Comme le contrôleur européen de la protection des données (CEPD), les eurodéputés (1) veulent une meilleure protection des données personnelles.
Le gouvernement français, lui, prévoit dans un projet d’ordonnance de la
renforcer. Mais le CNN, nouvellement créé, a rendu un avis critique.
Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie.
Selon une enquête publiée en juin 2011 par la Commission européenne, trois européens sur quatre se disent inquiets
de l’utilisation de leurs données personnelles. Alors que
les débats sur la modification de la directive européenne
sur la protection des données personnelles de 1995 doivent débuter à l’automne 2011, la transposition du
« Paquet télécom » (2) va-t-elle les rassurer ?
Première analyse du CNN
Le 25 novembre 2009, le Parlement européen et le Conseil de l’Europe ont adopté
la directive « Droit des citoyens » (2009/139/CE) et la directive « Mieux légiférer » (2009/140/CE) modifiant les directives de 2002, appelées « Paquet télécom ». Ce paquet législatif constituait le cadre réglementaire européen des communications électroniques. Ces deux directives comportent des nouveautés en matière de service universel et de protection des consommateurs ; et il était prévu que les États membres les transposent avant le 25 mai 2011. ans ce contexte de relative urgence, le gouvernement a été autorisé par l’article 17 de la loi du 22 mars 2011, portant diverses dispositions d’adaptation de la législation au droit de l’Union européenne en matière de santé, de travail et de communication électroniques, à prendre par voie d’ordonnance les dispositions nécessaires à la transposition du Paquet télécom. Avant qu’elle ne soit adoptée, une consultation publique a été lancée jusqu’au 20 juillet sur un projet d’ordonnance. Saisi pour donner son avis, comme le sont notamment l’Arcep, le CSA
et la Cnil, le Conseil national du numérique (CNN) s’est exprimé sur les changements ayant un impact important sur le développement de l’économie numérique. Le rôle de cette nouvelle instance est, en effet, de conseiller le gouvernement sur les questions relatives au domaine du numérique et qui réalise, avec cette consultation, sa première mission d’analyse. Parmi ces nouveautés, le projet d’ordonnance envisage un nouveau cadre juridique applicable aux cookies et un dispositif visant à renforcer la protection des données personnelles.
Les cookies sont des outils « espions » qui s’installent sur le disque dur de l’utilisateur,
à l’occasion de la consultation de certains sites web. Ils permettent d’enregistrer la trace des passages de l’utilisateur sur un site Internet ou un forum et, ainsi, de stocker sur le poste de l’internaute des informations sur ses habitudes de navigation. Le serveur qui a mis en place la collecte de ces informations peut récupérer les données et les réutiliser lors de la prochaine visite du site par l’internaute. Ainsi, ils peuvent par exemple faciliter la navigation en évitant d’entrer de nouveau ses identifiants de connexion ou en stockant les éléments d’un panier d’achats, mesurer l’audience en comptabilisant le nombre de visites sur le site ou encore faire de la publicité comportementale. Certaines de ces finalités peuvent être particulièrement intrusives dans la vie privée des internautes et sont, à ce titre, souvent dénoncées.
Cookies : obligations préalables
L’article 2.5 de la directive « Service universel et droits des utilisateurs » (2009/136/CE) dispose que les États membres de l’Union européenne ont l’obligation de garantir que le stockage de cookies, ou l’obtention de l’accès à des cookies déjà stockés dans l’ordinateur d’un internaute, ne soit permis qu’à condition que cet internaute ait reçu préalablement une information claire et complète sur les conditions de ce stockage et de cet accès, et qu’il y ait consenti. Ainsi, le législateur européen a pris position en faveur du système de l’opt-in puisqu’il fait du consentement de l’internaute un préalable à l’installation d’un cookie – contrairement à l’opt-out faisant présumer le consentement de l’internaute jusqu’à manifestation par ce dernier d’une volonté contraire. Il convient de différencier deux types de cookies : ceux qui permettent, facilitent la navigation ou sont « strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur », et ceux qui correspondent aux cookies utilisés par les régies publicitaires pour tracer les internautes. Les premiers ne sont pas concernés par ces nouvelles obligations, contrairement aux seconds. Ainsi, les sites ou régies publicitaires utilisant ce dernier type de cookie doivent : informer les internautes sur les finalités des cookies ; leur demander leur accord préalable avant toute implémentation sur leur poste et leur donner les moyens de s’y opposer lors du premier stockage (3). Toutefois, le projet d’ordonnance précise que le consentement de l’internaute peut résulter « de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle » (4). Pour le CNN, ce dispositif est de nature à assurer « un bon équilibre pour responsabiliser l’ensemble des acteurs de la chaîne ».
