Sécurité des systèmes d’information et des données personnelles : nul ne peut ignorer ses responsabilités

RSI, NIS, OSE, OIV, PSC, EBIOS, RGPD, SecNumCloud, … Derrière ces acronymes du cadre réglementaire numérique, en France et en Europe, apparaissent les risques et les obligations en matière de sécurité des systèmes d’information et des traitements de données personnelles.

Par Christophe Clarenc, avocat, Cabinet DTMV & Associés

Les rapports d’activité pour 2018 publiés mi-avril (1) par, respectivement, l’Agence nationale de la sécurité des systèmes d’information (ANSSI), le « régulateur de la sécurité numérique » en sa qualité d’autorité en charge de la cybersécurité nationale,
et la Commission nationale de l’informatique et des libertés (Cnil), en charge de la sécurité des traitements de données personnelles, offrent et permettent un tour d’horizon rapide des évolutions réglementaires et de l’état des responsabilités en la matière.

Une réglementation évolutive
Au plan réglementaire, on doit tout d’abord mentionner la loi n° 2018-133 du 26 février 2018, le décret 2018-384 du 23 mai 2018 et l’arrêté du 14 septembre 2018 qui sont venus assurer la transposition en France de la directive européenne du 6 juillet 2016, dite « NIS », sur la sécurité des réseaux et systèmes d’information (RSI) des
« opérateurs de services essentiels » (2) (OSE) et des grands « fournisseurs de services numériques » (3) (FSN). Cette réglementation est supervisée en France
par l’ANSSI et dans la ligne de son dispositif de protection des RSI des opérateurs d’importance vitale (OIV) (4). Elle soumet les OSE et les FSN pour la protection de leurs RSI critiques à un régime de « règles de sécurité nécessaires pour garantir un niveau de sécurité adapté au risque existant compte tenu de l’état des connaissances », et de déclaration des incidents et de contrôle.
Cette réglementation définit et prescrit pour les OSE l’ensemble des « mesures appropriées » pour tout à la fois prévenir, limiter l’impact et gérer les incidents et compromissions de sécurité. Les règles de sécurité prescrites pour les FSN sont établies dans un règlement d’exécution du 30 janvier 2018 (5). Ces règles et mesures sont définies dans cinq « domaines » : celui de la « gouvernance » des RSI concernés (6) (analyse de risque, politique de sécurité décrivant l’ensemble des procédures et
des moyens organisationnels et techniques de sécurité mis en oeuvre, homologation
et audits de sécurité, cartographie (7)) ; celui de leur « protection » (architecture, administration, identités et accès), celui de leur « défense » (détection et traitement des incidents) ; et celui de la « résilience des activités » (gestion de crise en cas d’incident de sécurité ayant un impact majeur sur la fourniture des services essentiels en cause). Ces règles établissent le champ et les mesures de référence de la protection responsable des systèmes d’information critiques.
On peut ensuite mentionner le règlement européen sur la cybersécurité (8), voté en mars 2019 par le Parlement européen, qui vient, d’une part, donner mandat permanent et compétences à l’ENISA, l’Agence européenne chargée de la sécurité des RSI (9), d’autre part, établir une cadre pour la mise en place d’un « système européen de certification de cybersécurité » pour les processus, produits et services des technologies de l’information et de la communication (TIC). Ce dispositif, qui pourrait devenir un ressort essentiel du « marché unique numérique », devra s’articuler avec
les compétences de souveraineté et les intérêts normatifs et industriels fondamentaux des Etats membres avancés dans ce domaine, dont la France avec l’ANSSI. Les deux chambres du Parlement français avaient émis fin 2017 alerte et réserve sur ce point.
Le dispositif prévoit que la Commission européenne proposera la liste prioritaire des processus, produits et services TIC susceptibles d’être soumis à ce système de certification et que la certification, structurée en trois « niveaux d’assurance » (élémentaire, substantiel et élevé) procédera par démarche volontaire des acteurs intéressés.

Référentiels et socle de conformité
L’ANSSI a présenté en 2018 sa méthode EBIOS Risk Manager de référence pour l’analyse des risques de sécurité numérique et l’élaboration d’un « socle de sécurité solide appliquant les référentiels pertinents vis-à-vis de l’état de l’art (10) et de la réglementation », en vue notamment d’un label de conformité pour les éditeurs de solutions logicielles de gestion des risques et de la conformité. Le « régulateur de
la sécurité numérique » s’est également intéressé spécifiquement à la sécurité des données personnelles, en faisant évoluer son référentiel SecNumCloud pour intégrer les exigences du règlement général sur la protection des données (RGPD) et en publiant pour la matière des recommandations (« commandements de base »,
« précautions élémentaires ») tirées et adaptées de son guide d’hygiène informatique. Ce référentiel SecNumCloud concerne les prestations de services d’informatique en nuage (PSIN). Il fait partie des référentiels d’exigences et de labellisation développés par l’ANSSI pour qualifier les « prestataires de services de confiance » (PSC) (11).

