protection des données

BLOCKCHAIN: Interview de Jérôme Deroulez dans Actualités du Droit le 20 février 2019

BLOCKCHAIN: Interview de Jérôme Deroulez dans la revue Actualités du Droit le 20 février 2019 (Wolters Kluwers) au sujet de la blockchain et de la protection des données personnelles et de sa dernière publication.

https://www.actualitesdudroit.fr/browse/tech-droit/blockchain/19892/jerome-deroulez-avocat-aux-barreaux-de-paris-et-bruxelles-desormais-il-s-agit-d-apporter-des-reponses-aux-problematiques-precises-posees-par-les-regulateurs-pour-definir-des-applications-concretes-du-principe-de-privacy-by-design-a-la-blockchain


Les clés pour réussir son audit RGPD par DEROULEZ AVOCATS

Les clés pour réussir son audit RGPD

AUDIT

AUDIT

L’audit RGPD est une étape clé de la mise en conformité pour les entreprises et toutes les organisations privées ou publiques. La CNIL a d’ailleurs indiqué que la cartographie de l’ensemble des traitements constituait l’une des étapes indispensables d’un plan d’action réussi, au même titre que la désignation d’un pilote ou la gestion des risques.

Nous proposons ici quelques conseils et retours d’expérience au sujet des audits RGPD pour faire de cette étape obligée un outil efficace de mise en conformité et une nouvelle étape dans la valorisation et l’utilisation de données personnelles.

Pourquoi faire un audit RGPD ?

Réaliser un audit RGPD de l’ensemble des traitements de données personnelles peut apparaître comme une étape contraignante mais un tel exercice constitue en réalité l’étape préalable à toute mise en conformité. En effet, c’est cet audit RGPD qui permettra de dresser un état des lieux du niveau de conformité en matière de protection des données. Ce n’est pas une fin en soi non plus mais le début du processus de mise en œuvre du RGPD avec pour objectif de disposer d’un aperçu global et exhaustif des différents traitements de données.

Une vision à 360 degrés

L’audit RGPD ne doit pas seulement lister l’ensemble des données personnelles traitées et les traitements. Au contraire. Il s’agit :

  • d’évaluer la pertinence des données traitées de leur collecte à leur conservation ;

  • de suivre les différents traitements de données et leur historique ;

  • de questionner les prestataires et sous-traitants sur leur politique protection des données ;

  • d’attester des outils mis en place pour permettre l’exercice des droits des personnes concernées (droit d’accès, droit à l’oubli ou à la portabilité) et garantir la transparence ;

  • de vérifier le niveau de sécurité des données et les mesures mises en place (chiffrement, pare-feu, anti-virus etc…).

Un audit spécifique RGPD ?

Cette analyse permet d’avoir une vision objective et exhaustive permettant ensuite de prendre des mesures concrètes et les plus adaptées aux besoins de chaque structure. Cette tâche d’analyse des process et de la documentation peut sembler fastidieuse mais elle doit être considérée avec intérêt car elle constitue la première étape de votre mise en conformité.

Cet exercice fait aussi appel à des notions juridiques, complexes et techniques et il est nécessaire de bien comprendre les contours et les enjeux des notions qui sont mobilisées. Une mauvaise compréhension de ces différents éléments (par exemple des mesures à mettre en place obligatoirement ou non) induira nécessairement une mauvaise réalisation de votre audit et du plan de conformité qui en découle.

Pourquoi désigner un pilote de la conformité ?

C’est la personne en charge de la mise en conformité RGPD, le pilote de la conformité qui devra prendre en charge la réalisation de l’audit. Son rôle est central pour permettre de disposer de toutes les informations nécessaires, depuis la documentation contractuelle, l’historique Informatique et libertés ou les projets impliquant de nouveaux traitements de données.

Le pilote devra aussi mobiliser tous les salariés et personnels concernés ainsi que les équipes techniques et informatiques pour vérifier qu’aucun aspect n’a été oublié. Il ne s’agit pas seulement d’établir un audit exhaustif mais aussi de poser les bases de la documentation RGPD.

Audit RGPD : Quelle approche ?

La réalisation d’un outil RGPD doit mobiliser des outils interactifs et dynamiques ainsi que des normes et des méthodes rigoureuses. En effet, si ce type d’audit diffère d’autres types d’audits (audit produit, audit processus et audit systèmes), l’objectif reste le même : une vérification exhaustive des processus en regard des exigences identifiées, une étude de l’ensemble des processus et du rôle de chaque acteur.

La qualité de cet audit doit faire l’objet d’une réflexion en amont. La CNIL[1] comme d’autres autorités de contrôles (l’ICO[2] britannique notamment) ont ainsi eu l’occasion de préciser leurs exigences et de mettre en place leurs référentiels et labels. Elles ont également proposé des bonnes pratiques qui constituent autant d’outils disponibles pour accompagner au mieux les structures auditées.

Les audits doivent ainsi intégrer des exigences fortes en termes de connaissances utilisées, d’identification des structures auditées, d’identification des traitements et de leur licéité ou d’étude de la sécurité.

Ils doivent aussi prendre en compte les autres démarches initiées ou existantes au sein des entreprises ou des structures concernées (au titre de la démarche qualité, de la RSE ou des normes ISO/IEC 27001 ou ISO/IEC 27552, bonnes pratiques génériques de protection de la vie privée de l’AFNOR ISO/IEC 29151 par exemple).

Choisir un cabinet d’avocat pour réaliser un audit RGPD présente le double avantage de bénéficier de compétences fortes en droit de la protection des données personnelles et d’être conseillé juridiquement tout au long de ce processus.

Réaliser un audit peut enfin être une opportunité pour associer différents partenaires et rassembler des compétences diversifiées, sous réserve des rôles et responsabilités de chacun des acteurs impliqués (cabinets d’avocats, sociétés de conseil, prestataires informatiques et experts en sécurité informatique).

Méthode : comment commencer ?

Un audit RGPD doit être exhaustif et efficace. A ce titre, il importe de pouvoir rapidement disposer d’une grille de lecture d’ensemble. Pour cette raison il est important de privilégier les points suivants :

  • une session de formation et d’information destinée à mobilier autour de ce projet ;

  • la mise en place d’un questionnaire qui permettra de sérier l’ensemble des questions à se poser et de constituer une trame pour l’audit ;

  • le recueil d’information sur la structure à auditer et ses enjeux de développement ;

  • le suivi de l’actualité juridique dans le domaine d’activité audité et les questions spécifiques et ;

  • la compilation des mesures prises avant l’entrée en application du RGPD (déclarations ou autorisations à la CNIL, nomination d’un CIL etc…).

Cartographier

L’audit a pour objectif d’aboutir à une cartographie synthétique de l’ensemble des traitements de données personnelles, depuis leur collecte jusqu’à leur effacement ou leur destruction. Ce travail de cartographie ne doit pas oublier non plus les données conservées en format papier (archives, listings etc…), bien au contraire.

Cet exercice de cartographie suppose de suivre la démarche suivante :

  • Identifier les données personnelles (par exemple les adresses IP, adresses MAC ou les données relatives aux habitudes de vie) ;

  • Classer les données personnelles par catégories et identifier les données sensibles (données d’état-civil, données de santé, données bancaires etc…) ;

  • Evaluer la pertinence des données collectées, dans une visée de minimisation et de proportionnalité ;

  • Recenser les différents traitements effectués sur les données personnelles (pour mémoire la notion de traitement de données englobe toute opération, ou ensemble d’opérations, portant sur de telles données, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion, verrouillage, effacement ou destruction, ...).

Il convient aussi de prendre en compte les éléments suivants :

  • Identifier les différents acteurs et leurs responsabilités (responsable de traitement, sous-traitant, sous-traitant ultérieur etc…), condition indispensable de la définition d’un cadre clair et de la révision de la documentation contractuelle ;

  • Noter les procédures mises en place ou non pour assurer les droits des personnes et le respect des règles en matière de consentement ;

  • Tracer les éventuels transferts internationaux de données (notamment dans le cadre du recours à des sous-traitants et prestataires hors UE ou de recours au cloud) afin de leur apporter les garanties nécessaires ;

  • Revue des mesures de sécurité des données permettant de garantir un niveau de sécurité adapté au risque ;

Audit RGPD : Et après ?

Une fois avoir répondu à toutes ces questions et dressé un panorama exhaustif des traitements de données, un rapport d’audit sera rédigé qui prendra en compte l’ensemble des éléments recueillis.

Ce rapport d’audit donnera lieu à un plan d’action RGPD adapté à votre structure et qui fera apparaître les différentes missions par liste de priorités. Enfin, la mise en place de solutions adaptées à vos besoins vous sera proposée au titre de votre mise en conformité.

Cet audit pourra enfin constituer une base à la documentation devant être constituée au titre de l’accountability.

L’audit RGPD permettra aussi d’interroger l’ensemble des traitements effectués sur la base des principes du RGPD et de la législation Informatique et libertés (proportionalité, minimisation etc…).

A cet égard, la réalisation d’un audit doit également permettre de promouvoir une réflexion interne sur la gouvernance de la donnée et les usages. De plus, la mise en place d’outils privacy-by-design suppose souvent une approche globale technique et juridique qui doit être pensée en amont, afin de pouvoir développer des applications et des solutions plus respectueuses de la vie privée. Dans le cas des environnements les plus complexes

Le cabinet DEROULEZ AVOCAT vous accompagne dans la réalisation de votre audit RGPD et reste à votre disposition pour toutes vos questions.

[1]https://www.cnil.fr/fr/les-labels-cnil

[2]https://ico.org.uk/media/for-organisations/documents/1533/auditing_data_protection.pdf

NUIT DU DROIT 2018 et RGPD: Jérôme DEROULEZ a participé à la conférence organisée par la Cour d'Appel de Bordeaux au sujet de la protection des données - 4 octobre 2018

RGPD: A l'invitation de la Cour d'Appel de Bordeaux, Jérôme Deroulez est intervenu lors de la conférence organisée sur le RGPD et la protection des données personnelles. Cette conférence organisée le 4 octobre avait pour objet de rappeler les enjeux de la négociation du RGPD et le nouveau cadre applicable aux données personnelles.

Collectivités locales, stationnement payant et RGPD : quels enjeux et quels dispositifs ?

données

données

COLLECTIVITES LOCALES : La CNIL a annoncé dans le cadre de son programme de contrôle 2018 que l'une de ses priorités sera de contrôler la conformité des traitements relatifs à la gestion des services de stationnements payants réalisés au moyen d’équipements connectés. Cette annonce intervient dans un contexte d'évolutions importantes concernant ces services.

En effet, la loi « MAPTAM » n° 2014-58 du 27 janvier 2014 de modernisation de l'action publique territoriale et d'affirmation des métropoles avait modifié les règles en la matière à compter de janvier 2018 et il incombe désormais aux collectivités locales de prendre en charge la gestion du stationnement payant sur la voie publique. Cette loi dépénalise notamment certaines infractions liées au stationnement payant avec la disparition de l’amende au profit d’un forfait de post-stationnement (FPS).

Le contrôle du paiement des redevances de stationnement et la notification des forfaits de post-stationnement pouvant être traités par des prestataires, de nombreuses données personnelles des usagers seront donc transférées à ces derniers dans des conditions qui doivent être encadrées.

La CNIL relève dans son programme de contrôle que de nouveaux outils vont être mis en œuvre comme les dispositifs de lecture automatisée de plaques d’immatriculation (LAPI) pour accroître l’efficacité des procédures de contrôle et du paiement du stationnement. Dispositif qui pose de nombreuses questions et au sujet duquel la CNIL avait déjà formulé des recommandations[1] :

  • Quel contrôle des données collectées, de leur qualité et de la proportionnalité de la collecte?

  • Quel choix des outils, par exemple au regard du principe du privacy-by-design?

  • Comment faciliter l'exercice des droits des personnes concernées?

QUELS ENJEUX RGPD?

Ces enjeux sont potentiellement très nombreux pour les collectivités locales et concernent les éléments suivants:

  • la cartographie des données collectées et leur classement par catégories de données par les collectivités et les prestataires qui devront les identifier;

  • le traitement des risques pour la vie privée à propos de la collecte de données sensibles;

  • la marge de latitude laissée par les collectivités locales à ces prestataires dans le cadre de ces traitements de données;

Par ailleurs, le traitement de ces données peut aussi interpeller au regard du niveau de sécurité qui sera défini et mis en place, alors que la collecte et le traitement de ces données pourra s'apparenter à une forme de profilage.

Enfin, si ce traitement de données était encadré par un mécanisme de formalités préalables et avait fait l’objet d’une délibération de la CNIL n°2018-137 du 19 avril 2018 autorisant l’Agence nationale du traitement automatisé des infractions (ANTAI) à mettre en œuvre un traitement de données à caractère personnel dénommé « Service FPS – ANTAI », le cadre légal post-RGPD supprime ces déclarations mais renforce les obligations des collectivités locales et de leurs prestataires.

QUELLES OBLIGATIONS POUR LES COLLECTIVITES LOCALES ET LEURS SOUS-TRAITANTS?

Les obligations pesant sur les collectivités locales et leurs prestataires sont nombreuses. Ces derniers devront notamment:

  • Assurer une information des personnes concernées (quelles sont les données collectées, pour quelles finalités, à qui sont-elles transférées, comment peuvent-elles y avoir accès) : cette information devra ensuite être portée à la connaissance des personnes de manière effective et transparente (l’information ne devra pas être diluée dans les CGU d’une application mobile ou lors de l’inscription à un abonnement);

  • Respecter les bases légales du traitement de données;

  • Respecter les principes de finalités et éviter les détournements de finalités lors d’un traitement de données ou de recoupements d’informations);

  • Respecter les principes de minimisation des données (la collecte devra respecter les principes de nécessité et de pertinence et devra être accompagnée par des formulaires, des lignes directrices ou des chartes encadrant de manière préventive les conditions de collectes des données. Ces démarches concernent également toutes les applications mobiles, logiciels et de manière générale les outils informatiques qui devront être conçus « privacy-by-design» en protégeant la vie privée des personnes dès la conception de ces applications;

  • Prévoir des durées de conservations (par exemple en prévoyant que les bases de données permettent des suppressions automatiques de données une fois les vérifications effectuées);

  • Assurer la sécurité des données et vérifier que les sous-traitants présentent des garanties de sécurité suffisante.

