Commit 82e71f71 authored by Okhin's avatar Okhin

Updated everything

parent 8fce26f2
......@@ -133,13 +133,11 @@
<button type="button" class="btn btn-default" data-toggle="collapse" data-target="#collapse3" aria-expanded="false" aria-controls="#collapse3">Continuer &#9660;</button>
</div>
<div class="pageSection">
<h2> Qui votera le futur règlement&nbsp;? </h2>
<p>Un texte a été proposé par la Commission européenne (le « gouvernement » de l'Union européenne) en 2012. Ce texte doit être adopté, et peut être modifié, à la fois par le Conseil de l'Union européenne (qui réunit les gouvernements de chaque État membre) et par le Parlement européen. En mars 2014, le Parlement européen a adopté une version modifée du texte. Le Conseil de l'Union européenne a ensuite proposé une nouvelle version modifiée. </p>
<h2> Qui votera le futur règlement&nbsp;? </h2>
<p>Un texte a été proposé par la Commission européenne (le « gouvernement » de l'Union européenne) en 2012. Ce texte doit être adopté, et peut être modifié, à la fois par le Conseil de l'Union européenne (qui réunit les gouvernements de chaque État membre) et par le Parlement européen. En mars 2014, le Parlement européen a adopté une version modifée du texte. Le Conseil de l'Union européenne a ensuite proposé une nouvelle version modifiée. </p>
<div class="collapse" id="collapse4">
<p>Cette version du texte fait maintenant l'objet de négociations, appelées trilogues, entre les institutions (Commission européenne, Parlement européen et Conseil de l'Union européenne). Ces négociations sont quasiment terminées et devraient se conclure fin décembre 2015. </p>
<p>Cependant, il est possible que le calendrier de négociation du règlement soit allongé pour prendre en compte la prise de position retentissante de la Cour de justice de l'Union européenne dans l'arrêt <a href="https://www.laquadrature.net/fr/safe-harbor-invalide-CJUE">Schrems contre Data Protection Comissionner du 6 octobre 2015</a>.</p>
<p>Cette version du texte fait maintenant l'objet de négociations, appelées trilogues, entre les institutions (Commission européenne, Parlement européen et Conseil de l'Union européenne). Ces négociations sont quasiment terminées et devraient se conclure fin décembre 2015. </p>
<p>Cependant, il est possible que le calendrier de négociation du règlement soit allongé pour prendre en compte la prise de position retentissante de la Cour de justice de l'Union européenne dans l'arrêt <a href="https://www.laquadrature.net/fr/safe-harbor-invalide-CJUE">Schrems contre Data Protection Comissionner du 6 octobre 2015</a>.</p>
</div>
<button type="button" class="btn btn-default" data-toggle="collapse" data-target="#collapse4" aria-expanded="false" aria-controls="#collapse4">Continuer &#9660;</button>
</div>
......@@ -190,29 +188,19 @@
</div>
<button type="button" class="btn btn-default" data-toggle="collapse" data-target="#collapse6" aria-expanded="false" aria-controls="#collapse6">Continuer &#9660;</button>
</div>
<div class="pageSection">
<div class="pageSection">
<h2>Qui se mobilise pour une meilleure protection des données personnelles des Européens ?</h2>
<p>La Cour de Justice de l'Union Européenne (CJUE), avec son arrêt <a href="https://www.laquadrature.net/files/schrems-arret-de-la-cour.pdf">Schrems contre Facebook du 6 octobre 2015</a>, a pointé du doigt les failles des accords internationaux en matière de transfert des données personnelles dans d'autres pays, et conclus sur la base de la directive sur les données personnelles.</p>
<div class="collapse" id="collapse6">
<p>Cet arrêt a ainsi invalidé l'accord de « <b>Safe Harbor</b> » (ou Sphère de sécurité) mis en place entre l'Europe et les États-Unis afin de rendre conforme à la Directive de 1995 les entreprises américaines. Cet accord était en application depuis 2000 et a permis le transfert de données personnelles vers de nombreuses entreprises américaines. Or l'onde de choc causée par les révèlations d'Edward Snowden (concernant l'accès des services de l'Agence nationale de sécurité américaine (NSA) aux données personnelles des utilisateurs de services tels que ceux de Facebook ou Google, voir l'encart sur PRISM) a permis à la Cour de disposer d'arguments forts pour justifier l'invalidation de l'accord de Safe harbor.</p>
<p>Dans son arrêt du 6 octobre la CJUE a aussi affirmé qu'une autorité locale de protection des données (comme la CNIL en France) est habilitée à contester un accord européen si les garanties offertes aux citoyens ont changé. La CNIL examine actuellement avec ses homologues européens (formant le G29) les conséquences pratiques de cet arrêt en faveur de la protection des données personnelles des Européens. De son côté, la Commission européenne renégocie en urgence un nouvel accord avec les États-Unis pour le transfert des données personnelles des Européens.</p>
<p>La CJUE n'est pas la seule a avoir pris position. Les députés européens ouvrent aussi le débat. Ils ont porté des rapports qui montrent du doigt les dérives actuelles et les faiblesses du droit européen. Du point de vue juridique, les institutions européennes ne sont pas obligées de suivre ces recommandations des députés européens. Les rapports du Parlement européen ont cependant une grande importance politique car elles cristalisent la position du Parlement européen sur une question précise. </p>
<p>C'est le cas par exemple d'un <a href="http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+REPORT+A7-2014-0139+0+DOC+XML+V0//FR">rapport</a> porté par Claude Moraes, un député européen anglais. Son rapport étudie les activités de surveillance de la NSA et en condamne les atteintes aux droits fondamentaux des Européens. </p>
<p>De son côté, le Conseil de l'Europe a déjà publié plusieurs documents mettant en garde contre le traitement parfois réservé aux données personnelles sur Internet. L'un d'eux <a href="https://wcd.coe.int/com.instranet.InstraServlet?command=com.instranet.CmdBlobGet&InstranetImage=2727283&SecMode=1&DocId=2258030&Usage=2">publié en décembre 2014</a> (version en <a href="https://wcd.coe.int/com.instranet.InstraServlet?command=com.instranet.CmdBlobGet&InstranetImage=2734552&SecMode=1&DocId=2262340&Usage=2">anglais</a> et résumé <a href="https://edri.org/coe-internet-and-rule-of-law/">ici</a>), dénonce les dérives sécuritaires et le comportement des États vis-à-vis des acteurs d'Internet. </p>
