Connexion
Abonnez-vous

RGPD et conservation des données : deux poids, deux mesures de mise en conformité

Télé2, Télé1, Télé0

RGPD et conservation des données : deux poids, deux mesures de mise en conformité

Le 11 avril 2018 à 15h50

Alors que la CNIL presse les entreprises et collectivités à se mettre en conformité sur le terrain du RGPD, qu’attend la France pour se mettre en phase avec une jurisprudence fondamentale de la CJUE rendue sur la conservation des données ? Éléments de réponse apportés par la présidente de la CNIL.

Avec l’arrêt Télé2 du 21 décembre 2016,  la Cour de justice de l’Union européenne a interdit toute « réglementation nationale prévoyant, à des fins de lutte contre la criminalité, une conservation généralisée et indifférenciée de l’ensemble des données relatives au trafic et des données de localisation de tous les abonnés et utilisateurs inscrits concernant tous les moyens de communication électronique ».

En clair, avec cette jurisprudence, qui confirme l’arrêt Digital Rights, les États membres ne peuvent prévoir une obligation indiscriminée de conservation des données de connexion pour les échanges téléphoniques et électroniques passés sur leur territoire.

Petite contrariété nationale : si l'article L. 34 - 1 du Code des postes et des télécommunications pose un principe d’effacement ou d’anonymisation des données de connexion, c’est pour prévoir une dérogation immédiate. Il impose aux intermédiaires techniques de conserver des wagons de données pour une durée d’un an.

Sur ce stock, de nombreuses institutions viennent ensuite butiner de précieuses informations sur le qui, quand, où, comment d’un appel ou d’un échange électronique. Les services du renseignement, mais aussi les douanes, l’autorité judiciaire, l’ANSSI, la sécurité sociale, Bercy ou encore la Hadopi dans le cadre de la riposte graduée. Bref, des situations qui ne relèvent pas toutes de la « criminalité grave », selon le critère pourtant exigé par la Cour de justice de l’Union européenne.

Quand la CNIL se tourne vers la Chancellerie et l'Intérieur

La question étant tombée pour fin de mandat, la députée UDI Laure de la Raudière est revenue à la charge pas plus tard que le 10 avril dernier, en reprenant peu ou prou les éléments clefs de ces interrogations.

Vendredi dernier, lors d’un colloque au Conseil d’État relatif au contrôle de la loi sur le renseignement, plusieurs huiles du secteur ont souligné en chœur que l’arrêt posait des problèmes opérationnels lourds. Des questionnements qui n’ont pas été aussi métaphysiques outre-Rhin.

Hier, lors de la conférence de présentation du rapport annuel de la CNIL, nous avons interrogé Isabelle Falque-Pierrotin, sa présidente, pour savoir ce qu’entendait faire la commission, plus d’un an et demi après cet arrêt. « La situation est assez difficile. Nous nous sommes tournés vers la chancellerie et le ministère de l’Intérieur pour avoir des recommandations ou des solutions dans la mise en œuvre de cette décision, mais nous n’avons pas eu de réponse, dans un sens ou un autre » nous a-t-elle indiqué. Selon des précisions apportées quelques minutes plus tard, la CNIL a bien fait des suggestions, mais sans retour.

Une autorité indépendante

Le positionnement reste néanmoins surprenant s’agissant d’une autorité indépendante. Celle-ci n’est pas tributaire  de l’exécutif. Sans son aval, elle peut mener à bien ses contrôles voire mettre en demeure des institutions pourtant publiques. La CNIL s’est d’ailleurs déjà attaquée à l’Admission Post-Bac cher au ministère de l’Éducation ou à l’Assurance maladie pour des indélicatesses avec la législation sur les données personnelles.

La passivité française, qui cache en réalité une volonté de statu quo absolu du gouvernement, contraint aujourd’hui des associations à entamer une guerre juridictionnelle nécessairement coûteuse, pas seulement en énergie et temps.

Plus globalement, l’affaire Facebook/Cambridge Analytica suscite aujourd’hui une pluie de critiques faciles et légitimes des autorités de contrôle. Mais quelle est donc la logique, quand ces mêmes poussent l’arrêt Télé2 vers l’oubli, un arrêt pourtant si fondamental pour la protection des données personnelles ?