  • Gérer les destinataires des données et créer un système d'habilitations.

Ces obligations pourront être déclinées à travers les mesures concrètes suivantes:

  • La mise en place du DPO, obligatoire pour les collectivités et en charge du respect du RGPD;

  • Le registre des activités de traitement, tenu par le responsable de traitement et chaque sous-traitant;

  • Des analyses d’impact;

  • Des contrats formalisant la relation avec les prestataires et sous-traitants pour formaliser la répartition des rôles et insérer le cas échéant des dispositions relatives à la confidentialité.

Ce dispositif nouveau s’inscrit dans une démarche de plus en plus connectée des collectivités locales, liée aux développement des applications smart-city et à l'essor de l'Open data. La ville intelligente repose ainsi sur des mécanismes permettant de collecter des données en masse pour les réutiliser afin d’améliorer les infrastructures, d'optimiser l’espace ou de mieux gérer les transports publics. De telles mutations continuent cependant à interpeller du fait des risques de profilage ou de surveillance qu'elles génèrent. Autant de questions qui seront à suivre de près au fur et à mesure de la mise en conformité des collectivités locales et de leurs prestataires et sous-traitants.

Références

[1]https://www.cnil.fr/fr/reforme-du-stationnement-payant-les-recommandations-de-la-cnil

[2]https://www.collectivites-locales.gouv.fr/reforme-stationnement-payant-nouvelle-competence-pour-collectivites-0

[3]https://www.legifrance.gouv.fr/affichJuriAdmin.do?&idTexte=CETATEXT000034017907

[4]https://www.cnil.fr/fr/profilage-et-decision-entierement-automatisee

https://www.cnil.fr/sites/default/files/atoms/files/20171025_wp251_enpdf_profilage.pdf

HOTELS ET RGPD: Quelle sécurité des données personnelles ?

Hôtels et RGPD: Cet article constitue la seconde partie de notre étude relative à la conformité RGPD des hôtels. Il abordera la problématique de la sécurité des données personnelles.

A quelques jours des départs pour les vacances d’été, de nombreuses personnes vont séjourner dans des hôtels ou y utiliser des services en ligne. Les vacanciers sont de plus en plus connectés et élèvent désormais en critère de choix la mise à disposition d’un réseau WIFI dans les chambres d'hôtels. Ce critère était même le plus important selon une enquête réalisée par Hotels.com[1]. Ces « vacances connectées » ne sont cependant pas sans risques comme le rappelle la CNIL dans son article « utiliser un WIFI public ? Voici 5 précautions à prendre... »[2].

données

données

Les hôtels connectés : quels enjeux au regard du RGPD?

RGPD: Les hôtels, en plus de fournir une connexion WIFI, mettent également en place d’autres mesures qui peuvent présenter des risques pour la sécurité des données personnelles de leurs clients et leur bon fonctionnement : mesures de sécurité par des badges, cartes, à l’aide parfois de procédés biométriques, caméra de vidéosurveillance... Or des dispositifs de sécurité adaptés sont nécessaires afin de garantir que les données de leurs clients, simples vacanciers ou même professionnels, dans le cadre de voyages d’affaires soient protégées efficacement.

En effet, le secteur de l’hôtellerie est particulièrement impacté par les nouvelles dispositions du RGPD et devra ainsi en respecter les obligations (mise en place de registre des activités de traitement, réalisation d’études d’impact, désignation d’un DPO). L'obligation de sécurité des données figure également expressément dans le règlement (article 32), à la charge des responsables de traitement et de leurs sous-traitants. Des mesures de sécurité adaptées sont donc nécessaires, avec pour objectif d’éviter des difficultés de type scandale « Dark Hôtel » (quand des hackers avaient exploité des réseaux WIFI d’hôtels de luxe) ou encore de type ransomware[3] (avec en l'espèce une paralysie des systèmes d’ouverture des chambres d’hôtels).

Les enjeux liés à la sécurité des hôtels débordent aussi largement du seul droit à la protection des données personnelles et s'étendent au secret professionnel, au secret des affaires, à la propriété intellectuelle, à la concurrence entre entreprises ou encore à l’e-réputation des établissements en cas de violation de données personnelles. Comme indiqué dans notre précédent article, les données collectées sont aussi potentiellement très sensibles (convictions religieuses, opinion politiques, données relatives à la santé, préférence et style de vie...) et doivent à ce titre faire l’objet d’une protection particulière.

I/ Quelles obligations ?

Responsables de traitement, les hôtels devront respecter les principes fondamentaux de la protection des données et se conformer aux nouvelles obligations RGPD. 

Les responsables de traitement devront dans un premier temps faire une cartographie détaillée des données collectées dans le but d’établir un registre des activités de traitement. Chaque traitement de données devra faire l’objet d’une fiche à part entière, comme par exemple une fiche pour le traitement des données RH, une fiche pour le traitement des données clients, une fiche pour le traitement de données par l’intermédiaire de vidéosurveillance ou par le formulaire de collecte du site...

Les responsables de traitement devront prendre en compte des mesures de sécurité adaptées, et ce de manière encore plus importante quand l’hôtel sera connecté.

Caméra de vidéosurveillance, badge contrôlant l’accès aux locaux ou aux chambres, sécurité des sites internet, sécurité des bases de données, conformité des différents sous-traitants et prestataires, sécurité de la mise à disposition du réseau WIFI pour les clients... En cas de mise à disposition d’ordinateurs, TV connectés ou autres objets connectés, il sera également conseillé d’encadrer leur usage par l’intermédiaire d’une charte d’utilisation des ressources informatiques. Cette charte pourra être signée lors de la réservation de la chambre d’hôtel.

Les responsables de traitement devront aussi veiller aux durées de conversation et à leur conformité aux recommandations de la CNIL. A ce titre, ils pourront se référer au référentiel de durées de conservation[4].

Par exemple, en cas de :

  • Données de vidéo surveillance : des caméras de vidéosurveillance peuvent être installées dans les parties communes d’un hôtel à des fins de sécurité par exemple. Les données ne peuvent être conservées que pour une durée de 30 jours (article L.251-1 du code de la sécurité intérieure).

  • Données de trafic (lors de l'utilisation du réseau WIFI d'un hôtel: adresses IP, date, heure, durée de chaque connexion, informations permettant d’identifier le destinataire d’une communication). Si ces données doivent être conservées, ce n'est pas le cas du contenu des communications qui ne doit pas être conservé (par exemple l’objet ou le corps d’un courrier électronique). Ces données peuvent être conservées 1 an à compter de leur enregistrement (article L.34-1 du code des codes et des communications électroniques).

Les responsables de traitement devront également informer les personnes concernées des différents traitements de données les concernant. Il conviendra d’assurer une information des personnes concernées, que ce soit par le moyen d’un panneau d’affichage dans les locaux de l'hôtel ou lors de la réservation de la chambre. Cette information devra être mise à disposition dans des termes simples, de façon claire, non ambiguë et accessible. Ainsi, cette information ne devra pas être communiquée dans le cadre de conditions générales de vente par exemple mais de manière distincte et visible.

Enfin, les responsables de traitement devront mettre en œuvre des mécanismes destinés à assurer une effectivité des droits (droit d’accès, droit à la rectification, droit d’opposition et droit à l’effacement des données personnelles). Une adresse mail contact pourra être mise à disposition des personnes concernées afin de les informer de leurs droits.

II/ Quelle politique de sécurité des données personnelles?

La sécurité n’est pas absolue et les failles de sécurité demeurent possibles. A ce titre, il importe de souligner la nécessité d’une vigilance au quotidien et de l’adoption de bonnes pratiques quant à l’utilisation des outils informatiques.

Des conseils pourront notamment être apportés à la clientèle et par exemple :

  • Ne pas utiliser le WIFI pour communiquer des données sensibles (santé, données bancaires) et privilégier sa propre connexion 3 ou 4G. Désormais avec la fin des frais de d’itinérance à l’intérieur de l’Union européenne, les opérateurs ne facturent plus de supplément au sein de l’UE et cette option est donc à privilégier.

  • Minimiser les informations qui circulent et les connexions à ses comptes personnels

  • Se déconnecter systématiquement après chaque session et ne pas laisser ses affaires personnelles à libre disposition

  • S’assurer de se connecter au bon réseau WIFI et non pas à des WIFI qui porteraient le nom de l’établissement afin de détourner des connexions

  • Ne pas de connecter à des réseaux WIFI non sécurisés

Les hôtels, dans le cadre de la fourniture d’une connexion WIFI devront également penser à :

  • Suivre les recommandations de sécurité relatives aux réseaux WIFI de l’ANSSI[5]

  • Evaluer la sécurité de leurs systèmes informatiques et évaluer le niveau de garantie que présentent leurs sous-traitants et prestataires

  • En cas de traitement de données sensibles, particulières et à grande échelle, procéder à une étude d’impact aux risques de manière à identifier le risque pour ensuite adapter les mesures de sécurité à mettre en place

La sécurité des données personnelles est une obligation à part entière au titre du RGPD. En cas de faille de sécurité, les conséquences sont potentiellement importantes, qu'il s'agisse des risques de sanctions ou des enjeux sur la réputation des hôtels concernés. Alors que l'hôtellerie évolue rapidement pour prendre en compte les besoins d'une clientèle connectée et mobile, ces enjeux ne doivent pas être négligés.

Références : 

[1]https://www.lexpress.fr/tendances/voyage/le-wifi-gratuit-premier-critere-de-choix-d-un-hotel_1230486.html

[2]https://www.cnil.fr/fr/utiliser-un-wifi-public-voici-5-precautions-prendre

[3]http://www.lefigaro.fr/secteur/high-tech/2017/01/30/32001-20170130ARTFIG00169-un-virus-informatique-paralyse-un-hotel-de-luxe-en-autriche.php

[4]https://www.cnil.fr/fr/limiter-la-conservation-des-donnees

[5]https://www.ssi.gouv.fr/guide/recommandations-de-securite-relatives-aux-reseaux-wifi/

Quelle application du RGPD au secteur de l'hôtellerie?

RGPD: Quelle application au secteur de l'hôtellerie?

RGPD""

RGPD""

RGPD: Le secteur de l’hôtellerie collecte aujourd’hui de plus en plus de données personnelles, qu’il s’agisse de données nominatives, des données relatives à la réservation d’une chambre ou de celles liées aux préférences, goûts et habitudes de vie, ou de la santé des clients.

Ces données personnelles sont destinées à satisfaire la clientèle des hôtels et offrir des services de plus en plus personnalisés. Ces données peuvent être ensuite réutilisées et transférées à différents partenaires dans un but de fidélisation ou d’amélioration des prestations.

Cet article constitue un premier volet sur le thème de la conformité RGPD dans le secteur de l’hôtellerie et a pour but de recenser les différentes données collectées par l’hôtellerie et d’aborder les premières questions relatives à leur mise en conformité.

I/ Quelle collecte des données personnelles dans le secteur de l’hôtellerie ?

Différents types de données personnelles de clients sont collectées lors d’une réservation de chambre d’hôtel :

- Des données personnelles peu sensibles, relatives à l’identité (nom, prénom, âge, date de naissance, numéro de téléphone, adresse e-mail etc.) ou à la vie familiale (nombre d’enfants, mariés, célibataires etc.)

- Des données personnelles particulières ou sensibles liées à des allergies ou intolérances alimentaires, à la nécessité d’une chambre aménagée pour des personnes handicapées, ou encore des données issues de moyens biométriques lors de contrôle d’accès.

- Des données relatives aux convictions religieuses ou philosophiques du fait d’un régime alimentaire spécifique en raison de convictions religieuses ou d’une réservation liée à un événement particulier (réunion politique ou syndicale).

Certains hôtels sont également amenés à collecter davantage de données dans le but d’offrir des prestations et une expérience client très qualitative, notamment dans le secteur du luxe.

II/ La collecte de ces données est soumise au RGPD

Toutes ces données peuvent être qualifiées de données personnelles au sens du RGPD, voire de données sensibles : leur recueil devra être encadré et leur collecte respecter les critères de licéité de l’article 5 du RGPD.

Cela signifie que les données collectées doivent être :

  • Traitées de manière licite, loyale, transparente au regard de la personne concernée

  • Collectées pour des finalités déterminées, explicites et légitimes

  • Adéquates, pertinentes et limitées à ce qui est strictement nécessaire au regard des finalités pour lesquelles elles sont traitées

  • Exactes et, si nécessaires, tenues à jour

  • Conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées

  • Traitées de façon à garantir une sécurité appropriée des données à caractère personnel

III/ Quelles obligations au titre du RGPD ?

Des mentions d’informations:

Le traitement et l’utilisation de ces données impliquent de nombreuses obligations, de la mise à disposition d’une information transparente, au recueil du consentement :

- Les gérants d’un hôtel devront mettre à disposition de manière claire, facile et intelligible, les différentes données qu’ils collectent dans le cadre de la relation contractuelle avec leurs clients et prospects.

- Les mentions d’informations devront être adaptées en fonction du mode de recueil : site internet, téléphone, salon du voyage...

- La personne concernée doit être informée des mentions des articles 12 et 13 du RGPD de manière « concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples » et notamment:

  • de l’identité et des coordonnées du responsable du traitement

  • le cas échéant des coordonnées du DPO

  • des finalités du traitement et la base juridique du traitement

  • les destinataires ou les catégories de destinataires des données à caractère personnel

  • les transferts de données en dehors de l’Union européenne

L’intensité de l’obligation d’information pourra également varier en fonction de la nature de la donnée collectée, par exemple dans le cadre d’une utilisation de la biométrie: 

- Les sites Internet devront enfin être mis à jour (mentions légales, mentions obligatoires RGPD et clause données personnelles dans les CGV). Une adresse de contact devra être mise à disposition des personnes concernées de manière à recevoir les questions, les demandes de suppression, de rectification ou d’information sur leurs données.

Registre de traitement

L’article 30 du RGPD impose la tenue d’un registre des activités de traitement afin de recenser l’intégralité des traitements réalisés au sein de l’organisme. Ce registre doit être mis à jour régulièrement, être clair, facilement accessible et compréhensible en cas de procédure de contrôle de la CNIL.

