01 56 43 68 80

6, rue de Saint-Petersbourg, 75008 Paris

Jusqu’où peut-on traiter les données sensibles, confidentielles, personnelles ?

traitement de donnes

Faire le point sur la législation en matière de données à travers neuf questions est le jeu auquel s’est prêté Me Gérard Haas, avocat au barreau de Paris. Décryptage.

1. Quelles sont les évolutions en matière de protection juridique des données traitées ?
2. Peut-on exploiter des données pour tout type d’usage ?
3. Quel est le regard juridique sur la valeur des données ?
4. Comment est encadrée l’interconnexion de plusieurs fichiers dont la finalité est différente ?
5. Comment explique-t-on la finalité d’un traitement BIG DATA ?
6. Puis-je héberger les data dans n’importe quel pays ? Quelles incidences en matière de souveraineté de la donnée ?
7. Quelles sont les évolutions de la loi face aux GAFA (CNIL ?, Directives Européennes ?)
8. Quels sont les secteurs les plus impactés par ces règles de sécurité ?
9. Sur quels axes principaux travaille le droit ?

Quelles sont les évolutions en matière de protection juridique des données traitées ?

Maître Gérard HAAS : Il y a eu peu d’évolution en matière de protection juridique des données traitées. En Europe, le traitement de données à caractère personnel est régi par les dispositions de la Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995.

En France, le cadre légal de la protection juridique des données traitées ressort de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée en 2004.

La loi n° 98-536 du 1er juillet 1998 quant à elle instaure une protection des bases de données par un droit « sui generis » du producteur de la base contre une extraction ou une réutilisation d’une partie substantielle du contenu de celle-ci.

La protection juridique des données est en cours d’évolution notamment du fait du projet de règlement européen relatif aux données personnelles. La principale innovation de ce projet est de placer le concept privacy by design au centre de la protection des données personnelles. Le responsable de traitement sera tenu, en plus de définir les finalités du traitement qu’il met en place, d’anticiper les finalités futures qu’il pourrait remplir. Une analyse d’impact relative à la protection des données doit en effet être mise en place lors de la mise en place du traitement. La protection des données dès la conception tient compte en particulier de la gestion du cycle de vie complet des données à caractère personnel, depuis la collecte jusqu’à la suppression en passant par le traitement. (Articles 23 et 33 du projet). Le règlement devrait voir le jour au cours de l’année 2015.

Peut-on exploiter des données pour tout type d’usage ?

Maître Gérard HAAS : Dès lors qu’e la collecte est loyale, il est possible d’utiliser les données pour tout type d’usage. La collecte loyale signifie la conformité à la loi informatique et liberté s’il s’agit d’une donnée personnelle (consentement, finalité déterminée, garantie des droits des personnes concernées) ou le respect d’éventuelles restrictions contractuelles ou légales quant à l’utilisation de certaines données qui ne sont pas des données personnelles (confidentialité, droit d’utilisation).

Quel est le regard juridique sur la valeur des données ?

Maître Gérard HAAS : Il est fréquent d’entendre parler de la valeur des données. Un article des Échos rappelait que chaque profil d’utilisateur rapporte en moyenne 5$ à Facebook, ou encore que la vie privée d’un citoyen européen vaut environ 600 euros.

D’un point de vue juridique, en France, les informations sont dites « de libre parcours ». Elles ne peuvent pas faire l’objet d’un droit de propriété. Seule une mise en forme originale, dans le cadre d’un article, d’un livre, d’une affiche, etc…. peut être protégée par le droit d’auteur. Le recueil de données dans le cadre d’une base est également protégé par le droit lorsqu’il représente un investissement financier, matériel ou humain substantiel. Mais ce n’est pas un droit de propriété.

Pour autant, la possibilité de taxer les données est envisagée, ce qui reviendrait à leur reconnaitre une valeur.

En effet, le rapport Collin et Colin datant de janvier 2013 proposait de créer une fiscalité liée à l’exploitation des données issues du suivi régulier et systématique de l’activité des utilisateurs sur le territoire.

Cette idée a récemment refait surface, un rapport visant à lutter contre l’optimisation fiscale des GAFA remis en mars 2015 au gouvernement propose la mise en place d’une taxe « fondée sur l’activité de la plateforme, mesurée par le nombre d’utilisateurs sur le territoire national, ou sur le flux de données échangées. »

La ministre de la Culture réfléchit de son côté à une taxe sur la bande passante, utilisée par ces mêmes géants, pour financer la création.

Comment est encadrée l’interconnexion de plusieurs fichiers dont la finalité est différente ?

Maître Gérard HAAS : La CNIL définit l’interconnexion en fonction de quatre critères.

Critère 1: L’objet de l’interconnexion doit être la mise en relation de fichiers ou de traitements de données à caractère personnel.

Critère 2: Cette mise en relation concerne au moins deux fichiers ou traitements distincts : L’ajout d’informations dans un fichier existant ou la modification des finalités d’un traitement ne constituent pas à eux seuls des formes d’interconnexion, quand bien même ces ajouts nécessitent des moyens techniques nouveaux. La notion d’interconnexion peut s’appliquer aux fichiers d’un même responsable de traitement.