<p>Le Conseil de l'Europe a aussi pris des positions fermes en approuvant à l'unanimité le 26 janvier 2015 un <a href="http://www.assembly.coe.int/nw/xml/XRef/X2H-Xref-ViewPDF.asp?FileID=21583&lang=fr">rapport</a> (version <a href="http://website-pace.net/documents/19838/1085720/20150126-MassSurveillance-EN.pdf">en anglais</a> et résumé <a href="http://www.lemonde.fr/pixels/article/2015/01/26/le-conseil-de-l-europe-livre-un-rapport-tres-critique-sur-les-pratiques-de-la-nsa_4563851_4408996.html">ici</a>) déclarant que la surveillance de masse est contraire aux valeurs européennes. Enfin, son Commissaire aux Droits de l'Homme, monsieur Nils Muiznieks, a condamné le 13 avril 2015 sur Arte Journal la « surveillance tout azimut » mise en place dans des pays comme l'Angleterre, la France, la Belgique et l'Espagne.</p>
<div class="collapse" id="collapse6">
<p>Cet arrêt a ainsi invalidé l'accord de « <b>Safe Harbor</b> » (ou Sphère de sécurité) mis en place entre l'Europe et les États-Unis afin de rendre conforme à la Directive de 1995 les entreprises américaines. Cet accord était en application depuis 2000 et a permis le transfert de données personnelles vers de nombreuses entreprises américaines. Or l'onde de choc causée par les révèlations d'Edward Snowden (concernant l'accès des services de l'Agence nationale de sécurité américaine (NSA) aux données personnelles des utilisateurs de services tels que ceux de Facebook ou Google, voir l'encart sur PRISM) a permis à la Cour de disposer d'arguments forts pour justifier l'invalidation de l'accord de Safe harbor.</p>
<p>Dans son arrêt du 6 octobre la CJUE a aussi affirmé qu'une autorité locale de protection des données (comme la CNIL en France) est habilitée à contester un accord européen si les garanties offertes aux citoyens ont changé. La CNIL examine actuellement avec ses homologues européens (formant le G29) les conséquences pratiques de cet arrêt en faveur de la protection des données personnelles des Européens. De son côté, la Commission européenne renégocie en urgence un nouvel accord avec les États-Unis pour le transfert des données personnelles des Européens.</p>
<p>La CJUE n'est pas la seule a avoir pris position. Les députés européens ouvrent aussi le débat. Ils ont porté des rapports qui montrent du doigt les dérives actuelles et les faiblesses du droit européen. Du point de vue juridique, les institutions européennes ne sont pas obligées de suivre ces recommandations des députés européens. Les rapports du Parlement européen ont cependant une grande importance politique car elles cristalisent la position du Parlement européen sur une question précise. </p>
<p>C'est le cas par exemple d'un <a href="http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+REPORT+A7-2014-0139+0+DOC+XML+V0//FR">rapport</a> porté par Claude Moraes, un député européen anglais. Son rapport étudie les activités de surveillance de la NSA et en condamne les atteintes aux droits fondamentaux des Européens. </p>
<p>De son côté, le Conseil de l'Europe a déjà publié plusieurs documents mettant en garde contre le traitement parfois réservé aux données personnelles sur Internet. L'un d'eux <a href="https://wcd.coe.int/com.instranet.InstraServlet?command=com.instranet.CmdBlobGet&InstranetImage=2727283&SecMode=1&DocId=2258030&Usage=2">publié en décembre 2014</a> (version en <a href="https://wcd.coe.int/com.instranet.InstraServlet?command=com.instranet.CmdBlobGet&InstranetImage=2734552&SecMode=1&DocId=2262340&Usage=2">anglais</a> et résumé <a href="https://edri.org/coe-internet-and-rule-of-law/">ici</a>), dénonce les dérives sécuritaires et le comportement des États vis-à-vis des acteurs d'Internet. </p>
<p>Le Conseil de l'Europe a aussi pris des positions fermes en approuvant à l'unanimité le 26 janvier 2015 un <a href="http://www.assembly.coe.int/nw/xml/XRef/X2H-Xref-ViewPDF.asp?FileID=21583&lang=fr">rapport</a> (version <a href="http://website-pace.net/documents/19838/1085720/20150126-MassSurveillance-EN.pdf">en anglais</a> et résumé <a href="http://www.lemonde.fr/pixels/article/2015/01/26/le-conseil-de-l-europe-livre-un-rapport-tres-critique-sur-les-pratiques-de-la-nsa_4563851_4408996.html">ici</a>) déclarant que la surveillance de masse est contraire aux valeurs européennes. Enfin, son Commissaire aux Droits de l'Homme, monsieur Nils Muiznieks, a condamné le 13 avril 2015 sur Arte Journal la « surveillance tout azimut » mise en place dans des pays comme l'Angleterre, la France, la Belgique et l'Espagne.</p>
</div>
<button type="button" class="btn btn-default" data-toggle="collapse" data-target="#collapse6" aria-expanded="false" aria-controls="#collapse6">Continuer &#9660;</button>
</div>
</div>
<div class="pageSection container-fluid" id="tableau">
<div class="row">
......@@ -220,15 +208,15 @@
<p>Cliquez sur une case pour en apprendre plus</p><br/>
</div>
<div class="row">
<div class="panel-group" id="tloi" role="tablist" aria-multiselectable="true">
<div class="panel-group" id="tableLoi" role="tablist" aria-multiselectable="true">
<div class="panel panel-default">
<div class="panel-heading" role="tab" id="head1">
<div class="panel-head" role="tab" id="tableHead1">
<h4 class="panel-title">
<a role="button" data-toggle="collapse" data-parent="#tloi" href="#collapse1" aria-expanded="false" aria-controls="collapse1"> Consentement explicite</a>
<a role="button" data-toggle="collapse" data-parent="#tableLoi" href="#tableCollapse1" aria-expanded="true" aria-controls="tableCollapse1"> Consentement explicite</a>
<p> Aucune de vos données ne pourra être collectée, traitée ou revendue sans que vous n'ayez clairement dit «&nbsp;j'accepte&nbsp;», en connaissance de cause.</p>
</h4>
</div>
<div id="collapse1" class="panel-collapse collapse in" role="tabpanel" aria-labelled-by="head1">
<div id="tableCollapse1" class="panel-collapse collapse in" role="tabpanel" aria-labelled-by="tableHead1">
<div class="panel-body">
<p><b>Le droit actuel</b> manque de précision sur la définition du consentement que nous devons donner à une entreprise pour qu'elle puisse collecter ou exploiter nos données. La loi française parle d'un consentement exprès et informé, mais la <a href="http://www.cnil.fr/documentation/textes-fondateurs/loi78-17/">Loi Informatique et Libertés</a> ne parle pas de consentement, mais d'« accord ».</p>
<p>Le sens concret de ce que recouvre ce mot n'est ni clair ni certain. Ainsi, certaines entreprises en profitent pour considérer le simple fait de visiter leur site comme l'acceptation de leurs « Conditions Générales d'Utilisation », ou autre « accord » prévoyant l'exploitation de nos données. Elles en profitent aussi pour avoir des Conditions Générales d'Utilisation interminables et écrites dans un français trop technique, si elles ne sont pas disponibles qu'en anglais ! Peu leur importe que nous ayons véritablement lu cet « accord » ni même que nous ayons connaissance de son existence. C'est une situation qui crée un déséquilibre en défaveur du consommateur, ce qui est profondément injuste. Ce constat appelle donc une refonte des règles permettant de considérer que l'internaute a réellement donné son consentement en connaissance de cause.</p>
