Articles

Le 9 novembre 2018, le Conseil de l’Union Européenne a approuvé le texte du règlement sur la libre circulation des données non-personnelles[1], destiné non plus à protéger les droits des personnes physiques dans le cadre du traitement de leurs données à caractère personnel, mais à éliminera les obstacles à la libre circulation des données à caractère non personnel dans l’UE. Un accord provisoire avait été conclu le 19 juin 2018 entre le Conseil de l’UE, la Commission et le Parlement Européen[2] sur la base du texte adopté le 4 octobre 2018 au Parlement de Strasbourg[3]. Selon la revue « Clubic »[4], cette nouvelle réglementation « boosterait considérablement l’économie numérique sur le marché mondial et la croissance de la zone (à hauteur de 4 % du PIB d’ici 2020) ».

 

Objectifs

Selon Andrus Ansip, vice-président chargé du marché unique numérique : «Les restrictions liées à la localisation des données sont des signes de protectionnisme […]. Nous avons franchi une nouvelle étape grâce à cet accord pour la libre circulation des données à caractère non personnel afin de promouvoir les innovations technologiques et de nouveaux modèles économiques et de créer un espace européen pour tous les types de données.».

L’idée est d’ouvrir la voie à un véritable marché unique européen du stockage et du traitement des données et, partant, à un secteur européen des services en nuage compétitif, sûr et fiable.

Selon le Parlement européen, « le développement rapide de l’économie des données et des technologies émergentes telles que l’intelligence artificielle, les produits et les services en lien avec l’internet des objets, les systèmes autonomes et la 5G soulèvent de nouvelles questions juridiques quant à l’accès aux données et à leur réutilisation, à la responsabilité, à l’éthique et à la solidarité. Des travaux devraient être envisagés sur la question de la responsabilité, notamment par la mise en œuvre de codes de conduite par autorégulation et d’autres bonnes pratiques, en tenant compte des recommandations, des décisions et des mesures prises sans interaction humaine tout au long de la chaîne de valeur du traitement des données. Ces travaux pourraient également porter sur des mécanismes appropriés visant à déterminer les responsabilités et à transférer les responsabilités entre services coopérant, les assurances et les audits. »[5].

Selon le Conseil d’UE, cette nouvelle règlementation européenne est destinée à « dynamiser l’économie des données et le développement de technologies émergentes telles que les systèmes autonomes transfrontières et l’intelligence artificielle. ». Le but est de créer un espace européen unique (« marché numérique unique ») des données au sein duquel des données de plus en plus nombreuses pourront circuler sans entrave.

La libre-circulation des données non personnelles dans l’UE. Une mesure qualifiée de « cinquième liberté », après les personnes, les biens, les services et les capitaux[6].

Les données concernées sont les données statistiques, les données relatives aux personnes morales, les données anonymisées, ainsi que l’ensemble des autres données qui ne répondent pas à la définition de la donnée à caractère personnel[7][8][9].

 

Les nouvelles règles sur la libre circulation des données à caractère non personnel

La nouvelle réglementation reposera sur les principes suivants :

  1. Assurer la libre circulation des données à travers les frontières

La libre circulation des données à travers les frontières supposera l’interdiction des restrictions liées à leur localisation. En clair, cela signifie l’interdiction pour les États d’imposer le stockage ou le traitement des données non personnelles sur leur sol, à moins qu’elles ne concernent la sécurité publique[10].

Selon la rapporteure suédoise Anna Maria Corazza Bildt (PPE), « Cette législation change vraiment la donne, en offrant à la fois aux entreprises et aux autorités publiques des gains potentiels énormes en termes d’efficacité. Cela réduira le protectionnisme en matière de données, qui menace l’économie numérique, et ouvrira la voie à l’intelligence artificielle, à l’informatique en nuage et à l’analyse des mégadonnées »[11].

Les États membres devront notifier à la Commission toute restriction résiduelle ou prévue concernant des cas précis et limités de traitement des données du secteur public (traitements souverains). Le #RGPD et le #RDNP devront « fonctionner ensemble » pour permettre à la fois la protection des données à caractère personnel et la libre circulation de toutes les données, à caractère personnel et à caractère non personnel.

