Archives par mot-clé : Vie privée

Objets connectés, vie privée et données personnelles : une équation difficile pour protéger l’utilisateur

Publié le par

Malgré un vaste arsenal juridique limitant les impacts négatifs des objets connectés, les risques d’intrusions demeurent pour les utilisateurs de ces appareils – du compteur électrique à la montre connectée, en passant par la
« mesure de soi ». Recueillir leur consentement est un préalable.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

Selon une étude menée par Gartner, 20 milliards d’objets connectés seraient en circulation en 2020 (1). Qu’il s’agisse du domaine de la santé, du bien-être, du sport, de la domotique ou encore du loisir, l’attrait des utilisateurs pour les objets connectés est caractérisé. Paradoxalement, bien qu’avertis, ces derniers ne mesurent pas toujours les risques qui pèsent sur leur vie privée et leurs données personnelles. Ces deux notions – vie privée et données personnelles – ne sont pas synonymes, bien qu’intrinsèquement liées (2).

Les exemples de Linky et de Gazpar
La donnée personnelle se définit comme « toute information se rapportant à une personne physique identifiée ou identifiable » (3). A l’inverse, la vie privée ne trouve pas de définition légale bien que le Code civil consacre un droit au respect de la vie privée (4). Les apports de la jurisprudence permettent aujourd’hui de définir la notion de vie privée comme « le droit pour une personne d’être libre de mener sa propre existence avec le minimum d’ingérences extérieures » (5). Ainsi, si un objet connecté peut porter atteinte aux données personnelles d’un utilisateur (collecte illicite des données personnelles, failles de sécurité permettant aux tiers d’accéder aux données, etc.), il peut également dans une plus large mesure porter atteinte à sa vie privée (captation d’images ou de voix, intrusion dans l’intimité, etc.). L’ubiquité et l’omniprésence des objets connectés dans la vie des utilisateurs conduisent à une collecte permanente et instantanée des données. Par ce biais, de nombreuses informations relatives à la vie privée des utilisateurs deviennent identifiables. D’ailleurs, la divulgation massive de données relatives à la vie privée lors de l’utilisation d’un objet connecté est souvent
une condition sine qua non à l’existence du service proposé par le fabricant. A titre d’exemple, la nouvelle génération de compteurs d’électricité et de gaz, tels que respectivement Linky et Gazpar qui ont fait l’objet d’une communication (6) (*) (**) de la Cnil en novembre 2017, peut collecter des données de consommation énergétique journalières d’un foyer. Si l’utilisateur y consent, des données de consommation plus fines peuvent être collectées par tranche horaire et/ou à la demi-heure. Cela permet d’avoir des informations très précises sur la consommation énergétique de l’usager. Dans l’hypothèse d’un traitement insuffisamment sécurisé, une personne malveillante pourrait alors avoir accès à des informations telles que les plages horaires durant lesquelles l’usager est absent de son logement, celles pendant lesquelles il dort ou encore les types d’appareils utilisés. Les habitudes d’une personne peuvent ainsi être déterminées aisément, ce qui constitue une atteinte à la vie privée. La décision de la Cnil, datée du 20 novembre 2017 et mettant demeure la société Genesis Industries Limited (7), est une autre illustration des risques encourus par l’utilisation des objets connectés notamment au regard de la vie privée. Cette société commercialisait des jouets connectés qui pouvaient interagir avec les enfants. Suite à un contrôle effectué par la Cnil, il a été constaté une absence de sécurisation des jouets (8) qui permettait à toute personne possédant un dispositif équipé d’un système de communication Bluetooth de s’y connecter à l’insu des personnes et d’avoir accès aux discussions échangées dans un cercle familial ou amical (9). L’intrusion dans la vie privée à travers les objets connectés peut ainsi être importante et particulièrement dangereuse lorsqu’il s’agit d’un utilisateur vulnérable tel qu’un enfant mineur.
Pour autant, une réglementation est difficilement applicable aux objets connectés. Tout d’abord, une incompatibilité d’origine des objets connectés avec certains principes relatifs au traitement des données personnelles doit être soulignée.

Proportionnalité, mesure de soi et Big Data
A titre d’exemple, le principe de proportionnalité (10), qui requiert que les données soient adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées, ne peut être satisfait dans le cadre de l’utilisation d’un objet connecté dit quantified-self – c’està- dire un appareil connecté pour la «mesure de
soi ». En effet, le nombre de données collectées sera nécessairement important
pour qu’un service adapté à l’utilisateur puisse être fourni. De même le principe
de conservation limité des données collectées (11) peut difficilement être mis en application dans le cadre d’un service fourni par un objet connecté. En effet, la conservation des données pour une durée indéterminée représente souvent une opportunité pour les fabricants dans le cadre du Big Data.
Aujourd’hui, en vertu de la loi « Informatique et Libertés », une obligation d’information pèse sur les responsables de traitement (12). De même, en vertu du Code de la consommation, une obligation pré-contractuelle d’information pèse sur le professionnel qui propose un bien ou un service (13). L’utilisateur d’un objet connecté doit ainsi pouvoir avoir des informations claires et précises sur le traitement de ses données, mais également sur les caractéristiques de l’objet connecté.

