Actuellement, c'est par une directive de 1995 que l'Union européenne protège la vie privée des européens sur Internet. Elle encadre la collecte, l'exploitation et la revente de leurs données personnelles.

On qualifie de donnée personnelle toute information qui, directement ou indirectement, permet d'identifier une personne physique. La loi française protège toutes les personnes physiques, qu'elles soient françaises ou pas, du moment qu'elles sont sur le sol français. Cela étant dit, pour simplifier la lecture et la compréhension, nous parlons souvent de citoyen sur ce site.

Pourquoi la loi actuelle n'est plus satisfaisante ?

Chaque État membre de l'Union européenne a transposé la directive de 1995 dans son droit national en votant de nouvelles lois. En France, cela s'est fait en 2004 par une réforme de notre Loi Informatique et Libertés, qui encadre depuis 1978 l'exploitation des données personnelles des citoyens.

La directive a instauré une autorité de contrôle dans chaque État, chargée d'en faire respecter les règles auprès des administrations et des entreprises. En France, c'est la Commission nationale de l'informatique et des libertés (ou la CNIL) qui se charge de ces missions. La France étant l'un des précurseurs de la protection des données personnelles, la CNIL existait déjà puisqu'elle a été créée en 1978.

Cependant, toutes les autorités nationales de protection des données personnelles ne bénéficient pas des mêmes ressources et du même mandat en fonction de l’État membre dans lequel elles se situent. La majorité de ces autorités nationales sont dénuées d’un pouvoir de sanction dissuasif et de moyens leur permettant de faire respecter les lois. C'est le cas par exemple de l'autorité irlandaise qui a de très faibles moyens juridiques et financiers pour contraindre les entreprises à respecter les lois en vigueur, tandis que de nombreuses entreprises multinationales comme Facebook, LinkedIn ou Twitter choisissent l’Irlande pour domicilier leur filiale européenne (notamment à des fins d’optimisation fiscale).

Ainsi, l’autorité en charge de soumettre ces entreprises multinationales au cadre légal, national et européen, en matière de protection des données se situe dans ce bâtiment, partagé par un supermarché discount.

D'autre part, l'évolution d'Internet accroît la nécessité de revoir les règles de la directive de 1995. Rappellons qu'en 1995 Google n'existait même pas ! C'est pourquoi la Commission européenne (le « gouvernement » de l'Union européenne) a proposé en janvier 2012 un nouveau règlement européen.

Qu'est-ce qu'un règlement européen et qu'est-ce que celui-ci peut changer ?

Contrairement aux directives, comme celle de 1995, les règlements européens s'appliquent directement à tous des États européens, sans avoir à passer par des lois nationales qui le transpose. Les règlements assurent ainsi une forte uniformisation du droit en Europe. De plus, ce règlement renforcera considérablement la protection de nos données sous plusieurs aspects, dont les plus importants sont détaillés plus bas. Pour une analyse exhaustive, vous pouvez voir notre wiki.

L'exploitation de nos données personnelles génère énormément d'argent, que ce soit pour les services de publicité, les banques ou les assurances.

Ces entreprises craignent simplement que de nouvelles exigences posées par le règlement ne perturbent leur modèle économique et constituent un frein à leur développement.

Faut-il empêcher ces entreprises de gagner de l'argent en exploitant les données des internautes ?

Non, sûrement pas. Il ne s'agit pas ici de porter un jugement sur les entreprises qui exploitent les données personnelles des internautes, mais simplement de protéger la vie privée des citoyens européens.

Au contraire, même, on peut sincèrement espérer que les entreprises européennes regagneraient la confiance des internautes si, grâce à ce règlement, leurs clients pouvaient enfin contrôler la manière dont leurs données sont exploitées. Ces entreprises bénéficieraient ainsi d'un avantage certain face aux entreprises non-européennes, soumises à des législations donnant beaucoup moins de contrôle à leurs clients.

Les entreprises qui en ont les moyens envoient des lobbyistes au Parlement européen. Les lobbyistes sont des professionnels chargés de défendre les intérêts des entreprises qui les emploient auprès de décideurs publics : ici, les députés européens.

Souvent, ils se contentent d'expliquer que le futur texte nuira au commerce européen : C'est un argument efficace auprès des députés conservateurs et libéraux qui ne veulent surtout pas nuire aux intérêts économiques de l'Europe et qui peuvent, ensemble, obtenir la majorité des voix lors d'un vote au Parlement. La phase de négociation finale du règlement a été particulièrement vulnérable à ces méthodes car les négociations en trilogues ne sont pas transparentes.

