Archives de
Auteur : eurodpo

A l’ère de l’open data, l’opacité française sur la mise en conformité de la loi Informatique et libertés avec le RGPD

A l’ère de l’open data, l’opacité française sur la mise en conformité de la loi Informatique et libertés avec le RGPD

A moins de 8 mois de l’entrée en application du Règlement Général européen de protection des données personnelles (RGPD), on peine à comprendre où en est la refonte de la loi Informatique & liberté en France et on s’interroge sur l’intérêt de l’opacité du processus… à contre-courant des initiatives menées dans les autres Etats membres.

Des nouvelles de la nouvelle loi Informatique et libertés ?

Depuis la publication du RGPD  le 27 avril 2016, les commentateurs concentrent leurs inquiétudes sur l’incapacité des entreprises à se mettre en conformité d’ici la date d’application fixée au 25 mai 2018. Celles-ci, selon eux, sous-estimeraient l’ampleur des modifications à effectuer et les conséquences potentielles des nouvelles dispositions sur leur offre de service. Mais à trop se concentrer sur les acteurs au bout de la chaîne, on en oublie les deux rouages essentiels du dispositif que sont le législateur et l’autorité protectrice des données de chaque Etat membre. En effet, quelque soit le niveau d’anticipation des entreprises ou organismes publics, les difficultés seront bien présentes le 25 mai 2018 en l’absence d’évolution d’une législation nationale devenue obsolète. La CNIL, notamment en la personne de sa Présidente, essaie depuis l’automne 2016 d’alerter les pouvoirs publics afin de réclamer un calendrier de mise en oeuvre des modifications législatives nécessaires. Cependant, à ce jour, aucune information ne filtre à ce sujet alors même que nos voisins semblent déjà bien avancés dans l’adaptation de leurs législations aux nouveaux enjeux. Ainsi, les représentants de la Commission européenne rencontrés à Bruxelles par les rapporteurs de la mission d’information parlementaire (cf infra) en janvier 2017 avaient indiqué, qu’à l’époque, qu’une dizaine d’États membres avaient déjà finalisé un projet de loi.

Du côté des autres Etats membres ?

Ainsi, l’Allemagne, s’est dotée le 12 mai dernier d’une nouvelle législation fédérale de protection des données personnelles (DSAnpUG-EU qui remplace la version actuelle : Bundesdatenschutzgesetz, BDSG). Elle doit maintenant être complétée par les dispositions de chaque Länder. Le niveau fédéral concerne la protection des données personnelles utilisées par les autorités fédérales et les entreprises privées, alors que les législations des Länder concernent l’utilisation des données personnelles par ceux-ci. Il faut noter que le processus d’élaboration de cette législation a été difficile puisque la première version, parue en septembre 2016 avait été fortement critiquée. Selon l’étude de Baker Mc Kenzie, dès mai 2017, en plus de l’Allemagne, on comptait déjà deux autres pays ayant finalisé leurs nouvelles lois en conformité avec le RGPD : les Pays-Bas et le Luxembourg. Depuis, d’autres pays ont progressé. Ainsi, de l’Espagne qui a émis en juin dernier une consultation publique pour adapter sa législation au RGPD. La Pologne, vient à la mi-septembre 2017 de publier un jeu de propositions de lois de mise en conformité avec le RGPD, qui représente plus de 175 pages de textes légaux et 145 pages d’explications. Les entreprises et organisations ont un mois pour soumettre leurs commentaires, propositions de modifications et opinions. Enfin, la Belgique vient de déposer un projet de loi créant l’Autorité pour la Protection des Données devant la chambre des représentants.

Et la France, dans tout ça ?

Même si le RGPD est un règlement européen, soit un texte d’application directe qui ne nécessite pas de mécanisme de transposition, il ne peut cependant coexister avec la loi Informatique et libertés (loi I&L) française sans que celle-ci ne soit amendée ou mieux remplacée. Il y a, en effet, trois catégories de modifications ou de remplacement à prévoir dans cette loi I&L :

  • L’ensemble des dispositions et des définitions du RGPD doit remplacer les anciennes dispositions françaises.
  • Le RGPD prévoit une cinquantaine de dispositions laissant une marge de manoeuvre d’adaptation aux Etats membres : il convient donc d’énoncer dans la nouvelle loi I&L les voies choisies par le législateur français pour chacune de ces dispositions.
  • Enfin, les dispositions ayant trait spécifiquement au rôle de la CNIL, maillon de la chaîne des autorités européennes de protection des données, doivent être révisées.

Cette refonte doit tenir compte de l’articulation de la loi I&L avec l’ensemble des autres dispositions législatives ou réglementaires qui y font référence, ce qui constitue un beau travail de recensement et de mise à jour.

On saisit donc bien l’urgence de s’atteler à la tâche de mise en conformité des textes légaux ; la CNIL ne s’y est pas trompée puisqu’elle explique depuis un an que l’ensemble du dispositif sera paralysé si les textes ne sont pas accordés avec le RGPD le 25 mai prochain. Connaissant l’inertie historique de la France à respecter les délais européens (pour rappel, la Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995 n’a été transposée que par la loi du 6 août 2004), on peut effectivement légitimement s’inquiéter. Suite à l’audition de Mme Falque-Pierrotin en 12 octobre 2016 à l’Assemblée nationale, il a cependant été jugé urgent, non pas d’obtenir un calendrier d’élaboration de la nouvelle loi I&L mais plutôt de créer un mission d’information parlementaire. Celle-ci avait pour mission d’étudier l’impact de la mise en place du RGPD sur la loi I&L et les autres dispositions législatives ou réglementaires concernant la protection des données personnelles. L’objectif était d’établir un diagnostic de l’écart existant et évaluer les travaux de mise en conformité nécessaires d’ici le 25 mai 2018. On peut s’interroger sur la pertinence de cette mission effectuée de décembre 2016 à février 2017. S’il s’agissait d’alerter sur l’urgence d’enclencher le rétro-calendrier permettant d’obtenir une loi à jour et des décrets publiés avant le 25 mai 2018, cette mission n’était guère nécessaire. S’il s’agissait d’expliquer le contexte et de sensibiliser les députés, on peut douter que le rapport de plus de 100 pages remis le 22 février 2017, soit la veille d’une fin de législature, ait été réellement lu. La mission étant construite dans l’urgence, les intervenants étant globalement les mêmes que celles auditionnées dans le cadre d’études précédentes abordant aussi le sujet de la protection des données personnelles (par exemple l’Etude annuelle 2014 du Conseil d’Etat – Le numérique et les droits fondamentaux ou Commission Numérique et Libertés de juin 2015), on peut aussi se questionner sur la pertinence du travail effectué et la valeur de son apport. Lors des auditions, on constate que les représentants de la Chancellerie auditionnés assurent que tout est sous contrôle et que le texte de toilettage de la loi I&L devrait être prêt en mai 2017 pour le présenter au nouveau gouvernement (les vidéos sont consultables sur le site de l’Assemblée nationale pendant un an). Par ailleurs, l’article 65§III de la Loi pour une République numérique (LRN) prévoit que le Gouvernement remette au Parlement, au plus tard le 30 juin 2017, un rapport sur les modifications de la loi de 1978 rendues nécessaires par l’entrée en vigueur du RGPD. Dans leur rapport de mission parlementaire, les rapporteurs ont donc émis le “souhait” que la transmission de ce rapport et le dépôt du projet de loi révisant la loi du 6 janvier 1978 soient concomitants.

Alors, 6 mois après la publication de ce rapport, où en est-on ?

Alors que la CNIL procède à des consultations publiques régulières sur des thématiques précises (la dernière en date concerne les transferts internationaux et la transparence) pour alimenter les travaux du G29 (groupe des Autorités de protection des données européennes) et que la LRN avait innové avec son expérience de plate-forme participative pour sa conception, l’opacité la plus complète règne sur la refonte de la loi I&L. Que ce soit sur le site de la Chancellerie, l’Assemblée, la CNIL, aucune information n’est disponible sur le calendrier de mise à disposition du projet de loi, des décrets, sur la manière dont l’intégration du RGPD s’effectue, laissant présager des difficultés à tenir l’échéance du 25 mai 2018. Si par bonheur, les délais étaient tenus, il est indéniable qu’il en résultera un manque de temps de préparation pour les professionnels directement concernés par les dispositions nationales relevant de la marge de manoeuvre des Etats membres ou tout simplement de la CNIL. Par ailleurs, il convient de se rappeler que si des marges de manoeuvre sont laissées aux Etats membres sous la forme de dispositions qui relèvent de choix nationaux, il serait très pertinent de prévoir celles-ci en concertation avec les autres Etats membres, afin d’éviter le phénomène de “forum shopping”. Ainsi, par exemple, l’article 35 prévoit le mécanisme d’analyse d’impacts et liste les cas où celle-ci sera nécessaire. Cette liste pourra cependant être complétée par les Etats (Art 35 §4). Si la France ne concerte pas avec les autres Etats sur la liste des analyses d’impact supplémentaires, elle risque d’être en décalage et de nuire à son attractivité économique.

Au-delà de l’incapacité pratique d’opérer pour la CNIL en cas de retard français, il faut souligner que celui-ci entraînerait aussi des conséquences négatives pour nos voisins puisque les mécanismes de coopération entre les différentes autorités de contrôle européennes nécessitent une finalisation aboutie dans tous les Etats membres. En effet, si un problème de protection des données relatif à une entreprise dont l’établissement principal est en France, est soulevé, la CNIL sera désignée autorité chef de file sur ce dossier et devra coordonner les actions avec les autres autorités européennes concernées alors même que le demandeur sera peut-être situé dans un autre pays (Art. 60 Coopération entre l’autorité de contrôle chef de file et les autres autorités de contrôle concernées ;  Art. 61 Assistance mutuelle).

Alors, à l’ère de la transparence des données publiques, et à moins de 8 mois de l’échéance du 25 mai 2018, concrètement où en est-on des travaux de mise en conformité des dispositions législatives françaises concernant la protection des données personnelles ?

 

Loi pour une République numérique ou RGPD, il faut choisir

Loi pour une République numérique ou RGPD, il faut choisir

La Loi pour une République numérique (LRN) vient d’être publiée le 8 octobre 2016 au Journal Officiel. Elle vise à favoriser l’ouverture et la circulation des données et du savoir, à garantir un environnement numérique ouvert et respectueux de la vie privée des internautes et à faciliter l’accès des citoyens au numérique. Toute perfectible qu’elle soit, il paraît toujours préférable d’avancer par étapes que de s’enliser en voulant ériger des cathédrales législatives. Certes, cette loi a pu décevoir ou frustrer car l’exercice de la collaboration participative publique laisse forcément naître des attentes qui ne pourront être prises en compte. Elle a cependant le mérite d’avoir provoqué des débats et tenté de formaliser une première approche dans différents domaines résultant des évolutions technologiques, domaines que le législateur français avait peu abordés jusque-là.

Quid du RGPD ?

Cependant, au-delà de son caractère de loi « fourre-tout » qui lui a été reproché, c’est son impact sur la mise en conformité de la législation française au nouveau Règlement Général européen de Protection des Données personnelles (RGPD), paru au journal officiel de l’Union Européenne le 4 mai 2016, qui suscite des inquiétudes. D’abord parce que la LRN contient certaines dispositions qui sont directement inspirées du RGPD et qu’on peut se demander l’intérêt de démanteler le Règlement au lieu d’avoir une démarche globale pour l’intégrer dans la pyramide des normes françaises. D’autre part, parce qu’en dépit de l’urgence à se saisir du dossier RGPD, on ne sait pas quand, comment et qui va s’en charger.  On ne peut, d’ailleurs, qu’être inquiet de constater que la LRN a prévu un rapport sur ce sujet d’ici le 30 juin 2017 : article 65§III de la LRN : « Le Gouvernement remet au Parlement, avant le 30 juin 2017, un rapport sur les modifications à la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés rendues nécessaires par l’entrée en vigueur du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE. »

Clairement, la préoccupation actuelle du Secrétariat d’Etat en charge du Numérique et de l’Innovation, ce n’est pas le RGPD mais la mise en œuvre de la LRN. Depuis la publication de celle-ci, il n’est question que de la course aux décrets pour que la majorité d’entre eux soit publiée avant l’échéance présidentielle. En effet, sur plus de cent articles, au moins une trentaine doivent être complétés par la voie réglementaire. Autant dire, un sacré challenge en moins de six mois, ce qui réduit encore plus le temps consacré à la réflexion sur la refonte de la loi Informatique et Libertés (I&L), nécessaire conséquence du RGPD. Certes, ce n’est sans doute pas ce seul Secrétariat qui sera en charge de ce dossier mais repousser cette réflexion après l’élection présidentielle, c’est risquer d’accumuler des retards importants en cas de changement de gouvernement. Or le RGPD n’est pas nouveau, il a été discuté pendant plus de 4 ans au niveau européen et a été publié au printemps dernier. Il aurait été judicieux d’anticiper au maximum son intégration dans le paysage juridique français, et ce d’autant plus qu’il emporte des interactions avec les autres autorités de contrôle européennes et qu’un retard français sera très visible. Il n’est pas question de renouveler l’exploit précédent concernant les délais de transposition de la directive européenne 95/46/CE de protection des données personnelles de 1995 : il avait fallu attendre 2004 pour que la loi I&L soit modifiée pour intégrer les dispositions de la directive !

Comment intégrer efficacement le RGPD dans les normes françaises ?

Il est important de souligner que le RGPD est un règlement européen et non une directive. Autrement dit, là où la directive de 1995 devait être transposée dans les lois nationales de chaque Etat membre, le RGPD a une portée générale, est obligatoire dans tous ses éléments, et il est directement applicable dans tous les Etats membres le 25 mai 2018, c’est-à-dire demain.

Dans ce contexte de délais serrés, il serait judicieux de réfléchir à tous les moyens possibles de se mettre en conformité le plus rapidement possible avec le RGPD. Par exemple, il faudrait se résoudre à remercier pour bons et loyaux services notre belle loi I&L, pour le rôle fondamental qu’elle a joué dans notre pays, et célébrer l’avènement de son successeur, jeune et mieux aguerri pour la défense des données personnelles au 21ème siècle et s’inscrivant dans une dynamique d’harmonisation européenne. Ainsi, plutôt que de passer du temps à essayer de préserver le corps moribond de la loi I&L en lui injectant les cellules neuves du RGPD, et risquer ainsi d’introduire des biais de compréhension entre la formulation initiale du RGPD et sa formulation française, réinterprétée à la lumière du carcan de la loi I&L, une approche alternative logique et efficace pourrait être de :

  1. Annuler la loi I&L actuelle en la remplaçant par un nouveau texte reprenant exactement le texte du Règlement européen.
  2. Compléter le texte par des dispositions nationales à chaque fois que le RGPD a donné la liberté aux Etats-membres de le faire.
  3. Vérifier si des dispositions de l’ancienne loi I&L sont absentes du texte obtenu, analyser si elles sont toujours pertinentes au regard de l’ensemble des nouvelles dispositions et si elles peuvent être réintroduites par le biais des points de liberté nationaux prévus dans le RGPD.

