la reprise

Navigate back to the homepage

RGPD, CNIL, qui protège nos données et comment?

Judith Rochfeld, Théo Lamballe
7 minutes de lecture

La Reprise a interviewé Judith Rochfeld, Professeure des Universités et Directrice du Master 2 Droit du commerce électronique et de l’économie numérique (Université Paris I Panthéon-Sorbonne).

1. Quel est le rôle de la CNIL ?

La CNIL, Commission Nationale de l’Informatique et des Libertés, est une autorité administrative indépendante du gouvernement. Elle existe depuis 1978 et la loi « Informatique et Libertés ». Ce texte a été voté en réaction à un projet de l’État d’interconnecter les quatre fichiers existant alors, et de la crainte d’une surveillance exhaustive et massive de la population française. La CNIL a pour mission de contrôler la mise en œuvre des textes relatifs à la protection des données à caractère personnel : la loi française du 6 janvier 1978 - plusieurs fois remaniée depuis - et le règlement européen général de protection des données à caractère personnel du 27 avril 2016 ou RGPD.

La CNIL endosse également une mission de conseil des professionnels, de réception des plaintes des particuliers, de formalisation de bonnes pratiques, etc…

Depuis que l’ensemble de nos vies est « dataifié », c’est-à-dire mis en données, la CNIL a un rôle déterminant de gardienne des libertés numériques. On peut en effet tout connaître d’une personne dès qu’elle a une quelconque activité sur internet, un smartphone, des objets connectées, bientôt des voitures autonomes (quand elle organise une livraison, fait une recherche sur un moteur, se déplace avec un téléphone, etc.) Nous disséminons nos données personnelles consciemment ou inconsciemment, souvent sur les services dits « gratuits » (réseau social, moteur de recherche, etc.). Nous alimentons ainsi un marché « bi-face » très lucratif, les informations nous concernant étant monétisées auprès de régies publicitaires et d’annonceurs, avides de connaître et d’anticiper nos goûts et intérêts et d’organiser une publicité ciblée. Quand vous utilisez le moteur de recherche de Google, par exemple, l’entreprise collecte les mots-clés utilisés, le temps mis pour cliquer sur un lien, la vitesse de lecture, les intérêts manifestés, etc. Ces données participent à la construction de profils qui permettent de vous cibler pour l’envoi de publicité et nourrissent aussi en informations des intelligences artificielles.

La CNIL est sous dotée, en moyens et en personnel pour exercer pleinement son rôle et, ce, malgré ses réclamations répétées.

2. Qu’est-ce que le RGPD?

Voté en avril 2016 et entré en application le 25 mai 2018, c’est un texte européen éminemment important. Auparavant il existait une directive européenne de 1995 cherchant à concilier la protection des personnes et la libre circulation des données. Le RGPD se veut beaucoup plus unificateur et plus protecteur des personnes que le texte antécédent. On a parlé d’ « empouvoirment » des individus vis-à-vis de leurs données, d’une plus grande « autonomie informationnelle » du fait de nouveaux droits qu’il a promus ou de leur renforcement (droit à la portabilité des données par exemple, c’est-à-dire de les transférer d’un opérateur à un autre). L’adoption de ce texte a été très mouvementée et plusieurs fois bloquée par de forts intérêts antagonistes (c’est un euphémisme en ce qui concerne l’opposition des grandes plateformes !). Désormais, le RGPD est devenu une sorte de standard mondial.

La CNIL est l’autorité française compétente pour assurer son application, en lien avec les autorités de contrôle des autres pays membres. Elle applique également la loi française « Informatique et Libertés » (qui demeure en vigueur et particularise certaines règles). Elle reçoit les plaintes et décide des sanctions en cas de non-respect. Celles-ci composent d’ailleurs l’une des grandes nouveautés du RGPD au sens où elles ont été considérablement alourdies. Une entreprise ou une administration qui ne respectait pas le droit des données risquait en France 150 000 euros par le passé (300 000 en cas de répétition) ; elle encourt aujourd’hui une sanction de 4% de son chiffre d’affaires mondial (ce qui, pour un GAFA, peut s’élever à des milliards) ou 20 millions d’euros.