......@@ -244,13 +232,13 @@
</div>
</div>
<div class="panel panel-default">
<div class="panel-heading" role="tab" id="head2">
<div class="panel-head" role="tab" id="tableHead2">
<h4 class="panel-title">
<a role="button" data-toggle="collapse" data-parent="#tloi" href="#collapse2" aria-expanded="false" aria-controls="collapse2"> Intérêt légitime</a>
<a role="button" data-toggle="collapse" data-parent="#tableLoi" href="#tableCollapse2" aria-expanded="false" aria-controls="tableCollapse2"> Intérêt légitime</a>
<p>Nos données pourraient être collectées et exploitées sans notre consentement, pour le simple «&nbsp;intérêt légitime&nbsp;» d'une entreprise.</p>
</h4>
</div>
<div id="collapse2" class="panel-collapse collapse in" role="tabpanel" aria-labelled-by="head2">
<div id="tableCollapse2" class="panel-collapse collapse in" role="tabpanel" aria-labelled-by="tableHead2">
<div class="panel-body">
<p><b>Le droit actuel</b> autorise l'exploitation des données personnelles :
<ul>
......@@ -269,13 +257,13 @@
</div>
</div>
<div class="panel panel-default">
<div class="panel-heading" role="tab" id="head3">
<div class="panel-head" role="tab" id="tableHead3">
<h4 class="panel-title">
<a role="button" data-toggle="collapse" data-parent="#tloi" href="#collapse3" aria-expanded="false" aria-controls="collapse3">Données pseudonymes</a>
<a role="button" data-toggle="collapse" data-parent="#tableLoi" href="#tableCollapse3" aria-expanded="false" aria-controls="tableCollapse3">Données pseudonymes</a>
<p>Nos données pourraient être exploitées sans notre consentement si elles n'indiquent pas notre nom.</p>
</h4>
</div>
<div id="collapse3" class="panel-collapse collapse in" role="tabpanel" aria-labelled-by="head3">
<div id="tableCollapse3" class="panel-collapse collapse in" role="tabpanel" aria-labelled-by="tableHead3">
<div class="panel-body">
<p><b>Le droit actuel</b> protège toutes nos données personnelles - toutes informations nous concernant et pouvant nous être rattachées.</p>
<p><b>La version du Parlement européen du projet de règlement</b> prévoyait de créer une nouvelle catégorie de données personnelles, dont l'exploitation pourrait se faire sans notre consentement : les données « pseudonymes ». De telles données seraient toutes informations nous concernant mais ne pouvant pas nous être rattachées, à moins d'être recoupées à d'autres informations extérieures.</p>
......@@ -289,12 +277,12 @@
</div>
</div>
<div class="panel panel-default">
<div class="panel-heading" role="tab" id="head4">
<div class="panel-head" role="tab" id="tableHead4">
<h4 class="panel-title">
<a role="button" data-toggle="collapse" data-parent="#tloi" href="#collapse4" aria-expanded="false" aria-controls="collapse4">Profilage</a><p> <p>Le profilage permet de classer avec une certaine probabilité un individu dans une catégorie particulière afin de prendre des décisions adaptées à lui et de prédire ses futurs choix. Le profilage est donc principalement un outil de prédiction du comportement des personnes recensées.</p>
</h4>
<a role="button" data-toggle="collapse" data-parent="#tableLoi" href="#tableCollapse4" aria-expanded="false" aria-controls="tableCollapse4">Profilage</a><p> <p>Le profilage permet de classer avec une certaine probabilité un individu dans une catégorie particulière afin de prendre des décisions adaptées à lui et de prédire ses futurs choix. Le profilage est donc principalement un outil de prédiction du comportement des personnes recensées.</p>
</h4>
</div>
<div id="collapse4" class="panel-collapse collapse in" role="tabpanel" aria-labelled-by="head4">
<div id="tableCollapse4" class="panel-collapse collapse in" role="tabpanel" aria-labelled-by="tableHead4">
<div class="panel-body">
<p>Lorsque l'on parle d'une entreprise ou d'une administration qui a recourt au profilage, cela signifie qu'elle adapte ses intéractions avec les individus aux données personnelles qu'elle a rassemblées sur eux. </p>
<p>Le projet de règlement décrit le profilage à l'article 20 comme un traitement automatisé de données permettant d'évaluer « certains aspects personnels propres à une personne physique (ndlr : c'est à dire un individu) ou à <b>prévoir</b> le rendement professionnel de celle-ci, sa situation économique, sa localisation, son état de santé, ses préférences personnelles, sa fiabilité ou son comportement ». </p>
......@@ -314,13 +302,13 @@
</div>
</div>
<div class="panel panel-default">
<div class="panel-heading" role="tab" id="head5">
<div class="panel-head" role="tab" id="tableHead5">
<h4 class="panel-title">
<a role="button" data-toggle="collapse" data-parent="#tloi" href="#collapse5" aria-expanded="false" aria-controls="collapse5">Le droit à l'effacement (appelé aussi droit à l'oubli)</a>
<p>Le droit à l'oubli n'est pas un droit consacré <b>en droit français</b>, mais on peut l'associer à l'article 6 de la <a href="http://www.cnil.fr/documentation/textes-fondateurs/loi78-17/">Loi Informatique et Libertés</a> qui impose à toutes structures publiques ou privées de définir une durée de conservation des données collectées. La loi n'impose pas de durée précise, car elle dépend de la finalité et de la proportionnalité du traitement. Cependant la loi est précise sur un point : les données ne peuvent être gardées que tant que cela est nécessaire.</p>
<a role="button" data-toggle="collapse" data-parent="#tableLoi" href="#tableCollapse5" aria-expanded="false" aria-controls="tableCollapse5">Le droit à l'effacement (appelé aussi droit à l'oubli)</a>
<p>Le droit à l'oubli n'est pas un droit consacré <b>en droit français</b>, mais on peut l'associer à l'article 6 de la <a href="http://www.cnil.fr/documentation/textes-fondateurs/loi78-17/">Loi Informatique et Libertés</a> qui impose à toutes structures publiques ou privées de définir une durée de conservation des données collectées. La loi n'impose pas de durée précise, car elle dépend de la finalité et de la proportionnalité du traitement. Cependant la loi est précise sur un point : les données ne peuvent être gardées que tant que cela est nécessaire.</p>
</h4>
</div>
<div id="collapse5" class="panel-collapse collapse in" role="tabpanel" aria-labelled-by="head5">
<div id="tableCollapse5" class="panel-collapse collapse in" role="tabpanel" aria-labelled-by="tableHead5">
<div class="panel-body">
