Par pascal.alix le 13/01/14

Le 23 décembre 2013, la garde des Sceaux a présenté en Conseil des ministres, un projet de loi relatif à la géolocalisation afin de fixer un cadre législatif à l'utilisation des méthodes de géolocalisation dans le cadre des enquêtes policières, jusque là autorisées par le procureur de la République.

La loi intègre la jurisprudence de la CEDH et de la Cour de cassation

Le 22 octobre 2013, la chambre criminelle de la Cour de cassation a rendu deux arrêts par lesquels elle annulait des pièces de procédure collectées grâce à la géolocalisation dans le cadre d'une enquête préliminaire en considérant que cette procédure était contraire à la Convention européenne des droits de l'Homme.

Ce faisant elle a constaté que la géolocalisation n'était pas encadrée juridiquement et a affirmé que le recours à la géolocalisation en temps réel lors d'une procédure judiciaire constituait une ingérence dans la vie privée qui devait donc être exécutée sous le contrôle d'un juge. Elle a également retenu que les parquetiers n'étaient pas des juges indépendants au sens de la jurisprudence européenne.

Le 29 octobre 2013, prenant acte de la position de la Cour de cassation, le ministère de la justice a envoyé une circulaire aux différents parquets, leur demandant l'arrêt immédiat des géolocalisations, et ce, jusqu'à l'adoption du projet de loi.

Cette situation a provoqué la colère des syndicats de police pour qui la géolocalisation constitue un outil efficace notamment dans les affaires de stupéfiants ou d'enlèvement.

Le contenu du projet de loi

Le projet de loi tente de concilier le droit au respect de la vie privée de l'article 8 de la Convention européenne des droits de l'Homme et la recherche d'efficacité dans les méthodes d'investigation.

Si le projet de loi est adopté, la géolocalisation en temps réel ne sera désormais possible que si elle s'avère nécessaire à la conduite d'investigations relatives à un crime ou à un délit puni d'au moins trois ans d'emprisonnement.

Le régime sera différent selon que le recours à la géolocalisation sera sollicité au stade de l'enquête préliminaire ou au stade de l'instruction.

Au cours de l'enquête, il devra être autorisé par une décision écrite du procureur de la République, pour une durée initiale de quinze jours, qui pourra être prolongée, par le juge des libertés et de la détention, pour une durée d'un mois renouvelable.

Au cours de l'instruction, il devra être autorisé par une décision écrite du juge d'instruction, pour une durée de quatre mois renouvelable.

Dans les deux cas, seul le juge des libertés et de la détention ou le juge d'instruction pourront autoriser par exemple l'introduction dans un domicile pour la pose d'un dispositif de géolocalisation, et à la condition toutefois que l'infraction soit passible d'une peine d'au moins cinq ans d'emprisonnement.

En cas d'urgence « résultant d'un risque imminent de dépérissement des preuves ou d'atteinte grave aux personnes ou aux biens » , l'autorisation du magistrat pourra être donnée par tous moyens, même verbalement à la condition d'être confirmée par écrit dans les quarante-huit heures.

La recherche d'un équilibre délicat entre respect des libertés individuelles et de l'ordre public

Le projet de loi sera examiné le 20 janvier 2014 par le Sénat dans le cadre de la procédure accélérée de l'article 45 de la Constitution permettant au Gouvernement d'accélérer la procédure législative en raccourcissant le mouvement de va et vient entre les deux assemblées.

Cette volonté de protéger les libertés individuelles doit mise en perspective avec l'adoption de l'article 13 de la loi de programmation militaire prévoyant notamment l'accès en temps réel, aux données de connexion par des agents des ministères de l'intérieur, de la défense et du budget.

Sources

http://www.senat.fr/leg/pjl13-257.html

Cass. crim., 22 oct. 2013, nos 13-81.945 et 13-81.949

http://paris-ile-de-france.france3.fr/2013/11/18/les-policiers-s-inquiet...