Dans certains cas, les lobbyistes donnent aux députés des dossiers complets (un certain nombre sont accessibles ici) où leurs arguments sont expliqués en termes juridiques. Certains députés vont jusqu'à recopier à l'identique ces recommandations pour déposer des amendements au projet de règlement. De tels amendements, copiés-collés des dossiers des lobbyistes, sont recensés sur le site LobbyPlag [EN], en plus d'autres informations sur les débats en cours.

Exemple :

Proposition de la Commission – Article 79 relatif aux sanctions administratives.

Traduction : « L'autorité de supervision doit imposer une amende allant jusqu'à 250 000 EUR, ou dans le cas d'une entreprise jusqu'à 0,5 % de son chiffre d'affaire annuel mondial, pour tout individu qui aura, par négligence ou intentionnelleement : »

Proposition d’amendements de Digital Europe – (organisation représentant le lobby des grandes entreprises du numérique actives en Europe).

Traduction : « L'autorité de supervision doit pourra imposer une amende allant jusqu'à 250 000 EUR, ou dans le cas d'une entreprise jusqu'à 0,5 % de son chiffre d'affaire annuel mondial, pour tout individu qui aura, par négligence ou intentionnellement : »

De tels modifications sont lourdes de conséquences :

• « doit pourra » : Il suffirait de faire pression sur une autorité nationale pour qu'elle ne prenne que des mesures symboliques et déclaratives.
• « ou dans le cas d'une entreprise jusqu'à 0,5 % de son chiffre d'affaire annuel mondial » : À ce jour la faiblesse des autorités nationales (les CNIL) est justement de ne pouvoir prendre que des mesures pensées pour des entreprises nationales ayant un chiffre d'affaire limité. Les entreprises comme Google ne sont pas menacées par des amendes de 250 000 euros. L'amende prononcée par la CNIL contre Google en 2014 était de 150 000 euros. Une broutille quand on sait que cela correspond à moins de 2 minutes de son chiffre d'affaire annuel ! Même à l'échelle mondiale, les sanctions contre un géant comme Google nécessitent d'être adaptées pour opérer un contrôle réel de ses activités. Si l'on veut donner un vrai pouvoir de sanction aux différentes CNIL, une amende adaptable aux ressources des acteurs économiques est cruciale !
• « par négligence » : Il suffirait à tout individu ou entreprise de prétexter la bêtise pour ne pas être inquiété de violer les droits des Européens à la protection de leurs données personnelles.

Concernant les amendes, les arguments des lobbyistes n'ont pas convaincu la majorité des députés européens, contrairement à ce que laissaient présager les différents avis déjà rendus par les commissions du Parlement. En effet, d'une proposition de sanction maximale de 5% du chiffre d'affaire mondial de l'année précedente, les lobbyistes n'ont réussi qu'à obtenir une baisse de la sanction maximale possible de 1%, puisqu'on est passés de 5% à 4% dans la version finale du texte. Malheureusement, l'article 17 du règlement, qui pose les règles protégeant le droit des citoyens à obtenir l'effacement de leurs données personnelles, n'a pas eu cette chance.

Que peut-on faire contre le lobbying ?

Chaque citoyen peut défendre son propre intérêt en contactant directement ses représentants pour exiger qu'ils protègent sa vie privée. À l'approche des élections européennes, les députés ne peuvent qu'écouter attentivement ce que leurs électeurs ont à leur dire.

C'est exactement ainsi que les citoyens européens sont parvenus, en 2012, à repousser ACTA (une autre tentative de faire passer certains intérêts commerciaux devant leurs libertés fondamentales), malgré le soutien que lui portaient d'importantes entreprises.

Chacun de nous peut directement contacter un député et lui dire que nous, citoyens, souhaitons qu'il protège notre droit fondamental à la vie privée et nous rende le contrôle de nos données.

Comment contacter un député européen ?

La Cour de Justice de l'Union Européenne (CJUE), avec son arrêt Schrems (contre Facebook) du 6 octobre 2015, a pointé du doigt les failles des accords internationaux en matière de transfert des données personnelles dans d'autres pays, et conclus sur la base de la directive sur les données personnelles.

Cet arrêt a ainsi invalidé l'accord de « Safe Harbor » (ou Sphère de sécurité) mis en place entre l'Europe et les États-Unis afin de rendre conforme à la directive de 1995 les entreprises américaines. Cet accord était en application depuis 2000 et a permis le transfert de données personnelles vers de nombreuses entreprises américaines. Or l'onde de choc causée par les révèlations d'Edward Snowden (concernant l'accès des services de l'Agence nationale de sécurité américaine (NSA) aux données personnelles des utilisateurs de services tels que ceux de Facebook ou Google, voir l'encart sur PRISM plus haut) a permis à la Cour de disposer d'arguments forts pour justifier l'invalidation de l'accord de Safe harbor.

Dans son arrêt du 6 octobre la CJUE a aussi affirmé qu'une autorité de protection des données (comme la CNIL en France) est habilitée à suspendre ou mettre fin aux transferts de données si les garanties offertes aux citoyens ont changé. La Commission européenne renégocie donc en urgence un nouvel accord avec les États-Unis pour le transfert des données personnelles des Européens.

La CJUE n'est pas la seule a avoir pris position. Les députés européens ont aussi ouvert le débat. Ils ont porté des rapports qui pointent du doigt les dérives actuelles et les faiblesses du droit européen. Du point de vue juridique, les institutions européennes ne sont pas obligées de suivre les recommandations des députés européens. Les rapports du Parlement européen ont cependant une grande importance politique car elles cristallisent la position du Parlement européen sur une question précise.

C'est le cas par exemple d'un rapport porté par Claude Moraes, un député européen anglais. Son rapport étudie les activités de surveillance de la NSA et en condamne les atteintes aux droits fondamentaux des Européens.

De son côté, le Conseil de l'Europe a déjà publié plusieurs documents mettant en garde contre le traitement réservé aux données personnelles sur Internet. L'un d'eux publié en décembre 2014 (version en anglais et résumé ici), dénonce les dérives sécuritaires et le comportement des États vis-à-vis des acteurs d'Internet.

Le Conseil de l'Europe a également pris une position ferme, en approuvant à l'unanimité le 26 janvier 2015 un rapport (version en anglais et résumé ici) déclarant que la surveillance de masse est contraire aux valeurs européennes. Enfin, son Commissaire aux Droits de l'Homme, monsieur Nils Muiznieks, a condamné le 13 avril 2015 sur Arte Journal la « surveillance tout azimut » mise en place dans des pays comme l'Angleterre, la France, la Belgique et l'Espagne.

En principe, aucune de vos données personnelles ne peut être collectée, traitée ou revendue sans que vous n'ayez clairement dit « j'accepte », en connaissance de cause.

Le droit actuel manque de précision sur la définition du consentement que nous devons donner à une entreprise pour qu'elle puisse collecter ou exploiter nos données. La loi française parle d'un consentement exprès et informé, mais la Loi Informatique et Libertés ne parle pas de consentement, mais d'« accord ».

Le sens concret de ce que recouvre ce mot n'est ni clair ni certain. Ainsi, certaines entreprises en profitent pour considérer le simple fait de visiter leur site comme l'acceptation de leurs « Conditions Générales d'Utilisation », ou autre « accord » prévoyant l'exploitation de nos données. Elles en profitent aussi pour avoir des Conditions Générales d'Utilisation (CGU) interminables et écrites dans un français trop technique, voire des CGU uniquement disponibles en anglais ! Peu leur importe que nous ayons véritablement lu cet « accord » ni même que nous ayons connaissance de son existence. C'est une situation qui crée un déséquilibre en défaveur du consommateur, ce qui est profondément injuste. Ce constat appelle donc une refonte des règles permettant de considérer que l'internaute a réellement donné son consentement en connaissance de cause.

Le règlement général sur la protection des données prévoit que notre consentement devra être « libre, spécifique, éclairée et univoque » : Il faudra que nous exprimions clairement vouloir que nos données personnelles soient utilisées dans les conditions et pour les objectifs de traitement présentés par les entreprises (ou toute autre structure privée ou publique) dont nous utilisons les services. Une case précochée ne sera donc plus possible.

L'obligation pour les fournisseurs de services en ligne d'obtenir notre consentement « spécifique » signifie qu'ils sont obligés d'obtenir notre consentement explicite pour chaque type de traitement auquel ils se livrent, et qu'ils nous auront présenté dans des termes clairs (sinon notre consentement ne serait pas « informé »). C'est donc une obligation pour les acteurs du numérique de présenter les finalités du traitement des données de leurs utilisateurs. Cette obligation les empêche de présumer du consentement de l'utilisateur pour un autre type de traitement qu'un professionnel pourrait décider d'opérer sur les données qu'il possède déjà.

Par exemple, lors de votre première visite sur un site comme celui de Captain Train, vous consentez (en cochant une case) à ce qu'il utilise des cookies pour associer le "panier" de billets à votre compte et pour garder l'historique de vos différentes cartes de réduction. Si demain Captain Train voulait utiliser vos données pour vous proposer des rencontres dans votre quartier, la finalité du traitement aurait changé. En conséquence, il serait obligé d'obtenir votre consentement préalable une seconde fois.