<p>De plus, la <a href="http://www.cnil.fr/documentation/textes-fondateurs/loi78-17/">Loi Informatique et Libertés</a> permet déjà aux internautes dont les données sont collectées en France par une entreprise d'accéder aux données conservées sur eux. Il vous est aussi possible de modifier ces informations, voire d'en demander la suppression (article 38). </p>
<p>Ce droit est l'un des plus importants pour tout internaute averti. En pratique, exercer ce droit est gratuit, mais une raison légitime vous sera demandée (à part dans le contexte de la prospection commerciale).</p>
......@@ -332,13 +320,13 @@
</div>
</div>
<div class="panel panel-default">
<div class="panel-heading" role="tab" id="head6">
<div class="panel-head" role="tab" id="tableHead6">
<h4 class="panel-title">
<a role="button" data-toggle="collapse" data-parent="#tloi" href="#collapse6" aria-expanded="false" aria-controls="collapse6">Le droit à la portabilité des données</a>
<p>La <b>portabilité</b> des données correspond à la possibilité pour l'internaute de demander le transfert de ses données vers de nouveaux prestataires (pour le mail par exemple, il s'agit des correspondances, mais aussi des contacts). Elle se fonde sur le même principe que la portabilité des numéros de téléphone, que l'on pourrait par exemple appliquer au mail ou a des services aux fonctionnalités équivalentes.</p>
<a role="button" data-toggle="collapse" data-parent="#tableLoi" href="#tableCollapse6" aria-expanded="false" aria-controls="tableCollapse6">Le droit à la portabilité des données</a>
<p>La <b>portabilité</b> des données correspond à la possibilité pour l'internaute de demander le transfert de ses données vers de nouveaux prestataires (pour le mail par exemple, il s'agit des correspondances, mais aussi des contacts). Elle se fonde sur le même principe que la portabilité des numéros de téléphone, que l'on pourrait par exemple appliquer au mail ou a des services aux fonctionnalités équivalentes.</p>
</h4>
</div>
<div id="collapse6" class="panel-collapse collapse in" role="tabpanel" aria-labelled-by="head6">
<div id="tableCollapse6" class="panel-collapse collapse in" role="tabpanel" aria-labelled-by="tableHead6">
<div class="panel-body">
<p>Pour ce résultat, l'idéal est que les données soient transférées dans un <a href="https://fr.wikipedia.org/wiki/Format_ouvert">format ouvert</a> (appelé aussi format libre). L'avantage du format ouvert est qu'il ne comporte aucune réstriction d'accès ou de mise en oeuvre et qu'il survit généralement aux entreprises. </p>
<p>Il n'existe actuellement aucun droit à la portabilité des données en droits français et européen. Il s'agit donc d'un nouveau droit bientôt reconnu aux internautes.</p>
......@@ -349,108 +337,110 @@
</div>
</div>
<div class="panel panel-default">
<div class="panel-heading" role="tab" id="head7">
<div class="panel-head" role="tab" id="tableHead7">
<h4 class="panel-title">
<a role="button" data-toggle="collapse" data-parent="#tloi" href="#collapse7" aria-expanded="false" aria-controls="collapse7">Transfert encadré</a>
<p>Ne pas confondre transfert de données en vue de leur traitement et disponibilité des données. En effet, le simple fait de mettre des données personnelles sur un site visible dans le monde entier n'implique pas qu'un traitement de données soit fait dans chacun des pays du monde. Dans ce cas précis, elles ne sont que disponibles.</p>
<a role="button" data-toggle="collapse" data-parent="#tableLoi" href="#tableCollapse7" aria-expanded="false" aria-controls="tableCollapse7">Transfert encadré</a>
<p>Ne pas confondre transfert de données en vue de leur traitement et disponibilité des données. En effet, le simple fait de mettre des données personnelles sur un site visible dans le monde entier n'implique pas qu'un traitement de données soit fait dans chacun des pays du monde. Dans ce cas précis, elles ne sont que disponibles.</p>
</h4>
</div>
<div id="collapse7" class="panel-collapse collapse in" role="tabpanel" aria-labelled-by="head7">
<div class="panel-body">
<p><b>Le droit actuel</b> autorise le transfert des données personnelles des Européens vers certains pays (Norvège, Uruguay, Canada, Argentine, Suisse, Islande, Israël, Nouvelle Zélande) considérés comme leur offrant une protection équivalente. Pour tous les autres pays, une autorisation doit préalablement être obtenue de la CNIL pour tout contrat encadrant un transfert de données.</p>
<p>Jusqu'au 6 octobre 2015 il existait un accord spécial entre les États-Unis et l'Union européenne, appelé le « Safe Harbor ».</p>
<p>Le 6 octobre 2015 la Cour de Justice de l'Union Européenne a <a href="https://www.laquadrature.net/files/schrems-arret-de-la-cour.pdf">invalidé cet accord</a> (FR) car les révèlations de Snowden ont permis au monde d'apprendre que la NSA imposait <a href="http://www.wired.com/images_blogs/threatlevel/2013/06/PRISM-Companies.jpg">aux géants du net</a> d'avoir accès à leurs données, dont leurs données personnelles. Cet arrêt est donc un signal fort pour la protection des données personnelles ! Mais la Commission européenne est déjà en train de négocier un second « Safe Harbor » avec les autorités américaines. En conséquence, il faudra rester vigilants sur la direction prise par ces négociations.</p>
<p><b>Le projet de règlement</b>, bien qu'en fin de négociations, va devoir intégrer la décision historique du 6 octobre 2015 qui invalide le Safe Harbor. D'une manière générale, le projet de règlement poursuit l'approche protectrice actuelle et développe les autorisations basées sur des clauses et statuts types, afin d'accompagner le commerce en ligne.</p>
<p>En outre, le projet introduit au sein des dérogations possibles à l'information de l'internaute l'exception d'intérêt légitime, dont la portée est toutefois réduite dans les cas d'exports. Néanmoins certains députés tentent d'élargir la portée de cette exception trop vague, d'en ajouter de nouvelles ou d'autoriser certains transferts sans l'autorisation préalable d'une autorité de contrôle.</p>
<p>De plus, une version antérieure du projet de règlement interdisait aux entreprises de transférer à une autorité non-européenne des données concernant des citoyens européens, à moins qu'une autorité européenne ne l'ait préalablement autorisé (voir l'article 42). Cette disposition n'est plus présente dans le projet actuel, alors même qu'elle permettrait d'interdire les transferts de données intervenant dans le cadre de PRISM entre de grandes entreprises américaines et la NSA. Cette disposition devrait être réintroduite, comme l'ont notamment prôné les amendements de Jan Philipp Albrecht, le rapporteur du Parlement européen sur la réglementation de la protection des données.</p>