L'article 230-35 du projet de loi prévoit qu'en cas d'urgence résultant d'un risque imminent de dépérissement des preuves ou d'atteinte grave aux personnes ou aux biens, l'autorisation de procéder à une mesure de géolocalisation en temps réel peut être donnée par tout moyen. Une décision écrite de géolocalisation doit ensuite intervenir dans un délai de quarante-huit heures.

Par pascal.alix le 13/01/14

Le 3 janvier 2014, au terme d'une procédure de près de deux années, la CNIL a condamné la société GOOGLE au paiement d'une amende de 150.000 euros pour non -respect des dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et a ordonné la publication de cette condamnation sur les sites Internet de la CNIL et de Google.

[Rappel] Le 24 janvier 2012, la société Google annonçait son projet de refondre l'ensemble des règles de confidentialité de ses services au sein d'un document unique applicable à l'ensemble des produits et sites Internet proposés par Google .

Le 2 février 2012, le G29 demandait la suspension du projet afin d'analyser la conformité de la politique de confidentialité envisagée à la règlementation européenne en matière de données personnelles. La CNIL, désignée par les CNIL européennes adressa les 16 mars et 22 mai 2012, deux questionnaires à la société américaine afin d'analyser cette politique de confidentialité mais n'obtint que des réponses incomplètes ou approximatives.

Le 16 octobre 2012, le G29 adressa plusieurs recommandations à la société. Le 23 mars 2013, Google s'engageait à mettre en place des mesures destinées à améliorer la protection des données personnelles des utilisateurs.

Le 13 juin 2013, la société Google persistant dans sa position ambigüe, la Présidente de la CNIL lui adressa une mise en demeure de se mettre en conformité avec les dispositions de la loi Informatique et Liberté dans un délai de 3 mois, à peine de voir engager une procédure répressive sur le fondement de l'article 45, I, 1° de a loi Informatique et Libertés. Dans sa réponse à la CNIL, la société Google contesta l'ensemble des manquements qui lui étaient reprochés ainsi que l'applicabilité de la loi française aux traitements en cause et la compétence de la CNIL pour engager une procédure répressive.

Le 3 janvier 2014, « eu égard à la persistance des manquements précités » , la formation restreinte de la CNIL est entrée en voie de condamnation en relevant un certain nombre de manquements à la loi Informatique et Liberté qui peuvent s'analyser d'une façon générale en un défaut d'information par l'emploi de termes imprécis et ambigus quant à la nature des données collectés, leur finalité et aux droits des utilisateurs .

Le montant de cette condamnation pécuniaire peut prêter à sourire au vu du chiffre d'affaires de Google qui dépassait les 50 milliards de dollars en 2012 . Mais, elle intervient quelques mois à peine après une condamnation espagnole à une amende de 900.000 d'euros et dans un contexte de mobilisation de l'ensemble des autorités de proection européennes contre la nouvelle politique de confidentialité de Google.

I. La politique de confidentialité litigieuse

Jusqu'au changement de politique de données personnelles, chaque site Internet proposé et chaque produit proposé obéissait à ses propres règles de confidentialité.

Le principe de la refonte de ces politiques applicables à une soixantaine de ses services, dont Google Search, YouTube, Gmail, Picasa, Google Drive, Google Docs, Google Maps, en un document unique n'est pas critiqué en tant que tel par la CNIL ; une simplification étant légitime. Mais, les termes des conditions simplifiées ne permettent pas à l'internaute de comprendre et donc de consentir de manière éclairée à la collecte et au traitement de ses données personnelles.

Le non respect de l'obligation d'informer les utilisateurs sur les conditions et la finalité des traitements des données personnelles

L'article 32 I de la loi Informatique et Liberté impose au responsable de traitement d'informer l'utilisateur de son identité, de la finalité du traitement, du caractère obligatoire ou facultatif des réponses, des conséquences éventuelles d'un défaut de réponse, des destinataires des données, des droits d'accès et de rectification et de tout transfert de données à caractère personnel en dehors de l'Union européenne.