Cette méthode permettrait de concentrer la réflexion sur les points de latitude laissés aux Etats par le Règlement et de veiller à établir une transition avec la philosophie de la loi I&L. On pense ainsi à la possibilité de prévoir d’autres cas obligatoires de DPO (art. 37§4), au fait d’interdire le traitement de certaines données sensibles même si le consentement de la personne est donnée (art. 9§2a) ou à la possibilité pour les Etats-membres d’introduire d’autres conditions supplémentaires, y compris des limitations, pour le traitement des données sensibles en génétique, biométrie ou santé (art.9§4).  On note d’ailleurs que, pour certaines marges de manœuvre nationales, le RGPD précise que ce sont les autorités de contrôle (les CNIL nationales) qui seront en charge des détails de mise en oeuvre. C’est le cas par exemple de la liste des traitements soumis à l’analyse d’impact relative à la protection des données  (art. 35§4). Or en vertu de l’article 35§6 et de l’article 63, un devoir de cohérence est attendu de ces autorités de contrôle européennes afin d’éviter que les décisions nationales soient contradictoires ou déphasées. Ainsi un pays ne pourra sans doute pas prévoir de liste a minima qui le rendrait particulièrement attractif pour les entreprises désireuses de s’abstenir de ces analyses. Afin d’arriver rapidement à une cohérence sur ce sujet, le Groupe de travail de l’article 29 (composé de représentants des autorités nationales chargées de la protection des données, du CEPD et de la Commission européenne) a d’ores et déjà lancé une concertation sur ce sujet et prévoit de fournir cette liste d’ici 2017. On voit donc que la marge de manœuvre des Etats sera sans doute faible même sur les points que le RGPD sembler laisser aux initiatives nationales.

Même en procédant par voie d’ordonnance, on se rend compte que l’intégration du RGPD dans le paysage législatif français représente un travail important. C’est pourquoi, la promulgation de la LRN n’est pas une bonne nouvelle pour le volet Protection des données personnelles, d’une part parce qu’elle va mobiliser une énergie importante pour l’élaboration de ses décrets d’application et, d’autre part, parce qu’elle crée une confusion inutile en intégrant de manière parcellaire et inefficace certaines dispositions du Règlement.

Les incohérences de la LRN dans l’implémentation du RGPD

La LRN rend le projet de mise en œuvre du RGPD confus puisqu’elle intègre certains de ses éléments (sans qu’on comprenne bien pourquoi il y a eu sélection) en les disséminant dans différents textes juridiques au lieu de concentrer les modifications ou les ajouts dans la loi Informatique et Libertés.

Ainsi, parmi différentes retouches cosmétiques, deux points majeurs sont, d’ores et déjà, intégrés à la loi I&L :

  • Le droit à l’oubli numérique, restreint aux mineurs, est ajouté à l’article 40. Il est complété par un nouvel article 40-1 concernant la vie numérique après la mort. Comme il a été développé dans un précédent article de ce blog, le droit à l’oubli a été formalisé à l’article 17 dans le RGPD, il concerne toutes les personnes et prévoit un mécanisme complet. Le fait de le restreindre aux mineurs apporte de la confusion. Pourquoi ne pas s’être aligné directement sur cette nouvelle obligation complète ?
  • L’augmentation du montant des sanctions dont peut user la CNIL. La LRN prévoit à son article 65§1 la mise à jour de l’article 47 de la loi Informatique et Libertés : « Le montant de la sanction ne peut excéder 3 millions d’euros. » A l’article 65§2, elle prévoit que ce montant sera aligné sur celui fixé par le RGPD lors de son entrée en vigueur, soit le 25 mai 2018. On peut se demander de nouveau pourquoi avoir prévu une disposition temporaire qui devra être révisé à peine parue. De plus, était-il vraiment nécessaire de prévoir une nouvelle exception en dérogeant aux montants maximums du RGPD pour les autres données ? : « En dehors de ce champ, l’article 47 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dans sa rédaction résultant du présent article, est applicable. » Donc, sur un concept européen pourtant simple (un montant maximum de pénalités), le législateur français réussit à complexifier en instaurant un montant différent de manière temporaire et en prévoyant des exceptions à la règle future.

A ce stade du constat, on peut déjà s’agacer que le RGPD ait été repris de manière partielle et discrétionnaire dans la LRN et qu’il ne soit cité que de manière incidente au fil des articles, sans qu’il n’ait été mis en évidence comme document de référence majeur, notamment dans les textes de présentation de la loi. Mais c’est une nouvelle déception qui nous attend quand on constate que le RGPD a été démantelé en différentes dispositions disséminées dans plusieurs lois.

Il en est notamment ainsi du nouveau droit à la portabilité des données, défini à l’article 20 du RGPD. Comme il a été visiblement jugé urgent de le prévoir dans la LRN à l’article 48 pour les données à caractère personnel et pour les autres données, le choix a été fait de ne pas mentionner ce droit dans la loi I&L modifiée, mais uniquement dans le livre II du code de la consommation. Certes, l’introduire dans la loi I&L aurait nécessité de revoir l’organisation et la numérotation des paragraphes de la loi…. L’urgence de prévoir ce nouveau droit dans la loi LRN est discutable puisque cette disposition n’entrera en vigueur que le 25 mai 2018 (art.48§2), soit en même temps que le RGPD. Au-delà de ce constat, le fait de ne pas reproduire exactement le texte de l’article 20 et du considérant 68 du RGPD portera inévitablement à confusion en créant des biais de compréhension entre les deux textes.

Alors, si c’est ainsi qu’il est prévu de revoir la loi  Informatique et Libertés, en faisant partiellement référence au texte du RGPD ou en démantelant certaines de ces dispositions entre plusieurs textes juridiques, on ne peut qu’être inquiet des retards inévitables qui seront pris dans la mise en œuvre et des difficultés d’interprétation qui en résulteront. Plutôt que de perdre du temps sur une course aux décrets de la LRN, c’est donc une véritable course de fond qui devrait être démarrée en urgence sur le RGPD en espérant franchir la ligne d’arrivée le 25 mai 2018 avec un texte clair, homogène et unique.

 

Tous les articles de ce blog sont la propriété exclusive de son auteur. Toute reproduction (hormis une brève citation en précisant la source et l’auteur) sans l’autorisation expresse de l’auteur est interdite.

 

Le GDPR et le grand méchant Tafta

Le GDPR et le grand méchant Tafta

Le nouveau règlement européen sur la protection des données personnelles (GDPR) vient d’être adopté en mai dernier et entrera en vigueur en 2018. Remplaçant la directive européenne de protection des données personnelles de 1995, il adapte les exigences aux enjeux soulevés par les nouvelles technologies ces vingt dernières années et formalise plusieurs nouveaux droits intéressants comme le droit à l’oubli, le droit à la portabilité des données ou le droit à la limitation du traitement. Il inscrit la problématique de protection des données personnelles au cœur de la gouvernance des entreprises qui doivent désormais s’assurer de leur conformité en tout temps et à toutes les étapes de leur développement : approche par les risques, analyses d’impact, « privacy by design », et notification des violations de données. Alors qu’il représente une avancée significative dans le domaine, et qu’il serait utile d’en faire la promotion, on peut regretter que certains commentateurs français omettent d’y faire référence dans leurs tribunes pourtant consacrées à la défense des droits des citoyens en matière de protection des données personnelles.

C’est ainsi que dans la lutte contre le Traité transatlantique (Tafta), des articles fleurissent dénonçant les dangers des transferts incontrôlés de données vers les Etats-Unis qui seraient prévus dans le Traité. Ces articles volontairement alarmistes, loin d’informer les citoyens sur les tenants et aboutissants du sujet se contentent de marteler que le Traité met en danger le domaine de la protection des données personnelles et passent sous silence l’existence du règlement européen de protection des données personnelles et la force de frappe qu’il représente.

Les transferts de données outre-Atlantique, un phénomène nouveau ?

Présenter la possibilité de transferts incontrôlés et sauvages des données personnelles de citoyens européens vers les Etats-Unis comme une nouveauté introduite par le Traité relève d’une opération de désinformation. D’abord parce que ces transferts existent depuis longtemps et que la majorité des données est déjà stockée en-dehors de l’Europe. D’autre part, parce que, même s’ils sont perfectibles, plusieurs dispositifs existent déjà pour assurer que les transferts de données vers des pays hors UE ne reviennent pas à diminuer le standard de vie privée des individus. Parmi eux :

  • les règles d’entreprise contraignantes (« BCR » : binding corporate rules) devant être validées par la CNIL en France ;
  • les décisions d’adéquation prises pour certains pays (ex : Canada), reconnaissant le même niveau de protection des données personnelles dans ces pays que dans l’UE.

Pour compléter ces dispositifs, la conclusion d’un nouvel accord a eu lieu pendant l’été 2016 : le Privacy Shield pour encadrer les transferts EU-USA. Il fait suite au précédent accord : le Safe Harbor invalidé en octobre 2015 par la Cour de justice de l’Union européenne (CJUE). N’importe quel internaute a pu en être informé récemment puisque la mise en œuvre du Privacy Shield a imposé aux entreprises de revoir leurs politiques de gestion des données personnelles et d’indiquer clairement qu’elles transfèrent les données à l’extérieur de l’UE, en respectant les exigences du Privacy Shield ou tout autre dispositif agréé.

Que prévoit le règlement européen pour protéger les transferts de données personnelles ?

Lors de son entrée en vigueur en mai 2018, le nouveau règlement européen opérera un renforcement de la protection des données personnelles par rapport à la directive de 1995. Les transferts de données hors UE seront aussi soumis à ses exigences puisque l’article 3§2  formalise l’extraterritorialité de toutes ses dispositions : « Le présent règlement s’applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées :

  1. à l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes; ou
  2. au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union.»

Donc, quelle que soit l’origine géographique de l’entreprise qui traite les données personnelles de citoyens européens (à titre lucratif ou non), elle tombera sous le joug des exigences du règlement européen. Il est fondamental de marteler ce message et de s’en convaincre : le règlement européen est un outil puissant sur lequel l’UE pourra s’appuyer dans ses rapports de force avec ses partenaires économiques. La guerre psychologique sur ce sujet a déjà des effets concrets : grâce à l’action de citoyens européens et de la CJUE, l’accord bancal Safe Harbor a dû être révisé et remplacé en moins d’un an. Durant cette période (octobre 2015 à juillet 2016), une véritable incertitude a régné sur la légalité des transferts de données en cours. Pourtant, à peine entériné, l’accord Privacy Shield est déjà menacé d’être poursuivi en justice car, même s’il représente un progrès par rapport au précédent accord, il ne garantirait pas encore le même niveau de protection que les standards européens actuels. De cette situation d’incertitude résulte que les entreprises américaines semblent moins nombreuses à adopter le Privacy Shield que le Safe Harbor et se tournent de plus en plus vers des dispositifs alternatifs leur paraissant plus robustes et plus complets par rapport à la législation européenne, comme les BCR. D’autre part, de plus en plus d’acteurs majeurs décident d’implanter en Europe de centres de stockage des données des citoyens européens : Amazon, Microsoft, Google,… tendance, qui, si elle se poursuit, pourrait rendre stériles les discussions sur l’applicabilité de l’extraterritorialité du règlement européen de protection des données sur les transferts des données hors UE dans le futur.

Au-delà de la promotion qu’en font les dirigeants européens, le règlement européen sur la protection des données personnelles devrait être systématiquement mis en avant par nos responsables nationaux. Omettre de promouvoir le règlement européen, revient à dénigrer l’action européenne alors qu’elle a considérablement avancé dans le domaine de la protection des données personnelles dont l’Europe est le leader mondial incontesté. Or justement ce règlement aura la force que les dirigeants et citoyens européens voudront bien lui donner. D’ailleurs, difficile d’imaginer qu’après un processus d’élaboration aussi long (2012-2016), les responsables européens soient prêts à évincer ce règlement alors qu’il n’est même pas encore en application, à moins d’être un adepte de la théorie du complot et de la soumission totale des instances dirigeantes de l’UE aux puissants lobbies américains.

L’affirmation de la préséance du règlement de protection des données personnelles

Une démarche positive et constructive de nos dirigeants nationaux, relais locaux indispensables des décisions européennes devrait dont être de clamer haut et fort la nécessaire préséance du règlement de protection des données personnelles sur toutes les négociations que mène l’UE avec ses partenaires, quel que soit le domaine concerné. Car la vraie question est donc celle de la possibilité ou non de contourner les dispositions de protection actuelles et les futures exigences prévues dans le règlement européen par certaines dispositions du Tafta. Certes, le domaine de la protection des données personnelles est exclu du mandat de la Commission européenne dans la négociation du Tafta. Cependant, cette exclusion est assez théorique puisque le sujet du transfert des données est au cœur des discussions et qu’il a forcément des répercussions sur le domaine de la protection des données personnelles. Or, ces négociations, nous disent les commissaires européens, ne peuvent aboutir à diminuer les standards de protection des citoyens européens. Ainsi, quelles que soient les décisions prises sur la gestion des flux de données EU-USA, ceux-ci devraient par défaut respecter les exigences de la norme européenne en la matière, à savoir le règlement européen qui impose le même niveau d’exigence sur les transferts de données vers des pays tiers que sur la gestion au sein de l’UE. On y retrouve, en effet, les mêmes outils qu’actuellement, aux articles 44 à 47 :

  • Règles d’entreprise contraignantes,
  • transferts fondés sur une décision d’adéquation, et
  • transferts moyennant des garanties appropriées.

Le Privacy Shield relève du troisième cas. Outre la révision annuelle à laquelle il est prévu qu’il soit soumis en juillet 2017, il devra donc être révisé pour être mis en conformité avec le règlement le 25 mai 2018.

