Précédentes recommandations du CNNum

PLATEFORMES, DONNÉES & VIE PRIVÉE

Précédentes recommandations du CNNum


Le Conseil national du numérique salue l’adaptation et le renforcement du cadre législatif et réglementaire - au niveau français et européen - de la protection des données personnelles et  du droit à la vie privée à l’ère du numérique. Afin de rendre concrète la protection des données, le Conseil national du numérique recommande de favoriser la maîtrise et l’usage de leurs données par les individus. Nous vous proposons une synthèse des propositions du CNNum reliées aux protections des données personnelles et de la vie privée :

  • Soutenir le droit fondamental à l’autodétermination informationnelle
  • Soutenir une portabilité étendue des données
  • Soutenir le développement d’une masse critique de services permettant la maîtrise et les usages des individus sur leurs données
  • Décharger les moteurs de recherche de l’édiction des critères de déréférencement
  • Étendre le droit d’accès au marché secondaire de la donnée
  • Garantir aux usagers la pleine maîtrise des données liées à leurs activités numériques et de leurs conséquences individuelles
  • Au-delà des données personnelles, faire avancer la réflexion sur le cadre juridique des traces numériques d’usage et la création d’informations dérivées
  • Renforcer l’action de groupe en matière de protection des données
  • Soumettre les plateformes au principe de loyauté
  • Exclure la circulation des données des accords de libre-échange
  • Renégocier le “Privacy Shield”

Proposition n°1 : Soutenir le droit fondamental à l’autodétermination informationnelle

Pour ce qui concerne leurs données personnelles, le CNNum est d’avis que les utilisateurs n’ont pas seulement besoin d’une protection : ils doivent pouvoir disposer sur elles d’une véritable maîtrise. C’est pourquoi, lors de son rapport Ambition numérique, le CNNum avait soutenu la création d’un droit fondamental à l’autodétermination informationnelle désormais consacré par la loi pour une République numérique.

Le droit à l’autodétermination informationnelle vise à renouveler le sens donné à la protection des données personnelles des individus, pour répondre à leur besoin d’exercer leurs libertés dans le monde numérique. Il ne s’agit plus de penser la protection des données personnelles comme une finalité en soi, mais plutôt comme un outil essentiel au service du libre développement des personnes. Pour les individus, ce droit implique qu’ils puissent accéder à leurs données, les protéger, en maîtriser les usages possibles voire en développer de nouveaux.

Néanmoins, l’activation de ce droit suppose de mettre l’individu en situation d’être acteur de ses droits : à la fois en lui permettant réellement de les faire valoir (notamment en justice) et d’être outillé pour faire lui aussi usage des données qui le concernent dans son quotidien.


Pour plus de détails : recommandation n° 4 du rapport Ambition numérique (juin 2015) -  p. 50  


Proposition n°2 : Soutenir une portabilité étendue des données

Depuis 2014, le Conseil soutient un droit à la portabilité des données. Ce droit consiste en la restitution aux individus des données collectées dans le cadre de l’utilisation des services, pour leurs usages personnels ou pour le partage vers d’autres services. L’objectif est notamment de permettre à l’utilisateur de ne pas être enfermé dans un écosystème captif et de faire lui-même usage de ses données. Le droit à la portabilité s’insère donc dans le prolongement direct du droit à l’autodétermination informationnelle. Le droit à la portabilité des données a été depuis lors consacré par la loi pour une République numérique sur l'ensemble des données et pour les données personnelles par le règlement général sur la protection des données.

Le Conseil proposait de rendre possible à tout moment l’export de leurs données par les utilisateurs de services numériques, par eux-mêmes ou au travers d'un service tiers, dans des délais raisonnables. Par ailleurs, il recommandait d’inclure dans le périmètre de la portabilité : les données générées par l’individu à l’occasion de l’utilisation d’un service, volontairement ou non, consciemment ou non; générées ou reconstituées par le service, et qui présentent une valeur d’usage pour ce dernier (favoris, mails, contacts, métadonnées des photos, playlists, traces d’usages, d’achats...). Le Conseil proposait de prévoir la possibilité d’un recours en cas d’entrave au droit à la portabilité et de notifier de façon claire aux utilisateurs l’existence de ces fonctionnalités.

