À l’approche du prochain RGPD, la CNIL vient d'ouvrir trois nouveaux thèmes à consultation : la notification de violation des données personnelles, le profilage et le consentement. Quiconque peut apporter sa pierre à l’édifice, voire anticiper des difficultés concrètes.
RGPD, derrière l’acronyme, on trouve le règlement général sur la protection des données personnelles (en anglais General Data Protection Regulation ou GDPR). Un texte fondateur qui entrera en vigueur le 24 mars 2018. D’application directe contrairement aux directives, il s'imposera dès qu’un résident européen sera directement visé par un traitement de données, sur Internet ou non.
Ce texte, sur lequel nous reviendrons prochainement dans un dossier, consacre une série de nouveaux droits : celui de la portabilité des données, une protection renforcée pour les enfants, des actions collectives, un droit au dédommagement, etc. Seulement, chaque thème est source d’interrogations, aussi bien pour les responsables de traitement que pour les personnes concernées.
L’obligation de notification des violations de données
La CNIL vient ainsi d’ouvrir trois nouvelles consultations sur l’autel du RGPD. Première d’entre-elles, l’obligation de notification des violations de données à caractère personnel.
Pour mémoire, en effet ; selon l’article 33 du règlement, en cas de violation, le responsable du traitement doit notifier l’autorité de contrôle (en France, la CNIL), « dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance ». Sauf à justifier des motifs du retard. L’article 33 ajoute que « lorsqu'une violation de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique », alors ce responsable doit en principe communiquer cette violation « à la personne concernée dans les meilleurs délais ».
Sur ce point, la CNIL a posté plusieurs questions ouvertes, qui montrent à elles seules que le passage du texte à la réalité ne sera pas bien simple.
Qu’entend-on par violation de données à caractère personnel ? Quand faut-il notifier, quelles sont les hypothèses où une violation n’aura pas à être notifiée, ou encore comment devra se matérialiser l’information des personnes ? Dans la zone des commentaires, Bruno Rasle, délégué général de l’association française des correspondants aux données personnelles déconseille déjà les « messages donnant l'unique priorité à la protection juridique de l'entité, ni […] des messages propres à provoquer la panique chez les personnes concernées. Le concepteur du message doit se mettre à la place de la personne concernée - pas de jargon (ni technique ni juridique), du simple, du concret ».
Le profil du profilage
Autre exploration : la notion même de profilage et ses conséquences juridiques. Selon l’article 4 du règlement européen, il y a profilage lorsqu’on utilise des données à caractère personnel « pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique ».
Selon le règlement, une personne a alors «le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé (…) produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire ».
Un principe immédiatement écarté lorsqu’il s’agira de conclure ou d’exécuter un contrat, ou bien lorsque des mesures appropriées seront prévues « pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ». Enfin, lorsque l’individu y aura consenti.
Ces grandes lignes esquissées, le passage de cette régulation dans la vraie vie soulève là aussi des difficultés. « Dans quels cas une décision peut-elle, selon vous, " affecter une personne de manière significative " ? » interroge la CNIL. Celle-ci ouvre d’autres débats, dont celui des garanties pour les personnes concernées, du privacy by design tel qu’imposé par l’article 25 du règlement. Plus largement, à l’heure des algorithmes et du big data, elle demande aux internautes de leur faire part de leurs craintes sur ce moyen.
Le consentement
La notion de « consentement » de la personne concernée est évidemment un pivot de cette législation uniformisée dans l’ensemble des États membres. L’article 4 apporte cette définition : « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ».
Là encore, la CNIL s’adresse à la communauté des contributeurs : « Comment se matérialise une volonté "libre", "spécifique", "éclairée" et "univoque" ? Quelles formes pourraient prendre une "déclaration" ou un "acte positif clair" ? ». De même, comment se peut prouver le consentement ? « Comment matérialiser la preuve du consentement ? Faut-il avoir recours à des solutions internes ou à des organismes tiers ? Dans quelles conditions ? Combien de temps conserver cette preuve ? »
Cette consultation est ouverte du 23 février au 23 mars 2017. Elle sera conclue, comme la précédente vague organisée l’an passé, par une synthèse des contributions.
Commentaires (20)
#1
Donc ça veut dire que l’état devra notifier à la CNIL dans les 72h qu’il s’est fait pirater son fichier TES ?
#2
#3
Plus personne n’a l’air de parler de l’obligation d’héberger les données personnelles des européens… en Europe… J’ai bien peur qu’ils auront du mal à faire plier Facebook. Sinon j’ai remarqué qu’en IPv4 Facebook est toujours routé aux USA par contre en IPv6 ça route vers l’Irlande. Un signe annonciateur ? Après bon j’ai pas de compte…
" />
#4
Tous les “Saruman” d’état croient maîtriser leur situation et ne sont en fait que des pions d’un vaste complot mondial (ça n’engage que mon avis)
#5
#6
La seule chose que je dirais, ça fait des années que les cookies se goinfrent de multitudes de données diverses, je n’ai jamais entendu de ministères européens y consacrer un quelconque intérêt à sanctionner ouvertement (on ne parle d’études bidons qui ne font qu’inlassablement retarder les véritables actions de sanctions et d’arrêt)
#7
S’ils sont soumis à la GDPR oui. Mais bon il y a les sempiternelles exceptions en matière de sécurité, de défense et d’activité générale de l’Etat.
