Un député dépose un texte pour renforcer la législation sur les données personnelles
C'est bon pour le morel
Le 17 décembre 2014 à 13h14
7 min
Droit
Droit
Un député UMP vient de déposer une proposition de loi « visant à renforcer la protection des données à caractère personnel sur Internet ». Au programme : consécration d’un droit à l’oubli, au déréférencement, ou bien encore l’obligation pour la CNIL de rendre publiques toutes les sanctions qu’elle prononce. Il est toutefois peu probable que ce texte issu de l’opposition soit discuté prochainement.
À l’appui des derniers rapports d’activité de la Commission nationale de l’informatique et des libertés (CNIL), qui montrent que le nombre de plaintes reçues par l’institution a parfois fortement augmenté ces dernières années, le député Pierre Morel-A-L’Huissier juge aujourd’hui que la loi « Informatique et Libertés » de 1978 est « insuffisant[e] ». Tandis que les géants du Net récoltent chaque jour davantage de données sur leurs utilisateurs, et que les révélations Snowden ont mis en lumière la façon dont les gouvernements pouvaient malmener la vie privée des citoyens, l’élu UMP plaide pour un toilettage de notre législation.
Le parlementaire a ainsi rédigé une proposition de loi, qui vient d’être déposée à l’Assemblée nationale, et dont nous avons pu obtenir une copie. Mais d’entrée, force est de constater que ce texte s’apparente avant tout à un outil politique visant à afficher une position, tant ses dispositions semblent fragiles et imprécises sur le plan juridique.
Donner aux adresses IP le statut de données personnelles
« D’abord, et face aux hésitations de la jurisprudence sur ce point, la définition des éléments permettant l’identification de la personne ne peut se restreindre au nom, au prénom, à la photographie ou aux données biométriques de la personne, mais doit s’étendre à l’adresse IP de celle-ci » écrit Pierre Morel-A-L’Huissier dans son exposé des motifs. La proposition de loi du parlementaire vise dès lors à faire entrer expressément l’adresse IP dans le champ de l’article 2 de la loi Informatique et Libertés.
Actuellement, la législation dispose que « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres » est une donnée personnelle. Sauf que certaines juridictions françaises ont déjà estimé que les adresses IP devaient être exclues de ce périmètre (voir notre article). On peut imaginer qu’une telle évolution législative pourrait aider pour les litiges liés par exemple à l’IP tracking, d'autant que la Commission européenne, comme la CNIL ou le G29, considèrent tous qu'il s'agit d'une donnée personnelle.
Consécration d’un « droit à l’oubli »
Alors que la Cour de justice de l’Union européenne a rendu en mai dernier une décision contestée sur le sujet, le député Morel-A-L’Huissier estime que « la consécration d’un véritable droit à l’oubli est inévitable ». Son idée ? Modifier l’article 38 de la loi Informatique et Libertés, qui prévoit actuellement que « toute personne physique a le droit de s'opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l'objet d'un traitement ».
Le député souhaite tout simplement rayer la mention « pour des motifs légitimes », histoire de rendre quasiment systématiques les suppressions de données personnelles. Sa proposition de loi renverse en fait la charge de la preuve, puisque ce serait le responsable du traitement qui devrait démontrer que la demande n’est pas légitime au regard de l’objectif poursuivi.
Pierre Morel-A-L’Huissier voudrait au passage inscrire dans la loi que ces demandes peuvent « s’effectuer par la voie d’un simple courrier électronique au responsable du traitement », et ce « afin de ne pas décourager les internautes d’effectuer cette démarche ».
« Obligation de déréférencement » pour les moteurs de recherche
En complément, le parlementaire propose d’introduire dans la loi une « obligation de déréférencement », « sans délai » et « à la charge des moteurs de recherche ». Cette purge serait systématique dès « l’obtention par une personne de la suppression d’une donnée à caractère personnel la concernant ». L’idée semble simple sur le papier : dès lors qu’une information disparaît d’un site suite à la demande d’une personne, elle devrait par la suite être automatiquement effacée chez les Google & co.
Les sanctions de la CNIL publiques par défaut
Le député souhaite d'autre part modifier plusieurs choses concernant le fonctionnement de la CNIL. Sa proposition de loi prévoit ainsi que les sanctions prononcées par l’institution soient toutes rendues publiques, par défaut, et ce « dans une optique dissuasive ».
Aujourd’hui, la Commission est libre de divulguer (ou non) le nom d’une société ou d’un organisme à qui elle tire les oreilles. Mais en principe, l'autorité n’a recours à cette mise à l’index que pour certaines affaires – souvent les plus graves ou les plus symboliques – à l’image de la sanction contre Google. À titre d’illustration, la gardienne des données personnelles n’a infligé « que » 12 sanctions en 2013, dont 7 furent pécuniaires.
Étrangement, il n’est par contre pas question d’augmenter le pouvoir de sanction de la CNIL, limité à 150 000 euros d'amende pour un premier manquement.
