conciliation entre protection des données, protection de la vie privée et liberté d'expression, à propos de la publication par la presse finlandaise de données fiscales de personnes physiques.

Historique

La CJUE d'abord saisie en 2008 d'une question préjudicielle dans ce dossier (C-73-07) avait estimé que ces activités pouvaient être qualifiées de traitements de données à caractère personnel tout en reconnaissant que leur divulgation pouvait entrer dans l'activité de journalisme et donc être couverte par la dérogation prévue par la directive 95/46.

Saisie en 2010, la CEDH a relevé les normes pertinentes de l'Union européenne dont la charte des droits fondamentaux et fait directement référence au futur règlement UE 2016/679 -et à ses dérogations aux fins de journalisme héritées de la directive 95/46.

Elle a aussi cité la jurisprudence de la CJUE sur la protection des données et la liberté d'expression, au vu de ses multiples rappels soulignant que les dispositions du droit européen sur la protection des données devaient être interprétées à la lumière des droits fondamentaux garantis par la Convention et par la Charte.

Liberté de la presse, protection des données et vie privée

Après un rappel exhaustif de la jurisprudence de la CJUE en matière de protection des données, la CEDH a noté les spécificités de cette affaire (au vu du large accès du public aux données fiscales en cause) et souligné les principes généraux gouvernant sa propre jurisprudence, en terme de liberté de la presse, de droit à la vie privée et de protection des données.

Elle a estimé enfin qu'il n'y avait pas eu de violation de l'article 10 de la convention relatif sur la liberté de la presse et que les autorités finlandaises avaient tenu compte des principes et des critères de sa jurisprudence, quant à la mise en balance du droit au respect de la vie privée et du droit à la liberté d'expression, en agissant dans les limites de leur marge d'appréciation et en ménageant un juste équilibre entre les intérêts concurrents en jeu.

Cet arrêt est intéressant à plus d'un titre, dans la mesure où il éclaire les principes généraux gouvernant les jurisprudences de la CEDH et de la CJUE en matière de respect de la vie privée, de protection des données personnelles et de droit à la liberté d'expression, en fournissant un panorama exhaustif.

L'arrêt en question souligne aussi les apports croisés de ces différentes jurisprudences et la double protection apportée à ces droits, tant par la Cour de Luxembourg que par la Cour de Strabourg et leur souci d'un exercice concret de ces droits. Il rappelle enfin, à travers les opinions dissidentes, les débats sur la notion d'activité journalistique et ses contours comme sur la mise en balance de droits concurrents.

Protection des données, CJUE et CEDH

Il sera intéressant d'observer à l'avenir comment la montée en puissance du droit à la protection des données personnelles, consacré comme droit fondamental par le traité de Lisbonne continuera à être traduite concrètement dans les futures jurisprudences des deux Cours. A noter également la référence au GDPR (règlement 2016/679) par la CEDH.

PRIVACY SHIELD: AVERTISSEMENT DU PARLEMENT EUROPEEN

BRUXELLES: Le Parlement européen a adopté à une large majorité (306 votes en faveur, 240 votes contre) le 6 avril une résolution faisant part de ses inquiétudes au sujet du niveau de protection des données assuré par l'accord transatlantique Privacy-Shield. Au vu des nouvelles dispositions élargissant le périmètre de la NSA (notamment les nouvelles dispositions intervenues en janvier 2017 autorisant la collecte de données personnelles en masse, en dehors du cadre judiciaire) et des votes intervenus au Congrès en mars dernier (cf notre dernier article), les parlementaires européens estiment que le Privacy Shield pourrait être mis en cause. Ce vote est une première alarme à destination de la Commission et des autorités américaines avant l'évaluation conjointe qui doit avoir lieu en septembre prochain.

A travers cette résolution, le Parlement européen rappelle son inquiétude quant aux garanties concrètes apportées en matière de protection des données personnelles par les autorités américaines et de l'effectivité de leur engagement à mettre en oeuvre les dispositions souhaitées par l'Union européenne. A défaut de réponse claire, cet accord pourrait être remis en cause, alors que plus de 1900 entreprises ont adhéré à ses principes.