Critère 3: Il s’agit d’un processus automatisé ayant pour objet de mettre en relation des informations issues de ces fichiers ou de ces traitements : Si deux fichiers distincts ont des destinataires communs, le fait pour ces destinataires de consulter simultanément ces deux fichiers ne constitue pas, à lui seul une interconnexion. La comparaison visuelle du contenu de deux fichiers ne constitue pas une interconnexion, mais un rapprochement.

Critère 4: Les fichiers interconnectés sont issus de traitements ayant des finalités différentes. Ces interconnexions sont soumises à un régime d’autorisation.

Lorsque ces quatre critères sont remplis, le traitement automatisé d’interconnexion de fichiers dont les finalités principales sont différentes est soumis à autorisation de la CNIL selon l’article 25 I 5° de la loi informatique et liberté.

Comment explique-t-on la finalité d’un traitement BIG DATA ?

Maître Gérard HAAS : C’est justement la principale difficulté du BIG DATA, Le principe de finalité implique que cette dernière soit définie a priori. Or, lors de leur collecte, on ne sait pas ce qu’il va advenir des données dans le cadre d’un traitement BIG DATA. Le principe de finalité est donc considérablement affaibli en matière de BIG DATA.

Puis-je héberger les data dans n’importe quel pays ? Quelles incidences en matière de souveraineté de la donnée ?

Il faut distinguer les données personnelles des autres données.

Concernant les autres données, il faut se référer aux restrictions particulières qui peuvent les régir (confidentialité…).

Concernant les données personnelles, leur transfert depuis le territoire européen vers des pays situés en dehors de l’Union européenne est encadré par l’article 68 de la loi Informatique et libertés. Le transfert est par principe interdit sauf lorsqu’il a lieu vers un pays reconnu par la Commission européenne comme « Offrant un niveau de protection des données suffisant« . Si ce n’est pas le cas, il faut que les entreprises signent des Clauses Contractuelles Types, approuvées par la Commission européenne. De plus, dans le cas d’un transfert vers les États-Unis, il faut que l’entreprise destinataire ait adhéré au Safe Harbor.

Par ailleurs, la CNIL a émis des recommandations à la suite d’une consultation publique sur le Cloud computing. Elle préconise notamment de choisir un prestataire offrant des garanties suffisantes. À ce titre, il convient de définir la qualification du prestataire (coresponsable ou sous-traitant), et de contractualiser le niveau de protection des données.

Concernant la souveraineté des données, la CNIL recommande d’établir une liste exhaustive des pays qui hébergeront les données, afin de s’assurer qu’une protection adéquate leur est offerte, dans le respect des dispositions relatives au transfert de données en dehors de l’Union européenne.

Quelles sont les évolutions de la loi face aux GAFA (CNIL ?, Directives Européennes ?)

Maître Gérard HAAS : On assiste à un rapport de force entre l’Europe et les GAFA. L’Europe tente de résister à la mainmise des GAFA sur les données. Du point de vue des GAFA, il s’agit de protectionnisme. Pour les instances européennes, il s’agit de protection du patrimoine incorporel, et de souveraineté numérique qui est un enjeu aussi important que la neutralité.

L’Europe n’est pas la seule à lutter contre cette mainmise, d’autres pays font des choix plus radicaux en matière de souveraineté des données. La Russie par exemple a récemment imposé que les sociétés du web hébergent les données liées aux citoyens russes sur des serveurs situés en Russie ; ce qui a provoqué le départ des équipes de Google de ce pays. La Chine interdit les transferts de données à l’étranger, ce qui force la création de Data center locaux.

Quelles évolutions en termes d’éthique et types d’usage de la donnée ?

Maître Gérard HAAS : La solution européenne, la collecte loyale passant par l’information et le consentement des personnes concernées semble la voie royale. Elle s’oppose à la tendance des GAFA à considérer l’individu comme un produit au nom de la gratuité de certains des services délivrés.

Dans ce contexte, certaines entreprises ont pris conscience de la valeur ajoutée que pouvait amener le concept de Privacy by design, de par la confiance qu’il procure aux utilisateurs, gage de fidélisation de sa clientèle.

Quels sont les secteurs les plus impactés par ces règles de sécurité ?

Maître Gérard HAAS : C’est en matière de données sensibles que les règles de sécurité sont les plus strictes. Selon l’article 8 de la loi Informatique et Liberté, Il s’agit des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci.

Le secteur médical est donc particulièrement visé par ces dispositions.

On peut également citer les données qui requièrent un agrément par exemple le secteur de la défense ou en matière de traitements de données relatives aux infractions pénales.

Sur quels axes principaux travaille le droit ?

Maître Gérard HAAS : En matière de données, la sécurisation et le renforcement de la confiance des utilisateurs dans les outils digitaux sont au cœur des préoccupations du droit. L’objectif du droit réside également dans l’harmonisation des règles de protection des données.

ENVELOPPE NEWSLETTER copie

L'actu juridique numérique
du mardi matin.

Inscrivez-vous pour recevoir nos derniers articles, podcasts, vidéos et invitations aux webinars juridiques.