UXDE dot Net Wordpress Themes

Compte-rendu Conférence « Le règlement e-Privacy : un marché unique des données ? »

« LE REGLEMENT E-PRIVACY : UN MARCHE UNIQUE DES DONNEES ? »

COLLOQUE ANNUEL DES ETUDIANTS DU MASTER II DROIT DU MULTIMEDIA ET DE L’INFORMATIQUE, DE L’UNIVERSITE PARIS II PANTHEON-ASSAS

Le 19 février dernier, s’est tenue en salle des Conseils de l’Université Panthéon-Assas, la conférence intitulée « Le règlement e-Privacy : un marché unique des données ? ». Organisée par les élèves du Master II Droit du Multimédia et de l’Informatique et par le CEJEM, cette dernière a réuni divers spécialistes (juristes, avocats, militants, représentants de la CNIL) en protection des données personnelles.

Hasard heureux du calendrier, cette conférence coïncide cette année avec l’entrée en application de deux règlements majeurs à savoir d’un côté le Règlement Général sur la Protection des Données abrogeant la directive 1995/46/CE et de l’autre le Règlement concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques abrogeant la directive 2002/58/CE.

L’année 2018 étant placée sous le signe de la donnée, c’est tout naturellement que la promotion du Master 2 DMI a décidé de consacrer sa traditionnelle conférence sur le thème du Règlement e-Privacy.

Pour rappel, la directive « vie privée et communications électroniques » de 2002 assure la protection des libertés et des droits fondamentaux, notamment le respect de la vie privée, la confidentialité des communications et la protection des données à caractère personnel dans le secteur des communications électroniques. Cette directive assure également la libre circulation des données, équipements et services de communications électroniques dans l’Union. 

Le règlement ePrivacy qui fera l’objet de toute notre attention aujourd’hui, consiste à réexaminer cette directive de 2002 en anticipant sur les objectifs de la stratégie pour un marché unique électronique, stratégie qui vise par ailleurs à faire en sorte en que les services numériques soient plus sûrs et suscitent davantage la confiance, tout en veillant à la conformité au RGPD.

Ainsi tout l’enjeu de ce colloque sera de dépecer ce Règlement, à travers les analyses de nos différents intervenants et de tenter de répondre à la question de savoir si ce règlement e-Privacy participe à un marché unique de la donnée.

PROTECTION DE LA VIE PRIVÉE : Un droit de l’Homme numérique émergent ?

Par Philippe COEN Administrateur de l’AFJE, Président de l’ECLA.

Monsieur Philippe Coen, modérateur de la conférence, dans son propos introductif, souligne qu’aujourd’hui se dessine un droit de l’Homme nouveau et plus particulièrement un droit de l’Homme numérique émergent qui rentre désormais dans les libertés fondamentales. Cependant, ce dernier se retrouve confronté à un véritable enjeu : la permanente évolution où la technologie va plus vite que les textes et où ces textes deviennent obsolètes le jour où ils sont applicables (par exemple la loi LCEN a commencé à être écrite en 1999).

« Métadonnées, désintermédiation, massification des données »

Beaucoup de choses vont changer en mai, le droit positif va être mis à jour mais Philippe Coen espère que l’on ne laissera pas le droit souple de côté. En effet, le droit souple peut être un vecteur et un complément du droit positif aujourd’hui (code, chartes, contrats, auto-contrat, conditions d’usage, Binding Corporate Rules, etc…). 

Edmund Burke : « les grandes tragédies des siècles sont la résultante de la passivité des gens de biens »

Les règles de droit dur ne sont pas suffisantes pour protéger nos libertés fondamentales. 

Philippe Coen souligne le fait que ce ne sont plus seulement des Etats dont on doit se protéger en tant qu’individu mais également de la force des entreprises qui gèrent nos données. Il existe une véritable transformation des pouvoirs. En effet, lorsque l’on travaille sur un Règlement qui touche autant de pays, on se réserve la capacité de travailler sur les règles fondamentales pour préserver la liberté des individus face aux abus étatiques et aux abus des entreprises (essentiellement les GAFAM).

