La 3e édition de l’ouvrage Informatique et libertés d’Alain Bensoussan vient de paraître aux éditions Francis Lefebvre.

Cette 3e édition permet de tout savoir de la nouvelle architecture de la loi de 1978 redessinée par le décret du 30 mai 2019 et des « marges de manœuvre nationales » autorisées par le RGPD.

Elle est en effet consacrée à la nouvelle rédaction de la loi loi du 6 janvier 1978 en vigueur depuis le 1er juin 2019.

Rappelons que par souci d’intelligibilité, le législateur a pris le parti de conserver l’architecture de la loi de 1978, d’abroger les dispositions contraires au RGPD et de mettre en conformité celles qui devaient l’être, ce qui nécessite de lire de manière combinée le RGPD et la loi du 6 janvier 1978.

La nouvelle architecture de la loi de 1978

La nouvelle loi comporte désormais 128 articles (contre 71 auparavant) articulés autour de 5 titres :

• Les dispositions communes au RGPD ;
• Les traitements relevant du régime de protection des données à caractère personnel prévu par le RGPD ;
• Les dispositions applicables aux traitements relevant de la directive (UE) 2016/680 du 27 avril 2016 (dite « Directive Police Justice ») ;
• Les dispositions applicables aux traitements intéressant la sûreté de l’Etat et la défense ;
• Les dispositions relatives à l’outre-mer.

L’ouvrage Informatique et libertés

Cette nouvelle édition par laquelle les Editions Francis Lefebvre ont bien voulu nous témoigner de leur confiance, est préfacée par Marie-Laure Denis, Présidente de la Cnil. L’ouvrage présente :

• les nouveaux droits (déréférencement d’une information grâce au droit à l’oubli, récupération de ses données grâce au droit à la portabilité, limitation du traitement, etc.) ;
• le principe de responsabilisation de l’ensemble des acteurs intervenant dans la chaîne d’un traitement de données à caractère personnel (responsable du traitement, sous-traitants, responsables conjoints) ;
• les nouveaux outils de conformité à la loi Informatique et libertés (l’accountability, l’analyse d’impact, etc.) ;
• la généralisation du délégué à la protection des données ;
• les nouveaux pouvoirs et missions de la Cnil, etc.

Il est enrichie d’analyses sur les nouvelles technologies et secteurs d’activités (cloud computing, blockchain, traitements algorithmiques, techniques de pseudonymisation, services numériques, etc.).

Informatique et libertés, Alain Bensoussan,
Editions Francis Lefebvre, 3e Ed. 2019.

Voir également :
– l’interview vidéo, émission La Quotidienne du 17 décembre 2019.
– le Livre blanc extrait de l’ouvrage, « Quels sont les nouveaux outils de conformité à la loi Informatique et libertés ? », 16 décembre 2019.

Isabelle Pottier
Avocat, Lexing Alain Bensoussan Avocats
Directeur du département Etudes et publications

Dans sa décision n° 2018-765 DC du 12 juin, le Conseil constitutionnel a déclaré la loi relative à la protection des données personnelles conforme à la Constitution (1).

Rappelons que loi relative à la protection des données personnelles, définitivement adoptée par le Parlement le 14 mai dernier, a pour principal objet de modifier la législation nationale en matière de protection des données personnelles afin,

• d’une part, de l’adapter au règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD/GDPR)
• d’autre part, de transposer la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données. 

Comme l’indique le communiqué de presse du Conseil constitutionnel sur la décision n° 2018-765 DC, les sénateurs qui avaient déféré le texte au Conseil constitutionnel, contestaient, outre un défaut d’accessibilité et d’intelligibilité de l’ensemble de la loi, une dizaine de ses articles (2).

Décision n° 2018-765 DC : l’impartialité et la proportionnalité des peines

Le Conseil a notamment écarté le grief selon lequel le principe d’impartialité et le principe de proportionnalité des peines auraient été méconnus par les dispositions de l’article 7 de la loi déférée, réécrivant l’article 45 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés pour prévoir les différentes mesures susceptibles d’être prises par la Commission nationale de l’informatique et des libertés (Cnil) en cas de manquement aux obligations découlant du règlement du 27 avril 2016 et de cette même loi.

Le Sages de la rue de Montpensier ont notamment jugé que ni les avertissements, ni les mises en demeure prononcées par le président de Cnil ne constituent des sanctions ayant le caractère de punition, au sens de sa jurisprudence.

Décision n° 2018-765 DC : le consentement des mineurs

Le Conseil constitutionnel a jugé que ne méconnaît pas l’exigence constitutionnelle d’application du droit européen, résultant de l’article 88-1 de la Constitution, l’article 20 de la loi déférée qui introduit un nouvel article 7-1 dans la loi du 6 janvier 1978 aux termes duquel un mineur peut consentir seul à un traitement de données à caractère personnel «en ce qui concerne l’offre directe de services de la société de l’information à compter de l’âge de quinze ans».

Selon le deuxième alinéa de cet article : «Lorsque le mineur est âgé de moins de quinze ans, le traitement n’est licite que si le consentement est donné conjointement par le mineur concerné et le ou les titulaires de l’autorité parentale à l’égard de ce mineur».

Il a relevé à cet égard qu’il résulte de l’emploi par le législateur européen des termes «donné ou autorisé» que le règlement permet aux États membres de prévoir, soit que le consentement doit être donné pour le mineur par le titulaire de l’autorité parentale, soit que le mineur est autorisé à consentir par le titulaire de l’autorité parentale, ce qui suppose alors le double consentement prévu par le texte critiqué. Il en a déduit que les dispositions contestées ne sont pas manifestement incompatibles avec le règlement auquel elles adaptent le droit interne.

Décision n° 2018-765 DC : le recours par l’administration à des algorithmes

Le Conseil constitutionnel a également jugé conformes à la Constitution les dispositions de la loi déférée modifiant l’article 10 de la loi du 6 janvier 1978 afin d’étendre les cas dans lesquels, par exception, une décision produisant des effets juridiques à l’égard d’une personne ou l’affectant de manière significative peut être prise sur le seul fondement d’un traitement automatisé de données à caractère personnel.