Dans le cas d’un hôtel « connecté » (wifi, caméra de surveillance, sécurité et biométrie), les dispositifs devront aussi être encadrés et documentés afin d’attester de leur conformité.

A suivre dans un prochain article, les enjeux liés à la sécurité des données dans les hôtels.

BLOCKDAYS: Jérôme DEROULEZ a participé à la table ronde blockchain et protection des données - Ecole 42 - 12 juin 2018

L'Ecole 42, la faculté de Droit Paris Descartes, IOTA et BCD DIPLOMA ont organisé le 12 juin 2018 les BLOCKDAYS consacré à la blockchain.  

Lors de ces travaux, Jérôme DEROULEZ est intervenu avec les professeurs Anne DEBET et Nathalie MARTIAL BRAZ. Cette table ronde portait sur la confrontation entre blockchain et protection des données personnelles. Cette table ronde a suscité de nombreuses questions et interpellations. En effet, plusieurs participants ont fait part des défis posés par la blockchain au regard du cadre juridique applicable aux données personnelles.

BLOCKCHAIN : Audition de Jérôme DEROULEZ dans le cadre de la mission de l'Assemblée nationale

BLOCKCHAIN - Dans le cadre de la mission d’information sur les usages des Blockchains (les chaînes de blocs), présidée par M. Julien AUBERT et ayant comme rapporteurs Mme Laure de la RAUDIERE et M. Jean-Michel MIS, Jérôme DEROULEZ  a été auditionné le mardi 17 avril 2018.

Après une brève présentation de l’activité du cabinet, spécialisé dans les nouvelles technologies et tout particulièrement en droit des données personnelles, le cabinet a exposé les enjeux d'une pratique innovante autour de l’accompagnement et du conseil en Blockchain.

A ce titre, le cabinet réalise pour ses clients des études prospectives sur l'environnement juridique et le contexte de l’émergence de la technologie Blockchain afin d'offrir des prestations de conseils et d'accompagnement adaptés.

Le cabinet rédige également des études prospectives sur la Blockchain Stockage des données sur la blockchain : quels enjeux juridiques?  mais également dans le domaine des nouvelles technologies  - intelligence artificielle (IA émotionnelle), objets connectés etc... 

Lors de cette audition, de nombreux thèmes ont été abordés et notamment les liens entre la protection des données personnelles et la Blockchain, la remise en cause ou non du droit des contrats ou des concepts du droit international privé. 

Le cabinet reste à votre dispositionpour toute demande de conseil et d'accompagnement de vos projets Blockchain.

Stockage de données sur la blockchain: quels enjeux juridiques?

Stockage de données sur la blockchain: quels enjeux juridiques?

Plusieurs articles ont récemment fait état de la découverte sur la blockchain bitcoin de plusieurs fichiers contenants des liens vers des fichiers pédopornographiques.[1]  [2]

Tous ces articles font référence à l’étude menée par la « Communication and Distributed Systems RWTH de l'Université d'Aix la Chapelle et par le «Data Protection Research Institue, Goethe University, de Francfortdisponibleici [3].

Pour la résumer rapidement, cette étude souligne les conséquences du stockage de fichiers « non-financiers » sur la blockchain. En effet, selon les auteurs, il serait possible de stocker des contenus illicites, notamment sur la blockchain "bitcoin" et d'engager ainsi potentiellement la responsabilité des acteurs qui y interviennent.

Les auteurs relèvent ainsi :

«Les blockchains permettent principalement une comptabilité crédible du numérique des événements, par exemple des transferts d'argent dans des crypto-monnaies. Cependant, au-delà de ce but initial, les blockchains enregistrent également irrévocablement des données arbitraires, allant des messages courts aux images.

Cela n’est pas sans risques pour les utilisateurs car chaque participant doit répliquer localement la blockchain complète, en y incluant un contenu potentiellement dangereux. Nous fournissons la première analyse systématique des avantages et des menaces pour la blockchain de ces contenus arbitraires.

Notre analyse montre que certains contenus, par exemple en matière de pornographie illégale, peut rendre la simple possession d'une blockchain illégale.[4]

Basé sur ces aperçus, nous effectuons une analyse quantitative et qualitative approfondie de contenus non intentionnels sur la blockchain "bitcoin".

Bien que la plupart des données proviennent d'extensions bénignes au protocole bitcoin, notre analyse révèle plus de 1600 fichiers sur la blockchain, dont plus de 99% sont des textes ou des images.

Parmi ces fichiers, il y a des contenus clairement répréhensibles comme des liens vers des contenus pédopornographiques, qui sont distribués vers tous les participants à cette blockchain "bitcoin".

Avec notre analyse, nous soulignons ainsi l'importance pour l'avenir de la blockchain de répondre à la possibilité d'insertion de données involontaires et d'en protéger ses utilisateurs en conséquence. »[5]

Cette étude vient ainsi à l’encontre d’une idée reçue selon laquelle la blockchain bitcoin serait totalement sécurisée et ouvre des perspectives de réflexions juridiques dans ce cadre, au vu des usages pouvant être fait de la possibilité de stocker des contenus ou des données arbitraires (arbitrary data) sur une blockchain (autres que les contenus liés à des transactions). 

Après avoir exposé brièvement les différentes techniques qui permettent de stocker des données non financières (partie 1), nous essayerons de formuler les enjeux de l’insertion de ces données comme les contours de leur appréhension juridique à ce stade (partie 2).

Partie 1. Le stockage de données arbitraires: quelles méthodes?

A l’origine, la blockchain "bitcoin" était notamment destinée à fournir un "enregistrement" pour des transactions financières. D’autres blockchains, comme Ethereum, ont été pensées pour y inscrire d'autres types de données et notamment pour conclure des smart-contrats.

Les résultats de l'étude évoquée plus haut soulignent que la part de données non financières reste très limitée. En effet, l'article indique que seulement 1,4% des 251 millions de transactions sur la blockchain "bitcoin" incluent des données arbitraires:

“In total, our detectors found 3 535 855 transactions carrying a total payload of 118.53 MiB, i.e., only 1.4 % of Bitcoin transactions contain non-financial data. »

Les transactions non-financières ne représentent donc qu’une part très marginale des transactions.

A) Cette étude évoque (page 3) les différentes méthodes d’insertion de données non-financières

Blockchain Bitcoin

Blockchain Bitcoin

(1) Les méthodes d'insertion de données de bas niveau  « low-level data Insertion methodes »

  • OP-RETURN : possibilité d’insérer des données financières, limité à 80B par transaction.

  • COINBASE : seuls les mineurs peuvent insérer de petits morceaux de données

  • NON-STANDARD TRANSACTIONS

  • STANDARD FINANCIAL TRANSACTIONS

(2) Les méthodes de services d’insertion de contenu

Ces méthodes permettent d'insérer des données comme des documents ou des images dans la blockchain, en utilisant différents protocoles:

  • CryptoGraffiti (ajout de contenu à travers une simple transaction)

  • Satoshi Uploader (insertion de données avec un champ de longueur et une somme de contrôle spécifique pour en faciliter le décodage)

  • P2SH Injectors (légère modification de l'écriture des Pay-to-Script-Hash)

  • Apertus (fragmentation de contenu à travers un grand nombre de transactions, en utilisant un nombre aléatoire d'écritures de transactions Pay-to-Pub-Key-Hash - P2PKH: ces fragments sont référencés dans des archives stockées dans la blockchain qui sera ensuite utilisée pour les ré-assembler).

Ces méthodes traduisent les différentes possibilités d'insérer des contenus "arbitraires" sur la blockchain "bitcoin", depuis les techniques réservées aux seuls mineurs à celles ouvertes à d'autres utilisateurs.

B) L’étude interroge également les bénéfices et les risques liés à l'insertion de contenu arbitraire sur la "blockchain"

(1) Les bénéfices

La blockchain "bitcoin" offre deux canaux d'insertion de "morceaux" de données non financières (OP_RETURN et COINBASE), chaque canal présentant ses bénéfices et ses inconvénients. 

  • OP_RETURN[6] : ce canal permet à quiconque d’insérer des données arbitraires de petites tailles, ce qui peut se révéler très utile avec la possibilité par exemple d’attester de l’existence de documents[7] ou de proposer des services notariaux. Cette fonction est d’ailleurs critiquée puisque la blockchain "bitcoin" n’a pas vocation à devenir une technologie de stockage des données dans un registre distribué[8].

  • COINBASE : avec cette méthode, seuls les mineurs peuvent ajouter des données non financières aux nouveaux blocs qu'ils minent.

Les bénéfices liés à la possibilité de stocker des données non financières sont nombreux, qu'il s'agisse de l'archivage de données historiques ou de la résistance à la censure. Cependant les conditions du stockage de ces données et leur réplication à tous les utilisateurs de la blockchain peuvent interroger en l'absence de possibilité de le refuser.

(2) Les risques

L’insertion de données non-financières peut présenter des risques pour tous les utilisateurs de la blockchain au vu des différents types de fichiers pouvant être contenus et notamment:

  • Contrefaçon : une manière de contourner la répression concernant le téléchargement illégal.

  • Malware : télécharger un virus sur la Blockchain qui pourrait se répandre.

  • Violation de la vie privée : menaces, chantage, revenge porn...

  • Contenu politique sensibles : révélations de secrets d’Etats

  • Contenus illégaux : pédopornographie

Les auteurs de l'étude ont indiqué avoir mis en évidence:

  • Contrefaçon : 7 fichiers

  • Des clefs cryptographiques dérobées

  • Un logiciel aidant à casser les protections anti-contrefaçon de DVD

  • Violation de la vie privée : photos de mariage, échanges de mails, post, forum de discussion, numéro de téléphone, adresse, compte bancaire...

  • Contenu politique sensible : lanceurs d’alertes, résistants à la censure...

  • Contenu illicite : au moins 8 fichiers concernant du contenu sexuel, parmi ces fichiers, 2 d’entre eux contenaient des sauvegardes de liens qui renvoyaient vers de la pédopornographie, contenant 274 liens vers des sites web[9]

Si la majorité des contenus étaient pour la plupart licites, d’autres au contraire sont potentiellement susceptibles de poursuites et les auteurs de l'étude ont recommandé que les [10] « futures conceptions de blockchain doivent faire face pro activement aux contenus répréhensibles ».

A ce titre, ils recommandent un système de "filtrage" des transactions entrantes évolutif et transparent dont les modalités restent néanmoins à fixer.

Ces débats montrent la place grandissante prise par les  considérations éthiques au sujet des crypto-monnaies à l’instar de Conscoin qui se présente comme étant une crypto-monnaie éthique.« Cryptocurrency with a Conscience: Using Artificial Intelligence to Develop Money that Advances Human Ethical Values »[11]

Partie 2. Quels enjeux juridiques (responsabilité, qualification pénale, droit international privé)?

Une blockchain est un registre distribué, c'est-à-dire que chaque transaction est validée par les nœuds du réseau. Afin de valider ces transactions, tous les nœuds possèdent, de façon répliquée, cette blockchain.

« En conclusion, un large éventail de contenu répréhensible peut causer un préjudice direct si possédé par les utilisateurs. Contrairement aux systèmes tels que les plates-formes de médias sociaux, réseaux de partage de fichiers, ou des systèmes de stockage en ligne, ce contenu peut être stocké sur blockchains anonymement[12] et irrévocablement. Puisque toutes les données Blockchain sont téléchargées et constamment conservés par les utilisateurs, ils sont responsables de tout contenu ajouté à la Blockchain par d'autres. Par conséquent, il serait illégal de participer à un système basé sur Blockchain dès qu'il contient du contenu illégal. »[13]

En conséquence et de manière très schématique, chaque utilisateur qui aura une "copie" de la blockchain détiendrait donc aussi des fichiers potentiellement illégaux. Voire ne pourrait connaître totalement toutes les informations contenues dans une blockchain.

(A) Retracer l’identité de la personne auteur du fichier illégal : anonymat ou pseudonymat sur la Blockchain ?

Il existe une idée et très souvent partagée sur la blockchain bitcoin, qui serait que toutes les transactions sont parfaitement anonymisées. Or, cette affirmation est à relativiser comme l’ont souligné de nombreuses études (et notamment, notamment « An analysis of Anonymity in the Bitcoin System ») [14].

Il s’agirait plutôt d’un pseudonymat qui permettrait de rattacher la transaction à un individu plutôt qu’un réel anonymat. Les différences entre l’anonymisation et la pseudonymisation sont parfois difficiles à saisir en droit de la protection des données personnelles et le Groupe de travail de l’article 29, dans un avis rendu le 10 avril 2014[15] a présenté à ce titre les différentes techniques d’anonymisation (une donnée anonyme est une donnée qui ne peut être attribuée à une personne identifiée). Or, sur la blockchain bitcoin, il est possible par un faisceau d’indices d’identifier indirectement une personne.

Même si les techniques de « mixage de bitcoin[16] » permettent de disperser plus encore les informations liées à une transaction par exemple, l'utilisation de cette technique a fait débat. Ainsi, certains services de mixage de Bitcoin sont revenus sur leurs positions et indiqué que le mixage de bitcoin était contraire à l’idéologie initiale de la blockchain qui était la transparence et non l’anonymat.

C’est dans cette volonté de transparence qu’ont émergé de nombreux explorateurs de Blockchain comme par exemple le sitehttps://blockchain.info/fr .

La question de l'identification ouvre cependant des champs de recherche et de discussions qui portent aussi bien sur les "valeurs" véhiculées par la blockchain bitcoin notamment (ou d'autres blockchains) que sur les métamorphoses de l'identité.

(B) Quelles responsabilités sur la blockchain bitcoin ?

Dans l’étude précédemment citée, la question de l'insertion de liens renvoyant vers des sites pédophiles et notamment vers le darkweb a été soulignée. La première question à régler sera donc de déterminer qui est le poseur de lien ? Or la question de l’auteur de l’acte sera particulièrement délicate à établir. Pour le moment, il n’y a pas d’obligation de démontrer son identité pour enregistrer des transactions sur la Blockchain même si de potentielles régulations à ce sujet ne sont pas exclues.