Un autre exemple illustre clairement vos droits. Lorsque vous donnez votre adresse email à un site internet afin qu'il vous tienne informé de son actualité, « vous tenir informé de ses activités » est la finalité qu'il poursuit. En conséquence, ce site ne peut utiliser votre adresse que pour cette finalité. Il ne peut pas revendre votre adresse à une régie publicitaire, car cela n'aurait rien à voir avec le fait de vous tenir informé de son actualité.

Cette nouvelle définition du consentement par le règlement est donc une nette amélioration. Le projet prévoit par ailleurs que l'internaute puisse se rétracter aussi aisément qu'il a donné son consentement, à tout moment. Pourtant, l'obtention du consentement de l'internaute ne serait pas toujours nécessaire. Voir l'encart sur l'intérêt légitime.

Lors des négociations du règlement le Conseil de l'Union européenne, qui réunit les ministres des pays membres, souhaitait que le consentement soit juste spécifique et informé. Il indiquait - à l'inverse du Parlement, qui représente la population - qu'une navigation sur un site constitue un consentement suffisant. Heureusement, cette approche n'a pas été retenue.

D'une manière générale, pour le Conseil de l'Union européenne les intérêts d'une entreprise à traiter des données (pour « innover », par exemple) pourraient parfois supplanter les intérêts de l'internaute. Cela permettrait l'autorisation du big data sans le consentement de la personne, en invoquant l'intérêt légitime du professionnel.

Nos données pourraient être collectées et exploitées sans notre consentement, pour le simple « intérêt légitime » d'une entreprise.

Le droit actuel autorise l'exploitation des données personnelles :

• lorsque la personne concernée y a consenti ;
• afin d'exécuter un contrat conclu par cette personne ;
• en cas d'urgence médicale ;
• lorsque cela est exigé par la loi ou l'intérêt public ;
• pour un intérêt historique, statistique ou scientifique ;
• dans l'exercice de la liberté d'expression ;
• lorsque cela est dans « l'intérêt légitime » d'une entreprise.

Cette autorisation à se passer du consentement lorsqu'il existe un « intérêt légitime » a pour but d'éviter que notre droit ne soit trop rigide et n'interdise certaines pratiques innovantes qui n'auraient pas été envisagées au moment de la rédaction de la loi. Hélas, cette notion est très mal définie et représente en réalité une importante faille dans l'ensemble de notre droit à la protection des données. Ainsi, n'importe quelle entreprise peu scrupuleuse peut essayer d'exploiter cette faille afin d'utiliser des données sans le consentement des personnes concernées.

Malgré tout, la loi impose que tout traitement de données ait une ou plusieurs finalités (c'est à dire un objectif) clairement présentées et communiquées à l'internaute préalablement au début du traitement de ses données. Si l'objectif du traitement venait à changer avec le temps, le consentement de l'internaute ne serait plus valable, il faudrait l'obtenir une nouvelle fois.
Le nouveau règlement brille par l'absence de définition claire associée à la notion d'« intérêt légitime », comme mentionné dans l'encart sur le consentement. Il sera donc possible de se passer du consentement lorsqu'il existera un « intérêt légitime » pour le professionnel. Cette dernière possibilité est une faille dangereuse, l'« intérêt légitime » étant excessivement large et trop facilement invocable à cause du règlement. Tant que l'« intérêt légitime » n'aura pas une définition précise, il n'y aura aucun garde-fou à son interprétation à leur avantage par les entreprises qui pourront en faire une finalité à proprement parler. Si l'intérêt légitime d'une entreprise permet de justifier le traitement des données sans notre consentement, l'obligation de finalité spécifique de traitement (c'est à dire l'obligation d'accord de l'utilisateur avec l'objectif de chaque différent traitement opéré sur ses données) est vidée de son sens. Il deviendrait alors possible de se passer du consentement des internautes afin d'exploiter des données personnelles pour bon nombre d'activités commerciales différentes.

Le profilage permet de classer avec une certaine probabilité un individu dans une catégorie particulière afin de prendre des décisions adaptées à lui et de prédire ses futurs choix. Le profilage est donc principalement un outil de prédiction du comportement des personnes recensées.

Lorsque l'on parle d'une entreprise ou d'une administration qui a recourt au profilage, cela signifie qu'elle adapte ses interactions avec nous aux données personnelles qu'elle a rassemblées à notre sujet.

Le futur règlement décrit le profilage à l'article 20 comme un traitement automatisé de données permettant d'évaluer « certains aspects personnels propres à une personne physique (ndlr : c'est à dire un individu) ou à prévoir le rendement professionnel de celle-ci, sa situation économique, sa localisation, son état de santé, ses préférences personnelles, sa fiabilité ou son comportement ».