Les règles de confidentialité litigieuses sont rédigées dans des termes imprécis de sorte que l'utilisateur d'un service Google est incapable de déterminer le responsable de traitement, les données personnelles utilisées pour chaque service et les finalités exactes pour lesquelles ces données sont traitées.

La conformité à la règlementation française exige de s'assurer que les utilisateurs soient en mesure de comprendre la manière dont leurs données seront traitées, de manière effective et complète au regard des circonstances de la collecte.

Concrètement, Google devrait informer « en langage simple, direct et sans ambigüité » l'identité du responsable de traitement et les finalités du traitement pour un traitement « loyal » des informations.

Le non-respect de l'obligation de recueillir le consentement des utilisateurs avant de déposer des cookies

L'article 32 II de la loi Informatique et Liberté prévoit que l'utilisateur doit être informé « de manière claire et complète » des moyens mis en oeuvre par le responsable de traitement pour accéder aux données et le moyen de s'y opposer.

La CNIL a précisé que le consentement doit s'apprécier aux termes de l'article 2.h de la Directive 95/46/CE du 24 octobre 1995 de sorte que le consentement consiste en « toute manifestation de volonté libre, spécifique et informée ».

Ainsi, il n'est pas possible de déposer des cookies sans le consentement de l'utilisateur. Or selon la CNIL, « il est établi qu'un tel dépôt de cookies est réalisé dès la connexion au service en ce qui concerne les utilisateurs des services de la société qui ne se sont pas préalablement authentifiés au travers d'un compte Google », de sorte que la société ne communique aucune information permettant à l'utilisateur d'accepter ou de refuser ce dépôt et la lecture des informations stockées.

L'absence de définition d'une durée de conservation des données

L'article 6.5 de la Loi Informatique et Libertés dispose que les données « sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées ».

Malgré les multiples recommandations adressées à Google et bien que la société ait défini trois durées de conservation (effacement du dernier octet des adresses IP dans les journaux des serveurs de Google : 9 mois ; la validité des cookies déposés dans les navigateurs des utilisateurs : 2 ans ; l'anonymisation du numéro de cookies dans les journaux des serveurs de Google : 18 mois), elle n'a fixé aucune durée de conservations pour les autres données qu'elle collecte et traite et demeure évasive sur ce point.

La combinaison illimitée des données des utilisateurs

Les règles de confidentialités litigieuses stipulent que « Les informations personnelles que vous fournissez pour l'un de nos services sont susceptibles d'être combinées avec celles issues d'autres services Google (y compris des informations personnelles), par exemple pour faciliter le partage de vos informations avec des personnes que vous connaissez. Le recoupement de données en provenance de cookies DoubleClick avec des données permettant de vous identifier n'est possible qu'avec votre accord explicite ».

Google s'autorise ainsi à combiner de façon illimitée les données des utilisateurs collectées à travers l'ensemble de ses services et ce quel que soit le degré d'activité de l'utilisateur (qu'il soit authentifié par un compte Google, qu'il utilise les services sans avoir recours à un compte ou qu'il soit un passif), ce sans l'informer de la nature des combinaisons effectuées afin qu'il puisse comprendre la portée de son accord.

La CNIL en conclut donc que Google viole les dispositions de l'article 7. 4° et 5° de la Loi Informatique et Libertés.

II. Une sanction modique mais symbolique

La CNIL a condamné Google au paiement d'une amende d'un montant de 150.000 euros, montant maximum pour cette autorité indépendante. Ce montant peut être porté à 300.000 euros en cas de récidive.

Ce n'est pas tant sur le montant - bien dérisoire pour Google, en ce qu'il ne représente que... 2 minutes d'activité - de cette amende qu'il convient de porter son attention que sur le symbole que représente une telle sanction nationale au sein de l'Union européenne.

La règlementation européenne en matière de données personnelles est contenue dans la Directive 95/46/CE du 24 octobre 1995, transposée dans le droit national de chacun des Etats membre. Si aucune sanction européenne globale ne peut être infligée, les autorités de protection de chacun des Etats membres peuvent, à l'instar de la CNIL, engager une procédure contre Google et sanctionner cette société.

