Par pascal.alix le 13/01/14

Le 23 décembre 2013, la garde des Sceaux a présenté en Conseil des ministres, un projet de loi relatif à la géolocalisation afin de fixer un cadre législatif à l'utilisation des méthodes de géolocalisation dans le cadre des enquêtes policières, jusque là autorisées par le procureur de la République.

La loi intègre la jurisprudence de la CEDH et de la Cour de cassation

Le 22 octobre 2013, la chambre criminelle de la Cour de cassation a rendu deux arrêts par lesquels elle annulait des pièces de procédure collectées grâce à la géolocalisation dans le cadre d'une enquête préliminaire en considérant que cette procédure était contraire à la Convention européenne des droits de l'Homme.

Ce faisant elle a constaté que la géolocalisation n'était pas encadrée juridiquement et a affirmé que le recours à la géolocalisation en temps réel lors d'une procédure judiciaire constituait une ingérence dans la vie privée qui devait donc être exécutée sous le contrôle d'un juge. Elle a également retenu que les parquetiers n'étaient pas des juges indépendants au sens de la jurisprudence européenne.

Le 29 octobre 2013, prenant acte de la position de la Cour de cassation, le ministère de la justice a envoyé une circulaire aux différents parquets, leur demandant l'arrêt immédiat des géolocalisations, et ce, jusqu'à l'adoption du projet de loi.

Cette situation a provoqué la colère des syndicats de police pour qui la géolocalisation constitue un outil efficace notamment dans les affaires de stupéfiants ou d'enlèvement.

Le contenu du projet de loi

Le projet de loi tente de concilier le droit au respect de la vie privée de l'article 8 de la Convention européenne des droits de l'Homme et la recherche d'efficacité dans les méthodes d'investigation.

Si le projet de loi est adopté, la géolocalisation en temps réel ne sera désormais possible que si elle s'avère nécessaire à la conduite d'investigations relatives à un crime ou à un délit puni d'au moins trois ans d'emprisonnement.

Le régime sera différent selon que le recours à la géolocalisation sera sollicité au stade de l'enquête préliminaire ou au stade de l'instruction.

Au cours de l'enquête, il devra être autorisé par une décision écrite du procureur de la République, pour une durée initiale de quinze jours, qui pourra être prolongée, par le juge des libertés et de la détention, pour une durée d'un mois renouvelable.

Au cours de l'instruction, il devra être autorisé par une décision écrite du juge d'instruction, pour une durée de quatre mois renouvelable.

Dans les deux cas, seul le juge des libertés et de la détention ou le juge d'instruction pourront autoriser par exemple l'introduction dans un domicile pour la pose d'un dispositif de géolocalisation, et à la condition toutefois que l'infraction soit passible d'une peine d'au moins cinq ans d'emprisonnement.

En cas d'urgence « résultant d'un risque imminent de dépérissement des preuves ou d'atteinte grave aux personnes ou aux biens » , l'autorisation du magistrat pourra être donnée par tous moyens, même verbalement à la condition d'être confirmée par écrit dans les quarante-huit heures.

La recherche d'un équilibre délicat entre respect des libertés individuelles et de l'ordre public

Le projet de loi sera examiné le 20 janvier 2014 par le Sénat dans le cadre de la procédure accélérée de l'article 45 de la Constitution permettant au Gouvernement d'accélérer la procédure législative en raccourcissant le mouvement de va et vient entre les deux assemblées.

Cette volonté de protéger les libertés individuelles doit mise en perspective avec l'adoption de l'article 13 de la loi de programmation militaire prévoyant notamment l'accès en temps réel, aux données de connexion par des agents des ministères de l'intérieur, de la défense et du budget.

Sources

http://www.senat.fr/leg/pjl13-257.html

Cass. crim., 22 oct. 2013, nos 13-81.945 et 13-81.949

http://paris-ile-de-france.france3.fr/2013/11/18/les-policiers-s-inquiet...

L'article 230-35 du projet de loi prévoit qu'en cas d'urgence résultant d'un risque imminent de dépérissement des preuves ou d'atteinte grave aux personnes ou aux biens, l'autorisation de procéder à une mesure de géolocalisation en temps réel peut être donnée par tout moyen. Une décision écrite de géolocalisation doit ensuite intervenir dans un délai de quarante-huit heures.