Dans son avis sur la circulation des données, le CNNum s’est positionné en faveur d’une portabilité des données-non personnelles - également applicable aux entreprises.


Pour plus de détails :


Proposition n°3 : Soutenir le développement d’une masse critique de services permettant la maîtrise et les usages des individus sur leurs données

La reconnaissance du droit à l’autodétermination informationnelle et du droit à la portabilité des données doit amener le législateur et le régulateur à soutenir les technologies et logiciels qui rendent du pouvoir aux utilisateurs. Il est important de soutenir les technologies et logiciels qui rendent du pouvoir aux utilisateurs sur leurs propres données et plus particulièrement des systèmes personnels de gestion d’informations dits “PIMS” (Personal Information Management System) qui proposent notamment aux utilisateurs d’héberger leurs informations où ils le souhaitent, de maîtriser la distribution de ces informations vis-à-vis des tiers (particuliers, entreprises, etc.) et de créer eux-mêmes les connexions logiques entre les services. Le Conseil propose d’accompagner l’effort de sécurisation en s’appuyant sur des solutions de PIMS distribuées et en logiciel libre ou open source

Dans le cadre de ses activités d’innovation et prospective, la CNIL, en partenariats avec les acteurs, de la recherche et des designers, pourra engager des projets pour le développement d’interfaces ergonomiques de gestion des données, et des fonctionnalités permettant le choix de l’accès à ces bases de donnée par une application tierce.

Pour plus de détails : recommandation n° 4 du rapport Ambition numérique (juin 2015) -  pp. 53-54


Proposition n°4 : Décharger les moteurs de recherche de l’édiction des critères de déréférencement

Dans l’application du droit au déréférencement, il faut veiller à préserver l’équilibre entre celui-ci et la protection de la vie privée, la liberté d’expression, la liberté de la presse et l’intérêt du public à l’information. Dans le cadre de son rapport Ambition numérique, le Conseil avait recommandé d’asseoir sur une base légale le fait que l’édiction des critères d’instruction des demandes de déréférencement appartient aux autorités de protection des données.

Il proposait pour ce faire de prévoir l’élaboration itérative de ces critères sur la base des cas litigieux rencontrés et de veiller à leur application uniforme par l’ensemble des moteurs de recherche. Il indiquait également qu’il conviendrait d’assurer une mission pédagogique vis-à-vis des acteurs du secteur et des utilisateurs afin de lever les ambiguïtés persistantes entre le droit au déréférencement et l’idée d’un droit à l’effacement (ou à l’oubli), et améliorer l’information disponible sur l’existence de recours devant le juge et la CNIL.

Pour plus de détails :  recommandation n°5 du rapport Ambition numérique (juin 2015) - p. 55


Proposition n°5 : Étendre le droit d’accès au marché secondaire de la donnée

Lorsque les individus ont consenti initialement à un partage de leurs données par le collecteur initial avec ses partenaires commerciaux, ils doivent pouvoir prendre connaissance des circuits de circulation et de revente de leurs données, au-delà du collecteur initial. Dans son premier rapport sur les écosystèmes des plateformes, le CNNum a recommandé d'accroître la transparence sur les marchés des informations brokers (courtiers de données). Il a précisé dans son rapport Ambition numérique que les courtiers de données doivent être astreints à une forme de transparence sur la revente des données. Cette connaissance est la condition pour rendre effectif le droit d’accès, de rectification et d’effacement.


Pour plus de détails :


Proposition n°6 : Garantir aux usagers la pleine maîtrise des données liées à leurs activités numériques et de leurs conséquences individuelles

Le Conseil a recommandé en 2014 de permettre d’exercer ce contrôle dans le temps, en imposant des limites de péremption pour le consentement donné à la collecte et à l’exploitation de certains types de données. Il a également proposé d’expérimenter l’ouverture pour les usagers d’un droit effectif de regard et de contrôle mais aussi d'usage sur les données à caractère personnel qui les concernent.


