Archives par mot-clé : Juridique

Règlement européen sur la protection des données : ce qui va changer pour les internautes

Publié le par

Le règlement européen sur la protection des données – proposé il y a plus de quatre ans par la Commission européenne – a été publié au J.O. de l’Union européenne le 4 mai. Il sera applicable sur toute l’Europe le 25 mai 2018. Il renforce les droits des Européens sur leurs données personnelles.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

Ayant constaté l’existence d’une fragmentation dans la mise en oeuvre de la protection des données à caractère personnel dans l’Union européenne (UE), la Commission européenne a soumis le
25 janvier 2012 (1) au Parlement et au Conseil européens une proposition de règlement européen « relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données ».

Renforcement des droits de la personne
Cette nouvelle législation a fait l’objet d’un accord informel en trilogue le 17 décembre 2015, et a été votée définitivement le 14 avril dernier et publiée le 4 mai au Journal officiel de l’UE. L’une des avancées majeures du règlement « Protection des données » – entré en vigueur 20 jours après sa publication (soit le 24 mai), pour être applicable dans tous les pays de l’UE le 25 mai 2018 (les entreprises ont donc deux années entières pour s’y préparer) – est sans conteste le renforcement des droits de la personne.
Dans un univers dématérialisé où tout devient possible en quelques clics, l’UE avait dans une directive, dès 1995, souhaité protéger l’individu en lui accordant un certain nombre de droits. Elle prévoyait ainsi :
• un droit à l’information qui consiste en l’obligation, pour le responsable de traitement, de fournir certaines informations énumérées dans la directive ;
• un droit d’accès qui est le droit pour la personne concernée de réclamer de la part du responsable de traitement la consultation de certaines informations portant sur ses données personnelles et sur le traitement de ses données ;
• un droit de rectification qui consiste en la possibilité pour la personne concernée
de demander la rectification, l’effacement ou le verrouillage des données qui sont incomplètes ou inexactes ;
• un droit d’opposition qui est le droit pour la personne concernée de s’opposer à
tout moment à ce que ses données fassent l’objet d’un traitement, pour des raisons légitimes. Pourtant, comme le soulignait Viviane Reding en 2012, lorsqu’elle était encore commissaire européenne à la Justice, aux Droits fondamentaux et à la Citoyenneté, les citoyens « n’ont pas toujours le sentiment de maîtriser entièrement
les données à caractère personnel les concernant ».
En effet, qui n’a pas déjà reçu des publicités dans sa boîte aux lettres sans que l’on n’ait jamais ni effectué d’achats chez l’émetteur de publicités ni donné ses informations personnelles telles que les nom, prénom, et adresse ? Qui n’a pas réceptionné des appels téléphoniques inconnus dont l’objet est de promouvoir un produit, ou de vous solliciter pour un sondage téléphonique, l’interlocuteur connaissant déjà vos nom et prénom sans même que vous ne l’ayez déjà contacté de votre vie, ou sans même que les prestataires de services professionnels avec qui vous avez contracté ne vous ait prévenu de la communication de vos informations à ces tiers précisément ?
Pour remédier à ce problème de maîtrise des données, le règlement prévoit un chapitre entier sur les droits de la personne concernée, ce que ne faisait pas la directive de 1995, laquelle se contentait de placer les droits de la personne concernée dans un chapitre intitulé « Conditions générales de licéité des traitements de données à caractère personnel ».
Le renforcement des droits de la personne concernée se fait en accentuant les droits préexistants de celle-ci, par exemple en prévoyant une meilleure transparence quant
à la communication des informations relatives au traitement des données à caractère personnel, ou encore en rallongeant la liste des informations à fournir à la personne concernée.