PRÉSENTATION DU PROJET DU FUTUR RÈGLEMENT E-PRIVACY

Par Isabelle GAVANON, Avocat Associé, Cabinet FIDAL,

  1. Membre du Conseil d’Administration de l’AFDIT, Enseignante à l’Université Panthéon-Assas Co-animateur Commission Juridique Cloud confidence

Isabelle Gavanon corrige Philippe Coen et préfère évoquer l’ « être » numérique et au lieu de « l’Homme » numérique. Cette notion est en face d’un véritable problème éthique qui nous renvoie à l’être, à la passivité des démocraties et aux grandes entreprises. Par comparaison, les Etats-Unis ont une approche marchande des données personnelles alors que l’Europe a une vision plus humaniste. Mais cette vision ne doit pas nous endormir et nous bercer par le « chant des sirènes ». 

Le problème du futur règlement e-Privacy est l’équilibre des rapports économiques entre les personnes qui se sont emparées de l’Internet pour en faire du commerce (par exemple les acteurs de la presse) dans la mesure où cette analyse fine de la donnée, lorsqu’elles celles-ci sont exploitées deviennent un levier de croissance fondamentale. 

  • Faut-il renoncer au progrès lié à l’analyse des données ? Est-ce qu’il faut camper sur des positions passéistes en disant que le progrès est nécessairement source de crainte et qu’il faut s’y opposer ?

Pour répondre à ces questions, Isabelle Gavanon souligne le fait que globalement nous avons tous tendance à vouloir protéger nos données personnelles. Les acteurs voulant défendre l’exploitation de la donnée sont minoritaires en nombre mais plus puissants en termes d’équilibre de force. 

Le règlement e-Privacy a fait l’objet de discussions assez conséquentes depuis 2016. Il ajoute une composante beaucoup plus protectrice des données personnelles.

Il devrait remplacer la Directive 2002/58/CE dédiée aux données personnelles dans l’environnement des communications électroniques. Il est aujourd’hui incertain de savoir quand ce texte sera définitivement adopté car il fait l’objet aujourd’hui de nombreux débats. 

D’un point de vue technique, il n’est néanmoins pas problématique que le 25 mai prochain, ce texte dédié à l’environnement des communications électroniques ne soit pas encore en vigueur car le Règlement Européen prévoit parfaitement un renvoi à la Directive de 2002 puis à son successeur. Il y a donc ici une coordination maîtrisée de ces deux textes et avec le RGPD, règlement général et le Règlement e-Privacy, un règlement plus spécifique et plus technique

Le règlement e-Privacy est assez compliqué dans sa compréhension même s’il est beaucoup plus court que le RGPD : il faut l’analyser avec des techniciens. Le champ d’application du Règlement e-Privacy se divise en trois parties :au regard des acteurs, au regard des données et au regard des bénéficiaires :

Au regard des acteurs : le champ est traditionnel par rapport aux fournisseurs de services électroniques. En complément des acteurs traditionnels, il y un élargissement du champ qui touchera les OTT, dits « over the top » (services voies sur IP, courriers électroniques web, messageries instantanées qui sont des nouveaux acteurs tels que WhatsApp, Skype, …). Sont également concernés les fournisseurs d’annuaires, la téléphonie, les fournisseurs de logiciels permettant des communications électroniques, mais également tous les annonceurs sur Internet qui utilisent des services de communications électroniques pour envoyer des publicités commerciales. 

  • Au regard des données : viennent s’ajouter les métadonnées, définies par le Règlement comme « les données traitées dans un réseau de communications électroniques aux fins de la transmission, la distribution ou l’échange de contenu de communications électroniques, y compris les données permettant de retracer une communication et d’en déterminer l’origine et la destination ainsi que les données relatives à la localisation de l’appareil produites dans le cadre de la fourniture de services de communications électroniques, et la date, l’heure, la durée et le type de communication » (adresse IP, géolocalisation, type de communication qui permettent de déterminer des informations sur la vie privé etc.).  
  • Au regard des bénéficiaires : le RGPD ne couvre que les personnes physiques, tandis que le Règlement e-Privacy implique les personnes morales (le secret des affaires ayant une valeur économique ». C’est un apport fort par rapport au RGPD. 

Isabelle Gavanon, après avoir défini le champ d’application du règlement, souligne ses grands principes en abordant quelques articles. 

  • La confidentialité des données

Tout est confidentiel sauf autorisation du présent Règlement. Il s’agit là d’un apport important du Parlement (dans sa version telle que votée en assemblée plénière le 26 octobre 2017) qui a ajouté à la confidentialité des données qui circulent sur les réseaux les données hébergées au niveau des équipements terminaux (dont l’exploitation peut être très riche et donc attentatoire aux droits et libertés fondamentales). 