Incidents, risques et manquements
La Cnil a elle-même publié en 2018 un guide de sécurité des données personnelles (12), consolidant et développant ses recommandations antérieures. Elle souligne dans son rapport pour 2018 que les « mesures de précautions élémentaires » rappelées dans les recommandations de son guide et de celui de l’ANSSI permettent de prévenir ou de limiter l’impact de nombreuses violations de données personnelles et « doivent aujourd’hui être le socle minimum sur lequel toute organisation fait reposer son système d’information ». D’autant que le RGPD, entré en vigueur en mai 2018, « impose à tous les organismes qui traitent des données personnelles de mettre en place des mesures pour prévenir les violations de ces données » et de pouvoir « apporter la preuve de
leur conformité ». En effet, le RGPD place la « garantie de sécurité appropriée » des données personnelles parmi les « principes » de conformité et de responsabilité du traitement des données personnelles, avec la responsabilité de « mettre en oeuvre des mesures techniques et organisationnelles appropriées pour assurer et être en mesure de démontrer que le traitement est effectué conformément au règlement » (13). La mise en oeuvre du « socle de sécurité » recommandé aura ainsi vocation à constituer la preuve de la conformité à l’obligation de garantie de sécurité appropriée des données personnelles traitées, obligation de moyen renforcée et de moyens effectifs à l’état de l’art, en particulier dans le cadre de la notification obligatoire d’une violation de données susceptible de révéler non seulement un défaut de sécurité causal mais une politique de sécurité défaillante.
L’ANSSI rapporte la survenance en 2018 de 1.869 signalements d’événements de sécurité, dont 391 incidents (hors OIV) et 16 incidents majeurs, contre respectivement 2.435, 794 et 20 en 2017. Elle rappelle l’étendue et l’intensité constantes des menaces et des risques de cybersécurité (sabotage, déstabilisation, espionnage, captations, fraudes, etc.), en soulignant que l’espionnage est le risque qui pèse le plus fortement sur les organisations, à travers notamment des attaques indirectes exploitant des relations de confiance établies entre parties prenantes. Le rapport publié en mai 2018 par la Délégation interministérielle aux industries de sécurité et à la lutte contre les cybermenaces (DMISC) sur l’état de la menace numérique en 2018 présente un tableau instructif des attaques, des fraudes et des dommages enregistrés avec le développement notamment du « crimeas- a-service » (CaaS) et souligne le risque majeur des objets connectés, à la fois cibles et vecteurs d’attaques, dont la sécurité n’est souvent pas la préoccupation principale de leurs fabricants. Il note par ailleurs que si la grande majorité des entreprises françaises sont touchées par des cyberattaques et que la France est le deuxième pays au monde le plus affecté par les vols de données personnelles, « la sécurité représente moins de 5 % du budget IT dans près de deux tiers des entreprises ». La Délégation parlementaire au renseignement a pu constater dans son rapport publié en avril 2018 que le tissu économique français « pâtit encore d’une culture de sécurité, notamment informatique, très largement déficitaire ». Pour sa part, la CNIL mentionne la poursuite en 2018 de nombreux signalements de violations de données personnelles issues de failles de sécurité et la réception entre fin mai 2018 (entrée en vigueur du RGPD) et fin décembre 2018 de 1.170 notifications de violations à la suite principalement d’atteintes à la confidentialité. De son analyse de ces notifications, elle a constaté tout d’abord que plus de 50 % des violations avaient pour cause un acte externe malveillant (principalement par piratage cyber et secondairement par vol physique) et environ 17 % un acte interne accidentel (principalement par adressage à un mauvais destinataire et secondairement par publication non volontaire). Ensuite, que ces violations mettaient « en évidence des faiblesses des systèmes d’information ou des processus mis en oeuvre au sein des entreprises ».
Tout comme en 2017, la majorité des sanctions (7 sur 10) et les montants les plus élevés de sanctions pécuniaires prononcés par la Cnil en 2018 l’ont été pour des manquements à la sécurité et à la confidentialité des données des utilisateurs ou des clients (14). Ces montants restent néanmoins limités au regard de la gravité des manquements des atteintes constatées.

Sanctions des carences ou insuffisances
La Cnil souligne que ce ne sont pas les incidents de sécurité en tant que tels qu’elle
a sanctionnés, mais les carences ou les insuffisances manifestes dans les mesures prises pour assurer la sécurité, causales dans les violations constatées y compris dans les cas d’intrusions élaborées. Les motifs de manquement et les montants de sanctions pourraient se développer fortement sur la base du RGPD, et avec une meilleure répartition entre les différentes parties prenantes à la sécurité des traitements. Il sera également instructif de suivre le traitement par la DGCCRF du signalement que lui
a adressé la Cnil en novembre 2017, dans l’affaire de la sécurisation des jouets connectés (15), au regard des « enjeux de sécurité et de conformité qui persistent
en dehors du champ d’application de la loi “Informatique et Liberté” ». @

Responsabilité et données : le « Je t’aime moi non plus » des éditeurs en ligne vis-à-vis de Facebook

La pluralité de responsables dans le traitement des données personnelles n’implique pas forcément une responsabilité conjointe. C’est le raisonnement que devrait avoir la Cour de justice européenne dans l’affaire « Fashion ID ».
Or, son avocat général n’en prend pas le chemin. Erreur !

