Données Personnelles

Tant que l’Internet n’existait pas, votre entreprise, ou vous-même, demeuriez à l’abri des critiques publiques, à l’exception de celles émanant de la plume de journalistes, ou d’acteurs économiques gravitant autour de votre activité.  Pas de médias en ligne, de Twitter, Facebook, Instagram, et encore moins de moteur de recherche, et par conséquent, pas de capacité à rassembler une population autour de réseaux pour discuter de votre activité !

A présent, il est essentiel de savoir comment traiter ces critiques et parfois médisances.

Il y a déjà huit ans, la Cour Européenne des droits de l’Homme (« CEDH ») affirmait que « les sites Internet contribuent grandement à améliorer l’accès du public à l’actualité, et, de manière générale, à faciliter la communication de l’information » (Ahmet Yıldırım c. Turquie, no 3111/10, CEDH 2012).

Toutefois, « dans le même temps, les communications en ligne et leur contenu risquent assurément bien plus que la presse de porter atteinte à l’exercice et à la jouissance des droits et libertés fondamentaux, en particulier du droit au respect de la vie privée » (Pravoye Delo et Shtekel c. Ukraine, no 33014/05 CEDH 2011).

La Cour a récemment rappelé ^[1] que  « le droit à la protection de la réputation est un droit qui relève, en tant qu’élément du droit au respect de la vie privée, de l’article 8 de la Convention » faisant écho à de précédentes affaires relatives à des déclarations diffamatoires parues dans la presse (Pfeifer c. Autriche, no 12556/03, 15 novembre 2007, et Polanco Torres et Movilla Polanco c. Espagne, no 34147/06, 21 septembre 2010).

Cependant, bien qu’il existe de nombreuses actions pour se défendre en cas de découverte de contenus « illicites » – diffamation, dénigrement ou toute forme d’abus à la liberté d’expression –  quelles actions envisager face à la diffusion de contenus en ligne qui ne sont pas illicites mais qui sont des propos portant tout de même atteinte à votre réputation, comme des avis négatifs où encore des articles de journaux en ligne relatant des faits divers sur vos expériences ?

Précisions sur les données personnelles, au droit d’opposition et au droit à l’oubli

Une donnée à caractère personnel est définie comme « toute information se rapportant à une personne physique identifiée ou identifiable (…)^[2]» selon la Commission Nationale de l’Informatique et des Libertés (CNIL), autorité administrative qui a notamment pour vocation de veiller au respect des données personnelles.

Partant, vos nom et prénom sont des données personnelles, et eu égard au traitement de ces données, vous disposez de certains droits, tel que le droit d’opposition ou le droit à l’effacement (également droit à l’oubli).

• Le droit d’opposition

Vous pouvez vous opposer à tout moment, pour des raisons tenant à votre situation particulière, à un traitement des données à caractère personnel, en expliquant vos raisons, basées sur des motifs légitimes.

En cas de réponse insatisfaisante ou d’absence de réponse à votre demande, il est possible de saisir la CNIL.

• Le droit à l’oubli

Vous avez le droit d’obtenir de la personne, l’autorité publique, la société ou l’organisme qui traite vos données (appelé plus couramment le « responsable de traitement ») l’effacement, dans les meilleurs délais, de données à caractère personnel vous concernant, notamment lorsque qu’il n’existe pas de motif légitime impérieux pour leur traitement[1]. Cela inclut notamment le droit au déréférencement de liens contenus sur les moteurs de recherche.

L’exploitant d’un moteur de recherche est en principe obligé, sous réserve des exceptions prévues, de faire droit aux demandes de déréférencement portant sur des liens menant vers des pages web sur lesquelles figurent des données à caractère personnel relatives à des procédures ou condamnations pénales[2].

Les demandes de déréférencement auprès des moteurs de recherche peuvent se faire directement en ligne, via un outil dédié. Toutefois, il est souvent nécessaire de procéder à l’envoi d’un courrier officiel aux exploitants des sites internet diffusant des articles préjudiciables.

Il faudra alors argumenter, par exemple en démontrant le préjudice que vous subissez à cause de ces articles – l’annulation d’un rendez-vous professionnel suite à la recherche de vos nom et prénom pourrait en être un ! –  ou en expliquant qu’une page web fait état d’une étape d’une procédure judiciaire ne correspondant plus à votre situation judiciaire actuelle.

Toutefois, ce droit à l’oubli est mis en balance avec la nécessité du traitement, notamment lorsque celui-ci poursuit un intérêt légitime, tel que l’exercice du droit à la liberté d’expression et d’information[3].

Votre demande peut donc être rejetée si l’accès à une telle information vous concernant est considérée comme strictement nécessaire à l’information du public. En effet, selon l’article 17 du RGPD, certaines situations font obstacles à la mise en œuvre du droit à l’oubli, notamment si le traitement est nécessaire à l’exercice du droit à la liberté d’expression et d’information[4].

