Un an et demi après Snowden, le front commun des CNIL européennes

Un an et demi après Snowden, le front commun des CNIL européennes

Une déclaration brillante et des points noirs

Avatar de l'auteur
Marc Rees

Publié dans

Droit

08/12/2014 5 minutes
8

Un an et demi après Snowden, le front commun des CNIL européennes

À l’occasion de l’European Data Governance Forum (EDGF), les CNIL européennes, réunies autour du « G29 » ont publié une déclaration commune sur l’importance de la protection des données personnelles à l’ère du numérique.

Après une introduction où les références à Snowden se mélangent à celles de la généralisation des infrastructures numériques, cette déclaration repose sur 16 points qui rappellent l’importance de la donnée personnelle et donc de sa protection. Le premier rappelle que la protection des données personnelles est un droit fondamental, la donnée ne pouvant être considéré « comme un seul objet de commerce, un actif économique ou un bien de consommation », mais au contraire doit se conjuguer avec d’autres normes de même rang. Il s’agit notamment de la prohibition de toute discrimination, la liberté d'expression, mais également les impératifs de sécurité.

La donnée personnelle doit se conjuguer avec des normes de même rang

Cette déclaration enfonce évidemment une porte ouverte lorsqu’elle rappelle que « la technologie est un moyen qui doit demeurer au service de l'homme » ou que ce n’est pas parce qu’une technologie permet de faire ceci ou cela que ce moyen est conforme au droit. Cette porte ouverte, elle adresse une piqure de rappel bienvenue aux services en ligne : le respect des règles est l’une des clefs de confiance dans l’économie numérique.

 

L’effectivité de cette piqure passe inévitablement par une meilleure éducation au numérique, où le chapitre de la protection des données ne peut être esquivée. Elle passe aussi par des normes adaptées, mieux cloisonnées, contrairement à ce qui a été dénoncé outre-Atlantique par Snowden et qui plonge aujourd’hui les grands acteurs du web dans une crise de confiance.

 

Les CNIL européennes rêvent d’ailleurs de voir partout en Europe la possibilité de lancer des actions collectives en cas de violation massive de ces données. On pourra à ce titre relire l’expérience initiée en Autriche contre Facebook.

Contre la surveillance secrète, massive et indiscriminée

Plusieurs dispositions concernent la sécurité. Le G29 considère illicite par nature « la surveillance secrète, massive et indiscriminée de personnes en Europe ». Il reprend à son compte les conditions posées notamment par la CJUE pour souligner que « l'accès et l'utilisation de données par les autorités nationales compétentes doivent être limitées à ce qui est strictement nécessaire et proportionné dans une société démocratique. Elles doivent être soumises à des garanties substantielles et effectives ».

 

Ce passage laisse cependant un peu songeur en France puisqu’on s’interroge toujours aujourd’hui de l’effet de l’invalidation de la directive sur les données personnelles par la CJUE. Le Conseil d’État, lui, a déjà tranché : il estime au titre de l’obligation de conservation systématique prévue par notre législation, de ne réserver l’accès à des fins de police judiciaire qu’aux crimes et aux délits d’une gravité suffisante. Il recommande aussi de réexaminer les régimes prévoyant l’accès de certaines autorités administratives pour des finalités autres que la sécurité intérieure (notamment la HADOPI, l’ANSSI, l’administration fiscale, l’AMF). Mais pour l’instant ces vœux sont restés lettre morte.

 

Le texte poursuit de plus belle en réclamant que « le traitement de données personnelles dans le cadre d'activités de surveillance ne peut avoir lieu que dans le cadre de garanties appropriées définies par la loi, conformément à l'article 8 de la Charte européenne des droits fondamentaux ». Cependant, si l’actuel projet de règlement européen prévoit d’étendre son champ d’application à toutes les données personnelles issues de ressortissants européens, il sera difficile de jauger de l’effectivité de cette politique face à l’appétit américain mis en lumière par Snowden. Pour parer à cette problématique, les CNIL européennes recommandent aux acteurs du net de stocker les données sur le territoire de l’Union. Seule cette proximité assure un contrôle effectif des traitements… mais il s’agit évidemment que d'un souhait.

La question du Safe Harbour : doit-on disqualifier les États-Unis ?