Par Etienne Drouard et Joséphine Beaufour, avocats associés, cabinet K&L Gates

L’éditeur d’un service en ligne – site web et/ou application mobile – peut-il être coresponsable de la collecte, par Facebook, des données personnelles des visiteurs de son service en raison de l’intégration d’un bouton « J’aime » de Facebook au sein de son service ? Selon l’avocat général de la Cour de justice de l’Union européenne (CJUE), lequel a présenté le 19 décembre 2018 ses conclusions dans l’affaire « Fashion ID » (1), la réponse devrait être « oui ».

Communauté d’intérêt et responsabilité
Cet avocat général (2) cherche à construire, en matière de protection des données personnelles comme en matière de propriété intellectuelle, un régime de responsabilité liée à l’insertion d’un lien hypertexte vers les services d’un tiers. En matière de propriété intellectuelle, il aura fallu 14 années de controverses avant de juger au niveau européen qu’un lien hypertexte peut être un acte de représentation d’une oeuvre nécessitant, pour celui qui intègre un lien au sein de son service, de recueillir l’autorisation du titulaire des droits attachés à l’oeuvre accessible via ce lien (3). En matière de protection des données personnelles, cette fois, quelle est la responsabilité pour l’éditeur d’un service en ligne résultant de l’insertion d’un lien hypertexte d’un tiers – en l’occurrence le bouton « J’aime » de Facebook – sur son site web, permettant à ce tiers de collecter des données personnelles des visiteurs du site web concerné ? Comme en matière de propriété intellectuelle, l’avocat général de la CJUE se demande si le critère décisif pour déclencher une telle responsabilité ne serait pas celui d’une communauté d’intérêts entre celui qui intègre le lien sur son site web et celui qui a conçu seul les fonctionnalités que ce lien déclenche. Dans cette affaire « Fashion ID » – du nom de la société allemande de vente en ligne de prêt-à-porter – il est établi que l’adresse IP et l’identifiant du logiciel de navigation du visiteur du site web de Fashion ID sont transmis à Facebook du fait de l’intégration d’un bouton « J’aime » sur ce site, même si le visiteur ne clique pas sur ce bouton « J’aime », et même s’il ne dispose pas d’un compte Facebook. La « Verbraucherzentrale NRW eV », une association allemande de protection des consommateurs a introduit une action en cessation à l’encontre de Fashion ID au motif que l’utilisation du bouton « J’aime » de Facebook sur ce site web était contraire aux lois allemandes sur la protection des données personnelles, lois transposant la directive européenne «Protection des données personnelles » de 1995. Puisque cette action ayant été introduite avant l’entrée en vigueur du RGPD (4), la CJUE rendra donc sa décision en application de cette directive de 1995 et des lois de transposition allemandes (5). L’association reproche ainsi à Fashion ID de n’avoir fourni aucune information à ses visiteurs sur l’existence d’une telle collecte par Facebook. Le régime de responsabilité entre Facebook et Fashion ID reste en suspens : est-elle conjointe, solidaire, ou distincte ? Pour obtenir une réponse fiable, l’association allemande a saisi la CJUE d’une question préjudicielle afin de savoir si Fashion ID peut être considéré comme « responsable du traitement » au sens de la directive de 1995, alors même qu’elle ne peut avoir elle-même aucune influence sur ce processus de traitement des données par Facebook ?
L’avocat général de la CJUE fait référence, dans ses conclusions, à l’arrêt
« Unabhängiges » (6) du 5 juin 2018 dont l’affaire serait similaire à celle de Fashion ID, au motif que : l’éditeur de site web intègre dans son site une fonctionnalité développée et mise à disposition par Facebook, permettant ainsi la collecte de données personnelles par Facebook, résultant de l’enregistrement par Facebook de cookies
sur les terminaux des visiteurs de sa page web. L’occasion de faire cette analogie ayant été trop belle, il en a conclu que le gestionnaire d’un site web qui y intègre un lien hypertexte installant le « plugiciel » (ou plugin en anglais) d’un tiers – en l’espèce,
le bouton « J’aime » de Facebook – permettant la collecte par ce tiers de données personnelles, devrait être considéré comme un « coresponsable » de cette collecte avec ledit tiers ayant conçu ce plugiciel.

« Unité de finalités et de moyens » : vague
Inventer des similitudes peut parfois tourner à la conversation de comptoir. L’avocat général a cherché à découvrir, coûte que coûte, « une identité de finalités et de
moyens » dans l’opération de collecte et de transfert des données personnelles pour que Facebook et Fashion ID soient jugés coresponsables. Selon lui, la détermination commune des moyens serait caractérisée par la décision prise par Fashion ID d’utiliser le plugiciel fourni par Facebook, outil permettant la collecte et la transmission des données personnelles à Facebook. Ainsi, tant Facebook que Fashion ID « paraissent donc avoir délibérément été à l’origine de la phase de collecte et de transmission du processus de traitement des données ».

