BLOCKCHAIN : Jérôme DEROULEZ a rédigé un article dans la Semaine Juridique du 18 septembre 2017 - "Blockchain et données personnelles, quelle protection de la vie privée?"

L’avenir de la blockchain ( https://twitter.com/JCP_G ) est en partie lié à la façon dont cette technologie intégrera les préoccupations relatives à la vie privée. Son développement économique passe ainsi par la prise en compte des législations et des réglementations en matière de compliance, de KYC ou de protection des données personnelles, gage de sécurité juridique et de confiance. Une telle étape peut sembler difficile sinon complexe au vu des spécificités de la blockchain, en apparence rétive à toute forme de régulation. Pourtant ce processus est déjà entamé et témoigne des usages envisageables de cette technologie de stockage et de transmission d’information au regard de la protection des données personnelles. http://www.tendancedroit.fr/wp-content/uploads/2017/09/EtudeJCPG-38.pdf  

Blockchain et RGPD

 

Le droit à la protection des données connaît un regain d’intérêt avec l’entrée en application le 25 mai prochain du règlement européen relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) d’une part et la jurisprudence active de la Cour de justice de Luxembourg d’autre part, comme en témoignent ses arrêts récents ou son avis du 26 juillet dernier au sujet des transferts de données passagers. La construction européenne du droit à la protection des données voit ainsi le champ d’application de ses dispositions s’étendre de façon importante, depuis les traitements relevant de la matière civile ou commerciale aux fichiers dits de souveraineté. De plus, le contrôle exercé par la Cour de justice sur les transferts internationaux de données et l’inclusion dans le champ d’application géographique du règlement des activités dirigées vers l’Union européenne contribuent à élargir encore les traitements de données visés.

 

Blockchain et effectivité de la vie privée

 

Par ailleurs le développement des nouvelles technologies suscite de nouveaux défis quant à l’effectivité du droit à la protection des données personnelles. En effet, l’essor des réseaux sociaux, la montée en puissance du cloud computing ou l’explosion du e-commerce sont autant de nouveaux paris à relever avec en filigrane la question de l’application extraterritoriale de la loi. Dans le même temps, les possibilités techniques d’interception des communications et des messageries se sont multipliées, facilitant la surveillance de la vie privée à grande échelle. L’irruption de la blockchain dans ce paysage mouvementé ajoute un élément de complexité supplémentaire.

 

Généralement définie comme une technologie de stockage et de transmission d’information, transparente, sécurisée et fonctionnant sans organe de contrôle, la blockchain présente l’intérêt et la réputation d’être sécurisée, distribuée et de pouvoir être partagée par tous ses utilisateurs, sans intermédiaire, chacun pouvant vérifier la validité de la chaîne. Technologie disruptive présentant de très nombreuses applications et potentialités, elle suscite une attention grandissante à la hauteur des investissements consentis et un intérêt marqué des régulateurs et des législateurs.

 

Privacy vs Blockchain 

 

La confrontation entre le droit à la protection des données personnelles et la technologie blockchain ouvre des champs d’analyse et de prospective très vastes : le développement de la blockchain pourrait-il entraver ou limiter le droit à la protection des données ? La blockchain est-elle la promesse sombre d’une forme d’identification ou de surveillance sans limite ? Comment la blockchain pourrait-elle intégrer les préoccupations liées au respect de la vie privée dans le cadre de son évolution ? Ces questions sont loin d’être théoriques aujourd’hui. En effet, cette problématique blockchain/vie privée fait l’objet de nombreux débats, en Europe et aux États-Unis suscitant aussi bien l’expertise des régulateurs, des législateurs, des universités et des centres de recherches que des communautés impliquées, en se caractérisant toutefois par une grande diversité des positions à la lumière de la complexité de cette technologie.

 

Le développement de la blockchain – comme la multiplication de ses cas d’usages – pourrait s’avérer un frein à la montée en puissance du droit à la protection des données personnelles du fait de ses caractéristiques techniques. Cette technologie pourrait également être entravée ou limitée du fait de réglementations peu incitatives, en réponse à des dérives régulièrement critiquées (anonymat, blanchiment, fraude etc.). Pour autant, force est de constater que le droit de la protection des données personnelles présente de nombreuses affinités avec la technologie blockchain, ne serait-ce qu’au regard de l’utilisation de cryptographie pour assurer la sécurité des données. Cet article évoquera donc les défis que la blockchain doit résoudre en matière de protection de la vie privée et des données personnelles comme les solutions qui pourront être apportées le cas échéant, cette technologie pouvant constituer le creuset de techniques novatrices de protection des données tout en sécurisant les nouveaux marchés liés au Big Data et au numérique.

 

DONNEES PERSONNELLES : nouveau coup de semonce de la Cour de Luxembourg

La Cour de Justice de l'Union européenne a rendu le 26 juillet dernier son avis au sujet de l'accord PNR UE / Canada suite à la demande émise par le Parlement européen le 30 janvier 2015 (http://curia.europa.eu/juris/document/document.jsf?text=&docid=193216&pageIndex=0&doclang=fr&mode=lst&dir=&occ=first&part=1&cid=964955). Dans son avis, la Cour a estimé que cet accord était incompatible avec la Charte des droits fondamentaux. Elle a marqué une nouvelle étape dans sa construction jurisprudentielle du droit à la protection des données personnelles en Europe.

Contenu de l'avis PNR UE/Canada

De quoi s'agit-il? Comme avec les Etats-Unis ou l'Australie, l'Union européenne a négocié cet accord avec le Canada afin de pouvoir transférer les données des passagers aériens (données PNR) à des fins de lutte contre le terrorisme et d'autres formes de criminalité transnationale. Ces données énumérées dans l'accord peuvent dès lors être conservées, utilisées voire transférées vers des pays tiers par les autorités canadiennes. Du fait de la sensibilité de tels transferts, ces négociations ont été marquées par des passes d'armes entre Conseil et Parlement européen. La saisine de la Cour pour avis, avant conclusion de l'accord, avait pour objet de vérifier la base juridique de l'accord et sa compatibilité avec la Charte et les traités européens.

