Veille législative

 

PLATEFORMES, DONNEES ET VIE PRIVEE

Actualités législatives

EN BREF

  • L’adoption du règlement général sur la protection des données (RGPD) en 2016 et la révision en cours de la directive e-privacy amènent une refonte de la protection de la vie privée des citoyens européens. Les États-membres se préparent à l’entrée en application du RGPD de mai 2018 qui aboutira à une harmonisation des législations nationales en la matière et à l’affirmation de nouveaux droits comme le droit au déréférencement et à la portabilité des données personnelles. En complément, la Commission européenne a soumis un projet de révision de la directive e-privacy, actuellement en cours d’examen au Parlement européen, pour instaurer de nouvelles règles destinées à simplifier la gestion des cookies et encadrer l’usage des métadonnées.
  • Avec la Loi pour une République numérique (2016), la France va un cran plus loin en instaurant une obligation de loyauté et de transparence des plateformes sur les contenus qu’elles référencent dès lors qu’ils ciblent les consommateurs. Elle renforce également les mécanismes de maîtrise de ses données (portabilité des données, devenir post-mortem des données) et la confidentialité des correspondances électroniques.
  • Le Privacy Shield est un nouvel accord pour sécuriser les transferts de données personnelles des européens vers les États-Unis. À l'occasion de son évaluation annuelle, le G29 et la commission des libertés civiles du Parlement européen expriment leurs inquiétudes concernant le renouvellement de l’exception de surveillance très large de tout ressortissant d’un pays étranger et la faiblesse des contrôles opérés sur les entreprises américaines.  

EN EUROPE, LA REFONTE DE LA PROTECTION DE LA VIE PRIVÉE ET DES DONNÉES PERSONNELLES


Le nouveau Règlement Général sur la Protection des Données personnelles (RGPD) entrera en vigueur en mai 2018

Après quatre années de négociations, le RGPD vient réformer la directive sur la protection des données à caractères personnelles (1995) élaborée aux commencements d’Internet. Il vise à garantir un niveau élevé et uniforme sur la protection des données et la vie des utilisateurs. Il prévoit notamment de :

  • Préciser la notion de consentement à la collecte et à l’utilisation de nos données.
  • Créer de nouveaux droits pour les citoyens, tels que le droit à la portabilité — qui permet de récupérer nos données sous un format réutilisable dans un autre service, — et le droit au déréférencement — soit la possibilité de demander à un moteur de recherche de supprimer les résultats de recherche associés à nos noms et prénoms, sous certaines conditions.
  • Instaurer un principe de privacy by design et de security by default pour tout service numérique, c’est à dire obliger les organisations à prendre en compte des exigences relatives à la protection des données personnelles dès la conception des produits, services et systèmes exploitant des données personnelles et de disposer d’un système d’information sécurisé. Les organisations devront également veiller à limiter la quantité de données traitée dès le départ (principe de « minimisation »).
  • Crédibiliser la régulation et renforcer la coopération dans le réseau d’autorités nationales de protection des données : elles pourront adopter des décisions communes lorsque les cas sont transnationaux et appliquer des sanctions plus élevées (jusqu’à 4% du chiffre d’affaire annuel mondial).

Si le RGPD va dans le sens d’un renforcement de la vie privée des citoyens européens, quelques points de vigilance demeurent en particulier sur les exceptions à la nécessité du consentement dans “l’intérêt légitime du responsable de traitement ou d’une partie tierce”. Dans ces conditions, comment s’assurer qu’une entreprise ne détourne pas la finalité de traitement (objectif pour lequel une donnée est traitée) pour laquelle l'utilisateur avait initialement donné son accord ?

Pour en savoir plus :

Le règlement e-privacy en cours de discussion visera à améliorer la confidentialité des communications en ligne

Le règlement e-privacy - adopté par la Commission européenne en janvier 2017 et actuellement en cours de discussion au Parlement européen - vise à harmoniser les règles sur la protection de la vie privée dans les communications électroniques, et à les actualiser à l’aune du nouveau règlement général de protection des données (RGPD). Il aborde plusieurs sujets tels que :

La version du règlement e-privacy adoptée en commission Libertés civiles du Parlement européen le 19 octobre dernier va plus loin dans la protection de la confidentialité des communications. Les députés européens estiment que le consentement de l’utilisateur au traitement de ses informations ne peut pas être une condition pour accéder aux services en ligne et ils mettent l’accent sur les paramètres de protection de la vie privée par défaut.