Emboîtant le pas à la CNIL, cinq autres autorités européennes (britannique, espagnole, italienne, néerlandaise et du land de Hambourg) ont également engagé des procédures répressives. L'Espagne a condamné la société à une amende de 900.000 euros au mois de septembre 2013. D'autres sanctions vont probablement suivre.

L'Union européenne compte près de 510.000.000 d'habitants et représente un marché important dont Google ne peut se passer. Quelques 27 condamnations - quel que soit leur montant - ne pourraient-elles pas constituer un signe suffisamment fort de la part de l'Union européenne pour contraindre Google à modifier ses règles en matière de confidentialité et les adapter au contexte européen ? L'avenir nous le dira. Le bras de fer entre Google et les institutions et autorités européennes de protection ne fait que commencer.

Avec la participation de Gwendoline Perfetti, avocate au barreau de Paris

Par pascal.alix le 02/10/13

Article D98-5, modifié par le décret n°2012-488 du 13 avril 2012 - art. 2

Règles portant sur les conditions de confidentialité et de neutralité au regard des messages transmis et des informations liées aux communications et sur la sécurité et l'intégrité des réseaux et services.

[...]

II.-Sans préjudice des dispositions de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, l'opérateur met en oeuvre une politique de sécurité relative au traitement des données à caractère personnel et prend les mesures nécessaires garantissant que seules des personnes autorisées puissent avoir accès aux données à caractère personnel dans les cas prévus par des dispositions législatives et réglementaires et que les données à caractère personnel stockées ou transmises soient protégées contre la destruction accidentelle ou illicite, la perte ou l'altération accidentelles et le stockage, le traitement, l'accès et la divulgation non autorisés ou illicites.

L'opérateur est tenu d'exploiter les données à caractère personnel conformément aux finalités déclarées.

1. L'opérateur garantit à tout client, outre les droits mentionnés à l'article R. 10, le droit :

-d'exercer gratuitement son droit d'accès aux données à caractère personnel le concernant ainsi que son droit de rectification de celles-ci ;

-de recevoir des factures non détaillées et, sur sa demande, des factures détaillées.

2. Lorsque les clients de l'opérateur reçoivent une facturation détaillée, les factures adressées :

- comportent un niveau de détail suffisant pour permettre la vérification des montants facturés ;

-ne mentionnent pas les appels à destination des numéros gratuits pour l'utilisateur ;

-n'indiquent pas les quatre derniers chiffres des numéros appelés, à moins que le client n'ait expressément demandé que cela soit le cas.

La facturation détaillée est disponible gratuitement pour l'abonné. Toutefois, des prestations supplémentaires peuvent être, le cas échéant, proposées à l'abonné à un tarif raisonnable.

3. L'opérateur permet à chacun de ses clients de s'opposer gratuitement et par un moyen simple, appel par appel ou de façon permanente (secret permanent), à l'identification de sa ligne par les postes appelés.

Lorsqu'un abonné dispose de plusieurs lignes, cette fonction est offerte pour chaque ligne. Cette fonction doit également être proposée pour des communications effectuées à partir de cabines téléphoniques publiques ou d'autres points d'accès au service téléphonique au public. L'opérateur met en oeuvre un dispositif particulier de suppression de cette fonction pour des raisons liées au fonctionnement des services d'urgence ou à la tranquillité de l'appelé, conformément à la réglementation en vigueur.

Lorsqu'un abonné dispose du secret permanent, l'opérateur lui permet de supprimer cette fonction, appel par appel, gratuitement et par un moyen simple.

4. L'opérateur informe les abonnés lorsqu'il propose un service d'identification de la ligne appelante ou de la ligne connectée. Il les informe également des possibilités prévues aux trois alinéas suivants :

Dans le cas où l'identification de la ligne appelante est offerte, l'opérateur permet à tout abonné d'empêcher par un moyen simple et gratuit que l'identification de la ligne appelante soit transmise vers son poste.