Loi française et règlement européen
Or, la récente assignation de deux plateformes majeures dans le monde numérique
– notamment sur le fondement de pratiques commerciales trompeuses au motif d’un nonrespect de l’obligation précontractuelle d’information dans le cadre de la vente d’objets connectés (14) – souligne les difficultés relatives à l’information des utilisateurs. L’avis de 2014 du G29, le groupe qui réunit les « Cnil » européennes, sur les objets connectés illustre également le manque d’informations des utilisateurs sur le traitement de leurs données (15). Ainsi, bien qu’une réglementation protectrice des utilisateurs d’objets connectés soit applicable, celle-ci est difficilement mise en oeuvre. De cet obstacle découle la question de la validité du consentement de l’utilisateur. Si le droit
à l’autodétermination informationnelle – droit pour toute personne de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant, dans les conditions fixées par la loi « Informatique et libertés » – a été récemment affirmé en France, son effectivité au regard des objets connectés semble moindre.
En effet, même si au moment de l’activation de l’appareil le consentement à la collecte de certaines données est recueilli auprès de l’utilisateur, il convient de souligner que
par la suite des données sont délivrées de manière involontaire. Par exemple, dans le cadre d’une montre connectée, l’utilisateur consent à la collecte de données relatives au nombre de pas qu’il effectue au cours de la journée. Mais lors de cette collecte, le responsable de traitement peut également avoir accès à d’autres données telles que celles relatives à la géolocalisation de l’utilisateur. En ce sens, le consentement recueilli n’est pas toujours éclairé et le droit à l’autodétermination informationnelle n’en sera qu’affaibli. Ainsi, la protection de l’utilisateur d’un objet connecté semble moindre. L’applicabilité du règlement européen sur la protection des données personnelles le
25 mai prochain – règlement dit RGPD pour « règlement général sur la protection des données » (16) – permet d’envisager une amélioration de la protection des utilisateurs d’objets connectés sur plusieurs points. Tout d’abord, par l’exigence de la mise en place de mesures permettant d’assurer une protection de la vie privée par défaut et dès la conception de l’objet connecté, le fabricant sera amené à prendre en compte les questions relatives à la vie privée de l’utilisateur en amont d’un projet (17). De même, les nouvelles mesures de sécurité devant être prises, tant par les responsables de traitement que les sous-traitants (par exemple, la pseudo-nymisation, les tests d’intrusion réguliers, ou encore le recours à la certification), tendront à garantir une meilleure protection des données personnelles des utilisateurs (18). Ensuite, la mise
en place de nouveaux droits pour l’utilisateur tels que le droit d’opposition à une mesure de profilage (19), le droit d’effacement des données pour des motifs limitativement énumérés (20) ou encore le droit à la portabilité des données (disposition déjà introduite par la loi « République numérique » du 7 octobre 2016 dans le Code de la consommation aux articles L. 224-42-1 et suivants) consolideront les moyens conférés aux utilisateurs d’objets connectés pour protéger leur vie privée. Il convient de souligner que cette amélioration dépend tout de même d’une information effective de l’utilisateur. En effet, si le fabricant ou le distributeur de l’objet n’informe pas l’utilisateur des différents droits dont il dispose, il semble peu probable que les utilisateurs les moins avertis agissent. Enfin, si la question de l’applicabilité de la réglementation européenne pour les acteurs situés en dehors de l’Union européenne (UE) pouvait se poser notamment lorsqu’ils collectaient des données d’utilisateurs européens, celle-ci n’aura plus lieu d’être à compter du 25 mai 2018. En effet, tout responsable de traitement ou sous-traitant qui n’est pas établi dans l’UE dès lors qu’il collectera des données personnelles de personnes se trouvant sur le territoire de l’UE sera contraint de respecter la réglementation européenne relative aux données personnelles. Ce point est important puisque dans le cadre des objets connectés, souvent, les flux de données ne connaissent pas de frontières.

Gagner la confiance du public
L’équation objets connectés, vie privée et données personnelles est par définition difficile. La révélation massive et constante de données relatives à une personne implique nécessairement une intrusion importante et parfois non voulue dans la vie des utilisateurs. Cependant, l’existence d’un arsenal juridique tant en droit français qu’en droit européen permet de limiter les impacts négatifs générés par les objets connectés. D’ailleurs il convient de noter que, dans le récent cadre de la réécriture de la loi
« Informatique et Libertés », la commission des lois a adopté un amendement permettant à une personne concernée d’obtenir réparation au moyen d’une action
de groupe du dommage causé par un manquement du responsable de traitement
ou sous-traitant aux dispositions de cette loi. Finalement, dans un marché hautement concurrentiel, les objets connectés qui survivront seront ceux qui auront su gagner la confiance du public et présenteront le plus de garanties en matière de respect à la vie privée et de sécurité. @

* Ancien bâtonnier du Barreau de Paris, et auteure de « Cyberdroit », dont
la 7e édition (2018-2019) paraîtra en novembre 2017 aux éditions Dalloz.

Projet de nouveau règlement sur la vie privée et la protection des données : top départ pour le lobbying

Publié le par

La Commission européenne veut que sa nouvelle proposition sur le respect de la vie privée et la protection des données entre en vigueur le 25 mai 2018 « au plus tard », en même temps le règlement général « Protection des données » déjà promulgué le 4 mai 2016. Le débat se le dispute au lobbying

Quel est le lien entre la nouvelle proposition de règlement sur le respect de la vie privée que la Commission européenne a présentée le 10 janvier 2017 et le règlement général sur la protection des données adopté le 27 avril 2016 ? La première vient compléter le second (1), tout
en garantissant le droit fondamental au respect de la vie privée en ce qui concerne les services en ligne.

 

