Archives du mot-clé données personnelles

#RGPD : 2- le traitement en 10 questions

Dans un précédent article nous avons fait le point sur le consentement indispensable à la collecte et à l’exploitation des données personnelles. Le consentement acquis, le traitement des données devient possible. Mais lui aussi encadré. Tour d’horizon des exigences en 10 questions-clés.

RGPD

1- Que faut-il entendre par « traitement? »

Le guide réalisé par la CNIL en collaboration avec bpifrance définit le traitement comme « une opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé ». Il convient de considérer par prudence qu’aucune opération relative à des données collectées n’échappe à cette définition, donc au champ d’application du RGPD. Et bien entendu, les traitements non informatisés sont tout autant concernés.

2- Quelle est la finalité des règles mises en place?

On peut se référer au 4ème considérant du texte qui stipule « Le traitement des données à caractère personnel devrait être conçu pour servir l’humanité ». Et si le 1er considérant affirme « La protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental », ce droit ne doit toutefois pas être considéré comme un droit absolu. Il doit être analysé par rapport à sa fonction et peut être mis en balance avec d’autres droits fondamentaux.

C’est tout l’enjeu du RGPD. Réussir à trouver un équilibre entre la nécessité de mieux protéger les données personnelles tout en ne portant pas atteinte à l’essor de l’économie numérique. Un équilibre sans doute par facile à trouver et qui passe par l’instauration d’un climat de confiance entre les acteurs du numérique.

3- Le traitement obéit-il à une règle de base?

Le principe de base de tout traitement est qu’il doit être licite et loyal. Pour être licite, le traitement reposera obligatoirement sur un consentement obtenu en conformité aux exigences du RGPD. Et pour être loyal, le traitement reposera sur le principe de transparence.

4- Qu’implique le principe de transparence?

Le principe de transparence est assez exigeant. Il nécessite que toutes les informations relatives au traitement des données soient aisément accessibles, faciles à comprendre donc claires. Il exige que les finalités du traitement soient explicites et que les titulaires des données soient informés des risques, de leurs droits et garanties. Les titulaires des données traitées doivent également pouvoir connaître l’identité de la personne responsable du traitement.

Lorsque la collecte des données a pour but un profilage marketing, cela doit être clairement annoncé lors de la sollicitation du consentement. A défaut, le traitement ne pourrait être considéré comme loyal.

5- La finalité détermine-t-elle la nature des données?

Tout à fait. Pour être conforme, ne pourront être traitées – et donc logiquement collectées – que les données conformes à la finalité. Les données collectées doivent être adéquates et pertinentes par rapport à la finalité du traitement.

6- Peut-on parler d’une obligation « qualité » dans le traitement des données?

Même si cette obligation n’est pas expressément formulée dans le texte, on peut considérer qu’elle existe bel et bien. En son article 5 alinéa d), le RGPD exige que les données soient « exactes et si nécessaire tenues à jour ». Cette obligation d’exactitude implique donc la vérification des données, leur effacement ou leur rectification. Le texte précise même « sans tarder ».

7- Existe-t-il une durée de conservation des données?

En effet, un traitement ne peut être loyal que si les données ne sont conservées que sur une durée conforme à la finalité. A quoi serviraient par exemple des données collectées et traitées en vue d’un profilage marketing et conservées sur du long terme? Le respect de la loyauté nécessite que le responsable du traitement réactualise périodiquement les fichiers et procède bien entendu à l’effacement des données qui ne permettent plus d’atteindre la finalité.

8- Peut-on accéder aux données?

Le texte du RGPD prévoit expressément que le titulaire dispose d’un droit d’accès à ses données. Il peut exercer ce doit à « des intervalles raisonnables » afin de « prendre connaissance du traitement et d’en vérifier la licéité ».

9- Et les faire modifier?

Le titulaire des données peut en demander la modification si les données conservées sont inexactes ou obsolètes. Il peut également demander la suppression d’une donnée. L’exercice de ce droit devient une évidence si les données ont été collectées de manière irrégulière ou si elles ne sont plus nécessaires à la finalité du traitement.

10- Et le droit à l’oubli?

Le considérant 65 du texte prévoit bien un droit à l’oubli lorsque la conservation des données constitue une violation du Règlement ou du droit de l’Union Européenne ou d’un État membre. Ce droit à l’oubli entrainera l’effacement de toutes les données en cause.