En cas de jeux de « données composites » (par ex. jeux de données comprenant à la fois (1) des données inférées ou dérivées constituant des données à caractère personnel et (2) des données statistiques ou des données d’exploitation non identifiantes), la disposition du RGPD garantissant la libre circulation des données à caractère personnel s’appliquera à la partie personnelle du jeu[12].

 

  1. Assurer la disponibilité des données à des fins de contrôle réglementaire

Les pouvoirs publics doivent pouvoir avoir accès aux données à des fins de contrôle et de surveillance quel que soit l’endroit où elles sont stockées ou traitées dans l’UE, sous peine de sanction en cas d’entrave [13]. Cet aspect de la nouvelle réglementation est probablement un de ceux qui sera examiné de près par les acteurs du Cloud ainsi que par les acteurs de la protection des données à caractère personnel.

Le projet de #RDNP prévoit que les « autorités compétente » peuvent, après avoir vainement demandé l’accès aux donnés d’un utilisateur et faute d’accord de coopération spécifique, « solliciter l’assistance de l’autorité compétente dans un autre État membre, conformément à la procédure prévue à l’article 7[14] ».

Rappelons qu’EUROPOL s’inquiétait des conséquences des nouvelles règles sur la protection des données en ce qu’elles peuvent parfois « compliquer l’accès des bases de données listant les propriétaires des sites internet lors des enquêtes policières »[15]. Comme dans d’autres domaines, il sera parfois nécessaire d’arbitrer entre liberté et sécurité.

 

  1. Encourager l’instauration de codes de conduite de l’UE pour les services en nuage (Cloud)

Il s’agit de lever les obstacles au changement de fournisseur de services de stockage en nuage et à la portabilité de l’ensemble des données numériques – et pas seulement des données à caractère personnelle – pour leur rapatriement sur les systèmes informatiques internes des utilisateurs ou vers d’autres systèmes informatiques.

Le projet de règlement prévoit qu’au plus tard le … [48 mois à partir de la date de publication du présent règlement [16]], la Commission soumet un rapport au Parlement européen, au Conseil et au Comité économique et social européen, notamment sur « l’élaboration et la mise en œuvre effective des codes de conduite, ainsi que la fourniture effective d’informations par les fournisseurs de services ».

Le projet de #RDNP prévoit, comme le #RGPD, des « sanctions effectives, proportionnées et dissuasives en cas de manquement à l’obligation de fournir des données, conformément au droit de l’Union et au droit national »[17]

Le projet de #RDNP prévoit, comme le #RGPD, une période transitoire de 24 mois pendant laquelle les organismes doivent se mettre en conformité[18].

Pascal ALIX, Avocat à la Cour et Délégué à la Protection des Données

 

[1] http://data.consilium.europa.eu/doc/document/PE-53-2018-INIT/en/pdf

[2] http://europa.eu/rapid/press-release_IP-18-4227_fr.htm

[3] http://www.europarl.europa.eu/sides/getDoc.do?type=TA&reference=P8-TA-2018-0381&format=XML&language=FR

[4] « l’Union européenne crée un « Schengen » de la donnée » https://www.clubic.com/pro/it-business/securite-et-donnees/actualite-844266-libre-circulation-union-europeenne-cree-schengen-donnee.html

[5] http://www.europarl.europa.eu/sides/getDoc.do?type=TA&reference=P8-TA-2018-0381&format=XML&language=FR

[6] https://www.euractiv.fr/section/economie/news/a-fifth-freedom-of-the-eu-meps-back-end-of-data-localisation/

[7] Article 3 1) du projet de règlement : « «données», les données autres que les données à caractère personnel au sens de l’article 4, point 1), du règlement (UE) 2016/679 »

[8] Article 4 1) du RGPD : toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou social

[9] par exemple « les lots de données agrégées et anonymisées utilisés pour le big data et l’analyse, les données sur l’agriculture de précision qui peuvent aider à surveiller et optimiser l’utilisation de pesticide et d’eau, ou les données sur les besoins de maintenance de machines industrielles » (https://www.nextinpact.com/brief/l-ue-s-apprete-a-signer-le-reglement-sur-la-libre-circulation-des-donnees-6523.htm).

