• Français -fr 

vie privée

Quel seuil de données traitées pour constituer un traitement?

L’affaire concernait des notes écrites, sous forme de traitement de texte, faisant état d’appréciations personnelles et sur la manière de servir d’un fonctionnaire, prises par son supérieur hiérarchique. Lesdites notes avaient été enregistrées dans un répertoire informatique ouvert au nom de la secrétaire et étaient accessibles à tous les personnels de l’établissement concerné via le réseau interne. Elles étaient destinées à faciliter l’évaluation de l’agent.

La question qui se posait était celle de savoir si ces seules notes (un seul fichier, ne concernant qu’une personne), constituaient un traitement de données personnelles au sens de la loi Informatique et Libertés du 6 janvier 1978.

La Cour de cassation a répondu à cette question dans un arrêt du 8 septembre 2015 en écartant toute notion de seuil. Constituant un traitement de données au sens de la loi précitée, ledit fichier se devait de respecter les contraintes correspondantes (déclaration à la CNIL, sécurisation, information de la personne concernée etc.).

 

« Pourquoi faut-il cesser de poster des photos de ses enfants mineurs sur Facebook? » Madame le Figaro. 01/12/2015

« Pourquoi faut-il cesser de poster des photos de ses enfants mineurs sur Facebook ? »

Retrouvez l’article de « Madame Le Figaro » consacré à cette question, au sujet de laquelle j’avais été consultée.

Lire l’article ici

Droit à l’oubli sur Grand Lille TV

Retrouvez mon intervention consacrée au Droit à l’oubli, sur Grand Lille TV (« C’est votre droit »

)

Fichier STADE : annulation partielle par le Conseil d’Etat

Le Conseil d’Etat a rendu, le 21 septembre 2015, sa décision relative au fichier STADE. Elle intervient après une première décision, prise en référé en mai dernier, suspendant la mise en œuvre du fichier en raison des doutes sérieux affectant sa légalité.

Différentes associations de supporters demandaient au Conseil d’Etat d’annuler pour excès de pouvoir l’arrêté du 15 avril 2015 du ministre de l’intérieur portant autorisation d’un traitement automatisé de données à caractère personnel dénommé  » fichier STADE « .

Rappelons qu’aux termes de l’article 8 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales,  » Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance.  Il ne peut y avoir ingérence d’une autorité publique dans l’exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu’elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l’ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d’autrui « .

De même, l’article 1er de la loi Informatique et Libertés rappelle que   » L’informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. « 

En pratique, lorsqu’un traitement de données à caractère personnel est effectué de manière automatisée comme c’était le cas dans le fichier STADE, il ne peut porter que sur des données « adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs «  . Il n’est légalement autorisé que s’il répond à des finalités légitimes et si le choix, la collecte et le traitement des données sont effectués de manière adéquate et proportionnée au regard de ces finalités.

Le fichier STADE contesté avait notamment pour finalité de prévenir les troubles à l’ordre public, les atteintes à la sécurité des personnes et des biens ainsi que les infractions susceptibles d’être commises à l’occasion des manifestations sportives et des rassemblements en lien avec ces manifestations. Il devait également permettre de faciliter la constatation des infractions commises dans ce cadre et la recherche de leurs auteurs.

Il devait permettre de traiter des données relatives aux supporters, y compris les mineurs, de manière assez extensive. Les données relatives aux blogs et réseaux sociaux en lien avec les groupes de supporters d’appartenance et celles relatives aux liens entretenus par les supporters étaient, notamment, dans le viseur des associations requérantes.

Le Conseil d’Etat a rendu une décision nuancée, en n’annulant que deux points, certes importants, de l’arrêté.

Il s’agit tout d’abord de la possibilité qui était laissée aux services de police et de gendarmerie d’effectuer des rapprochements entre ce fichier et celui de la prévention des atteintes à la sécurité publique, qui ne sera désormais plus légale.

Il s’agit ensuite de la transmission des informations du fichier STADE aux associations et sociétés sportives, ainsi qu’aux fédérations sportives agréées. Dans la mesure où celles-ci n’exercent pas une mission relative aux finalités poursuivies par le  » fichier STADE  » , cette faculté est désormais annulée. 

Dès l’annonce de cet arrêt, le député Larrivé a déposé une proposition de loi renforçant la lutte contre le hooliganisme dont l’article 1er autorise « les organisateurs de ces manifestations à établir un fichier de données pertinentes relatives à ces personnes [susceptibles de porter atteinte à la sécurité des biens et des personnes], et à les conserver pendant une durée maximale de trois ans ».

Umbrella Agreement : un accord trouvé sur le transfert de données personnelles aux USA

Après quatre années de discussions entre l’Union Européenne et les Etats-Unis, un accord (dit « Umbrella Agreement ») a finalement été trouvé sur la question du transfert et du traitement des données personnelles en matière policière et judiciaire pénale.