Commentaires (17)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar



si l’article L. 34-1 du Code des postes et des télécommunications pose un principe d’effacement ou d’anonymisation des données de connexion, c’est pour prévoir une dérogation immédiate. Il impose aux intermédiaires techniques de conserver des wagons de données pour une durée d’un an.





ce passage me rappelle ça :https://www.eff.org/deeplinks/2013/06/why-metadata-matters

votre avatar

C’est à ça qu’on reconnait une grande démocratie. Quand l’état respecte scrupuleusement les lois et les décisions de justice.<img data-src=" />



(Et si la justice ne va pas dans le sens des rayons solaires, on réforme à coup d’ordonnances)

votre avatar

Le positionnement reste néanmoins surprenant s’agissant d’une autorité indépendante. Celle-ci n’est pas tributaire l’exécutif. Sans son aval, elle peut mener à bien ses contrôles voire mettre en demeure des institutions pourtant publiques.



Certes, mais dans le cas présent, je n’ai pas trouvé dans la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, ce qui permettrait à la CNIL d’intervenir suite à la décision de la CJUE.



Je l’ai pourtant parcourue à nouveau mais j’ai peut-être raté quelque chose, étant moins calé que Marc en droit.



Je n’ai pas l’impression que c’est de la CNIL qu’il faut attendre le coup de pied dans la fourmilière mais plutôt de la justice : ça ira a priori jusqu’à la Cour de Cassation.



Pour expliquer un peu ce que je dis, la CNIL peut intervenir quand la Loi du 6 janvier 1978 est violée (c’est un peu rapide comme résumé, mais quand même l’esprit de cette loi), et ici, ce n’est pas le cas, puis qu’il s’agit d’un texte Européen qui est violé. C’est pour cela que je pense que c’est à un juge de faire appliquer la décision de la CJUE.

votre avatar

La CJUE veille au respect du droit de l’UE qui lui-même prime le droit français. La CNIL doit donc respecter les décisions de la Cour de Justice. D’où cette référence au fameux arrêt Google Spain (sur le droit à l’oubli des moteurs de recherche) sur le site de la CNIL&nbsp;

https://www.cnil.fr/fr/decision-de-la-cour-de-justice-de-lunion-europeenne-les-m…

votre avatar

Le droit de l’UE ne prime pas sur le droit français. 1ere année de Droit, introduction au Droit, hiérarchie des normes.



Le droit de l’UE est en dessous du bloc de constitutionnalité, et encore je crois que maintenant certaines partie sont présentes dans le bloc.



Dans tous les cas, le droit UE fait partie intégrante du droit français, dire qu’il est en dessus ou en dessous n’a pas de sens.



De fait, les règlements européens arrivent par le haut de la pyramide, et doivent être traduits dans la loi ou par ordonnances. Afin qu’ils produisent des effets dans les niveaux inférieurs.

votre avatar

Je pense que tu confonds avec la question de place de la Constitution par rapport au droit de l’UE. Mais ici ce n’est pas le sujet, fred42 se demandait juste si une autorité administrative indépendante devait respecter le droit le l’UE.

D’abord contrairement à ce que tu dis, les reglements européens sont d’application directe et contrairement aux directives n’ont pas à être transposés en droit français. Ensuite si tu n’avais pas oublié tes cours de droit constitutionnel de 1ere année tu saurais que l’article 55 de notre Constitution reconnait lui-même la supériorité des traités sur les lois nationales ;).

Par ailleurs la CJUE a reconnu la primauté du droit européen sur les droits nationaux depuis 1964 (Costa c/ Enel)

pour tes révisions :https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=LEGISSUM%3Al14548

votre avatar

J’attendais une argumentation juridique plus poussée que seulement un rappel de la hiérarchie des normes.

Comme je l’ai dit, j’attends que l’on m’indique l’article de la loi du 6 janvier 78 qui fait que la CNIL serait compétente pour s’autosaisir sur le sujet des qui nous intéresse ou un cheminement depuis la décision de la CJUE et de ses conséquences sur les lois françaises qui ferait que la CNIL serait compétente.



