Synthèse de la directive sur les données personnelles : Différence entre versions
(→« Contrôle d'autorités indépendantes ») |
|||
| Ligne 6 : | Ligne 6 : | ||
* d'un [[Synthèse du règlement sur la protection des données | règlement]] qui encadre les traitements de données personnelles d'une manière générale ; | * d'un [[Synthèse du règlement sur la protection des données | règlement]] qui encadre les traitements de données personnelles d'une manière générale ; | ||
* d'une [http://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CONSIL:ST_5463_2016_INIT&from=EN directive] sur le traitement de données personnelles par les services de police et la justice. | * d'une [http://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CONSIL:ST_5463_2016_INIT&from=EN directive] sur le traitement de données personnelles par les services de police et la justice. | ||
| + | |||
| + | Cette directive révèle la nouvelle approche du traitement de données dans les secteurs policiers et judiciaires. Cette approche est stratégiquement organisée pour répondre aux besoins et aux exigences des services de renseignement, comme l'a rappelé la chercheuse Fanny Coudert<ref>Positions éxprimées lors de l'atelier sur l'analyse juridique de la directive sur les données personnelles, organisé par l'Université de Leuven, le 1er février 2016.</ref>. Cette stratégie prône pour que les bases de données personnelles soient : | ||
| + | * fusionnées ; | ||
| + | * traitées de manière à devenir des renseignements ; | ||
| + | * transférées librement, c'est à dire qu'elles puissent être rendues disponibles sur simple requête. | ||
| + | |||
| + | L'application de cette nouvelle approche implique nécessairement de '''remettre en question le principe de limitation des finalités''', qui est l'essence d'un traitement loyal de données personnelles et de la création en France du droit des données personnelles après l'affaire [https://fr.wikipedia.org/wiki/Loi_informatique_et_libert%C3%A9s#Le_projet_SAFARI_et_la_cr.C3.A9ation_de_la_CNIL Safari], qui donna lieu à la rédaction de la loi Informatique et Libertés et la création de la CNIL. | ||
| + | |||
| + | Pour ces raisons, la Quadrature du Net est éminemment inquiétée par l'usage qui sera fait de cette directive et de ses différentes transpositions au travers des États membres. | ||
= Génèse = | = Génèse = | ||
| Ligne 47 : | Ligne 56 : | ||
Cette directive était alors ''relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, '''ou la protection contre et la prévention d'atteintes à la sécurité publique''' et à la libre circulation de ces données''. La partie en gras a disparu. Pourtant, les dispositions en la matière sont restées. Cela dénote sans doute du malaise à assumer qu'une finalité aussi vaste et floue soit l'un des objectifs de cette directive. | Cette directive était alors ''relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, '''ou la protection contre et la prévention d'atteintes à la sécurité publique''' et à la libre circulation de ces données''. La partie en gras a disparu. Pourtant, les dispositions en la matière sont restées. Cela dénote sans doute du malaise à assumer qu'une finalité aussi vaste et floue soit l'un des objectifs de cette directive. | ||
| + | |||
| + | = Sécurité des données = | ||
| + | |||
| + | En terme de séurité des données personnelles, la directive ne met pas en place des obligations techniques concrètes de sécurisation. Elle ne fait qu'exprimer des voeux pieux. | ||
| + | |||
| + | La directive ne fait que mentionner le '''chiffrement''' des données comme un moyen pour le responsable de traitement ou le sous-traitant de se libérer de leur obligation de prévenir les personnes concernées en cas de violation des données qu'ils traitent (art. 29-3, cons. 41''bis''). | ||
| + | |||
| + | Pour ce qui est de la pseudonymisation, le considérant 38 prévoit que la pseudonimisation puisse faire partie des mesusures de protection des données personnelles. Mais l'efficacité de la pseudonymisation en terme de sécurité est loin d'être prouvée. En effet, les données « pseudonymisées » restent relatives à un individu identifiable, en raison du lien existant entre le pseudonyme et les données d'identification (e. g. nom, prénom, adresse) possédées par l'organisation collectant l'information. | ||
