À l’heure du tout numérique, la protection des données personnelles est devenue un enjeu majeur. Extrait de "Les données personnelles : quelle définition pour un régime de protection efficace ?" (2/2).
Que l’on soit responsable de traitements, Correspondant informatique et libertés ou autorité de protection, le premier instrument auquel on se réfère n’est autre que le texte légal national ou européen. À plusieurs égards, ce texte est apparu devoir être renforcé d’un côté, par la constitutionnalisation du droit à la protection des données qui s’en dégage et d’un autre côté, par la clarification des principes directeurs qui l’animent et l’ajout de nouveaux principes. Le principe de finalité devrait ainsi être réécrit pour désormais indiquer que les données peuvent être réutilisées quand un intérêt supérieur l’exige auquel cas l’avis conforme de la CNIL est requis ou quand la finalité poursuivie s’inscrit dans le prolongement de la finalité initiale. Le principe de proportionnalité, quant à lui, s’est révélé être utilisé pour autoriser la collecte des données indispensables à la réalisation de la finalité déclarée. Or, plus qu’un principe de proportionnalité, c’est un principe de minimisation de la collecte qui transparaît dans ce cadre. Ce principe de minimisation devrait par conséquent être pleinement consacré dans la loi. Sur ce point, l’adoption du projet de Règlement tel qu’il est actuellement rédigé serait un moyen de consacrer ce principe dans le corpus juridique français. Enfin, l’obligation de conservation limitée dans le temps n’est apparue effective qu’à la condition de prévoir une obligation de suppression automatique des données dès lors que la finalité pour laquelle elles avaient été recueillies est atteinte . Le responsable qui désirerait continuer à traiter ces données devrait justifier d’un motif légitime auprès de la CNIL. Le droit à l’effacement des données instauré par le projet de Règlement semble également devoir participer de l’ efficacité de l’obligation de conservation limitée dans le temps.
Malgré ces précisions, la loi est demeurée incomplète pour assurer une protection adéquate des données si bien que l’ajout de nouveaux principes directeurs a dû être envisagé. Le principe de responsabilité a semblé devoir davantage être appréhendé comme un principe d’action concrète dans la mesure où il engage le responsable de traitement à mettre en oeuvre des mesures appropriées et efficaces pour être conformes aux dispositions légales. Le principe de « Privacy by design » consistant à concevoir un produit, un service ou une procédure en considération des exigences informatique et libertés est apparu comme une réelle innovation débouchant sur un respect accru des droits et libertés. Ce faisant, l’étude ne pouvait faire autrement que de proposer son insertion dans la législation. Quant au principe de transparence, il se manifestait déjà dans le texte à travers l’obligation d’information du responsable de traitement mais son explicitation pourrait participer d’une meilleure clarté de la loi.
Sur la base de la loi ainsi précisée et complétée, des outils pratiques ont pu être proposés. Au niveau national, les codes de conduite mais surtout les labels sont apparus comme des outils précieux. Néanmoins, pour être limpide, le dispositif de création des codes de conduite a semblé devoir être précisé. Quand un code a reçu la validation de la CNIL et que le responsable de traitement décide de l’appliquer, ce responsable devrait être inscrit sur une liste spécifique et le code devrait devenir contraignant à son égard. En parallèle du code de conduite, tout responsable peut en outre en principe demander à la CNIL de labelliser un produit, un service ou une procédure particulière. Cette possibilité s’ouvre petit à petit, la Commission commençant à établir les référentiels. Cette tâche s’avère fastidieuse tant il existe de technologies, de services, de produits, de traitements et de données différents.
Quand les données sont appelées à circuler hors des frontières européennes, les codes de conduite et les labels peuvent être utilisés mais des outils spécifiques, plus adaptés, ont été mis en place. Il s’agit des décisions d’adéquation de la Commission européenne, des clauses contractuelles types et des Règles d’entreprise contraignantes.
Les décisions d’adéquation présentent plusieurs inconvénients soit qu’elles couvrent un espace géographique réduit, soit qu’elles ne sont pas assez protectrices des droits et libertés. Dans ce dernier cas, l’étude a conduit à préconiser l’intervention du Contrôleur européen de la protection des données. En amont, ce dernier devrait donner un avis qui lierait la Commission européenne et, en aval, il devrait dialoguer et coopérer avec l’autorité ou la personne chargée de la protection des données dans le pays étranger. Dans un premier temps, il devrait être autorisé à procéder à des contrôles et, en cas de violation, les flux de données devraient pouvoir être suspendus. À défaut de pouvoir se prévaloir d’une décision adéquate, il est possible de recourir à des Règles d’entreprises contraignantes et à des clauses contractuelles types.
Les Règles telles qu’elles ont été précisées par le Groupe de l’article 29 se sont révélées protectrices si bien que leur recours devrait être encouragé. Quant aux clauses contractuelles types, des précisions ont dû être apportées. Quand le flux va d’un responsable de traitement vers un autre responsable, la responsabilité du contrôle du respect de la loi par l’importateur des données ne devrait pas reposer uniquement sur le responsable émetteur des données. L’autorité de protection du pays de l’émetteur des données devrait pouvoir effectuer un contrôle des traitements mis en oeuvre par le récepteur des données. En cas de violation, le flux devrait pouvoir être interrompu. Quand le flux va d’un responsable vers un sous-traitant en revanche, la solidarité semble pouvoir s’appliquer et le responsable exportateur devrait pouvoir voir sa responsabilité engagée du fait des violations commises par son partenaire contractuel. Ici encore, l’autorité de protection du pays exportateur devrait pouvoir exercer un contrôle et suspendre le flux de données en cas d’atteinte aux données.
Ce panel d’outils permet au responsable qui désire respecter la loi de se conformer juridiquement aux dispositions de cette dernière. Cependant, la loi du 6 janvier 1978 lui impose une obligation de confidentialité et de sécurité des données qui ne peut être atteinte sans le recours à des outils techniques. À cet égard, la mise en place d’un régime de protection adapté aux données personnelles impose d’user complémentairement d’instruments juridiques et d’instruments techniques. Parmi ces derniers, certains ont pour objet de protéger les données en elles-mêmes alors que d’autres protègent l’environnement des données. Le responsable et la personne concernée par les données disposent ainsi de techniques cryptologiques, de procédés d’anonymisation et d’authentification et de technologies de sécurisation du système informatique. Bien que l’éventail de ces instruments soit large, la protection des données est apparue déficiente en pratique du fait de l’incapacité de la personne ordinaire à la mettre en oeuvre. Il a fallu en conclure que seule la conception des technologies en considération des exigences informatique et libertés serait de nature à assurer une protection optimale des données.
Extrait de "Les données personnelles : quelle définition pour un régime de protection efficace ?", Jessica Eynard (Michalon Editions), 2013. Pour acheter ce livre, cliquez ici.
En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.
Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !