Facebook (15 ans d’âge et moult scandales) : Mark Zuckerberg est responsable mais… pas coupable

Mark Zuckerberg, qui détient la majorité des droits de vote de Facebook alors qu’il en est actionnaire minoritaire, concentre tous les pouvoirs en tant que président du conseil d’administration. A bientôt 35 ans, le philanthrope milliardaire est intouchable malgré les scandales à répétition impactant le premier réseau social du monde.

Bernard Arnault, quatrième plus riche du monde, pourrait se voir détrôner en 2019 par Mark Zuckerberg (photo), qui le talonne à la cinquième place des plus grandes fortunes de la planète. Comment un jeune Américain, qui va tout juste sur ses 35 ans (le 14 mai) pourrait-il faire subir un tel affront à un vénérable Français, deux fois plus âgé que lui et à l’aube de ses 70 ans (le 5 mars) ? La richesse du geek, PDG de Facebook, a grimpée plus vite en un an que celle du patriarche, PDG de LVMH, pour atteindre au 8 février respectivement 65,5 et 76,3 milliards de dollars, selon le « Billionaires Index » de l’agence Bloomberg.
La fortune de Mark Zuckerberg a augmenté sur un an plus vite (+ 13,5 milliards de dollars) que celle de Bernard Arnault (+ 7,7 milliards à la même date). Pour un trentenaire qui perçoit seulement un salaire annuel de… 1 dollar, depuis 2013 et conformément à sa volonté, contre 500.000 dollars auparavant, et sans recevoir non plus depuis de primes ou d’actions, c’est une performance ! Ses revenus proviennent en fait de ses actions qu’il détient en tant qu’actionnaire minoritaire de Facebook.

L’autorité anti-trust allemande (BKartA) menace Facebook d’une amende
Mais les 17 % que le fondateur détient encore la firme de Menlo Park (Californie), cotée en Bourse depuis mai 2012, ne reflètent pas vraiment son pouvoir de contrôle puisqu’il possède 60 % des droits de vote. Zuck – comme le surnomment ses proches collaborateurs – contrôle en effet Facebook grâce à une structure capitalistique très particulière composée de deux types d’actions : celles de « classe A » cotées en Bourse, mais surtout les « classe B » non cotées et à droits de votes préférentiels, ces dernières lui permettant de détenir plus de la majorité des droits de vote – bien que détenteur minoritaire du capital. Autant dire que le jeune multimilliardaire est, en tant qu’actionnaire de référence de Facebook, le seul maître à bord et ne peut être évincé sans son accord par le conseil d’administration qu’il préside !
« [Mark Zuckerberg] est en mesure d’exercer son droit de vote à la majorité du pouvoir de vote de notre capital et, par conséquent, a la capacité de contrôler l’issue des questions soumises à l’approbation de nos actionnaires, y compris l’élection des administrateurs et toute fusion, consolidation ou vente de la totalité ou de presque la totalité de nos actifs », souligne le groupe Facebook qui Lire la suite

Objets connectés, vie privée et données personnelles : une équation difficile pour protéger l’utilisateur

Malgré un vaste arsenal juridique limitant les impacts négatifs des objets connectés, les risques d’intrusions demeurent pour les utilisateurs de ces appareils – du compteur électrique à la montre connectée, en passant par la
« mesure de soi ». Recueillir leur consentement est un préalable.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

Selon une étude menée par Gartner, 20 milliards d’objets connectés seraient en circulation en 2020 (1). Qu’il s’agisse du domaine de la santé, du bien-être, du sport, de la domotique ou encore du loisir, l’attrait des utilisateurs pour les objets connectés est caractérisé. Paradoxalement, bien qu’avertis, ces derniers ne mesurent pas toujours les risques qui pèsent sur leur vie privée et leurs données personnelles. Ces deux notions – vie privée et données personnelles – ne sont pas synonymes, bien qu’intrinsèquement liées (2).

Les exemples de Linky et de Gazpar
La donnée personnelle se définit comme « toute information se rapportant à une personne physique identifiée ou identifiable » (3). A l’inverse, la vie privée ne trouve pas de définition légale bien que le Code civil consacre un droit au respect de la vie privée (4). Les apports de la jurisprudence permettent aujourd’hui de définir la notion de vie privée comme « le droit pour une personne d’être libre de mener sa propre existence avec le minimum d’ingérences extérieures » (5). Ainsi, si un objet connecté peut porter atteinte aux données personnelles d’un utilisateur (collecte illicite des données personnelles, failles de sécurité permettant aux tiers d’accéder aux données, etc.), il peut également dans une plus large mesure porter atteinte à sa vie privée (captation d’images ou de voix, intrusion dans l’intimité, etc.). L’ubiquité et l’omniprésence des objets connectés dans la vie des utilisateurs conduisent à une collecte permanente et instantanée des données. Par ce biais, de nombreuses informations relatives à la vie privée des utilisateurs deviennent identifiables. D’ailleurs, la divulgation massive de données relatives à la vie privée lors de l’utilisation d’un objet connecté est souvent
une condition sine qua non à l’existence du service proposé par le fabricant. A titre d’exemple, la nouvelle génération de compteurs d’électricité et de gaz, tels que respectivement Linky et Gazpar qui ont fait l’objet d’une communication (6) de la Cnil en novembre 2017, peut collecter des données de consommation énergétique journalières d’un foyer. Si l’utilisateur y consent, des données de consommation plus fines peuvent être collectées par tranche horaire et/ou à la demi-heure. Cela permet d’avoir des informations très précises sur la consommation énergétique de l’usager. Dans l’hypothèse d’un traitement insuffisamment sécurisé, une personne malveillante pourrait alors avoir accès à des informations telles que les plages horaires durant lesquelles l’usager est absent de son logement, celles pendant lesquelles il dort ou encore les types d’appareils utilisés. Les habitudes d’une personne peuvent ainsi être déterminées aisément, ce qui constitue une atteinte à la vie privée. La décision de la Cnil, datée du 20 novembre 2017 et mettant demeure la société Genesis Industries Limited (7), est une autre illustration des risques encourus par l’utilisation des objets connectés notamment au regard de la vie privée. Cette société commercialisait des jouets connectés qui pouvaient interagir avec les enfants. Suite à un contrôle effectué par la Cnil, il a été constaté une absence de sécurisation des jouets (8) qui permettait à toute personne possédant un dispositif équipé d’un système de communication Bluetooth de s’y connecter à l’insu des personnes et d’avoir accès aux discussions échangées dans un cercle familial ou amical (9). L’intrusion dans la vie privée à travers les objets connectés peut ainsi être importante et particulièrement dangereuse lorsqu’il s’agit d’un utilisateur vulnérable tel qu’un enfant mineur.
Pour autant, une réglementation est difficilement applicable aux objets connectés. Tout d’abord, une incompatibilité d’origine des objets connectés avec certains principes relatifs au traitement des données personnelles doit être soulignée.