L’obligation du Privacy by Design
« Les nouvelles règles [sur la vie privée et les communications électroniques, ndlr] confèrent également aux particuliers et aux entreprises des droits et des protections spécifiques, qui ne sont pas prévus par le règlement général sur la protection des données. Elles garantissent, par exemple, la confidentialité et l’intégrité des appareils des utilisateurs (c’est-à-dire les ordinateurs portables, smartphones et tablettes), puisque les données stockées sur les appareils intelligents ne devraient être accessibles qu’après autorisation de l’utilisateur », explique la Commission européenne, dont Véra Jourová (2) (photo), qui demande au Parlement européen et au Conseil de l’Union européenne (UE) d’« avancer rapidement les travaux (législatifs) » et « à garantir leur adoption pour le 25 mai 2018 au plus tard, date à partir de laquelle le règlement général sur la protection des données entrera en application ». L’année 2017 sera donc cruciale dans ce rapport de forces.
Avec ce nouveau règlement, s’il n’est pas dénaturé d’ici là, l’Europe va se doter d’un cadre juridique complet sur le respect de la vie privée et la protection des données qu’aucune autre région du monde n’aura mis en oeuvre. A savoir : toutes les communications électroniques doivent être confidentielles à défaut de consentement
de l’utilisateur (SMS, e-mails, appels vocaux, …) ; la confidentialité des comportements en ligne et des appareils des utilisateurs est garantie (accéder aux informations stockées sur le terminal soumis à consentement, consentement préalable sur les cookies, excepté sur les témoins de connexion liés à des achats, à des formulaires
ou aux statistiques d’audience) ; le traitement des métadonnées et du contenu des communications est subordonné au consentement ; le publipostage et le marketing direct requièrent le consentement préalable (automates d’appel, SMS, e-mails, …). On le voit : le consentement préalable des internautes et des mobinautes est au cœur de cette proposition de règlement. Plus que jamais, les cookies et les spams sont dans le collimateur. Est-ce à dire que les utilisateurs du Net et des mobiles seront sollicités continuellement pour donner ou pas leur aval dans ces différentes situations ? Afin d’éviter que chacun ne soit contraint de répondre sans cesse à des demandes d’autorisation, la Commission européenne a prévu que les utilisateurs puisse « faire
un choix éclairé lorsqu’ils personnalisent leur navigateur ou qu’ils en modifient les paramètres ». Firefox, Internet Explorer, Chrome et autres Safari devront apporter – selon le principe du Privacy by Design – une complète transparence aux utilisateurs
qui pourront alors choisir un niveau plus ou moins élevé de protection de leur vie privée. La Commission européenne n’entend pas régir avec le futur règlement l’utilisation de bloqueurs de publicités, ces fameux ad-blockers, sur lesquels elle n’a rien à redire si
ce n’est que « les utilisateurs sont libres d’installer sur leurs appareils des logiciels permettant de désactiver l’affichage de publicités ». La proposition de règlement permet juste aux éditeurs de sites web de vérifier si le terminal de l’utilisateur final peut afficher leurs contenus, y compris les publicités, sans obtenir le consentement de l’utilisateur.
« Si un fournisseur de sites web constate que les contenus ne peuvent pas tous être affichés par l’utilisateur final, il lui appartient de réagir de manière appropriée, par exemple en demandant à l’utilisateur final s’il utilise un bloqueur de publicités et s’il accepterait de le désactiver lors de sa visite sur le site web concerné », précise-t-on.

Cryptage et conservation non traités
Concernant cette fois les données du Big Data, la nouvelle proposition permettra
aux entreprises de traiter à d’autres fins les contenus des communications et les métadonnées si les utilisateurs ont donné leur consentement, pour autant qu’elles respectent les garanties en matière de respect de la vie privée. Le cryptage, lui, ne relève pas du champs de ce nouveau projet de règlement, à charge aux acteurs de l’économie numérique d’assurer la sécurité conformément au règlement général de 2016 sur la protection des données et au futur code européen des communications électroniques (3). La conservation des données, elle, n’est pas non plus traitée dans
ce projet de texte, la Commission européenne renvoyant les Etats membres à leurs responsabilités au regard des questions de sécurité nationale, de sauvegarder des intérêts publics, ou de répression pénale.

Etno, GSMA, IAB, … : haro sur l’ePrivacy !
A ceci près que « les Etats membres doivent régir ces limitations en légiférant ; les limitations doivent respecter le contenu essentiel des droits fondamentaux ; et [elles] doivent être nécessaires, appropriées et proportionnées, conformément à la jurisprudence de la Cour de justice de l’Union européenne (CJUE), et notamment à son arrêt du 21 décembre 2016 ». Ce coup d’envoi du processus législatif donne aussi le top départ officiel pour les opérations d’intense lobbying pour tenter d’amender un texte jugé trop contraignant par les opérateurs télécoms (fixe ou mobile) et les professionnels de la publicité.
De concert, l’Etno et la GSMA – qui représentent respectivement les opérateurs télécoms historiques en Europe (4) et les opérateurs mobile dans le monde (5) – ont demandé à la Commission européenne de revoir sa copie. « Nous appelons les colégislateurs à corriger le nouveau règlement relatif à la vie privée et aux communications électroniques et à s’assurer qu’il permette une approche orientée client et prête pour les innovations. C’est le seul moyen pour l’UE de capitaliser sur l’économie des données, créer de nouvelles opportunités sociétales et stimuler la prestation de services client innovants », ont-ils déclaré le 10 janvier, soit le jour même de la présentation du projet à Bruxelles. Et de mettre en garde : « Une législation restrictive sur la protection des données représenterait un doublon réglementaire injuste en comparaison avec les autres secteurs ». Quant aux opérateurs de réseaux, ils déplorent que des obligations leur soient imposées, contrairement à leurs concurrents les acteurs du Net – presque tous américains au demeurant – que sont les GAFA (Google, Apple Facebook, Amazon et autres Microsoft ou Netflix), voire plus largement les Over-The- Top (OTT) soupçonnés fournir des services dits « de contournement » (messagerie instantanée, visiophonie, plateformes vidéo, …).
Les deux organisations – toutes deux basées à Bruxelles (Etno et GSMA Europe) – en appellent à la Commission européenne pour rectifier le tir afin, selon elles, de favoriser l’économie de la data (6). Pour cela, les « telcos » demandent à ce que le projet de règlement « Vie privée et données personnelles » soit corrigé afin d’être « pleinement aligné sur le RGPD [le règlement général de 2016 sur la protection des données, ndlr] en ce qui concerne l’approfondissement du traitement des données personnelles » et de permettre d’exploiter ces données lorsqu’elles sont « anonymisée » – on parle aussi de « pseudonymisation » – ou lorsqu’elles sont aussi exploitées par les acteurs du Net telles que « source, destination, date, heure et/ou localisation des données ou du dispositif ».
En plein déploiement de la fibre optique et préparatif de la 5G pour l’Internet des objets, sans parler de la perspective de la voiture connectée, Lise Fuhr, directrice générale de l’Etno (41 membres) et Afke Schaart, viceprésidente Europe de la GSMA (1.100 membres), mettent en garde la Commission européenne contre « un régime double au contour flou » : « Il n’y aura pas d’économie des données en Europe sans un règlement orienté vers l’innovation », déclare la première ; « Nous devons nous assurer que les exigences (…) n’interfèrent pas accidentellement avec l’utilisation de métadonnées », abonde la seconde.
Les professionnels de la publicité en ligne sont, eux aussi, montés au créneau pour exprimer pour ce qui les concerne leur. . . « consternation » quant à la règlementation
« ePrivacy » proposée. L’Interactive Advertising Bureau (IAB), par la voix de sa directrice Europe Townsend Feehan,n’a pas mâché ses mots en dénonçant ce qu’elle considère comme « une loi susceptible d’endommager indéniablement le modèle économique publicitaire et sans réels avantages pour les utilisateurs ».