Afin de lever tout doute, il serait nécessaire d’obtenir des négociateurs européens qu’ils inscrivent formellement dans le Tafta la suprématie du règlement européen sur la protection des données personnelles en toutes circonstances. Mais comme il serait sans doute fastidieux de recenser l’ensemble du corpus normatif européen auquel le Tafta ne devrait pas déroger, il conviendrait sans doute de procéder à l’inverse en ne citant que les cas de dérogations et en bannissant toute dérogation visant à diminuer le standard européen de protection des données personnelles. Il faut aussi veiller à ce que par d’autres biais, les normes européennes ne soient pas contournées, comme par les mécanismes d’arbitrage privé et de coopération réglementaire qui étaient initialement prévus dans le Traité et qui ont cristallisé les oppositions. C’est sous cet angle d’attaque que devrait se situer les commentateurs du sujet des conséquences du Tafta sur la protection des données personnelles des citoyens européens.

Et, si, malgré tout, des doutes subsistaient ?

Actuellement les négociations sur le Traité semblent au point mort et les prochaines  élections présidentielles américaines pourraient entraîner de nouveaux cycles de négociation. Mais, même si le Traité aboutissait enfin et que des incertitudes subsistaient sur les possibilités qu’il offre de se soustraire aux exigences du règlement de protection des données personnelles, on peut se demander si les entreprises chercheront vraiment à s’en prévaloir. Cela pourrait, en effet, constituer un pari risqué puisque les pénalités prévues dans le règlement pourront se monter au maximum à 4% du chiffre d’affaires annuel mondial total de l’exercice précédent d’une entreprise. Les analyses de risques conduites dans les entreprises pourraient conclure à la nécessité de suivre les prescriptions du règlement européen de protection des données, en raison de la menace financière constituée par les amendes de l’UE, les coûts liés aux contentieux, le risque réputationnel et le coût de remise en conformité enfin si le règlement l’emporte. En effet, les exigences du règlement imposent de vérifier que l’ensemble des processus de l’entreprise sont en conformité, et notamment que tous les systèmes informatiques sont conçus pour respecter les exigences de protection des données personnelles, c’est le fameux « privacy by design ». S’en affranchir volontairement, c’est risquer d’être condamné à revoir le développement de son application de fond en comble, de remodeler complètement son architecture insuffisamment sécurisée, donc des coûts prohibitifs en jeu. C’est pourquoi, certaines entreprises décident de prendre des initiatives en la matière, au-delà de la simple conformité au Privacy Shield (dont elles craignent l’invalidation à l’instar du Safe Harbor). Ainsi, elles vont préférer mettre en place des règles d’entreprises contraignantes afin d’être au plus près des exigences européennes actuelles, voire de se projeter sur la future mise en conformité avec le règlement.

Car, au-delà des sanctions, il est une arme plus redoutable encore, celle de l’atteinte à l’e-reputation. La protection des données personnelles devient un élément marketing incontournable pour les géants du Net et toute atteinte à celle-ci porte un impact durable à l’image de marque de l’entreprise. Les rebondissements actuels de l’affaire de violation des données dans l’entreprise Yahoo ! en sont une belle illustration. En effet, après la découverte du vol en 2012 de 500 millions de comptes utilisateurs (voire plus) rendue publique en août 2016, l’agence Reuters a révélé, mardi 4 octobre, que l’entreprise aurait mis en place en 2015, un vaste système interne de surveillance de ses utilisateurs pour le compte d’une agence de renseignements. Les détracteurs du Privacy Shield pourront rappeler que justement celui-ci ne permet pas d’écarter la possibilité d’une surveillance massive et indiscriminée des données des citoyens européens. Grâce aux lanceurs d’alerte américains qui ont vraisemblablement révélé cette histoire, l’opinion mondiale est, une nouvelle fois, sensibilisée à la problématique des données personnelles. C’est l’action combinée de ces opérations de sensibilisation très médiatisées, de l’impact désastreux qui en résulte sur l’image de marque des entreprises et l’exemple de la législation européenne leader en matière de protection des données personnelles qui devrait permettre d’atteindre les objectifs de protection voulus par les citoyens européens.  C’est pourquoi il est si important de faire la promotion constante et continue du nouveau règlement européen et d’exiger son application étendue et exhaustive. Après tout, mai 2018, c’est déjà demain alors autant l’intégrer dès maintenant dans ses actes comme dans ses discours.

 

Tous les articles de ce blog sont la propriété exclusive de son auteur. Toute reproduction (hormis une brève citation en précisant la source et l’auteur) sans l’autorisation expresse de l’auteur est interdite.

The GDPR and the right to be forgotten: myth or reality?

The GDPR and the right to be forgotten: myth or reality?

The new General Data Protection Regulation (“GDPR”) has been published in the Official Journal of the European Union May 4th, 2016 and will come into force in 2018.

It formalizes the right to oblivion (“right to be forgotten”) or right to erasure of personal data in a full section devoted to it (article 17). The GDPR reinforces the use of this right, which got a lot of media coverage since the judgment of the European Court of Justice (“ECJ”) of May 13th 2014 regarding Google Spain (1). In this judgment, the ECJ established, among other things, that search engines are data controllers within the meaning of the 1995 Directive 95/46/EC on personal data protection and are therefore subject to its requirements, including the right to erasure of data. This can be implemented after analysis of the necessary balance between the protection of individual privacy on the one hand and the public’s right to access and share this information on the other hand.

The right to be forgotten is indeed fundamental to the respect of privacy because the information on the web is difficult to erase and can have adverse consequences for an individual. It is not about allowing systematic deletion of all data or falsifying records and changing the past (eg. photo retouching in Stalin’s regime), the new Regulation of course reserves cases where data are needed for historical, statistical or scientific research, for public health reasons, or for exercising freedom of speech. The right to oblivion does not apply either when holding personal data is necessary for the conclusion of a contract or when required by law. Apart from these cases, the aim is to avoid living under the weight of a constant reminder of the past which is a phenomenon multiplied by digital environments.

However, criticisms are already coming out on the right to be forgotten, that would only be a cosmetic phenomenon, bringing nothing new compared to the provisions of the 1995 Directive, and regretting the missed opportunity to go further. But the GDPR explicitly states several provisions strengthening the right to be forgotten as we will see in this article (I). Then we will examine how the doubts about the interpretation of those provisions can be raised (II).

I The new provisions of the GDPR on the right to be forgotten

Not only is there a dedicated article for the right to be forgotten, but there are also several other provisions to reinforce its effects.

A / A new article on the right to be forgotten articulated with a strengthened right of opposition

Article 17 lists six cases in which any person may obtain the erasure of personal data from a data controller, as soon as possible, of personal data in six cases. You may recall that the Directive 95/46/EC mentioned data erasure only as a corollary of the right of access in the Article 12§b: “Member States shall guarantee every data subject the right to obtain from the controller:  as appropriate the rectification, erasure or blocking of data the processing of which does not comply with the provisions of this Directive, in particular because of the incomplete or inaccurate nature of the data.”

It is now specified that this right can be exercised in cases where:

  1. The data are no longer necessary in view of the purposes for which they were collected.
  2. The consent was required when collecting data (which is the case of sensitive data).
  3. A person exercising her right of opposition “for reasons relating to his particular situation.” The controller must demonstrate the existence of legitimate and compelling reasons to oppose it. The person exercises his right to object at any time in cases of commercial prospecting and profiling related to it.
  4. The data has been unlawfully processed.
  5. The data involve a minor.
  6. The erasure is under a legal obligation (e.g., new law or court decision).

This case list is intended to clarify the definition of the erasing data policy that the European Parliament wants to promote. For some authors, the statement of an exhaustive list of right to erasure cases is a regression compared to Article 12 of the Directive 95/46/EC, which simply invoked the opportunity to request deletion of data in case of non- compliance with the Directive. Beyond the interest to raise awareness of the practical applications of this right in everyday life, it does not appear that the perimeter is reduced. Indeed firstly because the list is quite exhaustive in itself and also because it allows erasure whenever the right to object is granted, a right which has been strengthened by the new Regulation.

The right to object reinforces the right to be forgotten

Indeed, the right to be forgotten can be invoked as a result of the right to object (Article 21) which has been revised and extended. This right states that “The data subject shall have the right to object, on grounds relating to his or her particular situation, at any time to processing of personal data concerning him or her […], including profiling […].The controller shall no longer process the personal data unless the controller demonstrates compelling legitimate grounds for the processing which override the interests, rights and freedoms of the data subject […].” We can see here an inversion of the proof of legitimacy since in the Directive 95/46/EC, Article 14 stated that the person concerned has the right “to object at any time on compelling legitimate grounds relating to his particular situation to the processing of data relating to him […].Where there is a justified objection, the processing instigated by the controller may no longer involve those data.” Previously, legitimate justification had to be provided by anyone to exercise the right to object; now the data controller has to provide a legitimate justification to turn down the demand. By default the request for objection is valid which leads to the validation of the erasure request, unless the data controller can find a valid reason to oppose it. We know that the overriding legitimate reason is the respect for the public right to access information. Admittedly, this text will not solve abuse of this argument by search engines but it seems, anyway, illusory to hope to find a legal formulation that would replace analytical work done case by case by the courts.

Improvement in processing times

Recital 59 of the GDPR further states for all claims relating to rights of access, rectification, erasure or blocking that « The controller should be obliged to respond to requests from the data subject without undue delay and at the latest within one month and to give reasons where the controller does not intend to comply with any such requests« . Currently, a delay of two months for treatment made by the website controllers is allowed. As for search engines, their procedures do not mention time commitment.

B / The case of erasing profiling data is taken into account by the GDPR

The case of profiling activities and personal data collected for such purposes is also handled by the GDPR. This happens to be extremely important since most of our personal data available on the web is not the result of a conscious and voluntary data recordings but the result of a complete traceability of web browsing activities by Internet intermediaries. Those data volumes are huge and represent the new Eldorado of the 21st century: the Eldoradata.

Recital 71 of the GDPR gives the definition of profiling: “any form of automated processing of personal data evaluating the personal aspects relating to a natural person, in particular to analyse or predict aspects concerning the data subject’s performance at work, economic situation, health, personal preferences or interests, reliability or behaviour, location or movements, where it produces legal effects concerning him or her or similarly significantly affects him or her.

Two scenarios are detailed in the new Regulation: profiling for marketing purposes on the one hand and profiling for other purposes on the other hand.

Cases of profiling for marketing purposes

In those cases, the protection is drastic: anyone can request data deletion without having to justify compelling legitimate grounds (Article 17§c which refers to the right to object of Article 21§2).In doing so, the new Regulation will avoid legal contortions which currently engages the CNIL (the French Data Protection Authority) to fight against the uncontrolled use of data by social networks or data brokers. Thus in its last formal notice sent to Facebook February  8th, 2016 (which we expect the latest developments with interest, the company’s response has been sent to the CNIL on August 10th), the CNIL indicates that if the question of the combination of personal data for advertising is mentioned in the conditions of use of the social network, it is insufficient to his views. The combination of different data is not strictly required by the “contract” between the user and the social network, and therefore requires a separate approval from the user. We note that the CNIL rejects the argument of legitimate interest, noting that Facebook could not bypass this express consent by arguing that display advertising is done in the user’s interest because according to the Authority, this interest is too low and the data collection is too intrusive.

Cases of profiling for other purposes

The person may request deletion (Article 17§c which refers to the right to object of Article 21§1), but the data controller may oppose on the ground of a compelling legitimate interest. This notion of legitimate interest of the data controller is defined in recital 47 and could serve as a legal basis to treatment: “provided that the interests or the fundamental rights and freedoms of the data subject are not overriding, taking into consideration the reasonable expectations of data subjects based on their relationship with the controller.” This legitimate interest can be highlighted especially “such as where the data subject is a client or in the service of the controller.” But “The interests and fundamental rights of the data subject could in particular override the interest of the data controller where personal data are processed in circumstances where data subjects do not reasonably expect further.” A social network wanting to rely on its legitimate interest should be obliged to be more transparent about its many uses of personal data which are difficult to guess by the non-informed user. Thus, beyond the terms and conditions of service that no one reads, a social network should clearly inform the user of the many ways it intends to use its data and no default options should be implemented.

C / The “resale right” of the right of erasure

Article 17§2 details the responsibilities of the first data controller in case of dissemination of data to other data controllers. It has the obligation to transmit the deletion request it had to implement to all data controllers that use the data. It must do so by taking “reasonable steps”, “taking account of available technology and the cost of implementation.” The secondary data controllers must then erase any link, copy or reproduction of such data. This requirement is improved compared to the one stated in the 1995 Directive. Firstly, because we now have a broadcast obligation of the erasure request by default and the data controllers will have to demonstrate, if appropriate, that it is technically unreasonable. The Directive 95/46/EC put the emphasis on the technical difficulties (Article 12§c): “unless this proves impossible or involves a disproportionate effort.” Secondly, because the transmission of the erasure request is explicitly stated: “the controller […]shall take reasonable steps […]to inform controllers which are processing the personal data that the data subject has requested the erasure by such controllers of any links to, or copy or replication of, those personal data.” Previously, in the Directive 95/46/EC, it was not clear whether the “secondary” data controllers were simply informed of the request or if they had to implement it themselves.

But how can one effectively implement the right to broadcast the delete request? If the publisher’s website at the origin of the information is obliged to delete the offending content, it must transmit the request to all web players having referred to its content or resumed it on their site. It can either remove or update the web page for the offending content or block access to the content while protecting it with a password, or use special tags in the site’s robots.txt file (file at the root of a website, which contains a list of site resources that are not supposed to be indexed by robots indexing search engine). Thus, next time links will be updated, relevant content would not be resumed. This seems an effective solution for search engines. But as the robots.txt file is readable by anyone, it should not refer to URLs too explicit (some contain the name of the person and the title of the scandal), to avoid the erasure request from going public, which could cause the opposite of the desired effect (“Streisand effect”). One idea might be to anonymize URLs using a hash function, but it would require an evolution of search engines.

Beyond search engines, any website chronicling the offending content should be updated. Publishers could be required to periodically check whether or not the links they use have been « blacklisted ». In this case, not only the link should be deleted but the content that has been copied by the website should also be deleted or updated. Again, changes are necessary because this kind of monitoring is rare.