Proportionnalité, mesure de soi et Big Data
A titre d’exemple, le principe de proportionnalité (10), qui requiert que les données soient adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées, ne peut être satisfait dans le cadre de l’utilisation d’un objet connecté dit quantified-self – c’està- dire un appareil connecté pour la «mesure de
soi ». En effet, le nombre de données collectées sera nécessairement important
pour qu’un service adapté à l’utilisateur puisse être fourni. De même le principe
de conservation limité des données collectées (11) peut difficilement être mis en application dans le cadre d’un service fourni par un objet connecté. En effet, la conservation des données pour une durée indéterminée représente souvent une opportunité pour les fabricants dans le cadre du Big Data.
Aujourd’hui, en vertu de la loi « Informatique et Libertés », une obligation d’information pèse sur les responsables de traitement (12). De même, en vertu du Code de la consommation, une obligation pré-contractuelle d’information pèse sur le professionnel qui propose un bien ou un service (13). L’utilisateur d’un objet connecté doit ainsi pouvoir avoir des informations claires et précises sur le traitement de ses données, mais également sur les caractéristiques de l’objet connecté.

Loi française et règlement européen
Or, la récente assignation de deux plateformes majeures dans le monde numérique
– notamment sur le fondement de pratiques commerciales trompeuses au motif d’un nonrespect de l’obligation précontractuelle d’information dans le cadre de la vente d’objets connectés (14) – souligne les difficultés relatives à l’information des utilisateurs. L’avis de 2014 du G29, le groupe qui réunit les « Cnil » européennes, sur les objets connectés illustre également le manque d’informations des utilisateurs sur le traitement de leurs données (15). Ainsi, bien qu’une réglementation protectrice des utilisateurs d’objets connectés soit applicable, celle-ci est difficilement mise en oeuvre. De cet obstacle découle la question de la validité du consentement de l’utilisateur. Si le droit
à l’autodétermination informationnelle – droit pour toute personne de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant, dans les conditions fixées par la loi « Informatique et libertés » – a été récemment affirmé en France, son effectivité au regard des objets connectés semble moindre.
En effet, même si au moment de l’activation de l’appareil le consentement à la collecte de certaines données est recueilli auprès de l’utilisateur, il convient de souligner que
par la suite des données sont délivrées de manière involontaire. Par exemple, dans le cadre d’une montre connectée, l’utilisateur consent à la collecte de données relatives au nombre de pas qu’il effectue au cours de la journée. Mais lors de cette collecte, le responsable de traitement peut également avoir accès à d’autres données telles que celles relatives à la géolocalisation de l’utilisateur. En ce sens, le consentement recueilli n’est pas toujours éclairé et le droit à l’autodétermination informationnelle n’en sera qu’affaibli. Ainsi, la protection de l’utilisateur d’un objet connecté semble moindre. L’applicabilité du règlement européen sur la protection des données personnelles le
25 mai prochain – règlement dit RGPD pour « règlement général sur la protection des données » (16) – permet d’envisager une amélioration de la protection des utilisateurs d’objets connectés sur plusieurs points. Tout d’abord, par l’exigence de la mise en place de mesures permettant d’assurer une protection de la vie privée par défaut et dès la conception de l’objet connecté, le fabricant sera amené à prendre en compte les questions relatives à la vie privée de l’utilisateur en amont d’un projet (17). De même, les nouvelles mesures de sécurité devant être prises, tant par les responsables de traitement que les sous-traitants (par exemple, la pseudo-nymisation, les tests d’intrusion réguliers, ou encore le recours à la certification), tendront à garantir une meilleure protection des données personnelles des utilisateurs (18). Ensuite, la mise
en place de nouveaux droits pour l’utilisateur tels que le droit d’opposition à une mesure de profilage (19), le droit d’effacement des données pour des motifs limitativement énumérés (20) ou encore le droit à la portabilité des données (disposition déjà introduite par la loi « République numérique » du 7 octobre 2016 dans le Code de la consommation aux articles L. 224-42-1 et suivants) consolideront les moyens conférés aux utilisateurs d’objets connectés pour protéger leur vie privée. Il convient de souligner que cette amélioration dépend tout de même d’une information effective de l’utilisateur. En effet, si le fabricant ou le distributeur de l’objet n’informe pas l’utilisateur des différents droits dont il dispose, il semble peu probable que les utilisateurs les moins avertis agissent. Enfin, si la question de l’applicabilité de la réglementation européenne pour les acteurs situés en dehors de l’Union européenne (UE) pouvait se poser notamment lorsqu’ils collectaient des données d’utilisateurs européens, celle-ci n’aura plus lieu d’être à compter du 25 mai 2018. En effet, tout responsable de traitement ou sous-traitant qui n’est pas établi dans l’UE dès lors qu’il collectera des données personnelles de personnes se trouvant sur le territoire de l’UE sera contraint de respecter la réglementation européenne relative aux données personnelles. Ce point est important puisque dans le cadre des objets connectés, souvent, les flux de données ne connaissent pas de frontières.

Gagner la confiance du public
L’équation objets connectés, vie privée et données personnelles est par définition difficile. La révélation massive et constante de données relatives à une personne implique nécessairement une intrusion importante et parfois non voulue dans la vie des utilisateurs. Cependant, l’existence d’un arsenal juridique tant en droit français qu’en droit européen permet de limiter les impacts négatifs générés par les objets connectés. D’ailleurs il convient de noter que, dans le récent cadre de la réécriture de la loi
« Informatique et Libertés », la commission des lois a adopté un amendement permettant à une personne concernée d’obtenir réparation au moyen d’une action
de groupe du dommage causé par un manquement du responsable de traitement
ou sous-traitant aux dispositions de cette loi. Finalement, dans un marché hautement concurrentiel, les objets connectés qui survivront seront ceux qui auront su gagner la confiance du public et présenteront le plus de garanties en matière de respect à la vie privée et de sécurité. @

* Ancien bâtonnier du Barreau de Paris, et auteure de « Cyberdroit », dont
la 7e édition (2018-2019) paraîtra en novembre 2017 aux éditions Dalloz.