Cookies et pub : réactions en chaîne
L’IAB (5.500 membres) s’en est inquiété directement en écrivant le 22 décembre dernier une lettre cosignée avec d’autres organisations (éditeurs, « marketeurs », annonceurs, et publicitaires) adressée à Andrus Ansip et Günther Oettinger, le premier – vice-président de la Commissaire européen en charge du Marché unique numérique – ayant repris le portefeuille « Economie et de la Société numériques » du second depuis le 1er janvier (7).
En France, à l’issue d’une réunion le 9 décembre dernier sur les cookies, l a Cnil
a ccorde un délai supplémentaire de mise en conformité – jusqu’à septembre 2017.
Elle devait rendre publique en janvier 2017 son analyse juridique sur la question. @

Charles de Laubier

Communication des décisions de justice : favoriser la liberté d’expression ou le droit à la vie privée ?

Publié le par

Il est traditionnellement acquis, en jurisprudence française, que le droit à la vie privé ne peut être interprété comme un droit susceptible de faire disparaître le droit à la liberté d’expression. Cependant, une inflexion est perceptible, Internet facilitant les risques d’atteinte à la vie privée.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

Signe de l’évolution numérique, ce combat de l’équilibre entre
ces deux dro i t s fondamentaux – la liberté d’expression et le droit au respect de la vie privée – se déplace actuellement sur le terrain du droit à la protection des données à caractère personnel (facette du droit à la vie privée), contre le droit à la protection des contenus médiatiques publiés sur Internet (facette du droit à la liberté d’expression).

Arrêt « Lesechos.fr » de 2016
Tandis qu’explosent actuellement – suite à l’arrêt « Costeja » impliquant Google en Espagne (1) – les demandes de référencement qui atteignent désormais les organes
de presse en ligne, la Cour de cassation a eu l’occasion de trancher en faveur de la protection des archives de presse. Elle a ainsi rejeté, par un arrêt en date du 12 mai 2016, la demande de deux individus ayant sollicité – sur le fondement de l’article 38 de la loi « Informatique et libertés » relatif au droit d’opposition au traitement de données
à caractère personnel – la suppression d’informations identifiantes sur le moteur de recherche du site web d’un journal. Celui-ci, en l’occurrence Lesechos.fr (2), donnait accès à un article de presse faisant état d’une condamnation prononcée à leur encontre plusieurs années auparavant. La Cour s’est fondée sur l’absence d’inexactitude des faits et a considéré que « le fait d’imposer à un organe de presse (…) de supprimer du site Internet dédié à l’archivage de ses articles (…) l’information elle-même contenue dans l’un de ces articles (…) privant celui-ci de tout intérêt [ou] d’en restreindre l’accès en modifiant le référencement habituel, excède les restrictions qui peuvent être apportées à la liberté de la presse ».
Ce parti pris n’est pas nouveau en droit français. Ainsi, dans une affaire concernant la publication d’un article relatif au placement en garde à vue d’un individu qui avait bénéficié d’un non-lieu, le tribunal de grande instance (TGI) de Paris avait déjà jugé en 2015 que le traitement des données litigieuses – l’âge, la profession du requérant et le fait qu’il ait été impliqué dans une procédure pénale – répondait à un intérêt légitime
« tant en ce que l’information portait sur le fonctionnement de la justice et le traitement des affaires d’atteintes graves aux personnes qu’en ce qu’elle visait une personne exerçant une profession faisant appel au public et encadrant une activité proposée notamment à des enfants » et qu’aucun abus de la liberté de la presse n’était établi (3). Cependant, une inflexion est perceptible, l’Internet étant devenu un moyen de rechercher et de se renseigner, facilitant les risques d’atteinte à la vie privée. Cette atteinte est réprimée par l’article 226-1 du Code pénal qui sanctionne d’une peine
d’un an d’emprisonnement et de 45.000 euros d’amende le fait de porter atteinte volontairement à l’intimité de la vie privée d’autrui en « fixant, enregistrant ou transmettant, sans le consentement de celle-ci, l’image d’une personne se trouvant dans un lieu privé ».
S’agissant des comptes rendus de procès ou de décisions de justice citant des personnes physiques parties ou témoins aux procès, la Commission nationale de l’informatique et des liberté (Cnil) avait déjà eu l’occasion de tirer la sonnette d’alarme concernant les risques d’atteintes à la vie privée des personnes concernées. Elle avait en effet considéré en 1995 qu’il n’est pas indispensable de diffuser les décisions en ligne, sur des sites web en accès libre, en précisant que « les aménagements aux règles de la protection des données que commande le respect de la liberté d’expression ne doivent pas avoir pour effet de dispenser les organismes de la presse écrite ou audiovisuelle, lorsqu’ils recourent à des traitements automatisés, de l’observation de certaines règles » (4).

