Trois consultations à la CNIL sur le règlement européen sur la protection des données

Profilage, consentement et violation des données

Le 24 février 2017 à 09h31

5 min

Droit

À l’approche du prochain RGPD, la CNIL vient d'ouvrir trois nouveaux thèmes à consultation : la notification de violation des données personnelles, le profilage et le consentement. Quiconque peut apporter sa pierre à l’édifice, voire anticiper des difficultés concrètes.

RGPD, derrière l’acronyme, on trouve le règlement général sur la protection des données personnelles (en anglais General Data Protection Regulation ou GDPR). Un texte fondateur qui entrera en vigueur le 24 mars 2018. D’application directe contrairement aux directives, il s'imposera dès qu’un résident européen sera directement visé par un traitement de données, sur Internet ou non.

Ce texte, sur lequel nous reviendrons prochainement dans un dossier, consacre une série de nouveaux droits : celui de la portabilité des données, une protection renforcée pour les enfants, des actions collectives, un droit au dédommagement, etc. Seulement, chaque thème est source d’interrogations, aussi bien pour les responsables de traitement que pour les personnes concernées.

L’obligation de notification des violations de données

La CNIL vient ainsi d’ouvrir trois nouvelles consultations sur l’autel du RGPD. Première d’entre-elles, l’obligation de notification des violations de données à caractère personnel.

Pour mémoire, en effet ; selon l’article 33 du règlement, en cas de violation, le responsable du traitement doit notifier l’autorité de contrôle (en France, la CNIL), « dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance ». Sauf à justifier des motifs du retard. L’article 33 ajoute que « lorsqu'une violation de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique », alors ce responsable doit en principe communiquer cette violation « à la personne concernée dans les meilleurs délais ».

Sur ce point, la CNIL a posté plusieurs questions ouvertes, qui montrent à elles seules que le passage du texte à la réalité ne sera pas bien simple.

Qu’entend-on par violation de données à caractère personnel ? Quand faut-il notifier, quelles sont les hypothèses où une violation n’aura pas à être notifiée, ou encore comment devra se matérialiser l’information des personnes ? Dans la zone des commentaires, Bruno Rasle, délégué général de l’association française des correspondants aux données personnelles déconseille déjà les « messages donnant l'unique priorité à la protection juridique de l'entité, ni […] des messages propres à provoquer la panique chez les personnes concernées. Le concepteur du message doit se mettre à la place de la personne concernée - pas de jargon (ni technique ni juridique), du simple, du concret ».

Le profil du profilage

Autre exploration : la notion même de profilage et ses conséquences juridiques. Selon l’article 4 du règlement européen, il y a profilage lorsqu’on utilise des données à caractère personnel « pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique ».

Selon le règlement, une personne a alors «le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé (…) produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire ».

Un principe immédiatement écarté lorsqu’il s’agira de conclure ou d’exécuter un contrat, ou bien lorsque des mesures appropriées seront prévues « pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ». Enfin, lorsque l’individu y aura consenti.

Ces grandes lignes esquissées, le passage de cette régulation dans la vraie vie soulève là aussi des difficultés. « Dans quels cas une décision peut-elle, selon vous, " affecter une personne de manière significative " ? » interroge la CNIL. Celle-ci ouvre d’autres débats, dont celui des garanties pour les personnes concernées, du privacy by design tel qu’imposé par l’article 25 du règlement. Plus largement, à l’heure des algorithmes et du big data, elle demande aux internautes de leur faire part de leurs craintes sur ce moyen.

Le consentement

La notion de « consentement » de la personne concernée est évidemment un pivot de cette législation uniformisée dans l’ensemble des États membres. L’article 4 apporte cette définition : « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ».