Pour cela, le responsable de traitement ou l’autorité saisie doit notamment tenir compte de critères variés, notamment la nature des données en cause, leur contenu, leur exactitude, les répercussions que leur référencement est susceptible d’avoir pour la personne concernée, la notoriété de cette personne, etc.

[1] Article 51 de la loi n°78-17 du 6 janvier 1978, dans les conditions prévues à l’article 17 du Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

[2] A cet égard, la Cour de Justice de l’Union Européenne a considéré, par son arrêt du 24 septembre 2019 , que les dispositions de l’ancienne Directive 95/46/CE  concernant l’interdiction ou les restrictions au traitement de données à caractère personnel relatives à des procédures pénales s’appliquent également, sous réserve des exceptions prévues, à l’exploitant d’un moteur de recherche en tant que responsable du traitement effectué dans le cadre de son activité, à l’occasion d’une vérification opérée par cet exploitant, sous le contrôle des autorités nationales compétentes, à la suite d’une demande introduite par la personne concernée

En cas de refus de déréférencement ou d’absence de réponse de la part du moteur de recherche, des solutions judiciaires sont envisageables.

Il convient donc de maîtriser les fondements juridiques et de bien cimenter vos arguments lors de vos demandes de déréférencement auprès des responsables de traitement.

[1] CEDH, Affaire JEZIOR c. POLOGNE, 4 juin 2020, 31955/11

[2] Article 4 du Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

[3] Article 17 du Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

[4] Article 17 du Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

Compte tenu de l’importance du sujet des cybercriminalités, le ministère de l’intérieur a publié en mai 2018 un deuxième rapport de réponse dédié aux cybermenaces. Comme le ministre l’affirme, il s’agit d’un panorama riche et approfondi des phénomènes cyber et des réponses actuellement apportées par le ministère. Ce rapport est composé de trois parties principales :

• Enjeux stratégiques liés aux cybermenaces
• Usages, phénomènes et perception de la menace
• Les actions du ministère de l’intérieur pour la gestion des cyber-menaces

Dans la première partie concernant les enjeux stratégiques liés aux cybermenances, trois enjeux sociétaux, économiques et juridiques ont été identifiés. Quant aux enjeux sociétaux, il s’agit de l’emploi d’internet à des fins terroristes (Crowdsourcing des activités de terroristes), l’évolution des usages des technologies de l’information et des communications comme les forums de discussion et les crypto-monnaies, les trafics illicites sur les Darknets (web profond) à travers d’utilisation de plus en plus accrue des outils de chiffrement et d’anonymisation.

Les enjeux économiques concernent entre outres, le développement du marché de la cybersécurité, ainsi que le contre-ingérence économique. A titre d’exemple, pour les organisations, les atteintes motivées par l’appât du gain, le sabotage, l’espionnage ou l’ingérence économique ont des incidences financières et réputationnelles remarquables.

Quant aux enjeux juridiques et normatifs des cybermenaces l’évolution du cadre français, l’impact des directives (NIS) et règlements européens (RGPD) et de la jurisprudence de la CJUE sur la lutte contre les cybermenaces (arrêt 21 décembre 2016), les travaux du Conseil de l’Europe, l’Assemblée générale des Nations Unies et le groupe G7, ainsi que la coopération internationale, compte tenu de la dimension internationale de la cybercriminalité, ont été énumérés dans le rapport.

Dans la deuxième partie concernant usages, phénomènes et perception de la menace, trois facteurs de la vulnérabilité, l’ingénierie sociale et les logiciels malveillants ont été identifié en tant que trois vecteurs principaux de diffusions des attaques telles qu’attaque ciblée et attaques en profondeur, détournement et vol de données, dénis de services, défiguration et les attaques téléphoniques.

L’internet avec un taux de pénétration de 87% en France et 54% dans le monde a été identifié comme le support principal, notamment à travers des smartphones et des tablettes, et désormais les objets connectés et les espaces intelligents, à des fins de terroristes, des escroqueries, d’extorsions de fonds, de fraude à la carte bancaire, des marchés criminels en ligne, des atteintes aux mineurs, de contrefaçon des œuvres de l’esprit et finalement d’atteinte à la démocratie. L’étude menée sur l’ensemble des faits portés à la connaissance de la gendarmerie montre une tendance globale en hausse de 30 % par rapport à 2016 ; plus de 60 % du total de ces infractions sont des escroqueries liées à Internet.

Dans la troisième partie concernant les actions du ministère de l’intérieur, trois actions principales de prévention et protection, d’enquête et d’innovation ont été envisagées. L’actions de prévention vise le grand public, la sensibilisation du monde économique, l’intelligence économique territoriale ainsi que la protection des systèmes d’information du ministère. La protection peut être garantie par le transfert de risque par le biais de l’assurance dont la couverture du risque cyber commence à se développer, même si les actifs intangibles ne peuvent encore être assurés de façon standardisée. Quant à l’action d’enquête au-delà de l’accueil des victimes d’actes de cybercriminalité, des services spécialisés comme investigation si possible sous pseudonyme, formation et coopération ont été envisagés.