Des conclusions dénuées de tout fondement
Par ailleurs, l’avocat général, a estimé que la finalité pour laquelle Fashion ID a intégré le bouton « J’aime » sur son site web serait d’améliorer la visibilité de ses produits par le biais du réseau social. S’il admet que cette finalité ne correspond pas à celle poursuivie par Facebook (à savoir le profilage des visiteurs à des fins de publicités ciblées), il affirme cependant que les deux parties « paraissent globalement poursuivre la même finalité d’une manière qui semble mutuellement assez complémentaire ». Le critère retenu ici ne serait donc pas l’identité de la finalité poursuivie, mais « une unité de la finalité : commerciale et publicitaire », critère beaucoup plus large, vague et sujet à interprétation que le premier. La conclusion à laquelle parvient l’avocat général est dénuée de tout fondement juridique connu ou prévu par les textes en vigueur hier ou aujourd’hui. D’une part, ni la directive de 1995, ni le RGPD, ni la CJUE jusqu’à présent, ne se fondent sur une « identité de finalités » ou encore une « unité de finalités », mais bien sur la détermination commune de finalités par les deux responsables de traitement, c’est-à-dire une (ou plusieurs) finalité(s) déterminée(s) d’un commun accord.
D’autre part, la détermination conjointe de moyens ne fonde pas la décision prise par un éditeur de site web d’intégrer un plugiciel d’un tiers sur sa page web. Il serait, au contraire, grand temps d’admettre qu’un seul et même moyen de traitement de données, peut servir des finalités et des intérêts différents, voire divergents, déclenchant des responsabilités distinctes pour des traitements de données qui peuvent être étrangers l’un de l’autre ou propres à un acteur, et échappant à la connaissance, au contrôle ou au bénéfice d’un autre acteur. C’est au prix de cette distinction des intérêts et des finalités, qu’on peut réguler l’économie numérique en évitant de confondre David et Goliath et de rendre un éditeur européen de services coresponsable de l’activité d’un vendeur américain de profils publicitaires. Fashion ID
et Facebook ne sont pas coresponsables de traitement ; Fashion ID n’a pas déterminé conjointement avec Facebook les finalités et les moyens qu’aura Facebook de traiter des données. La pluralité de responsables de traitement n’implique pas forcément une responsabilité conjointe. Autrement dit, quand on est plusieurs, on ne forme pas qu’un. Selon la directive de 1995, un responsable de traitement est « la personne physique ou morale qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel » (7). Cette définition a été reprise à l’identique dans le RGPD (8) : elle admet qu’il peut y avoir plusieurs coresponsables décidant conjointement de la finalité du traitement et des moyens à mettre en oeuvre pour la réaliser (9). S’il peut exister différents niveaux de responsabilité conjointe, pour tout ou partie d’un traitement de données, la question posée désormais à la CJUE est celle avant tout de savoir comment caractériser une telle responsabilité conjointe et non de la décréter par paresse lorsqu’on se trouve en présence de plusieurs acteurs autour d’un même moyen de traitement de données. Tant la directive de 1995 que le RGPD
de 2018 posent un critère repris par la CJUE, celui de la « détermination conjointe des finalités et des moyens » du traitement opéré par les personnes physiques ou morales. Or, l’avocat général ne reprend pas ce critère d’appréciation puisque, selon lui, pour qu’il y ait responsabilité conjointe, il est nécessaire que les deux opérateurs poursuivent une unité de finalité et non pas qu’ils déterminent conjointement la finalité de traitement. Or les finalités poursuivies par Fashion ID et par Facebook sont divergentes.
Il est faux d’affirmer en l’espèce que les deux parties auraient déterminé de façon commune la finalité de l’opération de traitement consistant en la collecte des données personnelles des visiteurs du site web de Fashion ID. En effet, Facebook n’est convenu de rien avec personne lorsqu’il a conçu son plugiciel lui permettant à lui – et à lui seul – de collecter les données de personnes visitant un site web tiers. Facebook n’a pas davantage discuté avec quiconque de sa stratégie « data », consistant à collecter et traiter des données à des fins de profilage et de ciblage publicitaire, y compris lorsque les personnes concernées ne se sont jamais inscrites sur Facebook. Fashion ID a simplement décidé, a posteriori, d’intégrer ce plugiciel dans sa page web afin de bénéficier de la diffusion qu’un bouton « J’aime » lui procure au sein des membres
de la communauté Facebook d’un de ses visiteurs, si ce dernier a un compte Facebook et s’il clique « J’aime ». La société Fashion ID n’a en aucun cas déterminé les moyens essentiels à la collecte par Facebook des données car elle n’a pas participé à la conception du plugiciel, de ses fonctionnalités, de ses finalités et de leur participation
à la stratégie « data » de Facebook.

Ce qu’en disent les « Cnil » européennes
Ainsi, Fashion ID et Facebook ne peuvent être qualifiés de responsables conjoints d’un tel traitement, non pas parce que ce serait une erreur d’appréciation discutable, mais parce que les régulateurs européens et le RGPD disent le contraire. Comme l’a relevé le G29 des « Cnil » européennes, « la coopération dans le traitement ne signifie pas qu’il y a forcément coresponsabilité. En effet, un échange de données entre deux parties, sans partage des finalités ou des moyens dans un ensemble d’opération, doit être considéré uniquement comme un transfert de données entre des responsables distincts » (10). Il faudra être encore un peu patient avant d’avoir la position finale de
la CJUE, en espérant, d’ici là, que celle-ci ne se trompera pas de question ni de raisonnement. @

Facebook (15 ans d’âge et moult scandales) : Mark Zuckerberg est responsable mais… pas coupable

Mark Zuckerberg, qui détient la majorité des droits de vote de Facebook alors qu’il en est actionnaire minoritaire, concentre tous les pouvoirs en tant que président du conseil d’administration. A bientôt 35 ans, le philanthrope milliardaire est intouchable malgré les scandales à répétition impactant le premier réseau social du monde.