Appréciation de la CJUE sur l'accord PNR

Analyse de la CJUE. La Cour a d'abord rappelé que cet accord devait être apprécié dans sa double composante, sécurité publique et protection des données passagers, sanctionnant l'absence de base juridique dédiée (en l'espèce l'article 16§2 TFUE). Si la Cour n'a pas remis en cause le principe du transfert de ces données au vu de l'objectif de protection de la sécurité et de la sûreté publique, elle a néanmoins souligné les incompatibilités entre certains points de l'accord et la charte des droits fondamentaux.

Parmi ses réserves figurent notamment la délimitation des données PNR à transférer, le transfert de données sensibles, l'absence de limitation au strict nécessaire des données PNR comme les conditions de leur communication à des autorités publiques canadiennes ou encore l'absence de surveillance du respect des règles de l'accord par une autorité indépendante.

En conséquence, la Cour a dressé la liste des points devant être repris pour que cet accord puisse être compatible avec la Charte des droits fondamentaux. Liste des points qui pourrait être complexe à mettre en oeuvre (par exemple sur le droit à l'information individuelle des passagers aériens en cas d'utilisation de leurs données).

Quelles suites pour les accords PNR ?

Conséquences. Si cet avis témoigne d'une construction étape par étape d'une jurisprudence méthodique de la CJUE en faveur du droit à la protection des données personnelles, il devrait aussi avoir de nombreuses conséquences politiques et juridiques. Quid du devenir de cet accord qui devait encore être conclu et de la période transitoire mise en place pour encadrer les transferts de données PNR? Comment adapter l'accord et surtout convaincre le Canada de prendre en compte l'avis de la Cour? Quelle portée vis à vis des accords PNR existants ou de la directive PNR-UE? Quelle portée pour les compagnies aériennes et les prestataires privés assurant la mise en oeuvre de ces transferts?

Cette liste non exclusive témoigne de l'importance de cet avis qui devrait également entraîner une réévaluation des positions européennes et des directives de négociations de l'Union européenne face à ses partenaires européens. Le signal envoyé par la CJUE a dès lors clairement une portée internationale et marque une nouvelle étape dans l'encadrement et la limitation des transferts de données en masse.

Un nouvel avertissement?

De façon plus générale, cet avis marque l'insistance de la Cour à dégager des marqueurs clairs d'un niveau efficace de protection des données personnelles. Qu'il s'agisse de la lutte contre le terrorisme (PNR, directive rétention des données) ou des transferts de données en matière civile ou commerciale (Safe Harbor), la Cour a dégagé de nombreux critères permettant d'attester ou non du respect des règles européennes.

A la veille de l'entrée en vigueur en mai 2018 du règlement général sur la protection des données personnelles, c'est un nouvel avertissement qui est adressé, bien au-delà du seul cadre des données PNR.

http://curia.europa.eu/juris/document/document.jsf?text=&docid=193216&pageIndex=0&doclang=fr&mode=lst&dir=&occ=first&part=1&cid=621924

Silhouettes of business people traveling on airport; waiting at the plane boarding gates.

Silhouettes of business people traveling on airport; waiting at the plane boarding gates.

GDPR, données personnelles et risque pénal : article de Jérôme Deroulez dans la Lettre des Juristes d'Affaires du 10 juillet 2017.

Quelles conséquences avec la mise en œuvre du RGPD en matière pénale ? 

Plus de sanctions ? Plus de compliance ? Plus de CNIL ? Plus de juge ? Encore beaucoup d’incertitudes si près de la date butoir…

Aujourd’hui, l’effectivité du droit à la protection des données personnelles est garantie par des sanctions pénales prévues aux articles 226-16 et suivants du Code Pénal qui complètent le dispositif de la loi Informatique et libertés du 6 janvier 1978.

L’application du nouveau règlement européen sur la protection des données personnelles (GDPR) à partir du 25 mai 2018 va rebattre les cartes de ce dispositif complexe. En effet,  en abrogeant la directive 95/46 dont la transposition avait déjà entrainé de nombreuses modifications de la loi de 1978, ce texte remet en cause plusieurs mécanismes existants.

Ainsi, le GDPR consacre le principe clé d’accountability –obligation de prouver la conformité- et supprime les formalités et déclarations préalables en les remplaçant par de nouvelles obligations (mise en œuvre d’études d’impact, notification des failles de sécurité, documentation, data protection officer, etc...).

Le droit pénal existant sur ce sujet va être impacté par le règlement, même si les modifications à venir restent difficiles à évaluer. Du fait d’un nombre important de renvoi au droit national et au vu des innovations apportées, le GDPR nécessite une adaptation législative partiellement anticipée par la loi pour une République numérique du 7 octobre 2016 et qui doit encore être complétée avant la date butoir de mai 2018.

GDPR: Que va faire le  législateur français ?

Il a la mission délicate d’adapter le régime des sanctions applicables comme leur périmètre, au-delà des sanctions administratives pouvant être prononcées par la CNIL, afin de déterminer notamment si un dispositif pénal doit sanctionner certains manquements visés par le règlement. Les dispositions relatives au non accomplissement des formalités préalables devront aussi être modifiées et éventuellement remplacées ; de la même façon les sanctions prévues en cas de non-respect d’une injonction de cesser un traitement ou de retrait d’autorisation prononcé par la CNIL pourraient être amendées avec la refonte du dispositif général.

La liste des délits visés aux articles 226-17-1 pourrait enfin être étoffée pour tenir compte des nouvelles prescriptions du règlement et renforcer l’obligation générale de sécurité des données. Ces futurs débats portent des enjeux importants pour préciser la portée du règlement et apprécier l’architecture globale des sanctions prévues.

Ainsi, il faudra – pour les praticiens - suivre les choix législatifs qui seront faits au vu du recours ou non à de nouvelles sanctions pénales et du rôle laissé au juge pénal vis-à-vis de la CNIL qui bénéficie quant à elle de prérogatives renforcées et de nouvelles modalités de coopération avec ses homologues européennes.

La philosophie de ce règlement (GDPR) promeut une forme de conformité dynamique, de façon proactive et anticipée. Quelle voie choisira le législateur ? Et comment se préparer en entreprise ? A ce titre, la montée en puissance de la problématique « données personnelles » comme sa sensibilité (en matière de transferts internationaux de données ou d’obligations de KYC - Know Your Customer par exemple) militent en faveur de son intégration dans les programmes de compliance. Un tel réflexe sera ainsi de nature à prévenir et anticiper de façon globale le risque pénal, comme le risque de sanctions financières.