En ce qui concerne l’action d’innovation, six axes principaux ont été identifiés : il s’agit de recherche et développement (outils d’investigation et d’analyse numérique (forensics) ainsi que projet de recherche académique), partenariat public-privé (Travaux de la filière industrie de sécurité, Cercles de réflexion), Transformation numérique : mieux signaler, mieux communiquer autour du cyber (Projet Néo PN/GN), Brigade numérique de la Gendarmerie, La mise en place du réseau des référents cybermenaces zonaux, Communication de crise : Système Alerte d’Information des Populations (SAIP) et Médias Sociaux en Gestion d’Urgence (MSGU)), mieux appréhender les phénomènes de masse (Projet Thésée, Projet Perceval), aider à la remédiation à travers des plateformes d’assistance aux victimes de cyber-malveillance, identité numérique.

A l’ère de l’économie numérique et face à la transformation numérique, la cybersécurité constitue un enjeu crucial à la fois pour les consommateurs adoptant davantage des pratiques d’achat et d’usage en ligne notamment les mineurs ainsi que pour les secteurs privé (notamment le secteur bancaire et financier, ainsi que le secteur de la santé) et public. La stratégie de la lutte contre les cybermenaces doit être l’affaire de tous (le secteur public, privé et les individus). Il convient ainsi de renforcer la capacité collective à prévenir et lutter contre le terrorisme…

Alors que les questionnements fusaient au sujet de la mise en œuvre du RGPD à l’approche de son entrée en application le 25 mai 2018, les premières réactions relatives à sa mise en conformité émergent.

 Tandis que beaucoup d’entreprises espéraient une entrée en vigueur du règlement dans des conditions clémentes de la part des autorités de contrôle des Etats membres, les associations de consommateurs étaient, contre toute attente, au pied levé lors de l’entrée en vigueur du texte. Elles ont rapidement profité d’opportunités que leur offraient certains articles du RGPD de reprendre la maitrise de leurs données personnelles. Notamment, l’article 77 qui énonce que « toute personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle (…) si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du présent règlement. ». Les plaintes individuelles ainsi que les actions de groupes abondent.

Dès le 25 mai 2018, jour de l’entrée en application du RGPD, Facebook, Google, Instagram, WhatsApp ont fait l’objet de plaintes pour non-conformité au RGPD déposées auprès de différentes autorités nationales par Maximilian Schrems, avocat autrichien et activiste de la protection des données personnelles. Trois jours après, l’association « La quadrature du Net », disant réunir plus de 12 000 plaignants, a lancé de mêmes plaintes contre Amazon, Google, Facebook, LinkedIn, et Apple. Des plaintes fondées sur la non-conformité aux conditions fixées par le RGPD pour l’obtention du consentement des consommateurs dans la collecte de leurs données personnelles. Selon les attaquants, le consentement à la collecte et l’utilisation des données personnelles n’est pas cédé librement. Il serait plutôt question d’une politique du « tout ou rien », une acceptation forcée à défaut de quoi les consommateurs ne peuvent pas utiliser les services visés. Les grandes entreprises profiteraient ainsi de leur situation de domination. Ces plaintes pourraient coûter cher aux entreprises puisque les amendes pour infraction au RGPD peuvent représenter jusqu’à 4% du chiffre d’affaire mondial de l’entreprise.

La façon dont ces plaintes seront traitées et de quelle manière les peines seront appliquées reste en suspens. Les différentes autorités nationales de protection des données personnelles seront amenées à travailler ensemble pour aboutir à une décision unique concernant chacune des entreprises. Les prochaines décisions seront donc décisives et sont très largement attendues.

Parallèlement à une législation toujours plus stricte, les nouvelles technologies sollicitent de manière accrue nos données personnelles, souvent à caractère sensible.

La reconnaissance faciale

La reconnaissance faciale est une innovation aujourd’hui largement utilisée par les grands groupes de la Tech, tels que Samsung ou Hauwai. Apple reste néanmoins la société ayant indéniablement reçu le plus grand écho lors de la sortie de son nouvel iPhone X en novembre 2017 en présentant sa technologie de face ID, qui permet de déverrouiller son téléphone portable sans effort. Pour ce faire, cette innovation se base sur des mesures extrêmement précises des dimensions du visage de l’utilisateur. Ces données biométriques permettent ensuite de le détecter en toute circonstance, quelle que soit sa position.

A la fois pratique et ludique, cette technologie permet cependant de se questionner sur la compatibilité d’un tel traitement de données par la firme à la pomme avec les législations en vigueur et à venir et tout particulièrement le Règlement général sur les données personnelles (RGPD) qui entrera en application le 25 mai 2018. Ce dernier tendant en effet à être de plus en plus stricte vis-à-vis des entreprises collectant des données personnelles, il est ainsi intéressant d’analyser si un recueil de telles données biométriques ne puisse pas être remis en question par le règlement.