Par pascal.alix le 13/01/14

Le 3 janvier 2014, au terme d'une procédure de près de deux années, la CNIL a condamné la société GOOGLE au paiement d'une amende de 150.000 euros pour non -respect des dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et a ordonné la publication de cette condamnation sur les sites Internet de la CNIL et de Google.

[Rappel] Le 24 janvier 2012, la société Google annonçait son projet de refondre l'ensemble des règles de confidentialité de ses services au sein d'un document unique applicable à l'ensemble des produits et sites Internet proposés par Google .

Le 2 février 2012, le G29 demandait la suspension du projet afin d'analyser la conformité de la politique de confidentialité envisagée à la règlementation européenne en matière de données personnelles. La CNIL, désignée par les CNIL européennes adressa les 16 mars et 22 mai 2012, deux questionnaires à la société américaine afin d'analyser cette politique de confidentialité mais n'obtint que des réponses incomplètes ou approximatives.

Le 16 octobre 2012, le G29 adressa plusieurs recommandations à la société. Le 23 mars 2013, Google s'engageait à mettre en place des mesures destinées à améliorer la protection des données personnelles des utilisateurs.

Le 13 juin 2013, la société Google persistant dans sa position ambigüe, la Présidente de la CNIL lui adressa une mise en demeure de se mettre en conformité avec les dispositions de la loi Informatique et Liberté dans un délai de 3 mois, à peine de voir engager une procédure répressive sur le fondement de l'article 45, I, 1° de a loi Informatique et Libertés. Dans sa réponse à la CNIL, la société Google contesta l'ensemble des manquements qui lui étaient reprochés ainsi que l'applicabilité de la loi française aux traitements en cause et la compétence de la CNIL pour engager une procédure répressive.

Le 3 janvier 2014, « eu égard à la persistance des manquements précités » , la formation restreinte de la CNIL est entrée en voie de condamnation en relevant un certain nombre de manquements à la loi Informatique et Liberté qui peuvent s'analyser d'une façon générale en un défaut d'information par l'emploi de termes imprécis et ambigus quant à la nature des données collectés, leur finalité et aux droits des utilisateurs .

Le montant de cette condamnation pécuniaire peut prêter à sourire au vu du chiffre d'affaires de Google qui dépassait les 50 milliards de dollars en 2012 . Mais, elle intervient quelques mois à peine après une condamnation espagnole à une amende de 900.000 d'euros et dans un contexte de mobilisation de l'ensemble des autorités de proection européennes contre la nouvelle politique de confidentialité de Google.

I. La politique de confidentialité litigieuse

Jusqu'au changement de politique de données personnelles, chaque site Internet proposé et chaque produit proposé obéissait à ses propres règles de confidentialité.

Le principe de la refonte de ces politiques applicables à une soixantaine de ses services, dont Google Search, YouTube, Gmail, Picasa, Google Drive, Google Docs, Google Maps, en un document unique n'est pas critiqué en tant que tel par la CNIL ; une simplification étant légitime. Mais, les termes des conditions simplifiées ne permettent pas à l'internaute de comprendre et donc de consentir de manière éclairée à la collecte et au traitement de ses données personnelles.

Le non respect de l'obligation d'informer les utilisateurs sur les conditions et la finalité des traitements des données personnelles

L'article 32 I de la loi Informatique et Liberté impose au responsable de traitement d'informer l'utilisateur de son identité, de la finalité du traitement, du caractère obligatoire ou facultatif des réponses, des conséquences éventuelles d'un défaut de réponse, des destinataires des données, des droits d'accès et de rectification et de tout transfert de données à caractère personnel en dehors de l'Union européenne.

Les règles de confidentialité litigieuses sont rédigées dans des termes imprécis de sorte que l'utilisateur d'un service Google est incapable de déterminer le responsable de traitement, les données personnelles utilisées pour chaque service et les finalités exactes pour lesquelles ces données sont traitées.