Dans l’hypothèse où la personne est identifiable, il est possible de faire l’analogie avec le régime juridique des poseurs de liens hypertextes retenu en matière de contrefaçon. La Cour de justice de l’Union européenne, par une série d’arrêts, a crée de façon prétorienne les critères d’engagement de la responsabilité des poseurs d’hyperliens[17]. Dans le récent arrêt GS Media[18], la CJUE a apporté des éléments de précisions et indiqué pour retenir la contrefaçon qu'il était nécessaire que la personne ait connaissance du caractère illégal de la publication de ces œuvres[19].

Quelle responsabilité pénale pour la personne qui inscrit des données dans une blockchain?

Si la question de la répression pénale de la détention de fichiers pédopornographiques est réglée par le Code Pénal[20] indépendamment de son support (clef USB, disque dur...), celle du stockage de fichiers sur la blockchain interpelle: stocker des fichiers sur la blockchain peut-il être assimilé à une détention au sens du Code Pénal?  Se pose aussi la question de la "propriété" de la blockchain dans tous les sens du terme...

La personne peut-elle être sanctionnée sur le terrain de la complicité ?

Un mineur peut-il être poursuivi sur le terrain de la complicité? En effet, selon les techniques utilisées, le mineur pour valider les blocs doit répliquer la blockchain, dans des conditions telles que sa connaissance de l'existence des fichiers illicites sera délicate à établir. Et devra requérir des modalités d'expertise spécifiques. Par ailleurs, plusieurs médias ont également dévoilé que les utilisateurs de certains sites minaient des crypto-monnaie à leur insu ! [21] La question est donc ouverte...

Quels instruments? Ces questions ouvrent la voie à une prospective juridique et débordent très largement les seuls enjeux en matière de données personnelles ou de droit pénal. A ce titre, l'utilisation de la blockchain interpelle les outils existants du droit international privé (quelle loi applicable, quelle juridiction applicable?). En fonction des types de données et de fichiers stockés, de très nombreuses conventions internationales pourraient aussi trouver à s'appliquer comme la Convention internationale de protection de l’enfance[22], les Conventions internationales de protection de la propriété intellectuelle[23], les conventions de protection de la vie privée[24] ou encore le RGPD [25].

Conclusion

Au-delà de cette étude, la question de l’appréhension juridique de la blockchain se fait de plus en plus pressante. A fur et à mesure de sa démocratisation, les questions posées par l'utilisation ou les modes de fonctionnement des blockchains -et notamment de la blockchain bitcoin- interpellent les juristes dans des domaines très différents (droit des données personnelles, droit international privé, droit pénal...) et devront être évoqués ou prises en compte, à défaut d'une régulation globale dont les contours sont difficilement envisageables à ce jour. 

[1]https://news.sophos.com/fr-fr/2018/03/23/blockchain-du-bitcoin-contiendrait-liens-vers-pornographie-juvenile/

http://www.newsweek.com/bitcoins-blockchain-contains-child-abuse-images-dark-web-links-and-wikileaks-857335

[2]https://trustmyscience.com/le-bitcoin-illegal-presque-partout-dans-le-monde-apres-decouverte-dans-blockchain/

[3]https://fc18.ifca.ai/preproceedings/6.pdf

[4] Affirmation à nuancer en raison, comme nous allons le voir, des différentes incertitudes concernant l’appréhension juridique de ce phénomène et les potentiels obstacles juridiques.

[5] Traduit librement depuis l’étude originale en anglais cite précédemment. (Page 1)

[6] Analyse of Bitcoin OP_RETURN metadata

[7] p.5

[8]https://en.bitcoin.it/wiki/OP_RETURN

[9] Page 13

[10] Page 13

[11]https://www.finyear.com/attachment/641777/

Dans cet article, nous contestons une telle présomption que l'argent doit avoir une valeur-neutre. En bâtissant sur les progrès de l'intelligence artificielle, de la cryptographie, et des machines éthiques, nous soutenons qu'il est possible de concevoir des crypto-monnaies artificiellement intelligentes, qui ne sont pas éthiquement neutres, mais qui régulent de manière autonome leur propre usage d'une manière qui reflète les valeurs éthiques de certains êtres humains, ou de sociétés humaines, même entières

[12] Attention toutefois : il s’agit plutôt de pseudonymat que d’anonymat

[13] Page 7

[14] An Analysis of Anonymity in the Bitcoin System Fergal Reid Martin Harriganhttp://fc17.ifca.ai/bitcoin/papers/bitcoin17-final32.pdf

[15]http://www.dataprotection.ro/servlet/ViewDocument?id=1288  et voir aussi la décision du Conseil d’Etat du 8 février 2017

[16]https://cryptoactu.com/cryptomonnaies/plus-gros-service-de-mixage-de-bitcoin-monde-ferme-portes/

[17] CJUE, 13 février 2014, Svensson, C-466/12

CJUE, 21 octobre 2014, C-348/13

[18]http://curia.europa.eu/juris/document/document.jsf?docid=183124

L’article 3, paragraphe 1, de la directive 2001/29/CE du Parlement européen et du Conseil, du 22 mai 2001, sur l’harmonisation de certains aspects du droit d’auteur et des droits voisins dans la société de l’information, doit être interprété en ce sens que, afin d’établir si le fait de placer, sur un site Internet, des liens hypertexte vers des œuvres protégées, librement disponibles sur un autre site Internet sans l’autorisation du titulaire du droit d’auteur, constitue une « communication au public » au sens de cette disposition, il convient de déterminer si ces liens sont fournis sans but lucratif par une personne qui ne connaissait pas ou ne pouvait raisonnablement pas connaître le caractère illégal de la publication de ces œuvres sur cet autre site Internet ou si, au contraire, lesdits liens sont fournis dans un tel but, hypothèse dans laquelle cette connaissance doit être présumée.

[19] La Cour de justice énonce que le caractère lucratif est un indice qui quant à lui permettra au cas par cas de prouver l’intention et la connaissance des conséquences juridiques de l’acte. Mais ce n’est pas pour autant une condition de qualification.

[20] Article 227-23 du code pénal

[21]https://www.numerama.com/tech/297685-de-plus-en-plus-de-sites-minent-des-crypto-monnaies-a-votre-insu-quand-vous-les-consultez.html

[22]  Protocole facultatif à la Convention relative aux droits de l'enfant, concernant la vente d'enfants, la prostitution des enfants et la pornographie mettant en scène des enfants 

http://www.ohchr.org/FR/ProfessionalInterest/Pages/OPSCCRC.aspx

[23] Convention de Berne de 1886 offrant une protection minimale sur tous les Etats signataires

Les Accords ADPIC de 1994

[24]Directive 2013/40/UE du Parlement et du Conseil Européen du 12 aout 2013, relative aux attaques contre les systèmes d’information remplaçant la décision cadre 2005/222/JAI du Conseil.

[25] Charte des droits fondamentaux de l’Union européenne

[26] Règlement général sur la Protection des données

RGPD : Jérôme DEROULEZ a publié un article sur les responsabilités des maires dans la Gazette des communes d'avril 2018

Interview de Jérome Deroulez dans la Gazette des Communes

«Données personnelles : quelles responsabilités pour les maires ?»

 

Jérôme Deroulez est revenu sur les obligations qui pèseront sur le maire en matière de protection des données personnelles à compter du 25 mai prochain, date d'entrée en application du RGPD.

 

« Alors que le Règlement général sur la protection des données personnelles (RGPD) entre en application le 25 mai prochain, le sujet de la préparation des collectivités locales et des communes à ce nouveau dispositif a agité le Sénat lors des débats sur l’adaptation de la loi Informatique et Libertés la semaine dernière.

La rapporteure du texte, Sophie Joissains, a ainsi souligné que seule une minorité de collectivités territoriales était en conformité et signalé la difficulté au vu des enjeux suscités par le RGPD au niveau local.»

 

Retrouvez l'intégralité de cet article sur le site de la Gazette des communes.

Petites et moyennes entreprises – avez-vous une charte Informatique et Libertés ?

Disposez-vous d’une charte Informatique et Libertés ? Quelles décisions avez-vous prises pour assurer la sécurité des données que vous collectez ou que vous stockez ? La question est d’actualité alors que la vie des entreprises a été marquée en 2017 par plusieurs failles de sécurité et cyber-attaques (Wannacry [1], NotPetya) qui témoignent de la nécessité de former ses équipes et ses salariés à la sécurité des systèmes d’information.

Pourquoi une charte Informatique et Libertés ?

Cette question est cruciale à la veille de l’entrée en application du Règlement général sur la protection des données personnelles qui a fait de la sécurité des systèmes d’information et des données des priorités, le RGPD renforçant par ailleurs les niveaux de sanction applicables.

A ce titre, l’article 32 du RGPD prévoit notamment que le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, et suggère entre autres de recourir à la pseudonymisation et au chiffrement des données à caractère personnel, aux moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement; aux moyens permettant de rétablir la disponibilité des données à caractère personnel ou encore à une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

Accountability et sécurité des données

Avec la consécration du principe d’accountability, responsables de traitement et sous-traitants devront aussi être en mesure de démontrer qu’ils ont mis en œuvre les mesures nécessaires destinées à assurer la sécurité des traitements. Au-delà des outils énumérés par le RGPD, les chartes Informatique et Libertés sont également un moyen efficace pour les entreprises de démontrer leur conformité tout en favorisant en interne la diffusion de la culture de la sécurité informatique.

Pourtant, de nombreuses entreprises n’ont pas encore ou peu cette culture de la sécurité de leurs données comme en atteste ce très récent passage diffusé sur le 19h45 de M6 à une heure de grande audience où apparaissaient, visibles en clair à l’écran, différents mots de passe affichés sur le poste du travail d’un salarié d’ENGIE relevé par un compte Twitter.

Charte informatique et libertes

Charte informatique et libertes

Était ainsi pointée l’absence de prise de conscience de la protection des mots de passe par un mécanisme adéquat.

Le présent article sera donc l’occasion de rappeler la nécessité et l’intérêt pour les entreprises de disposer d’une charte Informatique et Libertés.

Cette charte devra être annexée au règlement intérieur de l’entreprise afin de la rendre opposable aux salariés et collaborateurs.

Qui met en place la charte Informatique et Libertés ?

C’est l’employeur dans le cadre de son pouvoir de direction et de contrôle qui peut (et le plus souvent qui doit) encadrer l’activité informatique et l’accès à Internet de ses salariés et collaborateurs, dans le respect du droit à la vie privée du salarié[2].

En effet, une telle charte est souvent indispensable et notamment pour encadrer les utilisations à des fins privées de certains sites et éviter de futurs contentieux. Peuvent être ainsi traitées par la charte les questions de la consultations de sites qui seraient expressément interdits par la charte informatique [3],l’installation de logiciels non autorisés[4]la divulgation non autorisée d’informations confidentielles [5]les mesures de sécurité qui doivent être mise en œuvre (chiffrement, sécurisation des mots de passe) etc… Avec en conséquence la nécessité d’énoncer clairement ces bonnes pratiques de sécurité au sein de la charte.

La mise en place de la charte a de multiples intérêts : elle constitue un outil pédagogique utile pour les salariés et collaborateurs, notamment lors de nouvelles embauches. Elle permet aussi de valoriser et de protéger les process mis en œuvre au sein des entreprises en matière de sécurité des données personnelles.

Comment rédiger sa charte informatique et libertés? Nos conseils

Introduction de la charte (Préambule) :

  • Indiquez en introduction les objectifs de la Charte.

  • Exposez l’objectif et la portée de la Charte.

  • Expliciter les attentes de votre entreprise pour faire de la charte un outil de sensibilisation en interne sur les questions de sécurité.

  • Indiquez des éléments de protection des données personnelles et mentionnez la désignation d’un DPO ou les personnes « contact » utiles

Opposabilité de la charte :

  • Veillez à énumérer de façon exhaustive tous les personnels et collaborateurs concernés par la charte.

  • Explicitez les modalités d’information sur la charte (lieux d’affichage, documentation, modalités de prise de connaissance par les salariés et les collaborateurs et de signature etc…)

Définitions :

  • Les termes utilisés doivent être clairs et précis.

  • Une attention particulière sera portée à la rédaction de la charte pour en assurer la neutralité technologique à terme afin d’englober de futures innovations technologiques (par exemple la Blockchain ou le recours à l’AI).

Quelles règles d’utilisation du système d’information – usages :

  • Recensez d’abord l’ensemble des besoins auxquels le système d’information doit répondre.

  • Répertoriez tous les outils numériques mis à disposition des salariés et collaborateurs.

  • Définissez une politique de confidentialité des accès et des mots de passe et développez des bonnes pratiques.

  • Définissez et explicitez les pratiques autorisées (gestion des habilitations, usages et renouvellement des mots de passe, procédures à respecter.

  • Définissez quelles sont les mesures de sécurité prises afin de sécuriser l’accès aux différents postes dans votre entreprise.

Quelles obligations pour les utilisateurs ?

  • Rappelez aux utilisateurs qu’ils sont responsables des ressources informatiques qu’ils utilisent.

  • Rappelez aussi des règles de bon sens (ne pas insérer des clefs UBS étrangères à l’entreprise, pas de communication excessive des données et notamment à des personnes non autorisées...).

  • Posez des règles claires quant à l’utilisation d’Internet et des outils informatiques de votre entreprise à des fins personnelles.

  • Définissez des conditions d’utilisation des espaces de stockage ou pour l’installation de logiciels.

  • Rappelez les conditions d’utilisation de la messagerie électronique de l’entreprise et soulignez la présomption de professionnalité des messages transmis.

Outils de contrôle du poste informatique / surveillance du salarié :

  • Indiquez quels outils de filtrage sont mis en place.

  • Explicitez les systèmes de contrôle du salarié et les différentes informations pouvant être enregistrées.

  • Notez que ces outils de contrôles et de surveillance des salariés devront être proportionnés à l’objectif poursuivi.

Travail à distance et mobilité des salariés :

  • Prenez en compte la virtualisation ou non des postes de travail avec leurs conséquences (règles d’attribution et d’usages des matériels, tablettes, téléphones et ordinateurs portables).

  • Posez des règles claires dans les cas de mobilité des salariés et exposez les différentes situations envisageables.

Sanctions :

  • La charte doit indiquer quelles sont les sanctions prévues.

  • Elle doit également préciser les conditions d’engagement de la responsabilité civile et pénale des salariés et des collaborateurs ou de procédures disciplinaires.

