En direct
Best of
Best Of du 13 au 19 avril 2019
En direct
© Reuters
Bonnes feuilles
Comment déterminer un régime de protection adapté aux données personnelles
Publié le 22 décembre 2013
À l’heure du tout numérique, la protection des données personnelles est devenue un enjeu majeur. Extrait de "Les données personnelles : quelle définition pour un régime de protection efficace ?" (2/2).
Jessica Eynard, lauréate du Prix Informatique et Libertés de la CNIL 2012, est maître de conférences en droit à l'Université de Toulouse 1 Capitole et à l'IUT de Rodez.
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Jessica Eynard
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Jessica Eynard, lauréate du Prix Informatique et Libertés de la CNIL 2012, est maître de conférences en droit à l'Université de Toulouse 1 Capitole et à l'IUT de Rodez.
Voir la bio
Ajouter au classeur
Vous devez être abonné pour ajouter un article à votre classeur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Lecture Zen
Vous devez être abonné pour voir un article en lecture zen.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
À l’heure du tout numérique, la protection des données personnelles est devenue un enjeu majeur. Extrait de "Les données personnelles : quelle définition pour un régime de protection efficace ?" (2/2).

Que l’on soit responsable de traitements, Correspondant informatique et libertés ou autorité de protection, le premier instrument auquel on se réfère n’est autre que le texte légal national ou européen. À plusieurs égards, ce texte est apparu devoir être renforcé d’un côté, par la constitutionnalisation du droit à la protection des données qui s’en dégage et d’un autre côté, par la clarification des principes directeurs qui l’animent et l’ajout de nouveaux principes. Le principe de finalité devrait ainsi être réécrit pour désormais indiquer que les données peuvent être réutilisées quand un intérêt supérieur l’exige auquel cas l’avis conforme de la CNIL est requis ou quand la finalité poursuivie s’inscrit dans le prolongement de la finalité initiale. Le principe de proportionnalité, quant à lui, s’est révélé être utilisé pour autoriser la collecte des données indispensables à la réalisation de la finalité déclarée. Or, plus qu’un principe de proportionnalité, c’est un principe de minimisation de la collecte qui transparaît dans ce cadre. Ce principe de minimisation devrait par conséquent être pleinement consacré dans la loi. Sur ce point, l’adoption du projet de Règlement tel qu’il est actuellement rédigé serait un moyen de consacrer ce principe dans le corpus juridique français. Enfin, l’obligation de conservation limitée dans le temps n’est apparue effective qu’à la condition de prévoir une obligation de suppression automatique des données dès lors que la finalité pour laquelle elles avaient été recueillies est atteinte . Le responsable qui désirerait continuer à traiter ces données devrait justifier d’un motif légitime auprès de la CNIL. Le droit à l’effacement des données instauré par le projet de Règlement semble également devoir participer de l’ efficacité de l’obligation de conservation limitée dans le temps.

Malgré ces précisions, la loi est demeurée incomplète pour assurer une protection adéquate des données si bien que l’ajout de nouveaux principes directeurs a dû être envisagé. Le principe de responsabilité a semblé devoir davantage être appréhendé comme un principe d’action concrète dans la mesure où il engage le responsable de traitement à mettre en oeuvre des mesures appropriées et efficaces pour être conformes aux dispositions légales. Le principe de « Privacy by design » consistant à concevoir un produit, un service ou une procédure en considération des exigences informatique et libertés est apparu comme une réelle innovation débouchant sur un respect accru des droits et libertés. Ce faisant, l’étude ne pouvait faire autrement que de proposer son insertion dans la législation. Quant au principe de transparence, il se manifestait déjà dans le texte à travers l’obligation d’information du responsable de traitement mais son explicitation pourrait participer d’une meilleure clarté de la loi.

Sur la base de la loi ainsi précisée et complétée, des outils pratiques ont pu être proposés. Au niveau national, les codes de conduite mais surtout les labels sont apparus comme des outils précieux. Néanmoins, pour être limpide, le dispositif de création des codes de conduite a semblé devoir être précisé. Quand un code a reçu la validation de la CNIL et que le responsable de traitement décide de l’appliquer, ce responsable devrait être inscrit sur une liste spécifique et le code devrait devenir contraignant à son égard. En parallèle du code de conduite, tout responsable peut en outre en principe demander à la CNIL de labelliser un produit, un service ou une procédure particulière. Cette possibilité s’ouvre petit à petit, la Commission commençant à établir les référentiels. Cette tâche s’avère fastidieuse tant il existe de technologies, de services, de produits, de traitements et de données différents.

Quand les données sont appelées à circuler hors des frontières européennes, les codes de conduite et les labels peuvent être utilisés mais des outils spécifiques, plus adaptés, ont été mis en place. Il s’agit des décisions d’adéquation de la Commission européenne, des clauses contractuelles types et des Règles d’entreprise contraignantes.

Les décisions d’adéquation présentent plusieurs inconvénients soit qu’elles couvrent un espace géographique réduit, soit qu’elles ne sont pas assez protectrices des droits et libertés. Dans ce dernier cas, l’étude a conduit à préconiser l’intervention du Contrôleur européen de la protection des données. En amont, ce dernier devrait donner un avis qui lierait la Commission européenne et, en aval, il devrait dialoguer et coopérer avec l’autorité ou la personne chargée de la protection des données dans le pays étranger. Dans un premier temps, il devrait être autorisé à procéder à des contrôles et, en cas de violation, les flux de données devraient pouvoir être suspendus. À défaut de pouvoir se prévaloir d’une décision adéquate, il est possible de recourir à des Règles d’entreprises contraignantes et à des clauses contractuelles types.