Amené à se prononcer pour la première fois sur le recours par l’administration à des algorithmes pour l’édiction de ses décisions, il a notamment relevé que les dispositions que contestait le recours se bornent à autoriser l’administration à procéder à l’appréciation individuelle de la situation de l’administré, par le seul truchement d’un algorithme, en fonction des règles et critères définis à l’avance par le responsable du traitement. Elles n’ont ni pour objet ni pour effet d’autoriser l’administration à adopter des décisions sans base légale, ni à appliquer d’autres règles que celles du droit en vigueur. Il n’en résulte dès lors aucun abandon de compétence du pouvoir réglementaire.

Il s’est également fondé sur ce que le seul recours à un algorithme pour fonder une décision administrative individuelle est subordonné au respect de trois conditions.

• d’une part, conformément à l’article L. 311-3 du Code des relations entre le public et l’administration, la décision administrative individuelle doit mentionner explicitement qu’elle a été adoptée sur le fondement d’un algorithme et les principales caractéristiques de mise en œuvre de ce dernier doivent être communiquées à la personne intéressée, à sa demande. Il en résulte qu’une décision individuelle ne saurait être prise à l’aide d’un algorithme dont les principes de fonctionnement ne pourraient être communiqués sans porter atteinte à l’un des secrets ou intérêts énoncés au 2° de l’article L. 311-5 du Code des relations entre le public et l’administration ;
• d’autre part, la décision administrative individuelle doit pouvoir faire l’objet de recours administratifs, conformément au chapitre premier du titre premier du livre quatrième de ce code. L’administration sollicitée à l’occasion de ces recours est alors tenue de se prononcer en ne se fondant plus exclusivement sur l’algorithme. La décision administrative est en outre placée, en cas de recours contentieux, sous le contrôle du juge, qui est susceptible d’exiger de l’administration la communication de l’algorithme.
• enfin, le recours exclusif à un algorithme est prohibé si ce traitement porte sur l’une des données sensibles mentionnées au paragraphe I de l’article 8 de la loi du 6 janvier 1978, c’est-à-dire des données à caractère personnel «qui révèlent la prétendue origine raciale ou l’origine ethnique», les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne physique, des données génétiques, des données biométriques, des données de santé ou des données relatives à la vie sexuelle ou l’orientation sexuelle d’une personne physique.

Enfin, le Conseil constitutionnel a relevé que le responsable du traitement doit s’assurer de la maîtrise du traitement algorithmique et de ses évolutions afin de pouvoir expliquer, en détail et sous une forme intelligible, à la personne concernée la manière dont le traitement a été mis en œuvre à son égard. Il en résulte que ne peuvent être utilisés, comme fondement exclusif d’une décision administrative individuelle, des algorithmes susceptibles de réviser eux-mêmes les règles qu’ils appliquent, sans le contrôle et la validation du responsable du traitement (algorithme «auto-apprenant»).

Par l’ensemble des motifs, le Conseil constitutionnel a jugé que le législateur a défini des garanties appropriées pour la sauvegarde des droits et libertés des personnes soumises aux décisions administratives individuelles prises sur le fondement exclusif d’un algorithme. 

Décision n° 2018-765 DC : le traitement de données à caractère personnel en matière pénale

En revanche, le Conseil constitutionnel a censuré les mots «sous le contrôle de l’autorité publique» figurant à l’article 13 de la loi déférée, modifiant l’article 9 de la loi du 6 janvier 1978 afin de fixer le régime des traitements de données à caractère personnel relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté connexes, lorsque ces traitements ne sont pas mis en œuvre par les autorités compétentes à des fins pénales au sens de la directive du 27 avril 2016.

Il a en effet jugé que l’article 10 du règlement européen du 27 avril 2016 n’autorise le traitement de données à caractère personnel en matière pénale ne relevant pas de la directive du même jour que dans certaines hypothèses, parmi lesquelles figure la mise en œuvre de tels traitements «sous le contrôle de l’autorité publique». Le législateur s’est borné à reproduire ces termes dans les dispositions contestées, sans déterminer lui-même ni les catégories de personnes susceptibles d’agir sous le contrôle de l’autorité publique, ni quelles finalités devraient être poursuivies par la mise en œuvre d’un tel traitement de données. En raison de l’ampleur que pourraient revêtir ces traitements et de la nature des informations traitées, ces dispositions affectent, par leurs conséquences, les garanties fondamentales accordées aux citoyens pour l’exercice des libertés publiques. Il en résulte que les mots «sous le contrôle de l’autorité publique ou» sont entachés d’incompétence négative et donc contraires à la Constitution.

Eric Bonnet .
Directeur de la communication juridique

[1] Décision n° 2018-765 DC du 12 juin 2018 sur la loi relative à la protection des données personnelles (Loi n° 2018-493 du 20 juin 2018, JORF du 21 juin 2018).

[2] Dans sa décision, avant de se prononcer sur les critiques adressées aux dispositions de la loi, le Conseil constitutionnel apporte d’utiles précisions sur la nature du contrôle qu’il opère sur des dispositions législatives tirant des conséquences du droit de l’Union européenne, lorsque celui-ci procède d’un règlement. Nous renvoyons sur ce point nos lecteurs à la décision elle-même ainsi qu’au communiqué de presse du Conseil constitutionnel.

Le 29 mars 2018 se tiendra au Sénat un colloque organisé par la Cnil à l’occasion des 40 ans de la loi relative à l’informatique, aux fichiers et aux libertés.

Créée en 1978 par la loi Informatique et libertés, la Cnil – qui a elle-même fêté son 40e anniversaire le 25 janvier 2018 – célébrera le 29 mars 2018 les 40 ans de la loi du 6 janvier 1978 qui l’a instituée.

A cette occasion, sa présidente Madame Isabelle Falque-Pierrotin organise au Sénat, sous le haut patronage de son président Monsieur Gérard Larcher, un grand colloque sur le thème : « 40 ans de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés : quel bilan ? » auquel participera Alain Bensoussan.