Autre chose, « aucune des dispositions figurant dans les instruments européens visant à encadrer les transferts internationaux de données entre parties privées ne peut servir de base légale à des transferts de données vers les autorités de pays tiers pour des finalités de surveillance massive et indiscriminée - que ce soit celles de la Sphère de sécurité (« Safe Harbor »), de règles d’entreprise contraignantes (« BCR ») ou des clauses contractuelles types » affirment encore les autorités de contrôle. Ce point doit être raccroché à l’action intentée encore par notre Autrichien mécontent de la porosité des serveurs Facebook avec les nez de la NSA. Devant la CJUE, il tente de disqualifier de « Safe Harbour » les États-Unis. Ceci devrait permettre aux États membres de s’opposer ou mieux encadrer, s’ils l’estiment judicieux, les transferts de données outre-Atlantique, alors qu'aujourd'hui, les vannes sont ouvertes à plein régime...

 

Le G29 a ouvert sa déclaration à commentaires (via [email protected]). Il promet de tenir compte de ces retours en 2015.

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

La donnée personnelle doit se conjuguer avec des normes de même rang

Contre la surveillance secrète, massive et indiscriminée

La question du Safe Harbour : doit-on disqualifier les États-Unis ?

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (8)


Encore des mecs payés à mentir ou à rien foutre …



Qu’ont ils fait depuis les annonces de Snowden et de l’autre qui est coincé dans on ne sait plus quel residence diplomatique ?



RIEN.



On sait maintenant tres bien ce que font les US et les autres.



Et l’Europe redige un torchon qui doit bien faire rire la DGSE et toutes les barouzes du monde.



Encore hier on montrait à la tv le batiment “diplomatique” chinois (en région Parisienne) sur lequel il y a des énormes paraboles qui ecoutent toutes l’Europe.



Faut que je me fasse embaucher pour l’Europe … payer à rien foutre ou à faire des trucs qui ne servent à rien ca doit etre cool surtout avec un salaire d’expat en Belgique.


 

J’espère qu’ils verront tes lacunes manifestes et qu’ils te recaleront à l’embauche. Parce qu’ici, on te parle des CNIL nationales, donc ils ne sont pas payés par l’Europe comme tu prétends l’affirmer, mais par chacun des Etats Membres. Il s’agit d’une réunion des CNIL Nationales, comme il peut en exister dans d’autres domaines, comme la concurrence par exemple.

Par ailleurs, tu n’es pas sans savoir que les relations diplomatiques ce n’est pas blanc ou noir hein…


Intéressant de voir le point de vue d’ignares sur le sujet. Tu peux repartir maintenant.


Les CNIL nationales sont justement des autorités indépendantes qui mettent à l’amende leurs propres gouvernements nationaux si ceux-ci ne respectent pas la vie privée ou les libertés individuelles.

http://fr.wikipedia.org/wiki/Commission_nationale_de_l%27informatique_et_des_lib…

Et elles n’ont aucun pouvoir sur le fait d’héberger Edward Swoden ou non, ou de nuker l’ambassage chinoise de Paris. Là, c’est du ressort des Etats.

 








gwal a écrit :



Encore hier on montrait à la tv le batiment “diplomatique” chinois (en région Parisienne) sur lequel il y a des énormes paraboles qui ecoutent toutes l’Europe.





Nos opérateurs sont vraiment des glands à installer des antennes-relais partout et à tirer des câbles alors que les chinois, eux, avec une parabole ils écoutent toute l’Europe.



Sur ce je vous laisse, j’ai passé commande à CanalSat pour me lancer dans le 5G.







PS : Ce qui est vrai dans tout ça c’est que les chinois écoutent les communications GSM parisiennes grâce au chiffrement moisi du protocole GSM. Ce que font également beaucoup d’autres pays via leurs propres ambassades (à commencer par les USA) et la DGSE.



+1000 pour la fin de ton commentaire !



Bon, le chiffrement en 3Grammes c’est déjà mieux, mais bon, c’est pas encore ça ! Look en Allemagne, ils vont refaire tout le chiffrement 3G !



o/



<img data-src=" />








matroska a écrit :



Look en Allemagne, ils vont refaire tout le chiffrement 3G !





Aurais-tu une source ou un mot-clé stp ?





Pour parer à cette problématique, les CNIL européennes recommandent aux acteurs du net de stocker les données sur le territoire de l’Union (…)





Imaginons une entreprise XYZ qui déciderait de stocker son fichier client en France.

Puis, comme elle ne veut pas mettre tous ses œufs dans le même panier, elle fait des sauvegardes de son fichier client dans un autre pays.



Un client demande alors à l’entreprise XYZ son effacement dudit fichier client (loi 1978 informatique et libertés).

Est-ce que l’entreprise est tenue d’effacer le client de la sauvegarde, située hors de la juridiction française ?

Est-ce qu’il y aurait une loi pour interdire à l’entreprise XYZ de faire cette sauvegarde ?



<img data-src=" /> Question subsidiaire : est-ce que vous aimez les caramels mous ?