Pour aller plus loin : recommandation n°6 du rapport sur Les écosystèmes des plateformes (mai 2014) - p.13


Proposition n°7 : Au-delà des données personnelles, faire avancer la réflexion sur le cadre juridique des traces numériques d’usage et la création d’informations dérivées

Dans son premier rapport sur les plateformes, le Conseil a proposé de préciser le statut juridique et le cadre d’utilisation des traces numériques d’usage et des informations dérivées - notamment concernant les principes encadrant les données de trafic, de tendances et d’étudier leur impact en termes de création de valeur, de nouveaux modèles d’affaires et d’écosystème d’innovation.

Pour plus de détails : recommandation n°8 du rapport sur Les écosystèmes des plateformes (mai 2014) - p. 14


Proposition n°8 : Renforcer l’action de groupe en matière de protection des données

Dans son rapport Ambition numérique, le CNNum était favorable à l’ouverture d’une action collective destinée à faire cesser les violations de la législation sur les données personnelles et exercée devant la juridiction civile ou administrative compétente par des associations de protection des consommateurs et des libertés numériques. L'action de groupe en matière de protection des données à caractère personnel a été consacrée par les articles 91 et 92 de la Loi de modernisation de la justice du XXIe siècle et par le règlement général sur la protection des données.


Le CNNum propose d’étendre l’action collective à une action en réparation des conséquences du manquement notamment des dommages immatériels, extrapatrimoniaux et des préjudices moraux, plus intéressante pour les individus, et bien plus dissuasive pour les opérateurs. Pour que ce recours soit pleinement activable, il devrait également s’accompagner d'une ouverture aux utilisateurs de services numériques non payants.

Pour plus de détails : recommandation n° 5 du rapport  Ambition numérique (juin 2015) - p.57


Proposition n°9 : Soumettre les plateformes au principe de loyauté

Dès 2014, le Conseil a proposé de créer une obligation générale de loyauté sur l’utilisation de l’ensemble des données. Ce principe implique premièrement et d’une manière générale la transparence des comportements des plateformes, condition pour s’assurer de la conformité entre la promesse affichée du service et les pratiques réelles des plateformes. Il  vise également les modes de collecte, de traitement des données et de restitution de l’information.


Pour plus de détails :


Proposition n°10 : Exclure la circulation des données des accords de libre-échange

L’intégration d’un principe de libre circulation des données dans les accords de libre-échange conduirait à faciliter le transfert de données sans contrôle hors de l’Union européenne et cette perspective soulève des enjeux majeurs en termes de compétitivité, de protection des consommateurs et de respect des droits fondamentaux.

  • D’une part, les asymétries importantes qui caractérisent aujourd’hui les flux de données justifient une approche qui vise prioritairement les intérêts des entreprises européennes.
  • D’autre part, l’instauration d’un tel principe pourrait constituer une menace sur la souveraineté des États européens en matière de régulation, de fiscalité, de sécurité et de politiques publiques.


Pour plus de détails : avis sur la libre circulation des données en Europe (mai 2017) -p. 2


Proposition n°11 : Renégocier le “Privacy Shield”

Le Conseil s’associe aux vives inquiétudes déjà exprimées par le G29, la délégation de la commission des libertés civiles (LIBE) du Parlement européen et un grand nombre d’associations de défense des droits : le « Privacy Shield » présente un trop grand nombre de zones d’ombre et ne donne pas suffisamment de garanties à la protection des données personnelles des Européens.

Conformément à l’engagement du candidat Emmanuel Macron, cet accord doit être renégocié pour organiser une circulation des données sécurisée, respectueuse de nos droits et libertés et favorable aux entreprises. L'économie européenne a besoin d'avoir un cadre équitable et stable, et non pas d’un accord faible, susceptible d’annulation sur les mêmes fondements que son prédecesseur. Une telle mesure serait préjudiciable, tant pour les citoyens que pour les entreprises françaises et européennes, qui ont besoin de sécurité juridique.

Pour plus de détails : communiqué de presse “Pourquoi le Privacy Shield doit être renégocié” - septembre 2017