Deux tables rondes se tiendront à cette occasion :

15h00-16h00 : La loi Informatique et libertés a-t-elle tenu ses promesses ?

Sous la présidence de M. Christophe-André Frassa, secrétaire de la commission des lois du Sénat, ancien rapporteur du projet de loi pour une République numérique

La loi votée en 1978 offre-t-elle le cadre juridique nécessaire à la préservation de la vie privée des individus, tout en permettant un développement innovant des usages de la donnée ? Le rapport des citoyens à la vie privée devient de plus en plus complexe à mesure que s’accélère la numérisation de la société. Veulent-ils que leurs données personnelles soient protégées, pour quels usages et avec quelles contraintes ?

• Lionel Maurel, juriste, cofondateur du collectif Savoirscom1, membre du collège d’orientation stratégique de l’association La Quadrature du Net, chargé de l’Information Scientifique et Technique à l’université Paris Lumières ;
• Nicolas Arpagian, maître de conférences à l’Ecole Nationale Supérieure de la Police (ENSP), directeur scientifique du cycle Sécurité Numérique à l’INHESJ ;
• Isabelle Bordry, cofondatrice de Retency, administratrice indépendante de la société mutuelle d’assurance Groupama et de la Réunion des Musées Nationaux et Grand Palais ;
• Alain Bensoussan, avocat à la Cour d’appel de Paris, spécialisé en droit des technologies avancées.

16h00-17h00 : La loi Informatique et libertés à l’épreuve d’un monde numérique sans frontières

Sous la présidence de Mme Catherine Morin-Desailly, présidente de la commission de la culture du Sénat

La territorialité du droit à l’épreuve des données ? Le modèle européen de gouvernance, consacré par le règlement général sur la protection des données, peut-il s’exporter ? Quel pouvoir pour les citoyens dans un espace numérique sans frontière ?

• Marc Mossé, directeur affaires publiques et juridiques, Microsoft Europe ;
• Valérie Peugeot, membre de la Cnil, chercheuse au sein d’Orange Labs et Présidente de l’association Vecam ;
• Milad Doueihi, historien des religions et titulaire de la chaire d’humanisme numérique à l’université de Paris-Sorbonne (Paris-IV), chaire thématique du Labex OBVIL et de la ComUE Sorbonne-Universités ;
• Nicolas Colin, entrepreneur (fondateur de The Family) et essayiste français, coauteur d’un rapport sur la fiscalité de l’économie numérique.

17h00 – 17h30 : clôture par Madame Nicole Belloubet, Garde des Sceaux, ministre de la Justice.

« 40 ans de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés : quel bilan ? »

Jeudi 29 mars 2018 de 14h30 à 17h30
(Accueil à partir de 14 heures)
Au Palais du Luxembourg
Salle Clémenceau
15, rue de Vaugirard
75006 Paris
Inscription obligatoire avant le 22 mars 2018 : https://www.cnil.fr/fr/colloque-40ans

Eric Bonnet
Directeur du Département Communication juridique

Le projet de loi relatif à la protection des données personnelles a été présenté le 13 décembre 2017 en Conseil des ministres. Ce texte vise à permettre la mise en œuvre concrète du Règlement européen et de la Directive du 27 avril 2016.

La réforme de la protection des données personnelles

Le développement du numérique a nécessité de repenser au niveau européen, le cadre applicable aux données personnelles, à travers une réforme constituée d’un « pack » données personnelles.

Ce pack comprend d’une part, le règlement général sur la protection des données (RGPD n°2016/679) et d’autre part, la directive relative à la protection des données à caractère personnel à des fins répressives (Directive 2016/680), tous deux adoptés le 14 avril 2016 par le Parlement européen.

Ces deux textes qui mettent en place un cadre unifié et protecteur pour les données personnelles en Europe, modifient profondément les règles relatives à l’environnement digital des entreprises et de leurs sous-traitants.

A la lumière de ces deux textes qui entreront en vigueur le 25 mai 2018, il convenait d’adapter notre droit national au nouveau cadre européen.

En effet, si en théorie, un règlement est directement applicable en droit national, en l’espèce, les deux textes précités nécessitaient néanmoins la révision de la loi Informatique et libertés du 6 janvier 1978 afin d’abroger les dispositions incompatibles ou redondantes et d’adopter des dispositions nouvelles prévues par le règlement européen.

Le projet de loi d’adaptation au droit de l’Union européenne de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés présenté le mercredi 13 décembre dernier en conseil des ministres par le Ministre de la Justice des Sceaux Madame Nicole Belloubet, opère cette remise à niveau de la loi.

Il a été présenté par le Garde des Sceaux comme « le fruit d’un travail étroit avec le Secrétaire d’Etat au numérique, Mounir Mahjoubi ».

Les avancées du projet de loi relatif à la protection des données personnelles

Il comporte des avancées qualifiées de majeures par la Chancellerie. D’une part, il crée un cadre très protecteur des données personnelles pour l’ensemble des européens notamment au niveau civil et commercial puisque ses nouvelles dispositions seront applicables à l’ensemble des entreprises et de leurs sous-traitants, quelle que soit leur implantation.

Il instaure également de nouveaux droits pour les personnes en Europe (droit à l’oubli, droit à la portabilité, actions collectives, etc.) destinés à renforcer la confiance des citoyens dans l’utilisation qui est faite de leur données, tout en permettant de donner aux opérateurs économiques un environnement attractif. Selon la Chancellerie, « Ce cadre juridique sécurisé permettra ainsi de renforcer la confiance des citoyens dans l’utilisation qui est faite de leurs données personnelles ».

D’autre part, il simplifie les règles auxquelles sont soumis les acteurs économiques tout en maintenant un haut niveau de protection pour les citoyens. Ainsi, le projet de loi supprime en toute logique les formalités déclaratives et le remplace par un système de contrôle a posteriori, fondé sur l’appréciation par le responsable de traitement des risques causés par son traitement. En contrepartie de la simplification des normes, les pouvoirs de la Cnil sont renforcés et les sanctions encourues sont considérablement augmentées (jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial consolidé).