Entrée en vigueur de la charte :

  • Précisez la date d’entrée en vigueur de la charte et d’entrée en application.

  • Mettre les annexes en lien ou notes de bas de page

Annexe - Dispositions légales applicables:

- Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (Texte présentant de l'intérêt pour l'EEE)

- Loi informatique et libertés

- Code pénal : article 226-16 à 226-24 et R.625-10 à R.625-13

- Loi Godfrain : article 323-1 et 323-3 code pénal

Références:

[1]https://www.lesechos.fr/idees-debats/cercle/cercle-170062-wannacry-la-cyber-securite-le-talon-dachille-de-lentreprise-2087140.php

[2]« Le salarié a droit, même au temps et au lieu du travail, au respect de l'intimité de sa vie privée ». Cour de cassation,Chambre sociale, 2 octobre 2001, n° 99-42.942. Voir arrêts récent sur la labellisation des fichiers indiqués comme privés et le durcissement de la position de la Cour de cassation après le célèbre arrêt Nikon. CEDH, 22 janvier 2018 ; n° 588/13 mettre l’intégralité du Disc dur comme privé « la dénomination donnée au disque dur lui-même ne peut conférer un caractère personnel à l’intégralité des données qu’il contient ; que la cour d’appel, qui a retenu que la dénomination « D:/données personnelles » du disque dur de l’ordinateur du salarié ne pouvait lui permettre d’utiliser celui-ci à des fins purement privées et en interdire ainsi l’accès à l’employeur, en a légitimement déduit que les fichiers litigieux, qui n’étaient pas identifiés comme étant « privés » selon les préconisations de la charte informatique, pouvaient être régulièrement ouverts par l’employeur ; »

[3]CA Grenoble, ch. soc., 16 janv. 2008, n° 07/01119 : la consultation par un salarié de sites pornographiques, expressément interdit par la Charte informatique, le licenciement pour faute grave du salarié est justifié. Voir aussi Cass. soc., 15 déc. 2010, nº 09-42.691.

[4]CA Paris, pôle 6, ch. 5, 19 janv. 2012, no 10/04071, M. Rudy c/ Sté Zétès, en l’espèce un technicien de maintenance avait installé sur son poste de travail des logiciels qui n’étaient pas autorisés par la Charte informatique.

[5]Cass. soc., 5 juill. 2011, n° 10-14.685 la salariée a été licenciée pour faute grave : la salariée avait permis à un autre salarié qui n’y était pas habilité d’utiliser son code d’accès pour télécharger des informations confidentielles.

Sources complémentaires :

https://www.ssi.gouv.fr/uploads/2017/06/guide-charte-utilisation-moyens-informatiques-outils-numeriques_anssi.pdf

https://www.cnil.fr/sites/default/files/typo/document/20100730-MOD-CHARTE_INFORMATIQUE_CIL-VD.pdf

PROTECTION DES DONNEES PERSONNELLES: QUE RETENIR DE 2017?

L’année 2017 a été marquée par une actualité fournie en matière de protection des données personnelles. Nous vous présentons une sélection de ces différents événements marquants, notamment en matière de sécurité des données (1), les décisions à signaler de la Commission européenne et de la CNIL (2) ainsi que les dossiers en cours devant la Cour de justice de l’Union européenne (3).  

I. Les atteintes à la sécurité des données

 

1/ Ransomwares

 

Les rançon-logiciels, (traduits de l’anglais : ransomwares) ont été au cœur de l’actualité en 2017 et parmi eux : Wannacry, Petya, NotPetya. Ceux-ci ont considérablement affecté les administrations, les hôpitaux [1], les entreprises [2], et les particuliers. Ces virus se sont transformés en véritables outils de prise d’otage numérique. Dernièrement, lors du Forum International de la Cybersécurité qui s’est déroulé à Lille, le 23 et 24 janvier 2018, le ministre de l'Intérieur Gérard Collomb a annoncé un plan de lutte contre les cyber-menaces avec la création de 800 postes consacrés à cette priorité : « Que l’on pense par exemple à Wannacry, cette cyberattaque mondiale ayant touché en mai dernier des institutions et des entreprises de 150 pays, parmi lesquels de grands constructeurs automobiles, des opérateurs téléphoniques, mais aussi des hôpitaux. Durant plusieurs heures, des usines ont été paralysées. Le préjudice subi s’évalue en centaines de millions de dollars. »

 

Toutefois, pour l’instant en France, en dépit de l’existence de dispositions pénales avec les articles 323-1 et 323-2 du Code Pénal (atteinte aux systèmes d’informations), les sanctions restent encore très faibles.  La vigilance reste cependant essentielle dans ce domaine, au vu notamment de l’attention portée par la CNIL au niveau de sécurité apporté pour protéger les traitements de données personnelles.

 

2/ Failles de sécurité

 

Equifax est un fournisseur de données financières (notamment pour la solvabilité et les capacités de remboursement des personnes) qui a subi une faille de sécurité très importante au cours de l’année passée au cours de laquelle des pirates informatiques ont eu accès aux informations personnelles de plus de 140 millions d'Américains. Ainsi plusieurs centaines de millions d’américains ont été touchés par ce vol d’identité numérique qui concernait des données telles que le nom, prénom, numéro de carte de crédit, numéro de sécurité sociale...

 

Uber, a aussi annoncé par le biais de son nouveau directeur général, Dara Khosrowshahi dans un communiqué de novembre dernier le vol de données de 57 millions d’utilisateurs.

 

Ces deux affaires ont provoqué des réactions fortes, notamment au vu du manque de clarté et de transparence supposé de ces entreprises, bien au-delà des failles de sécurité.

 

Or il faut souligner dans ce domaine que le nouvel article 33 du RGPD vient opérer un changement en matière de violation de données personnelles. En effet, cette disposition oblige les opérateurs à notifier une violation de données à caractère personnel. « En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l'autorité de contrôle compétente conformément à l'article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l'autorité de contrôle n'a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard ».

 

Cela signifie qu’à partir de mai 2018, les mesures prises par les entreprises, en réaction à une faille de sécurité seront scrutées à la loupe par les autorités de contrôle. Et les éventuelles mesures correctives -prises ou non – seront aussi analysées dans le cas de sanctions.

 

II. Les sanctions prises par la Commission européenne et la CNIL

 

Facebook et Google ont été condamnées par la Commission européenne sur le terrain du droit de la concurrence, droit qui ne paraît aujourd’hui ne plus pouvoir ignorer les enjeux liés aux données personnelles.

 

Le rachat de Whatsapp par Facebook : analyse au regard du droit de la concurrence et de la violation de l’obligation d’information :

 

Ce rachat de Whatsapp par Facebook a donné lieu à deux décisions, la première de la Commission européenne (1), la seconde, de la CNIL (2).

 

1/ La sanction par la Commission européenne du 16 mai 2016 pour fourniture d’informations dénaturées

 

La sanction par la Commission européenne [3] de Facebook repose sur plusieurs aspects.

 

En effet était en cause la possibilité d’interconnexion des utilisateurs de l’application Whatsapp et ceux de Facebook. « La Commission a constaté que, contrairement à ce qu'avait déclaré Facebook en 2014 dans le cadre de la procédure de contrôle des concentrations, la possibilité technique de mettre en correspondance les identités des utilisateurs de Facebook et de WhatsApp existait déjà cette année-là et que les employés de Facebook étaient au courant de cette possibilité ».

 

La Commission a évalué les risques pour la concurrence, au regard du Règlement européen sur le contrôle des concentrations n° 139/2004 du Conseil du 20 janvier 2004, dans l’hypothèse d’une absence d’interconnexion entre les deux services. Or, la Commission a relevé que « la possibilité technique de mettre en correspondance les identités des utilisateurs de Facebook et de WhatsApp existait déjà cette année-là et que les employés de Facebook étaient au courant de cette possibilité ». Et elle a de fait prononcé cette sanction.

 

Dans le cadre de cette sanction a aussi été évoquée en filigrane les enjeux de la constitution de bases de données personnelles particulièrement importantes et leurs effets sur la concurrence.

 

2/ Sanction de la CNIL à l’égard de Facebook pour manquements à la loi informatique et libertés

 

La formation restreinte de la CNIL a également prononcé, le 27 avril 2016, une sanction de 150.000 €, rendue publique, à l’encontre des sociétés Facebook INC et Facebook Ireland. Cette dernière a été prononcée en raison de nombreux manquements à la loi Informatique et Libertés et notamment sur des points importants concernant le consentement des personnes concernées et la collecte loyale des données personnelles (notamment en raison de l’utilisation du cookie DATR qui recueillaient également des informations sur les personnes non inscrites sur Facebook), le manquement au recueil du consentement des personnes concernées.

 

3/ Google : Sanction de la Commission européenne pour abus de position dominante

 

La Commission a également infligé à Google une amende de 2,42 milliards d’euros le 27 juin dernier pour abus de position dominante sur le marché des moteurs de recherche et pour avoir favorisé son propre service de comparaison de prix (4). Google aurait ainsi abusé de sa position dominante sur ce marché un conférant à son service de comparaison des prix un avantage illégal.

 

III. En cours: les affaires pendantes devant la Cour de justice de l’Union européenne

 

1/ Le droit à l’oubli :

 

Le droit à l’oubli numérique a été consacré de manière jurisprudentielle par la célèbre décision Google Spain du 13 mai 2014. Toutefois, la possibilité de retirer un contenu sur Internet existait déjà sous la LIL, par le mécanisme des articles 38 (droit d’opposition) et 40 (droit de suppression). Néanmoins, depuis sa consécration jurisprudentielle, de nombreuses questions pratiques persistent et ce droit se heurte à différents intérêts en présence et notamment : droit du public à l’information, liberté d’expression, sécurité juridique.... La Cour de justice, a également rappelé, à l’occasion d’une décision, CJUE, Cammera di Commercio c. M. Manni, du 9 mars 2017, que le droit à l’oubli n’était pas absolu et qu’il devait être mis en balance avec le principe de sécurité juridique des tiers.

 

Le Conseil d’État a, par ailleurs et à deux reprises, posé des questions préjudicielles à la Cour de justice de l’Union européenne qui restent pendantes :

 

  • D’une part, une première question préjudicielle du Conseil d’État du 24 février 2017, dans des affaires jointes n°391000, 393769, 399999, 401258, qui concernaient des données sensibles. Très brièvement, la première concernait un photomontage satirique mettant en scène la directrice du cabinet d’un maire, la deuxième un ancien responsable de l’église de Scientologie, la troisième une mise en examen qui concernait des hommes politiques et enfin la quatrième affaire pour des faits de pédophilie. La question concernait les obligations du moteur de recherche en cas de demande de déréférencement d’un tel contenu.

 

  • D’autre part, une seconde question préjudicielle du Conseil d’État du 19 juillet 2017, sur la portée territoriale des injonctions de déréférencement à l’encontre du moteur de recherche. La question concernait le champ d’application du déférencement au sujet duquel la CNIL a adopté une position claire dans son communiqué du 12 janvier 2017 : un déréférencement mondial. [5].

 

2/ M. Schrems

 

Maximilien Schrems est un étudiant autrichien qui s’est fait connaître par la célèbre affaire qui a mené à l’invalidation du « Safe Habor » concernant le transfert aux USA de certaines données personnelles et à son remplacement par le Privacy Shield. (CJUE, 6 octobre 2015) [6]

 

Courant 2017, ont été posées deux questions préjudicielles à la Cour de justice de l’Union européenne :

 

  • D’une part, une première question préjudicielle, concernait la qualité de « consommateur » de M. Schrems, individuellement, et ce, lorsque ce dernier est cessionnaire des actions de groupes d’autres consommateurs. Posée le 19 septembre 2016 [7] à la Cour de justice de l’Union européenne, cette dernière a statué le 25 janvier 2018.

 

La position retenue par la CJUE était intéressante à un double égard pour déterminer d’une part, si un «consommateur» perd cette qualité lorsque après avoir utilisé pendant relativement longtemps un compte Facebook privé, « pour faire valoir ses droits, il publie des livres, et donne parfois également des conférences rémunérées, exploite des sites Internet, collecte des dons afin de faire valoir les droits et se fait céder les droits de nombreux consommateurs en contrepartie de l’assurance de leur remettre le montant obtenu, après déduction des frais de justice, au cas où il obtiendrait gain de cause» et d’autre part si ce consommateur peut se prévaloir du tribunal du lieu de son domicile quand il devient cessionnaire des droits des autres consommateurs.

 

Ces questions étaient importantes au regard du droit international privé. En effet, l’article 18 du Règlement Bruxelles I bis pose une exception au principe selon lequel, la juridiction compétente est celle du tribunal du défendeur -afin de faciliter les démarches du consommateur- et permet à ce dernier de saisir le tribunal de son propre domicile. La Cour de justice, dans sa décision du 25 janvier 2018 dernier a indiqué que M. Max Schrems conservait sa qualité de consommateur et que peu importait son activité postérieure, qu’il pouvait ainsi engager une action contre Facebook Ireland en Autriche. En revanche, la CJUE a souligné qu’en tant que cessionnaire des droits des autres consommateurs, M. SCHREMS ne pouvait bénéficier de l’exception issue de l’article 18 du Règlement Bruxelles I bis et saisir le tribunal de son propre domicile aux fins d’une action collective.

 

Cette position est en lien direct avec l’actualité puisque a été adopté par l’Assemblée nationale, le 8 février dernier, un amendement pour une action de groupe collective en matière de données personnelles. [8]

 

  • D’autre part, une seconde question préjudicielle posée par la Haute Cour d’Irlande, [9] à propos d’une autre action Max Schrems concernait les clauses contractuelles types de Facebook.

 

Dans cette affaire, il était question de la validité des clauses contractuelles types de Facebook. Pour rappel, il existe un principe d’interdiction de transferts des données personnelles vers des pays tiers à l’Union européenne [10]. Ces transferts, sont toutefois autorisés, dans certains cas :

  • Le pays bénéficie d’une décision d’adéquation [11]

  • Un transfert fondé sur des garanties appropriées [12]

  • Ou encore, sur le fondement de règles d’entreprises contraignantes [13]

 

Etait ici en cause le mécanisme des clauses contractuelles mises en place par Facebook, qui selon M. Schrems ne garantissaient pas une protection suffisante, notamment en raison des programmes de surveillances américains. En effet, dans la décision rendue le 3 octobre 2017 par la Haute Cour Irlandaise [14], les autorités gouvernementales américaines, auraient, selon Max Schrems, un accès aux données personnelles d’européens du fait du programme PRISM.