 

Données personnelles ou droit de la concurrence : Facebook ne se fait pas que des amis

Alors que Facebook a franchi la barre des 2 milliards d’utilisateurs, des autorités nationales et européenne s’y intéressent de plus en plus comme en témoignent les sanctions prononcées récemment à son encontre, en matière de données à caractère personnel ou en droit de la concurrence.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

Dans sa délibération du 27 avril 2017 (1), rendue publique le 16 mai suivant (2), la formation restreinte de la Cnil (3) a prononcé une sanction de 150.000 euros à l’encontre de Facebook. Cette sanction faisait suite à la mise en demeure, datée du 26 janvier 2016, par laquelle la Cnil, constatant plusieurs manquements à la loi informatique et libertés, avait demandé à Facebook de se mettre
en conformité. Plus largement, cette décision s’inscrit dans le prolongement d’une action conduite par plusieurs autorités nationales de protection
des données décidée à la suite du changement par le réseau social de sa politique
de confidentialité.

Lois nationales et acteurs globaux du Net
La Commission européenne a, quant à elle, prononcé une amende de 110 millions euros à l’encontre de Facebook pour avoir communiqué des informations inexactes ou dénaturées dans le cadre de l’enquête qu’elle a menée au titre du rachat de WhatsApp par Facebook en 2014. Cette sanction a été publiée le 18 mai dernier (4) (voir encadré page suivante). Ces procédures engagées à l’encontre de Facebook en Europe et en France démontrent l’inégalité des moyens d’action juridique existants et marquent la volonté des autorités de renforcer le montant des sanctions en matière de protection des données jugé trop peu dissuasif. L’adoption du règlement européen du 27 avril 2016 sur la protection des données personnelles (5) va résolument dans ce sens en augmentant considérablement le montant des sanctions prononcées par les « Cnil » en Europe. Sur ce point, le droit de la concurrence apparaît plus dissuasif puisqu’il prévoit déjà des sanctions dont le montant est proportionnel au chiffre d’affaires de l’entreprise condamnée. A propos de la sanction de Facebook en France par la Cnil, la délibération de cette dernière contient des enseignements intéressants notamment sur l’applicabilité de la loi française lorsqu’un responsable de traitement est établi dans plusieurs Etats de l’Union européenne (UE). Rappelons en effet que la loi « Informatique et libertés » (6) s’applique si le responsable d’un traitement qui exerce une activité sur le territoire français dans le cadre d’une installation, quelle que soit sa forme juridique, y est considéré comme établi (7) et que la Cnil peut exercer un contrôle sur tout traitement dont les opérations sont mises en oeuvre, même partiellement, sur le territoire national, y compris si le responsable du traitement est établi dans un autre Etat membre de l’UE (8). Pour déterminer l’applicabilité du droit français en l’espèce, la Cnil va examiner les deux critères énoncés par la directive 95/46/CE sur la protection des données : d’une part, l’existence d’un établissement ; d’autre part, la mise en oeuvre du traitement dans le cadre de ses activités. A cet égard, il est intéressant de souligner que la Cnil a souhaité se référer au texte européen (9) plutôt qu’à celui de la loi française « Informatique et libertés ». Dans sa délibération, la Cnil fait référence à la jurisprudence de la Cour de justice de l’Union européenne (CJUE) et à son interprétation large de la notion d’établissement à l’appui de son raisonnement (10). Ainsi, la formation restreinte considère que Facebook doit être qualifié d’établissement car « Facebook France constitue une installation stable qui exerce une activité réelle et effective grâce à des moyens humains et techniques nécessaires notamment à la fourniture de services de marketing » et participe dans le cadre de ses activités aux traitements en cause. Cette analyse va à l’encontre de celle avancée par Facebook qui contestait la compétence de la Cnil au profit de la législation irlandaise et, par conséquent, de l’autorité irlandaise seule autorité compétente pour contrôler le traitement des données personnelles des utilisateurs du service en Europe. Il est également intéressant de relever que la Cnil adopte la position de la CJUE qui s’était pourtant prononcée dans un contexte différent puisque, contrairement à l’arrêt « Google Spain » cité par la Cnil, « il n’existe aucun risque de contournement des dispositions européennes », Facebook ne contestant pas l’applicabilité du droit européen mais celui du droit français.

Compétence territoriale étendue ?
La Cnil se positionne donc en faveur d’une compétence territoriale étendue pour affirmer la compétence de la loi « Informatique et libertés », sa propre compétence
et prononcer une sanction à l’encontre de Facebook. Cette analyse doit être prise en compte par les responsables de traitements qui sont établis dans plusieurs Etats de l’UE notamment à l’approche de l’entrée en vigueur – à partir du 25 mai 2018 – du règlement européen qui étend le champ de la compétence territoriale. En effet, avec
le nouveau règlement, la personne concernée pourra saisir aussi bien l’autorité de contrôle de l’Etat membre où est situé le responsable du traitement ou son sous-traitant que l’autorité de contrôle dans lequel se trouve sa propre résidence ou son lieu de travail, voire le lieu où la violation alléguée aurait été commise. La décision de la Cnil en France apporte également un certain nombre de précisions au regard des règles relatives à la protection des données à l’approche de l’entrée en vigueur du règlement européen sur la protection des données.