Dans le cas où l'identification de la ligne appelante est offerte et est indiquée avant l'établissement de l'appel, l'opérateur permet à tout abonné de refuser, par un moyen simple, les appels entrants émanant d'une ligne non identifiée. L'opérateur peut, pour des raisons techniques justifiées, demander à l'Autorité de régulation des communications électroniques et des postes de disposer d'un délai pour la mise en oeuvre de cette fonction.

Dans le cas où l'identification de la ligne obtenue est offerte, l'opérateur permet à tout abonné d'empêcher par un moyen simple et gratuit l'identification de la ligne obtenue auprès de la personne qui appelle.

[...]

Par pascal.alix le 22/10/12

Pour tenir compte de l'évolution du e-commerce et des méthodes de prospection, la CNIL a, conformément à l'article 24 de la loi du 6 janvier 1978 modifiée, refondu la norme simplifiée n° 48 relative à la gestion des clients et des prospects, qui datait de 2005 (délibération n° 2005-112 du 7 juin 2005).

L'objectif de la nouvelle norme simplifiée relative à la gestion des clients et des prospects est « de mettre à la disposition des entreprises et des organismes concernés les règles et les pratiques assurant la sécurité juridique de leurs traitements » en assurant « un équilibre entre les besoins des professionnels et le respect de la vie privée et des droits des personnes concernées ».

Cette nouvelle norme (entrée en vigueur à la suite de la publication du JORF n°0162 du 13 juillet 2012) permet aux responsables de traitement d'effectuer une déclaration simplifiée, dans les conditions qu'elle précise, pour les traitements relatifs à la gestion de clients et de prospects.

Son champ d'application est vaste. Mais ne sont concernés les établissements bancaires ou assimilés, les entreprises d'assurances, de santé et d'éducation.

Le champ des finalités concernées est également vaste. Il concerne les traitements automatisés de données dont les finalités sont les suivantes :

* effectuer les opérations relatives à la gestion des clients concernant :

les contrats ; les commandes ; les livraisons ; les factures ; la comptabilité et en particulier la gestion des comptes clients ; un programme de fidélité au sein d'une entité ou plusieurs entités juridiques ; le suivi de la relation client tel que la réalisation d'enquêtes de satisfaction, la gestion des réclamations et du service après-vente ;

* effectuer des opérations relatives à la prospection :

la gestion d'opérations techniques de prospection (ce qui inclut notamment les opérations techniques comme la normalisation, l'enrichissement et la déduplication) ; la sélection de personnes pour réaliser des actions de fidélisation, de prospection, de sondage, de test produit et de promotion. Sauf consentement des personnes concernées recueilli dans les conditions prévues à l'article 6, ces opérations ne doivent pas conduire à l'établissement de profils susceptibles de faire apparaître des données sensibles (origines raciales ou ethniques, opinions philosophiques, politiques, syndicales, religieuses, vie sexuelle ou santé des personnes) ; la réalisation d'opérations de sollicitations ;

* l'élaboration de statistiques commerciales ;

* la cession, la location ou l'échange de ses fichiers de clients et de ses fichiers de prospects ;

* l'organisation de jeux concours, de loteries ou de toute opération promotionnelle à l'exclusion des jeux d'argent et de hasard en ligne soumis à l'agrément de l'Autorité de Régulation des Jeux en Ligne ;

* la gestion des demandes de droit d'accès, de rectification et d'opposition ;

* la gestion des impayés et du contentieux, à condition qu'elle ne porte pas sur des infractions et/ou qu'elle n'entraine pas une exclusion de la personne du bénéfice d'un droit, d'une prestation ou d'un contrat ;

* la gestion des avis des personnes sur des produits, services ou contenus.

L'on remarquera que les nouvelles finalités suivantes ont été intégrées dans la norme n° 48 :

* la réalisation d'enquêtes de satisfaction,

* l'organisation de jeux concours,

* la gestion des demandes de droit d'accès, de rectification et d'opposition,

* et la gestion des avis des personnes sur des produits, services ou contenus.