 

 

En conclusion, il est notable que les questions relatives aux données personnelles ont occupé une part importante de l’actualité en 2017. Le RGPD, sujet inscrit à l'agenda des entreprises témoigne de la préoccupation grandissante pour ces aspects tandis que la CNIL, par son action de plus en plus visible incite également les personnes à se préoccuper de leurs données personnelles. Cet « empowerment » des individus sur le contrôle de leurs données est désormais consacré à l’article 1 de la LIL du fait des dispositions de la loi pour une République Numérique (« toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant »). Ce principe d’autodétermination informationnelle est ainsi la clef de voûte de la protection des données à caractère personnel avant même de finaliser l'adaptation du RGPD.

 

Dossier majeur de 2017, la protection des données personnelles devrait ainsi connaître une nouvelle actualité nourrie dans les mois à venir. Notre prochain article évoquera les décisions et événements attendus en 2018.

 

 

 

REFERENCES

 

[1] http://www.zdnet.fr/actualites/ransomware-le-nettoyage-se-poursuit-apres-le-chaos-wannacry-39852650.htm

 

[2] http://www.zdnet.fr/actualites/ransomware-petya-un-colis-a-300-millions-de-dollars-pour-maersk-39856172.htm

 

[3] Délibération n°SAN – 2017-006 du 27 avril 2017 - Délibération de la formation restreinte SAN –

2017-006 du 27 Avril 2017 prononçant une sanction pécuniaire à l'encontre des sociétés FACEBOOK INC. et FACEBOOK IRELAND

 

[4] http://europa.eu/rapid/press-release_IP-17-1784_fr.htm

 

[5] https://www.cnil.fr/fr/pour-un-droit-au-dereferencement-mondial

 

[6] CJUE, 6 octobre 2015, C-362/14

 

[7] Affaire C-498/16: Demande de décision préjudicielle présentée par l’Oberster Gerichtshof (Autriche) le 19 septembre 2016 — Maximilian Schrems/Facebook Ireland Limited

 

[8] L’article 43 ter de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifié :

1° Le III est remplacé par un alinéa ainsi rédigé :

« Cette action peut être exercée en vue soit de la cessation du manquement mentionné au deuxième alinéa, soit de l’engagement de la responsabilité de la personne ayant causé le dommage afin d’obtenir la réparation des préjudices matériels et moraux subis, soit de ces deux fins. » ;

2° Le IV est complété par un alinéa ainsi rédigé :

« Lorsque l’action tend à la réparation des préjudices subis, elle s’exerce dans le cadre de la procédure individuelle de réparation définie au chapitre Ier du titre V de la loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle. »

 

[9] The High Court Commercial [2016 No. 4809 P.] Between The Data Protection Commissioner Plaintiff And Facebook Ireland limited and Maximillian Schrems Defendants http://www.courts.ie/Judgments.nsf/09859e7a3f34669680256ef3004a27de/8131a5dde8baf9ff802581b70035c4ff?OpenDocument

 

[10] Article 44 du RGPD

 

[11] Article 45 du RGPD

 

[12] Article 46 du RGPD

 

[13] Article 47 du RGPD

 

[14] He states that there is clear evidence that leads him to believe that his personal data controlled by Facebook and processed by Facebook Inc. is at the very least “made available” to US government authorities under various known and unknown legal provisions and spy programmes such as the “PRISM” programme (which I explain more fully below). He also believes that there is a likelihood that his personal data has, in addition, been accessed under these provisions as he was prevented from boarding a transatlantic flight on the 16th of March, 2012, to the United States for reasons of “national security”. (page 35).

RGPD: Quelle adaptation en droit français? (2)

Le 14 décembre dernier, nous avons rédigé un premier article sur l’adaptation en droit français du RGPD et les risques liés à un calendrier si contraint, risques également soulignés par la CNIL dans son avis de décembre 2017 (1). En effet, alors que l’adoption de ce règlement européen ouvrait une fenêtre de tir pour une refonte du cadre juridique actuel, seule une première révision limitée aura lieu avant de procéder par ordonnance ultérieurement, ce qui ne permettra pas de disposer au 25 mai 2018 d’un régime consolidé et prévisible.  

Par ailleurs, le caractère spécifique de ce processus d’adaptation doit être souligné, alors que les premiers travaux législatifs viennent de débuter en procédure accélérée. En effet, si le RGPD est un règlement (tel que défini par  l’article 288 du traité sur le fonctionnement de l’Union européenne (TFUE) et donc directement applicable, sans besoin d’être transposé), ce texte laisse en pratique une marge de manœuvre aux Etats-membres (2) et prévoit 57 points spécifiques devant faire l’objet d’adaptation (et non de transposition), par exemple en matière de consentement des mineurs (3). Si ces dispositions traduisent le compromis politique trouvé à Bruxelles, elles risquent aussi de créer de nouvelles « fragmentations » dans le cadre juridique des données personnelles en cours de construction à l’échelle européenne. (4)

 

Cette adaptation sera complexe, du fait de sa nécessaire articulation avec la loi pour une République Numérique qui a anticipé de nombreux points du règlement. En effet, la France avait décidé de préempter l’entrée en application du RGPD (alors en cours de négociation) à travers certaines dispositions de la loi Pour une République Numérique, dite « Loi Lemaire », adoptée le 7 octobre 2016. (5) (le calendrier des différents décrets d’application est consultable ici.).

 

Au-delà des aspects problématiques d’une telle anticipation (au regard du principe de coopération loyale ou des compétences de l’Union européenne), cette loi a aussi repris certaines dispositions du RGPD en les adaptant. C’est le cas par exemple du droit à l’oubli avec la mise en œuvre d’une disposition spécifique pour les mineurs, insérée à l’article 40.II de la Loi informatique et libertés. (6). Or ce nouveau droit devra être analysé au regard du droit à l’oubli consacré à l’article 17 du RGPD et des préoccupations déjà exprimées par l’Assemblée nationale (7).

 

De la même façon, le droit à la portabilité - consacré dans la proposition initiale du RGPD- a été repris par la loi pour une République Numérique, ce droit s’inscrivant par ailleurs dans le cadre du Marché unique numérique (8) et du courant du Free flow of non-personal data. (9)

 

La Loi pour une République Numérique a limité le champ d’application du droit à la portabilité envisagé de façon sectorielle dans le code de la consommation, alors que le RGPD ne prévoyait pourtant pas de restriction et consacré un tel droit à la française à l’article L224-42-1 dans la version à venir à partir du 25 mai 2018 du code de la consommation (le consommateur dispose en toutes circonstances d'un droit de récupération de l'ensemble de ses données). Or la portée de cet article devra aussi être appréciée avec celles des dispositions du RGPD, directement applicables et générales.

 

Si l’adoption de certaines dispositions du RGPD a été anticipée par la loi pour une République numérique, ce règlement n’en constitue pas moins un chantier important au vu des changements induits et des défis qu’il suscite.

 

Notamment parce que le RGPD constitue une révolution du cadre juridique des données à caractère personnel, révolution soulignée à juste titre par le Conseil d’Etat.

 

En effet, le RGPD introduit un concept novateur en droit de la protection des données personnelles, avec la notion d’accountability qui renforce la responsabilisation des entreprises et des parties prenantes (10) et qui a de nombreuses conséquences (nomination d’un Data Protection Officer (11) par exemple.

 

De nouveaux outils sont également mis en place avec la tenue d’un registre des activités de traitement, (12) l’obligation de réalisation d’études d’impact (13) ou encore les obligations au titre des principes de privacy by design et by default (14).

 

La suppression des formalités préalables constitue un changement notable qui doit être une nouvelle fois souligné. Alors que la LIL prévoyait au chapitre IV « Formalités préalables à la mise en œuvre des traitements » les régimes de déclaration, d’autorisation et de demandes d’avis à la CNIL, le RGPD supprime quasiment l’ensemble de ce régime de formalités préalables en raison de l’abondance des demandes, de la surcharge des autorités de contrôles et de la volonté de limiter les charges administratives (15).

 

Le projet de loi d’adaptation conserve cependant un régime d’autorisation préalable pour certains traitements (16) (données collectées pour le compte de l’Etat, données biométriques et données génétiques, les données comportant le numéro d’inscription des personnes au Répertoire national d’identification des personnes physiques (NIR).

 

Par ailleurs, au titre de ces innovations, le RGPD prévoit également un élargissement de la notion de données sensibles, élargissement qui concerne à la fois le champ d’application de la notion et le régime de protection lié. C’est le cas des données biométriques : ces dernières devenant désormais des données particulières, (17) des données génétiques et des données du NIR.

 

Ces éléments traduisent la complexité du contexte de ce processus d’adaptation du RGPD. Les futurs débats législatifs devront aussi se pencher sur le contenu de ce règlement et sur les défis qu’il suscite.

 

I. COMMENT INTERPRETER LE RGPD DANS LE CADRE DE SON ADAPTATION?

 

Un des difficultés majeures d’application pratique du RGPD est qu’il se fonde sur différentes notions-clés pour la mise en œuvre de ses obligations (nomination d’un DPO, réalisation d’étude d’impact, notification de données personnelles par exemple) sans pour autant les définir. En l’absence de telles précisions, une marge d’interprétation est laissée aux Etats-membres dans le cadre du processus d’adaptation législatif

 

Trois notions-clés du RGPD suscitent notamment des interrogations :

 

A/ Risque élevé

 

La notion de risque élevé est un critère pertinent pour la mise en œuvre d’une étude d’impact (article 35 du RGPD) ou pour la notification d’une violation de données à caractère personnel.

 

-          A ce titre, le considérant 86 énonce que : Le responsable du traitement devrait communiquer une violation de données à caractère personnel à la personne concernée dans les meilleurs délais lorsque cette violation est susceptible d'engendrer un risque élevé pour les droits et libertés de la personne physique afin qu'elle puisse prendre les précautions qui s'imposent.

 

Pourtant, la notion de risque élevé n’est pas définie par le RGPD même si les considérant 90 et 91 permettent de saisir ce que serait un risque élevé « par exemple, en raison de leur caractère sensible, lorsque, en conformité avec l'état des connaissances technologiques, une nouvelle technique est appliquée à grande échelle, ainsi qu'à d'autres opérations de traitement qui engendrent un risque élevé́ pour les droits et libertés des personnes concernées ».

 

De la même façon, le G29 a évoqué cette notion dans ses lignes directrices du 13 décembre 2017 sans la définir.

 

B/ Suivi des personnes à grande échelle

 

Cette notion est récurrente dans le RGPD et sert de critère d’appréciation pour la désignation d’un DPO et pour la réalisation d’une étude d’impact.

 

En effet, l’article 37 dispose qu’un DPO doit être désigné lorsque :

b)  les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ; ou

c)  les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l'article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10.

 

Par ailleurs, le RGPD dispose qu’une analyse d'impact relative à la protection des données (…) requise dans les cas suivants : (…)

b)  le traitement à grande échelle de catégories particulières de données visées à l'article 9, paragraphe 1, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10; ou

c)  la surveillance systématique à grande échelle d'une zone accessible au public.

 

Cette notion est précisée par le considérant 91 (sans valeur juridique) qui évoque des opérations de traitement à grande échelle qui visent à traiter un volume considérable de données à caractère personnel au niveau régional, national ou supranational, qui peuvent affecter un nombre important de personnes concernées.

 

Le G29 a dressé dans ses lignes directrices une liste de recommandations de critères pertinents (18)( le nombre de personnes concernées, soit en valeur absolue, soit en valeur relative par rapport à la population concernée, le volume de données et/ou le spectre des données traitées; la durée, ou la permanence, des activités de traitement des données; l’étendue géographique de l’activité de traitement) qui devront être précisés.

 

C/ Profilage

 

Pour mémoire, la Loi Informatique et Libertés ne donnait pas de définitions du profilage qui est défini à l’article 4.4 du RGPD comme toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique. Le profilage permettrait ainsi d’isoler certains aspects de la personnalité et de générer des résumés de personnalité. En complément, l’article 22 du RGPD (décision individuelle automatisée, y compris le profilage) pose le principe selon lequel la personne concernée a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire.

 

Par ailleurs, le G29, qui a rendu des lignes directrices concernant le profilage le 3 octobre 2017 dernier, (19) distingue trois formes de profilage à savoir (i) general profiling; (ii) decision-making based on profiling; and (iii) solely automated decision-making, including profiling.

 

Une telle interprétation sous-entendrait que l’article 22 ne s’appliquerait qu’à ces types de profilage, interprétation qui doit être confirmée.

 

Ces notions illustrent la difficulté pour les législateurs nationaux d’adapter le RGPD et de définir des règles cohérentes à l’échelle de l’Union européenne. A ce stade, les lignes directrices du G29 fournissent des compléments utiles au texte européen, sans préjuger de la valeur juridique qui leur sera conférée, dans l’attente des éventuelles interprétations jurisprudentielles.

 

II. QUELLE FUTURE MISE EN OEUVRE?

 

A/ Comment garantir la cohérence du futur dispositif ?

 

Dans le cadre de la procédure accélérée et comme vu ci-dessus, l’adaptation du RGPD se fera sur la base de la structure actuelle de la loi informatique et libertés de 1978, avant une future codification par voie d’ordonnance. Ce choix symbolique soulève cependant des problèmes de lisibilité et de sécurité juridique comme le relève à juste titre la CNIL dans son avis du 30 novembre 2017, difficultés qui pourraient être préjudiciables pour les responsables de traitement comme les personnes concernées.

 

Cette méthodologie est sujette à caution du fait :

 

-          de la difficulté d’identifier les redondances ou incompatibilités à supprimer, en l’absence de travaux exhaustifs ;

-          de l’absence de lisibilité des critères d’application territoriale du RGPD d’une part et des droits nationaux d’autre part, au vu des dérogations autorisées (par exemple à l’article 85 du RGPD en matière de presse. Comment garantir des dispositifs opérationnels et cohérents avec le règlement, d’un pays à l’autre à ce stade ?