#8
Le règlement est assez catégorique sur les cookies qui récoltent des données privées: consentement nécessaire! C’est l’éternelle débat du droit dans les livres et du droit en mouvement.
Une loi peut défendre parfaitement les citoyens (la GDPR propose de grosse innovations et une bonne protection si on lit la loi), mais avoir des effets nuls ou inexistants. Dans ce cas, même s’il y a eu des améliorations, c’est difficile de contrôler l’application de la loi et de forcer les groupes étrangers à la suivre. Il faut ajouter encore le comportement “a risque” des clients volontairement ou non (on parle de Facebook dont tout le monde sait qu’ils se gavent, ou des services qui écrivent en tout petit que les données sont stockées à l’étranger).
C’est notamment pour lever les zones d’ombre que les CNILs proposent des guidelines ou des consultations.
#9
Trouves-tu normal que toutes personnes te connaissant très bien où pas forcément, sachent te localiser à tout moment par ton Smartphone ? (en s’y connaissant, bien sûr)
#10
Bien sûr que non. Le cadre législatif est du même avis que moi.
Mais dans certaines situations, certains peuvent considérer (subjectivement) ça comme utile pour eux ou pour l’utilisateur du smartphone. On peut penser par exemple à ta position sur google maps lorsque tu es dans une ville étrangère.
C’est pour ça que le traitement de ces données est permis uniquement lorsque le sujet l’accepte. La loi est très claire là dessus. De là, 2 conséquences:
Pour en revenir à ton exemple, tu as accepté (en théorie, souvent en tout petit dans des CG avec des termes flous) qu’on puisse accéder à ces données.
La seule solution est de favoriser la conception de services et de matériel selon la philosophie du privacy by design. C’est aussi un des objectifs de la GDPR, mais difficile à mettre en oeuvre.
#11
Je comprends et je suis triste parfois de cette forme de chantage (“si tu n’accepte pas, tu n’as rien!”). Je ne savais pas que le chantage soit une tolérance acceptable (je m’y plie parfois, mais avec beaucoup de retenue, mais je trouve malgré tout ceci pas très légal)
#12
Sur ce point, la GDPR insiste sur le fait que la collecte de données ne doit pas être une condition sine qua none à la conclusion du contrat.
Mais ce “chantage” comme tu dis est le principe de la liberté contractuelle. Quant tu vas au magasin, ils te proposent un prix, chez certains tu peux négocier mais si t’es pas d’accord, t’as rien. Le net n’a rien inventé là dessus, si ce n’est qu’ils ont troqués les espèces sonnantes et trébuchantes pour des données.
C’est dur de dire non, et on dispose de certains moyens de se battre (choix d’entreprise proposant des services respectueux, utilisation d’addons lorsqu’on navigue sur internet, voir même boycott). Certes sur smartphone c’est beaucoup plus compliqué (en tout cas pour moi).
#13
Je voulais changer “pas très légal” (mais c’était trop tard pour éditer) car je me doute qu’il y ait des choses légales, mais y associer d’autres qui le sont moins, est cette nuance qui m’irrite. (un peu comme si il demandait de jeter un coup d’œil dans notre porte-feuille, voir les photos, nos cartes de fidélités, etc)
#14
je partage ton avis, mais des fois c’est difficile. Entre ceux qui s’en foutent, ceux qui n’ont rien à cacher et les fois ou les autres t’obligent presque à recourir à des services peu scrupuleux, et les données que tu donnes alors que tu ne sais pas bien comment elles seront exploitées (le numéro de téléphone sur steam par exemple)la dimension “choix” ou autodétermination en matière de données personnelles est faible.
,
Le principal problème est que la loi, qui est le moyen standard utilisé par nos Etats pour régler ce type de question est pas mal remis en question par le caractère universel d’internet.
#15
Sur Steam, et bien, je ne cherche pas d’amis, je ne joue que les ‘solo’ et évite les inscriptions pour obtenir les addons. Je ne tiens pas qu’on sache que je passe autant d’heures sur Skyrim ou Fallout4 et les dates et heures où j’y ai joué et avec qui, comme j’ai eu le cas une seule fois sur ma messagerie (je n’ai plus été sur ces petits jeux associés à Windows Live Messenger, il y a quelques années, quoi qu’amusant)
#16
" />
#17
#18
#19
Haha ! Ouais, c’est quand je suis sur l’application iOS NextINpact avec les émoticones iOS ! D’ailleurs elle sort quand la mise à jour ! En plus on ne peut pas éditer !
" /> " /> " /> " />
#20
tu as raison j’ai été beaucoup trop vite et me suis concentré uniquement sur la question du consentement.