Open data et « République numérique »
Une ordonnance du 19 décembre 2014, dans la suite de l’affaire « Google Spain »
de la même année, vient illustrer cette inflexion. Le juge avait retenu les « raisons prépondérantes et légitimes prévalant sur l e d r o i t à l ’ i n f o r m a t i o n » i n v o q u é e p a r l a demanderesse. La nature des données personnelles, le temps écoulé depuis la condamnation – prononcée huit années auparavant –, et l’absence de mention de la condamnation au casier judiciaire de l’intéressée, justifiaient le déréférencement du lien renvoyant à un article de 2006 (5).
Or, le droit à l’information est en grande partie garanti par la publicité des audiences
et des décisions de justice ainsi que la libre communication des jugements. Aussi, en prévoyant que la quasi-totalité des décisions produites par les juridictions françaises devront être accessible en open data (autrement dit en accès libre), la loi « République numérique » marque l’aboutissement du processus d’ouverture des données. Cette mesure (6) s’inscrit dans la logique de la politique volontariste du gouvernement d’ouverture des données publiques (mission Etalab). Elle répond de surcroît à la préconisation de la mission d’information du Sénat (7) d’inscrire dans la loi une obligation de mise en ligne progressive de l’ensemble des bases de données détenues par l’administration.

Conciliation par anonymisation ?
La numérisation des décisions de justice et leur mise à disposition sur Internet favorise le risque de voir des bases de données se créer et vendre des données sensibles susceptibles d’intéresser certains acteurs. Par exemple, une banque pourrait très certainement ê t re i n t é ress é e p a r l a condamnation pour surendettement d’un de ses clients. Pour reprendre les mots de Claude Bourgeos, docteur en droit, « l ’ e x p l o i t a t i o n d e s b a n q u e s d e d o n n é e s jurisprudentielles [pouvait] aboutir à la constitution d’un gigantesque casier “juridique” des personnes sans qu’aucun contrôle ne puisse être exercé dessus » (8).
Aussi, consciente des risques amplifiés par les facilités de recherche sur l’Internet – rien de plus facile que de retrouver une jurisprudence donnée au moyen de critères croisés (date de la décision, articles visés, motc l é d u tex t e i n t é g r a l ) – , l a C n i l a é m i s u n e recommandation du 29 novembre 2001 (9) portant sur « la diffusion de données personnelles sur Internet par les banques de données de jurisprudence ». Les éditeurs de bases de données de décisions de justice librement accessibles sur des sites Internet doivent s’abstenir de faire faire figurer le nom et l’adresse des parties ou des témoins au procès. Cette mesure doit être prise à l’initiative du diffuseur et sans que les personnes concernées aient à accomplir de démarche particulière. Cette anonymisation ne souffre en principe aucune exception et la Cnil dispose d’un pouvoir de sanctions à l’encontre des responsables de traitement de données à caractère personnel qui ne respecteraient pas leurs obligations. On observe que l’anonymisation générale des décisions de justice publiées sur Internet est également effective dans de nombreux autres pays, notamment en Allemagne, aux Pays-Bas et au Portugal.
En faisant le bilan de cette recommandation cinq ans près (19 janvier 2006 (10)), la Cnil a pu constater que l’anonymisation était effective chez la plupart des éditeurs de bases de données, notamment sur le principal site français de bases de données de jurisprudence en accès libre, Légifrance. Cependant, la puissance des moteurs de recherche permettant d’accéder très aisément à ces décisions – il suffirait, pour un employeur, à la recherche d’un nouvel employé, de se rendre sur une base de données juridique et de taper le nom de l’intéressé –, elle a conclu à la nécessité d’adopter une disposition législative spécifique (11). Celle-ci prévoit l’anonymisation des données lorsqu’elles sont diffusées par des moyens électroniques en raison de « l’impact réel, parfois dramatique, de la diffusion de décisions nominatives sur [un site] sur les vies personnelles et professionnelles des personnes concernées ».
Depuis l’anonymisation s’est imposée très rapidement comme la règle. D’ailleurs, une décision du Conseil d’Etat du 11 mars 2015 (12) a précisé que l’anonymisation était
une règle générale qui s’applique également à la Cnil, en lui enjoignant de procéder
à l’anonymisation des mentions d’une délibération concernant un tiers à la procédure objet de cette délibération. Avec l’open data qui généralise le libre accès aux décisions de justice, le risque de la ré-identification – c’est-à-dire le risque, après anonymisation, de retrouver les noms retirés en s’intéressant aux autres éléments du texte – devient important. En effet, on peut imaginer que si une décision comporte la mention du titre de la personne concernée, par exemple « Mme X, président de la société Y », il ne sera pas très difficile de retrouver le nom de la personne concernée.

Limiter le risque de ré-identification
Aussi, le Conseil d’Etat préconise – afin de limiter le risque de réidentification – de
« faire définir par la Cnil […] des standards d’anonymisation ; constituer au sein de chaque ministère un pôle d’expertise en matière d’anonymisation, a priori au sein du service statistique ministériel ; […] lorsque le risque de réidentification ne peut être écarté, définir une procédure d’accès sur autorisation plutôt que de mettre en ligne,
en particulier lorsque sont en cause des données sensibles » (13). @

* Ancien bâtonnier du Barreau de Paris.

L’affaire « Microsoft » : la localisation des données et l’extraterritorialité en question

Publié le par

Le 14 juillet 2016, la cour d’appel fédérale de Manhattan aux Etats-Unis a décidé qu’un mandat de perquisition ne permettait pas aux autorités américaines d’obtenir des données stockées par Microsoft en Irlande, car un tel mandat ne peut avoir d’effets en dehors des frontières des Etats-Unis.
Quel impact en Europe ?

Par Winston Maxwell (photo), avocat associé, Hogan Lovells

winston-maxwellL’arrêt « Microsoft » a le mérite de préciser l’étendue territoriale des pouvoirs de police aux Etats-Unis et de relancer le débat sur la localisation des données. Cette affaire commence en décembre 2013 lorsqu’un magistrat ordonne à la firme de Redmond de livrer aux services du procureur de l’Etat de New York le contenu de courriers électroniques appartenant à une personne suspectée de trafic de drogues.
Microsoft a livré les métadonnées concernant le compte e-mail du suspect, mais a refusé de livrer le contenu des e-mails, car celui-ci était hébergé en Irlande. Selon Microsoft, les effets de l’ordonnance du magistrat s’arrêtaient aux frontières des Etats-Unis. En première instance, le magistrat a sanctionné Microsoft en 2014 pour avoir désobéi à son ordonnance.