Là encore, la CNIL s’adresse à la communauté des contributeurs : « Comment se matérialise une volonté "libre", "spécifique", "éclairée" et "univoque" ? Quelles formes pourraient prendre une "déclaration" ou un "acte positif clair" ? ». De même, comment se peut prouver le consentement ? « Comment matérialiser la preuve du consentement ? Faut-il avoir recours à des solutions internes ou à des organismes tiers ? Dans quelles conditions ? Combien de temps conserver cette preuve ? »

Cette consultation est ouverte du 23 février au 23 mars 2017. Elle sera conclue, comme la précédente vague organisée l’an passé, par une synthèse des contributions.

Commentaires (20)

2show7

Le 24/02/2017 à 11h08

Je comprends et je suis triste parfois de cette forme de chantage (“si tu n’accepte pas, tu n’as rien!”). Je ne savais pas que le chantage soit une tolérance acceptable (je m’y plie parfois, mais avec beaucoup de retenue, mais je trouve malgré tout ceci pas très légal)

bloossom

Le 24/02/2017 à 11h43

Sur ce point, la GDPR insiste sur le fait que la collecte de données ne doit pas être une condition sine qua none à la conclusion du contrat.

Mais ce “chantage” comme tu dis est le principe de la liberté contractuelle. Quant tu vas au magasin, ils te proposent un prix, chez certains tu peux négocier mais si t’es pas d’accord, t’as rien. Le net n’a rien inventé là dessus, si ce n’est qu’ils ont troqués les espèces sonnantes et trébuchantes pour des données.

C’est dur de dire non, et on dispose de certains moyens de se battre (choix d’entreprise proposant des services respectueux, utilisation d’addons lorsqu’on navigue sur internet, voir même boycott). Certes sur smartphone c’est beaucoup plus compliqué (en tout cas pour moi).

2show7

Le 24/02/2017 à 12h03

Je voulais changer “pas très légal” (mais c’était trop tard pour éditer) car je me doute qu’il y ait des choses légales, mais y associer d’autres qui le sont moins, est cette nuance qui m’irrite. (un peu comme si il demandait de jeter un coup d’œil dans notre porte-feuille, voir les photos, nos cartes de fidélités, etc)

bloossom

Le 24/02/2017 à 13h18

je partage ton avis, mais des fois c’est difficile. Entre ceux qui s’en foutent, ceux qui n’ont rien à cacher et les fois ou les autres t’obligent presque à recourir à des services peu scrupuleux, et les données que tu donnes alors que tu ne sais pas bien comment elles seront exploitées (le numéro de téléphone sur steam par exemple)la dimension “choix” ou autodétermination en matière de données personnelles est faible.

,

Le principal problème est que  la loi, qui est le moyen standard utilisé par nos Etats pour régler ce type de question est pas mal remis en question par le caractère universel d’internet.

2show7

Le 24/02/2017 à 13h50

Sur Steam, et bien, je ne cherche pas d’amis, je ne joue que les ‘solo’ et évite les inscriptions pour obtenir les addons. Je ne tiens pas qu’on sache que je passe autant d’heures sur Skyrim ou Fallout4 et les dates et heures où j’y ai joué et avec qui, comme j’ai eu le cas une seule fois sur ma messagerie (je n’ai plus été sur ces petits jeux associés à Windows Live Messenger, il y a quelques années, quoi qu’amusant)

matroska

Le 24/02/2017 à 13h56

" />

2show7

Le 24/02/2017 à 14h04

matroska a écrit :

" />

Es-tu en train de savourer les cookies ? " /> (je plaisante, mais ‘stress’ icon y ressemble un peu " />)

jurinord

Le 24/02/2017 à 14h36

bloossom a écrit :

. Le cadre législatif est du même avis que moi. […]

C’est pour ça que le traitement de ces données est permis uniquement lorsque le sujet l’accepte. La loi est très claire là dessus.

En es tu certain? En tant que juriste, j’ai sursauté en lisant cela. Le consentement est (Directive ¹⁹⁹⁵⁄₄₆) et restera (Règlement ²⁰¹⁶⁄₆₇) que L’UNE des 6 conditions de validité du traitement .