D / The emergence of a new complementary right: the right to restriction of processing

A new right to restriction of processing is defined in the GDPR (Article 18). In its definition in Article 4, it is stated that it is “the marking of stored personal data with the aim of limiting their processing in the future.” As recital 67 explains, this clause allows for suspension of the use of data by the data controller. On the web, this means temporarily turning off access to data. This deactivation lasts during the necessary time to verify the request of the person, in the following cases:

  • inaccurate data,
  • unlawful processing,
  • the data controller no longer needs the data, but they are still necessary for the person concerned for the establishment, exercise or defense of legal rights,
  • to exercise the right of to object, during the time that the data controller checks whether its own legitimate and compelling reasons prevail over those of the individual concerned.

In practice, this clause can be interpreted as an opportunity to obtain temporary suspension of access to one’s data as soon as a request for erasure has been made and for the duration of the application process, even if it will ultimately be denied. Recital 67 gives several indications of technical measures that could be taken for this purpose. This arrangement is very effective for a person using wisely the right of erasure. She will not have to bear a waiting period that may seem very long in certain situations, even if the GDPR has limited it to a month.

This new clause as interesting as it is for the person exercising it wisely, could however result in a number of abuses. Indeed, while today a majority of delisting requests are declined by search engines, they will now have to first accept the restriction of processing for each request. It is easy to imagine the misuse of this right and the violation of freedom of speech when the request concerns the site editor at the origin of the information … But we can also consider that this clause will have a positive effect and reduce the processing delay in order to rule out abusive claims and restore access to information …But what will be the costs?

E / Data shelf Life

The GDPR states a new obligation concerning the deadlines for data retention. The data controllers will have to indicate the expected duration of data retention when they first collect the data (Article 13). This also contributes to the awareness of the various parties to the notion of digital oblivion.

Detractors of the right to be forgotten use precisely the data shelf life argument to demonstrate that the new Regulation does not bring anything new. Certainly this concept exists since 1978 in France and has been codified in the Directive 95/46/EC, imposing de facto the right to have data disappear beyond a certain time limit. But this provision only appeared as a corollary to the definition of the shelf life in the same way as the right of erasure was only stated as a corollary of the right of access.

F / Very dissuasive financial penalties

Finally, whatever the interpretation of the new right to be forgotten, an important element is added in its favor: the maximal amount of fines defined in the new Regulation. Article 83§5 punishes the breach of rights stated under Articles 12 to 22, with an administrative fine capped at 20 million euros, or for a business, up to 4% of the total annual worldwide turnover in the last year, the highest amount being retained. If there is any doubt, a data controller will likely hesitate to risk such sums when simply removing the offending content costs no risk and no energy in legal defense. Critics of the right to oblivion thus question freedom of speech and the role of censor that may play Internet intermediaries subject to such financial pressure. The day such fines are actually applied may seem, however, still distant, when we see that the French authority, the CNIL has always used sparingly its own power of financial penalties, admittedly somewhat limited: maximal fines are €150,000, doubled in case of recurrence. But given the current economic war between Europe and the United States, no doubt that threat could be very useful.

As we can see, the new European Regulation on personal data protection states a series of specific and detailed provisions to implement the right to be forgotten. However, for some observers, they are not explicit enough regarding the Internet intermediaries and therefore lack their main goal which is to control their use of personal data.

II How relevant are the doubts about the applicability of the right to be forgotten?

We remember that the 2014 ECJ judgment had triggered panic among the supporters of freedom of speech on the net. However we have seen that the provisions of the new Regulation strengthen the field of the right to be forgotten. Yet there are some voices here and there to denounce the mediocrity of the statements and the triumph of the lobbies of internet intermediaries. Let’s examine them.

A / What about the responsibility of search engines confronted to the right to be forgotten?

Some authors regret that search engines are not clearly assimilated to data controllers in the GDPR. Again, the purpose of the Regulation is to remain as long as possible relevant for and it seems inappropriate to list the categories of data controllers, which could prove restrictive in the future and prevent new players to be included it (e.g., suppliers of Internet connected objects). Moreover, search engines are far from the only players to refer content since all websites may contain links to other sites.

Moreover, it seems difficult to imagine that the case law of the ECJ in the case of Google Spain in May 2014 could be challenged on this point: if a search engine had been obviously considered as a data controller in accordance with the Directive 95/46/EC, nothing in the GDPR should allow reversing the decision. The definitions that had helped support the demonstration of the ECJ on this subject have not changed in the GDPR and still apply to search engines, which have data processing activities, separate and in addition to the website editor activities and thus susceptible of affecting the fundamental rights of every person.

The only changing definitions (for the terms “processing” and “controller”) is the addition of “structured data” (art 4§2) in the definition of data processing, which concerns among others search engines.

Moreover, contrary to popular opinion, it is not proven that before the judgment of the ECJ in May 2014, it was impossible to consider search engines as data controllers in the meaning the Directive 95/46/EC. Indeed, the reference document interpretation of the Working Group « Article 29 » is the Data Protection Notice 1/2008 on aspects of data protection related to search engines and was adopted on April 4th 2008. Its conclusion is the following: « This balance can be found by distinguishing between the two different primary roles of search engine providers. In their first role, as controllers of user data (such as the IP addresses they collect from users and their individual search history), they are to be held fully responsible under the Data Protection Directive. In their second role, as providers of content data (such as the data in the index), generally they are not to be held as primarily responsible under European data protection law for the personal data they process. Exceptions are the availability of a long-term ‘cache’ and value added operations on personal data (such as search engines aimed at building profiles of natural persons). When providing such services, search engines are to be held fully responsible under the Data Protection Directive and must comply with all relevant provisions. » Rather than a restriction to the possibility to consider search engines as data controllers, this review shows that most of the world’s leading search engines providers are concerned since they collect user search history and proceed to value added operations on personal data, operations which are at the heart of their business model. Besides, the notice also stated that in some EU member states, data protection authorities had already specifically regulated the obligation of search engine providers to remove content, based on the right of objection of Article 14 of the Directive.

Therefore it appears that delisting search results is an established modality of implementation of the right to be forgotten that fully applies to search engines.

B / Right to delist versus right to be forgotten?

Another criticism is the lack of formal mention of the term « right to delist » in the new Regulation. Yet the words « erasure of any links » are quoted verbatim in Article 17. And the act of delisting search results, consisting of deletion of links pointing to a primary source of information is obviously one of the means to implement the right to be forgotten. It is a technical tool and as such it is not really relevant to mention it in a European Regulation. In short, to obtain the deletion of personal data, you can either:

  • Contact the website that originally used and published them: the primary data controller. If the request is valid, the website editor has the responsibility to remove the offending content or update it (Article 17§1). In addition, it will have to transmit to other data controllers to erase the data (or links referring to it) requests (Article 17§2). This is of course, the most effective approach for the individual since she does not have to contact all the data controllers by herself. An automatic erasure chain should spread on the web.
  • Or contact the secondary data controllers (search engines or other website publishers who have copied the information) to ask them to erase the copy of the data, or links to the primary source. They are indeed full data controllers, who are contacted under Article 17§1 and not as a result of the “resale right” of the right of erasure (Article 17§2).
  • Or do both requests in parallel.

In the first case, the data will be permanently deleted if the request is granted but they will remain visible for several months through the search engines, the time for them to update their links and caches.

In the second case, they will remain accessible on the original site and thus accessible from the search engines with requests using other keywords than the name of the person. They may also be accessible through other search engines which have not received the erasure request or other websites displaying the information. But when the erasure request is sent to major web search engines, it provides a very effective result.

This is possible because even if the primary data controller has properly objected to the request, no one prevents the person to direct her request to the secondary data controllers. They may not be able to oppose the same type of objections and may be forced to remove the data concerned and therefore in the case of search engines to remove links to the primary source. As the 2014 ECJ case law on the right to delist has shown, it is indeed valid to apply for the right to delist even if the erasure request by the primary data controller has not been granted as contrary to the right of information. Even if the initial publication is lawful and must be preserved, legitimate interest in processing by search engine is not necessarily the same. The accessibility and dissemination of information by search engines may constitute a greater interference with everyone’s private life, far bigger than the initial publication, which will quickly be relegated in the depths of the site’s archives.

The new Regulation now has an extraterritorial action (Article 3). It applies to personal data of European citizens regardless of the location of the data controller or its subcontractors. It can be inferred that the data must be protected uniformly regardless of the modalities for access, including the geographical location from which they are accessed. This is the meaning of the battle of the CNIL against Google since 2015: the CNIL asks Google to enforce the right to delist whether users access google.fr or google.com, or any other geographical extension. Indeed, the universality of data processing provided by a search engine requires universal action to be truly effective. The new Regulation even seems to go further than the contribution of the 2014 decision: indeed, Article 17§2 states “the controller […] shall take reasonable steps, including technical measures, to inform controllers which are processing the personal data that the data subject has requested the erasure by such controllers of any links to, or copy or replication of, those personal data”.  Searching a person’s identity should clearly not return any links to the erased content, but what about other search queries? This remains to be clarified. Of course, the search with the identity is the common way but once the right to delist becomes common, why not go further? For example, wouldn’t the GDPR allow people to get erasure of links obtained by searching with keywords specific to the content? For example, if the name of the person is associated with a scandal X occurred at the date Y in the place Z, shouldn’t it be necessary to remove the links for these three keywords? One can imagine the difficulty of the exercise … but the wording of the Regulation is broad enough not to exclude it…

C / What about the responsibility of the social network providers on the right to be forgotten?

The real question concerns the Internet intermediaries such as social networks. As there has not been an ECJ judgment similar to the one of the search engines yet, interpretations of their submission to the GDPR are still many and varied. This may seem surprising since, obviously, a social network like Facebook already makes the effort to try to comply with the current Directive 95/46/EC. Even if the tools it deploys are criticized for their incompleteness or implementation difficulties, they already allow for example to delete an entire account or only some data from his account. And because they are obviously subject to the requirements of the Directive 95/46/EC, the CNIL could issue Facebook a notice for breaches of some of these requirements in January 2016. Moreover, if search engines are considered as data controllers because they store data, organize them as part of their indexing programs, back them up on their servers, and make them available to users in the form of lists of research results, it is difficult to imagine how social networks could escape this definition. They also record, organize, and present data in different formats and they manage as well personal and non-personal data.

The distinctive features of social networks

However, it is true that due to their very essence, social networks pose a real problem by allowing the manipulation of data by multiple actors. There are in fact several categories of personal data concerning a person A in a social network:

  • Data monitored and published by person A: some must be public because of the network configuration (eg profile picture) and others are public by default, but the user can make them private for a small group (this is however not always easy to set up, especially the default visibility of our publications by “friends” of our “friends”).
  • Data published by others (eg. when person B publishes a photo of person A).
  • Data generated by social networks from A activity on networks or other sites (tracing navigation through the use of cookies, allowing targeted advertising). The person is often unaware of this accumulation of her data, except when the ad targeting is particularly obvious (eg. I just searched a vacation destination, and the social network floods me with hotels or flight advertisements to this destination in the following minutes). Note: one way to escape this is to use the private navigation feature of your internet browser to disable tracing activities.

Deleting personal data, yes, but who is in control?

Having the right to erasure data you registered yourself on your social network account is both legitimate and already feasible, but spreading those erasures on other users’ accounts and controlling all the posts related to you is problematic, not counting the lack of control over the overwhelming collection of your navigation data.

While removing a publication from one’s account automatically propagates to friends’ accounts even if they had liked, shared or commented on the post, it is not the same if the “friend” has taken over the publication, by taking the photo and publishing it without reference to the original publication. Same case if a “friend” has made a publication on his own about another person. What about the responsibility of the social network? The option to delete content posted by a person B at the request of a person A seems to be excluded as it involves freedom of speech, except in the case of criminal offences. In the logic of the Directive 95/46/EC, one could imagine that any user of a social network become responsible for processing data she collected, recorded and used (by publishing it on the network), either if it were his own data or those of others, and that she was as such subject to personal data protection requirements. While recital 12 of the Directive already excluded the data processing carried out in the context of personal activities, it quoted the correspondence and the holding of address book, activities quite unlike the use of a social network. This was the thesis developed by Dr. Rebecca Wong in an excellent 2008 article titled « Social Networking: Anybody is a Data Controller ». It seems however that this idea has not prospered and that defamation actions were preferred by the complainants, rather than for non-compliance with the requirements of the Directive 95/46/EC.

In the GDPR, this idea seems definitively removed since recital 18 states that “this Regulation does not apply to the processing of personal data by a natural person in the course of a purely personal or household activity and thus with no connection to a professional or commercial activity. Personal or household activities could include correspondence and the holding of addresses, or social networking and online activity undertaken within the context of such activities.” Social network users cannot be considered as data controllers within the meaning of the GDPR. Article 2 of the Regulation also states that: “This Regulation does not apply to the processing of personal data by a natural person in the course of a purely personal or household activity”.

Therefore social networks are data controllers in their relationship with each user, not between users.

Recital 18 goes on to state: “However, this Regulation applies to controllers or processors which provide the means for processing personal data for such personal or household activities.” That is to say: it applies to social network suppliers.

In doing so, this recital returns to the old recital 12 of the Directive 95/46/EC and significantly strengthens it since it did not mention the case of social networks (they did not exist in 1995) and did not foresee the responsibility of networks as data controllers.

This is a formal response to the question of the submission of social network providers to the GDPR. The new Regulation must be interpreted in the light of its recitals which explicitly mention the case of social networks. Concerning the right to be forgotten, they have the responsibility to implement an adequate mechanism to meet the request of a person A to delete personal data it has filed voluntarily or not (traceability of web browser navigation).

However, the problem arises regarding personal data of a person A published by another person B on a social network. As B is a natural person, she will not be subject to the GDPR (the other third parties, corporations partners of the social network are of course concerned by the law on the right to erasure). This user B is, however, subject to the requirements of image rights and respect for privacy, just like today. Therefore, social network suppliers already take means to process personal data removal requests misused by third parties: reporting of abusive, hateful, defamatory content or contrary to the standards of the community, reporting of breaches to privacy and image rights, harassment, information concerning minors. Any user also has the possibility to remove her identification in a picture in Facebook.

Thus, outside of those cases detailed in the terms of services, it seems difficult to justify the erasure of personal data used in a reasonable manner by a third party removed, simply because they bother us.

The GDPR aims at protecting the use of personal data by companies or public organizations. It is not designed to manage the relationships between individuals. So the social network should be considered as a data controller subject to the GDPR in its individual relationship with each person using its services, but not as such in the links between people who use it. Individual people using the social network as part of a personal activity cannot be subject to the requirements of GDPR.

So how to go further to protect the use of personal data by other social network users?