L’appli étudiante #izly à l’épreuve des données personnelles

Lancée par le Cnous en 2014, en collaboration avec la BPCE, l’application izly se retrouve malgré elle au cœur d’une polémique sur la protection des données personnelles.

IZLY

C’est le souci de dématérialiser les paiements dans les restaurants universitaires qui a donné naissance à l’application izly. Une fois téléchargée, (et le compte alimenté), elle permet de régler son repas au restaurant universitaire avec sa carte étudiant ou son smartphone, via l’utilisation d’un QR Code. L’application a donc toute sa raison d’être. Le Cnous en fait la promotion auprès des étudiants et futurs étudiants, allant jusqu’à offrir un repas gratuit en cas de téléchargement. Et la promesse d’izly est rassurante :

« Le paiement sur le campus –

simple et sécurisé »

Mais dans son édition du 20 octobre, Le Monde jette le trouble en révélant que certaines données personnelles sont transmises à des sociétés de marketing et risquent donc d’être utilisées dans des opérations de publicité ciblée. Les données personnelles en cause concernent les éléments de  géolocalisation de l’utilisateur (dans le cas bien-sûr où ce dernier l’a acceptée).

Même si les données transmises à des sociétés tiers se limitent à la géolocalisation, elles sont néanmoins susceptibles de révéler des éléments de la vie privée de l’étudiant : ses habitudes de consommation à la faculté, sa localisation, le temps qu’il consacre à sa restauration ou plus banalement ses déplacements…

Et toujours selon Le Monde, l’étudiant ne serait pas clairement averti des transferts de données, et n’aurait donc pu donner son accord en toute connaissance de cause – comme le veut la loi.

Le cas d’izly est révélateur d’une société chaque jour plus numérique. Une prise de conscience s’impose quant aux conséquences de ces options de géolocalisation. Les accepter n’est jamais neutre. Car nous sommes entrée de plain pied dans l’ère du profilage marketing.

Mais saluons la décision du Cnous qui a fait preuve et de rapidité dans la gestion de cette crise, et de sagesse en annonçant, dès le lendemain de l’article du Monde, la suppression de l’option de géolocalisation. Comme le prouve le site de promotion de la version 2.2 mise à jour en date du 24 octobre :

« Nouveautés de la version 2.2

Cette version d’Izly n’utilise plus la fonction de géolocalisation du téléphone.
Dans les précédentes versions, l’activation de la fonction de géolocalisation était possible sur Izly et soumise à l’autorisation de l’utilisateur. »

Dont-acte !

 

#ePrivacy, le projet qui divise

Lancé par la Commission Européenne en janvier dernier, le projet ePrivacy doit compléter le RGPD. Il vise à mieux protéger la vie privée, notamment dans les communications électroniques. Un projet qui est loin de faire l’unanimité.

bruxelles

Actuellement, quand un internaute se connecte pour la 1ère fois à un site, il voit apparaître en bas de son écran le bandeau l’informant que la poursuite de la navigation entrainera le dépôt de cookies. Cookies qui permettront le profilage. Si le projet ePrivacy est adopté, le consentement de l’internaute sera donné non plus au cas par cas, mais de manière globale. Il devra toutefois être confirmé tous les 6 mois.

Ce consentement sera géré directement depuis le navigateur qui permettra alors à l’internaute de choisir entre différents niveaux de confidentialité. En cas d’utilisation commerciale des données, la charge de la preuve de l’existence du consentement pèsera sur le responsable du traitement.

Le principe vient d’être adopté par la commission LIBE (Libertés Civiles). Le projet devra ensuite passer en commission plénière. En cas d’adoption, l’ePrivacy entrera en application à la même date que le RGPD, soit le 25 mai prochain. En cas de non respect les peines d’amendes seront identiques à celles prévues par le RGPD – donc particulièrement lourdes – pouvant aller jusqu’à 4% du CA mondial.

Si ce projet vise à mieux protéger les données personnelles de l’internaute, il inquiète certains acteurs économiques. Les annonceurs sont bien-sûr soucieux de la réduction qui peut en résulter de la publicité ciblée. Nous pensons particulièrement à certaines catégories de sites : les médias, le E-commerce notamment. L’Iab ardent défenseur d’un internet libre et au service de tous, exprime aussi son inquiétude.

ePrivacy peut-il remettre en cause l’existence de certains sites éditeurs comme certains le craignent ? La question mérite d’être posée.