 

VIE PRIVEE UE/US : Le Congrès américain a révoqué les règles relatives à la vie privée dans le secteur des télécoms : quelles conséquences ?

Après le Sénat, la chambre des Représentants a supprimé le 29 mars 2017 les règles protectrices de la vie privée qui avaient été imposées aux fournisseurs d’accès Internet. Ces règles qui n’étaient pas encore applicables imposaient à ces sociétés de recueillir le consentement de leurs clients avant de commercialiser leurs données (par exemple leur historique de navigation). Ce vote constitue un nouveau signal de recul sur le terrain de la vie privée et la Commission européenne s’est inquiétée ce matin de ces nouvelles remises en causes des droits des citoyens européens sur le territoire américain, à l’occasion du traitement de leurs données personnelles.

A titre provisoire, plusieurs conséquences sont envisageables :

  • Une remise en cause éventuelle du Privacy Shield UE-US, au vu de l’amoindrissement des garanties apportées par les Etats-Unis alors que ces garanties constituent un pan essentiel de cet accord (du fait des exigences formulées par le droit européen et de la jurisprudence de la CJUE) ;

  • Une déstabilisation des autres accords existants qui incluent des volets « protection des données personnelles » : c’est le cas par exemple de l’accord concernant le transfert des données passagers (PNR) ;

  • Le risque d’une évolution législative diamétralement opposée entre les Etats-Unis et l’Union européenne en termes de protection des données personnelles, rendant le cadre juridique applicable plus complexe pour l’ensemble des acteurs économiques ;

  • Des difficultés accrues pour les opérateurs devant appliquer et respecter tant les législations européenne et américaine en la matière ;

  • La montée d’une forme d’inquiétude quant au traitement et à l’utilisation des données personnelles par ces fournisseurs d’accès internet, inquiétude qui pourrait à terme générer des risques de réputation ou favoriser la montée en puissance de solutions alternatives.

Le déplacement de V. Jourova à Washington la semaine prochaine au sujet du Privacy Shield sera une occasion de tester les préoccupations européennes comme leur accueil par les autorités américaines.

Lock on the laptop keyboard background

Lock on the laptop keyboard background

BIG DATA : Jérôme Deroulez a présidé la table ronde sur la "personnalisation" de la loi au Sénat dans le cadre du colloque Big Data (17 mars 2017)

BIG DATA: Colloque organisé au SENAT au sujet du BIG DATA et de ses enjeux juridiques. Ce colloque était co-organisé par l'Université de Lorraine, l'Université de Chicago, l'IHEJ et le Cercle Montesquieu au sujet des implications juridiques du BIG DATA.

Jérôme DEROULEZ a présidé la table ronde consacrée à la personnalisation de la loi, dans le cadre de ce colloque:

Chair: Jérôme Deroulez, Attorney at Law, Member of the Paris Bar Incubator; Anthony J. Casey, Professor of Law, University of Chicago School of Law, The End of Rules and Standards; David Restrepo Amariles, Professor of law, HEC Paris, Law’s Learning Algorithm: Making Rules Fit through Big Data; Ariel Porat, Professor of Law, Tel Aviv University, and Visiting Professor of Law, University of Chicago, Personalized Negligence Law and Big Data.

Les interventions ont porté notamment sur les conséquences de l'utilisation de l'intelligence artificielle ou des données en masse au vu du recours au BIG DATA. Ces présentations ont été suivies par un échange avec la salle.

Interventions à retrouver sur YouTube:

https://www.youtube.com/watch?v=8p5ZSODJ20Y&feature=youtu.be

 

PROTECTION DES DONNEES PERSONNELLES: Jérôme DEROULEZ est intervenu le 9 décembre à Bruxelles (DBF) au sujet du droit de la concurrence et de la détention de données.