Article publié dans la LJA le 10 juillet 2017. https://twitter.com/JuristesAffaire?lang=fr

PROTECTION DES DONNEES, RESPECT DE LA VIE PRIVEE ET LIBERTE D'EXPRESSION

Arrêt intéressant de la CEDH du 27 juin 2017 (Grande Chambre - Aff Satakunnan Markkinapörssi OY et Satamedia OY c/ Finlande. Requête 931/13) s'agissant de la conciliation entre protection des données, protection de la vie privée et liberté d'expression, à propos de la publication par la presse finlandaise de données fiscales de personnes physiques.

Historique

La CJUE d'abord saisie en 2008 d'une question préjudicielle dans ce dossier (C-73-07) avait estimé que ces activités pouvaient être qualifiées de traitements de données à caractère personnel tout en reconnaissant que leur divulgation pouvait entrer dans l'activité de journalisme et donc être couverte par la dérogation prévue par la directive 95/46.

Saisie en 2010, la CEDH a relevé les normes pertinentes de l'Union européenne dont la charte des droits fondamentaux et fait directement référence au futur règlement UE 2016/679 -et à ses dérogations aux fins de journalisme héritées de la directive 95/46.

Elle a aussi cité la jurisprudence de la CJUE sur la protection des données et la liberté d'expression, au vu de ses multiples rappels soulignant que les dispositions du droit européen sur la protection des données devaient être interprétées à la lumière des droits fondamentaux garantis par la Convention et par la Charte.

Liberté de la presse, protection des données et vie privée

Après un rappel exhaustif de la jurisprudence de la CJUE en matière de protection des données, la CEDH a noté les spécificités de cette affaire (au vu du large accès du public aux données fiscales en cause) et souligné les principes généraux gouvernant sa propre jurisprudence, en terme de liberté de la presse, de droit à la vie privée et de protection des données.

Elle a estimé enfin qu'il n'y avait pas eu de violation de l'article 10 de la convention relatif sur la liberté de la presse et que les autorités finlandaises avaient tenu compte des principes et des critères de sa jurisprudence, quant à la mise en balance du droit au respect de la vie privée et du droit à la liberté d'expression, en agissant dans les limites de leur marge d'appréciation et en ménageant un juste équilibre entre les intérêts concurrents en jeu.

Cet arrêt est intéressant à plus d'un titre, dans la mesure où il éclaire les principes généraux gouvernant les jurisprudences de la CEDH et de la CJUE en matière de respect de la vie privée, de protection des données personnelles et de droit à la liberté d'expression, en fournissant un panorama exhaustif.

L'arrêt en question souligne aussi les apports croisés de ces différentes jurisprudences et la double protection apportée à ces droits, tant par la Cour de Luxembourg que par la Cour de Strabourg et leur souci d'un exercice concret de ces droits. Il rappelle enfin, à travers les opinions dissidentes, les débats sur la notion d'activité journalistique et ses contours comme sur la mise en balance de droits concurrents.

Protection des données, CJUE et CEDH

Il sera intéressant d'observer à l'avenir comment la montée en puissance du droit à la protection des données personnelles, consacré comme droit fondamental par le traité de Lisbonne continuera à être traduite concrètement dans les futures jurisprudences des deux Cours. A noter également la référence au GDPR (règlement 2016/679) par la CEDH.

GDPR, Brexit and data protection

Whereas the General Data Protection Regulation (GDPR) should be applicable in the UE from May 2018, BREXIT could lead to a new fragmentation of the European rules regarding data protection. If the GDPR focused on building and improving a European Data market, any Brexit could harm this goal and have undesirable consequences.

Furthermore, being outside of the European Union won’t prevent British companies from enforcing the GDPR regarding its provisions on territorial scope (article 3) but will generate new forms of legal complexity.

Brexit and GDPR

Like in many other contexts, some solutions are at stake: an "UE-UK Privacy Shield" or an adequacy decision could then be negotiated, even if such political processes imply much time. In the absence of any transitional mechanism, UK companies may face legal complexity when addressing the internal market.

Such difficulties should be considered as additional grounds for mapping all flows of datas concerned (for example when datas are stored or transferred to/from the UK). And they must underline all the necessary steps to be fully compliant with the GDPR.

Brexit

Brexit

INNOVATION: Jérôme Deroulez a représenté l'Incubateur du Barreau de Paris lors du congrès des avocats allemands - DeutscherAnwaltVerein - à Essen le 26 mai 2017

Jérôme Deroulez, Avocat a représenté l'Incubateur du Barreau de Paris lors du congrès des avocats allemands - DeutscherAnwaltVerein - à Essen le 26 mai 2017. A cette occasion, Jérôme Deroulez, Avocat a participé à l'atelier "How to be an innovative lawyer"

BLOCKCHAIN ET DROIT: Jérôme Deroulez est intervenu lors du 28ème club LexisNexis organisé en partenariat avec le Club des Juristes

BLOCKCHAIN: Jérôme Deroulez est intervenu au sujet des enjeux juridiques posés par le blockchain (cas d'usages, applications et utilisation probable, régulation et encadrement législatif). Il a évoqué les travaux français en vue d'un futur droit de la blockchain, au vu de l'ordonnance sur les mini-bons et de la future ordonnance sur les titres non cotés. Cette présentation a fait l'objet d'une publication dans la Semaine Juridique le 29 mai 2017 ( http://www.tendancedroit.fr/wp-content/uploads/2017/05/La-semaine-juridique-1.pdf )  

  1. Pourquoi les avocats doivent-ils s’intéresser à la blockchain ?

 

La blockchain intéresse les avocats aujourd’hui à plus d’un titre.

D’abord parce que cette technologie et son potentiel suscitent de très nombreuses questions d’ordre juridique (mode de preuve, conception de smart-contracts, identité et blockchain, transferts de titres de propriété etc…). De plus, la multiplication des applications ou des expérimentations fondées sur la blockchain interpellent et posent de très nombreux défis aux avocats lorsqu’ils doivent accompagner leurs clients sur ces projets (notamment dans le domaine des droits de propriété intellectuelle, littéraire ou artistique).