Le cas du “droit à l’oubli” me semble un peu différent, puisque la CJUE confirmait que les moteurs de recherche traitaient des données personnelles avec les noms prénoms des personnes. La CNIL est donc bien compétente sur les demandes de suppression de certains résultats de recherche avec son nom, prénom.













linkin623 a écrit :



Le droit de l’UE ne prime pas sur le droit français. 1ere année de Droit, introduction au Droit, hiérarchie des normes.



Le droit de l’UE est en dessous du bloc de constitutionnalité, et encore je crois que maintenant certaines partie sont présentes dans le bloc.



Dans tous les cas, le droit UE fait partie intégrante du droit français, dire qu’il est en dessus ou en dessous n’a pas de sens.



De fait, les règlements européens arrivent par le haut de la pyramide, et doivent être traduits dans la loi ou par ordonnances. Afin qu’ils produisent des effets dans les niveaux inférieurs.







Il a globalement raison, en particulier sur le fait que le droit européen est compris dans le bloc de conventionnalité qui est au-dessus des lois françaises. Voir cet article de Wikipedia qui est plus précis que le lien que tu as mis en référence.

Il indique que :

Le bloc de conventionnalité est constitué du droit international, c’est-à-dire des traités et conventions internationales, à l’exclusion de la coutume (CE, 6 juin 1997, Aquarone), mais aussi (pour la France comme pour tous les États membres de l’Union européenne) du droit communautaire, c’est-à-dire les traités et le droit dérivé, directives et règlements.



Le fait qu’il ait utilisé le mot droit au lieu de loi fait qu’il n’a pas raison par rapport au bloc de constitutionnalité comme tu l’as rappelé.



Par contre, il est faux de dire qu’un règlement européen doit être traduit dans la loi. Un règlement est directement applicable. Tu confonds avec les directives qui elles doivent être transposées dans le droit de chaque état membre.


votre avatar

Un bel article d’hommage et un rappel salutaire à l’arrêt Tele2. Concernant l’attitude de la présidente de la Cnil, j’imagine qu’elle attend le 25 mai prochain et l’adoption du RGPD (qui uniformisera les règles dans l’ensemble de l’Union européenne, dont la France)… RGPD à propos duquel l’Assemblée nationale retarde la mise en conformité de la loi française “à l’insu de son plein gré”. <img data-src=" />

votre avatar

Pour les pointilleux de la pyramide Kelsenienne :





  • Article 280 TFUE “Les arrêts de la Cour de justice de l’Union européenne ont force exécutoire dans les conditions fixées à l’article 299”.

  • La jurisprudence de la CJUE est source de droit, voir par exemplecette étude&nbsp; qui rappelle que la CJUE a un pouvoir souverain “puisque aucune juridiction ne peut condamner sa jurisprudence. Aucune autorité n’est autorisée à la contester”.&nbsp;

  • &nbsp;Article 267 TFUE : “La Cour de justice de l’Union européenne est compétente pour statuer, à titre préjudiciel: a) sur l’interprétation des traités, b) sur la validité et l’interprétation des actes pris par les institutions, organes ou organismes de l’Union”.&nbsp;

  • René Chapus : “l’interprétation se confond avec la norme interprétée : elle représente le contenu même de l’acte en cause. De ce fait, elle s’impose avec la valeur qui est celle de la norme à laquelle elle s’applique etdont elle ne se détache pas” (cité dans l’article ci-dessus).



votre avatar

la question est intéressante, et Mme Falque-Pierrotin semble également se la poser. Personnellement, face à ce déficit du gouvernement, il me semble que l’action la plus simple aurait été pour un particulier d’exiger la mise en conformité, puis de suivre à fonds la procédure judiciaire jusqu’au bout. Malheureusement, le système a été pensé pour des parties qui jouent le jeu et non la montre.



J’ai le sentiment que le droit de l’UE est transposé dans ses textes et dans son interprétation dans la loi informatique et liberté, ce qui permettrait à la cnil d’agir. On pourrait faire un parallèle avec la situation où un tribunal français reconnaît un nouvel aspect de la loi: la CNIL agirait en conséquence aussi.

&nbsp; Après, c’est aussi difficile de savoir à qui&nbsp; s’adresser et comment. Niveau article, ça donnerait 11 et 45 pour une mise en demeure de l’autorité responsable de la collecte.



