Les sénateurs ont voté ce 23 mars la proposition de loi sur le « droit à la vie privée à l'heure du numérique ». Selon le parlementaire Yves Détraigne, avec ce texte, « il s'agit, bien évidemment, non de dramatiser ou de passer pour des « ringards » en voulant limiter, encadrer le développement de ces technologies, mais simplement, pour mettre nos concitoyens en mesure de protéger leur vie privée et leurs données personnelles face aux aspects intrusifs des nouvelles technologies numériques ». Certaines avancées sont à saluer, mais le gouvernement aura mis de sérieux bémols pour protéger ses fichiers sensibles.
Les auteurs du texte ont voulu de compléter ici le cadre juridique existant, construit dès 1978 à une époque où on pressentait simplement « les développements futurs de l'informatique ». Nous avions déjà analysé ce texte le 25 février dernier cette proposition, nous mettons à jour ce qui fut écrit en fonction des amendements adoptés.
Éducation : pour éduquer les plus jeunes aux risques des TIC, les élèves seront « formés afin de développer une attitude critique et réfléchie vis-à-vis de l'information disponible et d'acquérir un comportement responsable dans l'utilisation des outils interactifs, lors de leur usage des services de communication au public en ligne. Ils sont informés des moyens de maîtriser leur image publique, des dangers de l'exposition de soi et d'autrui, des droits d'opposition, de suppression, d'accès et de rectification prévus par la loi [de 78] » (art.1)
Cet article prend appui sur le dispositif prévu par HADOPI. Avec HADOPI, on le sait, il est prévu que les profs sensibilisent les jeunes au droit de la propriété intellectuelle et aux dangers du téléchargement illégal d'oeuvres protégées. Avec la loi sur la vie privée, il s’agit de cette fois de les sensibiliser au sujet de la vie privée sur Internet…
L’IP devient une donnée à caractère personnel. La loi mettrait fin aux errements jurisprudentiels. Le traitement automatisé de l’IP entrerait alors dans les compétences de la CNIL. Le texte vise globalement « tout numéro identifiant le titulaire d'un accès à des services de communication au public en ligne ». (art.2)
Cela lève une incertitude importante qui planait sur cette série de chiffres. SI en Europe le Groupe de l’article 29 (l’ensemble des CNIL européennes) qualifiait l’IP de données personnelles, en France, dans des affaires de contrefaçon sur les réseaux P2P, la Cour d’Appel de Paris avait par exemple expliqué que « cette série de chiffres ne constitue en rien une donnée indirectement nominative relative à la personne dans la mesure où elle ne se rapporte qu’à une machine, et non à l’individu qui utilise l’ordinateur pour se livrer à la contrefaçon ».
Les traitements automatisés peuvent désormais être mis en œuvre dès la preuve du dépôt de la déclaration d’existence (art. 2 ter).
Plus de pouvoirs pour le correspondant informatique et liberté (CIL), rendu obligatoire dès que plus de 100 personnes ont accès aux données personnelles faisant l’objet d’un traitement automatisé. Dans le texte initial, le seuil était de 50 personnes, mais les sénateurs ont craint de « compromettre la capacité de la CNIL à gérer un tel dispositif ». Plutôt que d’augmenter la puissance financière de la CNIL, on a donc préféré raréfier les dossiers. « En dessous du seuil de cent personnes, le volontariat doit ainsi être préféré au caractère obligatoire ».
Différentes modalités sont prévues pour faciliter cette procédure notamment la possibilité de mutualiser la désignation de cette personne. Nommé après aval de la CNIL, le CIL est chargé d'assurer, d'une manière indépendante, le respect des obligations prévues dans cette loi, mais aussi d'informer et de conseiller l'ensemble des acteurs.
Encadrement a minima des manipulations de données personnelles par l’État : dans le texte initial, il fallait que les traitements touchant à la sûreté, la défense, la sécurité publique soient tous rattachés à des objectifs technicojuridiques comme le rapprochement entre des infractions pénales, l’identification des auteurs de crimes, etc. Néanmoins par voie d’amendement, le gouvernement a souhaité exclure de cet encadrement, les fichiers touchant à la sûreté et la défense.