Pour en savoir plus :

Le Parlement européen appelle à la transparence des prises de décision individuelles fondées sur des algorithmes

Dans une résolution (non contraignante) adoptée en juin 2017 sur les plateformes en ligne, le Parlement européen a souligné la nécessité de préciser les méthodes de prise de décision fondée sur des algorithmes et de promouvoir la transparence quant à l’utilisation de ces algorithmes. Il a demandé à la Commission et aux États membres d’estimer les risques d’erreur dans l’utilisation des algorithmes, ainsi que d’identifier les mesures à prendre pour prévenir les discriminations, pratiques déloyales et atteintes à la vie privée.

Pour en savoir plus : La résolution du Parlement Européen sur les plateformes en ligne (2016/2276(INI))

EN FRANCE, LA LOI POUR UNE RÉPUBLIQUE NUMÉRIQUE  


La Loi pour une République anticipe des évolutions majeures en faveur de la protection de la vie privée sur Internet

En effet, la Loi pour une République numérique adoptée en octobre 2016 instaure une obligation de la loyauté et de la transparence des plateformes sur les mécanismes de classement et de référencement des contenus dès lors qu'ils ciblent les utilisateurs. Un décret d’application en date du 29 septembre 2017 précise la mise en oeuvre de cette obligation.

La Loi pour une République numérique a également anticipé certaines dispositions du RGPD, en allant parfois beaucoup plus loin. Par exemple, elle reconnaît expressément un droit à l’autodétermination informationnelle dont découle un renforcement des mécanismes de maîtrise des données et de protection de la la vie privée en ligne par les utilisateurs (droit à la mort numérique, droit à l’oubli des mineurs ou encore d’un droit à la récupération des données…).

Quelle articulation avec le RGPD ?

Les avancées contenues dans la Loi pour une République numérique soulèvent des questions quant à son articulation avec le RGPD. La mise en oeuvre de certains droits, comme le droit à la portabilité ou le droit à l’oubli, dépend largement de la marge de liberté qui sera laissée aux États membres lorsque les deux textes poursuivent des approches différentes.

Par exemple, le RGPD reconnaît un droit à la portabilité des données personnelles transversale au profit de toute personne concernée, alors que la Loi pour une République numérique retient une approche catégorielle en réservant le bénéfice de ce droit à la récupération sur l’ensemble des données au seul consommateur (dont les fichiers mis en ligne et les données liées au compte d’utilisateur). Cela s’explique par l’objectif poursuivi par le texte d’éviter l’enfermement du consommateur dans des systèmes captifs et de lever les barrières à la sortie pour permettre l’émergence de nouvelles offres sur le marché.

Afin d'adapter les spécificités nationales permises par le RGPD, le ministère de la Justice pilote et travaille à la préparation d'un projet de loi de modification de la loi Informatique et Libertés qui devrait être examiné à l’Assemblée en décembre, avec la procédure accélérée.

Pour en savoir plus :

À L’INTERNATIONAL, LE PRIVACY SHIELD


Les révélations d'Edward Snowden sur les programmes de surveillance de masse conduits par des Etats ont conduit à l’invalidation  de l’ancien régime applicable aux transferts des données personnelles des européens vers les États-Unis (“Safe Harbour”) en 2015.

Un nouvel accord, dit “Privacy Shield”, a été adopté pour sécuriser les transferts de données personnelles des européens vers les États-Unis en août 2016. Cet accord oblige les entreprises américaines destinataires des données à s’inscrire sur un registre tenu par l’administration américaine (mécanisme d’auto-certification) et encadre l’accès des pouvoirs publics aux données à des fins répressives et de sécurité nationale. Il est soumis à une réévaluation annuelle conjointe de la part de l’Union européenne et des États-Unis.

Lors de la première réunion d’évaluation du “Privacy Shield” en septembre 2017, plusieurs critiques ont été formulées par les autorités de protection des données personnelles. Elles alertent sur le fait que le mécanisme d'auto-certification des entreprises ne donne pas suffisamment de garanties à la protection des données personnelles des Européens et sur les questions liées à la surveillance. Certains acteurs, dont le Conseil national du numérique, appellent à une renégociation de l’accord.

La Commission a récemment présenté dix pistes d’amélioration du Privacy Shield. Elle demande au département du Commerce américain (DoC) d’améliorer la coopération avec les autorités européennes de protection des données, de s’assurer que les entreprises puissent faire référence publiquement à leur certification seulement une fois celle-ci finalisée, d’être proactif sur la surveillance de la conformité et de mieux informer les citoyens des modalités des plaintes. Elle veut également inscrire les dispositions de la directive présidentielle 28 dans le Foreign Intelligence Surveillance Act (Fisa) et demande une nomination « rapide » de l’Ombudsperson et des membres du comité de surveillance de la vie privée et des libertés civiles.

La Commission appelle les autorités américaines à l’informer des changements pouvant avoir un impact sur le Privacy Shield et annonce qu’elle va commander une étude sur les décisions automatisées sans pour autant préciser son calendrier et une échéance.

Pour en savoir plus :