Les Règles telles qu’elles ont été précisées par le Groupe de l’article 29 se sont révélées protectrices si bien que leur recours devrait être encouragé. Quant aux clauses contractuelles types, des précisions ont dû être apportées. Quand le flux va d’un responsable de traitement vers un autre responsable, la responsabilité du contrôle du respect de la loi par l’importateur des données ne devrait pas reposer uniquement sur le responsable émetteur des données. L’autorité de protection du pays de l’émetteur des données devrait pouvoir effectuer un contrôle des traitements mis en oeuvre par le récepteur des données. En cas de violation, le flux devrait pouvoir être interrompu. Quand le flux va d’un responsable vers un sous-traitant en revanche, la solidarité semble pouvoir s’appliquer et le responsable exportateur devrait pouvoir voir sa responsabilité engagée du fait des violations commises par son partenaire contractuel. Ici encore, l’autorité de protection du pays exportateur devrait pouvoir exercer un contrôle et suspendre le flux de données en cas d’atteinte aux données.

Ce panel d’outils permet au responsable qui désire respecter la loi de se conformer juridiquement aux dispositions de cette dernière. Cependant, la loi du 6 janvier 1978 lui impose une obligation de confidentialité et de sécurité des données qui ne peut être atteinte sans le recours à des outils techniques. À cet égard, la mise en place d’un régime de protection adapté aux données personnelles impose d’user complémentairement d’instruments juridiques et d’instruments techniques. Parmi ces derniers, certains ont pour objet de protéger les données en elles-mêmes alors que d’autres protègent l’environnement des données. Le responsable et la personne concernée par les données disposent ainsi de techniques cryptologiques, de procédés d’anonymisation et d’authentification et de technologies de sécurisation du système informatique. Bien que l’éventail de ces instruments soit large, la protection des données est apparue déficiente en pratique du fait de l’incapacité de la personne ordinaire à la mettre en oeuvre. Il a fallu en conclure que seule la conception des technologies en considération des exigences informatique et libertés serait de nature à assurer une protection optimale des données.

Extrait de "Les données personnelles : quelle définition pour un régime de protection efficace ?", Jessica Eynard (Michalon Editions), 2013. Pour acheter ce livre, cliquez ici

Les commentaires de cet article sont à lire ci-après
Articles populaires
Période :
24 heures
7 jours
01.
Et rien ne se passa comme prévu (par les progressistes)... : 2019 ou l’effondrement des promesses du monde de 1968
02.
La Belle au bois dormant est un "conte sexiste" : supprimé dans certaines écoles!
03.
Sauver la France en travaillant plus, pourquoi pas… Pourquoi le diagnostic initial ne correspond que de loin à la réalité vécue par les Français
04.
La guerre du pétrole n’aura pas lieu. Mais avec Donald Trump qui veut asphyxier l’Iran, on joue avec le feu
05.
Travaux à Paris : « Je creuse donc je suis ! »
06.
Une série d’erreurs serait à l'origine de l’incendie de Notre-Dame de Paris
07.
Pourquoi la France est malade de son immobilier
01.
Etre seul tue
01.
Pourquoi les 50 morts musulmans de Christchurch pèsent-ils tellement plus lourd que les 200 morts chrétiens du Sri Lanka ?
02.
Manon Aubry découvrira-t-elle que la FI est une secte stalinienne avant ou après les élections ?
03.
La Belle au bois dormant est un "conte sexiste" : supprimé dans certaines écoles!
04.
Le coupable dans l’incendie de Notre-Dame : le progressisme
05.
De #GaspardGlanz au passé de Nathalie Loiseau, ces clashs qui soulignent la mentalité de guerre civile qui gagne les esprits français
06.
Et rien ne se passa comme prévu (par les progressistes)... : 2019 ou l’effondrement des promesses du monde de 1968
01.
Le coupable dans l’incendie de Notre-Dame : le progressisme
02.
Pourquoi les 50 morts musulmans de Christchurch pèsent-ils tellement plus lourd que les 200 morts chrétiens du Sri Lanka ?
03.
Pourquoi les erreurs européennes dans le traitement de la crise financière de 2008 sont les racines de la guerre commerciale entre les Etats-Unis et l’UE
04.
Névroses nationales : et la France de demain, vous la voulez à l’identique ou conscientisée ?
05.
Brûler l’ENA ? Pour la reconstruire plus belle encore?
06.
De #GaspardGlanz au passé de Nathalie Loiseau, ces clashs qui soulignent la mentalité de guerre civile qui gagne les esprits français
Commentaires (0)
Ecrire un commentaire
Vous devez être abonné pour rédiger un commentaire.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Nos articles sont ouverts aux commentaires sur une période de 7 jours.
Face à certains abus et dérives, nous vous rappelons que cet espace a vocation à partager vos avis sur nos contenus et à débattre mais en aucun cas à proférer des propos calomnieux, violents ou injurieux. Nous vous rappelons également que nous modérons ces commentaires et que nous pouvons être amenés à bloquer les comptes qui contreviendraient de façon récurrente à nos conditions d'utilisation.
Pas d'autres commentaires