Six manquements de Facebook à la loi française
La délibération de la Cnil sanctionne Facebook au titre de six manquements aux obligations énoncées par cette loi, à savoir : l’obligation d’information, l’obligation de disposer d’une base légale pour les traitements, l’obligation d’une collecte loyale des données, l’obligation d’un consentement exprès pour les données sensibles, l’obligation de mettre à disposition un moyen valable pour s’opposer aux cookies, et l’obligation
de respecter une durée de conservation des données. La délibération de la Cnil est riche en enseignement, notamment sur les manquements au regard de l’obligation d’information. A ce titre, la Cnil relève que la politique d’utilisation des données de Facebook ne précise ni les droits dont disposent les utilisateurs ni les informations relatives au transfert de données hors de l’UE. Elle considère que Facebook doit afficher directement l’information sur le formulaire de collecte et non pas via un lien figurant sur le formulaire d’inscription.
Concernant cette fois la combinaison massive de données pour le ciblage publicitaire, la Cnil relève qu’« aucun des documents mis à la disposition des utilisateurs […] ne mentionne expressément la combinaison de données », Ainsi, si les utilisateurs disposent de moyens pour maîtriser l’affichage de la publicité ciblée, ils ne consentent pas à la combinaison massive de leurs données et ne peuvent s’y opposer, que ce
soit lors de la création de leur compte ou a posteriori. Enfin, sur l’utilisation du cookie
« datr », la Cnil relève que l’information « ne permet pas aux internautes et en particulier aux internautes non-inscrits sur le réseau social, d’être clairement informés
et de comprendre que leurs données sont systématiquement collectées dès lors qu’ils
se trouveront sur un site tiers comportant un module social ». Sur les autres manquements, Facebook ne recueille pas le consentement exprès des utilisateurs lorsqu’ils renseignent des données sensibles et que le paramétrage du navigateur ne permet pas aux utilisateurs de s’opposer valablement aux cookies déposés sur leur équipement terminal.
La Cnil a donc prononcé une sanction de 150.000 euros à l’encontre du réseau social, soit le maximum qu’elle peut aujourd’hui infliger (ce montant pouvant être porté au double en cas de récidive). Cependant, ce montant prévu par la loi « Informatique et liberté » apparaissant peu inadapté au regard de la potentielle gravité des violations de la législation et à la puissance de certains responsables de traitements qui s’en rendent coupables, le nouveau règlement européen prévoit, en fonction des atteintes, des sanctions allant jusqu’à 20millions d’euros ou, dans le cas d’une entreprise jusqu’à 4% du chiffre d’affaires annuel mondial total (11). La délibération de la Cnil amorce l’entrée en vigueur de la nouvelle réglementation européenne qui renforce les obligations de protection en matière de données personnelles. A titre d’illustration, le règlement viendra renforcer le droit à l’information en ajoutant notamment à la liste des informations à fournir : l’identité et les coordonnées du responsable de traitement, le cas échéant, celles de son Data Protection Officer (DPO), les finalités du traitement auxquelles sont destinées les données à caractère personnel ainsi que la base juridique du traitement, les catégories de destinataires de ces données, ainsi que, éventuellement, le transfert de ces données vers un pays tiers. En outre, le règlement prévoit une obligation d’information spécifique en matière de profilage et le consentement devra être recueilli pour toutes les finalités, à défaut de quoi il ne peut être considéré comme valable. @

* Ancien bâtonnier du Barreau de Paris.

ZOOM

Sanction de Facebook par la Commission européenne
Facebook a été sanctionné par l’Union européenne (UE) pour ses pratiques, non
plus sur le fondement des données personnelles, mais sur celui du règlement de 2004 relatif aux concentrations (12). En effet, la Commission européenne a prononcé une sanction de 110 millions d’euros à l’encontre de Facebook pour lui avoir fourni des fausses informations au moment de l’enquête menée au titre du rachat de WhatsApp par Facebook. La Commission européenne n’a toutefois pas remis en cause le rachat de WhatsApp par Facebook décidé en 2014. En l’espèce, il était question de la combinaison des données entre les deux entités, une combinaison que Facebook
disait impossible lors du rachat du service de messagerie en 2014. Ainsi, « la société
a informé la Commission [européenne] qu’elle ne serait pas en mesure d’établir d’une manière fiable la mise en correspondance automatisée entre les comptes d’utilisateurs de Facebook et ceux de WhatsApp ». Selon la Commission européenne, « Facebook a commis deux infractions distinctes en fournissant un renseignement inexact et dénaturé d’une part dans le formulaire de notification de la concentration et d’autre part, dans la réponse à une demande de renseignements de la Commission » et a fait preuve tout au moins de négligence.
Pour fixer le montant de l’amende, la Commission européenne a toutefois pris en compte certaines circonstances atténuantes, notamment la collaboration de l’entreprise durant cette enquête. L’annonce du partage de données et de numéros de téléphone entre Facebook de WhatsApp en 2016 avait déjà fait l’objet de protestions notamment par le G29, qui dans une lettre ouverte (13) avait dénoncé lui aussi la contraction du partage de ces données avec la déclaration des entreprises lors de l’opération de rachat. Dans cette lettre, le groupe européen des « Cnil » avait demandé une suspension de ce rapprochement entre les deux applications eu égard à la validité
des finalités poursuivies et à celle du consentement des utilisateurs. Cette demande avait été finalement prise en compte par WhatsApp qui avait suspendu l’envoi des informations à fin publicitaire à sa maison- mère, Facebook. Compte tenu des enjeux,
il semblerait que seule une action commune au niveau européen semble susceptible d’impacter véritablement le comportement de groupes comme Facebook. @

Règlement européen sur la protection des données : ce qui va changer pour les internautes

Le règlement européen sur la protection des données – proposé il y a plus de quatre ans par la Commission européenne – a été publié au J.O. de l’Union européenne le 4 mai. Il sera applicable sur toute l’Europe le 25 mai 2018. Il renforce les droits des Européens sur leurs données personnelles.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

Ayant constaté l’existence d’une fragmentation dans la mise en oeuvre de la protection des données à caractère personnel dans l’Union européenne (UE), la Commission européenne a soumis le
25 janvier 2012 (1) au Parlement et au Conseil européens une proposition de règlement européen « relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données ».