Hopefully social networks should play an awareness role in the protection of personal data. Eg, they could provide a formal process for users to request deletion of personal data by other users, for fear of possible prosecution. It could also put in place incentives for the most reported users who do not respond to requests for removal, by temporarily banning them from the network. But this may not be in line with the legitimate interest of social networks and can in any case also be subject to abuse. But deep down, we may wonder if the real problem lies in the information published by third parties. Apart from abusive cases that can often already be reported, or outside the data collected for profiling purposes that are now supervised by the GDPR, shouldn’t everyone start cleaning their account of data they have themselves registered and published, and which in many cases are the more harmful? For this purpose, the tools already exist, which provide the historical posts log and allow removing all or part of the data. If the confidentiality of the account is well configured, the user can restrict broadcasts to her friends. With a little more customization, she can restrict and prevent her “friends” of “friends” from having access to her publications. She can also prevent her account from being found through a search engine.

From this analysis it appears that the new EU regulation on the protection of personal data is an important step on the right to be forgotten, consolidating inputs from the ECJ case law of May 2014 and offering new opportunities on personal data for European citizens. However, beyond the legislation that will always fall behind the technological innovations, it is time to adapt the education of citizens to the new digital challenges. Learning the tools to manage their personal data should be the subject of courses in the school curriculum as soon as possible to address the problem at source and give survival reflexes to children in the digital environment. In this area as elsewhere, prevention is always better than cure and the right to be forgotten should probably start by forgetting a little oneself.

(1) ECJ mai 13th 2014 Google Spain SL and Google Inc. vs Agencia Española de Protección de Datos (AEPD) and Mario Costeja González – affair C-131/12

All articles in this blog are the exclusive property of the author. Any reproduction (except for brief quotation specifying the source and author) without the express permission of the author is prohibited.

Le DPO, une version évoluée du CIL

Le DPO, une version évoluée du CIL

Le nouveau règlement européen de protection des données personnelles (« RGPD ») est paru au journal officiel de l’Union européenne le 4 mai 2016 et entrera en application en 2018. Il prévoit la fonction de Délégué à la protection des données / Data Protection Officer (l’acronyme DPO sera retenu dans la suite de cet article) aux articles 37 à 39 et la rend obligatoire dans un certain nombre de cas. On rappelle que la directive européenne 95/46/CE de protection des données personnelles de 1995  prévoyait un rôle de « Détaché à la protection des données / Data protection official» de manière minimaliste et incidente, notamment pour les notifications à l’autorité de contrôle (considérants 49, 54 et articles 18 et 20). Afin de répondre adéquatement aux exigences de la directive, plusieurs états européens avaient déjà ressenti le besoin de définir cette fonction en entreprise ou dans les organisations publiques. En France, fut ainsi décidée la création du Correspondant Informatique & Libertés (« CIL ») en 2004 lors de la révision de la loi Informatique et Libertés du 6 janvier 1978 pour mise en conformité avec la directive 95/46/CE.

Un DPO, oui, mais dans quels cas et pour quel rôle ?

La nouvelle fonction de DPO est désormais rendue obligatoire (article 37 du RGPD) pour tous les organismes publics et dans le cas de traitements à grande échelle de données sensibles ou de données de suivi des personnes de manière régulière et systématique.

Article 37§1 : « Le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque :

  1. le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle ;
  2. les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées; ou
  3. les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10. »

Outre l’obligation de désigner un DPO dans un certain nombre de cas, les fonctions qui lui sont confiées sont d’une envergure bien supérieure à celles de l’ancien CIL puisqu’il doit rendre conforme l’ensemble de son entreprise ou organisation avec les exigences du RGPD.

Article 39 : « Les missions du délégué à la protection des données sont au moins les suivantes :

  1. informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu du présent règlement et d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données ;
  2. contrôler le respect du présent règlement, d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant ;
  3. dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci en vertu de l’article 35 ;
  4. coopérer avec l’autorité de contrôle ;
  5. faire office de point de contact pour l’autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable visée à l’article 36, et mener des consultations, le cas échéant, sur tout autre sujet. »

Le règlement édicte une exigence de mise en conformité et de suivi complet et permanent de celle-ci, les preuves de la conformité devant pouvoir être apportée par l’entreprise auditée dans tous les domaines couverts par le règlement. La responsabilité du DPO, véritable chef d’orchestre de cette mise en conformité, en est d’autant renforcée. Le DPO apparaît donc comme une version évoluée du CIL, bien plus aguerri pour se défendre dans l’arène de la Protection des données personnelles du 21ème siècle.

Quid du CIL actuel ?

Depuis l’adoption du nouveau règlement, des questions surgissent çà et là sur les modalités pratiques de transformation du rôle de CIL en celui de DPO :

  • Le CIL se transformera-t-il automatiquement en DPO en mai 2018 ?
  • Le CIL et le DPO peuvent-ils coexister, le premier étant réservé aux entités non soumises à l’obligation de DPO ?
  • Comment trouver ce « mouton à cinq pattes » que semble être le DPO ?

Rappelons en préalable qu’il faut distinguer entre l’obligation d’avoir un DPO et la soumission au RGPD. Ainsi, toute entreprise ou organisation publique ayant à traiter de données personnelles, est soumise aux exigences du RGPD, ce qui revient à englober toutes les entités puisqu’il y a toujours au moins une gestion des données personnelles des employés. Mais, seules celles citées à l’article 37 seront obligées de nommer un DPO (d’autres textes ultérieurs viendront peut-être allonger cette liste). Ceci ne signifie aucunement que les entités qui ne semblent pas concernées par l’obligation de DPO ne devront pas respecter la nouvelle réglementation. Or pour cela, elles ont intérêt à nommer une personne responsable, et ce d’autant plus que la formulation volontairement large des entités soumises au DPO obligatoire laisse présager de nombreuses interrogations sur le périmètre exact des entités concernées.

Donc s’il paraît raisonnable de désigner une personne en charge de cette activité dans le cadre du nouveau règlement européen, comment concilier cette désignation avec le rôle actuel du CIL ? Il semble que la solution la plus adéquate, dans le cas d’une entreprise déjà sensibilisée au domaine de la protection des données personnelles, serait de faire évoluer la fonction de CIL vers la fonction élargie de DPO. Cependant, la personne anciennement désignée pour la fonction de CIL n’aura peut-être pas le meilleur profil pour prendre en charge la nouvelle fonction de DPO et n’est peut-être pas, elle-même, intéressée par ce nouveau défi. De la même manière que la nomination actuelle d’un CIL relève de la responsabilité du responsable de traitement, il serait logique qu’il décide de lui proposer ou non d’évoluer vers la nouvelle fonction de DPO. La CNIL pourrait ainsi transmettre à l’ensemble des responsables de traitement qu’elle a répertorié, une notice explicative sur l’envergure de la fonction de DPO, charge à eux de décider si le CIL actuel a la capacité de les prendre en charge. En aucun cas il ne peut s’agir d’un automatisme, le périmètre de la fonction évoluant sensiblement : les deux parties, responsable de traitement et ancien CIL, doivent pouvoir s’engager de manière éclairée sur la nouvelle fonction de DPO.

Par ailleurs, il paraîtrait déraisonnable de vouloir faire coexister les deux régimes (DPO pour les entreprises soumises à l’obligation dans le RGPD et CIL pour les autres), et ce d’autant plus que le périmètre des entités soumises à DPO obligatoire paraît sujet à questionnement. On imagine la complexité du dispositif où se côtoieraient, selon les entreprises ou organismes publics, les deux dénominations et l’inévitable sensation de « sous-DPO » pour les CIL. Enfin, ce serait difficilement compréhensible pour nos interlocuteurs étrangers, confrères DPO européens ou autorités de contrôle.

Un responsable de traitement pourra donc se pencher sur le recrutement d’un DPO en suivant l’arbre de décision suivant :

flow-chart-17

Les inquiétudes sur le recrutement des DPO

La solution de coexistence CIL / DPO a pu être évoquée en raison des inquiétudes sur la capacité à recruter des professionnels pour la fonction de DPO. Le règlement énonce le profil nécessaire pour la fonction de DPO à l’article 37 §5 « Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 39 ». Ce faisant, le règlement va plus loin que les exigences de la loi Informatique & Libertés puisqu’il mentionne le type de connaissances que doit avoir le DPO, notamment en matière juridique. La législation actuelle est plus évasive sur le sujet :

  • L’article 22 de la loi Informatique & Libertés prévoit que le correspondant est une personne « bénéficiant des qualifications requises  pour exercer ses missions. »
  • L’article 43 du décret du 20 octobre 2005 précise que le document de désignation doit obligatoirement mentionner « tout élément relatif aux qualifications ou références professionnelles du correspondant et, le cas échéant, de son préposé en rapport avec cette fonction.»

Pourtant, la formulation du RGPD est encore très large puisqu’elle n’impose aucun niveau de diplôme ou de type de certification à détenir. L’expérience professionnelle, notamment en tant qu’ex-CIL peut parfaitement permettre de répondre à la mention de « connaissances spécialisées du droit » ou de « connaissances des pratiques en matière de protection des données ». Bien loin du mouton à cinq pattes que certains ont cru y voir, il paraît réaliste de considérer que plusieurs catégories de professionnels pourront postuler comme DPO :

  • Les CIL actuels, s’ils le souhaitent et s’ils sont reconnus dans leur travail feront de très bon candidats à la fonction de DPO. Les responsables de traitement auront sans doute tout intérêt à les faire évoluer sur le poste de DPO, en prévoyant des formations de renforcement soit sur la partie juridique, soit sur la partie technique selon le profil de l’individu. Cependant, aucun automatisme ou autre clause de « grand-père » ne devrait s’appliquer pour le passage de CIL à DPO.
  • Certains professionnels techniques peuvent évoluer vers cette fonction soit parce qu’ils sont familiers des dossiers de déclaration ou d’autorisation auprès de la CNIL, soit parce que leur travail ressemble déjà par bien des aspects à celui du futur DPO. On pense ainsi aux spécialistes du contrôle interne que sont les auditeurs informatiques. Ceux-ci sont familiers de la gestion des risques et des analyses d’impact, des problématiques de sécurité physique, logique, du contrôle des accès et des modifications de données… En effet, le rôle de DPO est similaire à celui d’un auditeur qui est sensibilisé à la maîtrise des données informatiques au sens large. Il devra se concentrer sur les données dites personnelles et agir comme vecteur de préconisations, sensibilisation, formation, activités dont chaque auditeur informatique est familier. Or la confrérie des auditeurs informatiques est bien développée et encadrée depuis longtemps par l’ISACA qui délivre des certifications mondialement connues comme le CISA («Certified Information System Auditor»). Une partie de ces auditeurs pourrait sans doute assez facilement endosser le rôle de DPO en complétant leur expertise avec une formation « juridique » et l’appui des juristes spécialisés en droit informatique de l’entreprise. On rappelle que des formations juridiques de qualité sont disponibles via des organismes comme le CNAM ou le Centre audiovisuel d’études juridiques («CAVEJ»).
  • Les organismes actuels proposant des certifications facultatives pour être CIL feront vraisemblablement évoluer leurs offres pour former les DPO. Les universités proposent de plus en plus des Masters ou Diplômes Universitaires sur la protection des données personnelles, comme Paris II qui vient d’ouvrir le D.U. Data Protection Officer à la rentrée 2016. Le CNAM propose un certificat CIL qui devrait logiquement évoluer pour s’adapter au RGPD.
  • Les juristes spécialisés en droit des technologies de l’information pourraient eux-aussi être attirés par la fonction, sachant que les avocats se sont déjà intéressés à la fonction de CIL et que le RGPD prévoit la possibilité d’externaliser la fonction de DPO sans aucune limite.

Le DPO devra avoir avant tout un rôle de coordonnateur

Il faut aussi rappeler que le RGPD n’impose pas que ce soit le DPO qui réalise chacune des tâches de mise en conformité. Il devra, avant tout, s’assurer de la mise en conformité dans l’entreprise et coordonner l’ensemble des actions permettant d’atteindre les objectifs de gestion encadrée des données personnelles. Il s’agit d’un rôle transversal pour dialoguer efficacement avec les différents experts de l’entreprise. Ainsi, pour la notification des violations de données personnelles, le DPO devra travailler avec le Responsable Sécurité des Systèmes d’information de l’entité (RSSI) familier de la notion de déclaration de failles de sécurité qui lui fournira les éléments techniques de la notification. Par bien des aspects, le rôle du DPO est similaire à celui d’un chef de projet qui doit coordonner les travaux de différents acteurs pour un objectif de mise en conformité au RGPD : les juristes, le RSSI, la direction des systèmes d’information (« privacy by design » : tous les développements informatiques devront dorénavant intégrer les exigences du RGPD dès la phase de conception), la Maîtrise d’ouvrage (réalisation des études d’impact), la direction de l’audit interne, les spécialistes de l’archivage dans les administrations, la direction des achats, la direction des ressources humaines…Et, c’est justement le défi qui attend les futurs DPO : au-delà du travail parfois (souvent) solitaire du CIL actuel, ils ne pourront prendre en charge l’ensemble des actions exigées par le nouveau règlement, qu’en créant une dynamique de groupe de travail et en jouant le rôle de chef d’équipe. Ils devront aussi obtenir un budget financier et humain du responsable de traitement.

Alors, DPO or not DPO ?

Dans ces conditions, le débat sur l’obligation ou non de se doter d’un DPO peut paraître fallacieux. Certes, l’article 37 §4 précise déjà, qu’en dehors des cas de désignation obligatoire d’un DPO, les entreprises ou organismes publiques ont toute liberté pour décider de désigner un DPO. Par ailleurs, d’autres cas de nominations obligatoires pourraient être prévus par d’autres textes au niveau de l’Union européenne ou des Etats. Mais quel que soit le caractère obligatoire ou facultatif de la désignation, comment espérer atteindre le niveau de conformité requis par le RGPD si l’on ne prend pas la peine de nommer un professionnel en charge du domaine ? C’est ainsi que la dérogation citée au considérant 13 du RGPD et destinée à rassurer les petites et moyennes entreprises semble être un leurre : « Pour tenir compte de la situation particulière des micro, petites et moyennes entreprises, le présent règlement comporte une dérogation pour les organisations occupant moins de 250 employés en ce qui concerne la tenue de registres. » Comment, en effet, espérer atteindre la conformité au RGPD auquel ces entreprises restent soumises, si l’on n’a même pas de base de recensement des applicatifs et technologies utilisés ? D’ailleurs, comment savoir si l’on ne tombe pas sous le joug de l’exigence d’un DPO obligatoire sans avoir cette réflexion préliminaire ?