L’article 6 du RGPDl’indique clairement :

“1.   Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie:
             a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;    
     b) le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci;  
        c) le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis;&nbsp;  
        d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique;    
        e) le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement;    
     f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection  des données à caractère personnel, notamment lorsque la personne     
concernée est un enfant.”

 

De plus, au sujet des cookies, tu indiques “Le règlement est assez catégorique sur les cookies qui récoltent des données privées: consentement nécessaire! C’est l’éternelle débat du droit dans les livres et du droit en mouvement.”. 

Les cookies sont régulés par la directive E-privacy de 2002 ( N°2002/58/CE  dit “ directive «vie privée et communications électroniques»), non pas la directive ¹⁹⁹⁵⁄₄₆. il s’agit d’une régulations sectorielle aux seules communications électronique, là où la directive de 1995 s’applique à tout recueil de données (informatique ou manuscrit).

En complément du RGPD, la Commission a présenté le 10 janvier dernier un projet de règlement venant remplacer la directive e-privacy . Ce nouveau règlement sectoriel doit normalement entrer en vigueur  le  25 mai 18, soit le même jour que le RGPD. Pour l’instant , ce règlement n’est pas encore voté, à la différence du RGPD. Mais, dans ce projet, le recueil du consentement n’est qu’une modalité au dépôt de cookies  récolant  des données à caractère personnel sur le terminal équipement de l’utilisateur :

Article 8 du projet de Règlement e-privacy :

 

“Protection des informations stockées dans les équipements terminaux des utilisateurs finaux ou liées à ces équipements

 

L’utilisation des capacités de traitement et de stockage des équipements terminaux et la collecte d’informations provenant des équipements terminaux des utilisateurs finaux, y compris sur les logiciels et le matériel, sont interdites, sinon par l’utilisateur final concerné et pour les motifs suivants:  (y) si cela est nécessaire à la seule fin d’assurer une communication électronique dans un réseau de communications électroniques;    ou  (z) si l’utilisateur final a donné son consentement;     ou  (aa) si cela est nécessaire pour fournir un service de la société de l’information demandé par l’utilisateur final;    ou  (bb) si cela est nécessaire pour mesurer des résultats d’audience sur le Web, à condition que ce mesurage soit effectué par le fournisseur du service de la société de l’information demandé par l’utilisateur final”.

Donc sur les 3 hypothèses envisagées, une seule nécessite d’obtenir le consentement de la personne (Z); Dans les cas y), aa) et bb) on déduit l’obtention du consentement de l’utilisateur final car la collecte de données est l’accessoire d’une présentation qu’il a demandé.

Enfin, dans ce projet de règlement e-privacy, l’article 9, paragraphe 2 consacré au consentement indique que celui-ci peut être recueilli en le déduisant des paramètres de confidentialité du navigateur  :

 

 “Si cela est techniquement possible et réalisable, aux fins de l’article 8, paragraphe 1, le consentement peut être exprimé à l’aide des paramètres techniques appropriés d’une application logicielle permettant d’accéder à Internet”.

Aussi, le recueil du consentement sera le plus souvent déduit (présomption en droit), plutôt que demandé de manière active (sauf pour les données sensibles : santé, politique, convictions religieuses, orientation sexuelle …).

matroska

Le 24/02/2017 à 19h29

Haha ! Ouais, c’est quand je suis sur l’application iOS NextINpact avec les émoticones iOS ! D’ailleurs elle sort quand la mise à jour ! En plus on ne peut pas éditer !

" /> " /> " /> " />

bloossom

Le 28/02/2017 à 08h46

tu as raison j’ai été beaucoup trop vite et me suis concentré uniquement sur la question du consentement.

picatrix

Le 24/02/2017 à 09h43

Donc ça veut dire que l’état devra notifier à la CNIL dans les 72h qu’il s’est fait pirater son fichier TES ?

2show7

Le 24/02/2017 à 09h46

picatrix a écrit :

Donc ça veut dire que l’état devra notifier à la CNIL dans les 72h qu’il s’est fait pirater son fichier TES ?