Bernard Arnault, quatrième plus riche du monde, pourrait se voir détrôner en 2019 par Mark Zuckerberg (photo), qui le talonne
à la cinquième place des plus grandes fortunes de la planète. Comment un jeune Américain, qui va tout juste sur ses 35 ans (le 14 mai) pourrait-il faire subir un tel affront à un vénérable Français, deux fois plus âgé que lui et à l’aube de ses 70 ans
(le 5 mars) ? La richesse du geek, PDG de Facebook, a grimpée plus vite en un an que celle du patriarche, PDG de LVMH, pour atteindre au 8 février respectivement 65,5 et 76,3 milliards de dollars, selon le « Billionaires Index » de l’agence Bloomberg.
La fortune de Mark Zuckerberg a augmenté sur un an plus vite (+ 13,5 milliards
de dollars) que celle de Bernard Arnault (+ 7,7 milliards à la même date). Pour un trentenaire qui perçoit seulement un salaire annuel de… 1 dollar, depuis 2013 et conformément à sa volonté, contre 500.000 dollars auparavant, et sans recevoir non plus depuis de primes ou d’actions, c’est une performance ! Ses revenus proviennent en fait de ses actions qu’il détient en tant qu’actionnaire minoritaire de Facebook.
Mais les 17 % que le fondateur détient encore la firme de Menlo Park (Californie),
cotée en Bourse depuis mai 2012, ne reflètent pas vraiment son pouvoir de contrôle puisqu’il possède 60 % des droits de vote.

« Zuck » vend des actions Facebook jusqu’en mars 2019
Zuck – comme le surnomment ses proches collaborateurs – contrôle en effet Facebook grâce à une structure capitalistique très particulière composée de deux types d’actions : celles de « classe A » cotées en Bourse, mais surtout les « classe B » non cotées et à droits de votes préférentiels, ces dernières lui permettant de détenir plus de la majorité des droits de vote – bien que détenteur minoritaire du capital. Autant dire que le jeune multimilliardaire est, en tant qu’actionnaire de référence de Facebook, le seul maître à bord et ne peut être évincé sans son accord par le conseil d’administration qu’il préside!
« [Mark Zuckerberg] est en mesure d’exercer son droit de vote à la majorité du pouvoir de vote de notre capital et, par conséquent, a la capacité de contrôler l’issue des questions soumises à l’approbation de nos actionnaires, y compris l’élection des administrateurs et toute fusion, consolidation ou vente de la totalité ou de presque la totalité de nos actifs », souligne le groupe Facebook qui justifie cette concentration des pouvoirs sur un seul homme. A savoir : empêcher toute manœuvre capitalistique ou stratégique qui n’ait pas l’aval du PDG fondateur.