Les marges de manœuvres du projet de loi relatif à la protection des données personnelles

Dans le cadre des marges de manœuvre qui sont permises par le règlement européen, la France a souhaité maintenir un certain nombre de dérogations qui vont permettre de garder un contrôle quant il s’agit de données sensibles.

Le projet de loi relatif à la protection des données personnelles conserve un régime d’autorisation préalable pour le traitement des données les plus sensibles par exemple pour les données biométriques nécessaires à l’identification ou au contrôle de l’identité des personnes, ou ceux utilisant le numéro de sécurité sociale.

De même, le traitement des données de santé continuera à faire l’objet d’un encadrement spécifique. Il ne s’agira pas un encadrement qui passera par une autorisation préalable de la Cnil mais le traitement devra être conforme à un référentiel méthodologique qui aura été adopté conjointement par la Cnil et par l’institut national des données de santé.

Autre exemple d’un traitement spécifique, celui des mineurs de moins de 16 ans qui seront « en théorie » mieux protégés. Il nécessitera l’autorisation des titulaires de l’autorité parentale pour que les données personnelles soient traitées par les services de la société de l’information, tels que les réseaux sociaux. Reste à savoir comment une telle telle disposition fort louable pourra s’appliquer concrètement. Officiellement, les moins de 13 ans ne peuvent déjà pas s’inscrire sur Facebook, un interdit virtuel très facile à contourner.

En matière pénale et toujours dans le cadre des dérogation aux principes posés par le règlement européen, le projet de loi va renforcer les droits des personnes en créant un droit à l’information et en prévoyant l’exercice direct de droits tels que les droits d’accès, de rectification et d’effacement des données (droit à l’oubli). Il introduit également des règles encadrant les transferts de données à des Etats tiers.

Enfin, le communiqué du garde des Sceaux, ministre de la justice, précise que le Gouvernement a fait le choix de conserver, dans un souci d’intelligibilité, l’architecture de la loi « informatique et libertés ». C’est la raison pour laquelle il sera procédé par voie d’ordonnance pour réécrire à très bref délais la loi fondatrice de 1978 pour en améliorer la lisibilité.

Le projet de loi relatif à la protection des données personnelles sera présenté prochainement au parlement, aucune précision n’ayant été donnée quant au calendrier. Il faudra toutefois faire vite car la loi devra entrer en vigueur au 25 mai 2018.

Isabelle Pottier
Directrice Études et Publications

Pour aller plus loin : Dossier législatif

La réglementation Informatique et libertés prévoit des infractions pénales pour non-respect de certaines obligations.

C’est d’abord dans la loi du 6 janvier 1978 que se trouvent des infractions Informatique et libertés puisque son chapitre VIII s’intitule « Dispositions pénales ».

Est ainsi puni d’un an d’emprisonnement et de 150 000 euros d’amende le fait d’entraver l’action de la Cnil et ce, en s’opposant à l’exercice des missions confiées à ses membres ou aux agents habilités, en refusant de leur communiquer, en dissimulant ou en faisant disparaître les renseignements et documents utiles à leur mission, ou en communiquant des informations qui ne sont pas conformes au contenu des enregistrements tels qu’ils étaient au moment de la demande ou qui ne présentent pas ce contenu sous une forme directement accessible (1).

L’article 50 de cette même loi renvoie à la partie législative du code pénal pour un panorama plus complet des infractions Informatique et liberté, contenues dans une section 5, « Des atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques », regroupant les articles 226-16 à 226-24.

Toutes ces infractions sont punies de 5 ans d’emprisonnement et de 300 000 euros d’amende pour les personnes physiques. Quant aux personnes morales, elles encourent 1,5 millions euros d’amende (2), ainsi qu’une interdiction d’exercer (à titre définitif ou pour une durée maximale de 5 ans), l’exclusion des marchés publics (à titre définitif ou pour une durée maximale de 5 ans), l’interdiction d’émettre des chèques ou d’utiliser des cartes de paiement (pour une durée maximale de 5 ans) et l’affichage de la décision prononcée ou la diffusion de celle-ci (3).

Ces infractions répondent à des matérialités diverses, dont notamment :

• la mise en œuvre de traitements sans respecter les formalités légales préalables ou de traitements ayant fait l’objet d’une injonction de cesser ou d’un retrait d’autorisation, ces deux premières infractions étant caractérisées y compris en cas de simple négligence. L’effacement de tout ou partie des données faisant l’objet du traitement ayant donné lieu à l’infraction peut alors être ordonné (4) ;
• le non-respect des normes simplifiées ou d’exonération établies par la Cnil pour les traitements ne nécessitant, selon la loi de 1978, qu’une simple déclaration (5) ;
• la mise en œuvre, hors les cas où la loi de 1978 l’autorise, de traitements incluant parmi les données en cause le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques (6) ;
• la mise en œuvre de traitements sans avoir pris les mesures utiles pour préserver la sécurité des données (7) ;
• le fait, pour un fournisseur de services de communications électroniques, de ne pas procéder à la notification d’une violation de données à caractère personnel à la Cnil ou à l’intéressé (8) ;
• le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite (9) ;
• le fait de procéder à des traitements concernant une personne physique malgré son opposition, lorsque ce traitement répond à des fins de prospections, notamment commerciale, ou lorsque cette opposition est fondée sur des motifs légitimes (10) ;
• hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée, sans consentement exprès, des données à caractère personnel qui, directement ou indirectement, font apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, ou les appartenances syndicales des personnes, ou qui sont relatives à la santé ou à l’orientation sexuelle ou à l’identité de genre de celles-ci. Est également réprimé ainsi le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée des données à caractère personnel concernant des infractions, des condamnations ou des mesures de sûreté (11). Ces restrictions sont applicables aux traitements non automatisés de données à caractère personnel dont la mise en œuvre ne se limite pas à l’exercice d’activités exclusivement personnelles (12) ;
• la conservation et le traitement de données à caractère personnel au-delà de la durée prévue, sauf si elle est effectuée à des fins historiques, statistiques ou scientifiques dans les conditions prévues par la loi (13) ;
• le détournement de leur finalité, par toute personne détentrice de données à caractère personnel à l’occasion de leur enregistrement, classement, transmission ou toute autre forme de traitement, de ces informations (14) ;
• le fait de porter, sans autorisation, à la connaissance d’un tiers n’ayant pas la qualité pour les recevoir, pour toute personne ayant recueilli des données à caractère personnel à l’occasion de leur enregistrement, classement, transmission ou toute autre forme de traitement, des données à caractère personnel dont la divulgation aurait pour effet de porter atteinte à la considération de l’intéressé ou à l’intimité de sa vie privée (15). La peine est diminuée si cette infraction est commise par imprudence ou négligence et s’élève alors à 3 ans d’emprisonnement et 100 000 euros d’amende ;
• la mise en œuvre d’un transfert de données à caractère personnel faisant l’objet ou destinées à faire l’objet d’un traitement vers un Etat n’appartenant pas à l’Union européenne, hors les cas prévus par la loi et les mesures prises par la Commission européenne et la Cnil (16). L’effacement de tout ou partie des données faisant l’objet du traitement ayant donné lieu à l’infraction peut alors être ordonné (17).