PROTECTION DES DONNEES : Jérôme DEROULEZ est intervenu le 9 décembre à Bruxelles (DBF) au sujet du droit de la concurrence et de la détention de données. Droit de la concurrence et protection des données (https://twitter.com/dbfbxl/status/807210302743920640?lang=fr ) :

 

Cette session organisée par la Délégation des Barreaux de France avait pour objet d'évoquer les enjeux croisés du droit de la concurrence, de la détention de données, du Big Data et de la protection des données. ( https://www.dbfbruxelles.eu/wp-content/uploads/2016/12/PROGINSCRIPTIONCONCURRENCE.pdf )

 

De nombreux points ont été évoqués et notamment la possibilité d'une appréciation ou non par les autorités de la concurrence du respect ou non des règles de protection des données personnelles. Ou de l'impact de la législation sur la protection des données sur d'autres politiques et notamment en matière de concurrence. Les récents rapports des autorités française et allemande de la concurrence ont été évoqués à ce sujet ( http://www.autoritedelaconcurrence.fr/doc/rapport-concurrence-donnees-vf-mai2016.pdf ).

RGPD ET PROTECTION DES DONNEES PERSONNELLES: Intervention de Jérôme DEROULEZ à Lille dans le cadre de la conférence le Village byCA-NDF (23 novembre 2016)

RGPD et données personnelles: Présentation des grandes lignes de la réforme de la protection des données personnelles, suite à l'adoption du GDPR et à ses conséquences dans le domaine bancaire. Passage en revue des points clés du règlement européen et des modalités de mises en oeuvre ( https://www.euratechnologies.com/agenda/conference-objets-connectes-big-data-nouvelles-regles-europeennes-big-bang-de-protection-donnees-personnelles/ ).

A suivre sur YouTube: https://www.youtube.com/watch?v=IA4NkYZh9t8&feature=youtu.be

Actualité de la protection des données

De nombreux développement dans l’actualité de la protection des données en Europe et aux Etats-Unis. Une actualité marquée par de nombreux chantiers législatifs alors que la mise en oeuvre de ces législations vis à vis d’un monde numérique en pleine évolution se pose de plus en plus. Privacy Shield

Suite à l’adoption définitive du Privacy Shield le 12 juillet dernier, le secrétaire d’Etat américain au Commerce, Penny Pritzker a mis en place le 1er août le mécanisme d’auto-certification pour les entreprises américaines participant à ce programme. 200 sociétés selon les derniers chiffres disponibles y participeraient d’ores et déjà, dont Microsoft, Salesforce ou encore Google, cet engouement montrant la nécessité d’un cadre juridique sécurisé pour les transferts de données entre l’Union européenne et les Etats-Unis.

Des réserves demeurent toujours : certaines d’entre elles ont été exprimées par le G29 -qui regroupe les autorités de protection des données européennes- dans son avis du 29 juillet dernier[1]. Ce comité a souligné ses préoccupations quant au manque de garanties précises concernant l’accès des autorités publiques aux données transférées aux Etats-Unis. Le G29 a d’ores et déjà pris date pour la première évaluation annuelle conjointe du Privacy Shield et souligné qu’il se pencherait alors sur l’effectivité ou non des garanties mises en place.

L’adoption du Privacy Shield n’est qu’une étape. Si sa mise en place implique un suivi attentif, sa portée à moyen et long terme reste encore sujette à caution. Rappelons aussi que le Congrès américain s’est inquiété de la remise à cause à terme par la Cour de Justice de l’Union européenne d’accords visant d’autres flux de données transatlantiques (transport aérien par exemple).

Révision de la directive vie privée : le chantier se poursuit

La Commission européenne avait indiqué quels objectifs elle poursuivait avec la révision de la directive privée[2] (assurer la cohérence avec le règlement protection des données, moderniser les dispositions de la directive au vu des innovations technologiques, renforcer la sécurité et la confidentialité des communications en Europe). Elle a organisé une consultation publique qui s’est terminée le 5 juillet dernier, en complément des travaux menés avec les parties prenantes sur le sujet.

Le G29 a rendu le 19 juillet dernier son avis sur ce chantier[3] en soulignant que :

  • Des règles européennes spécifiques pour les communications électroniques devaient être conservées ;

  • Un haut niveau de protection des données personnelles devait être assuré, grâce à la cohérence entre la future directive et le règlement protection des données ;

  • Le champ d’application de la directive devait être précisé, au regard notamment de ses définitions et des catégories de services visées ;

  • La protection de la confidentialité des communications électroniques ou des services fonctionnant de façon équivalente restait un objectif essentiel (à articuler avec les impératifs de conservation des données) : à cet égard le G29 appelait à réécrire l’article 5§3 (confidentialité des communications) ;

  • Les dispositions sur les failles de sécurité devaient être supprimées, afin d’éviter les doublons avec le règlement protection des données.