Les profils de données rapprochées par profilage comprennent tous les messages transmis sur le Net ainsi que les sites et vidéos consultés par tous les internautes, qui sont analysés par des entreprises (exemple avec Google (EN)) et des sociétés dont le métier est de vendre de la publicité ciblée sur nos traits personnels.

Le droit actuel interdit qu'une décision nous concernant (par exemple, la détermination du prix des choses qui nous sont vendues) soit prise de façon automatique par l'analyse de nos données personnelles - par profilage.

Le profilage est toutefois autorisé lorsqu'il intervient dans le cadre d'un contrat que nous avons déjà conclu ou que nous cherchons à conclure, ou lorsqu'il est spécifiquement autorisé par une loi et bénéficie d'un encadrement suffisant.

Mais le profilage étant un outil de prédiction du comportement des personnes recensées, il est extrêmement intéressant pour les États ou les entreprises à qui les données personnelles sont transmises.

Il peut s'agir, pour une structure privée, d'effectuer un profilage des individus pour mieux connaître leurs habitudes de consommation et davantage cibler les actions de promotion.

Pour les États, le profilage représente un outil puissant s'il est utilisé à des fins de sécurité nationale. Il permet ainsi de surveiller une personne ou un groupe de personnes, à partir de leurs données, afin de connaître leurs habitudes de vie, lieux de séjour et de déplacement, ainsi que leurs activités et relations internationales.

Le profilage est l'un des risques principaux du futur règlement car il représente une menace pour la protection de la vie privée et des données personnelles à l'heure du « big data », où la quantité d'informations générées par une personne peut être gigantesque (par exemple par le biais de cartes de fidélité, de cookies, de puces RFID ou d'objets connectés).

Le profilage doit être plus encadré pour éviter d'être fondé sur des informations erronées et il doit être interdit s'il est discriminatoire. Un profilage serait discriminatoire s'il était basé par exemple sur l'origine ethnique ou sur l'opinion politique d'un utilisateur.

Le futur règlement ouvre la possibilité de sanctionner le profilage à l'échelle de l'Union européenne.

Pourtant, cette limite au profilage est elle même limitée. Le règlement intègre en effet des exceptions qui autorisent le recours des États au profilage (article 21) pour la sécurité nationale, la sécurité publique ou encore pour « l'intérêt public général ». Une finalité aux contours éminemment incertains, qui permet donc par exemple de justifier un processus de prédiction de la santé et des déplacements d'individus. Surtout, le projet de règlement donne la possibilité aux États membres d'invoquer ce motif d'exception qu'est « l'intérêt public général » pour créer de nouvelles exceptions ! Les États pourront donc exploiter les failles du règlement qui entrera en application en 2018. Un abus de ces failles permettrait de mettre en place des catégorisations (ou blacklists) des citoyens, par exemple selon leurs opinions politiques, leurs orientations sexuelles, ou encore leurs couleur de peau sous couvert d'un obscur « intérêt public général », ou d'une raison de sécurité nationale ou publique.
Cette rédaction règlement rajoute des exceptions aux exceptions autorisées par la directive européenne de 95 actuellement appliquée (par le biais de notre Loi Informatique et Liberté) et surtout, affaiblit considérablement la protection de nos données personnelles. En effet, rappelons qu'un règlement européen s'applique directement en droit français et supplante la loi nationale ! Qu'importe si d'autres lois françaises sont plus protectrices, le règlement est supérieur.

En d'autres termes, si le règlement était appliqué demain en l'état, nos données seraient bien moins protégées qu'elles ne le sont aujourd'hui (avec la Directive de 95 et les lois françaises comme la Loi Informatique et Libertés), donnant plus de marge de manœuvre aux États membres.

Des associations comme Privacy International, EDRi ou encore La Quadrature du Net ont appelé à enlever le profilage des exceptions mises en place pour les États (article 21). Cet appel n'a pas été écouté.

Le droit à l'oubli n'est pas un droit consacré en droit français, mais on peut l'associer à l'article 6 de la Loi Informatique et Libertés qui impose à toutes structures publiques ou privées de définir une durée de conservation des données collectées. La loi n'impose pas de durée précise, car elle dépend de la finalité et de la proportionnalité de l'exploitation des données personnelles. Cependant la loi est précise sur un point : les données ne peuvent être gardées que tant que cela est nécessaire.

De plus, la Loi Informatique et Libertés permet déjà aux internautes dont les données sont collectées en France par une entreprise d'accéder aux données conservées sur eux. Il vous est aussi possible de modifier ces informations, voire d'en demander la suppression (article 38).

Ce droit est l'un des plus importants pour tout internaute averti. En pratique, exercer ce droit est gratuit, mais une raison légitime vous sera demandée (à part dans le contexte de la prospection commerciale).