Le traitement des données sensibles

En effet, contrairement à la directive sur les données personnelles antérieurement applicable, le RGPD spécifie que les données biométriques entrent dans le champ des « données sensibles » (article 9 du règlement). Le considérant n° 51 du RGPD les définit en tant que données « traitées selon un mode technique spécifique permettant l’identification ou l’authentification unique d’une personne physique ». Bien que cette définition reste relativement vague, il est fort à parier que les juges feront rentrer la reconnaissance faciale dans une telle catégorie de données personnelles. Une telle qualification dispose d’une grande importance, dans la mesure où le RGPD interdit en principe une telle collecte, sauf si ce recueil remplit les conditions énoncées à l’article 9-2. Elle est en effet tolérée si « la personne concernée a donné son consentement explicite au traitement de ces données (…) pour une ou plusieurs finalités spécifiques ».

En faisant attention à remplir rigoureusement de telles conditions, Apple pourrait en effet effectuer ces traitements de données, à condition que, tel qu’autorisé par l’article 9-3 dudit règlement, l’Etat européen dans lequel le traitement est effectué ne prévoit pas de dispositions plus contraignantes.

La firme devra en outre s’atteler à répondre aux exigences de l’article 35 dudit règlement. En effet, concernant les données collectées avec le recours à de nouvelles technologies qui représenteraient un risque élevé pour les droits et liberté de personnes physiques, le RGPD exige que les entreprises effectuent une analyse détaillée les concernant. A travers sa collecte de données biométriques via son iPhone X, la firme se trouve de fait confrontée à une telle obligation. L’analyse visée devra notamment comporter une description systématique des opérations de traitement envisagées, une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ainsi qu’une une évaluation des risques pour les droits et libertés des personnes concernées.

Concernant les potentiels risques, Apple avait déjà communiqué sur le degré de sécurisation accrue qu’il accordait à ce type de données : en effet, la firme ne conserve pas les données biométriques de l’utilisateur sur un serveur externe dans la mesure où celles-ci sont chiffrées et verrouillées dans le processeur du smartphone via le Secure Enclave (espace de stockage ultra sécurisé). Cependant un tel degré de sécurité avait été remis en cause par une polémique ayant éclaté il y a quelques mois. L’American Civil Liberties Union (ACLU), équivalent de la CNIL aux Etats-Unis, avait averti sur le fait qu’Apple  partagerait ces données biométriques avec des développeurs d’applications tiers. Le partage de données en ce qui concerne la reconnaissance faciale permettrait aux développeurs d’ajouter de nouvelles fonctionnalités sur leurs applications. Même si Apple leur interdisait d’utiliser les données pour faire de la publicité ou du marketing, des experts en sécurité avait soulevé le fait qu’un risque subsistait, quand à une utilisation frauduleuse des données par les développeurs, les détournant de leur utilisation présupposée.

Le face ID, conforme au RGPD ?

Apple devra donc prendre au sérieux les enjeux du RGPD en assurant à la fois un consentement explicite et éclairé des utilisateurs quant aux traitement de leurs données, une haute sécurisation de celles-ci ainsi qu’un usage strictement proportionné au but poursuivi des images collectées. L’innovation de la firme à travers son face ID est en effet un exemple typique de l’usage accru de données de plus en plus sensibles à travers les nouvelles technologies. C’est d’ailleurs bien ce que l’Union européenne avait compris lors de ses réflexions sur le RGPD. Quand bien même à ce stade, de simples suppositions concernant l’alignements des entreprises de la high-tech avec cette législation peuvent être faites, il faudra rester bien attentif à l’interprétation des juges concernant le traitement de ce type de données.

L’innovation de la firme à travers son face ID est en effet un exemple typique de l’usage accru de données de plus en plus sensibles à travers les nouvelles technologies. C’est d’ailleurs bien ce que l’Union européenne avait compris lors de ses réflexions sur le RGPD. Quand bien même à ce stade, de simples suppositions concernant l’alignements des entreprises de la high-tech avec cette législation peuvent être faites, il faudra rester bien attentif à l’interprétation des juges concernant le traitement de ce type de données.

Si la plupart des responsables ont désormais compris l’enjeu du règlement général sur la protection des données (RGPD) qui entrera en application le 25 mai 2018, la mise en œuvre de ses dispositions reste difficile à appréhender. A deux mois de son application, il est impératif pour les entreprises de sensibiliser leurs équipes sur les objectifs du règlement et surtout, sur la façon de les mettre en pratique.