[10] Le lobby « Cispe Cloud », représentant les acteurs du cloud (dont Amazon, OVH, Hetzner ou encore Ikoula) se félicite de cette adoption.

[11] https://www.euractiv.fr/section/economie/news/a-fifth-freedom-of-the-eu-meps-back-end-of-data-localisation/

[12] http://europa.eu/rapid/press-release_IP-18-4227_fr.htm

[13] Considérant 24 du projet de Règlement : « le présent règlement devrait clairement préciser qu’il ne porte pas atteinte au pouvoir des autorités compétentes de demander ou d’obtenir l’accès à des données conformément au droit de l’Union ou au droit national, et que les autorités compétentes ne peuvent se voir refuser l’accès aux données au motif que les données sont traitées dans un autre État membre. ».

[14] Article 5 2.

[15] https://www.euractiv.fr/section/economie/news/privacy-regulators-in-hotseat-over-future-of-fundamental-website-owners-list/

[16] Projet actuel

[17] Article 5 4.

[18] Par ex. article 4

Lire la suite

Le règlement général sur la protection des données (RGPD) considère l’enfant comme une personne concernée particulièrement vulnérable[1], méritant une protection spécifique[2] du fait de son incapacité à comprendre les risques qu’entraine un traitement de ses données personnelles.

Le législateur européen a introduit une distinction entre les mineurs de plus de 16 ans et les mineurs de moins de 16 ans.  Les premiers pouvant consentir seul à un traitement réalisé dans le cadre d’un « offre directe de services de la société de l’information »[3], à savoir un service payant fourni en ligne[4]. La loi française elle, opère cette distinction à l’âge de 15 ans[5]. En dessous de cet âge, le consentement doit être donné par les titulaires de l’autorité parentale ou conjointement avec eux[6] . Pour l’ensemble des traitements ne ressortissant pas des services de la société de l’information[7], le consentement ne semble pas borné par cette limite d’âge.

Lorsque l’on aborde la notion d’enfant cependant, une autre question se pose, relative celle-ci à l’exercice des droits de ce dernier.

Les mineurs peuvent-il exercer les droits des articles 15 et suivants du RGPD en tant que personnes concernées ?

Le Chapitre III du RGPD, « Droit de la personne concernée », qui se borne à faire référence à : « une personne physique identifiée ou identifiable [8] », n’évoque pas la question des droits des mineurs à cet égard.

Sachant que ces droits sont éminemment personnels et ne peuvent être exercés que par la personne concernée elle-même, peut-on considérer, en l’absence de disposition spécifique dans les articles 15 et suivants, que le mineur peut exercer seul ces droits et ainsi bénéficier de la possibilité de maitriser ses données personnelles sans l’autorisation des titulaires de l’autorité parentale ?

Le RGPD prend en compte le statut particulier de l’enfant lorsqu’il évoque les modalités de délivrance de l’information (concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant[9]). Or, cette information porte notamment sur les droits dont les personnes concernées disposent en cas de traitement de ses données personnelles.

Information sur les droits et exercice des mêmes droits sont pourtant à dissocier : le mineur est informé mais ne peut exercer seul ses droits.

En effet, l’article 388-1-1 du Code civil prévoit que l’administrateur légal représente le mineur dans tous les actes de la vie civile, sauf les cas dans lesquels la loi ou l’usage autorise les mineurs à agir eux-mêmes.

Or, ni la loi « informatique et libertés » du 6 janvier 1978 modifiée et adaptée ni le RGPD ne prévoient pas une telle autorisation pour l’exercice des droits.

Pour le droit d’accès, la CNIL indique que les titulaires de l’autorité parentale sont habilités à l’exercer[10]. Il semble admis que le régime du droit de rectification est identique[11].