| + | |||
| + | En outre, il est extrêmement aisé d'identifier un individu avec relativement peu de données pseudonymisées, comme l'a montré la [http://pro.clubic.com/it-business/securite-et-donnees/actualite-715411-donnees-anonymes.html recherche en matière de ré-identification]. Ces recherches ont montré que des informations apparemment anonymes pouvaient être aisément rattachées à la personne qu'elles concernent en étant recoupées à une poignée d'autres informations facilement accessibles ailleurs. | ||
| + | |||
| + | Par exemple, par géolocalisation, certaines applications installées sur des smartphones peuvent transmettre à des sociétés la liste des lieux visités par leurs utilisateurs. En principe, ces informations sont transmises de façon « anonyme », de sorte qu'on ne puisse les associer aux personnes qu'elles concernent. Mais l'itinéraire quotidien réalisé par chacun de ces utilisateurs (là où il travaille, là où il déjeune, là où il dort...) est en réalité unique parmi les itinéraires réalisés par tous les autres utilisateurs. Un [http://www.nature.com/articles/srep01376 rapport] ainsi été démontré qu'il suffisait de connaître '''[http://internetactu.blog.lemonde.fr/2013/12/13/big-data-pourquoi-nos-metadonnees-sont-elles-plus-personnelles-que-nos-empreintes-digitales/ quatre lieux]''' où une personne s'était rendue pour lui rattacher, avec 95% de certitude, la liste « anonyme » des déplacements enregistrés par son téléphone et transmise à ces entreprises. C'est donc plus fiable que vos empreintes, pour lesquelles il faut 12 points pour pour vous identifier avec certitude ! | ||
| + | |||
| + | Le considérant 38 dispose que le responsable du traitement « devrait » adopter des règles internes. | ||
| + | |||
| + | Le même considérant 38 dispose que les études d'impacts devraient être faites, dont les résultats « devraient » être pris en compte. | ||
| + | |||
| + | Risque d'erreurs dans les fichiers | ||
| + | |||
| + | |||
= « Contrôle d'autorités indépendantes » = | = « Contrôle d'autorités indépendantes » = | ||
Version du 20 avril 2016 à 12:24
Cette page présente un contenu en cours de réalisation.
Si vous souhaitez participer, n'hésitez pas à laisser votre avis sur la page de discussion en suivant au mieux ces recommandations.
La réforme européenne du droit de la protection des données personnelles comprend l'adoption :
- d'un règlement qui encadre les traitements de données personnelles d'une manière générale ;
- d'une directive sur le traitement de données personnelles par les services de police et la justice.
Cette directive révèle la nouvelle approche du traitement de données dans les secteurs policiers et judiciaires. Cette approche est stratégiquement organisée pour répondre aux besoins et aux exigences des services de renseignement, comme l'a rappelé la chercheuse Fanny Coudert[1]. Cette stratégie prône pour que les bases de données personnelles soient :
- fusionnées ;
- traitées de manière à devenir des renseignements ;
- transférées librement, c'est à dire qu'elles puissent être rendues disponibles sur simple requête.
L'application de cette nouvelle approche implique nécessairement de remettre en question le principe de limitation des finalités, qui est l'essence d'un traitement loyal de données personnelles et de la création en France du droit des données personnelles après l'affaire Safari, qui donna lieu à la rédaction de la loi Informatique et Libertés et la création de la CNIL.
Pour ces raisons, la Quadrature du Net est éminemment inquiétée par l'usage qui sera fait de cette directive et de ses différentes transpositions au travers des États membres.
Sommaire
Génèse
Les missions de cette directive ont d'abord été dévolues à la décision-cadre 2008/977/JHA de 2008, mais celle-ci n'a pas permis d'harmoniser les pratiques des États membres. La directive va donc remplacer cette décision. La rédaction de cette directive est fondée sur l'article 16 du Traité sur le Fonctionnement de l'Union européenne (TFUE).