S'agissant des durées de conservation des données relatives à la gestion de clients et de prospects, il est prévu qu'au-delà de la règle de conservation selon laquelle les données ne peuvent être conservées au-delà de la durée strictement nécessaire à la gestion de la relation commerciale, les données permettant d'établir la preuve d'un droit ou d'un contrat, ou, conservées au titre du respect d'une obligation légale peuvent être archivées conformément aux dispositions en vigueur (notamment celles prévues par le code de commerce, le code civil et le code de la consommation).

S'agissant des durées de conservation des données bancaires, le principe est la suppression une fois la transaction réalisée. Il est toutefois prévu que les données utilisées dans le cadre du paiement par carte bancaire peuvent être conservées pour une finalité de preuve en cas d'éventuelle contestation de la transaction, en archives intermédiaires, pour la durée prévue par l'article L 133-24 du code monétaire et financier (13 mois suivant la date de débit), ce délai pouvant être étendu à 15 mois pour les cartes de paiement à débit différé.

S'agissant de l'information, du consentement et de l'exercice du droit d'opposition, la nouvelle norme simplifiée n° 48 rappelle notamment qu'au moment de la collecte des données, la personne concernée est informée :

* de l'identité du responsable du traitement,

* des finalités du traitement,

* du caractère obligatoire ou facultatif des réponses à apporter,

* des conséquences éventuelles, à leur égard, d'un défaut de réponse,

* des destinataires des données,

* de l'existence et des modalités d'exercice de ses droits d'accès, de rectification et d'opposition au traitement de ses données.

S'agissant, en particulier, de l'exploitation d'un site internet, la nouvelle norme simplifiée prévoit que des données de connexion (date, heure, adresse Internet, protocole de l'ordinateur du visiteur, page consultée) pourront être exploitées à des fins de mesure d'audience, ce sans consentement préalable, mais à condition qu'ils disposent :

* d'une information claire et complète délivrée par l'éditeur du site internet,

* d'un droit d'opposition,

* d'un droit d'accès aux données collectées,

* et qu'elles ne soient pas recoupées avec d'autres traitements tels que les fichiers clients .

La CNIL instaure donc une interdiction du recoupement des données collectées sans consentement exprès des personnes concernées , ce pour que le principe de l'information claire et complète sur les finalités du traitement soit respectée.

Rappelons, par exemple, au sujet des croisements de données, que la CNIL, missionnée par la Groupe Article 29, avait adressé, le 27 février 2012, une lettre ouverte adressée à la direction de Google faisant valoir que sa nouvelle politique de confidentialité ne respectait pas certaines exigences de la Directive 95/46/CE, notamment en termes d'indication des finalités du traitement et de droit à l'information des personnes dont les données sont collectées.

La nouvelle norme précise enfin les mesures de sécurité devant être prises pour :

* assurer la confidentialité des données,

* limiter le risque de fraudes bancaires et d'usurpation d'identité.

Les organismes disposent d'un délai d'un an à compter du 13 juillet 2012, date de sa publication au journal officiel, pour mettre leur traitement en conformité.

Par pascal.alix le 19/10/12

La Cour de justice de l'Union européenne a jugé que l'autorité autrichienne de protection des données, la Datenschutzkommisson (DSK), ne remplissait pas les conditions d'indépendance telles que décrites dans la directive européenne de protection des données.

En particulier, la Cour a déclaré que l'indépendance fonctionnelle de la DSK par rapport au gouvernement, telle que prévue dans la législation autrichienne, n'était pas suffisante et que ses liens étroits avec la Chancellerie fédérale empêchaient la DSK d'être au-dessus de tout soupçon de partialité.

"Le CEPD (Contrôleur européen de la protection des données , autorité de contrôle indépendante dont l'objectif est de protéger les données à caractère personnel et la vie privée et de promouvoir les bonnes pratiques dans les institutions et organes de l'UE) se félicite que la Cour, pour une deuxième fois, attache une telle importance à l'indépendance des autorités de protection des données. En se référant à la Charte européenne des droits fondamentaux, la Cour a souligné que des autorités de protection des données véritablement indépendantes sont indispensables pour remplir leurs missions dans le domaine de la protection des données.".