Des correspondants Informatique et Libertés dans toutes les grandes entreprises
Autre proposition : rendre obligatoire la nomination d’un correspondant « Informatique et Libertés » (CIL) au sein « des autorités ou organismes publics, des entreprises de 50 salariés et plus, [ainsi que pour] tout autre organisme dont les activités consistent en des traitements qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique ». Ces personnes, spécifiquement formées aux problématiques liées aux données personnelles, ont principalement pour rôle de faciliter les démarches administratives en lien avec la CNIL. Mais aujourd’hui, la désignation d’un CIL est purement facultative.
En 2010, la CNIL affirmait qu’il y avait 10 000 correspondants « Informatique et Libertés ».
Les données personnelles au programme du projet de loi numérique
Hasard du calendrier, ce texte est déposé au Parlement alors que la législation sur les données personnelles est appelée à évoluer prochainement. La plupart des points évoqués par Pierre Morel-A-L’Huissier ont en effet été abordés lors des discussions relatives à la révision de la directive européenne de 1995 sur les données personnelles, qui pourrait être adoptée définitivement dans le courant de l’année prochaine. L’élu estime à cet égard que « la France doit accompagner ce mouvement ».
La question des données personnelles devrait surtout être à l’ordre du jour du projet de loi numérique préparé par Axelle Lemaire. Droit à l’oubli, au déréférencement, pouvoir de sanction de la CNIL... Tous ces sujets touchés du doigt par le député Morel-A-L’Huissier sont actuellement soumis au débat public via la grande concertation menée par le Conseil national du numérique, et pourraient dès lors se retrouver dans le texte de la secrétaire d’État au Numérique, dont la présentation devant le Parlement devrait avoir lieu l’année prochaine (voir notre article). Dans tous les cas, majorité comme opposition n'ont pas beaucoup de marge ; il est en effet risqué de vouloir modifier aujourd'hui en profondeur la loi CNIL alors que la France devra se mettre au diapason européen très prochainement.
Un député dépose un texte pour renforcer la législation sur les données personnelles
-
Donner aux adresses IP le statut de données personnelles
-
Consécration d’un « droit à l’oubli »
-
« Obligation de déréférencement » pour les moteurs de recherche
-
Les sanctions de la CNIL publiques par défaut
-
Des correspondants Informatique et Libertés dans toutes les grandes entreprises
-
Les données personnelles au programme du projet de loi numérique
Commentaires (11)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 17/12/2014 à 13h50
Si l’IP statique de la box peut s’apparenter à une donnée personnelle (et encore, c’est personnel du foyer, hein), toutes les autres IP ne sont que l’adresse du dernier équipement à relayer la connexion. Le moins que l’on puisse dire, c’est que ça ne représente pas vraiment un personne…
Quand au reste, pourquoi pas. Le droit à l’oubli s’il est légitime, pose quand même le problème de l’effacement d’activité malveillante : il sera alors plus facile pour un pirate ou un terroriste d’effacer ses traces et de disparaitre… Pour moi, le droit à l’oubli ne doit s’appuyer qu’à l’usage commercial ou à la publication des informations, pas à une disparition complète (ou alors, “pour des motifs légitimes”…)
Le 17/12/2014 à 14h11
Pour l’ip statique (fixe ? je pense) , ce n’est pas valable …
Si la personne passe par un vpn , c’est l(ip du vpn …donc un vpn russe ,tu peux tjs pleurer pour avoir l’ip réelle de la personne.
Le 17/12/2014 à 14h37
Il a des trucs à cacher?
" />
Le 17/12/2014 à 14h42
« D’abord, et face aux hésitations de la jurisprudence sur ce point, la définition des éléments permettant l’identification de la personne ne peut se restreindre au nom, au prénom, à la photographie ou aux données biométriques de la personne, mais doit s’étendre à l’adresse IP de celle-ci »
Il serait plus simple de forcer les FAI à renouveler fréquemment leurs IP par défaut et cela affecterait également les entreprises étrangères qui ne relèvent pas du droit français ou peuvent se permettre de l’ignorer.
Pour ma part je trouve cette IP fixe rageante : c’est le seul élément que je ne peux pas anonymiser, sauf à passer par un VPN qui me ralentit beaucoup et est refusé sur certains sites suite à des tentatives de piratage via ce VPN.
Certains me diront que ce serait freiner l’innovation sur le marketing. Je propose donc en compensation la suppression de mille pages de réglementations techniques sur les normes environnementales, chimiques, industrielles, du BTP, etc. Ce sera à mon avis plus profitable et moins nocif.
Le 17/12/2014 à 15h47
joli le sous - titre !
Le 17/12/2014 à 15h55
Le 17/12/2014 à 18h16
Oui enfin le CIL ce nest pas la panacée non plus. Pour avoir fait la formation, le CIL te permet de te dispenser de déclaration (cas le truc super facile) et t offre un lien privilégié avec la CNIL (super). Donc , le sujet est important, il faut peut être changer les choses. Mais pas comme ça.
Le 17/12/2014 à 19h13
Le 18/12/2014 à 07h56
Le 18/12/2014 à 09h39
Le 18/12/2014 à 10h55
Ah pardon, j’avais oublié de regarder l’auteur du post. Je ferai plus attention la prochaine fois…