Renforcement des droits de la personne
Cette nouvelle législation a fait l’objet d’un accord informel en trilogue le 17 décembre 2015, et a été votée définitivement le 14 avril dernier et publiée le 4 mai au Journal officiel de l’UE. L’une des avancées majeures du règlement « Protection des données » – entré en vigueur 20 jours après sa publication (soit le 24 mai), pour être applicable dans tous les pays de l’UE le 25 mai 2018 (les entreprises ont donc deux années entières pour s’y préparer) – est sans conteste le renforcement des droits de la personne.
Dans un univers dématérialisé où tout devient possible en quelques clics, l’UE avait dans une directive, dès 1995, souhaité protéger l’individu en lui accordant un certain nombre de droits. Elle prévoyait ainsi :
• un droit à l’information qui consiste en l’obligation, pour le responsable de traitement, de fournir certaines informations énumérées dans la directive ;
• un droit d’accès qui est le droit pour la personne concernée de réclamer de la part du responsable de traitement la consultation de certaines informations portant sur ses données personnelles et sur le traitement de ses données ;
• un droit de rectification qui consiste en la possibilité pour la personne concernée
de demander la rectification, l’effacement ou le verrouillage des données qui sont incomplètes ou inexactes ;
• un droit d’opposition qui est le droit pour la personne concernée de s’opposer à
tout moment à ce que ses données fassent l’objet d’un traitement, pour des raisons légitimes. Pourtant, comme le soulignait Viviane Reding en 2012, lorsqu’elle était encore commissaire européenne à la Justice, aux Droits fondamentaux et à la Citoyenneté, les citoyens « n’ont pas toujours le sentiment de maîtriser entièrement
les données à caractère personnel les concernant ».
En effet, qui n’a pas déjà reçu des publicités dans sa boîte aux lettres sans que l’on n’ait jamais ni effectué d’achats chez l’émetteur de publicités ni donné ses informations personnelles telles que les nom, prénom, et adresse ? Qui n’a pas réceptionné des appels téléphoniques inconnus dont l’objet est de promouvoir un produit, ou de vous solliciter pour un sondage téléphonique, l’interlocuteur connaissant déjà vos nom et prénom sans même que vous ne l’ayez déjà contacté de votre vie, ou sans même que les prestataires de services professionnels avec qui vous avez contracté ne vous ait prévenu de la communication de vos informations à ces tiers précisément ?
Pour remédier à ce problème de maîtrise des données, le règlement prévoit un chapitre entier sur les droits de la personne concernée, ce que ne faisait pas la directive de 1995, laquelle se contentait de placer les droits de la personne concernée dans un chapitre intitulé « Conditions générales de licéité des traitements de données à caractère personnel ».
Le renforcement des droits de la personne concernée se fait en accentuant les droits préexistants de celle-ci, par exemple en prévoyant une meilleure transparence quant
à la communication des informations relatives au traitement des données à caractère personnel, ou encore en rallongeant la liste des informations à fournir à la personne concernée.

Quatre principaux nouveaux outils
Mais surtout, le règlement européen lui octroie de nouveaux droits :
• Un droit à l’information lors de l’apparition de failles de sécurité.
Ainsi, le droit à la notification d’une violation de ses données à caractère personnel semble aujourd’hui indispensable, alors que l’on ne compte plus le nombre d’entreprises victimes de failles de sécurité relatives aux informations sur leur clientèle : noms, adresses, numéros de téléphone ou encore données bancaires se retrouvent alors publics.
• Un droit d’opposition à une mesure fondée sur le profilage.
Au-delà des failles de sécurité dont peuvent être victimes les entreprises, les internautes doivent, aussi, à leur échelle, faire preuve de vigilance. En effet, au travers des historiques de navigations, des blogs, des réseaux sociaux ou des moteurs de recherche, ils dévoilent, sans souvent en avoir pleinement conscience, des pans entiers de leur vie privée. Or ces informations se révèlent souvent précieuses puisqu’elles pourront être valorisées, alimentant ainsi une véritable économie des données. En ce sens, le « profilage », destiné à évaluer et analyser certains aspects personnels afin d’orienter les publicités selon les intérêts ou de prévenir certains comportements illicites peut être source d’erreurs ou d’abus. C’est dans cet objectif que le Règlement prévoit une obligation d’information spécifique en matière de profilage ainsi que la possibilité
de s’y opposer.
• Un droit à l’« effacement » numérique.
Comme le souligne la CNIL dans son rapport d’activité 2013, « la circulation d’informations concernant une personne peut avoir de graves conséquences sur sa
vie privée et professionnelle, parfois plusieurs années après les faits ». Aussi, le Règlement européen vient consacrer un « droit à l’effacement » qui permettra à la personne concernée, selon des motifs limitativement énumérés, d’obtenir l’effacement de données personnelles la concernant et la cessation de la diffusion de ces données. La consécration de ce nouveau droit par le Règlement achève ainsi une évolution nécessaire au regard de la protection de la vie privée des citoyens européens.
• Un droit à la portabilité de ses données.
Ces nouveaux droits sont primordiaux en ce qu’ils permettent à la personne concernée d’exercer un contrôle ex post sur ses données. La personne concernée a le droit de se voir communiquer ses données personnelles par le responsable de traitement, sous un format « structuré, couramment utilisé et lisible par machine » afin de faciliter leur transfert vers un autre prestataire de services si elle le souhaite et sans que le responsable de traitement ne puisse s’y opposer. L’objectif ici est d’éviter à la personne concernée de se lancer dans une fastidieuse récupération manuelle de ses données qui pourrait l’inciter à renoncer à changer de prestataire.

« Education » et « hygiène informatique »
Ces nouveaux outils doivent cependant s’accompagner d’une part, d’une « éducation » à la protection des données, et d’autre part, de la promotion d’une certaine « hygiène informatique », selon l’expression consacrée par l’ANSSI (2), qui permettra à la personne concernée de fixer elle-même les frontières de sa vie privée.

Le règlement européen tient aussi compte de l’invalidation du « Safe Harbor » (3) (décision CJUE du 6 octobre 2015 (4). et ses conséquences en consacrant son chapitre V au transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales L’invalidation de cette décision a conduit la Commission européenne et le gouvernement américain à conclure un accord visant à assurer un niveau de protection suffisant aux données transférées de l’UE vers les Etats-Unis appelé « Privacy Shield ».

Articulation avec le « Privacy Shield »
Le G29 réunissant les « Cnil » européennes, qui avait publié son avis le 13 avril 2016 sur le niveau de protection des données personnelles assuré par le « Privacy Shield » (5), a cependant rappelé qu’il devrait tenir compte du règlement européen sur les données personnelles – lequel n’avait pas encore été adopté au moment de la publication du « Privacy Shield ». L’article 45 du règlement énonce les critères à prendre en compte par la Commission européenne lors de l’évaluation du caractère adéquat du niveau de protection des pays tiers à l’Union. Au nombre de ces critères,
on trouve « le respect des droits de l’homme et des libertés fondamentales, la législation pertinente, tant générale que sectorielle, y compris en ce qui concerne la sécurité publique, la défense, la sécurité nationale et le droit pénal ainsi que l’accès
des autorités publiques aux données à caractère personnel (…) ».
Outre le renforcement de la sécurité juridique, on notera que le règlement vise à : réduire la charge administrative des responsables de traitement de données, faire peser davantage de responsabilité sur les sous-traitants, renforcer l’exercice effectif par les personnes physiques de leur droit à la protection des données les concernant au sein de l’UE (notamment leur droit à l’effacement et leur droit d’exiger que leur consentement préalable, clair et explicite soit requis avant l’utilisation de leurs données personnelles), améliorer l’efficacité de la surveillance et du contrôle de l’application des règles en la matière (6).
Le règlement aura d’autant plus d’impact qu’il s’appliquera, dès le 25 mai 2018, de manière uniforme dans l’ensemble des pays de l’UE, sans devoir être transposé en droit national (7). Son champ d’application s’étendra au-delà des frontières des Vingt-huit puisque, désormais, des entreprises ayant leur siège social en dehors de l’UE pourront se voir appliquer le règlement dès lors que les données qu’elles traitent concernent des résidents de l’UE, ce que ne prévoyait pas la directive. @

* Ancien bâtonnier du Barreau de Paris.

 

Société de l’information : vers une généralisation du signalement des incidents de sécurité

L’Union européenne va adopter deux textes majeurs qui vont étendre et renforcer les responsabilités des entreprises et des acteurs du Net dans la société de l’information : la nouvelle directive « Cybersécurité » et le règlement « Protection des données personnelles ».

Par Christophe Clarenc, cabinet Dunaud Clarenc Combles & Associés

Les prochaines adoptions, d’une part, de la nouvelle directive
en faveur d’un niveau élevé commun de sécurité des réseaux
et systèmes d’information, et, d’autre part, du règlement général sur la protection des données personnelles confirment un renforcement de la cyber-responsabilité des entreprises à travers notamment une généralisation de l’obligation de signaler les incidents et violations de sécurité.

Dépendance critique
Les promesses et la pérennité même de la « société de l’information » promue au sein de l’Union européenne (UE) dépendent de la sécurité des technologies, systèmes et traitements d’information qui la sous-tendent et la structurent. Cette dépendance est critique, à mesure tout à la fois : de la vulnérabilité intrinsèque de ces dispositifs informatiques, de la vulnérabilité systémique résultant de l’interconnexion et de la sous-traitance en chaîne de ces dispositifs dans le cyberespace, de l’actuelle dépendance vis-à-vis des dispositifs de traitement et de sécurité étrangers, ainsi que des actes, menaces et enjeux démultipliés de cyberattaques. A quoi s’ajoutent la protection et
la transparence souvent insuffisantes des entreprises devant les incidents et violations de sécurité, et, enfin, la confiance nécessaire des citoyens-consommateurs dans cette société de l’information (1).
La législation européenne a déjà défini la notion et les risques, exigences et moyens génériques de sécurité (disponibilité, authenticité, intégrité et confidentialité) des réseaux et systèmes d’information (RSI), et a imparti différentes obligations de sécurité pour les opérateurs de communications électroniques et pour les responsables de traitements de données à caractère personnel. La directive sur la sécurité des réseaux et systèmes d’information (SRI) et le règlement général sur la protection des données personnelles viendront étendre et renforcer ces obligations, et en forcer le respect par une généralisation de l’obligation de signaler les incidents et violations de sécurité et des sanctions dissuasives en cas de manquement.

C’est en février 2013 que la Commission européenne a présenté une proposition de directive concernant des mesures destinées à assurer un niveau élevé commun de SRI dans l’UE (directive dite « Cybersécurité »). Un accord « trilogue » (2) est intervenu en décembre dernier sur un texte sensiblement remanié (3).
Cette proposition de directive « SRI » s’inscrivait dans la continuité des travaux et des actes européens poursuivis depuis 2001 (voir encadré page suivante). Elle visait en particulier à établir des exigences élevées et communes de SRI pour les « acteurs du marché » concernés, recouvrant à la fois les prestataire de services de la société de l’information – tels que les services d’informatique en nuage, ou les moteurs de recherche comme Google ainsi que les plateformes de e-commerce comme eBay
ou Amazon – et les opérateurs d’infrastructure critique essentielle au maintien de fonctions économiques et sociétales vitales à identifier dans les domaines de l’énergie, des transports, des services bancaires, des bourses de valeur et de la santé – sous le contrôle dans chaque Etat membre de l’autorité compétente en matière de SRI. Cette proposition prévoyait notamment l’obligation pour ces acteurs de notifier à l’autorité
« les incidents qui ont un impact significatif sur la sécurité des services essentiels
qu’ils fournissent » avec pouvoir de l’autorité d’« informer le public, ou demander
[aux acteurs] de le faire, lorsqu’elle juge qu’il est dans l’intérêt général de divulguer
les informations relatives à l’incident ».

Opérateurs d’importance vitale
Cette proposition « SRI » de 2013 était fortement soutenue et inspirée par la France dans la continuité de ses préoccupations et de sa stratégie de défense et de sécurité des systèmes d’information des infrastructures nationales devant la menace majeure des cyberattaques, et de son propre dispositif – adopté dans sa loi de programmation militaire de décembre 2013 (4) – de cyber-protection des opérateurs répertoriés d’importance vitale (OIV), placé sous l’autorité du Premier ministre et de la direction
de l’Agence nationale de défense des systèmes d’information (Anssi) (5).
L’accord trilogue intervenu en décembre 20015 a sensiblement remanié le schéma
de la proposition. Il établit deux régimes de réglementation et de contrôle SRI. L’un concerne les « opérateurs de services essentiels » à identifier par chacun des Etats membres dans les secteurs de l’énergie, des transports, des services bancaires,
des marchés financiers, de la santé, de l’eau et des infrastructures numériques, caractérisés par leur rapport direct avec des infrastructures physiques. L’autre
concerne les « fournisseurs de services numériques » génériquement et limitativement appréhendés dans les domaines des places de marché en ligne, des moteurs de recherche et des services d’informatique en nuage ou cloud, également regardés comme critiques mais différenciés par leur nature transfrontière et internationale.