1.La cartographie des risques

Afin de mettre en œuvre son plan de conformité, l’entreprise doit commencer par recenser les traitements de données personnelles, l’ensemble des flux informatiques et manuels pour déterminer d’où provient chaque traitement, par qui est-il effectué, et enfin, sa finalité. Cette cartographie de la donnée permettra in fine, de définir les enjeux et les risques propres à l’entreprise. Dans ce cadre, la CNIL propose des exemples de fiche de registre afin d’orienter les équipes de travail sur les actions à mener.

2. Une feuille de route adressée à son équipe de travail

Une fois la cartographie établie, l’équipe doit prioriser ses actions en rédigeant une feuille de route comprenant :

– une méthode assurant la gestion des risques identifiés préalablement par l’équipe de travail

– la sensibilisation des opérationnels au sein de l’entreprise

– la mise en place d’une nouvelle gouvernance

– la création d’un processus de gestion des traitements afin d’assurer la conformité de l’entreprise en continue.

3. L’information de l’individu en cas de collecte de données personnelles à partir de sources externes

S’il est possible de traiter de données collectées auprès de sources externes telles que les bases de données publiques, les réseaux sociaux, les listes de prospects, les dispositions du règlement doivent être respectées. Cependant, l’entreprise devra faire valoir un intérêt légitime au recueil de ces données au titre de l’article 47 du RGPD. Cet intérêt légitime peut être avancé lorsque :

• Le traitement des données a lieu dans le cadre d’une relation client
• Le traitement est opéré à des fins marketing
• Le traitement prévient la fraude ou assure la sécurité du réseau des systèmes informatiques

4. Le choix de l’individu relativement à la collecte de ses données personnelles

Afin de pouvoir traiter les données personnelles, l’entreprise doit permettre à l’individu de fournir son consentement et ce, expressément au titre de l’article 7 du RGPD. En pratique, les cases pré-cochées seront exclues au bénéfice d’une disposition exclusivement consacrée au consentement de l’individu et ce, pour chaque donnée personnelle collectée. Cela permet de limiter la sur-collecte de donnée ; par exemple recueillir la date de naissance exacte de l’individu ne sera plus autorisé si l’année de naissance suffit à répondre à la finalité du traitement, tout comme son lieu de résidence exact si le pays suffit. Face à ces exigences, l’entreprise devra s’adapter et ne conserver que les données strictement nécessaires. Par ailleurs, si l’individu souhaite modifier ou même supprimer ses données personnelles, cette manipulation doit être facilement réalisables, ce qui suppose de rendre flexible son système de collecte de données personnelles.

5. S’assurer de la conformité des sous-traitants

Si les détenteurs directs des données personnelles sont visés par le règlement, ce dernier s’applique aussi aux sous-traitants et vendeurs dès lors qu’ils disposent d’un accès à ces données. En effet, ces derniers doivent attester de leur conformité avec le RGPD. Pour se faire, les entreprises devront insérer dans les contrats, s’ils sous-traitent les données collectées, des clauses types relative à la protection des données attestant de leur conformité au RGPD.

6. Quels sont les outils de travail des collaborateurs visés par le RGPD ?

Par définition, le RGPD s’applique lorsque

• Le traitement est effectué par des « moyens automatisés »
• Lorsque les données « font partie d’un système de classement ou sont destinées à faire partie d’un système de classement » bien que le traitement ne soit pas réalisé par des moyens automatisés stricto sensu.

En ce qui concerne le premier cas, les équipes de travail devront seulement procéder aux conversions des documents sous format numérique. En ce qui concerne le second cas, les équipes de travail doivent entendre par système de classement « tout ensemble structuré de données personnelles qui est accessible selon des critères spécifiques ». En pratique, tous les documents papiers non organisés comme les documents en vrac sur une imprimante, sur un bureau ne sont pas soumis au RGPD. A contrario, dès lors que ces documents papiers sont organisés par les collaborateurs de manière à être accessibles selon des critères définis, le RGPD s’appliquera. A titre d’exemple, seront soumis au RGPD les fichiers placés dans un classeur indexé par nom, les rapports de dépenses triés par fonction et triés en interne ou encore les dossiers du département des ressources humaines.

Au regard des changements futurs, nous préconisons d’engager la mise en conformité dès que possible. Doté à présent d’un département dédié aux problématiques des données à caractère personnel et d’un département assorti de compétences techniques, Dreyfus & associés est le partenaire idéal pour vous accompagner dans cette démarche de transition.

La loi Lemaire a été promulguée en France le 7 octobre 2016. Elle a pour but de libérer l’innovation et créer un cadre de confiance garantissant les droits des utilisateurs et protégeant leurs données personnelles. Un de ses objectifs est d’assurer en France un service public de la donnée. Ce service public est déjà entré en vigueur et ne cesse de s’améliorer. Cette notion de service public de la donnée arrive à l’ère où l’on parle de la donnée comme l’or noir du 21ème siècle. Il va permettre de mettre en place un cadre juridique à cette donnée.