Ce Règlement vise à garantir la confidentialité de toutes les communications électroniques par l’article 5 relatif à la « Confidentialité des données de communications électroniques ». Toutes les communications sont ciblées, tant les communications traditionnelles que les nouvelles communications électroniques, quelle que soit la technologie utilisée. 

L’article 6 « Traitement autorisé des données de communications électroniques » vient poser les exceptions à ce principe : les fournisseurs de réseaux et de services de communications électroniques pourront traiter les données de communications électroniques si cela est nécessaire pour assurer la communication ou si cela est nécessaire pour maintenir ou rétablir la sécurité des réseaux et services de communications électroniques ou détecter des défaillances techniques et/ou des erreurs dans la transmission des communications électroniques, pendant la durée nécessaire à cette fin. L’article rajoute également que les fournisseurs de services électroniques ne peuvent traiter les métadonnées que dans des cas limitativement énumérés (ex : en cas de fraude). 

  • Le consentement

De plus, Isabelle Gavanon introduit l’article 9 « consentement » (libre spécifique, éclairé et univoque) en insistant sur le fait que l’exigence de consentement est contraignante pour les acteurs du net car il est très difficile pour collecter la donnée. Le Parlement exige des analyses d’impact pour les services qui exploitent les métadonnées sur le fondement du consentement (analyse des risques en plus du consentement). 

  • La minimisation des données

Ce principe est posé par le RGPD. Ne peuvent être traitées que les données nécessaires à la finalité du traitement. Les métadonnées sont bien entendu concernées par ce principe. 

  • La protection des informations stockées sur les équipements des utilisateurs finaux

L’article 8 « Protection des informations stockées dans les équipements terminaux des utilisateurs finaux ou liées à ces équipements » quant à lui porte sur la protection des informations stockées sur les équipements des utilisateurs finaux. Le Parlement, dans sa version du 26 octobre, a essayé de réduire le champ d’exploitation de ces données. Le point important de cet article se trouve dans la capacité de prévoir un « cookie wall », c’est-à-dire que par défaut les cookies ne peuvent pas être installés sur nos équipements. La Commission voulait qu’il y ait un paramétrage qui se fasse de la part des utilisateurs (technique de l’opt-in). 

Le vrai enjeu ici est d’avoir une ergonomie plus facile d’utilisation qui concourt à l’information des personnes concernées. On peut mettre en avant le principe de privacy by design énoncé par le RGPD à l’article 25, qui permet une meilleure information. 

  • Les communications non sollicitées

Enfin, Isabelle Gavanon insiste sur l’article 16 « communications non sollicitées ». Cet article avait déjà été évoqué lors de la Directive 2002/58/CE et traite de l’opt-in et de l’opt-out. Le considérant 32 prévoit qu’outre l’offre de produits et de services à des fins commerciales, la notion devrait s’étendre également aux messages des partis politiques et des organisations à but non lucratif.

L’ARTICLE 8 DU PROJET E-PRIVACY : Utilisation de capacité de traitement/de stockage des terminaux

Par Marc-Antoine LEDIEU, Avocat au barreau de Paris, Enseignant à l’Université Panthéon-Assas

Marc-Antoine Ledieu reprend l’explication d’Isabelle Gavanon et expose à son tour l’article 8 en version 2 du projet e-Privacy , vous pouvez retrouver sa présentation sur son blog. Il précise que la première version du projet de Règlement « e-Privacy » datait du 20 janvier 2017, la version 2 du projet « e-Privacy » date du 20 octobre 2017. La version finale n’est pas annoncée avec une date prévisible. 

  1. Rappel des définitions

Avant d’évoquer les capacités de traitement-stockage du terminal, il est opportun d’effectuer un rappel des définitions :

  • « Équipement terminal » : tout équipement connecté directement ou indirectement à l’interface d’un réseau public de télécommunications pour transmettre, traiter ou recevoir des informations. Dans les deux cas, direct ou indirect, la connexion peut être établie par fil, fibre optique ou voie électromagnétique ;

La définition datant de 2008 (art. 1.1 Directive 2008/63)reste parfaitement d’actualité.

  • « Capacités de traitement » d’un terminal ? Il n’existe pas de définition légale. C’est une définition technique qui laisse planer peu de doute : si le CPU de votre terminal fonctionne en utilisant la batterie interne ou une connexion à un fournisseur d’énergie il y a manifestement usage des capacités de traitement.
  • « Capacités de stockage » d’un terminal? Il n’existe pas de définition légale non plus. Le stockage, c’est la mémoire (vive, morte, programmable, etc.) de votre terminal.