Par ailleurs, la plupart des régulateurs ou des autorités de contrôle se positionnent aujourd’hui sur cette technologie et son impact notamment en matière bancaire et financière avec un nombre de rapports et d’études exponentiel. Et les investissements aujourd’hui consentis au niveau international sur cette technologie sont aussi un marqueur qui doit attirer notre attention : partout la blockchain interpelle et constitue le signe de changements importants.

Enfin, au-delà du phénomène de mode lié à cette technologie volontiers décrite comme « punk », l’intervention de l’avocat permet de réfléchir au cadre juridique général de ces travaux et de poser des jalons pour les sécuriser et les pérenniser.

 

  1. Les pratiques évoluent, quel sera le rôle de l’avocat demain ?

 

Le rôle de l’avocat évoluera forcément, du fait de l’effet conjugué de nombreuses technologies comme la blockchain, l’intelligence artificielle, la justice prédictive ou encore les robots. Nos façons de travailler, nos modèles de développement comme nos outils sont susceptibles d’être impactés. Les relations avec nos clients sont aussi d’ores et déjà profondément modifiées par la révolution numérique et évolueront encore.

S’il est difficile de prédire quel sera le rôle de l’avocat demain, il est en revanche nécessaire pour les barreaux de se pencher de près sur les conséquences croisées des innovations qui font aujourd’hui l’actualité et révolutionnent en profondeur notre économie. C’est aussi l’un des moteurs de l’Incubateur du Barreau de Paris pour rapprocher l’innovation des cabinets tout en mettant en valeur les projets les plus intéressants au niveau juridique et en les accompagnant sur leurs volets éthiques et déontologiques notamment.

 

  1. Quel impact de la blockchain sur la régulation ? Faut-il légiférer sur la blockchain ?

 

La blockchain a d’ores et déjà un impact en termes de régulation et de législation. Les enjeux juridiques de la définition du bitcoin et des monnaies virtuelles comme leur appréhension par les régulateurs internationaux ont suscité des premiers travaux législatifs ou pré-législatifs. L’ordonnance sur les mini-bons et la future ordonnance sur les titres non-côtés issue de la loi Sapin II devraient aussi jeter les bases d’un droit français de la blockchain appelé de leurs vœux par de nombreux parlementaires.

Ces travaux ne se limitent pas à la France, le Royaume-Uni, le Luxembourg, l’Australie, Singapour ou les Etats-Unis ont d’ores et déjà lancé des réflexions législatives en la matière. L’Union européenne a marqué son intérêt. Et des projets de norme ISO de cette technologie ont débuté.

D’ici un ou deux ans, plusieurs exemples de législations centrées sur certains effets liés à l’utilisation de la blockchain devraient avoir été adoptés -à défaut d’une régulation à proprement parler particulièrement complexe à envisager. La promotion du modèle du sandbox ou bac à sable est aussi une option à envisager sérieusement : à l’instar de certaines propositions anglo-saxonnes, ce concept permet d’éviter de légiférer trop tôt dans le cas de technologies très évolutives notamment et de permettre aux législateurs comme aux régulateurs de prendre le pouls des projets en cours. En tout état de cause, le modèle du sandbox est un appel à appréhender autrement les modes de régulation en évoluant vers des solutions de co-création, plus ouvertes et collaboratives.

PRIVACY SHIELD: AVERTISSEMENT DU PARLEMENT EUROPEEN

BRUXELLES: Le Parlement européen a adopté à une large majorité (306 votes en faveur, 240 votes contre) le 6 avril une résolution faisant part de ses inquiétudes au sujet du niveau de protection des données assuré par l'accord transatlantique Privacy-Shield. Au vu des nouvelles dispositions élargissant le périmètre de la NSA (notamment les nouvelles dispositions intervenues en janvier 2017 autorisant la collecte de données personnelles en masse, en dehors du cadre judiciaire) et des votes intervenus au Congrès en mars dernier (cf notre dernier article), les parlementaires européens estiment que le Privacy Shield pourrait être mis en cause. Ce vote est une première alarme à destination de la Commission et des autorités américaines avant l'évaluation conjointe qui doit avoir lieu en septembre prochain.

A travers cette résolution, le Parlement européen rappelle son inquiétude quant aux garanties concrètes apportées en matière de protection des données personnelles par les autorités américaines et de l'effectivité de leur engagement à mettre en oeuvre les dispositions souhaitées par l'Union européenne. A défaut de réponse claire, cet accord pourrait être remis en cause, alors que plus de 1900 entreprises ont adhéré à ses principes.

 

VIE PRIVEE UE/US : Le Congrès américain a révoqué les règles relatives à la vie privée dans le secteur des télécoms : quelles conséquences ?

Après le Sénat, la chambre des Représentants a supprimé hier les règles protectrices de la vie privée qui avaient été imposées aux fournisseurs d’accès Internet. Ces règles qui n’étaient pas encore applicables imposaient à ces sociétés de recueillir le consentement de leurs clients avant de commercialiser leurs données (par exemple leur historique de navigation). Ce vote constitue un nouveau signal de recul sur le terrain de la vie privée et la Commission européenne s’est inquiétée ce matin de ces nouvelles remises en causes des droits des citoyens européens sur le territoire américain, à l’occasion du traitement de leurs données personnelles.

A titre provisoire, plusieurs conséquences sont envisageables :

  • Une remise en cause éventuelle du Privacy Shield UE-US, au vu de l’amoindrissement des garanties apportées par les Etats-Unis alors que ces garanties constituent un pan essentiel de cet accord (du fait des exigences formulées par le droit européen et de la jurisprudence de la CJUE) ;

  • Une déstabilisation des autres accords existants qui incluent des volets « protection des données personnelles » : c’est le cas par exemple de l’accord concernant le transfert des données passagers (PNR) ;

  • Le risque d’une évolution législative diamétralement opposée entre les Etats-Unis et l’Union européenne en termes de protection des données personnelles, rendant le cadre juridique applicable plus complexe pour l’ensemble des acteurs économiques ;

  • Des difficultés accrues pour les opérateurs devant appliquer et respecter tant les législations européenne et américaine en la matière ;

  • La montée d’une forme d’inquiétude quant au traitement et à l’utilisation des données personnelles par ces fournisseurs d’accès internet, inquiétude qui pourrait à terme générer des risques de réputation ou favoriser la montée en puissance de solutions alternatives.