Un DPO, certes, mais situé où ?

Et si le vrai problème n’était pas la préoccupation sur l’avenir du CIL mais plutôt la localisation du futur DPO ? En effet, l’article 37 §2 du RGPD précise que : «Un groupe d’entreprises peut désigner un seul délégué à la protection des données à condition qu’un délégué à la protection des données soit facilement joignable à partir de chaque lieu d’établissement. » Autrement dit, là où un groupe avait peut-être désigné un CIL pour répondre aux exigences de la loi française, il pourra parfaitement le démettre de ses fonctions et nommer un seul et unique DPO pour l’ensemble de ses établissements en Europe. Avec les moyens technologiques actuels, il sera facilement joignable sans que la distance puisse être utilisée comme prétexte pour empêcher sa délocalisation. Et il sera donc assez tentant de choisir son DPO dans l’établissement situé dans le pays le moins-disant en matière de protection des données personnelles. En effet, le RGPD offre une base de conformité que chaque pays européen pourra renforcer en édictant des règles plus contraignantes dans un certain nombre de cas. Sachant que l’autorité de contrôle chef de file (le nouveau nom des CNIL européennes) sera désignée dans le pays où se trouve le lieu d’établissement principal d’un groupe européen procédant à des traitements transfrontaliers, on voit se dessiner un circuit assez complexe de résolution des demandes liées aux droits des personnes. Ainsi, par exemple, après qu’un citoyen d’un pays A ait en vain exercé son droit d’accès auprès du DPO, situé dans le pays B, du groupe européen dont l’établissement principal est situé dans le pays C, il faudra que le citoyen fasse une réclamation auprès de l’autorité de contrôle du pays A qui transférera celle-ci à l’autorité de contrôle du pays où se situe le responsable de traitement, soit le pays C (article 56 §2 du RGPD). Cette autorité de contrôle du pays C décidera de traiter le cas ou de le laisser à l’initiative de l’autorité de contrôle du pays A qui devra alors dialoguer avec le responsable du traitement situé dans le pays C et le DPO situé dans le pays B. La notion de proximité et de contexte franco-français du couple CIL/CNIL nous semblera alors bien lointaine et les postulants au titre de DPO seraient bien avisés de rajouter des atouts linguistiques à leur palette de compétences…

Tous les articles de ce blog sont la propriété exclusive de son auteur. Toute reproduction (hormis une brève citation en précisant la source et l’auteur) sans

Le droit à l’oubli numérique : leurre ou réalité ?

Le droit à l’oubli numérique : leurre ou réalité ?

Le nouveau règlement européen sur la protection des données personnelles («RGPD») est paru au journal officiel de l’Union européenne le 4 mai 2016 et entrera en application en 2018.

Il consacre le droit à l’oubli («right to be forgotten») ou droit à l’effacement des données personnelles sous la forme d’un article à part entière qui lui est consacré (art. 17). Le RGPD semble ainsi renforcer l’utilisation de ce droit, fort médiatisé depuis l’arrêt de la CJUE du 13 mai 2014 Google Spain (1). Dans cet arrêt, la CJUE établissait, entre autres, que les moteurs de recherche sont des responsables de traitement au sens de la directive européenne 95/46/CE de protection des données personnelles de 1995 et qu’ils sont donc soumis à ses exigences, incluant le droit à l’effacement des données. Celui-ci peut être mis en œuvre après analyse de l’équilibre nécessaire entre la protection de la vie privée des individus d’une part et le droit du public à accéder à ces informations et à les diffuser d’autre part.

Le droit à l’oubli est, en effet, fondamental pour le respect de la vie privée car l’information sur le web est difficile à faire disparaitre et elle peut avoir des conséquences préjudiciables pour la personne. Il ne s’agit pas de permettre d’effacer systématiquement toutes ses données ni de falsifier les archives et donc rétroagir sur le passé (syndrome des retouches de photos du régime stalinien), le nouveau règlement réservant bien entendu les cas où les données sont nécessaires à des fins historiques, statistiques ou de recherche scientifique, pour des raisons de santé publique, ou pour l’exercice du droit à la liberté d’expression. Le droit à l’oubli ne s’applique pas non plus lorsque la détention des données à caractère personnel est nécessaire pour la conclusion d’un contrat ou lorsque la loi l’exige. En dehors de ces cas, il s’agit de ne pas voir sa vie entravée par le rappel omniprésent de son passé, phénomène démultiplié par les environnements numériques.

Cependant, des critiques surgissent déjà sur le droit à l’oubli, qualifiant son apparition de phénomène cosmétique, n’apportant rien de nouveau par rapport aux dispositions de la directive de 1995, et regrettant l’occasion manquée d’aller plus loin.

On peut se demander ce qui justifie de telles critiques alors même que le RGPD prévoit explicitement plusieurs dispositions renforçant le droit à l’oubli numérique que nous allons présenter dans cet article (I). Nous verrons ensuite comment lever les doutes sur l’interprétation de ces dispositions (II).

I Les nouvelles dispositions du RGPD en matière de droit à l’oubli

Outre un article dédié au droit à l’oubli, plusieurs dispositions viennent renforcer ses effets.

A/ Un nouvel article sur le droit à l’oubli articulé avec un droit d’opposition renforcé

L’article 17 prévoit que toute personne peut obtenir d’un responsable de traitement l’effacement, dans les meilleurs délais, de données personnelles la concernant dans six cas énumérés. Rappelons que la directive 95/46/CE ne prévoyait l’effacement des données que comme un corollaire du droit d’accès à son article 12§b : «Les Etats membres garantissent à toute personne concernée le droit d’obtenir du responsable du traitement selon les cas,  rectification, effacement ou le verrouillage des données dont le traitement n’est pas conforme à la présente directive 95/46/CE, notamment en raison du caractère incomplet ou inexact des données ».

Il est donc précisé que ce droit peut désormais être exercé dans les cas où :

  1. Les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées.
  2. Le consentement était nécessaire lors de la collecte des données (ce qui vise les cas des données sensibles).
  3. La personne exerce son droit d’opposition «  pour des raisons tenant à sa situation particulière ». Le responsable de traitement doit démontrer l’existence de motifs légitimes et impérieux pour s’y opposer. La personne exerce son droit d’opposition à tout moment dans les cas de prospection et de profilage lié à celle-ci.
  4. Les données ont fait l’objet d’un traitement illicite.
  5. Elles concernent un mineur.
  6. L’effacement est prévu par une obligation légale (nouvelle loi ou décision de justice par exemple).

Cette liste de cas a pour vocation d’expliciter la définition de la politique d’effacement des données que le législateur européen veut promouvoir. Pour certains auteurs, le fait d’avoir prévu une liste limitative de cas permettant de demander l’effacement des données est une régression par rapport à l’article 12 de la directive 95/46/CE qui invoquait simplement la possibilité de demander l’effacement des données en cas de non-conformité à cette directive. Au-delà de l’intérêt de préciser les circonstances qui permettent d’utiliser ce droit, afin de sensibiliser le public aux applications concrètes dans leur vie quotidienne, il ne nous apparaît pas que le périmètre soit réduit, d’une part parce que la liste est assez exhaustive en elle-même et d’autre part, parce qu’elle prévoit l’effacement quand le droit d’opposition est mis en œuvre, droit lui-même étendu.

Le droit d’opposition en renfort du droit d’oubli

En effet, le droit d’oubli peut être invoqué comme suite du droit d’opposition détaillé à l’article 21 du RGPD. Or celui-ci a été revu et étendu. Il prévoit que « la personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement de données à caractère personnel la concernant […], y compris un profilage […]. Le responsable du traitement ne traite plus les données à caractère personnel, à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée […].» On peut considérer qu’il s’agit donc d’une inversion de preuve de la légitimité pour le droit d’opposition puisque dans la directive 95/46/CE, l’article 14 prévoyait que la personne concernée a le droit de « s’opposer à tout moment, pour des raisons prépondérantes et légitimes tenant à sa situation particulière, à ce que les données la concernant fassent l’objet d’un traitement […]. En cas d’opposition justifiée, le traitement mis en œuvre par le responsable de traitement ne peut plus porter sur ces données.» Donc anciennement, la justification légitime devait être apportée par le demandeur pour exercer son droit d’opposition, dorénavant l’accent est mis sur la justification légitime qui doit être apportée par le responsable de traitement pour refuser la demande. Autrement dit, par défaut la demande d’effacement est valable, à moins que le responsable de traitement ne trouve une raison valable pour s’y opposer. On sait que la raison légitime impérieuse la plus fréquemment utilisée est celle du respect du droit à l’information du public. Certes, ce texte ne règlera pas l’emploi peut-être abusif de cet argument par les moteurs de recherche mais il paraît, de toutes manières, illusoire d’espérer trouver une formulation juridique qui remplacerait le travail d’analyse au cas par cas fait par les tribunaux. Ce sont les exemples jurisprudentiels et le recul d’expérience qui pourront sans doute à l’avenir aider le législateur à prescrire un cadre plus normatif, si tant est que cela soit souhaitable.

 Amélioration des délais de traitement des demandes

Le considérant 59 du RGPD prévoit, par ailleurs, pour toutes les demandes relatives aux droits d’accès, de rectification, d’effacement ou d’opposition que  «Le responsable de traitement devra être tenu de répondre aux demandes émanant de la personne concernée dans les meilleurs délais et au plus tard dans un délai d’un mois et de motiver sa réponse lorsqu’il a l’intention de ne pas donner suite à de telles demandes. » Actuellement, il est prévu en France une durée de deux mois de traitement pour les demandes faites auprès du responsable du site web qui a mis en ligne les données. Quant aux moteurs de recherche, leurs procédures ne prévoient pas d’engagement de délai.

 B/ Le cas de l’effacement des données de profilage est pris en compte par le RGPD

Le cas des activités de profilage et des données personnelles collectées à ces fins est aussi traité par le RGPD. C’est d’autant plus important que la majeure partie des données personnelles nous concernant et disponibles sur le web n’est pas issue d’un dépôt conscient de données de notre part mais bien d’une traçabilité complète de l’ensemble de notre navigation sur le web. Les volumes de données en résultant sont gigantesques et représentent le nouvel Eldorado du 21eme siècle : l’Eldoradonnées.

Le considérant 71 du RGPD donne la définition du profilage : « toute forme de traitement automatisé de données à caractère personnel visant à évaluer les aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des aspects concernant le rendement au travail de la personne concernée, sa situation économique, sa santé, ses préférences ou centres d’intérêt personnels, sa fiabilité ou son comportement, ou sa localisation et ses déplacements, dès lors qu’il produit des effets juridiques concernant la personne en question ou qu’il l’affecte de façon similaire de manière significative. »

Deux cas de figure sont prévus dans le règlement :

  • Cas du profilage à des fins de prospection commerciale 

La protection est alors farouche : toute personne peut demander l’effacement de ses données sans avoir à justifier de motifs légitimes impérieux (article 17§c qui fait référence au droit d’opposition de l’article 21§2).

Concernant le profilage à des fins de prospection, on voit la force du nouveau règlement qui permet d’obtenir l’effacement des données sans justification, et évite les contorsions juridiques auxquelles se livre actuellement la CNIL pour lutter contre l’utilisation incontrôlée des données par les réseaux sociaux ou les courtiers en données. Ainsi dans sa dernière mise en demeure adressée à Facebook le 8 février 2016 (dont on attend les derniers développements avec intérêt, la réponse de la société ayant été transmise à la CNIL le 10 août dernier), elle indique que si la question de la combinaison des données personnelles en vue de la publicité est bien évoquée dans les conditions d’utilisation du réseau social, c’est insuffisant de son point de vue. La combinaison de différentes données n’est pas strictement prévue par ce « contrat » entre l’usager et le réseau social, et nécessite donc une approbation distincte de l’internaute. On note qu’elle écarte l’argument de l’intérêt légitime, en remarquant que Facebook ne pourrait s’affranchir de ce consentement explicite en arguant que l’affichage de publicité est fait dans l’intérêt de l’usager car selon elle, cet intérêt est trop faible et la collecte de données trop intrusive pour que Facebook se dispense d’un consentement.

  • Cas du profilage à d’autres  fins :

La personne peut demander l’effacement (article 17§c qui fait référence au droit d’opposition de l’article 21§1) mais le responsable de traitement peut y opposer un motif légitime impérieux. Cette notion d’intérêt légitime du responsable de traitement est éclairée au considérant 47 et peut servir de base juridique à un traitement « à moins que les intérêts ou les libertés et droits fondamentaux de la personne concernée ne prévalent, compte-tenu des attentes raisonnables des personnes concernées fondées sur leur relation avec le responsable de traitement. » Cet intérêt légitime peut être mis en avant notamment quand « la personne concernée est un client du responsable de traitement ou est à son service. » Mais « les intérêts et droits fondamentaux de la personne concernée pourraient prévaloir […] sur l’intérêt du responsable du traitement lorsque des données à caractère personnel sont traitées dans des circonstances où les personnes concernées ne s’attendent raisonnablement pas à un traitement ultérieur. » Ainsi, on peut s’attendre à ce qu’un réseau social, s’il veut pouvoir s’appuyer sur son intérêt légitime, soit obligé d’être beaucoup plus transparent sur les différents modes de traitement des données personnelles qu’il prévoit et qui sont difficiles à deviner pour l’utilisateur non-averti. Ainsi, au-delà des conditions générales d’utilisation des services que personne ne lit car libellées trop juridiquement donc peu compréhensibles pour un utilisateur lambda, il conviendrait que, lors de l’inscription à un réseau social, celui-ci informe clairement l’utilisateur des utilisations prévues de ses données, ce qui lui permettrait plus facilement ensuite de défendre son intérêt légitime.

C/ Le droit de suite du droit d’effacement

L’article 17§2 explicite aussi les responsabilités du responsable de traitement en cas  de diffusion des données à d’autres responsables de traitement. Celui-ci a l’obligation de transmettre la demande d’effacement qu’il a été contraint de mettre en œuvre, à l’ensemble des responsables de traitement qui utilisent les données concernées. Il doit le faire en prenant des « mesures raisonnables », « compte-tenu des technologies disponibles et des coûts de mise en œuvre ». Ces responsables de traitement doivent procéder à leur tour à l’effacement de toute copie ou reproduction de ces données.