Entre potentat et philanthrope !
En septembre 2017, ce dernier avait bien tenté de créer une nouvelle catégorie d’actions – cette fois des « classe C », destinées à être cotées en Bourse – qui lui auraient permis de « prolonger » son contrôle sur son groupe par la majorité des droits de vote. Mark Zuckerberg avait défendu ce projet d’évolution de structure du capital pour pouvoir financer ses initiatives philanthropiques tout en gardant le contrôle des droits de vote et en ayant le dernier mot. Mais face à la levée de bouclier de certains actionnaires, il avait renoncé aux « classe C », tout en affirmant pourvoir quand même financer ses projets altruistes « pour encore au moins 20 ans ». Avec son épouse Priscilla Chan, le jeune PDG a alors prévu de « vendre 35 millions à 75 millions d’actions de Facebook dans les dix-huit mois [à partir de l’annonce faite en septembre 2017 et donc jusqu’à mars 2019, ndlr] dans le but de financer des initiatives philantropiques de [luimême] et de sa femme, Priscilla Chan, dans l’éducation, la science et la défense [de causes] ». Le couple a indiqué en décembre 2015 vouloir donner de leur vivant jusqu’à 99 % de leurs actions Facebook (2) à leur fondation,
la Chan Zuckerberg Initiative. « Mr. Zuckerberg nous a informé que durant cette période il avait l’intention de continuer à vendre de temps en temps des actions Facebook, principalement pour continuer à financer ses projets philantropiques », indique encore le rapport annuel 2018 publié le 31 janvier dernier.
Le philanthrope-milliardaire, hypermédiatisé, reste intouchable et concentre ainsi d’immenses pouvoirs entre ses mains. Et ce, malgré l’annus horribilis que fut pour
lui 2018 égrenée par des scandales à répétition provoqués successivement par : l’ingérence russe via le premier réseau social mondial dans l’élection présidentielle américaine de 2016 ; les fake news d’activistes ou de gouvernements propagées sur la plateforme ; l’exploitation illégale des données personnelles de 100 millions utilisateurs à des fins politiques par la société Cambridge Analytica (re-née de ses cendres en Emerdata) ; le piratage en ligne de millions de comptes permis par une faille de sécurité ; le recours de Facebook à une entreprise de relations publiques, Definers Public Affairs, pour discréditer ses adversaires, concurrents et critiques. Tout récemment encore, le 30 janvier, Facebook a été accusé d’avoir collecté les données personnelles sur smartphone auprès de « volontaires », notamment d’adolescents qui étaient rétribués 20 dollars par mois (3). L’intouchable dirigeant, accusé de légèreté face
à toutes ces affaires compromettantes (4), n’a pas jugé bon de démissionner, alors
que sa responsabilité est largement engagée et malgré les appels à son départ lancés par des investisseurs américains dès le printemps 2018. Au magazine The Atlantic,
le 9 avril (5), il déclarait ne pas avoir l’intention de démissionner. Plus récemment, sur
CNN Business le 20 novembre (6), il affirmait droit dans les yeux de son intervieweuse : « C’est pas prévu », tout en défendant au passage son bras droit et directrice des opérations du réseau social, Sheryl Sandberg, elle aussi mise en cause dans la mauvaise gestion des graves crises et controverses aux répercutions mondiales. Sous la pression, la firme de Menlo Park a dû quand même procéder en mai 2018 au plus vaste remaniement de son top-management depuis sa création (7). Même comme
« panier percé », Facebook affiche fièrement sur le seul réseau social historique ses 2,3 milliards d’utilisateurs mensuels (1,5 milliard quotidiens), dont 381 millions en Europe.
Cette audience captive lui a permis de dégager sur l’année 2018 un bénéfice net de 22,1 milliards de dollars, en hausse insolente de 39 %, pour un chiffre d’affaire de
55,8 milliards de dollars, faisant également un bond de 37 %. Quant au trésor de guerre, à savoir le cash disponible, il culmine à 41,1 milliards de dollars.
Si l’on additionne Facebook, Instagram, WhatsApp et Messenger, « il y a maintenant 2,7 milliards de personnes chaque mois, dont plus de 2 milliards chaque jour, qui utilisent au moins l’un de nos services », s’est félicité Mark Zuckerberg lors de la conference téléphonique du 30 janvier dédiée à la presentation des résultats annuels. Une vraie « success story » malgré le départ de jeunes attirés par SnapChat ou TikTok (8). Depuis l’action grimpe (de 144 à 166 dollars) et la valorisation boursière de Facebook Inc atteint près de 500 milliards de dollars.

Intégration Facebook, WhatsApp et Instagram ?
Mais Zuck n’en a pas fini avec les enquêtes. Sept Etats américains (9) soupçonnent Facebook de violation sur la protection des données. La Federal Trade Commission (FTC) aussi. Le Congrès américain, devant lequel le PDG en cause s’est excusé au printemps dernier pour l’affaire « Cambridge Analytica », pourrait légiférer. En Europe, l’Irlande – via sa « Cnil », la DPC (10) – mène l’enquête sur son respect du RGPD (lire p. 6) et s’inquiète surtout du projet d’intégration de Facebook, WhatsApp et Instagram (11). L’Allemagne, elle, a décidé le 7 février d’empêcher Facebook d’exploiter les données entre ses services. @

Charles de Laubier

Données personnelles, RGPD et fichiers pénaux : l’ensemble de loi de 1978 est à réécrire

Quarante ans après sa version initiale, la loi « Informatique et Libertés » de 1978 va subir un lifting historique pour transposer le « Paquet européen » sur la protection des données qui entre en vigueur le 25 mai 2018. Mais il y a un risque d’insécurité juridique et un manque de lisibilité.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

Le projet de loi sur la protection des données personnelles (1) vise à permettre l’application du « paquet européen de protection des données » composé, d’une part, du règlement européen pour la protection des données (RGPD) et d’autre part, de la directive applicable aux fichiers de la sphère pénale, tous deux applicables à compter de mai 2018. En faisant l’analyse du projet de loi, on relève des différences significatives de terminologie entre les deux textes.