I. La mise à disposition des données

Désormais il s’agit donc d’un service public comme un autre. Il a une existence physique, une définition et se retrouve sur data.gouv.fr/référence.
Ce service regroupe 4 dimensions que sont :
– Les producteurs de données (administrations) ;
– Les diffuseurs de données ;
– Les utilisateurs de données (personnes privées et publiques/acteurs qui vont réutiliser ces données) ; et
– La mission Etalab qui pilote la mise en place de ce service public.

Actuellement, 9 bases de données sont comprises dans le service public. Elles sont donc désormais publiées et accessibles à tous et sont les suivantes :
– BAN : base adresse nationale ;
– Base Sirene des entreprises et de leurs établissements ;
– COG : code officiel géographique ;
– PCI : plan cadastral informatisé ;
– RPG : registre parcellaire graphique ;
– Référentiel de l’organisation administrative de l’Etat ;
– RGE : référentiel à grande échelle ;
– RNA : répertoire national des associations ; et
– ROME : répertoire opérationnel des métiers et des emplois.

Certains ont pu objecter le fait que ces données étaient déjà disponibles avant la création de ce service public. En revanche, la publication était éparse et peu connue. Grâce à la création d’un service public dédié aux données, la mission française Etalab espère assurer la pérennité de ces données, leur sécurité économique et la sécurité des investissements des producteurs de données. De plus, il devrait ressortir de ce service public une garantie de stabilité et de visibilité de ces bases.
En tant que juriste on ne peut que remarquer l’absence des données juridiques. Cette question a été débattu lors de l’adoption de la loi. Il avait été conclu que ces données n’étaient pas encore prêtes à être publiées, sous-entendant qu’elles le seront un jour et qu’une base juridique n’est pas exclue.

II. Le service public de la donnée et les droits de propriété intellectuelle

Auparavant, la loi du 17 juillet 1978 relative à la liberté d’accès aux documents administratifs et à la réutilisation des informations publiques posait les premières bases de cette donnée publique qui était fondée sur 2 piliers :
– L’accès aux documents administratifs ; et
– L’utilisation des informations qui y figurent.

Désormais, la loi française Lemaire ajoute le principe de réutilisation de ces données qui découle de l’accès à ces données. Sans accès aux données aucune réutilisation n’est possible. A l’opposé de l’accès, l’utilisation et la réutilisation des données, on retrouve les droits de propriété intellectuelle. En effet, qui dit ouverture des données entend liberté. Au contraire, un droit de propriété intellectuelle sous-entend monopole d’exploitation et un accès retreint. Il semble donc que le service public de la donnée et les droits de propriété intellectuelle soient trop différents pour être conciliables.
Cette opposition va encore plus loin avec la loi Lemaire qui impose une publication des données. Jusqu’à présent les données étaient accessibles sur demande de l’administré. Désormais, la logique est inversée puisque l’administration est directement obligée de publier les données.
C’est dans ce contexte que les droits de propriété intellectuelle surgissent. En effet, lorsque les données étaient accessibles sur demande individuelle, le risque de violation d’un droit était moindre. Au contraire, le risque de reproduction et de représentation est beaucoup plus important lorsque les données sont spontanément publiées et accessibles à tous.
La loi a tout de même prévu une limite. L’article 11 de la loi Lemaire prévoit en effet : « Sous réserve de droits de propriété intellectuelle détenus par des tiers, les droits des administrations […] ne peuvent faire obstacle à la réutilisation du contenu des bases de données que ces administrations publient ». Ainsi, la réutilisation des données présentes sur les bases de données dont le service public est responsable n’est pas absolue.
Concernant les droits de propriété intellectuelle, la doctrine est unanime pour dire que seuls les droits d’auteurs sont susceptibles d’être entendus dans la réserve formulée, qui n’inclut donc ni les marques, ni les brevets.

Il s’agit ensuite d’établir quels titulaires de droit d’auteur peut se prévaloir de cette réserve. Dans l’hypothèse où l’administration pourrait s’opposer à la réutilisation sur le fondement de ses propres droits de propriété intellectuelle, le droit de réutilisation serait obsolète et sans intérêt. En toute logique, la jurisprudence considère qu’il s’agit des droits de tiers à l’administration.
Dans le même sens, la loi française précise que les administrations ne peuvent pas non plus se prévaloir de leurs droits de producteur de bases de données pour faire obstacle à la réutilisation des données contenues dans ces bases.

III. Conflit entre le service public et la protection des données personnelles

Lorsque l’on parle d’open data, on fait référence à l’ouverture des données. Il existe donc une opposition naturelle entre l’open data et la protection des données personnelles. Dans le but de concilier les deux, la loi pour l’économie numérique fait une distinction entre vie privée et données à caractère personnel.
– Vie privée : la position primaire du législateur est de favoriser l’open data mais toujours dans le respect de la vie privée. Par principe un document portant atteinte à la vie privée ne peut pas être communicable à tous.
– Donnée à caractère personnel : il n’existe pas de principe d’interdiction et de communication. Le législateur procède autrement. Il dit qu’il est possible de publier des documents qui comportent des données à caractère personnel et les liste. Un décret est attendu pour lister tous les documents qui pourront être publiés sans avoir besoin de faire l’objet d’un traitement avant publication.