Cette obligation est mieux expliquée que dans la directive. D’une part, parce qu’on passe à une obligation de diffusion par défaut du droit d’effacement dont il faudra démontrer, le cas échéant, qu’elle est déraisonnable. La directive 95/46/CE portait l’emphase sur les difficultés techniques (article 12§c) : « si cela ne s’avère pas impossible ou ne suppose pas un effort disproportionné ». D’autre part, parce que la transmission de la demande d’effacement est explicitement prévue : « le responsable de traitement […] prend des mesures raisonnables […] pour informer les responsables du traitement qui traitent ces données à caractère personnel que la personne concernée a demandé l’effacement par ces responsables du traitement de tout lien vers ces données à caractère personnel, ou de toute copie ou reproduction de celles-ci. » Auparavant, dans la directive 95/46/CE, il n’était pas précisé si les responsables de traitement « secondaires » étaient simplement informés de la demande d’effacement ou s’ils devaient eux-mêmes la mettre en œuvre.

Ceci établi, comment mettre en œuvre efficacement ce droit à la diffusion de la demande d’effacement ? Si l’éditeur du site web à l’origine de l’information est contraint d’effacer le contenu incriminé, il doit prévoir un mécanisme pour transmettre la demande d’effacement à l’ensemble des acteurs du web qui font une référence à ce contenu ou l’ont repris à leur compte. Pour cela, il peut soit supprimer ou mettre à jour la page web relative au contenu incriminé, soit bloquer l’accès au contenu en le protégeant par un mot de passe, soit utiliser des balises spéciales dans le fichier robots.txt du site (fichier placé à la racine d’un site web, et qui contient une liste des ressources du site qui ne sont pas censées être indexées par les robots d’indexation des moteurs de recherche). Ainsi, lors des mises à jour des liens de référencement, les contenus concernés ne seraient plus repris. Cela paraît une solution efficace pour les moteurs de recherche. Par contre, le fichier robots.txt étant lisible par n’importe quelle personne, il ne faudrait pas que les URL référencées soient trop explicites (certaines contiennent le nom de la personne et le titre du scandale), afin d’éviter que la demande d’effacement ne soit rendue publique, ce qui pourrait provoquer le contraire de l’effet recherché (« effet Streisand »). Une idée pourrait être d’anonymiser les libellés des URL en utilisant une fonction de hachage, mais cela demandera une évolution du fonctionnement des moteurs de recherche.

Au-delà des moteurs de recherche, tout site web relatant le contenu incriminé devrait être mis à jour. Pour cela, on pourrait imaginer que les éditeurs aient l’obligation de vérifier périodiquement que les liens de référencement qu’ils utilisent n’ont pas été « blacklistés ». Si c’est le cas, non seulement le lien devrait être supprimé mais le contenu qui a été repris par le site web devrait aussi être effacé ou mis à jour. Encore une fois, des évolutions seront nécessaires car cette veille sur la pertinence des liens référencés n’existe pas actuellement.

D/ L’apparition d’un nouveau droit complémentaire : le droit à la limitation du traitement

A ceci, s’ajoute le nouveau droit à la limitation du traitement (article 18). Dans sa définition à l’article 4, il est indiqué qu’il s’agit du « marquage de données à caractère personnel conservées, en vue de limiter leur traitement futur ». Comme le considérant 67 l’explicite plus simplement, ce droit permet d’obtenir la suspension de l’utilisation des données par le responsable de traitement. Sur le web, cela se traduit par la désactivation temporaire de l’accès aux données. Cette disposition est prévue pendant le temps nécessaire à la vérification de la demande de la personne, dans les cas suivants :

  • inexactitude des données,
  • traitement illicite,
  • le responsable de traitement n’a plus besoin des données mais celles-ci sont encore nécessaires à la personne concernée pour la constatation, l’exercice ou la défense de droits en justice,
  • exercice du droit d’opposition, le temps que le responsable de traitement vérifie si ses motifs légitimes et impérieux prévalent sur ceux de la personne concernée.

Concrètement, on peut interpréter ce droit comme une possibilité d’obtenir la suspension temporaire de l’accès à ses données, dès qu’on a formulé une demande d’effacement, pendant la durée du processus de traitement de la demande, et même si celle-ci sera finalement refusée. Le considérant 67 donne plusieurs indications des mesures techniques qui pourraient être prises à ces fins. Cette disposition est redoutablement efficace pour la personne qui utilise le droit d’effacement pour une raison valable et n’a pas ainsi à supporter un délai d’attente qui peut paraître très long dans certaines situations, même si le RGPD le limite désormais à un mois.

Cette nouvelle disposition aussi intéressante soit-elle pour la personne qui l’exerce à bon escient, risque d’occasionner un certain nombre d’abus. En effet, alors qu’aujourd’hui on constate une majorité de refus de demandes de déréférencement  de la part des moteurs de recherche, il faudrait pourtant désormais qu’ils commencent par accepter la limitation du traitement pour chaque demande. Il serait en effet étonnant que les utilisateurs ne se saisissent pas de l’occasion de faire cesser immédiatement le tort dont ils pensent être la victime. On voit bien les atteintes à la liberté d’expression qui pourraient en découler quand la demande concerne le site éditeur à l’origine de l’information…Mais on peut aussi considérer que cette disposition aura un effet positif et que les demandes seront traitées dans un délai extrêmement court, afin d’écarter les demandes abusives et de rétablir l’accès à l’information… A quel coût ?

E/ Durée de conservation

Le RGPD prévoit une nouvelle obligation concernant les délais de conservation des données. Désormais le responsable de traitement devra indiquer la durée prévue de conservation des données lors de la collecte des données (article 13). Ceci contribue aussi à la sensibilisation des différentes parties à la notion d’oubli numérique.

Les détracteurs du droit à l’oubli du RGPD utilisent d’ailleurs l’argument de la notion de délai de conservation pour démontrer que le nouveau règlement n’apporte rien de neuf. Certes la notion de définition de durée de conservation des données par le responsable de traitement existe depuis 1978 en France et a été codifiée dans la directive 95/46/CE, imposant de facto le droit à faire disparaître les données au-delà d’un certain délai. Mais cette disposition n’apparaissait que comme un corollaire de la définition de la durée de conservation de la même manière que le droit d’effacement n’était prévu que comme corollaire du droit d’accès.

Le nouveau règlement distingue les différentes notions : droit d’accès, durée de conservation, droit d’oubli qui peuvent donc être invoqués indépendamment les uns des autres.

F/ Des pénalités financières très dissuasives

Enfin, quelle que soit l’interprétation des nouvelles dispositions du droit à l’oubli, un élément important vient s’ajouter en sa faveur : celui du montant des amendes désormais prévues dans le nouveau règlement. L’article 83§5 sanctionne le non-respect des droits dont bénéficient les personnes en vertu des articles 12 à 22, d’une amende administrative plafonnée à 20 millions d’euros ou pour les entreprises, jusqu’à 4% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. En cas de doute, il est fort probable qu’un responsable de traitement hésitera à risquer de telles sommes alors même que la simple suppression du contenu incriminé ne lui fait courir aucun risque ni perdre aucune énergie en défense juridique. Les détracteurs du droit à l’oubli s’interrogent ainsi sur la liberté d’expression et le rôle de censeur que risquent de jouer les intermédiaires internet soumis à une telle pression financière. Le jour où de tels montants d’amendes seront réellement appliqués peut paraître cependant encore lointain, quand on voit que l’autorité française, la CNIL, a toujours utilisé avec parcimonie son propre pouvoir de sanction financière, certes peu dissuasif puisque limité à des amendes de 150 000€, doublées en cas de récidive. Mais vu la guerre économique actuelle entre Europe et Etats-Unis, nul doute que ce nouvelles dispositions pourraient s’avérer fort utiles.

Ainsi, on le voit, le nouveau règlement européen de protection des données personnelles prévoit une série de dispositions précises et détaillées pour mettre en œuvre le droit à l’oubli. Cependant, pour certains observateurs, celles-ci ne sont pas suffisamment explicites vis-à-vis des intermédiaires internet et manquent donc ainsi leur objectif principal qui serait de contrôler l’utilisation des données personnelles par les  intermédiaires internet.

II Les doutes sur l’applicabilité du droit à l’oubli sont-ils fondés ?

On se rappelle que l’arrêt de la CJUE de 2014 avait déclenché la panique des partisans de la liberté d’expression sur le net. On vient de voir que les dispositions du nouveau règlement viennent renforcer encore le domaine du droit à l’oubli. Pourtant des voix s’élèvent ici et là pour dénoncer la médiocrité du nouveau règlement à ce sujet et y voir le triomphe des lobbies des intermédiaires internet.

A/ Quid de la responsabilité des moteurs de recherche en matière de droit à l’oubli ?

Certains auteurs critiquent l’absence de mention explicite de l’assimilation des moteurs de recherche à des responsables de traitement dans le RGPD. Encore une fois, la vocation du règlement étant de rester d’actualité le plus longtemps possible, il paraît inopportun de citer des catégories de responsables de traitement, ce qui pourrait se révéler restrictif dans le futur et empêcher d’y inclure de nouveaux acteurs (par exemple l’internet des objets connectés). D’ailleurs, les moteurs de recherche sont loin d’être les seuls à référencer du contenu puisque tous les sites web par essence peuvent comporter des liens vers d’autres sites.

D’autre part, il paraît difficile d’imaginer que la jurisprudence de la CJUE dans l’affaire Google Spain de mai 2014 puisse être remise en cause sur ce point : si un moteur de recherche a pu être considéré comme étant à l’évidence un responsable de traitement selon les dispositions de la directive 95/46/CE, rien dans le règlement ne devrait permettre de faire marcher arrière. Les définitions qui avaient permis d’étayer la démonstration de la CJUE sur ce sujet n’ont pas varié dans le RGPD et permettent toujours de considérer comme traitement les activités des moteurs de recherche qui se distinguent des et s’ajoutent à celui des éditeurs de site web et affectent de manière additionnelle les droits fondamentaux de la personne concernée.

Le seul changement de définition (pour les termes « traitement de données » et « responsable de traitement » correspond à l’ajout du terme « structuration de données » (art 4§2) dans la définition d’un traitement des données, ce qui concerne entre autres les moteurs de recherche.

Par ailleurs, contrairement à une opinion largement répandue, il n’est pas prouvé que jusqu’à l’arrêt de la CJUE de mai 2014, il était impossible de considérer les moteurs de recherche comme des responsables de traitement au sens de la directive 95/46/CE. En effet, si l’on examine le document d’interprétation de référence du Groupe de travail « Article 29 » sur la protection des données : l’Avis 1/2008 sur les aspects de la protection des données liés aux moteurs de recherche adopté le 4 avril 2008, on peut lire en conclusion : « À cet effet, il convient de bien distinguer les deux principaux rôles des fournisseurs de moteurs de recherche. Dans le premier, celui de responsables du traitement des données d’utilisateur (comme les adresses IP qu’ils collectent auprès des utilisateurs et leur historique de recherche propre), ils doivent être tenus pour entièrement responsables au titre de la directive sur la protection des données. Dans le second, celui de fournisseurs de données de contenu (comme les données de l’index), en général ils ne doivent pas être considérés comme les principaux responsables, au regard de la législation européenne protégeant les données, des données à caractère personnel qu’ils traitent. Les exceptions sont l’existence d’une mémoire cache à long terme et les opérations à valeur ajoutée effectuées sur les données à caractère personnel (comme les moteurs de recherche destinés à établir des profils de personnes physiques). Lorsqu’ils fournissent ce genre de services, les moteurs de recherche doivent être tenus pour entièrement responsables au titre de la directive sur la protection des données, et ils doivent respecter toutes les dispositions applicables en la matière. »  Plutôt qu’une restriction sur la possibilité de considérer les moteurs de recherche comme des responsables de traitement au sens de la directive 95/46/CE, cet avis démontre que la plupart des grands fournisseurs mondiaux de moteurs de recherche peuvent être considérés comme tel puisqu’ils sont effectivement concernés par les exceptions soulevées et qui représentent le cœur de leur modèle économique. D’ailleurs l’avis précisait aussi que dans certains États membres de l’UE, les autorités de protection des données avaient déjà spécifiquement réglementé l’obligation des fournisseurs de moteurs de recherche de retirer des données de contenu de l’index de recherche, sur la base du droit d’opposition consacré à l’article 14 de la directive sur la protection des données (95/46/CE).

Il nous apparaît donc que le déréférencement est une modalité établie de la mise en œuvre du droit à l’oubli qui s’applique aux moteurs de recherche.

B/ Déréférencement versus droit à l’oubli ?

Une autre critique concerne le fait l’absence de mention formelle du terme « droit au déréférencement » dans  le nouveau règlement. Pourtant les termes « effacement de liens » sont cités textuellement à l’article 17. Par ailleurs, le déréférencement, consistant en l’effacement de liens pointant sur une source primaire d’informations, est l’un des moyens permettant de mettre en œuvre le droit à l’oubli, autrement dit un outil technique qu’il ne paraît pas opportun de faire apparaître dans un règlement européen.

Donc, pour obtenir l’effacement de ses données personnelles, on peut :

  • soit s’adresser au site web qui les a initialement utilisées et publiées : le responsable de traitement primaire. Si la demande est valable, le responsable du site web éditeur a la responsabilité de supprimer le contenu incriminé ou de le mettre à jour (article 17§1). De plus, il doit prévoir un dispositif technique pour transmettre aux autres responsables de traitement la requête d’effacement des données ou des liens vers ces données, soit l’obligation de déréférencer (article 17§2). C’est bien entendu, la méthode la plus efficace pour la personne concernée puisqu’elle n’a pas à contacter tous les utilisateurs de ses données. Une chaîne automatique d’effacement devra se propager sur le web.
  • soit s’adresser aux différents responsables de traitement secondaires (moteurs de recherche ou éditeurs d’autres sites web qui ont repris l’information) pour qu’ils effacent la copie ou reproduction des données ou des liens permettant de revenir à la source primaire. Ceux-ci sont, en effet, des responsables de traitement à part entière, qui sont donc contactés au titre de l’article 17§1 et non par effet du droit de suite du droit d’effacement.
  • soit enfin faire les deux demandes en parallèle.

Dans le premier cas, les données seront définitivement effacées si la demande est acceptée mais pourront rester visibles pendant plusieurs mois via les moteurs de recherche, le temps qu’ils mettent à jour leurs liens.

Dans le deuxième cas, elles resteront accessibles sur le site d’origine, que ce soit à partir d’autres requêtes que celles de votre nom, ou par le biais d’autres moteurs de recherche auxquels on ne s’est pas adressé ou d’autres sites web reprenant l’information. Mais si l’on s’adresse aux principaux moteurs de recherche du web, cela permet d’obtenir un résultat très efficace.