Source : http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/ED....

Par pascal.alix le 18/10/12

Pendant sa campagne électorale, François Hollande avait évoqué un projet d'"Habeas Corpus numérique". Il avait notamment évoqué la création de "nouveaux droits" pour les citoyens quant aux fichiers comportant leurs données personnelles.

Evoquant à nouveau cette proposition, la ministre chargée de l'Economie numérique, Fleur Pellerin a déclaré, devant la commission des Affaires économiques : "Je pense que nous pouvons nous engager à proposer au Parlement dans le courant de l'année 2013, vraisemblablement au premier semestre, un projet de loi sur ces questions, sur un corpus de règles qui permettrait de garantir la protection des données personnelles et la vie privée sur internet".

Ce "corpus de règle" rassemblerait et harmoniserait donc des règles relatives non seulement aux données personnelles, mais, plus largement au respect de la vie privée sur le réseau internet.

La déclaration est faite deux jours après les recommandations et injonctions des autorités de protection des données des pays membres de l'UE à Google et quelques semaines après l'affaire du "vrai-faux bug Facebook", qui avait donné lieu à une enquête de la CNIL révèlant la nécessité de mieux garantir et protéger les droits et libertés des usagers de Facebook.

La Cnil avait demandé, rappelons-le, à Facebook la « nécessité d'une plus grande transparence vis-à-vis des utilisateurs quant à l'usage de leurs données personnelles »

Fleur Pellerin a évoqué « un certain nombre d'incidents ou d'événements récents qui nous ont confortés dans notre conviction », en citant l'exemple de Google.

Fleur Pellerin a précisé à cette occasion : "les fichiers se multiplient et il faut réguler ce foisonnement de traitement de données pour rassurer et assurer un bon équilibre entre la liberté d'expression qui doit prévaloir sur internet et la protection des données".

La ministre vise donc l'importance de la collecte et du traitement des données et, implicitement, le traitement des données combinées (métadonnées et le "big data").

Fleur Pellerin a également précisé qu'elle souhaitait travailler avec la Commission nationale de l'informatique et des libertés (Cnil) et "inviter les grandes plateformes du net à améliorer la transparence des informations personnelles qu'elles possèdent et la façon dont elles les traitent".

Par pascal.alix le 07/10/12

La protection des données personnelles constitue un droit fondamental, complémentaire des droits et libertés constitutionnellement garantis que sont la protection de la vie privée, le droit de propriété, la liberté d'expression ou encore la liberté d'aller et venir. Ce droit est d'autant plus fondamental aujourd'hui à l'heure où les données personnelles constituent le "carburant " du numérique.

Pourtant, alors même que cette protection est consacrée par la Charte des droits fondamentaux de l'Union européenne, mais aussi dans les constitutions ou normes suprêmes de 13 pays en Europe , notre Constitution est muette sur le sujet. Or, aucun des droits et libertés actuellement consacrés par notre Constitution n'épuise la question des données personnelles.

La CNIL promeut donc l'objectif d'inscrire, dans la Constitution, le droit à la protection des données personnelles. Une telle reconnaissance constituerait un acte fort, moderne, au service d'une protection effective du citoyen.

Source : http://www.cnil.fr/la-cnil/actualite/article/article/les-perspectives-po...

Pour Isabelle Falque-Pierrotin, Présidente de la CNIL : "La question de la protection des données personnelles est aujourd'hui au centre des préoccupations, économiques, sociales, commerciales mais aussi politiques, car pour la traiter il est nécessaire d'élaborer une vision collective et partagée de la société. En tant que régulateur des données personnelles, le rôle de la CNIL est de contribuer à la recherche de ce pacte social à partir du modèle humaniste hérité de la loi Informatique et Libertés qui place la personne au centre du dispositif. Il s'agit aussi de repenser notre action et nos outils d'intervention pour animer cet écosystème numérique en pleine mutation et accompagner les différents acteurs."