Données personnelles : conscients des risques, les 18-24 ans ont cependant un comportement à risques

Le CSA a publié le 19 septembre dernier son rapport 2017 sur les Français et les données personnelles. Un rapport qui montre un certain paradoxe dans le comportement des 18-24 ans.

CSA

On sait les Français en général inquiets pour leurs données personnelles sur internet. 85% se déclarent, dans cette enquête du CSA conduite fin août, préoccupés. Mais c’est peut-être le comportement des 18-24 ans qui peut inquiéter.

Nés avec internet, beaucoup de ces jeunes en font leur terrain d’expression favori. Pour preuve, 72% reconnaissent y publier régulièrement des informations ou des photos personnelles, notamment sur les réseaux sociaux. 41% n’hésitent pas à laisser des données personnelles dans les forums.

Cette pratique quotidienne (pour la plupart) ne signifie pourtant pas que ces mêmes jeunes en ignorent les risques. Ainsi, ils se disent à 93% inquiets pour la protection de leurs données personnelles et à 48% très inquiets. Ils sont 61% à avoir déjà tenté d’effacer d’internet des données . 75% déclarent rechercher régulièrement des informations les concernant en tapant leurs nom et prénoms sur un moteur de recherche.

Un constat implacable qui prouve, s’il en était besoin, qu’une sensibilisation aux risques de l’outil est une nécessité. Certes, les dernières évolutions du droit national, le règlement européen applicable dans quelques mois, les décisions de la CJCE vont dans le bon sens. Mais la vigilance demeure de mise.

Affichage : le Conseil d’Etat entend protéger les données personnelles

C’est une affaire qui a débuté maintenant depuis 2 ans et qui vient de trouver son aboutissement dans la décision du Conseil d’Etat de ce 8 février. Elle met en jeu le n°1 de l’affichage, JC Decaux, et la CNIL.

conseil-detat

Source visuel : conseil-etat.fr

Tout débute en février 2015 lorsque la Société JC Decaux demande à la CNIL l’autorisation de capter, par wifi les adresses MAC des portables des passants de l’esplanade de la Défense, dans un rayon de 25 mètres. L’objectif louable est de mieux connaître les flux piétonniers, donc de mieux maîtriser la mesure d’audience au profit des annonceurs qui investissent dans les nouveaux panneaux d’affichage connectés de la Défense. La demande est présentée à titre expérimental, pour un test de 4 semaines.

En juillet 2015, la CNIL refuse, estimant que la condition première d’anonymisation n’est pas réunie, le système permettant une individualisation, notamment des passants traversant plusieurs fois par jour l’esplanade. Elle refuse également parce que les passants ne sont pas avertis (ou mal) comme la loi le rend obligatoire.

JC Decaux saisit alors le Conseil d’Etat pour contester la décision de la CNIL. La haute juridiction vient de confirmer le refus, retenant à son tour que les conditions d’une réelle anonymisation des données nétaient pas réunies.

Dans un monde de plus en plus connecté, une décision qui rassurera sans doute pas mal de consommateurs.

La reconnaissance faciale de Facebook devant les juges

numerama.com

source visuel : numerama.com

Facebook et son application Messenger sont traduits par 3 utilisateurs américains pour collecte illégale de données personnelles.  La justice de San Francisco vient de leur accorder la 1ère manche.

C’est donc à nouveau la technologie de la reconnaissance faciale lancée par Facebook en 2010, qui est en cause. Pour comprendre les enjeux, un peu de technique. Les photos des utilisateurs identifiés sont scannées. Avec les données biométriques ainsi récoltées, Facebook propose d’identifier par ressemblance les utilisateurs sur les nouvelles photos téléchargées. La technologie a été récemment étendue à Messenger.

Mais ce procédé n’est pas du goût de tout le monde. 3 utilisateurs ont saisi la justice californienne en demande d’indemnisation pour collecte illégale de données personnelles. Les demandeurs avancent un argument de poids : le réseau social n’a pas sollicité leur accord. Le juge vient de leur donner raison en rejetant le recours en irrecevabilité intenté par le réseau social.