Perquisitions et frontières
Après une procédure d’appel médiatisée et impliquant de nombreuses interventions volontaires, la cour d’appel fédérale a donné raison à Microsoft. La loi américaine permet à la police d’accéder au contenu d’e-mails uniquement après la délivrance par un juge d’un « mandat de perquisition » (warrant). Il s’agit du même outil juridique que celui utilisé pour la fouille d’une maison, par exemple. Selon Microsoft, un mandat de perquisition émis par un juge américain ne pouvait pas produire d’effets en dehors des Etats-Unis.
Le gouvernement américain soutenait, au contraire, qu’aucune fouille n’était nécessaire en dehors des Etats-Unis puisque Microsoft pouvait – à partir de son siège à Redmond (Etat de Washington) – récupérer les données irlandaises par un simple manœuvre technique. Pour le gouvernement américain, la localisation des données n’était pas importante dès lors que le fournisseur de service était situé aux Etats-Unis,
et il pouvait donc accéder à ces données.
La position du gouvernement américain converge avec l’article 57-1 du Code de procédure pénale en France, lequel permet à la police, sous certaines conditions, d’accéder à des données hébergées à l’étranger si un accès à ces données est autorisé en France.
La cour d’appel américaine n’a pas voulu rentrer dans la logique du gouvernement des Etats-Unis. La cour s’est focalisée avant tout sur l’intention du législateur américain. Selon l’arrêt du 16 juillet, une portée extraterritoriale ne peut découler implicitement d’une loi : il faut que la loi prévoie cette portée extraterritoriale explicitement. C’est le cas de certaines lois américaines qui visent de manière explicite des actes commis à l’étranger (actes de terrorisme, ou tourisme sexuel impliquant des mineurs, etc.). Cependant, si la loi ne dit rien sur l’extraterritorialité, la loi doit être lue comme étant limitée au territoire national. Selon la cour d’appel, seul le législateur est habilité à
gérer les questions délicates d’extraterritorialité et des relations internationales. L’extraterritorialité doit être explicite. La loi américaine sur la protection des communications électroniques est silencieuse sur la question territoriale. Pour la cour fédérale, la loi ne peut donc produire d’effets au-delà de la frontière des Etats-Unis.
Par conséquent, le gouvernement ne peut pas utiliser un mandat de perquisition pour forcer Microsoft à livrer des données hébergées en Irlande (1).
Le débat n’est pas clos pour autant, car le gouvernement américain pourrait porter cette affaire devant la Cour Suprême.

Plusieurs enseignements
La décision nous livre plusieurs enseignements. Le premier est qu’en matière d’enquêtes judiciaires, la loi américaine fournit autant de protections aux individus
que la loi française. L’intervention d’un juge est nécessaire, comme pour la fouille
d’un domicile. En matière de protection des données à caractère personnel, la loi américaine sur les enquêtes criminelles ne peut guère être considérée comme étant
« inadéquate », car elle fournit autant de garanties que la loi française.
Certes, les services de renseignement américains ne sont pas tenus, eux, d’obtenir
un mandat avant de collecter des données, y compris hors des Etats-Unis. Ce point
est reproché aux Etats-Unis dans le contexte du nouveau « Privacy Shield » (2). Cependant, aucun pays européen n’impose une telle exigence à ses agences du renseignement. En France, par exemple, les agences du renseignement peuvent collecter des données concernant des communications internationales avec la seule autorisation du Premier ministre. L’erreur serait de comparer l’encadrement des activités de renseignement aux Etats-Unis avec l’encadrement des enquêtes
judiciaires en France. Les deux ne sont pas comparables. Seule une comparaison
« renseignement- renseignement » serait pertinent.

L’extraterritorialité ne se présume pas
Le deuxième enseignement de l’affaire Microsoft concerne localisation des données. Est-ce que la localisation physique des données compte ? En juillet, la Russie a adopté une loi qui étend considérablement l’obligation de stocker des données sur le territoire russe. Un amendement au projet de loi « République numérique » adopté au Sénat aurait créé une obligation de stocker des données sur le territoire français. Cet amendement n’a pas été repris dans la version du texte adoptée en juillet 2016 (3). Certaines lois chinoises prévoient l’obligation de stocker des données sur le territoire chinois. Face aux risques de la mondialisation, certains Etats voient dans la localisation des données un moyen de réaffirmer leur souveraineté. La décision Microsoft semble confirmer que la localisation physique des données peut avoir un impact sur les pouvoirs des autorités nationales.
Mais ce n’est pas si simple. Une loi nationale peut prévoir la possibilité pour les autorités d’accéder à des données hors de son territoire s’il existe un accès dans le territoire (en France, article 57-1 Code de la procédure pénale), voire la possibilité d’intercepter des données à l’étranger (article L854-1 du Code de la Sécurité intérieure). La leçon de l’affaire Microsoft est que la loi doit être précise sur ce point,
car l’extraterritorialité ne se présume pas.
Sur la question de la localisation des données, le nouveau règlement européen du 27 avril 2016 sur la protection des données à caractère personnel (4) est ambivalent, voire contradictoire. D’un côté, la localisation des données n’est pas importante, car tout traitement effectué dans le cadre des activités d’un établissement en Europe – ou lié à l’offre de services en Europe – est couvert par ce règlement, même si les données sont stockées en dehors de l’Europe. Le règlement précise d’ailleurs que le lieu du traitement est sans importance. De l’autre côté, le règlement impose des contraintes particulières pour tout transfert de données en dehors de l’Union européenne, ce qui du coup donne une importance à la localisation. Les prestataires de cloud expliqueront que les données sont stockées partout, et que cette architecture contribue à la sécurité, à la fiabilité, et au faible coût du service.
Mais après l’affaire « Snowden » (5), les fournisseurs de cloud mettent en avant des solutions de stockage 100 % européen, voire 100 % français. Les lois russes et chinoises vont dans le sens d’une localisation forcée des données sur le territoire,
sans parler de lois turques ou iraniennes (6). Dans le cadre de ses travaux sur le marché numérique unique, la Commission européenne dresse un inventaire sur les
cas de « localisation forcée » des données (7), et souligne la nécessité de permettre
la libre circulation des données afin de favoriser l’innovation, la croissance, et la liberté d’expression. Le débat sur la localisation des données s’accompagne d’un débat sur le chiffrement, car une donnée stockée localement n’est guère utile si elle ne peut être déchiffrée. La loi française oblige les fournisseurs de moyens de cryptologie à décrypter des messages, sauf si les prestataires « démontrent qu’ils ne sont pas en mesure de satisfaire à des réquisitions » (article L871-1 du Code de la Sécurité intérieure). Au moment où les gouvernements français et allemand plaident pour des pouvoirs accrus en matière de déchiffrement (8), la présidente de la Commission nationale de l’informatique et des libertés (Cnil) rappelle, dans une tribune qu’elle a cosignée (9), l’importance du chiffrement dans la protection des données à caractère personnel. @