"La constitutionnalisation du principe de protection des données personnelles est une idée séduisante. D'abord, parce que la notion de protection des données, parfois aussi qualifiée d'Habeas Data, est une notion qui englobe différents éléments appartenant à des champs très différents des libertés publiques. Elle intègre tout à la fois des éléments du droit au respect de la vie privée, du droit à l'oubli, de la liberté d'expression, mais aussi du droit de propriété sur les informations nominatives nous concernant. Sur ce plan, l'intégration dans la Constitution permettrait d'agglomérer des prérogatives qui peuvent aujourd'hui sembler quelque peu disparates, et d'envisager une approche globale des droits du citoyens dans un monde numérisé."

Mais :

"...la constitutionnalisation d'une norme conduit parfois à la figer à un certain stade de son développement. Or le domaine des nouvelles technologies est précisément celui qui a besoin d'évoluer rapidement, de s'adapter en permanence à des nouvelles utilisations...." (Roseline Letteron, Professeur de droit public à l'Université de Paris-Sorbonne (Paris IV)).

Source : http://libertescheries.blogspot.fr/2012/07/la-protection-des-donnees-dan...

Par pascal.alix le 05/10/12

La protection des données à caractère personnel est un droit fondamental consacré par plusieurs textes européens.

La Convention européenne des droits de l'homme (CEDH) ne mentionne pas explicitement la protection des données à caractère personnel. Mais la jurisprudence de la Cour européenne des droits de l'homme retient que le droit à la protection des données est compris dans l'article 8 de la Convention.

Toujours au sein du Conseil de l'Europe, la reconnaissance explicite du droit fondamental à la protection des données à caractère personnel résulte des dispositions de la Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel du 28 janvier 1981 (« Convention 108 »).

Au sein de l'Union européenne, la protection des données est un droit fondamental consacré par l'article 8 de la Charte des droits fondamentaux de l'Union européenne

l'article 8 de la Charte des droits fondamentaux de l'Union européenne est fondé sur :

l'article 286 du traité instituant la Communauté européenne, sur la directive 95/46/CE du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, sur l'article 8 de la CEDH, et sur la Convention du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel du 28 janvier 1981 (La « Convention 108 » précitée).

L'objectif de la Charte des droits fondamentaux est, rappelons-le, de renforcer, en les rendant plus visibles mais non contraignants, la protection des droits qui résultent des traditions constitutionnelles de ses Etats membres.

Les institutions européennes travaillent actuellement sur une réforme du cadre de la protection des données dans l'Union afin de "mettre un terme à la fragmentation actuelle grâce à des règles nationales spécifiques".

Source : http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+COMPARL+LIBE-OJ-20121009-1+03+DOC+XML+V0//FR

Par pascal.alix le 03/10/12

On lit, en substance, dans presque toutes les colonnes des journaux spécialisés et généralistes : la CNIL a achevé son enquête, il n'y a pas eu de "bug FACEBOOK"...

Les juristes - et les journalistes rigoureux - ne peuvent que s'émouvoir de :

- la médiatisation, les 24 et 25 septembre 2012, de faits sur lesquels les informations n'étaient que parcellaires et contradictoires,

- et de l'enterrement rapide et de première classe de cette petite affaire FACEBOOK sans évoquer les conclusions tout à fait nuancées de l'enquête de la CNIL.

Certes, la CNIL a, comme précédemment, dans d'autres cas, fait preuve de réalisme et de compréhension.

Mais elle a tout de même rappelé, ne l'oublions pas :

"Il ressort des analyses menées par la CNIL que les messages incriminés par de nombreux utilisateurs de Facebook semblent être exclusivement des messages "Wall-To-Wall" (de "murs à murs") et non des messages envoyés par l'intermédiaire de la "messagerie privée" de Facebook.

Pour autant, le caractère privé du contenu de certaines des communications révélées semble indiscutable . En d'autres termes, les utilisateurs avaient l'impression d'envoyer des messages privés lorsqu'ils utilisaient la messagerie wall to wall."

Source : http://www.cnil.fr/la-cnil/actualite/article/article/les-conclusions-de-...