Le déplacement de V. Jourova à Washington la semaine prochaine au sujet du Privacy Shield sera une occasion de tester les préoccupations européennes comme leur accueil par les autorités américaines.

Lock on the laptop keyboard background

Lock on the laptop keyboard background

VIE PRIVEE UE/US : Le Congrès américain a révoqué les règles relatives à la vie privée dans le secteur des télécoms : quelles conséquences ?

Après le Sénat, la chambre des Représentants a supprimé le 29 mars 2017 les règles protectrices de la vie privée qui avaient été imposées aux fournisseurs d’accès Internet. Ces règles qui n’étaient pas encore applicables imposaient à ces sociétés de recueillir le consentement de leurs clients avant de commercialiser leurs données (par exemple leur historique de navigation). Ce vote constitue un nouveau signal de recul sur le terrain de la vie privée et la Commission européenne s’est inquiétée ce matin de ces nouvelles remises en causes des droits des citoyens européens sur le territoire américain, à l’occasion du traitement de leurs données personnelles.

A titre provisoire, plusieurs conséquences sont envisageables :

  • Une remise en cause éventuelle du Privacy Shield UE-US, au vu de l’amoindrissement des garanties apportées par les Etats-Unis alors que ces garanties constituent un pan essentiel de cet accord (du fait des exigences formulées par le droit européen et de la jurisprudence de la CJUE) ;

  • Une déstabilisation des autres accords existants qui incluent des volets « protection des données personnelles » : c’est le cas par exemple de l’accord concernant le transfert des données passagers (PNR) ;

  • Le risque d’une évolution législative diamétralement opposée entre les Etats-Unis et l’Union européenne en termes de protection des données personnelles, rendant le cadre juridique applicable plus complexe pour l’ensemble des acteurs économiques ;

  • Des difficultés accrues pour les opérateurs devant appliquer et respecter tant les législations européenne et américaine en la matière ;

  • La montée d’une forme d’inquiétude quant au traitement et à l’utilisation des données personnelles par ces fournisseurs d’accès internet, inquiétude qui pourrait à terme générer des risques de réputation ou favoriser la montée en puissance de solutions alternatives.

Le déplacement de V. Jourova à Washington la semaine prochaine au sujet du Privacy Shield sera une occasion de tester les préoccupations européennes comme leur accueil par les autorités américaines.

Lock on the laptop keyboard background

Lock on the laptop keyboard background

BIG DATA : Jérôme Deroulez a présidé la table ronde sur la "personnalisation" de la loi au Sénat dans le cadre du colloque Big Data (17 mars 2017)

BIG DATA: Colloque organisé au SENAT au sujet du BIG DATA et de ses enjeux juridiques. Ce colloque était co-organisé par l'Université de Lorraine, l'Université de Chicago, l'IHEJ et le Cercle Montesquieu au sujet des implications juridiques du BIG DATA.

Jérôme DEROULEZ a présidé la table ronde consacrée à la personnalisation de la loi, dans le cadre de ce colloque:

Chair: Jérôme Deroulez, Attorney at Law, Member of the Paris Bar Incubator; Anthony J. Casey, Professor of Law, University of Chicago School of Law, The End of Rules and Standards; David Restrepo Amariles, Professor of law, HEC Paris, Law’s Learning Algorithm: Making Rules Fit through Big Data; Ariel Porat, Professor of Law, Tel Aviv University, and Visiting Professor of Law, University of Chicago, Personalized Negligence Law and Big Data.

Les interventions ont porté notamment sur les conséquences de l'utilisation de l'intelligence artificielle ou des données en masse au vu du recours au BIG DATA. Ces présentations ont été suivies par un échange avec la salle.

Interventions à retrouver sur YouTube:

https://www.youtube.com/watch?v=8p5ZSODJ20Y&feature=youtu.be

 

BLOCKCHAIN: Jérôme Deroulez a publié un article consacré aux implications juridiques de la blockchain en matière de preuve, dans la revue Dalloz Avocats - Février 2017

BLOCKCHAIN ET PREUVE  

Consacrée une nouvelle fois comme une innovation à suivre en 2017 avec l’intelligence artificielle ou la réalité augmentée, la blockchain suscite un intérêt immense à la mesure de sa complexité, avec une multiplication des applications possibles et en dépit de son caractère instable et évolutif.

 

Qu'est-ce que la blockchain?

 

Comprendre et tenter de définir la blockchain constitue un premier enjeu (https://bitcoin.fr/la-blockchain-cest-quoi/). On entend généralement par ce terme une technologie de stockage et de transmission d’information, transparente, sécurisée et fonctionnant sans organe central de contrôle, cette base de données étant réputée distribuée et sécurisée en ce qu’elle peut être partagée par ses différents utilisateurs, sans intermédiaire, chacun pouvant vérifier la validité de la chaîne.

 

Définitions de la blockchain

 

A titre d’exemple, la commission des finances du Sénat a considéré lors de ses travaux sur le projet de loi relatif à la transparence, à la lutte contre la corruption et la modernisation de la vie économique que la blockchain pouvait être définie comme une technologie informatique d'authentification décentralisée des opérations, sans l'intervention d'un tiers de confiance central […] et un grand registre de transactions public et accessible sur Internet, qui utilise un protocole de pair-à-pair (peer to peer) pour valider toute opération réalisée entre deux personnes.

 

Cette technologie est aussi indissociable de son application historique, le bitcoin, cette « monnaie » sans banque ni banque centrale, monnaie virtuelle décentralisée et anonyme dont la finalité est de parvenir à un système monétaire « sans confiance ». Ses origines remontent au document intitulé Bitcoin : A Peer-toPeer Electronic Cash System, publié en 2008 sous le pseudonyme de Satochi Nakamoto et proposant un nouveau système monétaire reposant sur un serveur horodaté, une chaîne de bits et des fonctions de hashage, de cryptographie et de probabilité.

 

Blockchain et bitcoin

 

Ce projet avait aussi pour objectif de répondre aux défis de la crise de 2008, de créer une monnaie sans intermédiaires bancaires et financiers et de remplacer ces derniers par une architecture collaborative et sécurisée (registre de compte unique et transparent, identification par une clef publique, minage, vérification et traitement des paiements par résolution de calculs informatiques, intervention de mineurs…). C’est très largement sur la base du bitcoin que se sont construites la réflexion, les pratiques et les grilles d’interprétation de la blockchain, avec une multiplication des expérimentations principalement dans le domaine bancaire et financier.