Aujourd’hui il existe une harmonisation entre le droit de communication d’un document à une personne et le droit de publication. Dès lors qu’un document est communicable, il peut être publié.

En conclusion, le débat entre la publication des données et la protection des données à caractère personnel est toujours d’actualité. Il est important d’avoir conscience qu’il existe des restrictions de publications des données à caractère personnel, mais également de données portant atteinte à un droit de propriété intellectuelle. Dotée d’un département Nouvelles Technologies, Dreyfus & associés peut vous assister aussi bien sur des questions de droit de propriété intellectuelle, mais aussi de données personnelles et NTIC.

La protection des données à caractère personnel est un sujet d’inquiétude grandissante pour les consommateurs dont les données sont collectées. Le nouveau Règlement Général sur la Protection des Données (RGPD, Règlement 2016/679 du 27 avril 2016) entre en vigueur le 25 mai 2018. Ses nouvelles dispositions mettent en place de nouvelles obligations assorties de sanctions lourdes pouvant atteindre plusieurs millions d’euros. Le G29 a clarifié certaines de ces obligations. En particulier, il est à présent obligatoire de documenter les démarches mises en place pour se mettre en conformité, de tenir un registre ou encore de désigner un Délégué à la Protection des Données dans certains cas.

Afin de se conformer, un audit permettant d’établir une cartographie précise de l’ensemble des traitements des données au sein de l’entreprise est conseillé.

Tout le monde est concerné, que ce soit les grands comptes ou les start-up. Votre entreprise est concernée : par son site internet, ses réseaux sociaux, ses programmes de fidélités, par les fichiers clients et prospects ou par la gestion des campagnes marketing. En effet, le règlement a vocation à s’appliquer au traitement de toute donnée à caractère personnel d’une personne se trouvant sur le territoire de l’Union Européenne.

Un plan d’action en 3 étapes semble le plus approprié :

• 1^ère étape : cartographier les traitements des données personnelles

Il s’agit d’identifier les traitements des données collectées au sein de l’entreprise : les catégories de données personnelles traitées, les objectifs poursuivis par les opérations de traitement de données, les acteurs traitant ces données, et enfin les flux en précisant leur origine et leur destination.

• 2^ème étape : procéder à un audit de conformité

Grâce à la première étape, un bilan et des recommandations personnalisés pourront être établis. À partir de ces informations, vous aurez une vision globale des démarches à effectuer pour que votre entreprise soit conforme aux prescriptions du règlement.

• 3^ème étape : accountability – mise en conformité

Enfin, il conviendra d’établir un plan d’action basé sur les résultats de la cartographie et de l’audit. Un Conseil en propriété industrielle pourra notamment vous aidez à pallier les éventuelles lacunes de votre protection actuelle : la tenue d’un registre, la désignation d’un Délégué à la Protection des Données, le droit à la portabilité des données etc.

Ce plan d’action pourra également être accompagné d’un audit de sécurité.

Compte tenu de l’importance des changements, nous recommandons d’engager la mise en conformité dès que possible. Doté à présent d’un département dédié aux problématiques des données à caractère personnel et d’un département assorti de compétences techniques, Dreyfus & associés est le partenaire idéal pour vous accompagner dans cette démarche de transition.

En moins d’une décennie, Facebook s’est hissé au sommet des media sociaux et des réseaux, ses actions atteignant un pic en 2012 avec une capitalisation de 104 milliards de dollars. Dans le monde actuel toujours plus numérique, Facebook est bien plus qu’un réseau social, il est une forme d’identité et de communauté au sein de laquelle les individus fondent et racontent leurs expériences hypermodernes.

Facebook, évoluant dans une société qui évolue très vite obsolète et tournée vers la technologie, a contribué à engager une discussion au sujet de laquelle les philosophes, anciens comme modernes, qui vivaient dans un monde bien différent du nôtre, ont lutté pendant des siècles: le croisement des intérêts privés et publics.

Le gouvernement américain est actuellement en conflit avec Facebook au sujet du contenu de centaines de comptes d’utilisateurs. Invoquant le 4ème amendement, qui est le droit constitutionnel d’être libre de toutes recherches déraisonnables, Facebook estime que la confidentialité de données de 381 personnes, incluant des photos qu’ils ont « liké » et des messages privés serait violée.