Alors, la reconnaissance faciale telle que la pratique Facebook aux Etats-Unis est-elle illégale? Deux points essentiels sont à considérer. En premier lieu, scanner les données biométriques d’un utilisateur de Facebook est bel et bien une collecte de données personnelles, données protectrices de la vie privée et donc en tant que telles protégées. Sur ce point il ne semble pas y avoir place à la discussion.

Mais cette collecte se fait-elle sans l’accord de l’utilisateur? Au pied de la lettre, non. L’utilisateur est prévenu dans les conditions générales d’utilisation qui, comme chacun le sait sont longues, souvent austères, et que personne (ou presque) ne lit. Mais surtout, l’accord de l’internaute est par défaut puisque le réglage d’identification est pré-réglé sur l’accord de l’utilisateur. C’est principalement sur ce point que le débat va se situer. Il appartient désormais au juge américain de dire si la législation américaine nécessite un accord expresse et en toute connaissance de cause… Comme c’est le cas en Europe.

En Europe où justement Facebook a supprimé depuis 2012 la reconnaissance faciale…

La technologie de reconnaissance faciale a déjà quelques années. Elle peut être utilisée à bien d’autres causes. Notamment dans le commerce aux fins de mieux identifier le client entrant dans une boutique ou passant devant un écran interactif. Elle peut aussi être utilisée pour des raisons de sécurité. On se rappelle que dernièrement le Maire de Nice à sollicité la possibilité d’y recourir dans le cadre de l’Euro2016. L’application Heystay, dédiée aux rencontres l’utilise également pour « marier » les couples potentiels… On le voit, l’enjeu dépasse largement le cadre de Facebook. Nous suivrons donc avec intérêt la décision des juges sur le fond…

Bras de fer entre la CNIL et Facebook

numerama.com

La tension entre la CNIL et Facebook monte encore d’un cran avec une mise en demeure de la CNIL, à l’encontre du réseau social, de se conformer à la loi française dans un délai de 3 mois, soit avant le 8 mai prochain. Quels sont les griefs de la CNIL?

Pour la CNIL, Facebook manque de clarté et de transparence. L’internaute n’est pas suffisamment et clairement informé de l’usage possible de ses données. Les reproches sont nombreux et convergents :

  • Facebook suit la navigation des internautes sur des sites tiers. Même si l’internaute n’a pas de compte Facebook, il pourra être suivi dès-lors qu’il aura visité une page Facebook publique. L’internaute n’est pas informé
  • Facebook recueille certaines données qui en France sont classées « sensibles » : opinions politiques, religieuses, orientation sexuelle. Certes rien ne peut empêcher un membre de révéler cette part de son identité, mais le réseau devrait avertir l’internaute des risques
  • Facebook ne sollicite pas l’accord de l’internaute lors du dépôt de cookies à des fins publicitaires
  • Le réseau social n’informe pas clairement ses membres de la combinaison de ses données personnelles aux fins de proposer des publicités ciblées
  • Le choix du password n’est pas assez exigeant et en conséquence l’internaute peut être trop aisément exposé à des risques de récupération de ses données personnelles
  • Facebook exporte les données des membres aux Etats-Unis en se basant sur le Safe Harbor. Or, cet accord a été invalidé par la CJCE en octobre dernier. La Cour a en effet estimé que la protection des données aux Etats-Unis n’était pas suffisante.

Quelle sera la réaction de Facebook? En cas de sourde oreille – ce qui est loin d’être exclu – de quels moyens de pression dispose la CNIL? Une question que doivent se poser les 30 millions de Français titulaires d’un compte… Rendez-vous au printemps!

Accord européen sur le « paquet données personnelles »

drapeau

source visuel : gralon.fr

En discussion depuis 2012, les mesures de protection des données personnelles ont reçu, mardi, un accord tripartite du Parlement européen, de la Commission et du Conseil des Ministres. Accord que le Gouvernement français qualifie, sur son site d’information, d’historique.

Les organismes gestionnaires des données seront tenus d’assurer une meilleure information sur le traitement réservé aux données. L’internaute pourra exercer un droit à la portabilité, c’est-à-dire demander le transfert de ses données d’un service à un autre.