 

Applications

 

En témoignent les initiatives comme la start-up R3 qui regroupe une trentaine de grandes banques internationales, Ripple dédiée aux transferts financiers internationaux, Augur ou encore de nombreux autres acteurs qui considèrent avec attention les potentiels immenses de la blockchain. Les projets sur la blockchain reposent également sur d’autres pans de l’innovation technologique (intelligence artificielle, Big Data, etc) comme dans le cadre d’Hyperledger et recouvrent les domaines de l’internet des objets, l’industrie, la robotique, l’agriculture connectée, l’industrie musicale, les fab-labs, la ville intelligente ou encore l’assurance. Le but est aussi de développer d’autres types de blockchains sur la base ou au-delà de l’architecture sous-jacente du bitcoin, dans le cadre de blockchains privées ou publiques.

 

Blockchain et droit de la preuve

 

Distribuée, décentralisée, sécurisée, la technologie blockchain intéresse évidemment le droit de la preuve, ne serait-ce qu’au vu des affinités entre la terminologie liée à cette technologie et celle de l’admissibilité des modes de preuve. La blockchain pourrait ainsi prolonger un processus de dématérialisation des modes de preuve déjà entamé, en dépit des interrogations et des défis restant à relever (...)

Objects connectés: rapport d'information de l'Assemblée nationale du 10 janvier 2017, quelles perspectives ?

Corinne Erhel et Laure de la Raudière ont présenté leur rapport d’information consacré à l’internet des objets le 10 janvier dernier dans le cadre des travaux de la commission des affaires économiques de l’Assemblée Nationale.  

Exhaustif, ce rapport embrasse toutes les questions posées par les objets connectés : du fait de pratiques extrêmement diverses (santé, agriculture, maintenance ou surveillance), l’internet des objets suscite en effet de très défis concrets, à commencer par la question d’un éventuel contrôle ou d’une régulation de ces nouvelles innovations.

 

Ce rapport souligne aussi le potentiel des objets connectés dans une perspective nationale, en se penchant sur les secteurs français en pointe (avec un focus sur certaines institutions comme l’INRIA), l’organisation des différentes formes de soutien à l’innovation (notamment avec la French Tech) et la question du financement de l’innovation. Le relevé de ces points forts s’accompagne aussi d’une réflexion sur les infrastructures nécessaires à terme (connexion sans fil, réseaux bas débit ou transition vers la 5G) comme sur l’environnement fiscal et règlementaire de ce secteur. Le déploiement d’un écosystème français des objets connectés nécessite également un effort de formation à la transition numérique, volet indispensable pour une approche globale.

 

C’est une tonalité positive et volontariste qui est adoptée par ce rapport : réussir le virage de l’internet des objets en France est à portée de main pour Corinne Erhel et Laure de la Raudière, à condition de relever certains défis. Cela implique d’améliorer l’environnement fiscal et réglementaire de l’innovation et la protection de l’innovation à travers certaines initiatives concrètes : renforcement du capital-risque, accroissement du nombre de business angels et du recours au financement participatif, meilleure structuration de l’accompagnement des entreprises, start-ups ou non.

 

Ce rapport appelle cependant deux remarques.

 

Le développement de l’internet des objets doit aussi s’appuyer sur une démarche cohérente en matière de protection des données personnelles et notamment au vu de la masse et des flux de données qui seront potentiellement générés. L’utilisation de ces données, leur exploitation comme leur circulation ne sont pas neutres et généreront à terme des écosystèmes particulièrement importants. La sécurité de ces données, leur contrôle, les modalités de consentement, la protection de la vie privée dans le cadre d’objets connectés touchant à la santé par exemple ou les risques de profilage auront une sensibilité particulière. Ces aspects doivent être pris en compte dans le cadre de la mise en œuvre en 2018 du règlement européen sur la protection des données personnelles mais pas seulement.

 

En effet, s’il n’existe pas encore de cadre juridique spécifique applicable aux objets connectés, un tel dispositif pourrait être proposé par Bruxelles pour faciliter le développement d’un « marché intérieur » de l’internet des objets. La Commission européenne l’a dit à plusieurs reprises, le G29 qui regroupe les autorités de protection des données également. Ces travaux préparatoires doivent donc être anticipés dès aujourd’hui par les professionnels de l’internet des objets pour aboutir à une sécurité juridique renforcée, vis-à-vis de leurs produits comme des données qu’ils génèrent.

PROTECTION DES DONNEES PERSONNELLES: Jérôme DEROULEZ est intervenu le 9 décembre à Bruxelles (DBF) au sujet du droit de la concurrence et de la détention de données.

PROTECTION DES DONNEES : Jérôme DEROULEZ est intervenu le 9 décembre à Bruxelles (DBF) au sujet du droit de la concurrence et de la détention de données. Droit de la concurrence et protection des données (https://twitter.com/dbfbxl/status/807210302743920640?lang=fr ) :

 

Cette session organisée par la Délégation des Barreaux de France avait pour objet d'évoquer les enjeux croisés du droit de la concurrence, de la détention de données, du Big Data et de la protection des données. ( https://www.dbfbruxelles.eu/wp-content/uploads/2016/12/PROGINSCRIPTIONCONCURRENCE.pdf )

 

De nombreux points ont été évoqués et notamment la possibilité d'une appréciation ou non par les autorités de la concurrence du respect ou non des règles de protection des données personnelles. Ou de l'impact de la législation sur la protection des données sur d'autres politiques et notamment en matière de concurrence. Les récents rapports des autorités française et allemande de la concurrence ont été évoqués à ce sujet ( http://www.autoritedelaconcurrence.fr/doc/rapport-concurrence-donnees-vf-mai2016.pdf ).

RGPD ET PROTECTION DES DONNEES PERSONNELLES: Intervention de Jérôme DEROULEZ à Lille dans le cadre de la conférence le Village byCA-NDF (23 novembre 2016)

RGPD et données personnelles: Présentation des grandes lignes de la réforme de la protection des données personnelles, suite à l'adoption du GDPR et à ses conséquences dans le domaine bancaire. Passage en revue des points clés du règlement européen et des modalités de mises en oeuvre ( https://www.euratechnologies.com/agenda/conference-objets-connectes-big-data-nouvelles-regles-europeennes-big-bang-de-protection-donnees-personnelles/ ).