Pouvoirs de la Cnil et marges des Etats
Ces différences se retrouvent dans plusieurs articles de la loi
« Informatique et Libertés » du 6 janvier 1978 pourraient donner lieu à des interprétations et des difficultés de compréhension de certaines notions, qui seront sources d’insécurité juridique. A cela s’ajoutent les critiques de la Commission nationale de l’informatique et des libertés (Cnil) et du Conseil d’Etat qui pointent le « manque de lisibilité » du texte (voir encadré page suivante). Le titre Ier du projet de loi, qui traite des dispositions communes au RGPD et à la directive européenne « Fichiers pénaux », définit les missions, les pouvoirs et les modalités de contrôle de la Cnil. On peut ainsi relever que l’Autorité de contrôle pourra « présenter des observations devant toute juridiction à l’occasion d’un litige relatif à l’application du règlement et de la loi du 6 janvier 1978 ».
Cette disposition interroge dans la mesure où seul le juge est le garant de l’interprétation du droit applicable aux données à caractère personnel.
La Cnil ne peut se voir ouvrir ce droit. Par ailleurs, à quel titre la Cnil interviendrait-elle dans le cadre d’une procédure civile ou d’une procédure pénale ? Les débats parlementaires auraient dû apporter des réponses sur ce point. Le projet de loi ouvre également la possibilité pour la Cnil de prononcer des sanctions dans un ordre de gradation plus pédagogique et mieux compréhensible par les responsables de traitement des données. Elle pourra, en outre, labelliser les objets connectés. Enfin, le titre Ier du projet de loi reprend le principe de l’interdiction de traitement de données dites
« sensibles » sauf en cas de traitement nécessaires à la recherche publique après autorisation de la Cnil et élargit le champ de ces données : interdiction de traiter des données génétiques, biométriques aux fins d’identifier une personne physique de manière unique, données concernant l’orientation sexuelle d’une personne.
S’agissant du titre II du projet de loi « RGPD », on relève que, en cas de divergences de législations entre Etats membres de l’Union européenne (UE) liées aux marges de manœuvre laissées à ces derniers sur plusieurs points, la loi nationale s’applique dès lors que la personne réside en France, y compris lorsque le responsable de traitement n’est pas établi en France. Faisant application de ces marges de manœuvres, le projet de loi limite la portée des obligations et des droits des personnes concernées (droit à l’information droit d’accès, droit de rectification, droit à l’effacement, droit à la portabilité, droit d’opposition, etc.), lorsqu’une telle limitation respecte l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir certains objectifs (sécurité nationale, défense nationale, sécurité publique, prévention et la détection d’infractions pénales, protection de l’indépendance de la justice et des procédures judiciaires, objectifs importants d’intérêt public général de l’UE ou d’un Etat membre,…). Le projet de loi prévoit également, afin de renforcer l’obligation de sécurité, que les responsables de traitement seront tenus par une obligation de chiffrement de bout en bout où seules les personnes autorisées à accéder aux données auront la clef de déchiffrement.

Traitements « pénaux » : conditions strictes
Et ce, alors que par ailleurs le Conseil constitutionnel a rendu le 30 mars 2018 une décision où les Sages jugent conforme à la Constitution française l’article 434-15-2 du code pénal qui punit de trois ans de prison et de 270.000 euros d’amende « le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ». En sus, le projet de loi renforce la protection des données de santé afin qu’elles ne puissent être utilisées pour fixer les prix des assurances ou à des fins de choix thérapeutiques et médicaux et la sélection des risques.
Quant au titre III du projet de loi « RGPD », il concerne plus spécifiquement les dispositions portant transposition de la directive « Fichiers pénaux ». On retiendra dans ce cadre que l’ensemble des règles applicables aux traitements de données à caractère personnel en matière pénale – prévues par cette directive européenne – sont regroupées aux articles 70-1 à 70-27 (nouveaux) de la loi « Informatique et Libertés » du 6 janvier 1978. Le projet de loi français prévoit que le traitement des données sensibles à des fins pénales n’est possible que s’il répond à des conditions strictement définies : la nécessité absolue d’un traitement de données, l’existence de garanties appropriées pour les droits et libertés de la personne concernée, l’autorisation du traitement par un acte législatif ou réglementaire, la protection des intérêts vitaux d’une personne physique. De plus, le traitement des données sensibles à des fins pénales doit porter sur des données manifestement rendues publiques par la personne concernée (2).

Exactitude des données et profilage interdit
En outre, le projet de loi « RGPD » prévoit que les données à caractère personnel figurant dans les traitements en matière pénale mis en oeuvre par les autorités compétentes devront, « dans la mesure du possible », distinguer celles qui sont fondées sur des faits de celles qui reposent sur des appréciations personnelles – principe de l’exactitude des données (3). Les interdictions relatives aux décisions individuelles automatisées (4) sont applicables aux traitements de données personnelles en matière pénale – interdiction du profilage, par exemple (5). Il convient également de relever que le gouvernement a retenu des restrictions aux droits des personnes dans le cadre de ces traitements particuliers. Ces restrictions s’appliquent notamment pour éviter de gêner les enquêtes ou procédures judiciaires ou nuire à la prévention ou à la détection d’infractions pénales et à l’exécution de sanctions pénales ; protéger la sécurité publique ou la sécurité nationale ; ou encore garantir les droits et libertés d’autrui (6). Ces restrictions pourront consister à retarder ou limiter la fourniture des informations supplémentaires susceptibles d’être transmises à la personne concernée ou de ne pas les fournir, à limiter en totalité ou en partie le droit d’accès (le responsable du traitement devra consigner les motifs de fait ou de droit fondant da décision et les mettre à disposition de la Cnil) ou à ne pas informer la personne concernée de son refus de rectifier ou d’effacer les données la concernant ou le limiter le traitement. La personne concernée par ces traitements devrait toujours avoir la possibilité d’exercer ses droits par l’intermédiaire de la Cnil. C’est à cette dernière qu’il reviendra d’informer la personne concernée de son droit d’exercer un recours (7).
On notera que l’article 20 du projet de loi est une demande d’habilitation du gouvernement à légiférer par voie d’ordonnance, afin de procéder à une réécriture de l’ensemble de la loi du 6 janvier 1978, en vue notamment de mettre en cohérence l’ensemble de la législation applicable à la protection des données à caractère personnel. Cette ordonnance devra être adoptée dans un délai de six mois suivant la promulgation de la loi relative à la protection des données personnelles. Ce texte arrive péniblement et non sans mal en fin de processus législatif, le Sénat et l’Assemblée nationale n’étant pas parvenus à un accord – la commission mixte paritaire a échoué à trouver un consensus (8). Les sénateurs ont maintenu leur projet de loi qu’ils ont voté le 19 avril dernier à l’unanimité. Mais les députés auront le dernier mot le 14 mai prochain. @