Il faut encore qu’ils le sachent " />

matroska

Le 24/02/2017 à 09h50

Plus personne n’a l’air de parler de l’obligation d’héberger les données personnelles des européens… en Europe… J’ai bien peur qu’ils auront du mal à faire plier Facebook. Sinon j’ai remarqué qu’en IPv4 Facebook est toujours routé aux USA par contre en IPv6 ça route vers l’Irlande. Un signe annonciateur ? Après bon j’ai pas de compte…

" />

2show7

Le 24/02/2017 à 10h06

Tous les “Saruman” d’état croient maîtriser leur situation et ne sont en fait que des pions d’un vaste complot mondial (ça n’engage que mon avis)

jackjack2

Le 24/02/2017 à 10h14

picatrix a écrit :

Donc ça veut dire que l’état devra notifier à la CNIL dans les 72h qu’il s’est fait pirater son fichier TES ?

Cazeneuve a dit qu’il était super sécurisé, arrête les rumeurs! " />

2show7

Le 24/02/2017 à 10h29

La seule chose que je dirais, ça fait des années que les cookies se goinfrent de multitudes de données diverses, je n’ai jamais entendu de ministères européens y consacrer un quelconque intérêt à sanctionner ouvertement (on ne parle d’études bidons qui ne font qu’inlassablement retarder les véritables actions de sanctions et d’arrêt)

bloossom

Le 24/02/2017 à 10h33

S’ils sont soumis à la GDPR oui. Mais bon il y a les sempiternelles exceptions en matière de sécurité, de défense et d’activité générale de l’Etat.

bloossom

Le 24/02/2017 à 10h37

Le règlement est assez catégorique sur les cookies qui récoltent des données privées: consentement nécessaire! C’est l’éternelle débat du droit dans les livres et du droit en mouvement.

 Une loi peut défendre parfaitement les citoyens (la GDPR propose de grosse innovations et une bonne protection si on lit la loi), mais avoir des effets nuls ou inexistants. Dans ce cas, même s’il y a eu des améliorations, c’est difficile de contrôler l’application de la loi et de forcer les groupes étrangers à la suivre. Il faut ajouter encore le comportement “a risque” des clients volontairement ou non (on parle de Facebook dont tout le monde sait qu’ils se gavent, ou des services qui écrivent en tout petit que les données sont stockées à l’étranger).

C’est notamment pour lever les zones d’ombre que les CNILs proposent des guidelines ou des consultations.

2show7

Le 24/02/2017 à 10h43

Trouves-tu normal que toutes personnes te connaissant très bien où pas forcément, sachent te localiser à tout moment par ton Smartphone ? (en s’y connaissant, bien sûr)

bloossom

Le 24/02/2017 à 10h55

Bien sûr que non. Le cadre législatif est du même avis que moi. 

Mais dans certaines situations, certains peuvent considérer (subjectivement) ça comme utile pour eux ou pour l’utilisateur du smartphone. On peut penser par exemple à ta position sur google maps lorsque tu es dans une ville étrangère.

C’est pour ça que le traitement de ces données est permis uniquement lorsque le sujet l’accepte. La loi est très claire là dessus. De là, 2 conséquences:

Les gens s’en foutent et acceptent (les conditions générales d’utilisation de FB, d’android ou autre)

Les gens ne savent pas ce qui se passe et acceptent par défaut (ce contre quoi l’UE lutte, et qui va être encore développé par la GDPR en introduisant des conditions strictes sur le consentement)

Les gens ne veulent pas être pistés et le font savoir: si ça se fait quand même alors il faut aller en justice.

Pour en revenir à ton exemple, tu as accepté (en théorie, souvent en tout petit dans des CG avec des termes flous) qu’on puisse accéder à ces données.

La seule solution est de favoriser la conception de services et de matériel selon la philosophie du privacy by design. C’est aussi un des objectifs de la GDPR, mais difficile à mettre en oeuvre.