Le futur règlement mentionne le droit à l'effacement des données personnelles aux articles 13 et article 17. Un particulier peut par exemple demander à ce que ses données soient effacées lorsqu'il ne consent plus au traitement ou à la conservation de ces données ou que ses données ont été collectées sans son autorisation.

Le règlement ajoute cependant qu'en cas d'objection de l'utilisateur au traitement de ses données, le responsable devra les effacer que s'il n'existe pas un intérêt légitime supérieur (voir encart « intérêt légitime »), justifiant leur conservation. Les tensions qui pèsent sur la protection du droit d'effacement sont énormes puisqu'à l'intérêt légitime de l'internaute peut donc s'opposer l'intérêt légitime d'une entreprise (ou toute autre structure qui collecte des données personnelles, comme une association ou l'administration) à parfois se passer du consentement de l'utilisateur. Ce conflit entre les droits des collecteurs de données et ceux des citoyens existe déjà en droit français, mais d'une part la loi française n'est pas satisfaisante pour l'utilisateur et d'autre part le projet de règlement « rebat les cartes » dans le sens où un règlement européen supplante la loi nationale portant sur le même sujet (en l’occurrence, la Loi Informatique et Liberté). Autrement dit, si notre droit national comporte peu de faiblesses, le futur règlement peut en instituer de nouvelles !

Les principales fragilités du projet concernant le droit à l'effacement sont avant tout que le texte ne prévoit pas vraiment de recours lorsque la personne en charge du traitement des données a disparu ou, ce qui est fréquent, qu'elle ne peut pas être identifiée.

La portabilité des données correspond à la possibilité pour l'internaute de demander le transfert de ses données vers de nouveaux prestataires. La portabilité des données se fonde sur le même principe que la portabilité des numéros de téléphone, que l'on pourrait par exemple appliquer au mail ou a des services aux fonctionnalités équivalentes. Pour le mail par exemple il s'agit du transfert des correspondances et des contacts.

Pour ce résultat, l'idéal est que les données soient transférées dans un format ouvert (appelé aussi format libre). L'avantage du format ouvert est qu'il ne comporte aucune restriction d'accès ou de mise en œuvre et qu'il survit généralement aux entreprises.

Il n'existe actuellement aucun droit à la portabilité des données en droits français et européen. Il s'agit donc d'un nouveau droit bientôt reconnu aux internautes.

Dans le nouveau règlement européen, l'article mettant en place ce droit proposé par la Commission européenne prévoyait une interopérabilité des systèmes et plateformes au service de la portabilité des données. Le Parlement européen et le Conseil de l'Union européenne ont préféré limiter ce droit et ont fait disparaitre le critère d'interopérabilité.

Par ailleurs, ce droit n'inclut pas les cas où le traitement n'est ni basé sur un contrat ou ni sur le consentement (article 18 du règlement). Pourtant le droit à la portabilité des données pourrait permettre une plus grande transparence sur la manière dont les États exploitent nos données.

Même lorsque la portabilité des données n'est pas possible car les services ne sont pas fonctionnellement équivalents, l’utilisateur doit avoir le droit de récupérer ses données dans un format structuré, ouvert et interopérable. Or au lieu de ça le règlement ne prévoit la récupération que dans un format « structuré et couramment utilisé ». Or l'expression « couramment utilisé » n'a aucune définition claire et laisse une grande incertitude sur la mise en application de cette clause.

Ne pas confondre transfert de données en vue de leur traitement et disponibilité des données. En effet, le simple fait de mettre des données personnelles sur un site visible dans le monde entier n'implique pas qu'un traitement de données soit fait dans chacun des pays du monde. Dans ce cas précis, elles ne sont que disponibles.

Le droit actuel autorise le transfert des données personnelles des Européens vers certains pays (Norvège, Uruguay, Canada, Argentine, Suisse, Islande, Israël, Nouvelle Zélande) considérés comme leur offrant une protection équivalente. Pour tous les autres pays, une autorisation doit préalablement être obtenue de la CNIL pour tout contrat encadrant un transfert de données.

Jusqu'au 6 octobre 2015 il existait un accord spécial entre les États-Unis et l'Union européenne, appelé le « Safe Harbor ».

Le 6 octobre 2015 la Cour de Justice de l'Union Européenne a invalidé cet accord car les révélations de Snowden ont permis au monde d'apprendre que la NSA imposait aux géants du net d'avoir accès aux données personnelles qu'ils ont collectées. Cet arrêt est donc un signal fort pour la protection des données personnelles ! Mais la Commission européenne est déjà en train de négocier un second « Safe Harbor » avec les autorités américaines. En conséquence, il faudra rester vigilants sur la direction prise par les négociations.