Distinction entre les données de « contenu » et « métadonnées »

Marc-Antoine Ledieu met l’accent sur la distinction entre données de « contenu » et « métadonnées »

  • Le contenu, c’est ce que vous mettez dans l’enveloppe, le texte de vos messages électroniques… Cela se traduit par la protection du secret des correspondances.
  • Les métadonnées des communications électroniques sont l’essence même de ce projet de réglementation. Les métadonnées sont les données techniques qui permettent de transférer des communications électroniques d’un terminal vers un autre terminal. Ce sont toutes les données techniques qui ne sont pas du « contenu » (le « quoi ») mais qui permettent d’adresser ce « contenu » à son destinataire (Qui ? Quand ? Où ? Comment ?).
  • Capacités de traitement-stockage du terminal : les dérogations à l’interdiction

Comme dans le RGPD, l’option est simple : avec ou sans consentement ? Oui, avec le consentement, des tas de cas d’usage des métadonnées peuvent être envisagés…

Dans la version v1 du 10 janvier 2017, il y avait trois exceptions permettant l’utilisation des capacités de traitement-stockage du terminal d’un « User ». 

L’expression « nécessaire pour fournir un service demandé par l’utilisateur », renvoie à la même chose qu’un traitement sans consentement « nécessaires à l’exécution d’un contrat » au sens de l’article 6.1 (b) du RGPD.

En plus de ces trois cas, la version 2 de « e-Privacy » introduit deux dérogations additionnelles.

  • Capacités de traitement-stockage du terminal : la « collecte d’informations provenant d’un terminal »

C’est sur ce point que l’on réalise combien ce projet de règlement pousse à son paroxysme le concept de protection de l’utilisation « cachée » d’un terminal.

  • Capacités de traitement-stockage du terminal : le « traitement d’informations émises par un terminal »

Le texte de l’Union Européenne suggère fortement de faire une distinction entre les informations « demandées » à un terminal de celles transmises « spontanément » par ce même terminal. On pensera ici par exemple aux données de recherche de connexion Wi-Fi d’un smartphone… 

On pourrait espérer que l’UE encadre à l’identique les données « émises » par un terminal de celles « transmises » par un terminal… Il n’en est rien. Pour les « informations émises par », il est possible de déroger AVEC consentement, ou SANS consentement (pour établir la connexion). Il reste une troisième hypothèse fondée sur les « risques atténués » mais que Maître Ledieu n’a pu approfondir. 

PANORAMA DES TECHNOLOGIES DE TRAÇAGE ET DE LEUR ENCADREMENT JURIDIQUE

Par Judicaël PHAN, Membre de l’AFCDP (Association Française des Correspondants aux Données Personnelles), Responsable juridique – DPO chez UBISOFT

C’est maintenant le Data Protection Officer d’Ubisoft, Judicaël Phan, qui prend la parole et nous dresse le panorama des technologies de traçage et l’encadrement juridique. Il abordera ainsi les différents usages des données, les technologies utilisées, l’univers dans lequel ces technologies sont utilisées, et le cadre légal.