Concernant le nouveau droit à l’oubli consacré par l’article 40-II de la loi « informatique et libertés » du 6 janvier 1978 modifiée et adaptée, s’il concerne des données collectées alors que les personnes concernées étaient mineures au moment de la collecte, il est apparemment exercé par le titulaire de l’autorité parentale[12].

Les autres droits ne semblent pas devoir être traités différemment en l’absence de précisions particulières les concernant.

La loi française introduit une exception intéressante dans le domaine des traitements de données de santé pour les mineurs de plus de 15 ans.

L’article 59 de la loi « informatique et libertés » du 6 janvier 1978 modifiée et adaptée prévoit en effet que pour les traitements de données à caractère personnel réalisés dans le cadre de recherches mentionnées aux 2° et 3° de l’article L. 1121-1 du code de la santé publique[13] ou d’études ou d’évaluations dans le domaine de la santé, ayant une finalité d’intérêt public et incluant des personnes mineures, le mineur âgé de quinze ans ou plus peut s’opposer à ce que les titulaires de l’exercice de l’autorité parentale aient accès aux données le concernant recueillies au cours de la recherche, de l’étude ou de l’évaluation. Le mineur reçoit alors l’information et exerce seul ses droits.

Pour ces mêmes traitements, le mineur âgé de quinze ans ou plus peut s’opposer à ce que les titulaires de l’exercice de l’autorité parentale soient informés du traitement de données si le fait d’y participer conduit à révéler une information sur une action de prévention, un dépistage, un diagnostic, un traitement ou une intervention pour laquelle le mineur s’est expressément opposé à la consultation des titulaires de l’autorité parentale[14] (…) Il exerce alors seul ses droits.

Qu’est-ce qui motive ces exceptions ? Le législateur a considéré qu’il s’agissait ici d’un domaine particulièrement sensible pour le mineur car touchant à sa santé et ayant un caractère très intime, comme un dernier recoin de vie privée inaccessible, même aux titulaires de l’autorité parentale. S’il s’agit de l’alignement du seuil de maturité adopté dans d’autres domaines (services de la société de l’information, consentement en matière de sexualité), l’on voit mal ce qui justifie le maintien de l’exigence de l’autorisation parentale pour l’exercice, par les mineurs de 15 ans et plus, de leurs droits d’accès, de rectification, à l’effacement, à la limitation, à la portabilité et d’opposition.

Pascal Alix, avocat à la Cour et DPO externe

Séverine Lair, avocat à la Cour

[1] Considérant 75.

[2] Considérant 38 : « Les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu’ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel (…) ».

[3] Article 8 du RGPD.

[4] CJUE, affaire C-434/15, 20 décembre 2017, Asociación Profesional Elite Taxi/Uber Systems Spain SL

[5] Article 7-1 de la LIL modifiée.

[6] « donné ou autorisé par le titulaire de la responsabilité parentale » selon le RGPD

[7] Comme la réservation d’un transport au moyen d’une application (CJUE, affaire C-434/15, 20 décembre 2017, Asociación Profesional Elite Taxi/Uber Systems Spain SL, précité).

[8] Article 4.1 du RGPD.

[9] Le Considérant 58 reprend cette même idée.

[10] « Pour les mineurs et les incapables majeurs, ce sont, selon les cas, les parents, le détenteur de l’autorité parentale ou le tuteur qui effectuent la démarche. » https://www.cnil.fr/fr/professionnels-comment-repondre-une-demande-de-droit-dacces.

[11] Informatique et libertés, La protection des données à caractère personnel en droit français et européen, A ; DEBET, et autres, coll. Les intégrales, Lextenso Editions, 2015, p.1443.

[12] Alain Bensoussan (https://www.alain-bensoussan.com/avocats/droit-effacement-donnees-mineurs/2017/02/13/)

[13] « 2° Les recherches interventionnelles qui ne comportent que des risques et des contraintes minimes, dont la liste est fixée par arrêté du ministre chargé de la santé, après avis du directeur général de l’Agence nationale de sécurité du médicament et des produits de santé ;

3° Les recherches non interventionnelles qui ne comportent aucun risque ni contrainte dans lesquelles tous les actes sont pratiqués et les produits utilisés de manière habituelle. »

[14] Article L.1111-5 et L.1111-5-1 du Code de la santé publique : le professionnel de santé doit cependant d’abord rechercher l’accord du mineur sur cette consultation.