A suivre sur YouTube: https://www.youtube.com/watch?v=IA4NkYZh9t8&feature=youtu.be

Loi SAPIN II et blockchain : vers un droit de la blockchain français ?

L’adoption de la loi SAPIN II le 8 novembre dernier constitue une nouvelle étape pour la blockchain à la suite de l’ordonnance n°2016-520 relative aux bons de caisse (v. notre précédent article Actualité législative de la blockchain)  

En effet, l’article 120 de la loi autorise le gouvernement à prendre par voie d’ordonnance les mesures nécessaires pour adapter le droit applicables aux titres financiers et aux valeurs mobilières afin de permettre la représentation et la transmission, au moyen d’un dispositif d’enregistrement électronique partagé, des titres financiers qui ne sont pas admis aux opérations d’un dépositaire central ni livrés dans un système de règlement et de livraison d’instruments financiers.

 

Cette disposition vise à donner un cadre juridique aux opérations sur les titres non cotés effectuées au moyen d’une technologie blockchain.

 

Le recours à une ordonnance, s’il s’insère dans un calendrier délicat au vu des futures échéances électorales, consacre une étape supplémentaire dans la réflexion sur la régulation de la blockchain.

 

Alors que cette technologie reste encore très largement l’objet de débats sinon de spéculations et qu’elle commence à connaître de nombreuses applications concrètes (certes encore expérimentales pour certaines), il est indéniable que les travaux législatifs sur la loi SAPIN II ont été marqués par une prise de conscience de la nécessité de bâtir un environnement juridique favorable, au-delà du simple modèle expérimental d’une sandbox. Et cet article consacre la nécessité de progresser rapidement, au risque sinon de se voir concurrencer par d’autres modèles législatifs ou réglementaires, en Europe ou à l’international.

 

L’intérêt des parlementaires pour la blockchain n’est donc plus à démontrer. En témoignent les travaux de la commission des finances du Sénat qui notent que l’authentification des titres financiers constitue l’un des enjeux les plus importants pour la place de Paris, dans le contexte d’une concurrence accrue avec les autres bourses européennes. La mise en place d’un cadre juridique adapté et sécurisé constitue donc une nécessité, dans un délai très rapide et en procédant par étape, pour éviter de notamment de transformer de façon brutale les gestionnaires de blockchains en opérateurs de marchés financiers.

 

Le sujet est donc bien la construction d’un droit de la blockchain sans éluder toutes les questions qui restent se poser (nature de la ou des blockchain(s) envisagée(s), enjeux en termes de preuve et de responsabilité, émergence de nouveaux marchés, intervention du législateur européen). Cela implique aussi pour les acteurs de la blockchain de se mobiliser pour aboutir à une législation intelligente et prenant en compte toutes les spécificités de cette technologie.

Actualité de la protection des données

De nombreux développement dans l’actualité de la protection des données en Europe et aux Etats-Unis. Une actualité marquée par de nombreux chantiers législatifs alors que la mise en oeuvre de ces législations vis à vis d’un monde numérique en pleine évolution se pose de plus en plus. Privacy Shield

Suite à l’adoption définitive du Privacy Shield le 12 juillet dernier, le secrétaire d’Etat américain au Commerce, Penny Pritzker a mis en place le 1er août le mécanisme d’auto-certification pour les entreprises américaines participant à ce programme. 200 sociétés selon les derniers chiffres disponibles y participeraient d’ores et déjà, dont Microsoft, Salesforce ou encore Google, cet engouement montrant la nécessité d’un cadre juridique sécurisé pour les transferts de données entre l’Union européenne et les Etats-Unis.

Des réserves demeurent toujours : certaines d’entre elles ont été exprimées par le G29 -qui regroupe les autorités de protection des données européennes- dans son avis du 29 juillet dernier[1]. Ce comité a souligné ses préoccupations quant au manque de garanties précises concernant l’accès des autorités publiques aux données transférées aux Etats-Unis. Le G29 a d’ores et déjà pris date pour la première évaluation annuelle conjointe du Privacy Shield et souligné qu’il se pencherait alors sur l’effectivité ou non des garanties mises en place.

L’adoption du Privacy Shield n’est qu’une étape. Si sa mise en place implique un suivi attentif, sa portée à moyen et long terme reste encore sujette à caution. Rappelons aussi que le Congrès américain s’est inquiété de la remise à cause à terme par la Cour de Justice de l’Union européenne d’accords visant d’autres flux de données transatlantiques (transport aérien par exemple).

Révision de la directive vie privée : le chantier se poursuit

La Commission européenne avait indiqué quels objectifs elle poursuivait avec la révision de la directive privée[2] (assurer la cohérence avec le règlement protection des données, moderniser les dispositions de la directive au vu des innovations technologiques, renforcer la sécurité et la confidentialité des communications en Europe). Elle a organisé une consultation publique qui s’est terminée le 5 juillet dernier, en complément des travaux menés avec les parties prenantes sur le sujet.

Le G29 a rendu le 19 juillet dernier son avis sur ce chantier[3] en soulignant que :

  • Des règles européennes spécifiques pour les communications électroniques devaient être conservées ;

  • Un haut niveau de protection des données personnelles devait être assuré, grâce à la cohérence entre la future directive et le règlement protection des données ;

  • Le champ d’application de la directive devait être précisé, au regard notamment de ses définitions et des catégories de services visées ;

  • La protection de la confidentialité des communications électroniques ou des services fonctionnant de façon équivalente restait un objectif essentiel (à articuler avec les impératifs de conservation des données) : à cet égard le G29 appelait à réécrire l’article 5§3 (confidentialité des communications) ;

  • Les dispositions sur les failles de sécurité devaient être supprimées, afin d’éviter les doublons avec le règlement protection des données.

Cet avis devra être apprécié à la lumière des autres avis publiés et notamment du contrôleur européen à la protection des données[4] qui milite aussi en faveur d’une clarification du cadre juridique au regard de la charte des droits fondamentaux, de l’extension du champ de la directive vie privée et d’une plus grande protection de la confidentialité des communications.