Ce panorama des infractions Informatique et liberté doit être complété par les infractions contenues dans la partie réglementaire du code pénal, dans une section 6, « Des atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques », regroupant les articles R625-10 à R625-13.

Toutes ces infractions sont punies de l’amende prévue pour les contraventions de 5e classe (soit 1500 euros (18)). En cas de récidive, et selon les prescriptions des articles 132-11 et 132-15 du Code pénal (19), le maximum de la peine d’amende encoure est portée à 3 000 euros pour les personnes physiques et à 30 000 euros pour les personnes morales.

Est réprimé ainsi :

• le fait, pour le responsable d’un traitement automatisé de données à caractère personnel, de ne pas informer la personne concernée de façon satisfaisante, la liste des informations devant être délivrées se trouvant dans l’article R625-10 du Code pénal ;
• le fait de ne pas faire droit aux demandes des personnes concernées exercées au regard de la loi de 1978 (20).

Virginie Bensoussan-Brulé
Lexing Contentieux numérique

(1) Loi 78-17 du 6-1-1978, art.51
(2) Selon l’article 131-8 du Code pénal, auquel renvoie l’article 226-24
(3) Selon l’article 226-24 du Code pénal, qui renvoie partiellement à l’article 131-9
(4) C. pén. art. 226-22-2
(5) C. pén. art. 226-16-1-A
(6) C. pén. art. 226-16-1
(7) C. pén. art. 226-17
(8) C. pén. art. 226-17-1
(9) C. pén. art. 226-18
(10) C. pén. art. 226-18-1
(11) C. pén. art. 226-19
(12) C. pén. art. 226-23
(13) C. pén. art. 226-20
(14) C. pén. art. 226-21
(15) C. pén. art. 226-22
(16) C. pén. art. 226-22-1
(17) C. pén. art. 226-22-2
(18) C. pén. art. 131-13
(19) Auxquels renvoie l’article R625-13 du Code pénal
(20) Selon les articles R625-11 et R625-12 du Code pénal

Céline Avignon revient, pour Ecommerce Magazine, sur les contrôles opérés par la Cnil en 2015 en matière de cookies.

La Commission, en vertu des moyens qu’elle a mis en œuvre pour aider les responsables de traitement, contrôle quasi systématiquement la conformité des cookies à la loi Informatique et libertés.

Force est de constater que la Cnil considère généralement comme un manquement à la loi des pratiques partagées par le plus grand nombre, des pratiques telles que :

• l’absence de bandeau d’information ou une insuffisance des informations contenues dans le bandeau (absence des finalités de tous les cookies soumis au consentement, absence d’information sur le fait que la personne concernée a la possibilité de changer les paramètres des cookies en cliquant sur un lien présent dans le bandeau) ;
• l’absence de moyen d’opposition valable (gestion par le navigateur alors que le site dépose des cookies techniques essentiels à son bon fonctionnement et/ ou des cookies first party soumis au consentement).

Pour éviter cela, il est nécessaire d’adopter une démarche permettant de s’assurer de la conformité des pratiques de la société. À cet effet, il doit être établi un référentiel ou une cartographie des cookies utilisés avec leurs finalités afin d’identifier ceux qui sont soumis au consentement et les autres. Le bandeau qui doit être visible, doit intégrer l’ensemble des finalités des cookies à consentement, contenir un lien vers une politique et préciser que la poursuite de la navigation vaut consentement. Il faut également s’assurer que ces traceurs ne s’installent pas avant que l’internaute ait poursuivi sa navigation et déterminer les actions qui ne sont pas considérées comme des actions de poursuite de sa navigation – comme l’activation du lien “en savoir plus”, à titre d’exemple.

Pour qu’en 2016, les entreprises ne commettent pas les manquements constatés par la Cnil, il est fortement recommandé de programmer une action de vérification des pratiques en la matière et, en fonction des résultats, de définir un plan de mise en conformité.

Céline Avignon, pour Ecommerce Magazine Mars – Avril 2016, n° 69.

Les techniques de biométrie sont de plus en plus utilisées dans le monde comme moyens de sécurisation de transactions.

La biométrie s’intègre parfois dans les cartes bancaires (empreinte digitale), dans les distributeurs de billets (reconnaissance faciale) ou encore peut être utilisée en lien avec un service de paiement mobile ou par internet, comme la Cnil vient pour la première fois de l’autoriser en France.

En effet, la loi Informatique et libertés soumet à autorisation de la Cnil les traitements automatisés comportant des données biométriques nécessaires au contrôle de l’identité des personnes (1).

Phase expérimentale

Au cours des dernières années, la Cnil a été saisie de plusieurs autorisations portant sur des systèmes d’authentification des auteurs de transactions bancaires au moyen de la biométrie, notamment vocale.