Reste qu’il faut appliquer ce texte et ses sanctions, faire valoir ces droits…

3. On entend beaucoup parler de l’application Stop Covid pour tracer les personnes contaminées. Est-elle conforme au droit européen ?

La CNIL s’est prononcée dès le 25 mai, avant le vote du Parlement, pour en admettre la licéité. Il reste que c’est un choix démocratique de première importance tant ce type d’applications renvoie à la crainte qui fût à l’origine de la protection des données à caractère personnel, à savoir celle d’une surveillance massive d’une population. Précisément, StopCovid est un projet d’application sur smartphone, qui consiste à faire communiquer les appareils par le Bluetooth (de machine à machine) et à enregistrer par ce biais tous les contacts d’une personne (la portée du Bluetooth est assez importante et le téléphone de chacun enregistrerait les téléphones à proximité). Elle chiffrera les identifiants des téléphones. Dès que quelqu’un sera infecté, il sera enregistré sous un identifiant dans un fichier « SI-DEP » et, via l’application, on enverra une alerte à toutes les personnes « contacts » des 15 jours précédant la découverte de l’infection.

Il s’agit d’un projet français, les pays européens étant partis en ordre dispersé sur cette question. L’Allemagne, pourtant très regardante sur sa souveraineté numérique et la protection des données (elle a été la première, en 1983, à introniser un droit fondamental à l’« autonomie informationnelle »), s’est alliée à Google et Apple pour effectuer ce type de traçage.

Même si la validité de StopCovid est admise — à titre provisoire néanmoins, pour le temps de la crise et les 6 mois suivants —, l’application n’en soulève pas moins d’épineuses questions. Sera-t-on véritablement « libre » (comme l’exige le RGPD) de télécharger l’application si votre employeur ou vos voisins vous le demandent avec insistance ? StopCovid est censée être « anonymisante » (ou plus exactement pseudonymisante, c’est-à-dire qu’on remplace les personnes par un identifiant unique) mais quid lorsque chacun parviendra à déduire par recoupement, dans son cercle familial ou de travail, qu’un proche ou un collègue est infecté ? Cela, direz-vous, ne portera pas à conséquence, cette information n’étant pas un facteur de discrimination. Pourtant, les cas de stigmatisation des infirmiers/ières par des voisins pendant le confinement, ou encore l’homophobie née en Corée du Sud suite à la découverte, via un type d’application voisin, que des personnes fréquentant des boîtes gays avaient eu de nombreux contacts avec des personnes infectées, sont là pour attester qu’on n’est jamais à l’abri de discriminations. Enfin, l’efficacité même de ce type de traçage est discutée ; or, pour atteindre un droit fondamental — tel que celui au respect de ses données —, il faut, dans une appréciation de nécessité et de proportionnalité, bien établir l’utilité.

StopCovid, fichiers de données de santé, une inquiétude pour la vie privée mais quelle utilité pour la science ? Extrait de notre entretien avec Jean-Claude Desenclos, directeur scientifique de Santé Publique France

De par la nécessaire protection des droits des personnes, la collecte de données à caractère personnel doit être justifiée du point de vue de l’intérêt général (protection de la santé de la population…). En l’absence de justification on ne doit pas les collecter car elle ne sont pas d’intérêt général. Pour une Agence de santé publique il faut qu’elles soient utiles à l’action publique, ce qu’il faut pouvoir justifier. Par ailleurs se pose la question de leur durée de conservation. Quand on fait une investigation pour une épidémie de salmonella par exemple, où l’on doit interroger les parents d’enfants infectés pour trouver une cause, un aliment, on a absolument besoin des données personnelles : identité, téléphone, etc. Il faut pouvoir les rappeler, et on garde ces informations de manière la plus sécurisée possible telle que définie dans le RGPD un an après la fin de l’investigation parce qu’on peut en avoir besoin. Mais on ne les garde que le temps raisonnablement nécessaire, puis on les anonymise en détruisant les identités.