Cet article dispose : « 1. Toute personne a droit à la protection des données à caractère personnel la concernant. 2. Le Parlement européen et le Conseil, statuant conformément à la procédure législative ordinaire, fixent les règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions, organes et organismes de l'Union, ainsi que par les États membres dans l'exercice d'activités qui relèvent du champ d'application du droit de l'Union, et à la libre circulation de ces données. Le respect de ces règles est soumis au contrôle d'autorités indépendantes. Les règles adoptées sur la base du présent article sont sans préjudice des règles spécifiques prévues à l'article 39 du traité sur l'Union européenne. »
Quant à lui, l'article 39 du TUE permet une exception pour les données s'inscrivant dans le troisième pilier du droit européen, c'est à dire s'inscrivant dans la coopération policière et judiciaire en matière pénale.
Pourquoi une directive ?
Qu'est ce qui distingue une directive d'un règlement en droit européen ?
Le règlement (regulation en anglais) est applicable directement en droit national. C'est à dire que Alice peut défendre les droits que lui confère un règlement devant un tribunal français.
A l'inverse, la directive est d'application indirecte. C'est à dire qu'elle nécessite que le législateur de chaque Etat membre mette en place des instruments légaux permettant de transposer les droits et obligations développés dans la directive en droit national. Alice ne peut donc pas invoquer qu'une directive devant un tribunal français. Elle peut se fonder sur une directive, mais devra aussi invoquer des instruments existants en droit français (comme une loi ou un décret) pour que sa demande soit recevable.
Comme l'instrument étudié ici est une directive, elle ne fait que mettre en place un niveau minimum et harmonisé de protection. Mais sa transposition a de grandes chances de différer d'un pays à l'autre. Dans tous les cas cette directive sera un frein à l'harmonisation. Une position partagée par la CNIL anglais : « The Information Commissioner's Office is deeply sceptical of this proposal to spilt the current [1995] Directive into a Directive and a Regulation. All sorts of mischiefs follow that decision. »
Champ d'application
Le champ d'application de cette directive est particulièrement large, incluant la prévention et la détection des infractions pénales et les enquêtes et les poursuites en la matière, permattant la prise de « mesures coercitives, par exemple dans le cadre d'activités de police lors de manifestations, de grands événements sportifs et d'émeutes » (cons. 11bis). Un tel champ d'application pose inévitablement la question du fichage institutionnel, dénnoncé par l'Observatoire des Libertés et du Numérique[2] et la Ligue des Droits de l'Homme[3].
En effet, ce champ d'application large comprend les activités pouvant hypothétiquement mener à des activités criminelles. Les personnes se rendant à un match sportif ou une manifestation sont donc privées de la présomption d'innocence, devenue une présomption de culpabilité. Par ailleurs, un fichage aussi large a de lourdes conséquences si les données sont modifiées ou incomplètes, et porte des risques élevés de discriminations.
De plus, le champ d'application de cette directive comprend la prévention d'atteintes à la sécurité publique ainsi que la protection de la sécurité publique (ex. : cons. 5, 7, 11, 11bis, 12, 18, 20bis, 24ter, 25, 33, 43, 45bis, 49bisbis). Cependant, son champ d'application exclut expressément la protection de la « sécurité nationale » (cons. 11ter). Malheureusement la limite entre ces deux notions est ténue et absconse. Un rappel de la définition de ces expressions et la distinction entre les deux auraient gagnés à apparaître dans la directive.
Dans tous les cas, l'invocation de la « sécurité nationale » ou de la « sécurité publique » permet de limiter ou retarder l'information des personnes concernées (cons. 33), voire d'omettre purement et simplement leur information lorsuqe la « violation de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et les libertés d'une personne physique » (cons. 43).
Évolution lors des négociations : Dans sa version antérieure d'octobre 2015 la directive n'a pas exactement le même nom.
Cette directive était alors relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, ou la protection contre et la prévention d'atteintes à la sécurité publique et à la libre circulation de ces données. La partie en gras a disparu. Pourtant, les dispositions en la matière sont restées. Cela dénote sans doute du malaise à assumer qu'une finalité aussi vaste et floue soit l'un des objectifs de cette directive.