La conformité à la règlementation française exige de s'assurer que les utilisateurs soient en mesure de comprendre la manière dont leurs données seront traitées, de manière effective et complète au regard des circonstances de la collecte.

Concrètement, Google devrait informer « en langage simple, direct et sans ambigüité » l'identité du responsable de traitement et les finalités du traitement pour un traitement « loyal » des informations.

Le non-respect de l'obligation de recueillir le consentement des utilisateurs avant de déposer des cookies

L'article 32 II de la loi Informatique et Liberté prévoit que l'utilisateur doit être informé « de manière claire et complète » des moyens mis en oeuvre par le responsable de traitement pour accéder aux données et le moyen de s'y opposer.

La CNIL a précisé que le consentement doit s'apprécier aux termes de l'article 2.h de la Directive 95/46/CE du 24 octobre 1995 de sorte que le consentement consiste en « toute manifestation de volonté libre, spécifique et informée ».

Ainsi, il n'est pas possible de déposer des cookies sans le consentement de l'utilisateur. Or selon la CNIL, « il est établi qu'un tel dépôt de cookies est réalisé dès la connexion au service en ce qui concerne les utilisateurs des services de la société qui ne se sont pas préalablement authentifiés au travers d'un compte Google », de sorte que la société ne communique aucune information permettant à l'utilisateur d'accepter ou de refuser ce dépôt et la lecture des informations stockées.

L'absence de définition d'une durée de conservation des données

L'article 6.5 de la Loi Informatique et Libertés dispose que les données « sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées ».

Malgré les multiples recommandations adressées à Google et bien que la société ait défini trois durées de conservation (effacement du dernier octet des adresses IP dans les journaux des serveurs de Google : 9 mois ; la validité des cookies déposés dans les navigateurs des utilisateurs : 2 ans ; l'anonymisation du numéro de cookies dans les journaux des serveurs de Google : 18 mois), elle n'a fixé aucune durée de conservations pour les autres données qu'elle collecte et traite et demeure évasive sur ce point.

La combinaison illimitée des données des utilisateurs

Les règles de confidentialités litigieuses stipulent que « Les informations personnelles que vous fournissez pour l'un de nos services sont susceptibles d'être combinées avec celles issues d'autres services Google (y compris des informations personnelles), par exemple pour faciliter le partage de vos informations avec des personnes que vous connaissez. Le recoupement de données en provenance de cookies DoubleClick avec des données permettant de vous identifier n'est possible qu'avec votre accord explicite ».

Google s'autorise ainsi à combiner de façon illimitée les données des utilisateurs collectées à travers l'ensemble de ses services et ce quel que soit le degré d'activité de l'utilisateur (qu'il soit authentifié par un compte Google, qu'il utilise les services sans avoir recours à un compte ou qu'il soit un passif), ce sans l'informer de la nature des combinaisons effectuées afin qu'il puisse comprendre la portée de son accord.

La CNIL en conclut donc que Google viole les dispositions de l'article 7. 4° et 5° de la Loi Informatique et Libertés.

II. Une sanction modique mais symbolique

La CNIL a condamné Google au paiement d'une amende d'un montant de 150.000 euros, montant maximum pour cette autorité indépendante. Ce montant peut être porté à 300.000 euros en cas de récidive.

Ce n'est pas tant sur le montant - bien dérisoire pour Google, en ce qu'il ne représente que... 2 minutes d'activité - de cette amende qu'il convient de porter son attention que sur le symbole que représente une telle sanction nationale au sein de l'Union européenne.

La règlementation européenne en matière de données personnelles est contenue dans la Directive 95/46/CE du 24 octobre 1995, transposée dans le droit national de chacun des Etats membre. Si aucune sanction européenne globale ne peut être infligée, les autorités de protection de chacun des Etats membres peuvent, à l'instar de la CNIL, engager une procédure contre Google et sanctionner cette société.

Emboîtant le pas à la CNIL, cinq autres autorités européennes (britannique, espagnole, italienne, néerlandaise et du land de Hambourg) ont également engagé des procédures répressives. L'Espagne a condamné la société à une amende de 900.000 euros au mois de septembre 2013. D'autres sanctions vont probablement suivre.