  • Les usages des données : 
    • Améliorer les services (en vous traçant on va mieux vous connaître, mieux améliorer le service)
    • Profiler (technologies de traçable vont créer un profil pour mieux vous connaître et vous proposer un service qui vous concerne : par exemple Netflix qui vous propose films et séries qui pourraient vous convenir : c’est un système de recommandation). 
    • Analyser : On analyse vos données pour vous donner des services pertinents grâce à des technologies de traçage. 
    • Prospecter : des sociétés comme Google, Amazon, vont faire de la prospection afficher de la publicité ciblée, c’est-à-dire qu’il y a eu un profilage en fonction des navigations
    • Protéger : les acteurs mutualisent vos achats et les informations pour la lutte contre la fraude (par ex : acheteurs à risque). 
  • Les technologies utilisées :
    • Cookies : petit fichier ou information dans notre navigateur web qui va communiquer avec les serveurs. 
    • Pixels : pixel de 1/1 utilisé quand on ouvre un email souvent (à chaque fois que ce pixel s’affiche il y a une communication faite avec le serveur du partenaire). 
    • Fingerprinting : informations installées sur l’ordinateur (navigateur, police de caractères, informations au sein du PC). Les acteurs vont calculer une empreinte numérique en fonction de vos informations. Cela permet aux différents acteurs de nous suivre quand on se connecte avec les sites utilisant ce type de technologie. 
    • Identifiant : dans les applications, les identifiants sont liés aux systèmes d’exploitation. Les acteurs vont, grâce à ces identifiants, nous tracer. Les identifiants sont ainsi lus et récupérés pour renforcer le profilage.
    • Bluetooth : des antennes peuvent être installées (si Bluetooth activité, ces petites antennes pourront savoir que vous êtes venus dans un endroit). Des informations vont être transmises et on va savoir que vous êtes venus dans tels magasins, dans tel endroit quand et à quelle heure.
    • Son : tracer avec le son, avec micro du smartphone. Les acteurs récupèrent ces informations pour calculer la mesure d’audience de publicité.
    • GPS : à chaque fois que GPS connecté, des informations peuvent être transmises.
  • L’univers dans lequel ces technologies sont utilisées :
    • Site web 
    • Mobile : Quand on utilise le wifi beaucoup d’acteurs en profitent pour créer une cartographie pour savoir où on est, et proposer le meilleur service.
    • IOT 
    • Livre numérique : quand on lit un de ces livres, les acteurs peuvent savoir combien de temps on a passé dessus, si on a surligné, si on a fait une recherche : pour pouvoir mieux nous connaître et faire des publicités en rapport
    • Espace public
    • Magasins 
  • Le cadre légal :

L’article 32-2 de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés couvre toutes ces technologies. Le cadre dans e-Privacy est le même mais il est renforcé. On trouve également la recommandation de la Cnil de décembre 2013 sur le recueil du consentement.

Le consentement est aujourd’hui nécessaire pour tout ce qui n’est pas explicitement demandé par l’utilisateur : cookies, boutons de réseaux sociaux, etc. 

Aujourd’hui, on sait que la plupart des sites installent les cookies dès la première visite malgré l’affichage du bandeau. Il y a peu d’ergonomie pour l’utilisateur qui souhaite paramétrer les cookies. Sur mobile, la question se pose pour les sdk (équivalent des cookies), il y a du retard par rapport aux ordinateurs bureaux. Même question pour les objets connectés. 

Question des i-beacons dans les magasins : le consentement de l’utilisateur est nécessaire pour qu’il soit tracé ou ses données doivent être anonymisées à bref délai (dès la sortie de la zone couverte).

De nos jours, une multitude de technologies de traçage existe. Il s’agira de trouver un juste équilibre entre des services pertinents, le business et le respect de la vie privée des personnes.

Le mot de la fin de Judicaël Phan : il faut donner plus de moyens à la CNIL !

FUTUR RÈGLEMENT E-PRIVACY, MARCHÉ UNIQUE DES DONNÉES ?

Par Clémence SCOTTEZ, Chef du service des affaires économiques de la CNIL

Clémence Scottez, chef du service des affaires économiques de la CNIL introduit son propos avec les difficultés en termes d’application pour tenir compte de l’évolution des technologies et d’un retour accru à internet. 

C’est l’historique de la réglementation qui a amené à la révision du règlement e-Privacy :

La Directive 95/46/CE n’était pas assez précise, c’est ainsi que le RGPD est intervenu (qu’entend-t-on par données « personnelles », par consentement « libre », etc…). 

Dans la logique du marché unique européen, la Commission avait prévu de revoir la Directive 2009/136/EC et de continuer le schéma : un règlement général accompagné d’un règlement spécifique. Le règlement e-Privacy vient « préciser » le RGPD.

La crédibilisation de la réglementation 

Il s’agissait de voir de quelle manière on pouvait rendre crédible cette réglementation. Il existe quelques changements avec la Directive 2009/136/EC. Ces derniers restent cependant minimes :

  • L’ajout des OTT à savoir les services de communication par contournement (Skype, whatsapp, Facebook Messenger…) 
  • Constat : l’exercice du recueil du consentement en termes de traqueur était chronophage: l’idée est de concentrer le consentement via le navigateur qui est le point d’entrée des sites (faciliter le travail des opérateurs concernés et proposer quelque chose qui soit en phase avec le RGPD à savoir avec le principe de Privacy by Design). Il s’agit donc de faciliter la vie des utilisateurs et de répondre aux critiques récurrentes des systèmes de tag management (traiter le consentement au cas par cas). Il y a une véritable volonté de mettre à la plat le marché européen. 