Jusqu’en février 2016, les autorisations délivrées par la Cnil ne portaient toutefois que sur des traitements mis en œuvre à titre expérimental. La durée de ces expérimentations variait entre 3 et 15 mois et ces dernières pouvaient concerner jusqu’à plusieurs milliers d’individus, salariés et/ou clients de la société responsable du traitement.

D’une manière générale, la phase d’expérimentation permet au responsable de traitement d’évaluer :

• la faisabilité du traitement ;
• la qualité de la technique de biométrie vocale utilisée (ex : mesure des faux positifs et faux négatifs) ;
• la facilité d’utilisation du service envisagé (ex : ergonomie du service, temps moyen d’authentification).

Phase de généralisation

Les résultats des expérimentations menées par une banque se sont visiblement révélés positifs puisque la Cnil vient de l’autoriser à généraliser un système d’authentification des porteurs de cartes bancaires par reconnaissance vocale (2).

Une phase d’expérimentation d’une durée totale de 2 ans a en effet permis à cette banque de confirmer l’appétence du public pour ce type de service (fluidité des parcours, sentiment de sécurité), en relevant un taux de satisfaction de 86%.

Une authentification forte

La Commission se montre ainsi favorable à l’utilisation de la biométrie dans le cadre de la sécurisation du paiement à distance. Elle observe à ce titre que la mise en place d’une authentification forte des clients souhaitant régler des transactions en ligne, reposant sur l’utilisation de plusieurs éléments d’authentification, répond à un phénomène de fraude aux paiements à distance en constante augmentation.

En l’espèce, la méthode d’authentification choisie s’appuie sur deux éléments d’authentification : la réception d’un appel sur un téléphone préalablement enrôlé (« ce que je possède ») et la reconnaissance de la voix (« ce que je suis ») (3). Ainsi, le dispositif biométrique n’a pas vocation à fournir un moyen d’authentification autonome. Il vient renforcer un dispositif existant qui s’appuie sur la possession d’un objet, à savoir le téléphone portable de la personne concernée.

Une méthode d’authentification proposée et non imposée

Conformément à l’article 7 de la loi Informatique et libertés (4), le traitement de reconnaissance vocale autorisé par la Cnil s’appuie sur le consentement spécifique, libre et éclairé des personnes concernées.

La méthode d’authentification est ainsi proposée aux clients de la banque en tant qu’alternative à l’authentification par saisie d’un code à usage unique, le client pouvant à tout moment revenir sur son choix.

Technique biométrique utilisée

La technique de reconnaissance vocale utilisée se base sur la modélisation physique des caractéristiques du conduit vocal de la personne concernée. Un modèle de voix non réversible est alors constitué.

En effet, le modèle ne constitue pas un enregistrement de la voix de la personne concernée. Il reproduit une distribution de probabilités de plusieurs caractéristiques de la voix du client. Les caractéristiques biométriques du client ne pourront donc pas être reconstituées à partir du modèle.

Etude d’impact

Dans les différentes autorisations expérimentales délivrées par la Cnil, la Commission a exigé de chaque responsable de traitement qu’il communique un bilan des modalités de fonctionnement et d’utilisation du dispositif au terme de la phase d’expérimentation.

Notamment, une présentation des enjeux spécifiques relatifs à la protection des données doit être envoyée à la Cnil, incluant les risques identifiés et les mesures adoptées pour les limiter, ainsi qu’une synthèse relative au respect des dispositions de la loi Informatique et libertés.

La banque dont le traitement vient d’être autorisé a ainsi réalisé une étude d’impact à l’issue de ses expérimentations. La Cnil a alors pu relever que « les mesures techniques adoptées [avaient] permis de réduire à un niveau de vraisemblance et de gravité faible les impacts résultant notamment des risques de fuites ou de pertes des données, d’indisponibilité du dispositif ou d’usurpation d’identité ».

Cette démarche apparaît en accord avec l’approche par les risques proposée au niveau européen dans la proposition de règlement général sur la protection des données. Elle permet notamment d’anticiper l’obligation pour les responsables de traitement de réaliser des analyses d’impact relatives à la protection des données, en particulier en cas de traitement à grande échelle de données biométriques.

Pour conclure, les sociétés souhaitant mettre en place des systèmes d’authentification d’auteurs de transactions bancaires au moyen de la biométrie sont invitées à réaliser des analyses de l’impact de leur traitement sur la protection des données et à déposer auprès de la Cnil un dossier de demande d’autorisation.

Alain Bensoussan Avocats
Lexing, Droit Informatique et libertés

(1) Loi 78-17 du 6-1-1978, art. 25-I-8°.
(2) Cnil, Délib. 2016-037 du 18-2-2016.
(3) Une troisième catégorie regroupe les éléments que la personne connaît, tels que par exemple un mot de passe.
(4) Loi 78-17 du 6-1-1978, art. 7.

La Cour de cassation est venue rappeler le champ d’application de la loi Informatique et libertés (1). Ainsi, dès lors qu’une donnée à caractère personnel fait l’objet d’un traitement, la loi Informatique et libertés s’applique.

En l’espèce, il s’agit de deux notes faisant état d’appréciations personnelles sur la manière de travailler d’un collaborateur de l’ENA, rédigées par son supérieur hiérarchique à destination du directeur de l’Ecole.

Ces notes ont ensuite été enregistrées dans un répertoire, et ont été rendues accessibles, par négligence, sur le réseau intranet de l’ENA. Ce répertoire n’avait pas vocation à contenir d’autres notes.

A la suite de ce manquement, le collaborateur concerné a porté plainte et s’est constitué partie civile pour mise en œuvre d’un traitement de données personnelles sans autorisation.

La Cour de cassation a dû donc déterminer l’application de la loi Informatique et libertés à ses deux notes enregistrées dans un répertoire accessible sur l’intranet de l’ENA.

La Cour considère que « même si ce fichier ne concerne qu’une seule personne, sans qu’il soit besoin d’atteindre un certain seuil de données traitées », la loi Informatique et libertés s’applique à celui-ci.