Sécurité des données
En terme de séurité des données personnelles, la directive ne met pas en place des obligations techniques concrètes de sécurisation. Elle ne fait qu'exprimer des voeux pieux.
La directive ne fait que mentionner le chiffrement des données comme un moyen pour le responsable de traitement ou le sous-traitant de se libérer de leur obligation de prévenir les personnes concernées en cas de violation des données qu'ils traitent (art. 29-3, cons. 41bis).
Pour ce qui est de la pseudonymisation, le considérant 38 prévoit que la pseudonimisation puisse faire partie des mesusures de protection des données personnelles. Mais l'efficacité de la pseudonymisation en terme de sécurité est loin d'être prouvée. En effet, les données « pseudonymisées » restent relatives à un individu identifiable, en raison du lien existant entre le pseudonyme et les données d'identification (e. g. nom, prénom, adresse) possédées par l'organisation collectant l'information.
En outre, il est extrêmement aisé d'identifier un individu avec relativement peu de données pseudonymisées, comme l'a montré la recherche en matière de ré-identification. Ces recherches ont montré que des informations apparemment anonymes pouvaient être aisément rattachées à la personne qu'elles concernent en étant recoupées à une poignée d'autres informations facilement accessibles ailleurs.
Par exemple, par géolocalisation, certaines applications installées sur des smartphones peuvent transmettre à des sociétés la liste des lieux visités par leurs utilisateurs. En principe, ces informations sont transmises de façon « anonyme », de sorte qu'on ne puisse les associer aux personnes qu'elles concernent. Mais l'itinéraire quotidien réalisé par chacun de ces utilisateurs (là où il travaille, là où il déjeune, là où il dort...) est en réalité unique parmi les itinéraires réalisés par tous les autres utilisateurs. Un rapport ainsi été démontré qu'il suffisait de connaître quatre lieux où une personne s'était rendue pour lui rattacher, avec 95% de certitude, la liste « anonyme » des déplacements enregistrés par son téléphone et transmise à ces entreprises. C'est donc plus fiable que vos empreintes, pour lesquelles il faut 12 points pour pour vous identifier avec certitude !
Le considérant 38 dispose que le responsable du traitement « devrait » adopter des règles internes.
Le même considérant 38 dispose que les études d'impacts devraient être faites, dont les résultats « devraient » être pris en compte.
Risque d'erreurs dans les fichiers
« Contrôle d'autorités indépendantes »
Le respect des règles prévues par la directive est, en application des articles 16 du TFUE et de l'article 39 du TUE, soumis au contrôle d'autorités indépendantes.
Mais la Quadrature du Net, ainsi que des experts en la matière comme le Dr. Kosta et le Dr. de Hert[4], émettent de sérieux doutes quant à l'indépendance réelle de ces authorités.
Par ailleurs, les agences européennes transfèrent des données entres elles (ex : d'Europol à OLAF) et se contrôlent entre elles. Mais aucun acteur indépendant n'est chargé de controler ces transfers inter-agences. Ce qui pose des problèmes en termes de protection des données aussi bien qu'en termes de possibilités de recours. Vers qui se tourner en cas de plainte portant sur l'un de ces transferts ? La réponse mérite d'être posée selon M. de Hert.
TODO
Références
- ↑ Positions éxprimées lors de l'atelier sur l'analyse juridique de la directive sur les données personnelles, organisé par l'Université de Leuven, le 1er février 2016.
- ↑ Intervention (27 min.) sur le fichage institutionnel, par Laurence Blisson, une représentante du Syndicat de la magistrature lors de la conférence de l'Observatoire des libertés et du Numérique (OLN) sur les données personnelles. L'OLN regroupe Amnesty International, le Syndicat de la Magistrature, le Syndicat des Avocats de France, la Ligue des droits de l'Homme, La Quadrature du net et le CECIL.
- ↑ Livret d'information des citoyens européens, rédigé avec d'autres membres de la société civile européenne. Pour plus d'informations, c'est ici
- ↑ Positions éxprimées lors de l'atelier sur l'analyse juridique de la directive sur les données personnelles, organisé par l'Université de Leuven, le 1er février 2016.