-          de la difficulté d’éviter la reprise telle quelle des dispositions du RGPD alors que la Commission a rappelé ses exigences dans le cadre de l’adaptation du texte à travers sa Communication du 24 janvier dernier (COM, 2018,43). Il y est ainsi rappelé que les Etats-membres ne doivent pas reprendre directement les dispositions du texte sauf si de telles répétitions étaient nécessaires pour garantir la cohérence du cadre juridique ou l’intelligibilité des droits nationaux.

-          du caractère incomplet de cette loi d’adaptation (21) avant la refonte prévue par voie d’ordonnance ;

 

B/ Quel impact économique du RGPD ?

 

De nombreux acteurs économiques s’interrogent également sur l’impact économique de la mise en conformité du RGPD dans un contexte où les normes juridiques restent incertaines.

Le Conseil d’Etat s’est aussi interrogé sur l’impact de ce règlement et a ainsi relevé dans son avis que n’a pas été étudié le coût de la mise en œuvre du texte en particulier pour les entreprises, ainsi que ses conséquences budgétaires, pour l’Etat, ses établissements et les collectivités territoriales, n’ont pas été analysées. (22)

Le sujet de la mise en conformité des entreprises est également récurrent. Alors que certaines grandes entreprises ont communiqué sur leurs procédures de mise en conformité (23), d’autres entreprises ont indiqué ne pas se sentir prêtes pour faire face à ces changements législatifs. Ce point a notamment été signalé à l'occasion de la 12ème université de l'AFCDP par la présidente de la CNIL, Isabelle Falque-Pierrotin qui a rappelé les retards des entreprises pour recruter des délégués à la protection des données personnelles.

 

Se pose à ce titre la question des incitations ou des mécanismes de sensibilisation déployés, à l’instar de certains outils pratiques (à l’image du logiciel CNIL en matière de PIA) (24).

 

Autant de questions et d’éléments à suivre dans le cadre des travaux sur cette loi d’adaptation et notamment lors des discussions en séance publique à partir du 6 février prochain. Nous aurons l'occasion d'y revenir dans de prochains articles. 

 

REFERENCES

 

(1)     https://www.cnil.fr/fr/la-cnil-publie-son-avis-sur-le-projet-de-loi-relatif-la-protection-des-donnees-personnelles

(2)     Considérant 10 RGPD.

(3)     (Notamment concernant l’âge des enfants, où l’accord parental des nécessaire avant l’utilisation de services de la société de l’information. Les Etats-membres peuvent choisir un âge entre 13 ans minimum et 16 ans (article 8)).

(4)     N°4544 : rapport d’information assemblée nationale

(5)    https://www.legifrance.gouv.fr/eli/loi/2016/10/7/ECFI1524250L/jo  LOI n° 2016-1321 du 7 octobre 2016 pour une République numérique

(6)     Article 40.II. — Sur demande de la personne concernée, le responsable du traitement est tenu d'effacer dans les meilleurs délais les données à caractère personnel qui ont été collectées dans le cadre de l'offre de services de la société de l'information lorsque la personne concernée était mineure au moment de la collecte. Lorsqu'il a transmis les données en cause à un tiers lui-même responsable de traitement, il prend des mesures raisonnables, y compris d'ordre technique, compte tenu des technologies disponibles et des coûts de mise en œuvre, pour informer le tiers qui traite ces données que la personne concernée a demandé l'effacement de tout lien vers celles-ci, ou de toute copie ou de toute reproduction de celles-ci.

(7)     http://www.assemblee-nationale.fr/14/projets/pl3318-ei.asp

(8)     https://ec.europa.eu/commission/priorities/digital-single-market_fr

(9)     https://ec.europa.eu/digital-single-market/en/free-flow-non-personal-data

(10) (En créant par ailleurs de nouvelles catégories : coresponsable de traitement, créant un formalisme pour les contrats de sous-traitance, obligations accrues du sous-traitant etc.).

(11) Article 37 RGPD

(12) Article 30 RGPD

(13) Article 35 RGPD

(14) Article 25 RGPD

(15) Article 35. RGPD

(16) Page 7 de l’avis du Conseil d’État NOR : JUSC1732261L (point 22).

(17) Article 9 RGPD

(18) Lignes directrices du 13 décembre 2017 https://www.cnil.fr/sites/default/files/atoms/files/wp243rev01_fr.pdf

(19) Page 8-9 lignes directrices du 3 octobre 2017 du G29). 17/EN WP 251, Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679

(20) Article 8 - Après l’article 5 de la même loi, il est inséré un article 5-1 ainsi rédigé : « Art. 5-1 - Les règles nationales, prises sur le fondement des dispositions du règlement (UE) 2016/679 renvoyant au droit national le soin d’adapter ou de compléter les droits et obligations prévus par ce règlement, s’appliquent dès lors que la personne concernée réside en France, y compris lorsque le responsable de traitement n’est pas établi en France. « Toutefois, lorsqu'est en cause un des traitements mentionnés au 2 de l'article 85 du même règlement, les règles nationales mentionnées au premier alinéa sont celles dont relève le responsable de traitement, lorsqu’il est établi dans l’Union européenne. »

(21) Page 31, 32 Délibération n° 2017-299 du 30 novembre 2017 portant avis sur un projet de loi d’adaptation au droit de l’Union européenne de la loi n°78-17 du janvier 1978

(22) Avis du Conseil d’État, page 2. l’avis du Conseil d’État NOR : JUSC1732261L

(23) https://www.numerama.com/politique/324477-facebook-assure-quil-sera-pret-pour-le-nouveau-reglement-europeen-sur-les-donnees-personnelles.html

(24) https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil

PROTECTION DES DONNEES: Quelle adaptation en droit français du RGPD?

Le projet de loi relatif à l'adaptation en droit français du règlement général sur la protection des données (RGPD) a été présenté le 13 décembre en Conseil des ministres. Il a pour objectif d'adapter et de transposer le nouveau cadre juridique européen qui entrera en vigueur en mai 2018 et de décliner l'ensemble de ses dispositions. Une telle adaptation est nécessaire parce que le règlement renvoie sur de nombreux points aux droits nationaux. Une première liste de ces renvois a été établie par l'Assemblée nationale dans son rapport d'information de février dernier et 56 points ont ainsi été recensés (par exemple en matière de données sensibles, de consentement des enfants ou d'autorisation du profilage), au-delà des éléments déjà intégrés dans la loi Lemaire pour une République numérique. Le gouvernement a par ailleurs indiqué dans l'exposé des motifs du projet de loi que l'architecture de la loi Informatique et Libertés sera conservée en signalant qu'il s'agissait d'un choix symbolique.  

Ce projet de loi se décompose en cinq titres: dispositions communes au règlement UE 2016/679 et à la directive UE 2016/680, marges de manoeuvre permises par le règlement, dispositions portant transposition de de la directive UE 2016/680, habilitation à améliorer l'intelligibilité de la législation applicable à la protection des données et enfin, dispositions diverses et finales. Nous intéressent plus particulièrement les deux premiers titres ainsi que l'habilitation. Le premier titre traite des dispositions relatives à la CNIL et des dispositions relatives à certaines catégories de données (données sensibles notamment). Le second titre reprend les différentes adaptations proposés s'agissant du champ d'application territorial du règlement, des dispositions relatives à la simplification des formalités préalables aux traitements, des obligations incombant aux responsables de traitements et sous-traitants, des catégories particulières de traitement (plus spécifiquement les données de santé) et enfin des droits des personnes concernés.

 

Cette adaptation du RGPD en droit français constitue un exercice délicat à plusieurs titres, au vu de l'ampleur des travaux à mener:

 

 

CALENDRIER

 

Le calendrier de ces travaux sera très contraint et pourrait générer des difficultés. En effet, le RGPD entrera en application le 25 mai 2018, à la suite d'une période de transition de deux ans, ce qui implique un calendrier législatif très bref puisque ce projet de loi relatif à la protection des données personnelles ne sera discuté qu'à partir de janvier 2018. La CNIL a, dans sa délibérationhttps://www.cnil.fr/fr/la-cnil-publie-son-avis-sur-le-projet-de-loi-relatif-la-protection-des-donnees-personnelles  du 30 novembre dernier, regretté un tel agenda et souligné le risque réel de non-respect des délais de mise en oeuvre du RGPD. Elle a aussi rappelé que l'application effective de ce texte européen nécessitait, au-delà de la future loi, de disposer des décrets d'application et de pouvoir modifier son propre règlement intérieur. A défaut, la mise en oeuvre des mécanismes de coordination et de contrôle ne pourra avoir lieu dans les délais prévus.

 

Un tel calendrier pourrait aussi être interprété comme un mauvais signal politique pour le droit des données personnelles. C'est l'interprétation de la CNIL qui a estimé à juste titre que ce projet de loi ne permettait pas procéder à ce stade à un réexamen global du droit de la protection des données en France. Si le choix du législateur européen de disposer d'un règlement et d'une directive a crée un premier niveau de complexité, la future loi ne devrait pas permettre de fournir une information claire et précise sur la portée des droits et des obligations. Une telle ré-écriture aura lieu avec la future ordonnance prévue au titre IV du projet de loi qui aura pour objet de reprendre l'ensemble de la loi 78-17 du 6 janvier 1978 et de mettre en cohérence la législation applicable à la protection des données. Cette ordonnance sera prise dans un délai de 6 mois à compter de la promulgation de ce projet de loi, ce qui permettra dès lors de satisfaire aux voeux d'une plus grande intelligibilité émis par la CNIL ou le Conseil d'Etat. De tels travaux n'auraient-ils pas dus être menés dans le cadre du présent projet de loi? La question doit être posée, d'autant que le choix de recourir à une future ordonnance peut apparaître comme une remise en cause des choix qui seront faits par le législateur.

 

QUELLE ADAPTATION?

 

Si les règlements européens n'ont pas à être transposés en droit interne du fait de leur portée générale et leur applicabilité directe, le RGPD constitue une exception. Cette adaptation -nécessaire du fait de l'état de la répartition des compétences entre Union européenne et Etats membres- traduit aussi l'état des lieux hérité de l'application de la directive 95/46. La variété - et la complexité- des dispositions appelant des adaptations doit cependant être notée. Le Conseil d'Etat a souligné avec insistance cette difficulté dans son avis du 7 décembre et noté que la nouvelle architecture de conformité mise en place par le RGPD était sans précédent.

 

Cet exercice interpelle également quant aux choix politiques et éthiques à l'oeuvre ou à faire, du fait des évolutions numériques notamment. Le Conseil d'Etat a rappelé la nécessité de disposer de normes robustes face aux évolutions techniques et suggéré une nouvelle fois un code du numérique et des libertés. A défaut d'un tel code, une vision précise reste toujours indispensable pour appréhender tous les enjeux brassés par le sujet de la protection des données personnelles (concurrence économique, traitements massifs de données, place de l'intelligence artificielle etc...), difficile à effectuer dans le cadre de ce projet de loi. D'autant que les 56 points recensés devant faire l'objet d'une adaptation méritent un examen approfondi.

 

Par exemple sur les conditions et des pouvoirs de contrôles de la CNIL, le délégué à la protection des données, la simplification des formalités et le maintien de régimes d'autorisation spécifiques,  le traitement des données sensibles et de santé ou les algorithmes. A ce titre, la question du contrôle des algorithmes est particulièrement intéressante notamment dans le cas des décisions administratives individuelles et annonce une évolution vers un régime plus complet. La CNIL s'est montrée critique sur ce point en notant que la cohérence entre le RGPD et la loi française n'était pas assurée par ce projet alors que cette disposition aura une portée considérable. Parmi ses nombreuses observations, la CNIL a aussi noté qu'un chapitre spécifique aux données de santé était nécessaire tout en s'interrogeant sur certains dispositifs (demandes d'autorisations pour les traitements à des fins de recherche ou information individuelle atténuée).

 

Par ailleurs, si le périmètre de cette adaptation a déjà suscité certaines remarques de la part du Conseil d'Etat et de la CNIL, celle-ci devra intervenir dans les limites d'une interprétation loyale et cohérente du RGPD, à l'image du processus de transposition, ce qui contraindra doublement les futurs travaux parlementaires tenus par un calendrier européen strict. ²

 

Ces débats devront être suivis attentivement. Car des hypothèques demeurent toujours, au-delà des points mentionnés ci-dessus. En effet, comme l'a signalé le Conseil d'Etat, l'étude d'impact du projet de loi n'analyse pas le coût économique de sa mise en oeuvre, en dépit de conséquences significatives pour les entreprises. Un point qui aurait pourtant été nécessaire, en complément de l'étude d'impact effectué lors de la présentation du RGPD. Le Conseil a relevé à ce titre les charges significatives pesant désormais sur les responsables de traitement et qui nécessitent de mettre en place une législation claire et prévisible, prévisibilité qui sera sans doute difficile à assurer au vu du calendrier et de la difficulté de l'exercice.

 

 

Bruxelles: Interview de Jérôme DEROULEZ dans le Monde du Droit. 17 novembre 2017

BRUXELLES: Interview de Jérôme Deroulez par Arnaud Dumourier dans le Monde du Droit du 17 novembre 2017. http://www.lemondedudroit.fr/interviews/54590-interview-jerome-deroulez-pourquoi-inscrire-bruxelles.html   

Pourquoi ouvrir un bureau à Bruxelles? Cet interview portait sur les intérêts et avantages pour les avocats français d'ouvrir un bureau à Bruxelles.

 

Cet article évoque aussi les raisons d'une présence à Bruxelles pour intégrer au mieux les travaux législatifs européens en cours et à venir, plus spécifiquement dans les domaines de la protection des données personnelles ou des nouvelles technologies.

PROTECTION DES DONNEES PERSONNELLES: Jérôme Deroulez a publié un article sur la protection et la sécurité des données dans la Semaine Juridique du 16 octobre 2017 (JCP G)

PROTECTION ET SECURITE DES DONNEES PERSONNELLES  

Alors que les « fuites » de données personnelles sont devenues un sujet médiatique, le sujet de la sécurité et de la protection des données personnelles constitue aujourd’hui un enjeu juridique sensible, en plus de l’impératif technique.

