En direct
Best of
Best Of
En direct
© Reuters
Bonnes feuilles
Comment déterminer un régime de protection adapté aux données personnelles
Publié le 22 décembre 2013
À l’heure du tout numérique, la protection des données personnelles est devenue un enjeu majeur. Extrait de "Les données personnelles : quelle définition pour un régime de protection efficace ?" (2/2).
Jessica Eynard, lauréate du Prix Informatique et Libertés de la CNIL 2012, est maître de conférences en droit à l'Université de Toulouse 1 Capitole et à l'IUT de Rodez.
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Jessica Eynard
Suivre
Vous devez être abonné pour suivre un auteur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Jessica Eynard, lauréate du Prix Informatique et Libertés de la CNIL 2012, est maître de conférences en droit à l'Université de Toulouse 1 Capitole et à l'IUT de Rodez.
Voir la bio
Ajouter au classeur
Vous devez être abonné pour ajouter un article à votre classeur.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Lecture Zen
Vous devez être abonné pour voir un article en lecture zen.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
À l’heure du tout numérique, la protection des données personnelles est devenue un enjeu majeur. Extrait de "Les données personnelles : quelle définition pour un régime de protection efficace ?" (2/2).

Que l’on soit responsable de traitements, Correspondant informatique et libertés ou autorité de protection, le premier instrument auquel on se réfère n’est autre que le texte légal national ou européen. À plusieurs égards, ce texte est apparu devoir être renforcé d’un côté, par la constitutionnalisation du droit à la protection des données qui s’en dégage et d’un autre côté, par la clarification des principes directeurs qui l’animent et l’ajout de nouveaux principes. Le principe de finalité devrait ainsi être réécrit pour désormais indiquer que les données peuvent être réutilisées quand un intérêt supérieur l’exige auquel cas l’avis conforme de la CNIL est requis ou quand la finalité poursuivie s’inscrit dans le prolongement de la finalité initiale. Le principe de proportionnalité, quant à lui, s’est révélé être utilisé pour autoriser la collecte des données indispensables à la réalisation de la finalité déclarée. Or, plus qu’un principe de proportionnalité, c’est un principe de minimisation de la collecte qui transparaît dans ce cadre. Ce principe de minimisation devrait par conséquent être pleinement consacré dans la loi. Sur ce point, l’adoption du projet de Règlement tel qu’il est actuellement rédigé serait un moyen de consacrer ce principe dans le corpus juridique français. Enfin, l’obligation de conservation limitée dans le temps n’est apparue effective qu’à la condition de prévoir une obligation de suppression automatique des données dès lors que la finalité pour laquelle elles avaient été recueillies est atteinte . Le responsable qui désirerait continuer à traiter ces données devrait justifier d’un motif légitime auprès de la CNIL. Le droit à l’effacement des données instauré par le projet de Règlement semble également devoir participer de l’ efficacité de l’obligation de conservation limitée dans le temps.

Malgré ces précisions, la loi est demeurée incomplète pour assurer une protection adéquate des données si bien que l’ajout de nouveaux principes directeurs a dû être envisagé. Le principe de responsabilité a semblé devoir davantage être appréhendé comme un principe d’action concrète dans la mesure où il engage le responsable de traitement à mettre en oeuvre des mesures appropriées et efficaces pour être conformes aux dispositions légales. Le principe de « Privacy by design » consistant à concevoir un produit, un service ou une procédure en considération des exigences informatique et libertés est apparu comme une réelle innovation débouchant sur un respect accru des droits et libertés. Ce faisant, l’étude ne pouvait faire autrement que de proposer son insertion dans la législation. Quant au principe de transparence, il se manifestait déjà dans le texte à travers l’obligation d’information du responsable de traitement mais son explicitation pourrait participer d’une meilleure clarté de la loi.

Sur la base de la loi ainsi précisée et complétée, des outils pratiques ont pu être proposés. Au niveau national, les codes de conduite mais surtout les labels sont apparus comme des outils précieux. Néanmoins, pour être limpide, le dispositif de création des codes de conduite a semblé devoir être précisé. Quand un code a reçu la validation de la CNIL et que le responsable de traitement décide de l’appliquer, ce responsable devrait être inscrit sur une liste spécifique et le code devrait devenir contraignant à son égard. En parallèle du code de conduite, tout responsable peut en outre en principe demander à la CNIL de labelliser un produit, un service ou une procédure particulière. Cette possibilité s’ouvre petit à petit, la Commission commençant à établir les référentiels. Cette tâche s’avère fastidieuse tant il existe de technologies, de services, de produits, de traitements et de données différents.

Quand les données sont appelées à circuler hors des frontières européennes, les codes de conduite et les labels peuvent être utilisés mais des outils spécifiques, plus adaptés, ont été mis en place. Il s’agit des décisions d’adéquation de la Commission européenne, des clauses contractuelles types et des Règles d’entreprise contraignantes.

Les décisions d’adéquation présentent plusieurs inconvénients soit qu’elles couvrent un espace géographique réduit, soit qu’elles ne sont pas assez protectrices des droits et libertés. Dans ce dernier cas, l’étude a conduit à préconiser l’intervention du Contrôleur européen de la protection des données. En amont, ce dernier devrait donner un avis qui lierait la Commission européenne et, en aval, il devrait dialoguer et coopérer avec l’autorité ou la personne chargée de la protection des données dans le pays étranger. Dans un premier temps, il devrait être autorisé à procéder à des contrôles et, en cas de violation, les flux de données devraient pouvoir être suspendus. À défaut de pouvoir se prévaloir d’une décision adéquate, il est possible de recourir à des Règles d’entreprises contraignantes et à des clauses contractuelles types.