ZOOM

Microsoft résiste encore et toujours à Washington
La firme de Redmond, dans l’Etat de Washington, a décidément maille à partir
avec l’administration de Washington. En effet, en avril 2016, Microsoft a porté plainte
– devant un tribunal fédéral de Seattle – contre le gouvernement américain en l’accusant de violer la Constitution des Etats-Unis en empêchant le géant américain
de l’informatique et du Net d’informer ses milliers de clients des requêtes « secrètes » de l’administration américaine – sous couvert de l’Electronic Communications Privacy Act (ECPA) – pour avoir accès à leurs e-mails et données personnelles.
Cette affaire rappelle celle de l’iPhone qu’Apple avait refusé de débloquer à la demande la police fédérale (FBI) – finalement abandonnée – à la suite de la tuerie de San Bernardino en décembre 2015. @

Les « Cnil » européennes tirent exagérément sur le nouveau bouclier « Privacy Shield »

Publié le par

Le groupe « G29 » critique trop sévèrement le nouveau « bouclier vie privée » (Privacy Shield) entre l’Europe et les Etats-Unis. Il trouve ses mécanismes de
co-régulation insuffisants. Pourtant, l’idéal européen en matière de protection
de droits individuels n’existe pas non plus.

Par Julie Brill et Winston Maxwell, avocats associés, Hogan Lovells

Comme le tout nouveau règlement européen sur le traitement des données à caractère personnel et la libre circulation de ces données (1), la directive de 1995 sur la protection des données à caractère personne (2) interdit tout transfert de données vers un pays non-européen, sauf si le transfert tombe dans l’une des exceptions prévues par la directive. Depuis 2000, le système d’auto-certification dénommé « Safe Harbor » était considéré par la Commission européenne comme fournissant un niveau de protection adéquat, et a permis le transfert de données vers les entreprises américaines détenant ce label.

Le Privacy Shield ne convainc pas le G29
En novembre 2013, la Commission européenne a remis en cause le système Safe Harbor, et cette remise en cause a été confirmée par la Cour de Justice de l’Union européenne (CJUE) dans son arrêt « Schrems » (3). Depuis, le régime Safe Harbor
est en pratique mort et les entreprises utilisent d’autres outils juridiques, tels que les
« clauses contractuelles types », pour effectuer leurs transferts de données vers les Etats-Unis. Depuis la mort du Safe Harbor, la Commission européenne et le gouvernement américain travaillent sur un nouveau dispositif amélioré. Dévoilé le 29 février, le nouveau système, dénommé « Privacy Shield », tire les leçons des critiques de la Commission européenne et de la CJUE.
La Commission européenne a annoncé son intention de déclarer ce nouveau régime
« adéquat » au regard de la directive de 1995. Mais le 13 avril 2016, le groupe « article 29 » (G29), qui réunit les « Cnil » européennes, a émis un avis mitigé. Tout en félicitant la Commission européenne et les Etats-Unis du travail accompli, le G29 estime que le nouveau système lui semblait défectueux à plusieurs égards : premièrement, les principes de protection énoncés dans le Privacy Shield ne reflètent pas l’ensemble des principes de la directive de 1995 ; deuxièmement, le dispositif ne garantit pas suffisamment la mise en oeuvre effective de ces principes au sein des entreprises ; troisièmement, les pouvoirs des autorités de renseignements américains ne sont toujours pas assez encadrés. Avant d’examiner ces trois séries de critiques, revenons aux fondements : le Privacy Shield, comme le régime Safe Harbor, est un régime de
co-régulation. Les entreprises qui souhaitent participer à ce régime doivent souscrire à des engagements, et les mettre en oeuvre sous le contrôle de l’Etat (4). Ce régime est similaire aux « Binding Corporate Rules » (BCR) et au label gouvernance de la Cnil. Les entreprises souscrivent aux engagements et sont responsables pour leur mise
en oeuvre. Elles doivent être en mesure de rendre compte aux autorités des mesures prises. Il s’agit d’un exemple du principe d’« accountability » mis en avant par le nouveau règlement européen. Ainsi, le Privacy Shield est dans l’air du temps.

Malgré ses similitudes avec les BCR et autres mécanismes de co-régulation, le Privacy Shield ne convainc pas le G29. La première série de critiques concerne les principes de protection. Selon le G29, le Privacy Shield a omis le principe de limitation de durée de conservation des données. Le groupe pointe du doigt également l’encadrement insuffisant des transferts ultérieurs (« onward transfer »). La deuxième série de critiques concerne la mise en oeuvre effective des principes par les entreprises et par le gouvernement américain. La plupart des entreprises américaines ont pris au sérieux leurs engagements au titre du Safe Harbor, mettant en place un programme rigoureux de conformité. Mais ce n’était pas le cas de toutes les entreprises, et la Commission européenne a demandé une supervision accrue de la part des autorités américaines (5). Le nouveau régime Privacy Shield prévoit donc un rôle accru du Département du Commerce dans la surveillance des entreprises ayant opté pour le régime « privacy shield ».

Fais ce que je dis, pas ce que je fais…
En cas de manquement, la FTC sera en droit d’appliquer des sanctions lourdes. En plus, le nouveau régime prévoit la possibilité pour les citoyens européens d’effectuer des réclamations directement auprès de la société américaine concernée, mais également auprès de l’autorité de protection des données à caractère personnel de
leur propre pays, laquelle transmettra la plainte au Département du Commerce pour action. Enfin, les citoyens européens peuvent entamer une procédure d’arbitrage ou une procédure judiciaire à l’encontre de la société concernée. Le G29 trouve ces mécanismes insuffisants. Il regrette que le Département du Commerce ne donne pas de garantie sur le traitement des plaintes qu’elle recevra des citoyens européens. Cependant, la Cnil elle-même ne donne pas de garantie sur l’issue des plaintes qu’elle reçoit, donc cette critique nous semble exagérée. Le G29 critique ensuite le niveau faible de sanctions, mais là encore, cette critique ne semble pas justifiée compte tenu des pouvoirs de sanction de la FTC. Le G29 souligne la nécessité pour les entreprises américaines d’avoir des mécanismes internes en place pour détecter d’éventuels manquements.

Pouvoirs accrus des renseignements
Cette critique nous semble sévère, car la plupart des grandes entreprises américaines ont déjà des procédures de conformité qui permettent de détecter et sanctionner des manquements aux règles de l’entreprise. Dans la mesure où le Privacy Shield sera intégré dans ces programmes de conformité, les mécanismes internes de détection seront probablement très efficaces.
La partie la plus troublante de l’avis du G29 concerne la critique des pouvoirs des agences de renseignements aux Etats-Unis. Le pouvoir étendu des autorités de renseignement est un point sensible aux Etats-Unis comme en Europe. Les défenseurs de libertés individuelles critiquent les Etats-Unis mais également les gouvernements de pays européens pour avoir augmenté considérablement les pouvoirs d’agences de renseignement sans mesures de contrôle. Avec ses lois sur le renseignement et sur l’interception des communications internationales, la France suit cette tendance, ce qui est compréhensible compte tenu de l’augmentation du risque terroriste. Cependant, le G29 critique le système américain sans prendre en considération le fait que l’équilibre trouvé aux Etats-Unis entre les libertés des individus et les impératifs de lutte contre le terrorisme est similaire à l’équilibre trouvé en France en matière d’activités de renseignement. Comme la loi française, la loi américaine fait une distinction entre les enquêtes de police, et les activités de renseignement. Le traitement des données dans le cadre des enquêtes de police aux Etats-Unis (comme en France) est généralement respectueux des droits et libertés individuels. Les résidents européens sont dorénavant mieux protégés aux Etats-Unis en raison de l’adoption du « Judicial Redress Act » qui donne aux Européens certains droits de recours réservés auparavant aux résidents américains. En matière d’enquêtes de police, la situation est donc globalement satisfaisante. Le problème le plus délicat réside dans les activités de renseignement.
Le G29 dénonce l’imprécision de la loi américaine sur ce que peut constituer une menace pour la sécurité nationale. Mais cette définition n’est pas moins précise que celle contenue dans le code français de la sécurité intérieure. Le G29 reconnaît l’existence de mesures de contrôle interne efficaces au sein des autorités américaines de renseignement, mais regrette l’absence d’un organe de contrôle plus indépendant, de préférence judiciaire. Pourtant, là aussi, la situation des Etats-Unis n’est pas différente de celle de la France. Le G29 critique l’absence d’encadrement des mesures de surveillance conduites en dehors des Etats-Unis, mais oublie de mentionner que cette même critique pourrait s’appliquer à la France. En résumé, le système américain est critiqué parce qu’il ne correspond pas à un idéal européen en matière de protection de droits individuels dans le cadre d’activités de renseignement, alors que cet idéal n’existe pas sur le terrain dans de nombreux pays européens, dont la France. Cela revient à dire : « Fais ce que je dis, pas de que je fais ! ».
En matière d’activités de renseignement, le dispositif Privacy Shield inclut des avancés pour la protection des citoyens européens, et notamment un nouveau droit d’accès indirect, à l’instar de celui qui existe en France. Une personne qui se demande si elle est fichée par les services de renseignement américains peut effectuer une demande auprès de son autorité locale de protection des données à caractère personnel. Celle-ci transmettra la demande à un haut fonctionnaire du département d’Etat aux Etats-Unis (6). Celui-ci s’engage à vérifier la régularité de toute mesure de surveillance. C’est l’équivalent de ce qui existe en France pour les fichiers de renseignement (7). Ce nouveau dispositif n’est disponible qu’aux résidents européens; les américains n’y ont pas accès. Le gouvernement américain s’est également engagé à appliquer à l’égard des Européens la plupart des protections qui existent à l’égard d’américains.
Certaines des critiques du G29 seront probablement pris en compte par la Commission européenne et le gouvernement américain. On pense par exemple au principe de limitation de durée de conservation des données, qui sera peut-être mieux articulé dans un Privacy Shield amélioré.

Vers une contestation en justice ?
D’autres critiques, notamment celles visant les activités de renseignement aux Etats-Unis, ne pourront probablement pas être prises en compte. La Commission européenne émettra sa décision sur le caractère « adéquat » du dispositif au cours du mois de juin, et le Privacy Shield deviendra un outil juridiquement opposable pour le transfert de données aux Etats-Unis.
Cependant, certaines autorités de protection des données personnelles – notamment en Allemagne – ont d’ores et déjà signalé leur intention d’attaquer le Privacy Shield en justice. Les entreprises resteront par conséquent dans l’incertitude sur la robustesse du nouveau bouclier. @