Le règlement protection des données constitue d’ores et déjà une ligne de négociation difficile à contourner par les opérateurs du secteur. Par ailleurs, si la transformation de la directive 95/46 en règlement a rebattu les cartes du principe de son articulation avec la directive vie privée, reste à en décliner les modalités concrètes sur de nombreux points (failles de sécurité, limitations etc.). Ce qui sera particulièrement délicat.

Politique de confidentialité

A noter par ailleurs, les préoccupations exprimées par les régulateurs européens au sujet des nouvelles conditions d’utilisation de Whatsapp et des changements en terme de politique de confidentialité. Le bureau britannique en charge de la protection de la vie privée (ICO) a annoncé avoir ouvert une enquête le 26 août, en l’absence de précision de la part de l’entreprise sur l’étendue du partage de données. La CNIL pour le G29 a aussi noté ses préoccupations.

Ce dossier devra être suivi de près dans les mois qui viennent car il montre que les changements de règles de confidentialité ou de partage des données apparaissent de plus en plus comme des outils à manier avec précaution. A défaut, les conséquences en termes d’image ou de réputation peuvent être pénalisantes.

A suivre : une décision de la Cour d’appel de Manhattan[5] du 14 juillet dernier a estimé que Microsoft n’avait pas à transmettre aux autorités américaines, dans le cadre d’une procédure judiciaire, le contenu des e-mails d’un de ses clients dont les données étaient exclusivement stockées dans des serveurs étrangers, en l’espèce en Irlande. La question posée devrait pousser le Congrès américain à légiférer pour préciser quel niveau de protection doit être apporté en matière de respect de la vie privée, y compris en modernisant des législations estimées par certains observateurs comme obsolètes. Il appartiendra aussi au Congrès de se pencher sur l’application extra-territoriale de ces dispositions, au vu des prises de position de la Cour suprême américaine et des mutations technologiques récentes (cloud computing notamment). Cette décision qui recoupe de très nombreuses problématiques liées à l’économie digitale aux Etats-Unis mais aussi en Europe devrait cependant continuer à faire couler beaucoup d’encre.

 

[1] Déclaration du G29 relative à la décision de la Commission européenne concernant le Privacy Shield en date du 29 juillet 2016 https://www.cnil.fr/fr/declaration-du-g29-relative-la-decision-de-la-commission-europeenne-concernant-le-privacy-shield

[2] https://ec.europa.eu/digital-single-market/en/news/eprivacy-directive-commission-launches-public-consultation-kick-start-review

[3] Opinion 03/2016 du 19 juillet 2019 on the evaluation and review of the ePrivacy Directive (2002/58/EC)

[4] Opinion 5/2016 – preliminary EDPS Opinion on the revision of the E-Privacy directive https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2016/16-07-22_Opinion_ePrivacy_EN.pdf

[5] https://www.justsecurity.org/wp-content/uploads/2016/07/Microsoft-Ireland-2d-Cir-Opinion-20160714.pdf

Actualité législative de la blockchain en Europe

BRUXELLES ET LA REVOLUTION BLOCKCHAIN Le sujet « blockchain » connaît aujourd’hui une forte actualité à travers toute l’Europe, qu’il s’agisse des initiatives prises par certains Etats-membres (programme e-residency ou expérience de vote en ligne en Estonie, registre foncier suédois, projet blockchain et crypto-currencies polonais, rapport du Government Office for Science britannique de janvier 2016 notamment) ou des très nombreux projets initiés par des entreprises.

La blockchain fait aussi l’objet d’une attention soutenue de la part des institutions européennes.

C’est le cas dans le domaine bancaire et financier (rapport de l’autorité bancaire européenne sur les monnaies virtuelles de juin 2014 et analyse de la BCE sur les systèmes de monnaies virtuelles de février 2015 par exemple). C’est également le cas dans d’autres domaines, avec un intérêt marqué pour les applications civiques de la blockchain.

Pas d’actualité législative

Il n’y a pas aujourd’hui d’actualité législative proprement dite qui pourrait concerner la blockchain à l’échelle de l’Union européenne mais la période actuelle évoque plutôt une phase pré-législative intense, marquée par une ambition double : ne pas empêcher le développement de cette technologie en Europe et créer un écosystème favorable à l’échelle de l’UE, avec le souci d’une réglementation intelligente.

Ambition qui s’inscrit aussi dans le cadre de l’agenda digital et de l’horizon 2020 du programme européen de recherche et d’innovation.

Le Parlement européen et la Commission européenne ont organisé plusieurs évènements très prospectifs sur le sujet (et notamment un atelier sur la blockchain et les cryptomonnaies organisé par la DG CONNECT en avril 2015, un séminaire du groupe libéral ADLE consacré à la question de la régulation – regulatory technology or technology to regulate- en mars 2016 et une conférence en juin dernier -Blockchains for social good)

Une résolution du Parlement européen du 26 mai 2016

Doit être particulièrement signalé le rapport de la commission des affaires économiques du Parlement européen sur les monnaies virtuelles en date du 3 mai 2016 adopté grâce à l’impulsion de J. von Weizsacker, député allemand et la résolution du Parlement du 26 mai 2016 qui a souligné la nécessité d’évaluer le droit de l’Union européenne à l’aune de ces nouvelles technologies.

Quels enjeux ?

De ces discussions, il résulte aussi que trois types d’enjeux peuvent être identifiés, qui pourraient à terme nécessiter une intervention législative de la Commission européenne dans le domaine de la blockchain :

1/ des enjeux en terme de réduction des risques (cyber-risques, risques de fraude, de blanchiment, de concurrence ou encore de respect de la vie privée ;

2/ des enjeux en terme de confiance globale : certification, traçabilité notamment agro-alimentaire, sécurité des transactions immobilières ou encore protection de la propriété intellectuelle, et enfin ;

3/ des enjeux en terme de compétitivité au regard de l’avantage que pourrait constituer ou non l’existence d’une législation spécifique de l’Union européenne.

Ces éléments traduisent l’importance du suivi accordé par Bruxelles à l’actualité de la blockchain. Ils montrent aussi qu’une approche strictement nationale n’est ni pertinente ni efficace, quelque soit l’angle sous lequel ce dossier est appréhendé.

Suivez nous sur les réseaux sociaux

Follow us on social networks

// Aseptio