 

CNIL et renforcement de la protection des données personnelles

 

En effet, l’accroissement des pouvoirs de sanctions de la CNIL et des autorités de contrôle européennes, avec l’entrée en vigueur de la loi n°2016-1321 du 7 octobre 2016 pour une République numérique et du règlement général sur la protection des données personnelles UE 2016/679 (http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679 RGPD), crée une nouvelle donne notable.

 

Deux délibérations à noter en matière de protection des données personnelles

 

En témoignent deux délibérations de la CNIL prononcées les 18 et 20 juillet 2017 contre les sociétés HERTZ et OUICAR et qui délimitent concrètement les obligations à charge des responsables de traitement et de leurs sous-traitants.

 

Ces deux délibérations qui obéissent à un contexte spécifique en dépit de nombreux traits communs constituent un rappel utile à la veille de l’entrée en application du règlement général sur la protection des données (RGPD).

BLOCKCHAIN : Jérôme DEROULEZ a rédigé un article dans la Semaine Juridique du 18 septembre 2017 - "Blockchain et données personnelles, quelle protection de la vie privée?"

L’avenir de la blockchain ( https://twitter.com/JCP_G ) est en partie lié à la façon dont cette technologie intégrera les préoccupations relatives à la vie privée. Son développement économique passe ainsi par la prise en compte des législations et des réglementations en matière de compliance, de KYC ou de protection des données personnelles, gage de sécurité juridique et de confiance. Une telle étape peut sembler difficile sinon complexe au vu des spécificités de la blockchain, en apparence rétive à toute forme de régulation. Pourtant ce processus est déjà entamé et témoigne des usages envisageables de cette technologie de stockage et de transmission d’information au regard de la protection des données personnelles. http://www.tendancedroit.fr/wp-content/uploads/2017/09/EtudeJCPG-38.pdf  

Blockchain et RGPD

 

Le droit à la protection des données connaît un regain d’intérêt avec l’entrée en application le 25 mai prochain du règlement européen relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) d’une part et la jurisprudence active de la Cour de justice de Luxembourg d’autre part, comme en témoignent ses arrêts récents ou son avis du 26 juillet dernier au sujet des transferts de données passagers. La construction européenne du droit à la protection des données voit ainsi le champ d’application de ses dispositions s’étendre de façon importante, depuis les traitements relevant de la matière civile ou commerciale aux fichiers dits de souveraineté. De plus, le contrôle exercé par la Cour de justice sur les transferts internationaux de données et l’inclusion dans le champ d’application géographique du règlement des activités dirigées vers l’Union européenne contribuent à élargir encore les traitements de données visés.

 

Blockchain et effectivité de la vie privée

 

Par ailleurs le développement des nouvelles technologies suscite de nouveaux défis quant à l’effectivité du droit à la protection des données personnelles. En effet, l’essor des réseaux sociaux, la montée en puissance du cloud computing ou l’explosion du e-commerce sont autant de nouveaux paris à relever avec en filigrane la question de l’application extraterritoriale de la loi. Dans le même temps, les possibilités techniques d’interception des communications et des messageries se sont multipliées, facilitant la surveillance de la vie privée à grande échelle. L’irruption de la blockchain dans ce paysage mouvementé ajoute un élément de complexité supplémentaire.

 

Généralement définie comme une technologie de stockage et de transmission d’information, transparente, sécurisée et fonctionnant sans organe de contrôle, la blockchain présente l’intérêt et la réputation d’être sécurisée, distribuée et de pouvoir être partagée par tous ses utilisateurs, sans intermédiaire, chacun pouvant vérifier la validité de la chaîne. Technologie disruptive présentant de très nombreuses applications et potentialités, elle suscite une attention grandissante à la hauteur des investissements consentis et un intérêt marqué des régulateurs et des législateurs.

 

Privacy vs Blockchain 

 

La confrontation entre le droit à la protection des données personnelles et la technologie blockchain ouvre des champs d’analyse et de prospective très vastes : le développement de la blockchain pourrait-il entraver ou limiter le droit à la protection des données ? La blockchain est-elle la promesse sombre d’une forme d’identification ou de surveillance sans limite ? Comment la blockchain pourrait-elle intégrer les préoccupations liées au respect de la vie privée dans le cadre de son évolution ? Ces questions sont loin d’être théoriques aujourd’hui. En effet, cette problématique blockchain/vie privée fait l’objet de nombreux débats, en Europe et aux États-Unis suscitant aussi bien l’expertise des régulateurs, des législateurs, des universités et des centres de recherches que des communautés impliquées, en se caractérisant toutefois par une grande diversité des positions à la lumière de la complexité de cette technologie.

 

Le développement de la blockchain – comme la multiplication de ses cas d’usages – pourrait s’avérer un frein à la montée en puissance du droit à la protection des données personnelles du fait de ses caractéristiques techniques. Cette technologie pourrait également être entravée ou limitée du fait de réglementations peu incitatives, en réponse à des dérives régulièrement critiquées (anonymat, blanchiment, fraude etc.). Pour autant, force est de constater que le droit de la protection des données personnelles présente de nombreuses affinités avec la technologie blockchain, ne serait-ce qu’au regard de l’utilisation de cryptographie pour assurer la sécurité des données. Cet article évoquera donc les défis que la blockchain doit résoudre en matière de protection de la vie privée et des données personnelles comme les solutions qui pourront être apportées le cas échéant, cette technologie pouvant constituer le creuset de techniques novatrices de protection des données tout en sécurisant les nouveaux marchés liés au Big Data et au numérique.

 

DONNEES PERSONNELLES : nouveau coup de semonce de la Cour de Luxembourg

La Cour de Justice de l'Union européenne a rendu le 26 juillet dernier son avis au sujet de l'accord PNR UE / Canada suite à la demande émise par le Parlement européen le 30 janvier 2015 (http://curia.europa.eu/juris/document/document.jsf?text=&docid=193216&pageIndex=0&doclang=fr&mode=lst&dir=&occ=first&part=1&cid=964955). Dans son avis, la Cour a estimé que cet accord était incompatible avec la Charte des droits fondamentaux. Elle a marqué une nouvelle étape dans sa construction jurisprudentielle du droit à la protection des données personnelles en Europe.

Contenu de l'avis PNR UE/Canada

De quoi s'agit-il? Comme avec les Etats-Unis ou l'Australie, l'Union européenne a négocié cet accord avec le Canada afin de pouvoir transférer les données des passagers aériens (données PNR) à des fins de lutte contre le terrorisme et d'autres formes de criminalité transnationale. Ces données énumérées dans l'accord peuvent dès lors être conservées, utilisées voire transférées vers des pays tiers par les autorités canadiennes. Du fait de la sensibilité de tels transferts, ces négociations ont été marquées par des passes d'armes entre Conseil et Parlement européen. La saisine de la Cour pour avis, avant conclusion de l'accord, avait pour objet de vérifier la base juridique de l'accord et sa compatibilité avec la Charte et les traités européens.

Appréciation de la CJUE sur l'accord PNR

Analyse de la CJUE. La Cour a d'abord rappelé que cet accord devait être apprécié dans sa double composante, sécurité publique et protection des données passagers, sanctionnant l'absence de base juridique dédiée (en l'espèce l'article 16§2 TFUE). Si la Cour n'a pas remis en cause le principe du transfert de ces données au vu de l'objectif de protection de la sécurité et de la sûreté publique, elle a néanmoins souligné les incompatibilités entre certains points de l'accord et la charte des droits fondamentaux.

Parmi ses réserves figurent notamment la délimitation des données PNR à transférer, le transfert de données sensibles, l'absence de limitation au strict nécessaire des données PNR comme les conditions de leur communication à des autorités publiques canadiennes ou encore l'absence de surveillance du respect des règles de l'accord par une autorité indépendante.

En conséquence, la Cour a dressé la liste des points devant être repris pour que cet accord puisse être compatible avec la Charte des droits fondamentaux. Liste des points qui pourrait être complexe à mettre en oeuvre (par exemple sur le droit à l'information individuelle des passagers aériens en cas d'utilisation de leurs données).

Quelles suites pour les accords PNR ?

Conséquences. Si cet avis témoigne d'une construction étape par étape d'une jurisprudence méthodique de la CJUE en faveur du droit à la protection des données personnelles, il devrait aussi avoir de nombreuses conséquences politiques et juridiques. Quid du devenir de cet accord qui devait encore être conclu et de la période transitoire mise en place pour encadrer les transferts de données PNR? Comment adapter l'accord et surtout convaincre le Canada de prendre en compte l'avis de la Cour? Quelle portée vis à vis des accords PNR existants ou de la directive PNR-UE? Quelle portée pour les compagnies aériennes et les prestataires privés assurant la mise en oeuvre de ces transferts?

Cette liste non exclusive témoigne de l'importance de cet avis qui devrait également entraîner une réévaluation des positions européennes et des directives de négociations de l'Union européenne face à ses partenaires européens. Le signal envoyé par la CJUE a dès lors clairement une portée internationale et marque une nouvelle étape dans l'encadrement et la limitation des transferts de données en masse.

Un nouvel avertissement?

De façon plus générale, cet avis marque l'insistance de la Cour à dégager des marqueurs clairs d'un niveau efficace de protection des données personnelles. Qu'il s'agisse de la lutte contre le terrorisme (PNR, directive rétention des données) ou des transferts de données en matière civile ou commerciale (Safe Harbor), la Cour a dégagé de nombreux critères permettant d'attester ou non du respect des règles européennes.

A la veille de l'entrée en vigueur en mai 2018 du règlement général sur la protection des données personnelles, c'est un nouvel avertissement qui est adressé, bien au-delà du seul cadre des données PNR.

http://curia.europa.eu/juris/document/document.jsf?text=&docid=193216&pageIndex=0&doclang=fr&mode=lst&dir=&occ=first&part=1&cid=621924

Silhouettes of business people traveling on airport; waiting at the plane boarding gates.

Silhouettes of business people traveling on airport; waiting at the plane boarding gates.

PROTECTION DES DONNEES, RESPECT DE LA VIE PRIVEE ET LIBERTE D'EXPRESSION

Arrêt intéressant de la CEDH du 27 juin 2017 (Grande Chambre - Aff Satakunnan Markkinapörssi OY et Satamedia OY c/ Finlande. Requête 931/13) s'agissant de la conciliation entre protection des données, protection de la vie privée et liberté d'expression, à propos de la publication par la presse finlandaise de données fiscales de personnes physiques.

Historique

La CJUE d'abord saisie en 2008 d'une question préjudicielle dans ce dossier (C-73-07) avait estimé que ces activités pouvaient être qualifiées de traitements de données à caractère personnel tout en reconnaissant que leur divulgation pouvait entrer dans l'activité de journalisme et donc être couverte par la dérogation prévue par la directive 95/46.

Saisie en 2010, la CEDH a relevé les normes pertinentes de l'Union européenne dont la charte des droits fondamentaux et fait directement référence au futur règlement UE 2016/679 -et à ses dérogations aux fins de journalisme héritées de la directive 95/46.

Elle a aussi cité la jurisprudence de la CJUE sur la protection des données et la liberté d'expression, au vu de ses multiples rappels soulignant que les dispositions du droit européen sur la protection des données devaient être interprétées à la lumière des droits fondamentaux garantis par la Convention et par la Charte.

Liberté de la presse, protection des données et vie privée

Après un rappel exhaustif de la jurisprudence de la CJUE en matière de protection des données, la CEDH a noté les spécificités de cette affaire (au vu du large accès du public aux données fiscales en cause) et souligné les principes généraux gouvernant sa propre jurisprudence, en terme de liberté de la presse, de droit à la vie privée et de protection des données.

Elle a estimé enfin qu'il n'y avait pas eu de violation de l'article 10 de la convention relatif sur la liberté de la presse et que les autorités finlandaises avaient tenu compte des principes et des critères de sa jurisprudence, quant à la mise en balance du droit au respect de la vie privée et du droit à la liberté d'expression, en agissant dans les limites de leur marge d'appréciation et en ménageant un juste équilibre entre les intérêts concurrents en jeu.

Cet arrêt est intéressant à plus d'un titre, dans la mesure où il éclaire les principes généraux gouvernant les jurisprudences de la CEDH et de la CJUE en matière de respect de la vie privée, de protection des données personnelles et de droit à la liberté d'expression, en fournissant un panorama exhaustif.

L'arrêt en question souligne aussi les apports croisés de ces différentes jurisprudences et la double protection apportée à ces droits, tant par la Cour de Luxembourg que par la Cour de Strabourg et leur souci d'un exercice concret de ces droits. Il rappelle enfin, à travers les opinions dissidentes, les débats sur la notion d'activité journalistique et ses contours comme sur la mise en balance de droits concurrents.

Protection des données, CJUE et CEDH

Il sera intéressant d'observer à l'avenir comment la montée en puissance du droit à la protection des données personnelles, consacré comme droit fondamental par le traité de Lisbonne continuera à être traduite concrètement dans les futures jurisprudences des deux Cours. A noter également la référence au GDPR (règlement 2016/679) par la CEDH.

PRIVACY SHIELD: AVERTISSEMENT DU PARLEMENT EUROPEEN

BRUXELLES: Le Parlement européen a adopté à une large majorité (306 votes en faveur, 240 votes contre) le 6 avril une résolution faisant part de ses inquiétudes au sujet du niveau de protection des données assuré par l'accord transatlantique Privacy-Shield. Au vu des nouvelles dispositions élargissant le périmètre de la NSA (notamment les nouvelles dispositions intervenues en janvier 2017 autorisant la collecte de données personnelles en masse, en dehors du cadre judiciaire) et des votes intervenus au Congrès en mars dernier (cf notre dernier article), les parlementaires européens estiment que le Privacy Shield pourrait être mis en cause. Ce vote est une première alarme à destination de la Commission et des autorités américaines avant l'évaluation conjointe qui doit avoir lieu en septembre prochain.

A travers cette résolution, le Parlement européen rappelle son inquiétude quant aux garanties concrètes apportées en matière de protection des données personnelles par les autorités américaines et de l'effectivité de leur engagement à mettre en oeuvre les dispositions souhaitées par l'Union européenne. A défaut de réponse claire, cet accord pourrait être remis en cause, alors que plus de 1900 entreprises ont adhéré à ses principes.