Protection des données personnelles
Les professionnels du secteur s’interrogent néanmoins sur l’applicabilité en pratique
de ces nouvelles règles, tant les cookies sont utilisés massivement sur Internet. L’article 37 du projet d’ordonnance transpose de manière quasi-littérale ce dispositif européen
et prévoit d’insérer dans la loi « Informatique et Libertés » (5) que « tout abonné ou personne utilisatrice d’un terminal doit être informé de manière claire et complète,
sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant : de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ; des moyens dont elle dispose pour s’y opposer. Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif
de connexion ou de tout autre dispositif placé sous son contrôle ». Concernant la protection des données personnelles, le CNN estime que le projet d’ordonnance va au-delà des exigences européennes. Selon l’article 2.2.c de la directive 2009/136/CE, la violation de données à caractère personnel correspond à « une violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non-autorisé de données à caractère personnel transmises, stockées ou traitées d’une autre manière en relation avec la fourniture de services de communications électroniques accessibles au public dans la Communauté ». Si une telle violation survient, le fournisseur doit prévenir l’autorité nationale compétente (en l’occurrence la Cnil en France). Il doit, par ailleurs, avertir l’abonné ou le particulier concerné, lorsque la violation est de nature à affecter négativement les données ou
la vie privée de ce dernier. Cette notification à l’intéressé n’est pas requise lorsque le fournisseur prouve qu’il a pris les « mesures de protection technologiques appropriées » et qu’il les a appliquées aux données concernées par la violation. Le projet d’ordonnance pose une condition supplémentaire en disposant que
la Cnil doit « valider les mesures de protection technologiques mises en oeuvre par
le fournisseur » (6). De plus, contrairement à la directive qui exige une notification à l’intéressé lorsque la violation des données lui porte préjudice, le projet d’ordonnance
ne conditionne plus cette démarche à la constatation d’un préjudice. Enfin, le projet d’ordonnance mentionne que le fournisseur doit avertir « sans délai ». Or, la directive précise que cet avertissement doit être effectué « sans retard indu », ce qui est moins contraignant pour le fournisseur.
Compte tenu de ces différences, le CNN considère que le projet d’ordonnance impose des contraintes disproportionnées aux fournisseurs et « qu’il serait donc souhaitable de transposer plus fidèlement les dispositions de la directive en matière de protection des données à caractère personnel ». Suite à la publication de l’avis du CNN, la Société
des auteurs et des compositeurs dramatiques (SACD) s’est dite « consternée » par le
fait que le CNN tenterait de « minimiser les obligations, totalement conformes au texte
de la directive européenne transposée, des fournisseurs de services de communications électroniques en matière de protection des données personnelles des consommateurs » (7).
Devoir de notification des fournisseurs
Les fournisseurs de services seront particulièrement vigilants aux autres avis des autorités administratives saisies, et notamment celui de la Cnil, afin d’anticiper au mieux les conditions dans lesquelles ils devront, sous peine de sanctions, notifier les cas de violations de données à caractère personnel. @
* Bâtonnier désigné du Barreau de Paris.
Les magasins d’applications sont des plates-formes qui mettent en relation les utilisateurs de terminaux avec les éditeurs de contenus ou de services, lesquels développent des applications. Ces boutiques en ligne permettent de fidéliser une clientèle qui sera de facto captive pour l’obtention d’« applis », ce qui en fait un canal de distribution incontournable pour les développeurs. Ceci explique qu’elles fleurissent : App Store d’Apple, Google Play de Google, App World de BlackBerry ou encore Windows Phone Store de Microsoft, pour ne mentionner que les plus populaires.