Ceci est possible car même si le responsable de traitement primaire a pu objecter adéquatement à  la demande, nul n’empêche la personne concernée de diriger sa demande vers les responsables de traitement secondaires qui ne pourront peut-être pas opposer le même type d’objections et seront obligés de supprimer les données concernées et donc dans le cas des moteurs de recherche, de supprimer les liens avec la source primaire. Comme la jurisprudence de la CJUE de mai 2014 sur le droit au déréférencement l’a établi, il est en effet valable de demander un déréférencement à un moteur de recherche alors même que la demande d’effacement des données publiées par la source primaire n’est pas agréée car contraire au droit d’information. En effet, même si la publication initiale est licite et doit être préservée, l’intérêt légitime justifiant le traitement par le moteur de recherche n’est pas forcément le même. Or l’accessibilité et la diffusion des informations par le moteur de recherche sont susceptibles de constituer une ingérence plus importante dans le droit fondamental au respect de la vie privée de la personne que la publication par l’éditeur sur une page web, publication rapidement reléguée dans les archives du site.

Le nouveau règlement s’applique désormais explicitement de manière extra-territoriale  (article 3). Il s’applique aux données personnelles des citoyens européens quelles que soient la localisation du responsable de traitement ou de son sous-traitant. On peut en déduire que les données doivent donc être protégées de manière uniforme indépendamment des modalités pour y accéder, notamment l’endroit géographique depuis lequel on y accède. C’est le sens du combat que livre la CNIL depuis 2015 contre Google, en exigeant que le déréférencement soit effectif quelle que soit l’extension géographique du moteur de recherche utilisé. L’universalité du traitement de données que procure un moteur de recherche impose ce déréférencement universel pour qu’il soit réellement efficace.

On peut même se demander si le règlement ne permet pas d’aller encore plus loin que l’apport de l’arrêt de 2014 : en effet, l’article 17§2 indique « informer les responsables du traitement  qui traitent les données à caractère personnel que la personne concernée a demandé l’effacement par ces responsables du traitement de tout lien vers ces données à caractère personnel ». Il n’est pas précisé que c’est uniquement la recherche avec l’identité de la personne (nom-prénom) qui ne doit plus ramener le ou les liens vers le contenu concerné. Bien sûr, la recherche par l’identité est la plus banale mais une fois que le droit au déréférencement sera devenu commun, ne voudra-t-on pas aller plus loin ? En poussant le raisonnement, le RGPD ne permet-il pas d’obtenir l’effacement de liens obtenus par recherche avec des mots-clés spécifiques au contenu ? Par exemple, si le nom de la personne est associé à un scandale X survenu à la date Y dans le lieu Z, ne faudrait-il pas prévoir de supprimer les liens relatifs à ces trois mots-clés ? On imagine aisément la difficulté de l’exercice….mais la formulation du règlement est suffisamment large pour que cela ne soit pas exclu…

C/ Quid de la responsabilité des fournisseurs de réseaux sociaux en matière de droit à l’oubli ?

La vraie question concerne les intermédiaires internet que sont les réseaux sociaux. Comme il n’y a pas encore eu de jugement de la CJUE du même type que celui concernant les moteurs de recherche, les interprétations de leur soumission au RGPD sont encore diverses et variées. Ceci peut paraître étonnant puisqu’à l’évidence, un réseau social comme Facebook prend déjà la peine d’essayer de se conformer avec la directive 95/46/CE actuelle. Ainsi, même si les outils qu’il déploie sont décriés pour leur incomplétude ou la difficulté de mise en œuvre, ils permettent déjà par exemple, d’effacer un compte complet ou d’effacer certaines des données de son compte. Et c’est parce qu’ils sont à l’évidence soumis aux exigences de la directive 95/46/CE que la CNIL a pu leur émettre une mise en demeure pour manquements à  certaines de ces exigences en  janvier 2016. D’ailleurs, si les moteurs de recherche sont considérés comme des responsables de traitement parce qu’ils enregistrent les données, les organisent dans le cadre de leurs programmes d’indexation, les conservent sur leurs serveurs et les mettent à disposition des utilisateurs sous la forme de listes de résultats de recherches, on voit difficilement comment les réseaux sociaux pourraient y échapper. Eux-aussi enregistrent des données, les organisent, les présentent sous différents formats et gèrent aussi bien des données personnelles que non personnelles.

Les particularités des réseaux sociaux :

Cependant, il est vrai qu’en raison de leur essence même, les réseaux sociaux posent un vrai problème en permettant la manipulation des données par une multiplicité d’intervenants. On dénombre, en effet, plusieurs catégories de données personnelles concernant une personne A sur les réseaux sociaux :

  • Celles déposées et publiées par la personne A : certaines sont obligatoirement publiques parce que la configuration du réseau le prévoit (ex : photo du profil) et d’autres sont publiques par défaut mais l’utilisateur peut les rendre privées pour un groupe restreint (ce qui n’est pas toujours facile à configurer, notamment la visibilité par défaut de nos publications par les « amis » de nos « amis »).
  • Celles publiées par d’autres personnes (par exemple lorsqu’elles publient une photo de la personne A).
  • Celles générées par les réseaux sociaux à partir de l’activité de A sur les réseaux ou d’autres sites (traçage de la navigation grâce à l’installation de cookies permettant, entre autres, de cibler la publicité qui apparaît sur le réseau social). La personne est le plus souvent inconsciente de cette accumulation de données la concernant, sauf quand le ciblage publicitaire est particulièrement évident (ex : je viens de faire une recherche sur un lieu de vacances, le réseau social m’inonde de publicités d’hôtels ou de vols pour cette destination dans les minutes qui suivent). Remarque : un moyen d’y échapper est d’utiliser le mode de navigation privé de son navigateur internet pour désactiver le suivi de traces.

 Effacer ses données personnelles, oui, mais qui en est maître ?

Ainsi, autant le droit à l’effacement de ses propres données qu’on a soi-même déposées sur son compte social se conçoit et est déjà possible en pratique, autant propager ces suppressions sur les autres comptes d’utilisateurs pose problème ainsi que contrôler l’ensemble des posts relatifs à sa personne, sans compter l’absence de maîtrise de la collecte de ses données de navigation.

En effet, si la suppression d’une publication de son compte se propage automatiquement dans les comptes amis même s’ils avaient aimé, partagé ou commenté le post, il n’en est pas de même si l’ « ami » a repris à son compte la publication, c’est-à-dire s’il a repris la photo et l’a publiée sans lien avec la publication d’origine. Ou plus simplement, si un « ami » a fait une publication concernant une autre personne. Quelle est alors la responsabilité du réseau social ? L’option de suppression d’autorité d’un contenu déposé par une personne B à la demande d’une personne A paraît à exclure tant elle met en cause la liberté d’expression, sauf dans les cas abusifs punis pénalement.

Dans la logique de la directive 95/46/CE de 1995, on a pu imaginer que tout utilisateur d’un réseau social devenait lui-même responsable de traitement des données qu’il collectait, qu’il enregistrait et qu’il utilisait (publication sur le réseau), qu’il s’agisse de ses propres données ou de celles d’autrui, et donc qu’à ce titre il était soumis aux exigences de protection des données personnelles. En effet, si le considérant 12 de la directive excluait déjà les traitements de données réalisés dans le cadre d’activités personnelles, il ne citait que la correspondance et la tenue de répertoire d’adresses, activités sans commune mesure avec l’activité sur un réseau social. C’était la thèse développée par le Dr Rebecca Wong dans un excellent article de 2008 intitulé « Social Networking : Anybody is a Data Controller ». Il semble cependant que cette idée n’ait pas prospéré et que les actions en diffamation aient été privilégiées par les plaignants, plutôt que les plaintes pour non-respect des exigences de la directive 95/46/CE.

Dans le RGPD, cette idée semble définitivement écartée puisque le considérant 18 mentionne que « le présent règlement ne s’applique pas aux traitements de données à caractère personnel effectués par une personne physique au cours d’activités strictement personnelles ou domestiques, et donc sans lien avec une activité professionnelle ou commerciale. Les activités personnelles ou domestiques pourraient inclure l’échange de correspondance et la tenue d’un carnet d’adresses, ou l’utilisation de réseaux sociaux et les activités en ligne qui ont lieu dans le cadre de ces activités. » Donc l’utilisateur de réseaux sociaux ne peut être assimilé à un responsable de traitement au sens du RGPD. L’article 2 du règlement indique aussi que « Le présent règlement ne s’applique pas au traitement de données à caractère personnel effectué par une personne physique dans le cadre d’une activité strictement personnelle ou domestique« .

Les réseaux sociaux sont des responsables de traitement au sens du RGPD dans leur relation avec chaque utilisateur, pas entre utilisateurs 

Le considérant 18 poursuit en indiquant : « Toutefois, le présent règlement s’applique aux responsables de traitement ou aux sous-traitants qui fournissent les moyens de traiter des données à caractère personnel pour de telles activités personnelles ou domestiques. »

Ce faisant, ce considérant reprend donc l’ancien considérant 12 de la directive 95/46/CE en le renforçant significativement puisque ce dernier ne mentionnait pas le cas des réseaux sociaux (ils n’existaient pas en 1995) et ne prévoyait donc pas le cas de responsabilité des réseaux en tant que responsables de traitement…

Ceci apporte donc une réponse formelle aux interrogations de certains sur la soumission des fournisseurs de réseaux sociaux au RGPD. La nouvelle réglementation doit être interprétée à la lumière de ses considérants qui prévoient explicitement le cas des réseaux sociaux. Dans le cas qui nous intéresse ici, à savoir le droit à l’oubli, ceux-ci ont donc la responsabilité de mettre en œuvre un mécanisme adéquat pour répondre à la demande d’une personne A de suppression de ses données personnelles qu’elle les aient déposées volontairement ou non (traçabilité des activités de navigation).

Par contre, le problème se pose concernant les données personnelles d’une personne A publiées par un autre utilisateur B sur un réseau social. Celui-ci étant une personne physique, il ne sera donc pas soumis au RGPD (les autres tiers, personnes morales partenaires du réseau social sont bien entendu concernés par le droit de suite du droit d’effacement). Cet utilisateur B reste cependant soumis aux exigences du droit à l’image et au respect de la vie privée, comme actuellement. C’est pourquoi, les réseaux sociaux prennent déjà des mesures pour répondre aux demandes de suppression de données personnelles utilisées abusivement par des tiers : signalement de contenus abusifs, haineux, diffamatoires, injurieux ou contraires aux standards de la communauté, signalement d’infractions à la vie privée et droit à l’image, cas de harcèlement, informations concernant des mineurs et possibilité de faire un retrait d’identification sur les photos.

Ainsi, en dehors de ces cas prévus et détaillés dans les conditions d’utilisation du service, il paraît difficile actuellement de faire supprimer des données personnelles utilisées de manière non abusive par un tiers, simplement parce qu’elles nous gênent.

Le RGPD a donc pour but de protéger l’exploitation des données personnelles par les entreprises ou les organisations publiques. Il n’a pas vocation à gérer les relations entre particuliers. Donc le réseau social doit être considéré comme un responsable de traitement soumis au RGPD dans son lien individuel avec chaque personne utilisatrice de ses services, mais pas comme tel dans les liens entre les personnes utilisatrices. Et celles-ci œuvrant dans le cadre d’une activité personnelle ne peuvent être assujetties aux exigences du RGPD.

Alors, comment aller plus loin pour se protéger de l’utilisation de ses données personnelles par d’autres utilisateurs de réseaux sociaux ?

Il serait souhaitable que les réseaux sociaux jouent un rôle de sensibilisation à la protection des données personnelles. Ainsi, ils pourraient prévoir une fonctionnalité formelle de demande de suppression de données personnelles entre utilisateurs, incitant le tiers à retirer le contenu indésirable, par crainte d’éventuelles suites judiciaires. Il pourrait aussi s’agir de mettre en place des mesures incitatives pour les utilisateurs les plus signalés qui ne répondent pas aux demandes de suppression, en les bannissant de manière temporaire du réseau. Ceci ne va évidemment pas dans le sens de l’intérêt légitime des réseaux sociaux et peut de toutes manières faire aussi l’objet d’abus.

Mais au fond, on peut se demander si le réel problème se situe au niveau des informations publiées par les tiers. En dehors des cas abusifs qui peuvent souvent faire l’objet d’une procédure de signalement, et en dehors des données collectées à des fins de profilage qui sont désormais encadrées par le RGPD, toute personne n’a-t-elle pas intérêt à nettoyer d’abord son compte des données qu’elle a elle-même enregistrées et publiées, et qui dans bien des cas sont celles qui lui font le plus tort? Pour cela, des outils existent déjà, qui lui permettent d’accéder à son historique d’actions et de supprimer tout ou partie des données. Si la confidentialité du compte est bien paramétrée, l’utilisateur ne diffuse qu’à destination de ses amis. En personnalisant davantage cette diffusion, on peut la restreindre et empêcher que les « amis » d’ « amis » aient accès à ses publications. On peut aussi empêcher que son compte soit disponible depuis un moteur de recherche.

De cette analyse, il nous apparaît que le nouveau règlement européen sur la protection des données personnelles représente une avancée importante sur le droit à l’oubli numérique, consolidant les apports de la jurisprudence de la CJUE de mai 2014 et proposant de nouvelles possibilités sur les données personnelles des citoyens européens. Cependant, au-delà des textes législatifs qui auront toujours un peu de retard par rapport aux innovations technologiques, il est grand temps d’adapter l’éducation des citoyens à ces nouveaux défis numériques. L’apprentissage des outils pour gérer ses données personnelles devrait faire l’objet de cours dispensés dans le cursus scolaire le plus tôt possible afin de traiter le problème à la source et donner aux enfants des réflexes de survie en environnement numérique. Dans ce domaine, comme ailleurs, prévenir vaut toujours mieux que guérir et le droit à l’oubli numérique devrait sans doute commencer par s’oublier un peu soi-même.

 

(1) CJUE du 13 mai 2014 Google Spain SL et Google Inc. contre Agencia Española de Protección de Datos (AEPD) et Mario Costeja González – affaire C-131/12

 

Tous les articles de ce blog sont la propriété exclusive de son auteur. Toute reproduction (hormis une brève citation en précisant la source et l’auteur) sans l’autorisation expresse de l’auteur est interdite.