L’article 35.4 du RGPD prévoit que « l’autorité de contrôle établit et publie une liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise ». Cette liste établie par la CNIL a été publiée le 6 novembre 2018 au journal officiel[1].

Les traitements concernés sont les suivants :

– certains traitements recourant à des données de santé (traitements par les établissements de santé ou médico sociaux pour la prise en charge des personnes, traitements portant sur les données génétiques de personnes vulnérables, traitements permettant la constitution d’un entrepôt de données ou d’un registre, traitement de données biométriques pour la reconnaissance de personnes incluant des personnes vulnérables). Dans le domaine du médico-social, sont également concernés les traitements ayant pour finalité l’accompagnement social ou médico-social des personnes et les traitements ayant pour finalité la gestion de l’alerte et le signalement dans le domaine social et sanitaire ;

– des traitements dans le domaine de la gestion des ressources humaines (profils et surveillance constante de l’activité des employés) et des relations professionnelles (traitements ayant pour finalité la gestion de l’alerte et le signalement en matière professionnelle) ;

– certains traitements en lien avec le logement (instruction des demandes et gestion des logements sociaux) ;

– certains traitements mettant en œuvre un profilage (profilage faisant appel à des données de sources externes, profilage pouvant aboutir à l’exclusion du bénéfice d’un contrat, à sa suspension ou à sa rupture) ;

– les traitements mutualisés de manquements contractuels constatés, susceptibles d’aboutir à une décision d’exclusion ou de suspension du bénéfice d’un contrat ;

– les traitements de données de localisation à large échelle.

Sur son site internet, la CNIL met à disposition cette liste accompagnée d’exemples concrets[2], utile pour les responsables de traitement.

Suite aux préconisations du CEPD[3], la CNIL a précisé que cette liste n’était pas exhaustivedes traitements n’y figurant pas pouvant néanmoins nécessiter la réalisation d’un PIA.

Par ailleurs, la CNIL rappelle dans ses dernières lignes directrices[4] que les traitements réunissant deux des neuf critères établis par le G29[5] doivent également faire l’objet d’un PIA (demande d’ajout du CEPD). La CNIL précise que cette liste sera revue régulièrement « selon son appréciation des « risques élevés » que peuvent présenter certains traitements ».

Le CEPD a indiqué que les traitements comprenant des données biométriques ou génétiques ne présentaient pas systématiquement un risque élevé et qu’un autre critère du G29 devait être présent pour imposer un PIA.

Ont également été intégrés à la liste initiale sur avis du CEPD, les traitements utilisant les données de localisation (si deux des critères du G29 sont remplis) et les traitements impliquant la surveillance systématique des salariés (si deux des critères du G29 sont remplis).

Pascal Alix, avocat à la Cour et DPO externe

Séverine Lair, avocat à la Cour

 

[1] Délibération n°2018-327 du 11 octobre 2018 portant adoption de la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise

[2] https://www.cnil.fr/fr/ce-quil-faut-savoir-sur-lanalyse-dimpact-relative-la-protection-des-donnees-aipd

[3] Opinion9/2018 on the draft list of the competent supervisory authority of France regarding the processing operations subject to the requirement of a data protection impact assessment (Article 35.4 GDPR), Adopted on 25th September2018

[4] Délibération n° 2018-326 du 11 octobre 2018 portant adoption de lignes directrices sur les analyses d’impact relatives à la protection des données (AIPD) prévues par le règlement général sur la protection des données (RGPD)

[5] WP 248rév.01,17/FR, Lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est « susceptible d’engendrer un risque élevé » aux fins du règlement (UE) 2016/679, adoptées le 4 avril 2017 et modifiée le 4 octobre 2017

Lire la suite