L'Union européenne compte près de 510.000.000 d'habitants et représente un marché important dont Google ne peut se passer. Quelques 27 condamnations - quel que soit leur montant - ne pourraient-elles pas constituer un signe suffisamment fort de la part de l'Union européenne pour contraindre Google à modifier ses règles en matière de confidentialité et les adapter au contexte européen ? L'avenir nous le dira. Le bras de fer entre Google et les institutions et autorités européennes de protection ne fait que commencer.

Avec la participation de Gwendoline Perfetti, avocate au barreau de Paris

Par pascal.alix le 02/10/13

Article D98-5, modifié par le décret n°2012-488 du 13 avril 2012 - art. 2

Règles portant sur les conditions de confidentialité et de neutralité au regard des messages transmis et des informations liées aux communications et sur la sécurité et l'intégrité des réseaux et services.

[...]

II.-Sans préjudice des dispositions de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, l'opérateur met en oeuvre une politique de sécurité relative au traitement des données à caractère personnel et prend les mesures nécessaires garantissant que seules des personnes autorisées puissent avoir accès aux données à caractère personnel dans les cas prévus par des dispositions législatives et réglementaires et que les données à caractère personnel stockées ou transmises soient protégées contre la destruction accidentelle ou illicite, la perte ou l'altération accidentelles et le stockage, le traitement, l'accès et la divulgation non autorisés ou illicites.

L'opérateur est tenu d'exploiter les données à caractère personnel conformément aux finalités déclarées.

1. L'opérateur garantit à tout client, outre les droits mentionnés à l'article R. 10, le droit :

-d'exercer gratuitement son droit d'accès aux données à caractère personnel le concernant ainsi que son droit de rectification de celles-ci ;

-de recevoir des factures non détaillées et, sur sa demande, des factures détaillées.

2. Lorsque les clients de l'opérateur reçoivent une facturation détaillée, les factures adressées :

- comportent un niveau de détail suffisant pour permettre la vérification des montants facturés ;

-ne mentionnent pas les appels à destination des numéros gratuits pour l'utilisateur ;

-n'indiquent pas les quatre derniers chiffres des numéros appelés, à moins que le client n'ait expressément demandé que cela soit le cas.

La facturation détaillée est disponible gratuitement pour l'abonné. Toutefois, des prestations supplémentaires peuvent être, le cas échéant, proposées à l'abonné à un tarif raisonnable.

3. L'opérateur permet à chacun de ses clients de s'opposer gratuitement et par un moyen simple, appel par appel ou de façon permanente (secret permanent), à l'identification de sa ligne par les postes appelés.

Lorsqu'un abonné dispose de plusieurs lignes, cette fonction est offerte pour chaque ligne. Cette fonction doit également être proposée pour des communications effectuées à partir de cabines téléphoniques publiques ou d'autres points d'accès au service téléphonique au public. L'opérateur met en oeuvre un dispositif particulier de suppression de cette fonction pour des raisons liées au fonctionnement des services d'urgence ou à la tranquillité de l'appelé, conformément à la réglementation en vigueur.

Lorsqu'un abonné dispose du secret permanent, l'opérateur lui permet de supprimer cette fonction, appel par appel, gratuitement et par un moyen simple.

4. L'opérateur informe les abonnés lorsqu'il propose un service d'identification de la ligne appelante ou de la ligne connectée. Il les informe également des possibilités prévues aux trois alinéas suivants :

Dans le cas où l'identification de la ligne appelante est offerte, l'opérateur permet à tout abonné d'empêcher par un moyen simple et gratuit que l'identification de la ligne appelante soit transmise vers son poste.

Dans le cas où l'identification de la ligne appelante est offerte et est indiquée avant l'établissement de l'appel, l'opérateur permet à tout abonné de refuser, par un moyen simple, les appels entrants émanant d'une ligne non identifiée. L'opérateur peut, pour des raisons techniques justifiées, demander à l'Autorité de régulation des communications électroniques et des postes de disposer d'un délai pour la mise en oeuvre de cette fonction.