Cet avis devra être apprécié à la lumière des autres avis publiés et notamment du contrôleur européen à la protection des données[4] qui milite aussi en faveur d’une clarification du cadre juridique au regard de la charte des droits fondamentaux, de l’extension du champ de la directive vie privée et d’une plus grande protection de la confidentialité des communications.

Le règlement protection des données constitue d’ores et déjà une ligne de négociation difficile à contourner par les opérateurs du secteur. Par ailleurs, si la transformation de la directive 95/46 en règlement a rebattu les cartes du principe de son articulation avec la directive vie privée, reste à en décliner les modalités concrètes sur de nombreux points (failles de sécurité, limitations etc.). Ce qui sera particulièrement délicat.

Politique de confidentialité

A noter par ailleurs, les préoccupations exprimées par les régulateurs européens au sujet des nouvelles conditions d’utilisation de Whatsapp et des changements en terme de politique de confidentialité. Le bureau britannique en charge de la protection de la vie privée (ICO) a annoncé avoir ouvert une enquête le 26 août, en l’absence de précision de la part de l’entreprise sur l’étendue du partage de données. La CNIL pour le G29 a aussi noté ses préoccupations.

Ce dossier devra être suivi de près dans les mois qui viennent car il montre que les changements de règles de confidentialité ou de partage des données apparaissent de plus en plus comme des outils à manier avec précaution. A défaut, les conséquences en termes d’image ou de réputation peuvent être pénalisantes.

A suivre : une décision de la Cour d’appel de Manhattan[5] du 14 juillet dernier a estimé que Microsoft n’avait pas à transmettre aux autorités américaines, dans le cadre d’une procédure judiciaire, le contenu des e-mails d’un de ses clients dont les données étaient exclusivement stockées dans des serveurs étrangers, en l’espèce en Irlande. La question posée devrait pousser le Congrès américain à légiférer pour préciser quel niveau de protection doit être apporté en matière de respect de la vie privée, y compris en modernisant des législations estimées par certains observateurs comme obsolètes. Il appartiendra aussi au Congrès de se pencher sur l’application extra-territoriale de ces dispositions, au vu des prises de position de la Cour suprême américaine et des mutations technologiques récentes (cloud computing notamment). Cette décision qui recoupe de très nombreuses problématiques liées à l’économie digitale aux Etats-Unis mais aussi en Europe devrait cependant continuer à faire couler beaucoup d’encre.

 

[1] Déclaration du G29 relative à la décision de la Commission européenne concernant le Privacy Shield en date du 29 juillet 2016 https://www.cnil.fr/fr/declaration-du-g29-relative-la-decision-de-la-commission-europeenne-concernant-le-privacy-shield

[2] https://ec.europa.eu/digital-single-market/en/news/eprivacy-directive-commission-launches-public-consultation-kick-start-review

[3] Opinion 03/2016 du 19 juillet 2019 on the evaluation and review of the ePrivacy Directive (2002/58/EC)

[4] Opinion 5/2016 – preliminary EDPS Opinion on the revision of the E-Privacy directive https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2016/16-07-22_Opinion_ePrivacy_EN.pdf

[5] https://www.justsecurity.org/wp-content/uploads/2016/07/Microsoft-Ireland-2d-Cir-Opinion-20160714.pdf

Protection des données personnelles : intervention de J. Deroulez, Avocat à CAMPUS

Actualité de la protection des données  personnelles Jérôme DEROULEZ, Avocat a dispensé une formation dans le cadre de CAMPUS (Formation continue des avocats du Barreau de Paris).

Sujet : l'actualité de la protection des données personnelles en Europe.

Suite à l’accord intervenu entre le Parlement européen et le Conseil de l’Union européenne en décembre dernier, le règlement et la directive du « paquet protection des données » devraient être formellement adoptés au printemps prochain.

Entrée en application prévue pour 2018.

Premier état des lieux de ces nouvelles règles et plus spécifiquement du règlement.