Responsabilités renforcées
Les opérateurs de services essentiels désignés et les fournisseurs de services numériques concernés devront notifier sans délai indu les incidents de SRI ayant un impact significatif ou substantiel sur la continuité de leurs services, avec information du public en cas de nécessité et après consultation. Les contrats de prestation conclus par ces opérateurs avec ces fournisseurs devront être soigneusement examinés. En effet, ces opérateurs seront seuls responsables de la notification des incidents affectant la continuité de leurs services causés par des incidents survenus chez ces fournisseurs-prestataires. Enfin, les entreprises non visées pourront volontairement notifier leurs incidents de SRI.
Quant au règlement général de protection des données personnelles (6), à intervenir prochainement à la suite de l’accord trilogue également trouvé en décembre dernier,
il viendra encore étendre et renforcer les responsabilités de SRI eu égard à la capacité des failles et incidents de SRI à affecter la sécurité des traitements et des données.
En effet, outre un renforcement des obligations propres à la sécurisation des traitements, il impartit à l’ensemble des entreprises responsables de traitement, sous peine de sanctions devenant très dissuasives de manquement, de dépister et conserver la trace documentaire de toute violation de données personnelles, et de notifier à l’autorité nationale compétente (en France la Cnil), sans retard indu et si possible sous 72 heures, toute violation constatée susceptible de présenter un risque pour les droits et libertés des personnes concernées, avec information de ces dernières en cas de risque élevé et non contrecarré.
La conformité « SRI » s’impose comme un facteur critique de responsabilité administrative, pénale, contractuelle et quasi-délictuelle (et d’assurance), de crédibilité, de réputation et de différenciation compétitive dans la société de l’information. @

ZOOM

Proposition de directive « SRI » : 15 ans de gestation
Depuis 2001, des travaux et des actes se sont enchaînés au niveau européen au nom de la sécurité des réseaux et de la cybersécurité. Parmi eux :
• La communication de juin 2001 invitant à une approche politique européenne en matière de SRI ;
• La directive 2002/21/CE de mars 2002 soumettant les opérateurs de communications électroniques à des mesures pour assurer la sécurité/intégrité de leurs réseaux et services ;
• Le règlement 460/2004 de mars 2004 instituant une Agence européenne chargée de la SRI (Enisa) et apportant premières définitions des systèmes d’information, des exigences génériques de SRI, des risques de SRI et de la SRI ;
• Le livre vert de novembre 2005 pour un programme européen de protection des infrastructures critiques (IC) mentionnant les technologies de l’information (TIC) ;
• La communication de mai 2006 proposant une stratégie pour une société de l’information sûre ;
• La directive 2008/114/CE de décembre 2008 relative au recensement et à la désignation des IC européennes soulignant l’intérêt d’examiner une inclusion des TIC ;
• La communication de mars 2009 concernant la protection des infrastructures d’information critiques (IIC) soulignant la criticité de certaines infrastructures TIC (7) et envisageant à cet égard de les soumettre à l’obligation de notification des incidents de sécurité concomitamment proposée pour les opérateurs de communications électroniques ;
• La proposition de septembre 2010 de directive relative aux attaques contre les systèmes d’information (dite « cybercriminalité ») qui aboutira à la directive 2013/40/UE d’août 2013 établissant infractions pénales communes d’accès illégal à des systèmes d’information, d’atteinte illégale à l’intégrité d’un système d’information, d’atteinte illégale à l’intégrité des données et d’interception illégale, et recommandant, pour renforcer la sécurité, des mesures incitant à notifier les failles de sécurité ;
• La directive 2009/140/CE de novembre 2009 (modifiant la directive 2002/21/CE) soumettant les opérateurs de communications électroniques à l’obligation de notifier à l’autorité nationale compétente « toute atteinte à la sécurité ou perte d’intégrité ayant eu un impact significatif sur le fonctionnement des réseaux ou des services » avec pouvoir de l’autorité d’« informer le public ou exiger des entreprises qu’elles le fassent dès lors qu’elle constate qu’il est d’utilité publique de divulguer les faits » ;
• La communication de février 2013 sur la stratégie de cybersécurité de l’UE introduisant notamment la proposition de directive SRI présentée à cette même date. @

Comment Facebook a inventé la propriété des données personnelles qui n’existe pas encore !

Acheté il y a tout juste 10 ans pour 200.000 dollars, Facebook.com pèse aujourd’hui 212 milliards de dollars en Bourse. Grâce au « don » – gracieux –
que lui accordent ses 1,4 milliard d’« ami(e)s », le réseau social a empoché
12,46 milliards de dollars l’an dernier. Mais il y a un vrai « déséquilibre ».

C’est en août 2005 que Mark Zuckerberg (photo)
et ses coéquipiers ont acheté le nom de domaine
« facebook.com », qui fut créé huit ans auparavant
et qui remplacera « thefacebook.com » d’origine.
Dix ans plus tard, la firme de Palo Alto est un géant du
Net – le « F » de GAFA – avec 3 milliards de dollars de bénéfice net l’an dernier (1). Pourtant, le réseau social
– aux 1,4 milliard d’utilisateurs dans le monde – est gratuit mais il brasse des milliards grâce aux recettes publicitaires.