« Le gouvernement est favorable à une évolution de l'encadrement juridique des fichiers de police, c'est-à-dire des fichiers qui intéressent la sécurité publique ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté, qui étaient visés par les textes déjà cités. Corrélativement, compte tenu de leur spécificité, il souhaite le maintien du régime actuel pour les traitements qui intéressent la sûreté de l'État et la défense, que ces propositions n'ont pas entendu remettre en cause ».
Conclusion, si les traitements de données mis en œuvre pour le compte de l'État et touchant à la sécurité publique doivent répondre à des objectifs, ce n’est pas le cas des fichiers liés à la sûreté et à la défense.
Là, un tout petit arrêté, après avis motivé (simple) de la CNIL suffit toujours à autoriser leur création et mise à œuvre pour le compte de l’État. Et encore : il est spécifié que « certains » de ces traitements pourront être dispensés par décret en Conseil d'État, de la publication de l'acte réglementaire qui les autorise. Ce n’est pas tout : cette ébauche de loi censée protéger la vie privée permet l’expérimentation en situation réelle de fonctionnement de ce genre de traitements automatisés. Et toujours, un simple arrêté, après avis de la CNIL suffira, avec une autorisation qui sera de 18 mois...
Obligation de notification des failles de sécurité : la proposition de loi impose au responsable d’un traitement automatisé une série d’obligations nettement plus précises que le texte en vigueur actuellement :
« Le responsable du traitement met en œuvre toutes mesures adéquates, au regard de la nature des données et des risques présentés par le traitement, pour assurer la sécurité des données et en particulier protéger les données à caractère personnel traitées contre toute violation entraînant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation, la diffusion, le stockage, le traitement ou l'accès non autorisés ou illicites ».
En cas de violation de données, le responsable du traitement « avertit sans délai » le correspondant « informatique et libertés », ou à défaut, la CNIL. Le responsable du traitement a alors obligation de prendre sans attendre toutes « les mesures nécessaires pour permettre le rétablissement de la protection de l'intégrité et de la confidentialité des données ». Si la violation a affecté des données à caractère personnel d'une ou de plusieurs personnes physiques, celles-ci sont alertées.
Précison importante : ces obligations ne s’appliquent pas aux fichiers de police, exempts de signalement, à défaut de bug.
Enfin, parmi les différentes mesures, que la proposition veut aussi faciliter, signalons le droit d'opposition (qui devient droit de "suppression") à la demande des personnes dont les données font l'objet d'un traitement automatisé..
Les auteurs du texte ont voulu de compléter ici le cadre juridique existant, construit dès 1978 à une époque où on pressentait simplement « les développements futurs de l'informatique ». Nous avions déjà analysé ce texte le 25 février dernier cette proposition, nous mettons à jour ce qui fut écrit en fonction des amendements adoptés.
Éducation : pour éduquer les plus jeunes aux risques des TIC, les élèves seront « formés afin de développer une attitude critique et réfléchie vis-à-vis de l'information disponible et d'acquérir un comportement responsable dans l'utilisation des outils interactifs, lors de leur usage des services de communication au public en ligne. Ils sont informés des moyens de maîtriser leur image publique, des dangers de l'exposition de soi et d'autrui, des droits d'opposition, de suppression, d'accès et de rectification prévus par la loi [de 78] » (art.1)
Cet article prend appui sur le dispositif prévu par HADOPI. Avec HADOPI, on le sait, il est prévu que les profs sensibilisent les jeunes au droit de la propriété intellectuelle et aux dangers du téléchargement illégal d'oeuvres protégées. Avec la loi sur la vie privée, il s’agit de cette fois de les sensibiliser au sujet de la vie privée sur Internet…
L’IP devient une donnée à caractère personnel. La loi mettrait fin aux errements jurisprudentiels. Le traitement automatisé de l’IP entrerait alors dans les compétences de la CNIL. Le texte vise globalement « tout numéro identifiant le titulaire d'un accès à des services de communication au public en ligne ». (art.2)
Cela lève une incertitude importante qui planait sur cette série de chiffres. SI en Europe le Groupe de l’article 29 (l’ensemble des CNIL européennes) qualifiait l’IP de données personnelles, en France, dans des affaires de contrefaçon sur les réseaux P2P, la Cour d’Appel de Paris avait par exemple expliqué que « cette série de chiffres ne constitue en rien une donnée indirectement nominative relative à la personne dans la mesure où elle ne se rapporte qu’à une machine, et non à l’individu qui utilise l’ordinateur pour se livrer à la contrefaçon ».