Par conséquent, la création d’un fichier comprenant des données à caractère personnel d’une seule personne constitue un traitement de données à caractère personnel.

A ce titre, ce traitement aurait dû faire l’objet d’une formalité préalable auprès de la Cnil comme l’impose l’article 226-16 du Code pénal (2).

Ainsi, la Cour de cassation annule et casse l’arrêt de la Cour d’appel de Colmar en rappelant que la loi Informatique et libertés s’applique dès lors qu’on est en présence d’un traitement de données à caractère personnel, sans considération d’un seuil minimal de données à caractère personnel.

Il ressort de cet arrêt une application large de la loi Informatique et libertés. En conséquence, il est donc essentiel de recenser l’ensemble de ses traitements de données à caractère personnel, y compris ceux pouvant être qualifiés d’invisibles, à savoir les traitements enregistrés sur des répertoires informatiques accessibles à très peu de personnes, et ce quelque soit la forme du traitement (traitement de texte, fichier Excel, etc.).

En effet, la simple création d’un fichier de données personnelles ne mettant qu’en œuvre des fonctionnalités simples, tel un traitement de texte, constitue au sens de la loi Informatique et libertés un traitement de données.

Ce recensement permettra ensuite de réaliser les formalités nécessaires auprès de la Cnil et d’assurer la conformité Informatique et libertés.

Lexing Alain Bensoussan Selas
Lexing Informatique et libertés

(1) Cass. crim., 8-9-2015, n°13-85587.
(2) C. pén., art. 226-16.

La Loi dite “Hamon” regorge de dispositions contraignant les entreprises à modifier leurs pratiques ou à revoir leurs documents contractuels. À côté de ces dispositions placées sous les feux des projecteurs, d’autres sont restées dans l’ombre. Pour autant, ces dispositions ont octroyé à la Cnil des pouvoirs lui permettant de rendre plus efficace son action en faveur de la protection des données.

Le législateur a en effet doté la Cnil d’un nouveau pouvoir de contrôle à distance, qui va lui permettre de balayer depuis ses locaux les sites et applications mobiles.

Depuis l’entrée en vigueur de la loi relative à la consommation en mars 2014 (loi 2014-344), elle détient une nouvelle prérogative lui permettant de procéder à des contrôles et constatations en ligne. A n’en pas douter, la Cnil effectuera des contrôles en ligne pour vérifier que ses préconisations sont bien mises en œuvre, notamment celles qui sont issues de sa délibération n° 2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux cookies et aux autres traceurs.

Avec ces nouveaux pouvoirs, les éditeurs de sites internet d’applications mobiles pourront à tout moment faire l’objet de contrôles à distance. En conséquence, la conformité à la loi informatique, fichiers et libertés doit faire partie intégrante de la stratégie digitale d’une entreprise.

Céline Avignon apporte des recommandations sur la rédaction d’une politique de cookies, d’une politique de confidentialité ou encore de mentions d’information conformes aux exigences de la loi sont des mesures indispensables du plan d’action à mettre en œuvre dans la démarche de la mise en conformité.

Céline Avignon, « Les nouveaux pouvoirs de la Cnil », E-commerce Magazine, Janvier 2015.

Polyanna Bigle – La Cnil a déjà édicté une fiche pratique sur « Les coffres forts électroniques en question » en juin 2011. Mais en parallèle des services destinés aux entreprises et professionnels, on assiste au développement exponentiel des services de dématérialisation des documents pour les particuliers, ainsi que des services de stockage dématérialisés de ces documents électroniques. La Cnil ne s’arrête pas non plus à sa fiche pratique et propose une série de recommandations sur les services de coffre-fort électronique et numérique (ci-après « coffre-fort électronique » ou « CFE-N ») ainsi que les espaces numériques de stockage (1).

Les définitions techniques. La Cnil distingue les CFE-N des simples espaces de stockage numérique. Le CFE-N est un espace de stockage numérique particulier « dont l’accès est limité à son seul utilisateur et aux personnes physiques spécialement mandatées par ce dernier », qui doit « garantir l’intégrité, la disponibilité et la confidentialité des données stockées ». Le CFE-N se distingue ainsi des espaces clients sur le Web, ou d’autres espaces de stockage numérique qui ne répondraient pas aux critères et aux mesures édictées par la recommandation de la Cnil.

L’application de la loi Informatique et libertés. La recommandation de la Cnil ne vise ici que les services de CFE-N destinés aux particuliers. Il n’est cependant pas exclu que certaines recommandations puissent s’appliquer, au moins à titre de « bonnes pratiques », aux services de coffre-fort électronique fournis aux professionnels.

Un traitement de données à caractère personnel. Dans sa recommandation, la Cnil confirme que le CFE-N constitue un traitement automatisé de données à caractère personnel soumis à la loi du 6 janvier 1978 et ce, pour deux motifs : il est géré par des opérations informatisées et il est « par nature lié à une personne physique identifiable ». Les recommandations sont formulées à destination des prestataires de services de coffre-fort électronique considérés comme responsables de traitement.

Application au coffre-fort électronique établi à l’étranger. La Cnil considère que la loi est également applicable aux sociétés établies hors Union européenne proposant des services de CFE-N « dès lors qu’elles utilisent des moyens de traitement en France ».

Exclusions. Le particulier utilisant ou mettant en œuvre un espace de stockage numérique de documents, dont il a la propriété, pour son usage personnel, ne se voit pas soumis à la loi précitée. S’il en était autrement, la Cnil serait submergée de déclarations.

Régime des formalités préalables des prestataires de CFE-N. Le régime des formalités préalables n’est pas unique pour les coffres-forts électroniques. En effet, le prestataire de services de CFE-N destinés aux particuliers devra effectuer auprès de la Cnil :

• soit une déclaration normale avant sa mise en œuvre ;
• soit une demande d’autorisation préalable si le prestataire transfère les données stockées par les utilisateurs en dehors de l’Union Européenne ; à défaut, les données hébergées dans les CFE-N ne doivent pas quitter le territoire de l’Union Européenne ni le territoire d’un Etat offrant un niveau de protection suffisant au sens de l’article 68 de la loi ;
• soit une demande d’agrément ministériel spécifique lorsque la prestation de CFE-N consiste à stocker des données de santé, même lorsque cela n’est pas la destination principale du CFE-N mais qu’il propose par exemple « par défaut un dossier santé » parmi les autres modalités de classement des documents ou fichiers.