Ancien bâtonnier du Barreau de Paris, et auteure de « Cyberdroit »,
dont la 7e édition (2018-2019) est parue aux éditions Dalloz.

ZOOM

Ce qu’en disent la Cnil et le Conseil d’Etat : « Manque de lisibilité »
Si le texte constitue « un progrès majeur pour la protection des données personnelles des citoyens et la sécurité juridique des acteurs économiques », il soulève plusieurs critiques de la part de la Commission national de l’informatique et des libertés (Cnil), qui, dans son avis du 30 novembre 2017 (9), regrette que certaines « propositions n’aient pas été retenues, tendant notamment à l’ajout de garanties supplémentaires lors de l’utilisation de traitements algorithmiques débouchant sur l’adoption de décisions administratives » ou encore « à l’adaptation de ses procédures pour lui permettre de faire face à l’augmentation d’activité liée au nouveau cadre européen ».
Plus généralement, l’Autorité de contrôle déplore « le risque important de manque de lisibilité » des nouvelles dispositions du fait, notamment, du choix du projet de loi, consistant à n’opérer que les modifications « a minima » nécessaires à la mise en oeuvre du règlement et de la directive européens, et à renvoyer la réécriture d’ensemble de la loi du 6 janvier 1978 à une ordonnance ultérieure. La Cnil appelle dès lors à l’adoption la plus rapide possible de cette ordonnance. Quant au Conseil d’Etat, dans son avis du 7 décembre 2017 (10), i l n’apporte pas de nouveaux éléments par rapport à l’avis de la Cnil. La Haute juridiction souligne cependant que les choix légistiques aboutissent à « un résultat très insatisfaisant en termes de lisibilité du droit positif ». @

Pourquoi Mark Zuckerberg aurait dû démissionner

En fait. Le 8 mai, Facebook a confirmé avoir procédé au plus vaste remaniement de son top-management depuis ses 14 ans d’existence – information révélée
par Recode.net. Mais son fondateur Mark Zuckerberg reste en place malgré le scandale historique de la fuite des données de millions d’utilisateurs.

En clair. Le fondateur de Facebook, groupe aujourd’hui constitué de Facebook, WhatsApp, Instagram ou encore Messenger, reste intouchable et tout-puissant. Le jeune dirigeant, qui aura 34 ans le 14 mai prochain, n’a pas à s’inquiéter pour son poste de PDG malgré le scandale planétaire de l’affaire historique « Cambridge Analytica », du nom de la société britannique qui a fait main basse sur les données de près de 100 millions d’utilisateurs du premier réseau social mondial. Alors qu’il est directement mis en cause et jugé responsable en tant que dirigeant, Mark Zuckerberg n’a pas voulu démission ni endosser la responsabilité de cette faillite dans la protection des données d’une grande partie des 2,2 milliards d’utilisateurs.
Plus jeune multimilliardaire de la planète – avec un patrimoine personnel de 70,7 milliards de dollars en 2018, selon Forbes –, le patron hyermédiatique a en outre été accusé de légèreté. En avril, des investisseurs américains tels que Open Mic ou le fonds de retraite de la ville de New York lui ont demandé de démissionner. D’autres voix se sont prononcées pour qu’il parte. D’autant que l’action Facebook a chuté de 15 % – soit quelque 100 milliards de volatilisés ! – depuis le début de cette affaire, laquelle laissera des traces et aura des suites. Cette déroute intervient après que le réseau social ait été accusé d’avoir été manipulé par la Russie pour l’élection de Trump et d’être un média social de fake news. Mais celui qui est aussi l’actionnaire de référence du groupe (1), entré en Bourse il y aura six ans le 18 mai prochain, et président du conseil d’administration (lequel n’a pas jugé bon de le destituer), a clairement dit dès
le début du scandale – notamment dans une interview au mensuel culturel américain The Atlantic (2) – qu’il n’avait pas l’intention remettre sa démission.
Pas plus que son bras droit, la DG du réseau social Sheryl Sandberg qui reste en place dans cette nouvelle organisation, n’a envisagé de partir de son propre chef : « Je suis à la disposition de Mark et de notre conseil d’administration », avait-t-elle pourtant dit le 6 avril dernier. « Zuck », lui, s’en tire à bon compte, du moins pour l’instant, après s’être contenté de présenter ses excuses devant le Congrès des Etats-Unis. Cela sera-t-il suffisant devant la Commission européenne, plus sourcilleuse sur la protection des données personnelles ? @