Quatre principaux nouveaux outils
Mais surtout, le règlement européen lui octroie de nouveaux droits :
• Un droit à l’information lors de l’apparition de failles de sécurité.
Ainsi, le droit à la notification d’une violation de ses données à caractère personnel semble aujourd’hui indispensable, alors que l’on ne compte plus le nombre d’entreprises victimes de failles de sécurité relatives aux informations sur leur clientèle : noms, adresses, numéros de téléphone ou encore données bancaires se retrouvent alors publics.
• Un droit d’opposition à une mesure fondée sur le profilage.
Au-delà des failles de sécurité dont peuvent être victimes les entreprises, les internautes doivent, aussi, à leur échelle, faire preuve de vigilance. En effet, au travers des historiques de navigations, des blogs, des réseaux sociaux ou des moteurs de recherche, ils dévoilent, sans souvent en avoir pleinement conscience, des pans entiers de leur vie privée. Or ces informations se révèlent souvent précieuses puisqu’elles pourront être valorisées, alimentant ainsi une véritable économie des données. En ce sens, le « profilage », destiné à évaluer et analyser certains aspects personnels afin d’orienter les publicités selon les intérêts ou de prévenir certains comportements illicites peut être source d’erreurs ou d’abus. C’est dans cet objectif que le Règlement prévoit une obligation d’information spécifique en matière de profilage ainsi que la possibilité
de s’y opposer.
• Un droit à l’« effacement » numérique.
Comme le souligne la CNIL dans son rapport d’activité 2013, « la circulation d’informations concernant une personne peut avoir de graves conséquences sur sa
vie privée et professionnelle, parfois plusieurs années après les faits ». Aussi, le Règlement européen vient consacrer un « droit à l’effacement » qui permettra à la personne concernée, selon des motifs limitativement énumérés, d’obtenir l’effacement de données personnelles la concernant et la cessation de la diffusion de ces données. La consécration de ce nouveau droit par le Règlement achève ainsi une évolution nécessaire au regard de la protection de la vie privée des citoyens européens.
• Un droit à la portabilité de ses données.
Ces nouveaux droits sont primordiaux en ce qu’ils permettent à la personne concernée d’exercer un contrôle ex post sur ses données. La personne concernée a le droit de se voir communiquer ses données personnelles par le responsable de traitement, sous un format « structuré, couramment utilisé et lisible par machine » afin de faciliter leur transfert vers un autre prestataire de services si elle le souhaite et sans que le responsable de traitement ne puisse s’y opposer. L’objectif ici est d’éviter à la personne concernée de se lancer dans une fastidieuse récupération manuelle de ses données qui pourrait l’inciter à renoncer à changer de prestataire.

« Education » et « hygiène informatique »
Ces nouveaux outils doivent cependant s’accompagner d’une part, d’une « éducation » à la protection des données, et d’autre part, de la promotion d’une certaine « hygiène informatique », selon l’expression consacrée par l’ANSSI (2), qui permettra à la personne concernée de fixer elle-même les frontières de sa vie privée.

Le règlement européen tient aussi compte de l’invalidation du « Safe Harbor » (3) (décision CJUE du 6 octobre 2015 (4). et ses conséquences en consacrant son chapitre V au transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales L’invalidation de cette décision a conduit la Commission européenne et le gouvernement américain à conclure un accord visant à assurer un niveau de protection suffisant aux données transférées de l’UE vers les Etats-Unis appelé « Privacy Shield ».

Articulation avec le « Privacy Shield »
Le G29 réunissant les « Cnil » européennes, qui avait publié son avis le 13 avril 2016 sur le niveau de protection des données personnelles assuré par le « Privacy Shield » (5), a cependant rappelé qu’il devrait tenir compte du règlement européen sur les données personnelles – lequel n’avait pas encore été adopté au moment de la publication du « Privacy Shield ». L’article 45 du règlement énonce les critères à prendre en compte par la Commission européenne lors de l’évaluation du caractère adéquat du niveau de protection des pays tiers à l’Union. Au nombre de ces critères,
on trouve « le respect des droits de l’homme et des libertés fondamentales, la législation pertinente, tant générale que sectorielle, y compris en ce qui concerne la sécurité publique, la défense, la sécurité nationale et le droit pénal ainsi que l’accès
des autorités publiques aux données à caractère personnel (…) ».
Outre le renforcement de la sécurité juridique, on notera que le règlement vise à : réduire la charge administrative des responsables de traitement de données, faire peser davantage de responsabilité sur les sous-traitants, renforcer l’exercice effectif par les personnes physiques de leur droit à la protection des données les concernant au sein de l’UE (notamment leur droit à l’effacement et leur droit d’exiger que leur consentement préalable, clair et explicite soit requis avant l’utilisation de leurs données personnelles), améliorer l’efficacité de la surveillance et du contrôle de l’application des règles en la matière (6).
Le règlement aura d’autant plus d’impact qu’il s’appliquera, dès le 25 mai 2018, de manière uniforme dans l’ensemble des pays de l’UE, sans devoir être transposé en droit national (7). Son champ d’application s’étendra au-delà des frontières des Vingt-huit puisque, désormais, des entreprises ayant leur siège social en dehors de l’UE pourront se voir appliquer le règlement dès lors que les données qu’elles traitent concernent des résidents de l’UE, ce que ne prévoyait pas la directive. @

* Ancien bâtonnier du Barreau de Paris.

Les « Cnil » européennes tirent exagérément sur le nouveau bouclier « Privacy Shield »

Publié le par

Le groupe « G29 » critique trop sévèrement le nouveau « bouclier vie privée » (Privacy Shield) entre l’Europe et les Etats-Unis. Il trouve ses mécanismes de
co-régulation insuffisants. Pourtant, l’idéal européen en matière de protection
de droits individuels n’existe pas non plus.

Réponse graduée : l’Hadopi va franchir début juin la barre des 1.000 dossiers transmis à la justice

Publié le par

Selon EM@, c’est début juin que le nombre cumulé de 1.000 dossiers d’internautes transmis par l’Hadopi à la justice – car considérés comme pirates récidivistes sur Internet – sera atteint. La CPD, chargée de la réponse graduée,
a une nouvelle présidente : Dominique Guirimand.