Les recommandations quant aux données traitées dans les coffres-forts électroniques. La Cnil émet un certain nombre de recommandations visant :

• les données traitées ;
• les destinataires ;
• les durées de conservation ;
• l’information des personnes, ainsi que
• les mesures de sécurité préconisées.

On notera en particulier que le numéro de sécurité sociale « ne peut être utilisé pour le routage des documents dématérialisés vers un coffre-fort numérique », même pour les bulletins de paye : si ces derniers peuvent naturellement être stockés par les particuliers, le routage automatique devra être effectué par un autre moyen de récupération.

Confidentialité. La Cnil insiste également sur le fait que le contenu des CFE-N ne doit pas être consultable par d’autres personnes que l’utilisateur lui-même ou ses mandataires désignés. Des mesures techniques doivent protéger le coffre-fort électronique rendant leur contenu « incompréhensible aux tiers non autorisés ».

Le prestataire ne doit pas non plus techniquement accéder au contenu ou à ses sauvegardes « sans le consentement exprès de l’utilisateur concerné ». On en déduira que les prestataires de CFE-N ne pourraient pas être tenus responsables des contenus éventuellement illicites stockés dans leurs coffre-fort électronique.

On note également que la Cnil préconise aux prestataires proposant des services de récupération automatique de documents dématérialisés auprès de tiers (par exemple des factures dématérialisées des prestataires d’électricité, de fournisseurs d’abonnements, de commandes en ligne, etc…) d’élaborer des solutions techniques qui ne collectent pas d’informations confidentielles comme les identifiants et les mots de passe.

Sécurité. Enfin, les recommandations de la Cnil relatives à la sécurité des CFE-N sont au nombre de 19 et particulièrement détaillées avec toujours pour objectif de préserver la confidentialité et la récupération des contenus stockés par les particuliers.

Elle recommande notamment la mise en place des mécanismes cryptographiques utilisant « dans la mesure du possible des produits cryptographiques certifiés ou qualifiés par l’Agence nationale de la sécurité des systèmes d’information » et la conservation des copies de sauvegarde et des clés de déchiffrement chez un tiers de confiance pour les conservations de contenu de longue durée.

A toutes fins utiles, on attirera l’attention du lecteur sur le régime spécifique de démarches préalables quant à l’utilisation, l’importation et le transfert de moyens et de prestations de cryptologies s’effectuant auprès de l’Anssi et auquel pourra être soumis le prestataire de services de CFE-N (2).

Pour conclure. Ainsi tant les conditions techniques, notamment de sécurité, que les conditions juridiques générales et particulières des prestataires de services de coffre-fort électronique ou numérique destinés aux particuliers devront être mises à jour à la lumière des recommandations de la Cnil. Les prestataires pourront les combiner avec le référentiel de la norme Afnor Z42-020 de juillet 2012 sur les composants de coffre-fort électronique.

Enfin les prestataires devront prendre soin d’effectuer les démarches préalables adéquates auprès de la Cnil en fonction des services proposés aux particuliers et du lieu de stockage.

Lexing Droit Sécurité des systèmes d’information

(1) Cnil, Délibération n°2013-270 du 19-9-2013
(2) Loi n° 2004-575 du 21-6-2004, art. 29 et s.

Clôture de la mise en demeure de la Cnil à l’encontre du PSG. Après avoir été saisie de nombreuses plaintes dénonçant la création d’une liste d’exclusion de supporters par le club de football du Paris-Saint-Germain (PSG), la Cnil avait procédé à un contrôle sur place, à l’occasion duquel elle avait relevé différentes non-conformités s’agissant du traitement, par ce club, des données personnelles de ses supporters.

En effet, lors de ce contrôle, la délégation de la Cnil avait constaté dans l’application de gestion de la billetterie du club que certains clients étaient identifiés :

• comme « interdits », adjectif correspondant aux personnes ayant fait l’objet d’une mesure d’interdiction administrative ou judiciaire de stade ;
• ou encore comme « suspendus », terme visant à identifier les personnes indésirables auxquelles le PSG ne souhaitait plus vendre de billets.

Elle avait également relevé que le PSG avait communiqué ces informations à un autre organisme gérant une autre discipline sportive afin que ce dernier puisse annuler les billets des personnes concernées qui souhaitaient assister aux matchs qu’il organisait.

Ce contrôle avait donc débouché en août 2013 sur une décision de la Présidente de la Cnil reprochant notamment au club de foot de ne pas avoir effectué de demande d’autorisation auprès de la Cnil s’agissant de la liste d’exclusion mise en œuvre par le PSG et d’avoir manqué à son obligation de confidentialité en communiquant les données des supporters à un organisme tiers non autorisé à accéder à ces données. Cette décision mettait alors en demeure le PSG de régulariser ces pratiques dans le délai d’un mois.

Dans un courrier du 7 novembre dernier, la Présidente de la Cnil prend acte des éléments communiqués par le PSG en réponse à sa mise en demeure, notamment le dépôt de dossiers de formalités appropriées, à savoir deux demandes d’autorisations.

Ces demandes d’autorisation sont actuellement en cours d’instruction auprès de la Cnil. Ainsi, après différents échanges entre le club de football et la Présidente de la Cnil, cette dernière semble avoir considéré que le club s’était conformé à sa mise en demeure et a décidé de procéder à la clôture du dossier et de la procédure de contrôle. La Cnil précise, dans son communiqué, qu’aucune suite ne sera donc donnée à cette procédure.

Céline Avignon
Lexing Droit Informatique et libertés contentieux

Cnil, Courrier du 7-11-2013