En première instance, un juge de New-York privilégiait les intérêts publics sur les intérêts privés et décidait que Facebook n’avait aucun droit de contester les mandats de perquisition car elle agit comme un dépositaire de données en ligne, et n’est pas la cible actuelle de l’enquête pénale. S’agissant de l’enquête elle-même, les procureurs américains ont cherché à intenter des poursuites contre certains fonctionnaires accusés d’avoir fraudé le système de sécurité sociale en produisant de faux certificats d’invalidité. Selon Joan Vollero, une porte-parole du bureau du Procureur de Manhattan, près de 1.000 personnes auraient fraudé le gouvernement pour un montant de plus de 400 millions de dollars. Les preuves pour cette plainte provenaient des photos Facebook présentant les fonctionnaires supposés handicapés participant à toute sorte de sport, pêche en haute mer et sports nautiques.

Bien que dans cette affaire particulière, qui en est actuellement en appel, la violation du 4ème amendement et la préférence pour les intérêts publics sur les intérêts privés semble justifiée, particulièrement lorsque l’on considère les pertes financières pour le gouvernement, toutes les affaires concernant les recherches numériques et les saisies n’ont pas reçu la même solution. Dans une décision américaine Riley contre Californie (2014) la question était de savoir si une arrestation pouvait permettre, à elle-seule, à un officier de police de rechercher des données disponibles sur le smartphone d’une personne, pouvant inclure son compte Facebook. La décision, qui s’est elle-même rattachée à l’idée de « nouvelle règle pour un nouveau monde » vise à faire prendre conscience que la police ne devrait pas avoir un accès absolu à toutes les informations sur le téléphone portable d’une personne seulement parce que cette personne est en état d’arrestation.

Néanmoins, les faits de ces deux affaires respectives ne se ressemblent pas et l’analyse juridique peut, par conséquent, varier. Dans le cas de la contestation de Facebook de la saisie d’informations d’un utilisateur, il semble, en revanche, que la vie privée d’un individu puisse surpasser le droit pour le public de bénéficier des dépenses publiques, en particulier à la lumière aux montants financiers qui se trouvaient en jeu.

Cette affaire pose, peut-être, une question plus large: Facebook est-il un univers public ou privé ? Facebook changeant continuellement ses réglages de confidentialité pour les utilisateurs et devenant davantage une agence de publicité qu’une plateforme d’échanges, les indicateurs peuvent laisser penser que ceux qui utilisent Facebook sont en fait davantage utilisateurs d’un domaine public.

Néanmoins, les utilisateurs ont besoin d’avoir confiance en Facebook et de savoir que leurs messages privés resteront privés, ce qui n’a pas toujours été vrai.

Comme certains anciens répondent, une vieille solution toujours applicable à ce problème est simplement d’être prudents sur ce que vous révélez sur vous-même sur Internet. Si vous estimez que vos droits à la vie privée ont été violés par un service de média sociaux et/ou par le gouvernement, ou connaissez quelqu’un qui exploite l’un de ses services, des conseils et solutions fiables peuvent vous être apportés par Dreyfus.

Fin mai 2014, la CNIL a publié un Cahier IP sur le thème du corps comme nouvel objet connecté, en se focalisant sur les données personnelles de santé issues des applications et objets de quantified self.

Ce phénomène actuel est défini par la CNIL dans sa publication comme la « quantification de soi. Sous cette expression quelque peu sibylline, sont visées des pratiques variées mais qui ont toutes pour point commun pour leurs adeptes, de mesurer et de comparer avec d’autres des variables relatives à notre mode de vie : nutrition, exercice physique, sommeil, mais aussi pourquoi pas son humeur, etc. »

Les données sont capturées automatiquement par des objets connectés puis traitées en masse. Le développement de cette pratique appelle à la vigilance des utilisateurs vis-à-vis du devenir de leurs données. Ces dernières étant liées à la santé de l’individu, elles ont un caractère sensible. Il n’existe aucune définition de « donnée sensible » mais elles sont énumérées exhaustivement.

La Commission met en avant le décalage entre les politiques de confidentialité présentées et la réalité des pratiques. Il passe trop souvent inaperçu à cause du manque de vigilance et de connaissance des utilisateurs au sujet des données personnelles.

Un mouvement de « client empowerment », donnant ainsi plus de pouvoir et de contrôle au client, permettrait un rééquilibrage de la relation usager/collecteur de données. En effet, la voix des clients est trop souvent négligée par les entreprises. Cet « empowerment » peut aussi permettre la patrimonialisation des données avec le consentement direct du client, ce qui serait très favorable aux courtiers en données.

Bien que la CNIL ne le mentionne pas dans son rapport, une autre solution pour la protection des données des usagers serait d’imposer le concept de « privacy by design » dès la conception des objets connectés. Ce concept propose de faire de la protection de la vie privée de l’utilisateur une caractéristique majeure de l’objet. Ainsi, par défaut, les données recueillies ne seront pas extensivement partagées ou revendues.

Les lois françaises et européennes étant très protectrices des données personnelles, en particulier des données sensibles, la vigilance est de rigueur lors de la collecte de ces données.

Dreyfus vous accompagne en auditant vos collectes de données et vous aide à mettre en place des politiques de confidentialité conformes aux règlementations française et européenne.