Le principe c’est que quand on n’a plus besoin de l’identification de la personne, les données identifiantes doivent être supprimées, c’est le droit à l’oubli. Dans SI-DEP on collecte des informations sur les cas, sur leurs contacts également, qui majoritairement ne feront pas la maladie, et donc il est légitime de détruire l’identité des personnes au bout d’un temps raisonnable (fixé à 3 mois par la loi). On comprend qu’il faille le faire, c’est nécessaire.

Enfin ces données-là, une fois pseudonymisée, peuvent être utilisées à nouveau dans le cadre de protocoles de recherche, mais il faut alors faire une demande au Comité d’Expertise pour les Recherches, les Etudes et les Evaluations dans le domaine de la Santé et la justifier. En l’occurrence, la base de données SI-DEP est extrêmement scrutée par le Parlement et la CNIL.

4. La CNIL représente-t-elle la dernière digue pour protéger les données individuelles ?

Les tribunaux peuvent également avoir à connaître de ce type de questions. Le Conseil d’État, la plus haute juridiction traitant de l’action administrative, a vocation à intervenir en dernier ressort en cas de contestation d’une délibération de la CNIL. Par ailleurs, le droit au respect des données à caractère personnel s’intègre dans le droit au respect de la vie privée en France, constitutionnellement protégé, et son respect peut donc être soumis à contrôle du Conseil constitutionnel. Enfin, la protection des données personnelles est un droit fondamental reconnu par la Charte des droits fondamentaux de l’Union européenne. De façon générale, la Cour de justice de l’Union européenne est compétente pour faire respecter ce droit et je dirais même que c’est elle qui s’est montrée la plus protectrice en la matière ces dernières années.

5. Dans le cas où Microsoft et Apple seraient choisis pour héberger les données de Santé, la CNIL aurait-elle un pouvoir suffisant pour contre balancer celui d’une entreprise aussi puissante ?

La question est de pleine actualité. Un arrêté du Ministre de la Santé le 21 avril dernier incite les hôpitaux et centres de recherche à intensifier l’envoi des données de santé des patients dans le Health Data Hub (HDH), une sorte d’« entrepôt » de données, parmi lesquelles les très sensibles données de santé. De fortes oppositions se sont manifestées contre le transfert au sein même des hôpitaux. Cela tient au fait que ces données sont hébergées par la société Microsoft et sa filiale Azur et pourraient être transférées aux États Unis, c’est-à-dire hors de l’Union européenne et de la pleine application de son droit.

La CNIL a d’ailleurs livré une délibération, le 20 avril, où elle soulevait le problème. D’aucuns regretteront qu’elle n’ait fait que le soulever ! L’entreprise Azur a une certification pour héberger les données de santé (un label de protection élevée qui lui permet de le faire). Le ministère exige de l’entreprise que les données “au repos » (données n’étant pas en cours de manipulation active) soient hébergées au sein de l’Union européenne. La CNIL regrette que cette exigence n’ait pas été formulée pour l’ensemble des données. Elle émettait le souhait « que la Plateforme des données de santé assure un hébergement et un traitement des données sur le territoire de l’Union européenne », que « les services liés à sa gestion puissent être réservés à des entités relevant exclusivement des juridictions de l’Union européenne. » Il y a tout d’abord l’aspect symbolique de « souveraineté numérique » : après les révélations d’Edward Snowden sur les agissements de la NSA, il est plus difficile de laisser partir des données sensibles vers les États-Unis. Elles sont mieux protégées sur le territoire européen, sous l’égide du RGPD.

Le Comité européen de la protection des données (CEPD), l’organe européen de protection des données — a en outre relevé le risque qu’il y aurait à transférer ces données aux États-Unis. Au nom de la sécurité nationale et en vertu de l’article 702 de la loi américaine FISA et de son décret (« Executive Order »), les autorités peuvent s’octroyer le droit d’y accéder. Ce problème se trouve actuellement soumis à la Cour de justice de l’Union européenne, à la demande de la Haute Cour d’Irlande.

Plus d'articles de la reprise

Mentions légales Nous utilisons des cookies pour savoir combien de personnes visitent ce site
Link to $https://twitter.com/lareprisefrLink to $https://www.facebook.com/lareprisefrLink to $https://www.youtube.com/channel/UCexUhiK5DI16UnYQ5UjFDVQLink to $https://www.linkedin.com/company/la-reprisefr