<div id="tableCollapse7" class="panel-collapse collapse in" role="tabpanel" aria-labelled-by="tableHead7">
<div class="panel-body">
<p><b>Le droit actuel</b> autorise le transfert des données personnelles des Européens vers certains pays (Norvège, Uruguay, Canada, Argentine, Suisse, Islande, Israël, Nouvelle Zélande) considérés comme leur offrant une protection équivalente. Pour tous les autres pays, une autorisation doit préalablement être obtenue de la CNIL pour tout contrat encadrant un transfert de données.</p>
<p>Jusqu'au 6 octobre 2015 il existait un accord spécial entre les États-Unis et l'Union européenne, appelé le « Safe Harbor ».</p>
<p>Le 6 octobre 2015 la Cour de Justice de l'Union Européenne a <a href="https://www.laquadrature.net/files/schrems-arret-de-la-cour.pdf">invalidé cet accord</a> (FR) car les révèlations de Snowden ont permis au monde d'apprendre que la NSA imposait <a href="http://www.wired.com/images_blogs/threatlevel/2013/06/PRISM-Companies.jpg">aux géants du net</a> d'avoir accès à leurs données, dont leurs données personnelles. Cet arrêt est donc un signal fort pour la protection des données personnelles ! Mais la Commission européenne est déjà en train de négocier un second « Safe Harbor » avec les autorités américaines. En conséquence, il faudra rester vigilants sur la direction prise par ces négociations.</p>
<p><b>Le projet de règlement</b>, bien qu'en fin de négociations, va devoir intégrer la décision historique du 6 octobre 2015 qui invalide le Safe Harbor. D'une manière générale, le projet de règlement poursuit l'approche protectrice actuelle et développe les autorisations basées sur des clauses et statuts types, afin d'accompagner le commerce en ligne.</p>
<p>En outre, le projet introduit au sein des dérogations possibles à l'information de l'internaute l'exception d'intérêt légitime, dont la portée est toutefois réduite dans les cas d'exports. Néanmoins certains députés tentent d'élargir la portée de cette exception trop vague, d'en ajouter de nouvelles ou d'autoriser certains transferts sans l'autorisation préalable d'une autorité de contrôle.</p>
<p>De plus, une version antérieure du projet de règlement interdisait aux entreprises de transférer à une autorité non-européenne des données concernant des citoyens européens, à moins qu'une autorité européenne ne l'ait préalablement autorisé (voir l'article 42). Cette disposition n'est plus présente dans le projet actuel, alors même qu'elle permettrait d'interdire les transferts de données intervenant dans le cadre de PRISM entre de grandes entreprises américaines et la NSA. Cette disposition devrait être réintroduite, comme l'ont notamment prôné les amendements de Jan Philipp Albrecht, le rapporteur du Parlement européen sur la réglementation de la protection des données.</p>
</div>
</div>
</div>
<div class="panel panel-default">
<div class="panel-heading" role="tab" id="head8">
<div class="panel-head" role="tab" id="tableHead8">
<h4 class="panel-title">
<a role="button" data-toggle="collapse" data-parent="#tloi" href="#collapse8" aria-expanded="false" aria-controls="collapse8">Amendes renforcées</a>
<a role="button" data-toggle="collapse" data-parent="#tableLoi" href="#tableCollapse8" aria-expanded="false" aria-controls="tableCollapse8">Amendes renforcées</a>
</h4>
</div>
<div id="collapse8" class="panel-collapse collapse in" role="tabpanel" aria-labelled-by="head8">
<div class="panel-body">
<p><b>Le droit actuel</b> confie aux autorités de contrôle de chaque État Membre le soin de surveiller les entreprises exploitant nos données personnelles, et de les sanctionner au besoin. Hélas, les pouvoirs de sanction qui leur sont donnés sont souvent dérisoires en comparaison du chiffre d'affaire de certains géants du net.</p>
<p>Actuellement, la CNIL, l'autorité de contrôle française, peut prononcer des amendes allant jusqu'à 150.000€ (le double en cas de récidive). En face, Google a réalisé, en 2012, un chiffre d'affaire mondial de 50 milliards de dollars, Microsoft de 73 milliards, et Apple de 156 milliards, pour citer les plus importants.</p>
<p><b>Le projet de règlement</b> devrait résoudre cette asymétrie. Il prévoit de permettre aux autorités de contrôle de prononcer des amendes allant jusqu'à 5% du chiffre d'affaire mondial des entreprises en faute. C'est une solution idéale, car adpatée aux ressources de chaque acteur économique. </p>
<p>Malheureusement, l'article (79) présentant les différentes sanctions possibles fait l'objet d'un lobbying acharné de la part des grandes entreprises américaines (comme illustré dans l'encart sur le lobbyisme, plus haut). Le texte final pourrait limiter à 2% du chiffre d'affaire mondial, ce qui resterait cependant dissuasif.</p>
<div id="tableCollapse8" class="panel-collapse collapse in" role="tabpanel" aria-labelled-by="tableHead8">
<div class="panel-body">
<p><b>Le droit actuel</b> confie aux autorités de contrôle de chaque État Membre le soin de surveiller les entreprises exploitant nos données personnelles, et de les sanctionner au besoin. Hélas, les pouvoirs de sanction qui leur sont donnés sont souvent dérisoires en comparaison du chiffre d'affaire de certains géants du net.</p>
<p>Actuellement, la CNIL, l'autorité de contrôle française, peut prononcer des amendes allant jusqu'à 150.000€ (le double en cas de récidive). En face, Google a réalisé, en 2012, un chiffre d'affaire mondial de 50 milliards de dollars, Microsoft de 73 milliards, et Apple de 156 milliards, pour citer les plus importants.</p>
<p><b>Le projet de règlement</b> devrait résoudre cette asymétrie. Il prévoit de permettre aux autorités de contrôle de prononcer des amendes allant jusqu'à 5% du chiffre d'affaire mondial des entreprises en faute. C'est une solution idéale, car adpatée aux ressources de chaque acteur économique. </p>
<p>Malheureusement, l'article (79) présentant les différentes sanctions possibles fait l'objet d'un lobbying acharné de la part des grandes entreprises américaines (comme illustré dans l'encart sur le lobbyisme, plus haut). Le texte final pourrait limiter à 2% du chiffre d'affaire mondial, ce qui resterait cependant dissuasif.</p>
</div>
</div>
</div>
<div class="panel panel-default">
<div class="panel-heading" role="tab" id="head9">
<div class="panel-head" role="tab" id="tableHead9">
<h4 class="panel-title">
<a role="button" data-toggle="collapse" data-parents="#tloi" href="#collapse9" aria-expanded="false" aria-controls="collapse9">Fuite de données</a>