La principale critique consiste à dire que si on propose un système qui permet dès le départ de dire « oui » ou « non » alors on « bloque tout » ou on « accepte tout ». Ce système permettrait de favoriser les GAFAM car ils sont à l’origine de certains navigateurs. 

Dans l’ère du big data il est très difficile de gérer toutes ces données. 

L’information et la transparence (RGPD) passent par des mécanismes de choix

Le pouvoir de sanction de l’autorité

La proposition faite par la Commission Européenne énonce que ce sont les autorités de protection des données qui se chargeront de l’application de la règlementation avec de véritables moyens de sanctions. La directive actuelle ne précise pas qui est chargé de l’application de la directive : manque de clarté et de coordination, application hétérogène… Cela change avec ePrivacy qui nomme les responsables et met en place des sanctions miroirs à celles du RGPD. Ce pouvoir de sanction permet de crédibiliser la réglementation mais permet également l’homogénéisation au niveau européen. Cette réglementation vise tous les acteurs qui ciblent des publics européens.

En écho à l’autorité de protection polonaise, la CNIL ne souhaite pas qu’il y ait un acharnement inutile sur les TPE/PME qui n’ont pas les mêmes moyens pour assurer la conformité. La CNIL travaille à l’élaboration d’un pack conformité pour TPE/PME.

Clémence Scottez rappelle que les exceptions à l’interdiction du traitement restent larges : les professionnels n’ont pas à craindre de devoir demander constamment le consentement ou de devoir supprimer toutes les données tout le temps.

Elle souligne que l’interdiction de traitement des métadonnées et des données de contenu ne vise pour le moment que les OTT et les opérateurs de télé communication. La réglementation est en phase avec les pratiques actuelles des acteurs.

La vraie difficulté, c’est sur la manière de récolter le consentement. L’écosystème actuel de la data et du big data ne permet pas la traçabilité de l’information brute. Il faut encourager les professionnels à trouver des mécanismes adéquats pour permettre l’exercice des droits.

En termes de vision, la vision européenne est différente de l’américaine puisque le RGPD essai de trouver un juste équilibre entre l’économie du marché et les attentes des utilisateurs. Le futur règlement européen tend à faire cette balance entre les intérêts des acteurs économiques et la protection de la vie privée des utilisateurs. La protection des données personnelles est en effet aussi un argument commercial : 35% des internautes ont déjà abandonné un achat par manque de confiance dans la gestion de leurs données personnelles

Philippe Coen estime que l’on omet l’éducation des utilisateurs et générations futures sur l’état des techniques. Pourquoi séparer la prévention de la coercition ? La CNIL dispose d’un département prévention qui travaille notamment avec des youtubeurs (service dédié à l’éducation numérique).

E-PRIVACY, LA POSITION DE LA QUADRATURE DU NET

Par Arthur MESSAUD, Juriste et militant à la QUADRATURE DU NET

« Protéger sa vie privée n’est pas réservé aux geeks ! »

Arthur Messaud juriste et militant à la Quadrature du Net, débute son intervention par une démonstration pratique des cookies et trackers, avec une visite sur le site d’un journal réputé. Il utilise le navigateur Firefox, qui a travaillé sur son interface, plus ergonomique 

Le site du journal est visité sans bloqueurs de publicité : une majorité de l’affichage correspond à de la publicité et non à du journalisme. En appuyant sur F12, on peut accéder à toutes les demandes de contenus. Beaucoup n’ont pas de lien avec l’éditeur. Pour certaines demandes, notamment les scripts, le terminal de l’utilisateur envoi directement un certain nombre d’informations à un acteur tiers : ce tiers reçoit donc une série d’informations (IP, article consulté, date, heure…) sur l’utilisateur, qu’il pourra analyser. Certains acteurs, comme Google, disposent de tels scripts sur un grand nombre de sites sur Internet : cela permet de suivre précisément le comportement de l’utilisateur sur Internet. Le site du journal contraint l’utilisateur à communiquer toutes ces données, sans lui dire. 

Des modules de navigateur permettent de bloquer ces requêtes, comme Ublock Origin sur Firefox. En complément, on peut, dans les paramètres du navigateur, refuser les cookies tiers (les cookies qui, sur un site, sont déposés par d’autres acteurs que le propriétaire du site). 

Il existe un site dédié à ePrivacy édité par la Quadrature du Net qui reprend les différentes précautions à prendre.