Les Règles telles qu’elles ont été précisées par le Groupe de l’article 29 se sont révélées protectrices si bien que leur recours devrait être encouragé. Quant aux clauses contractuelles types, des précisions ont dû être apportées. Quand le flux va d’un responsable de traitement vers un autre responsable, la responsabilité du contrôle du respect de la loi par l’importateur des données ne devrait pas reposer uniquement sur le responsable émetteur des données. L’autorité de protection du pays de l’émetteur des données devrait pouvoir effectuer un contrôle des traitements mis en oeuvre par le récepteur des données. En cas de violation, le flux devrait pouvoir être interrompu. Quand le flux va d’un responsable vers un sous-traitant en revanche, la solidarité semble pouvoir s’appliquer et le responsable exportateur devrait pouvoir voir sa responsabilité engagée du fait des violations commises par son partenaire contractuel. Ici encore, l’autorité de protection du pays exportateur devrait pouvoir exercer un contrôle et suspendre le flux de données en cas d’atteinte aux données.

Ce panel d’outils permet au responsable qui désire respecter la loi de se conformer juridiquement aux dispositions de cette dernière. Cependant, la loi du 6 janvier 1978 lui impose une obligation de confidentialité et de sécurité des données qui ne peut être atteinte sans le recours à des outils techniques. À cet égard, la mise en place d’un régime de protection adapté aux données personnelles impose d’user complémentairement d’instruments juridiques et d’instruments techniques. Parmi ces derniers, certains ont pour objet de protéger les données en elles-mêmes alors que d’autres protègent l’environnement des données. Le responsable et la personne concernée par les données disposent ainsi de techniques cryptologiques, de procédés d’anonymisation et d’authentification et de technologies de sécurisation du système informatique. Bien que l’éventail de ces instruments soit large, la protection des données est apparue déficiente en pratique du fait de l’incapacité de la personne ordinaire à la mettre en oeuvre. Il a fallu en conclure que seule la conception des technologies en considération des exigences informatique et libertés serait de nature à assurer une protection optimale des données.

Extrait de "Les données personnelles : quelle définition pour un régime de protection efficace ?", Jessica Eynard (Michalon Editions), 2013. Pour acheter ce livre, cliquez ici

Les commentaires de cet article sont à lire ci-après
Articles populaires
Période :
24 heures
7 jours
01.
Charlotte Casiraghi & Dimitri se marient (enfin) Charlotte Gainsbourg (enfin) heureuse; Justin Bieber & Hailey Baldwin n'ont pas consommé leur mariage; David Hallyday & Laura Smet ne se quittent plus, les princes William & Harry ne se kiffent plus
02.
Cette bombe politique qui se cache dans les sondages sur la remontée de LREM et l’essoufflement des Gilets jaunes
03.
Au tableau : Christophe Castaner mal à l’aise après une question d’un élève
04.
5 indicateurs de la (faible) culture démocratique du gouvernement
05.
Auto-positionnement politique des Français : le sondage qui montre l’ampleur de la crise existentielle vécue par la droite
06.
Eglises profanées en France : mais pourquoi le pape se tait-il ?
07.
La classification des comportements qui vous permettra de mieux comprendre votre entourage
01.
Cette bombe politique qui se cache dans les sondages sur la remontée de LREM et l’essoufflement des Gilets jaunes
02.
Statistiques du ministère de l’intérieur : Christophe Castaner ou l’imagination au pouvoir
03.
5 indicateurs de la (faible) culture démocratique du gouvernement
04.
Etat providence, immigration et Gilets jaunes : l’étude américaine explosive qui révèle la nature du dilemme politique français
05.
Le mystérieux contrat de 7,2 millions d'euros décroché par Alexandre Benalla
06.
Bercy découvre que les entreprises françaises sont menacées par « des casseurs » venus de la finance anglo-saxonne
01.
Agression contre Finkielkraut : certains Gilets jaunes voudraient que les Juifs portent l'étoile jaune
02.
Auto-positionnement politique des Français : le sondage qui montre l’ampleur de la crise existentielle vécue par la droite
03.
5 indicateurs de la (faible) culture démocratique du gouvernement
04.
Ces lourdes erreurs politiques qui fragilisent la lutte contre l’antisémitisme
05.
Antisémitisme: voilà pourquoi je n'irai pas manifester le 19 février
06.
Pour Marlène Schiappa, il y a "une convergence idéologique" entre "la Manif pour tous et les terroristes islamistes"
Commentaires (0)
Ecrire un commentaire
Vous devez être abonné pour rédiger un commentaire.
Abonnez-vous
«Vos abonnements garantissent notre indépendance»
Nos articles sont ouverts aux commentaires sur une période de 7 jours.
Face à certains abus et dérives, nous vous rappelons que cet espace a vocation à partager vos avis sur nos contenus et à débattre mais en aucun cas à proférer des propos calomnieux, violents ou injurieux. Nous vous rappelons également que nous modérons ces commentaires et que nous pouvons être amenés à bloquer les comptes qui contreviendraient de façon récurrente à nos conditions d'utilisation.
Pas d'autres commentaires