<a role="button" data-toggle="collapse" data-parents="#tableLoi" href="#tableCollapse9" aria-expanded="false" aria-controls="tableCollapse9">Fuite de données</a>
<p>Qu'entend-on par « fuite de données personnelles » ? Dans le projet de règlement, cette expression regroupe les violations des systèmes de sécurité qui aboutissent de manière accidentelle ou illégale à la destruction, la perte ou l'altération des données. Cette expression recouvre aussi la divulgation ou la mise en place d'accès à des données personnelles transmises, stockées ou traitées de toute autre manière.</p>
</h4>
</div>
<div id="collapse9" class="panel-collapse collapse in" role="tabpanel" aria-labelled-by="head9">
<div class="panel-body">
<p><b>Le droit actuel</b> a introduit en aout 2011 une obligation de notification des failles de sécurité. Cette obligation n'est pas contraignante en cas de perte ou de compromission de données par une entreprise ou toute autre entitée (exemple : université). Pour l'instant, seuls les télécoms et les fournisseurs d'accès à Internet (FAI) sont tenus de prévenir leurs utilisateurs et la CNIL en cas de fuites de données. En d'autres mots, le droit actuel n'impose pas spécifiquement d'obligation de vous informer en cas de perte, de vol ou de détérioration de vos données. Pourtant, les pertes de données sont loin d'être rares, comme le montre cette <a href="http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/">carte évolutive des plus grands vols de données</a> (EN) ! Et les conséquences en terme d'usurpation d'identité ou d'utilisation des données bancaires sont dramatiques.</p>
<p>Pour cette raison, le <b>projet de règlement européen</b> prévoit que les entreprises auront l'obligation de prévenir l'autorité nationale (la CNIL nationale) du pays où le traitement a été touché par une fuite de données. Le projet prévoyait à l'origine que l'autorité nationale devrait être prévenue dans les 24h. Mais les négociations semblent plutôt aboutir à une obligation de prévenir l'autorité dans les 72 heures.</p>
<p>Reste une faille dans le projet de règlement : en définissant les fuites de données par une violation de système de sécurité on exclut toutes les situations où des données personnelles sont volées, perdues ou endommagées s'il n'y a pas eu de violation du système de sécurité ou s'il n'y a tout simplement pas de système de protection des données ! La formulation des articles 31 et 32 est donc à revoir afin d'imposer une obligation d'information dans tous les cas de fuites de données, <b>qu'importe la façon dont les données personnelles ont été accédées</b>.</p>
</div>
<div id="tableCollapse9" class="panel-collapse collapse in" role="tabpanel" aria-labelled-by="tableHead9">
<div class="panel-body">
<p><b>Le droit actuel</b> a introduit en aout 2011 une obligation de notification des failles de sécurité. Cette obligation n'est pas contraignante en cas de perte ou de compromission de données par une entreprise ou toute autre entitée (exemple : université). Pour l'instant, seuls les télécoms et les fournisseurs d'accès à Internet (FAI) sont tenus de prévenir leurs utilisateurs et la CNIL en cas de fuites de données. En d'autres mots, le droit actuel n'impose pas spécifiquement d'obligation de vous informer en cas de perte, de vol ou de détérioration de vos données. Pourtant, les pertes de données sont loin d'être rares, comme le montre cette <a href="http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/">carte évolutive des plus grands vols de données</a> (EN) ! Et les conséquences en terme d'usurpation d'identité ou d'utilisation des données bancaires sont dramatiques.</p>
<p>Pour cette raison, le <b>projet de règlement européen</b> prévoit que les entreprises auront l'obligation de prévenir l'autorité nationale (la CNIL nationale) du pays où le traitement a été touché par une fuite de données. Le projet prévoyait à l'origine que l'autorité nationale devrait être prévenue dans les 24h. Mais les négociations semblent plutôt aboutir à une obligation de prévenir l'autorité dans les 72 heures.</p>
<p>Reste une faille dans le projet de règlement : en définissant les fuites de données par une violation de système de sécurité on exclut toutes les situations où des données personnelles sont volées, perdues ou endommagées s'il n'y a pas eu de violation du système de sécurité ou s'il n'y a tout simplement pas de système de protection des données ! La formulation des articles 31 et 32 est donc à revoir afin d'imposer une obligation d'information dans tous les cas de fuites de données, <b>qu'importe la façon dont les données personnelles ont été accédées</b>.</p>
</div>
</div>
</div>
<div class="panel panel-default">
<div class="panel-head" role="tab" id="tableHead10">
<h4 class="panel-title">
<a role="button" data-toggle="collapse" data-parents="#tableLoi" href="#tableCollapse10" aria-expanded="false" aria-controls="tableCollapse10">Vos droits de contrôle (sur le traitement des données)</a>
</h4>
</div>
<div id="tableCollapse10" class="panel-collapse collapse in" role="tabpanel" aria-labelled-by="tableHead10">
<div class="panel-body">
<p><b>Le droit actuel</b> vous permet :
<ul>
<li> D'être informés de la nature, des destinataires et du but des traitements des données ;</li>
<li> D'obtenir une copie de vos données possédées par l'acteur privé ou public (sauf l'administration) qui traite vos données, dans un format lisible </li>
<li> De faire respecter votre volonté de faire rectifier ou supprimer ces données si elles sont inexactes ou qu'elles ont été obtenues sans votre consentement ;</li>
<li> D'exiger que l'acteur qui traite vos données ne les utilise pas pour vous démarcher par courrier, email ou SMS à moins que vous y ayez consenti explicitement et qu'il se cantonne à vous démarcher pour des produits similaires à ceux que vous avez déjà achetés.</li>
</ul></p>
<p>Si vous êtes tout de même victime de démarchage illégal par mail ou par SMS et que vous avez fait savoir à leur émetteur que vous vouliez qu'ils cessent, vous trouverez sur le site de la CNIL les moyens de <a href="http://www.cnil.fr/documentation/fiches-pratiques/fiche/article/spam-phishing-arnaques-signaler-pour-agir/">vous défendre</a>. Il est important de faire valoir ses droits, afin de pousser les entreprises à respecter la loi, et la CNIL à agir.</p>
<p><b>Le projet de règlement</b> prévoit d'étendre sensiblement vos droits.</p>
<p>D'abord, le droit d'information portera désormais aussi sur <b>la durée de conservation des données</b> et sur leur éventuel transfert en dehors de l'Union européenne. De plus, les données obtenues auprès de tiers devront aussi indiquer l'identité de ces tiers.</p>