D'une manière générale, le règlement poursuit l'approche protectrice actuelle et développe les autorisations basées sur des clauses et statuts types, afin d'accompagner le commerce en ligne.

En outre, il introduit au sein des dérogations possibles à l'information de l'internaute l'exception d'intérêt légitime, dont la portée est toutefois réduite dans les cas d'exports.

De plus, une version antérieure du projet de règlement interdisait aux entreprises de transférer à une autorité non-européenne des données concernant des citoyens européens, à moins qu'une autorité européenne ne l'ait préalablement autorisé (voir l'article 42). Cette disposition n'est plus présente dans le texte final, alors même qu'elle permettrait d'interdire les transferts de données intervenant dans le cadre de PRISM entre de grandes entreprises américaines et la NSA. Cette disposition aurait dû être réintroduite, comme l'ont notamment prôné les amendements de Jan Philipp Albrecht, le rapporteur du Parlement européen sur la réglementation de la protection des données.

Le droit actuel confie aux autorités de contrôle de chaque État membre le soin de surveiller les entreprises exploitant nos données personnelles, et de les sanctionner au besoin. Hélas, les pouvoirs de sanction qui leur sont donnés sont souvent dérisoires en comparaison du chiffre d'affaire de certains géants du net.

Actuellement, la CNIL, l'autorité de contrôle française, peut prononcer des amendes allant jusqu'à 150.000€ (le double en cas de récidive). En face, Google a réalisé, en 2012, un chiffre d'affaire mondial de 50 milliards de dollars, Microsoft de 73 milliards, et Apple de 156 milliards, pour citer les plus importants.

Le règlement résout cette asymétrie. Il prévoit de permettre aux autorités de contrôle de prononcer des amendes allant jusqu'à 4% du chiffre d'affaire mondial des entreprises en faute. C'est une solution idéale, car adaptée aux ressources de chaque acteur économique.

Qu'entend-on par « fuite de données personnelles » ? Dans le règlement, cette expression regroupe les violations des systèmes de sécurité qui aboutissent de manière accidentelle ou illégale à la destruction, la perte ou l'altération des données. Cette expression recouvre aussi la divulgation ou la mise en place d'accès à des données personnelles transmises, stockées ou exploitées de toute autre manière.

Le droit actuel a introduit en aout 2011 une obligation de notification des failles de sécurité. Cette obligation n'est pas contraignante en cas de perte ou de compromission de données par une entreprise ou toute autre entité (exemple : université). Pour l'instant, seuls les télécoms et les fournisseurs d'accès à Internet (FAI) sont tenus de prévenir leurs utilisateurs et la CNIL en cas de fuites de données. En d'autres mots, le droit actuel n'impose pas spécifiquement d'obligation de vous informer en cas de perte, de vol ou de détérioration de vos données. Pourtant, les pertes de données sont loin d'être rares, comme le montre cette carte évolutive des plus grands vols de données (EN) ! Et les conséquences en terme d'usurpation d'identité ou d'utilisation des données bancaires sont dramatiques.

Pour cette raison, le futur règlement européen prévoit que les entreprises auront l'obligation de prévenir l'autorité nationale (la CNIL nationale) du pays où le traitement a été touché par une fuite de données. Le projet prévoyait à l'origine que l'autorité nationale devrait être prévenue dans les 24h. Mais les négociations ont abouti à une obligation de prévenir l'autorité dans les 72 heures.

Reste une faille dans le règlement : en définissant les fuites de données par une violation de système de sécurité on exclut toutes les situations où des données personnelles sont volées, perdues ou endommagées s'il n'y a pas eu de violation du système de sécurité ou s'il n'y a tout simplement pas de système de protection des données ! La formulation des articles 31 et 32 est donc à repréciser afin qu'existe une obligation d'information dans tous les cas de fuites de données, qu'importe la façon dont les données personnelles ont été accédées.

Le droit actuel vous permet :

• D'être informés de la nature, des destinataires et du but des traitements des données ;
• D'obtenir une copie de vos données possédées par l'acteur privé ou public (sauf l'administration) qui traite vos données, dans un format lisible
• De faire respecter votre volonté de faire rectifier ou supprimer ces données si elles sont inexactes ou qu'elles ont été obtenues sans votre consentement ;
• D'exiger que l'acteur qui traite vos données ne les utilise pas pour vous démarcher par courrier, email ou SMS à moins que vous y ayez consenti explicitement et qu'il se cantonne à vous démarcher pour des produits similaires à ceux que vous avez déjà achetés.

Si vous êtes tout de même victime de démarchage illégal par mail ou par SMS et que vous avez fait savoir à leur émetteur que vous vouliez qu'ils cessent, vous trouverez sur le site de la CNIL les moyens de vous défendre. Il est important de faire valoir ses droits, afin de pousser les entreprises à respecter la loi, et la CNIL à agir.

Le futur règlement prévoit d'étendre sensiblement vos droits.

D'abord, le droit d'information portera désormais aussi sur la durée de conservation des données et sur leur éventuel transfert en dehors de l'Union européenne. De plus, les données obtenues auprès de tiers devront aussi indiquer l'identité de ces tiers.

Ensuite, vous pourrez aussi demander la suppression de vos données :

• En retirant votre consentement, pour les traitements qui le permettent ;
• Dès que le traitement de vos données, tel qu'initialement prévu, aura pris fin ;
• Dès que leur durée de conservation, telle qu'initialement acceptée, aura pris fin ;
• Lorsqu'un traitement de vos données ne sera pas ou plus légal.

Néanmoins, par dérogation, votre droit de suppression pourra être écarté lorsque prévaudra la liberté d'expression, une raison médicale, scientifique ou historique suffisante ou lorsque le respect d'une obligation légale l'imposera.

Enfin, les entreprises devront fournir, aux personnes en faisant la demande, une copie réutilisable des données les concernant, afin que ces personnes puissent les transmettre à d'autres entreprises.

Il était initialement prévu que la mise en œuvre de tous ces droits serait gratuite, mais certains députés ont obtenu pour les demandes les plus « complexes », les entreprises puissent en demander dédommagement aux personnes qui les feront, ou simplement les leur refuser.

En droit français actuel, la structure (entreprise, université, association, etc.) qui traite les données personnelles doit nommer une personne qui sera l'interlocuteur de la CNIL. Cette personne est appelée le responsable de traitement, et est en charge d'assurer que l'exploitation des données personnelles est réalisé de manière loyale.

Il a trois obligations principales :

• Une obligation de documentation des traitements réalisés. Ces documents pourront ainsi être vérifiés à tout moment par l'autorité nationale de contrôle, pour s'assurer que vos droits sont respectés. Si l'obligation de documentation n'est pas respectée, la structure risque des sanctions.
• Une obligation d'obtention d'une autorisation explicite de la CNIL pour les traitements à risque (articles 25, 54 et 64 de la Loi Informatique et Libertés). Celle-ci doit-être obtenue systématiquement lorsque le traitement présente des risques particuliers pour les droits et libertés des personnes (ex : données sur les condamnations passées, fichiers de grande ampleur concernant des enfants, données génétiques, biométriques) ou qui porte sur des données dites sensibles. La Loi informatique et libertés définit les données sensibles comme faisant apparaître « directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci » (article 8).
• Une obligation d'assurer la sécurité et la confidentialité du traitement des données (article 34 de la même loi), en garantissant l'intégrité de la personne concernée. Le responsable de traitement est le garant de la protection des données des personnes concernées.

Le futur règlement européen maintient ces obligations, en soulignant qu'il importe peu qu'un service en ligne soit offert par une entreprises multinationale ou une start up de trois personnes : les protections offertes aux utilisateurs doivent être les mêmes.

Là où le droit européen ira plus loin grâce au règlement, c'est en matière de responsabilisation des acteur économiques. En effet, l'article 22 du règlement leur imposera de prendre les mesures nécessaires pour honorer leurs obligations légales, et d'indiquer à partir de quand ils seront en règle avec le règlement. C'est ce que l'on appelle le principe d'« accountability », c'est à dire le principe de responsabilité. De cette manière il sera plus facile de sanctionner un acteur du numérique qui s'est ouvertement déclaré en règle avec ses obligations. D'autant plus que ces acteurs ont intérêt à indiquer les mesures internes qu'ils ont prises (comme des stratégies précises, des mécanismes créés en interne) pour rassurer leurs utilisateurs, ce qui simplifiera encore plus la tache des autorités de contrôle. Par ailleurs pour les structures traitant les données de plus de 500 personnes par an, le principe d'accountability s'accompagne d'obligations d'audit et de réalisation d'études d'impacts, qui seront suivies en interne par un délégué à la protection des données (Data Protection Officier en anglais).

De plus, l'article 23 du règlement met en place un nouveau principe au service de la protection des internautes, le principe de protection par design et par défaut. Ce principe exige des acteurs du numérique que les règles de protection des internautes soient intégrées par principe dans tous les biens et services numériques mis à leur disposition. Ainsi, si l'utilisateur souhaite changer ses paramètres de confidentialité, cela ne pourra être que pour les baisser puisqu'ils assurerons par défaut un maximum de protection.

Pour en savoir plus sur les évolutions des obligations des professionnels, nous vous conseillons la lecture de l'analyse du projet de règlement de l'association européenne EDRi (European Digital Rights).