C’est un cap symbolique que va franchir l’Hadopi, au moment où
son existence est plus que jamais contestée. Alors que des députés ont voté fin avril sa suppression pour… 2022, à l’occasion de la première lecture d’une proposition de loi sur le statut des autorités administratives indépendantes (1), la Haute autorité pour la diffusion des œuvres et la protection des droits sur Internet continue son travail pédagogique et juridictionnel de lutte contre le piratage en ligne.

Des députés parlent d’« échec »
D’après nos calculs, la réponse graduée mise en place le 1er septembre 2010 va atteindre début juin le nombre total de 1.000 dossiers cumulés transmis à la justice –
en l’occurrence au procureur de la République. Ce magistrat, rattaché à un tribunal de grande instance (TGI), peut décider de poursuivre l’internaute et transmettre alors son dossier au juge. Au 30 avril, dernier état en date publié par l’Hadopi (voir graphique ci-dessous), le cumul depuis le tout premier d’entre eux établi en mars 2012 était de 933 dossiers transmis au juge. Le mois de mars a d’ailleurs été le deuxième mois le plus actif en nombre de délibérations de transmission au procureur de la République : 85 dossiers, soit cinq de moins que les 90 dossiers transmis en octobre dernier – le plus haut niveau mensuel à ce jour. Cette recrudescence de dossiers « judiciaires » n’est pas le fait d’un quelconque excès de zèle de l’Hadopi, mais le résultat d’une décision prise dès 2014 de sélectionner les dossiers les plus graves (internautes recourant à plusieurs logiciels peer-to-peer, récidive aggravée malgré plusieurs premières et deuxièmes recommandations, etc).
La Commission de protection des droits (CPD), dont la nouvelle présidente est Dominique Guirimand (photo), se réunit chaque semaine le mercredi. Mais, selon nos informations, elle ne se réunit que trois fois durant ce mois de mai. Résultat : c’est en juin que la barre des 1.000 dossiers transmis à la justice sera allègrement franchie.
En revanche, il est un autre chiffre que l’on ne connaît pas précisément, c’est celui
des décisions de justice prononcées ensuite. « A ce jour, 74 décisions de justice – condamnations et mesures alternatives aux poursuites – ont été portées à la connaissance de la CPD par les juridictions », nous indique Pauline Blassel,
secrétaire générale de l’Hadopi. Plus de la moitié de ces jugements condamnent les internautes pirates à des amendes allant de 50 à 1.000 euros (2), la coupure d’Internet ayant été supprimée en juillet 2013. Sinon, ce sont des rappels à la loi, lorsque ce ne sont pas des classements sans suite de certains dossiers. Certains diront que – après cinq ans et demi de réponse graduée, plus de 6,5 millions de premiers e-mails d’avertissement, plus de 600.000 lettres recommandées et de plus 4.000 constats de négligences caractérisées – le résultat judiciaire est faible face au piratage sur Internet que les industries culturelles continuent de déplorer. Selon une nouvelle étude de l’Association de lutte contre la piraterie audiovisuelle (Alpa), publiée début mai (3) et réalisée à sa demande par Médiamétrie// NetRatings (4) en coopération avec le CNC (5) et TMG, près d’un tiers des internautes français – 30 %, soit plus de 14 millions – a consulté au moins une fois par mois (visiteurs uniques) un site en ligne de piratage de séries ou de films en 2015 (voir graphique p 10). Ce site peut être du streaming, du direct download (DDL) ou du peer-to-peer (P2P).
« Il est nécessaire de remettre en question l’Hadopi, comme le promettait le président de la République durant la campagne présidentielle. L’échec de l’Hadopi dans ses missions, comme le soulignait la commission d’enquête du Sénat, malgré son budget très supérieur à de nombreuses [autorités administratives indépendantes], doit interroger le législateur », ont justifié une quinzaine de députés dans leur amendement adopté le 29 avril contre l’avis du gouvernement – en attendant une deuxième lecture au Sénat… @

Charles de Laubier

Régulation des plateformes numériques : état des lieux et des divisions

Publié le par

Cela fait un an, le 6 mai, que la Commission européenne a présenté sa « Stratégie pour un marché unique numérique ». Depuis, le principe de « loyauté des plateformes numériques » fait son chemin et pourrait devenir le pendant de la neutralité des réseaux. La France et l’Allemagne le réclament.

Réforme audiovisuelle à l’heure du Net : la France ne peut passer à côté d’un changement de paradigme

Publié le par

La loi « Liberté de la communication » de 1986 – 30 ans ! – est devenue obsolète depuis la mondialisation de l’audiovisuel induite par Internet. Sa réforme reste timorée. La ligne Maginot du PAF (paysage audiovisuel français) peine à laisser place à un cadre ambitieux pour conquérir le PAM (mondial).