Si l’on considère que le caractère “sécurité” de la collecte dépasse le caractère “données personnelles”, ce qui rendrait la CNIL non compétente en la matière, l’arrêt digital rights semble apporter la réponse inverse: le droit de l’UE en matière de données personnelles ne permet pas de l’éluder au nom de la sécurité.



&nbsp;Le droit à l’oubli présente des similitudes avec ce cas:&nbsp; Les deux décisions de la CJUE sont rendues à la demande d’un autre Etat membre, et l’une produit indirectement des effets partout ailleurs, donc l’autre devrait également en produire. Dans les deux cas, on a un traitement de données personnelles, peu importe qu’il s’agisse de noms et prénoms ou d’autres données tant qu’elles sont personnelles.

&nbsp;

Force est de constater que ce ne sont pas toujours les entités privées qui trainent des pieds afin d’appliquer le droit.

Après, c’est mon avis en vitesse, donc à prendre avec des pincettes.

votre avatar







MarcRees a écrit :



Pour les pointilleux de la pyramide Kelsenienne :

René Chapus : “l’interprétation se confond avec la norme interprétée : elle représente le contenu même de l’acte en cause. De ce fait, elle s’impose avec la valeur qui est celle de la norme à laquelle elle s’applique etdont elle ne se détache pas” (cité dans l’article ci-dessus).



Ah! le Chapus! Ça me trapelle des souvenirs ^^


votre avatar

Ne lâche rien Marc, c’est bien souvent par l’oubli de l’inexcusable que les dictatures s’installent insidieusement <img data-src=" />

votre avatar



J’attendais une argumentation juridique plus poussée que seulement un rappel de la hiérarchie des normes.



Comme je l’ai dit, j’attends que l’on m’indique l’article de la loi du 6

janvier 78 qui fait que la CNIL serait compétente pour s’autosaisir sur

le sujet des qui nous intéresse ou un cheminement depuis la décision de

la CJUE et de ses conséquences sur les lois françaises qui ferait que

la CNIL serait compétente.



Pour répondre à ta question:



Outre la hiérarchie des nomes rappelée par Marc, qui te permet de constater que le droit de l’Union s’impose dans notre corpus juridique et en principe (car le débat existe toujours) se place juste au-dessous de notre constitution (tu as des auteurs qui estiment que la constitution n’est plus la source la plus haute).



Le fait que la CNIL peut s’appuyer sur la réglementation européenne découle de l’effet direct et de la primauté du droit de l’Union européenne, principes dégagés par l’Arrêt Van Gend en Loos du 5 février 1963; le justiciable pouvant depuis invoquer directement les normes européennes devant les juridictions nationales et européennes.

&nbsp;

Pour ce qui est de la marge de manœuvre de la CNIL, fondamentalement toutes juridictions (ce qu’est la formation restreinte de la CNIL) est par définition souveraine et peut avoir une interprétation totalement différente de la réglementation européenne.&nbsp;



De fait tu as des cours d’appel qui résistent sur certains points à la jurisprudence de la Cour de cassation par exemple (J’ai pu aussi croiser des magistrats qui t’expliquent que la réglementation européenne n’est pas applicable à leurs niveaux, c’est évidemment totalement faux mais ils sont souverains et s’ils le souhaitent peuvent dire n’importe quoi… c’est pour ça qu’on a plusieurs degrés de Juridictions ^^ ).



S’agissant de la CNIL, la CJUE n’a pas créer une nouvelle réglementation, elle a livré une interprétation de la réglementation existante.

&nbsp;

Aussi, à considérer que la CNIL décide d’avoir une interprétation différente de la réglementation européenne (en disant que la collecte généralisée des données et sans distinction n’est pas un problème), le Conseil d’Etat saisi livrera sa propre interprétation qui aura tout intérêt a être conformée à celle de la CJUE, à défaut celle-ci pourrait être saisie pour censurer l’article L. 34-1 du Code des postes.

votre avatar







crocodudule a écrit :



J’ai pu aussi croiser des magistrats qui t’expliquent que la réglementation européenne n’est pas applicable à leurs niveaux, c’est évidemment totalement faux mais ils sont souverains et s’ils le souhaitent peuvent dire n’importe quoi…







Et ils n’ont pas de hiérarchie qui doivent les virer pour incompétence? <img data-src=" />


votre avatar







ProFesseur Onizuka a écrit :



Et ils n’ont pas de hiérarchie qui doivent les virer pour incompétence? <img data-src=" />





Bien souvent tu l’évoques en matière pénale, par exemple pendant des années on a dénoncé la nullité des gardes à vue sur la base des articles 5§3 et 6 de la Convention Européenne faute de la présence de l’avocat. Pour nous expliquer que l’on avait tout faux, soit on nous répondait que la garde à vue n’était pas sans avocat puis qu’avant le début des auditions (où l’avocat était interdit) il y a avait un entretien avec l’avocat, soit on nous expliquait que la Convention on en avait rien à foutre.