Les traitements automatisés peuvent désormais être mis en œuvre dès la preuve du dépôt de la déclaration d’existence (art. 2 ter).
Plus de pouvoirs pour le correspondant informatique et liberté (CIL), rendu obligatoire dès que plus de 100 personnes ont accès aux données personnelles faisant l’objet d’un traitement automatisé. Dans le texte initial, le seuil était de 50 personnes, mais les sénateurs ont craint de « compromettre la capacité de la CNIL à gérer un tel dispositif ». Plutôt que d’augmenter la puissance financière de la CNIL, on a donc préféré raréfier les dossiers. « En dessous du seuil de cent personnes, le volontariat doit ainsi être préféré au caractère obligatoire ».
Différentes modalités sont prévues pour faciliter cette procédure notamment la possibilité de mutualiser la désignation de cette personne. Nommé après aval de la CNIL, le CIL est chargé d'assurer, d'une manière indépendante, le respect des obligations prévues dans cette loi, mais aussi d'informer et de conseiller l'ensemble des acteurs.
Encadrement a minima des manipulations de données personnelles par l’État : dans le texte initial, il fallait que les traitements touchant à la sûreté, la défense, la sécurité publique soient tous rattachés à des objectifs technicojuridiques comme le rapprochement entre des infractions pénales, l’identification des auteurs de crimes, etc. Néanmoins par voie d’amendement, le gouvernement a souhaité exclure de cet encadrement, les fichiers touchant à la sûreté et la défense.
« Le gouvernement est favorable à une évolution de l'encadrement juridique des fichiers de police, c'est-à-dire des fichiers qui intéressent la sécurité publique ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté, qui étaient visés par les textes déjà cités. Corrélativement, compte tenu de leur spécificité, il souhaite le maintien du régime actuel pour les traitements qui intéressent la sûreté de l'État et la défense, que ces propositions n'ont pas entendu remettre en cause ».
Conclusion, si les traitements de données mis en œuvre pour le compte de l'État et touchant à la sécurité publique doivent répondre à des objectifs, ce n’est pas le cas des fichiers liés à la sûreté et à la défense.
Là, un tout petit arrêté, après avis motivé (simple) de la CNIL suffit toujours à autoriser leur création et mise à œuvre pour le compte de l’État. Et encore : il est spécifié que « certains » de ces traitements pourront être dispensés par décret en Conseil d'État, de la publication de l'acte réglementaire qui les autorise. Ce n’est pas tout : cette ébauche de loi censée protéger la vie privée permet l’expérimentation en situation réelle de fonctionnement de ce genre de traitements automatisés. Et toujours, un simple arrêté, après avis de la CNIL suffira, avec une autorisation qui sera de 18 mois...
Obligation de notification des failles de sécurité : la proposition de loi impose au responsable d’un traitement automatisé une série d’obligations nettement plus précises que le texte en vigueur actuellement :
« Le responsable du traitement met en œuvre toutes mesures adéquates, au regard de la nature des données et des risques présentés par le traitement, pour assurer la sécurité des données et en particulier protéger les données à caractère personnel traitées contre toute violation entraînant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation, la diffusion, le stockage, le traitement ou l'accès non autorisés ou illicites ».
En cas de violation de données, le responsable du traitement « avertit sans délai » le correspondant « informatique et libertés », ou à défaut, la CNIL. Le responsable du traitement a alors obligation de prendre sans attendre toutes « les mesures nécessaires pour permettre le rétablissement de la protection de l'intégrité et de la confidentialité des données ». Si la violation a affecté des données à caractère personnel d'une ou de plusieurs personnes physiques, celles-ci sont alertées.
Précison importante : ces obligations ne s’appliquent pas aux fichiers de police, exempts de signalement, à défaut de bug.
Enfin, parmi les différentes mesures, que la proposition veut aussi faciliter, signalons le droit d'opposition (qui devient droit de "suppression") à la demande des personnes dont les données font l'objet d'un traitement automatisé..
![[Enquête] Les escrocs du scraping](https://cdnx.nextinpact.com/compress/100-75/data-next/images/bd/square-linked-media/12848.jpg)