Cet accord couvre toutes les données, telles que les noms, adresses ou condamnations prononcées, susceptibles d’être échangées entre l’UE et les USA dans le cadre de la prévention, de la détection, de la recherche et des poursuites judiciaires, notamment dans un contexte de lutte contre le terrorisme. L’UE souhaitait garantir un transfert et un traitement de ces données conformément à la loi et aux garanties apportées aux citoyens par le droit européen, notamment en ce qui concerne la protection de leur vie privée. Il s’agira également de faire bénéficier les européens de droits similaires à ceux qui sont consentis aux citoyens américains. Jean-Claude Juncker avait ainsi déclaré à ce sujet  “The United States must […] guarantee that all EU citizens have the right to enforce data protection rights in U.S. courts, whether or not they reside on U.S. soil. Removing such discrimination will be essential for restoring trust in transatlantic relations”.

L’accord conclut prévoit la limitation des raisons pour lesquelles les données personnelles peuvent être utilisées aux hypothèses ci-dessus rappelées, à l’exclusion de toute autre. Il soumet également le transfert à l’autorisation préalable de l’autorité nationale compétente concernée (la CNIL par exemple pour ce qui concerne la France). L’un des principaux apports de l’accord est également de limiter la durée de conservation des données obtenues dans ce cadre, en tenant compte de l’impact de celle-ci sur les droits et intérêts des personnes concernées. Ces dernières bénéficieront en outre d’un droit d’accès et de correction le cas échéant sur leurs données. Enfin, un mécanisme de notification à l’autorité compétente des failles de sécurité relevées sera mis en place.

Rappelons également que l’accord présente l’avantage de permettre à l’avenir, sous réserve d’un vote du Congrès américain, aux européens de saisir la justice américaine en cas d’utilisation abusive de leurs données personnelles aux Etats-Unis.

L’adresse IP : une donnée à caractère personnel?

La Cour d’appel de Rennes a eu l’occasion de se prononcer sur la question, dans une décision rendue le 28 avril 2015.

Elle a retenu que l‘adresse IP, constituée « d’une série de chiffres, n’est pas une donnée même indirectement nominative », dès lors qu’elle ne se rapporte qu’à un ordinateur et non à l’utilisateur. Elle retient également que les  » adresses IP peuvent être attribuées à des personnes morales ».

Cette décision va dans le même sens qu’un précédent émanant de la Cour d’appel de Paris qui avait retenu que l’adresse IP « ne constitue en rien une donnée indirectement nominative relative à la personne dans la mesure où elle ne se rapporte qu’à une machine, et non à l’individu qui utilise l’ordinateur pour se livrer à la contrefaçon » (CA Paris, 13e ch. corr., 15 mai 2007).

Pour autant, le débat n’est pas clos dans la mesure où la Commission nationale de l’informatique et des libertés (CNIL), comme le G29, continuent à penser que l’adresse IP « permet d’identifier tout ordinateur connecté au réseau (et donc la personne physique titulaire de la ligne) et ses heures de connexions » et doit, en conséquence, être considérée comme une donnée à caractère personnel (CNIL, délibération du 3 mai 2001 n° 01-018). En effet, il reste possible de faire le lien, par le biais du fournisseur d’accès à Internet, entre l’identité de l’abonné et l’adresse IP.

 

Cookies : les résultats des premiers contrôles effectués par la CNIL

La CNIL a diligenté, fin 2014, une série de contrôles sur place et en ligne, auprès d’éditeurs de sites web. Il s’agissait de vérifier le respect, par lesdits éditeurs, des dispositions résultant de la directive européenne dite  » paquet télécom  » qui prévoit que l’internaute doit être informé et donner son consentement avant que ne soient déposés sur son ordinateur certains cookies ou autres traceurs.

Elle vient de livrer un premier bilan de ses contrôles, à la suite desquels elle a adressé une vingtaine de mises en demeure. Il en ressort que les sites internet, de manière générale, n’informent pas suffisamment les internautes et ne recueillent pas leur consentement avant de déposer des cookies.

La CNIL en profite pour rappeler que « l’accord libre, spécifique et éclairé prévu par l’article 32 II de la loi informatique et Libertés implique :

  • une absence de dépôt de cookies ou autres traceurs lors de l’arrivée sur le site et tant que la personne n’a pas exprimé de choix ;
  • la mise à disposition d’outils d’opposition complets, efficaces, aisément utilisables

Une fois le consentement recueilli pour le dépôt d’un cookie répondant à une finalité donnée, le premier niveau d’information (bandeau) peut disparaître.

L’information des personnes via la rubrique dédiée (2ème niveau), doit rester aisément accessible, notamment pour leur offrir la possibilité de s’opposer à tout moment au suivi.

La durée du consentement dépend de celle du traceur concerné. La CNIL recommande une durée maximale de 13 mois à l’issue de laquelle le cookie doit être supprimé et le consentement renouvelé. »

Un conseil : se reporter à la recommandation de la CNIL en la matière.