<p>Ensuite, vous pourrez aussi demander la suppression de vos données :
<ul>
<li>En retirant votre consentement, pour les traitements qui le permettent ;</li>
<li>Dès que le traitement de vos données, tel qu'initialement prévu, aura pris fin ;</li>
<li>Dès que leur durée de conservation, telle qu'initialement acceptée, aura pris fin ;</li>
<li>Lorsqu'un traitement de vos données ne sera pas ou plus légal.</li>
</ul>
</p>
<p>Néanmoins, par dérogation, votre droit de suppression pourra être écarté lorsque prévaudra la liberté d'expression, une raison médicale, scientifique ou historique suffisante ou lorsque le respect d'une obligation légale l'imposera. </p>
<p>Enfin, les entreprises devront fournir, aux personnes en faisant la demande, une copie réutilisable des données les concernant, afin que ces personnes puissent les transmettre à d'autres entreprises.</p>
<p>Il était initialement prévu que la mise en œuvre de tous ces droits serait gratuite, mais certains députés proposent que, pour les demandes les plus « complexes », les entreprises puissent en demander dédommagement aux personnes qui les feront, ou simplement les leur refuser.</p>
</div>
</div>
</div>
<div class="panel panel-default">
<div class="panel-head" role="tab" id="tableHead11">
<h4 class="panel-title">
<a role="button" data-toggle="collapse" data-parents="#tableLoi" href="#tableCollapse11" aria-expanded="false" aria-controls="tableCollapse11">Obligations pour celui qui traite les données </a>
</h4>
</div>
<div id="tableCollapse11" class="panel-collapse collapse in" role="tabpanel" aria-labelled-by="tableHead11">
<div class="panel-body">
<p><b>En droit français</b> actuel, la structure (entreprise, université, association, etc.) qui traite les données personnelles doit nommer une personne qui sera l'interlocuteur de la CNIL. Cette personne est appelée le responsable de traitement, et est en charge d'assurer que le traitement des données personnelles est réalisé de manière loyale.</p>
<p>Il a trois obligations principales :
<ul>
<li>Une obligation de documentation des traitements réalisés. Ces documents pourront ainsi être vérifiés à tout moment par l'autorité nationale de contrôle, pour s'assurer que vos droits sont respectés. Si l'obligation de documentation n'est pas respectée, la structure risque des sanctions.</li>
<li>Une obligation d'obtention d'une autorisation explicite de la CNIL pour les traitements à risque (articles 25, 54 et 64 de la <a href="http://www.cnil.fr/documentation/textes-fondateurs/loi78-17/">Loi Informatique et Libertés</a>). Celle-ci doit-être obtenue systématiquement lorsque le traitement présente des risques particuliers pour les droits et libertés des personnes (ex : données sur les condamnations passées, fichiers de grande ampleur concernant des enfants, données génétiques, biométriques) ou qui porte sur des données dites sensibles. La Loi informatique et libertés définit les données sensibles comme faisant apparaître « directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci » (article 8).</li>
<li>Une obligation d'assurer la sécurité et la confidentialité du traitement des données (article 34 de la même loi), en garantissant l'intégrité de la personne concernée. Le responsable de traitement est le garant de la protection des données des personnes concernées.</li>
</ul>
</p>
<p><b>Le projet de règlement européen</b> maintient ces obligations, en soulignant qu'il importe peu qu'un service en ligne soit offert par une entreprises multinationale ou une start up de trois personnes : les protections offertes aux utilisateurs doivent être les mêmes. </p>
<p>Là où le droit européen ira plus loin grâce au projet de règlement, c'est en matière de responsabilisation des acteur économiques. En effet, l'article 22 du projet leur imposera de prendre les mesures nécessaires pour honorer leurs obligations légales, et d'indiquer à partir de quand ils seront en règle avec le règlement. C'est ce que l'on appelle le principe d'« accountability », c'est à dire le principe de responsabilité. De cette manière il sera plus facile de sanctionner un acteur du numérique qui s'est ouvertement déclaré en règle avec ses obligations. D'autant plus que ces acteurs ont intérêt à indiquer les mesures internes qu'ils ont prises (comme des stratégies précises, des méchanismes créés en interne) pour rassurer leurs utilisateurs, ce qui simplifiera encore plus la tache des autorités de contrôle. Par ailleurs pour les structures traitant les données de plus de 500 personnes par an, le principe d'accountability s'accompagne d'obligations d'audit et de réalisation d'études d'impacts, qui seront suivies en interne par un Officier de la protection des données (Data Protection Officier en anglais). </p>
<p>De plus, l'article 23 du projet de règlement met en place un nouveau principe au service de la protection des internautes, le principe de protection par design et par défaut. Ce principe exige des acteurs du numérique que les règles de protection des internautes soient intégrées par principe dans tous les biens et services numériques mis à leur disposition. Ainsi, si l'utilisateur souhaite changer ses paramètres de confidentialité, cela ne pourra être que pour les baisser puisqu'ils assurerons par défaut un maximum de protection.</p>
<p>Pour en savoir plus, nous vous conseillons la lecture de <a href="https://edri.org/files/1012EDRi_full_position.pdf">l'analyse du projet de règlement de l'association européenne EDRi (European Digital Rights)</a>.</p>
</div>
</div>
</div>
</div>
</div>
<div class="panel panel-default">
<div class="panel-heading" role="tab" id="head10">
<h4 class="panel-title">
<a role="button" data-toggle="collapse" data-parents="#tloi" href="#collapse10" aria-expanded="false" aria-controls="collapse10">Vos droits de contrôle (sur le traitement des données)</a></h4></div>
<div id="collapse10" class="panel-collapse collapse in" role="tabpanel" aria-labelled-by="head10">
<div class="panel-body">
<p><b>Le droit actuel</b> vous permet :
<ul>
<li> D'être informés de la nature, des destinataires et du but des traitements des données ;</li>
<li> D'obtenir une copie de vos données possédées par l'acteur privé ou public (sauf l'administration) qui traite vos données, dans un format lisible </li>
<li> De faire respecter votre volonté de faire rectifier ou supprimer ces données si elles sont inexactes ou qu'elles ont été obtenues sans votre consentement ;</li>
<li> D'exiger que l'acteur qui traite vos données ne les utilise pas pour vous démarcher par courrier, email ou SMS à moins que vous y ayez consenti explicitement et qu'il se cantonne à vous démarcher pour des produits similaires à ceux que vous avez déjà achetés.</li>