Déséquilibre flagrant en faveur de Facebook
Or chacun a fait « don » de ses données personnelles, sans contrepartie financière mais seulement en échange de l’utilisation gratuite de cet outil. Pour certains juristes,
il y a là un déséquilibre qui ne pourra pas durer. « Facebook déclare qu’il est propriétaire de l’ensemble des données – à la fois dans sa valorisation boursière et dans sa valorisation contractuelle. Il y a bien une monétarisation qui n’est plus basée sur le don mais bien sur l’échange de valeurs. Cette rupture entre cette logique du don est un système biface sur le plan économique : une face en don et une face en échange. Le système est en train de se déséquilibrer », affirme Alain Bensoussan, avocat et président de la société éponyme (2). Ardent défenseur de l’idée de propriété des données à caractère personnel, il dénonce ce déséquilibre et considère Facebook comme emblématique. « Il n’y a de capacité d’exister dans une démocratie que s’il y
a une propriété. Or, si quelqu’un fait de la valeur avec mes données, et surtout mes données évoluant dans le temps, cette valeur-là ne peut pas être asymétrique en droit. Il va bien falloir, à un moment donné, passer de la logique du don à la logique de l’échange », a-t-il plaidé le 19 novembre dernier, lors d’un séminaire au DigiWorld Summit de l’Idate. Or, fait-il remarquer, la propriété des données personnelles n’existe nulle part dans le monde, alors que tout le monde dit : « Ce sont mes données, mes informations ». Il y a un possessif énorme (« mes coordonnées », « mon nom », « mon adresse », « ma signature », …) et pourtant ce « droit naturel » n’existe pas. Pas plus qu’il existe de protections juridiques des données personnelles telles que les brevets pour les inventions ou de droit d’auteur pour les contenus. Mais il y a bien un débat qui commence 2008 avec le réseau social de Mark Zuckerberg : « Le premier à donner des droits universels [sur nos données personnelles] et à les reconnaître, c’est Facebook ! Les Etats dans le monde ne les ayant alors pas encore mis en place. Pourquoi Facebook fait-il cela ? Tout simplement pour créer de la confiance dans l’utilisateur, lequel pense qu’il a un droit de reprise – alors qu’il n’a aucun droit de reprise – et qu’il
a un droit d’accès – alors qu’il a faiblement des droits d’accès. Facebook a créé les éléments d’une création d’un “juris-système”, parce que ce droit-là est parfaitement opérationnel », a expliqué Alain Bensoussan. Les 1,4 milliard de personnes ont
accepté l’économie du don : « Je te donne mes données qui m’appartiennent et,
en contrepartie, tu me prêtes tes services ». L’économie numérique commence par cette économie du don, laquelle apparaît aujourd’hui asymétrique et déséquilibrée.
Or, l’avocat, fait remarquer que « dans le contrat mondial de Facebook, il y a un article 1 qui stipule : “Vous restez propriétaire de vos données et Facebook n’a qu’une licence gratuite et non exclusive” ». En conséquence : « En vous accordant une licence à vos données, Facebook reconnaît implicitement que vous êtes propriétaire d’une propriété qui n’existe pas légalement ! ». Google, YouTube, Twitter, LindedIn, Instagram et les autres réseaux sociaux ont copié à leur tour Facebook. Tous reconnaissent le droit universel de chacun d’entre nous à être propriétaire de ses données, sachant qu’il n’y aucun Etat régalien qui le reconnaisse encore… Certains disent qu’il est impossible d’être propriétaire des données personnelle parce que ce sont des éléments qui tiennent à la qualité de l’homme : un droit de la personnalité, oui ; un droit de propriété, non. On ne vend pas ses organes ; on ne peut pas vendre ses données.

Vers un droit à la maîtrise de ses données
Pour Alain Bensoussan, il y a là un paradoxe d’analyse : « Je défends l’idée que
l’on est chacun propriétaire de ses données à caractère personnel, et que les droits naturels naissent avant les droits légaux. C’est un problème de droits de l’homme numérique ». La question est posée, même si le Conseil d’Etat – dans son rapport
« Le numérique et les droits fondamentaux » de septembre 2014 – recommande de
ne pas aller vers le droit à la propriété des données personnelles, lui préférant « un droit à l’autodétermination » (3). Or cela pourrait être un premier pas vers l’extension
de la propriété – consacrée en 1789 – aux données personnelles. Ce serait alors une révolution ! @

Charles de Laubier

Comment Google limite le droit à l’oubli en Europe

En fait. Le 6 février dernier, le conseil consultatif auprès de Google sur le droit
à l’oubli – où l’on retrouve parmi les huit experts Sylvie Kauffmann, directrice éditoriale du quotidien Le Monde, et Jimmy Wales, fondateur et président de Wikimedia Foundation – a publié son rapport sur le droit à l’oubli.

En clair. Le comité d’experts mis en place l’an dernier par Google (1) veut limiter les effets de l’arrêt du 13 mai 2014 de la Cour de justice de l’Union européenne (CJUE)
qui oblige les plateformes du Net – dont les moteurs de recherche – à déréférencer
les données personnelles des candidats à l’oubli. Dans leur rapport, les huit experts préconisent que Google supprime de son moteur de recherche uniquement les informations se situant sur ses sites européens – « google.fr », « google.de »,
« google.es », … – mais pas sur les autres tels que « google.com ». « La pratique générale en Europe est d’orienter les utilisateurs – tapant www.google.com sur leur navigateur – automatiquement vers une version locale du moteur de recherche. Google nous a dit que plus de 95 % de toutes les requêtes provenant d’Europe sont faites sur les versions locales », a expliqué le conseil consultatif.
Ce qui va à l’encontre des dispositions d’envergure mondiale prononcées par la CJUE
il y a neuf mois maintenant. Ces recommandations profitent des imprécisions de la directive européenne de 1995 sur « la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données » (2) quant à la responsabilité de celui chargé du traitement d’assurer et du respect entourant les données à caractère personnel (article 6 de la directive). Le comité d’experts a en outre identifié quatre critères pour supprimer – ou pas – les données : vie publique du demandeur, nature de l’information, la source, le temps au sens de
la date.
Pour l’heure, la firme de Mountain View se plie partiellement aux injonctions de la CJUE en accédant à une partie seulement des demandes de suppression qui lui sont faites.
A fin 2014, plus de 170.000 demandes ont déjà été soumises à Google en Europe,
dont environ 30 % provenant de France – le premier pays en nombre. Mais le géant du Web oppose en effet une fin de non-recevoir à plus de la moitié d’entre elles. Ce qui lui a valu une première condamnation le 19 décembre dernier, par le tribunal de grande instance de Paris, à retirer les liens concernant une plaignante. C’est que les demandes affluent depuis que Google a mis en ligne son formulaire (3) pour permettre à ceux qui le souhaitent d’exercer leur droit à supprimer des résultats de recherche leur nom et autres données personnelles. @