Dans le cas où l'identification de la ligne obtenue est offerte, l'opérateur permet à tout abonné d'empêcher par un moyen simple et gratuit l'identification de la ligne obtenue auprès de la personne qui appelle.

[...]

Par pascal.alix le 18/10/12

Pendant sa campagne électorale, François Hollande avait évoqué un projet d'"Habeas Corpus numérique". Il avait notamment évoqué la création de "nouveaux droits" pour les citoyens quant aux fichiers comportant leurs données personnelles.

Evoquant à nouveau cette proposition, la ministre chargée de l'Economie numérique, Fleur Pellerin a déclaré, devant la commission des Affaires économiques : "Je pense que nous pouvons nous engager à proposer au Parlement dans le courant de l'année 2013, vraisemblablement au premier semestre, un projet de loi sur ces questions, sur un corpus de règles qui permettrait de garantir la protection des données personnelles et la vie privée sur internet".

Ce "corpus de règle" rassemblerait et harmoniserait donc des règles relatives non seulement aux données personnelles, mais, plus largement au respect de la vie privée sur le réseau internet.

La déclaration est faite deux jours après les recommandations et injonctions des autorités de protection des données des pays membres de l'UE à Google et quelques semaines après l'affaire du "vrai-faux bug Facebook", qui avait donné lieu à une enquête de la CNIL révèlant la nécessité de mieux garantir et protéger les droits et libertés des usagers de Facebook.

La Cnil avait demandé, rappelons-le, à Facebook la « nécessité d'une plus grande transparence vis-à-vis des utilisateurs quant à l'usage de leurs données personnelles »

Fleur Pellerin a évoqué « un certain nombre d'incidents ou d'événements récents qui nous ont confortés dans notre conviction », en citant l'exemple de Google.

Fleur Pellerin a précisé à cette occasion : "les fichiers se multiplient et il faut réguler ce foisonnement de traitement de données pour rassurer et assurer un bon équilibre entre la liberté d'expression qui doit prévaloir sur internet et la protection des données".

La ministre vise donc l'importance de la collecte et du traitement des données et, implicitement, le traitement des données combinées (métadonnées et le "big data").

Fleur Pellerin a également précisé qu'elle souhaitait travailler avec la Commission nationale de l'informatique et des libertés (Cnil) et "inviter les grandes plateformes du net à améliorer la transparence des informations personnelles qu'elles possèdent et la façon dont elles les traitent".

Par pascal.alix le 17/10/12

Le 24 janvier 2012, Google a annoncé l'entrée en vigueur de nouvelles règles de confidentialité et de nouvelles conditions d'utilisation. Des enquêtes ont été menées par les autorités européennes de protection des données, dont la CNIL.

Les autorités de protection des données européennes demandent à GOOGLE une information plus claire et d'offrir aux utilisateurs un meilleur contrôle de la combinaison de données entre les nombreux services qu'elle propose.

Elles souhaitent, par ailleurs, que Google modifie les outils utilisés afin d'éviter une collecte excessive de données.

De manière générale, il est impossible de s'assurer que Google respecte les principes essentiels de la Directive européenne sur la protection des données personnelles, à savoir :

- la limitation de finalité,

- la qualité des données,

- la minimisation des données,

- la proportionnalité,

- le droit d'opposition.

Aujourd'hui, l'utilisateur est incapable :

- de déterminer quelles sont les données personnelles utilisées pour le service utilisé,

- de déterminer les finalités exactes du traitement des données.

Les autorités européennes recommandent la mise en place d'une présentation avec trois niveaux de détails assurant une information conforme aux exigences de la Directive.

"La combinaison de données entre services a été généralisée [NDLR : métadonnées ] avec ces nouvelles règles de confidentialité : concrètement toute activité en ligne liée à Google (l'utilisation de ses services, de son système Android ou la consultation de sites tiers utilisant des services Google) peut être rassemblée et combinée."

Par ailleurs, Google a refusé de s'engager sur des durées de conservation des données personnelles traitées.

Les autorités de protection des données européennes attendent que Googlel prenne des mesures effectives et publiques pour se mettre en conformité rapidement.

Source : http://www.cnil.fr/la-cnil/actualite/article/article/regles-de-confident...