</ul></p>
<p>Si vous êtes tout de même victime de démarchage illégal par mail ou par SMS et que vous avez fait savoir à leur émetteur que vous vouliez qu'ils cessent, vous trouverez sur le site de la CNIL les moyens de <a href="http://www.cnil.fr/documentation/fiches-pratiques/fiche/article/spam-phishing-arnaques-signaler-pour-agir/">vous défendre</a>. Il est important de faire valoir ses droits, afin de pousser les entreprises à respecter la loi, et la CNIL à agir.</p>
<p><b>Le projet de règlement</b> prévoit d'étendre sensiblement vos droits.</p>
<p>D'abord, le droit d'information portera désormais aussi sur <b>la durée de conservation des données</b> et sur leur éventuel transfert en dehors de l'Union européenne. De plus, les données obtenues auprès de tiers devront aussi indiquer l'identité de ces tiers.</p>
<p>Ensuite, vous pourrez aussi demander la suppression de vos données :
<ul>
<li>En retirant votre consentement, pour les traitements qui le permettent ;</li>
<li>Dès que le traitement de vos données, tel qu'initialement prévu, aura pris fin ;</li>
<li>Dès que leur durée de conservation, telle qu'initialement acceptée, aura pris fin ;</li>
<li>Lorsqu'un traitement de vos données ne sera pas ou plus légal.</li>
</ul></p>
<p>Néanmoins, par dérogation, votre droit de suppression pourra être écarté lorsque prévaudra la liberté d'expression, une raison médicale, scientifique ou historique suffisante ou lorsque le respect d'une obligation légale l'imposera. </p>
<p>Enfin, les entreprises devront fournir, aux personnes en faisant la demande, une copie réutilisable des données les concernant, afin que ces personnes puissent les transmettre à d'autres entreprises.</p>
<p>Il était initialement prévu que la mise en œuvre de tous ces droits serait gratuite, mais certains députés proposent que, pour les demandes les plus « complexes », les entreprises puissent en demander dédommagement aux personnes qui les feront, ou simplement les leur refuser.</p>
</div>
</div>
</div>
<div class="panel panel-default">
<div class="panel-heading" role="tab" id="head11">
<h4 class="panel-title">
<a role="button" data-toggle="collapse" data-parents="#tloi" href="#collapse11" aria-expanded="false" aria-controls="collapse11">Obligations pour celui qui traite les données
</a></h4></div>
<div id="collapse11" class="panel-collapse collapse in" role="tabpanel" aria-labelled-by="head11">
<div class="panel-body">
<p><b>En droit français</b> actuel, la structure (entreprise, université, association, etc.) qui traite les données personnelles doit nommer une personne qui sera l'interlocuteur de la CNIL. Cette personne est appelée le responsable de traitement, et est en charge d'assurer que le traitement des données personnelles est réalisé de manière loyale.</p>
<p>Il a trois obligations principales :
<ul>
<li>Une obligation de documentation des traitements réalisés. Ces documents pourront ainsi être vérifiés à tout moment par l'autorité nationale de contrôle, pour s'assurer que vos droits sont respectés. Si l'obligation de documentation n'est pas respectée, la structure risque des sanctions.</li>
<li>Une obligation d'obtention d'une autorisation explicite de la CNIL pour les traitements à risque (articles 25, 54 et 64 de la <a href="http://www.cnil.fr/documentation/textes-fondateurs/loi78-17/">Loi Informatique et Libertés</a>). Celle-ci doit-être obtenue systématiquement lorsque le traitement présente des risques particuliers pour les droits et libertés des personnes (ex : données sur les condamnations passées, fichiers de grande ampleur concernant des enfants, données génétiques, biométriques) ou qui porte sur des données dites sensibles. La Loi informatique et libertés définit les données sensibles comme faisant apparaître « directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci » (article 8).</li>
<li>Une obligation d'assurer la sécurité et la confidentialité du traitement des données (article 34 de la même loi), en garantissant l'intégrité de la personne concernée. Le responsable de traitement est le garant de la protection des données des personnes concernées.</li>
</ul></p>
<p><b>Le projet de règlement européen</b> maintient ces obligations, en soulignant qu'il importe peu qu'un service en ligne soit offert par une entreprises multinationale ou une start up de trois personnes : les protections offertes aux utilisateurs doivent être les mêmes.
<p>Là où le droit européen ira plus loin grâce au projet de règlement, c'est en matière de responsabilisation des acteur économiques. En effet, l'article 22 du projet leur imposera de prendre les mesures nécessaires pour honorer leurs obligations légales, et d'indiquer à partir de quand ils seront en règle avec le règlement. C'est ce que l'on appelle le principe d'« accountability », c'est à dire le principe de responsabilité. De cette manière il sera plus facile de sanctionner un acteur du numérique qui s'est ouvertement déclaré en règle avec ses obligations. D'autant plus que ces acteurs ont intérêt à indiquer les mesures internes qu'ils ont prises (comme des stratégies précises, des méchanismes créés en interne) pour rassurer leurs utilisateurs, ce qui simplifiera encore plus la tache des autorités de contrôle. Par ailleurs pour les structures traitant les données de plus de 500 personnes par an, le principe d'accountability s'accompagne d'obligations d'audit et de réalisation d'études d'impacts, qui seront suivies en interne par un Officier de la protection des données (Data Protection Officier en anglais). </p>
<p>De plus, l'article 23 du projet de règlement met en place un nouveau principe au service de la protection des internautes, le principe de protection par design et par défaut. Ce principe exige des acteurs du numérique que les règles de protection des internautes soient intégrées par principe dans tous les biens et services numériques mis à leur disposition. Ainsi, si l'utilisateur souhaite changer ses paramètres de confidentialité, cela ne pourra être que pour les baisser puisqu'ils assurerons par défaut un maximum de protection.</p>
<p>Pour en savoir plus, nous vous conseillons la lecture de <a href="https://edri.org/files/1012EDRi_full_position.pdf">l'analyse du projet de règlement de l'association européenne EDRi (European Digital Rights)</a>.</p>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
......
Markdown is supported
0% or
You are about to add 0 people to the discussion. Proceed with caution.
Finish editing this message first!
Please register or to comment