L’accord confirme le droit à l’oubli lorsqu’aucun motif légitime ne s’y oppose. Les GAFA devront se conformer à la réglementation européenne, sous peine d’une amende pouvant atteindre 4% de leur chiffre d’affaires annuel!

Enfin, les internautes pourront contester la publicité ciblée.

Par contre, la fixation de l’âge à partir duquel un jeune peut s’inscrire à un réseau social sans l’accord de ses parents reste de la compétence de chaque État.

Ces différentes mesures devraient être définitivement adoptées au cours du 1et trimestre 2016, pour ne rentrer en vigueur qu’en 2018.

Le pot de terre contre le pot de fer

numerama.com

C’est avec une dimension internationale impliquant l’Autriche, l’Irlande, la Californie, mais aussi l’Europe, qu’un avocat autrichien se bat depuis plusieurs années contre Facebook. Il s’agit de Max Schrems. Vous avez probablement déjà entendu parler de lui. Il a en effet déclaré la guerre à Facebook. Plus de 20 procès et la création d’Europe vs Facebook.

Entre autres reproches, celui de transmettre aux services américains, dans le cadre du programme Prism, des données personnelles des membres européens de Facebook. Et l’enjeu est important puisqu’en Europe, le réseau social compte plusieurs centaines de millions d’adhérents.

Rejeté dans un premier temps par la justice irlandaise (c’est du siège européen irlandais que partiraient les fameuses données), la plainte vient d’être admise par une Cour d’Appel.

Bien-sûr, ce n’est pas encore la victoire. L’action en justice étant déclarée recevable, on peut imaginer qu’une enquête va être ordonnée, aux fins de savoir la vérité sur les modalités et le contenu de ces éventuels transferts. Et d’emblée on peut penser que cette enquête sera longue et difficile, les GAFA n’ayant pas vraiment l’habitude de se montrer collaboratifs.

Outre la complexité de l’enquête, l’imbrication de multiples législations applicables ne va pas arranger le débat. En attendant un éventuel droit international d’internet..

Max Schrems a aussi appelé tous ceux qui le souhaitent à se joindre à son action dans une sorte d’action collective autorisée par le droit autrichien (vous suivez?). Mais la Cour d’Appel a refusé cette action collective, n’acceptant pour l’heure que l’action individuelle de notre avocat.

En faveur de cette action, la prise de position de la CJUE qui avait dernièrement déclaré le cadre des transferts de données « non valide »…

Que nos données personnelles sur internet soient récupérées, les internautes en sont désormais bien avertis. On le sait, toute action laisse des traces sur la toile. A chacun d’être vigilant. Ce qui ne supprime pas pour autant l’intérêt de l’action de Monsieur Schrems! D’autant qu’à notre connaissance il s’agira du 1er procès civil en Europe contre Facebook. A suivre donc…

AFFICHAGE NUMERIQUE, LA CNIL VEILLE AU GRAIN

 sans-titre 2

source visuel : http://www.jcdecaux.fr

JC Decaux exploite sur le parvis de la Défense des mâts « Agora Digitale« , dont la vocation est double, à la fois espaces publicitaires et espaces d’information du public. La Société a présenté une demande à la CNIL pour être autorisée à capter les adresses des mobiles des passants dans un rayon de 25 mètres. Dans une décision du 16 juillet publiée seulement fin septembre, la CNIL reconnaît d’abord le bien fondé de cette demande. En effet, pour bien vendre un espace publicitaire par affichage, les annonceurs ont besoin de connaître le passage.

Mais sur le fond, la CNIL rejette la demande au motif que, selon elle, l’anonymat des données récoltées n’est pas respecté. Techniquement, c’est un peu compliqué, mais on va faire simple. Les données captées sont envoyées toutes les 2 mn à Francfort, où elles sont tronquées puis effacées des archives. Mais les adresses des personnes qui passent plusieurs fois devant les mâts génèrent un même identifiant. La CNIL considère donc qu’un individu peut ainsi être isolé d’un ensemble, ce qui est contraire à un total anonymat.

En conséquence, selon la loi, les passants doivent être avertis et pouvoir s’opposer au captage de leur adresse mobile. JC Decaux avait installé un avis d’information, mais celui-ci étant au format A4, la CNIL considère qu’il ne peut être visible dans un rayon de 25 mètres.