Le constat est que de nombreux acteurs ne respectent pas la loi actuellement. La question se pose de l’utilité d’adopter une nouvelle réglementation face à l’impunité de certains acteurs. Il insiste alors sur la nécessité pour la CNIL de se saisir des nouveaux outils répressifs pour donner une application réelle au droit. Sur mobile, les outils manquent pour contrôler les flux de données. Arthur Messaud cite le travail exceptionnel de ExodusPrivacy en la matière pour analyser l’action des applications et mentionne le système d’exploitation libre Fdroid

Les changements du règlement e-Privacy ne vont pas bouleverser l’économie. 

C’est le RGPD qui a tout changé. La logique est que la protection des données est l’expression d’une liberté fondamentale. Cela a pour conséquence que des sites, tel que Facebook, devront, dès mai 2018, continuer à fournir leurs services aux utilisateurs qui auront retiré leur consentement pour le traçage. 

La volonté de garder les données personnelles en « dehors du commerce », c’est-à-dire, les rendre non marchandes, condamne de facto l’existence de nombreux acteurs économiques car leur business model est basé sur l’exploitation de la vie privée. 

Le RGPD appliqué aux cookies fait que la Directive 2009/136/CE est remise en cause car le règlement e-Privacy va créer plein d’exceptions au consentement. On constate de nombreux débats pour proposer des alternatives au consentement.

Arthur Messaud nous informe que le 25 mai 2018, une action est prévue contre Facebook consistant pour les utilisateurs à refuser la publication ciblée tout en continuant à utiliser le service. 

Mot de la fin pour cette intervention : la directive actuelle suffirait, si seulement elle est appliquée…

CONCLUSION

Par Jérôme HUET, Professeur Émérite de l’Université PanthéonAssas

Pour conclure, Jérôme Huet, Professeur émérite de l’Université Panthéon-Assas et fondateur du Master II Droit du Multimédia et de l’Informatique, met l’accent sur le fait que le RGPD n’est pas un projet venant réglementer une matière qui ne l’aurait pas été auparavant.  Il ne s’agit pas de quelque chose totalement neuf. Le cadre cyclique persiste : le règlement général vient remplacer une directive particulière et le règlement particulier remplace une directive particulière. Peut-être que l’avenir nous apportera des règlements plus précis, par exemple sur les données de santé.

Il faut aussi rappeler que le RGPD consacre une révolution fondamentale dans la protection des données car il supprime quasiment toutes les formalité préalables (déclaration, autorisation), en les remplaçant par le principe d’accountability. Parallèlement d’autres aspects évoluent et notamment le pouvoir de sanction de l’autorité de contrôle.

Les entreprises doivent effectuer un travail de conformité en profondeur pour tenir le rythme. Concernant le consentement, c’est un problème épineux, c’est devenu un des chevaux de bataille du RGPD et de E-Privacy. Cela gêne le Professeur Jérôme Huet car les entreprises sont énervées de devoir chercher le consentement des utilisateurs. Les acteurs cherchent à extorquer le consentement de diverses manières : en le rendant obligatoire pour accéder aux services, en donnant une contrepartie négligeable, etc. L’utilisateur ne sort pas gagnant de ces diverses méthodes. 

Le Professeur Jérôme Huet rappelle les notions d’opt in, d’opt out, de cookies (qui étaient déjà abordés en 2002). Le consentement pouvait à cet égard être exprimé « à l’aide de paramètres techniques appropriés », description ouverte aux interprétations.

Le Professeur Jérôme Huet s’interroge sur la nécessité d’adopter des nouveaux textes, indiquant que cette frénésie normative « doit faire se retourner Portalis dans sa tombe ». L’accent est mis sur la quantité et non la qualité des textes, qui doivent être fréquemment corrigés.

A mettre en lien avec le choix d’adopter un règlement, d’application directe, pour remplacer une directive, dont l’application est soumise à un texte d’application interne.

Pour revoir la conférence et notamment les mises en situations proposées par nos intervenants, rendez-vous sur notre page Facebook et cliquez sur l’onglet vidéo : Master 2 Droit du Multimédia et de l’Informatique, Paris II Panthéon-Assas. Vous pouvez également relire plus succinctement notre live twitter : @AssasNTIC.

EnregistrerEnregistrer

By les étudiants du M2 ASSAS DMI|Website|Other Articles

Laissez une réponse

XHTML: You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>