La hiérarchie était très contente puisque cela permettait d’apporter “une réponse pénale” et tenir les stats de traitement de dossiers…



C’est encore le cas aujourd’hui lorsqu’on indique qu’en n’ayant pas accès au dossier durant la garde à vue on respecte par le principe de l’égalité des armes ^^ (Et d’ailleurs le projet de Loi de réforme va créer d’autres situations où on pourra l’évoquer…) .


votre avatar

Merci de ta réponse. En fait ma question était surtout liée au fait que je ne me souvenais pas suffisamment de la décision de la CJUE que je viens de relire.



Et comme je ne suis pas juriste, j’ai parfois un peu de mal à en comprendre toutes les subtilités.



À la relecture, il est clair que collecter les données de connexion (pour résumer simplement ces données) pour l’ensemble des utilisateurs et même pendant une durée limitée est interdit.



Il faut que les personnes dont on recueille les données soient même indirectement reliées à de la criminalité grave, le indirectement pouvant par exemple être une zone géographique si l’on peut prouver qu’il y a un risque suffisamment important dans cette zone.



Il est donc évident que la collecte indifférenciée des données de connexion est illégale. La CNIL peut donc se saisir du sujet puisqu’il ne peut y avoir une exception liée à cette collecte dans nos lois. Le régime normal de la collecte prévu dans la loi du 6 janvier 1978 s’applique donc.



Remarque pour sourire et relier à ta remarque sur un autre article d’hier :

L’application de cette décision de la CJUE fait que le traitement opéré par HADOPI devient illégal parce qu’il s’appuie sur la collecte de données illégale. On peut donc supprimer la HADOPI ou diminuer très fortement son budget pour les missions autre que la riposte graduée.

On pourra réaffecter ce budget à la CNIL qui en a bien besoin.



Donc, à la place de la CNIL, j’attaquerais rapidement HADOPI.

votre avatar







fred42 a écrit :



Merci de ta réponse. En fait ma question était surtout liée au fait que je ne me souvenais pas suffisamment de la décision de la CJUE que je viens de relire.



Et comme je ne suis pas juriste, j’ai parfois un peu de mal à en comprendre toutes les subtilités.



À la relecture, il est clair que collecter les données de connexion (pour résumer simplement ces données) pour l’ensemble des utilisateurs et même pendant une durée limitée est interdit.



Il faut que les personnes dont on recueille les données soient même indirectement reliées à de la criminalité grave, le indirectement pouvant par exemple être une zone géographique si l’on peut prouver qu’il y a un risque suffisamment important dans cette zone.



Il est donc évident que la collecte indifférenciée des données de connexion est illégale. La CNIL peut donc se saisir du sujet puisqu’il ne peut y avoir une exception liée à cette collecte dans nos lois. Le régime normal de la collecte prévu dans la loi du 6 janvier 1978 s’applique donc.



Remarque pour sourire et relier à ta remarque sur un autre article d’hier :

L’application de cette décision de la CJUE fait que le traitement opéré par HADOPI devient illégal parce qu’il s’appuie sur la collecte de données illégale. On peut donc supprimer la HADOPI ou diminuer très fortement son budget pour les missions autre que la riposte graduée.

On pourra réaffecter ce budget à la CNIL qui en a bien besoin.



Donc, à la place de la CNIL, j’attaquerais rapidement HADOPI.





Yep ca pourrait être une bonne méthode pour sabrer l’HADOPI ^^


RGPD et conservation des données : deux poids, deux mesures de mise en conformité

  • Quand la CNIL se tourne vers la Chancellerie et l'Intérieur

  • Une autorité indépendante

Fermer