6. PDF - Data Protection and Freedom of Expression
Document Details
Uploaded by HotHeliodor
Tags
Summary
This document details European Union data protection laws, focusing on balancing freedom of expression and public information access with individual privacy rights. It discusses case law, particularly a CJUE ruling related to Google's indexing practices and the importance of assessing risk in data protection measures. Legal frameworks referenced also include directives, regulations, and the Charter of Fundamental Rights of the EU.
Full Transcript
de droit privé collaborant au service public de la justice et appartenant à des catégories dont la liste est fixée par décret en Conseil d’Etat » - L’article 46 de la LIL : « Les auxiliaires de justice, pour les stricts besoins de l’exercice des missions qui leur sont confiées par la loi » - La tenu...
de droit privé collaborant au service public de la justice et appartenant à des catégories dont la liste est fixée par décret en Conseil d’Etat » - L’article 46 de la LIL : « Les auxiliaires de justice, pour les stricts besoins de l’exercice des missions qui leur sont confiées par la loi » - La tenue d’un registre des condamnations pénales par l’une des autorités précitées. Un registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l’autorité publique 2) Responsables de traitement pouvant se prévaloir d’une permission légale si garanties appropriées pour les droits et libertés des personnes concernées. L’article 46, 3° LIL : Traitement par les personnes physiques ou morales dans le but de préparer, exercer, suivre une action en justice ou faire exécuter une décision de justice. L’article 46, 4° LIL : Traitements réalisés par les organismes de gestion collective de droits d’auteur et de droits voisins, dans le cadre d’une action relative aux droits dont ils assurent la gestion des droits voisins ou agissant en défense des intérêts dont ils ont la charge. L’article 46, 5° LIL : Les réutilisateurs des informations publiques figurant dans les décisions de justice anonymisées mise à disposition par voie électronique, sous réserve que les traitements mis en œuvre n’aient ni pour objet, ni pour effet de permettre la réidentification des personnes concernées. 48 Quid de la diffusion par voie de presse de données à caractère personnel en lien avec des procédures pénales passées ou en cours ? La CJUE a été saisie d’une question préjudicielle relativement à l’applicabilité de cet article 10 à Google qui pense que la spécificité même de son activité d’indexation échappe à l’article 10. CJUE ; 24 septembre 2019 = La CJUE énonce que Google ne saurait échapper à l’article 10 RGPD en raison de la spécificité de son activité. Ce n’est pas parce qu’il s’agit d’un algorithme qu’il échappe à l’article. Mais la CJUE a bien reconnu que l’activité spécifique de l’activité d’indexation de Google justifie néanmoins une appréciation particulière des obligations et de la responsabilité de Google. La responsabilité doit s’apprécier « à l’occasion d’une vérification opérée par cet exploitant, sous le contrôle des autorités nationales compétentes, à la suite d’une demande introduite par la personne concernée ». Autre solution : quelles sont les normes qui permettent de savoir si les droits et libertés des personnes sont méconnus par ces activités ? Article 85.1 RGPD = « Les États membres concilient, par la loi, le droit à la protection des données à caractère personnel au titre du présent règlement et le droit à la liberté d'expression et d'information, y compris le traitement à des fins journalistiques et à des fins d'expression universitaire, artistique ou littéraire. » Article 11 de la Charte des droits fondamentaux de l’UE = « 1. Toute personne a droit à la liberté d'expression. Ce droit comprend la liberté d'opinion et la liberté de recevoir ou de communiquer des informations ou des idées sans qu'il puisse y avoir ingérence d'autorités publiques et sans considération de frontières. 2. La liberté des médias et leur pluralisme sont respectés. » L’article 9.2 g) RGPD dispose que « Le paragraphe 1 ne s'applique pas si l'une des conditions suivantes est remplie : {…} g) Le traitement est nécessaire pour des motifs d’intérêt public important, sur la base du droit de l’Union ou du droit d’un État membre qui doit être proportionné à l’objectif poursuivi, respecter l’essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée ». La CJUE se réfère à la jurisprudence de la CEDH sur le conflit entre le droit au respect à la vie privée et la liberté d’information. Balance entre les intérêts protégés entre le droit à la liberté de communication et le droit au public à être informé vs. le droit au respect à la vie privée, le droit à la protection des données à caractère personnel. CE ; 6 décembre 2019 = Donne un exemple de cette mise en balance, à la lumière de ce qu’avait dit la CJUE. La CNIL doit faire droit à une demande de déréférencement, à moins que la CNIL considère que compte tenu du droit à la liberté d’information, l’accès à une telle information à partir d’une recherche portant sur la personne concernée est strictement nécessaire à l’information du public. Le CE nous livre les critères à prendre en compte pour savoir si les intérêts du public est supérieur : - La nature des données - Le contenu - Le caractère plus ou moins objectif - L’exactitude 49 - La source - Les conditions et date de la mise en ligne - Les répercussions du déréférencement - Le rôle dans la vie publique de la personne concernée - La fonction dans la société de la personne concernée En l’espèce, l’affaire portait sur une femme condamnée pour violences conjugales. La femme avait demandé à Google le déréférencement. Retient qu’elle a une certaine notoriété, a donné des interviews, présente un intérêt pour l’information du public : le droit à l’information est considéré ici comme étant plus fort. B/ Traitements automatisés dont profilage utilisés comme fondement exclusif d’une décision à effet juridique ou significatif La LIL (1978) interdit toute prise de décision judiciaire fondée sur un traitement automatisé d’informations donnant une définition du profil ou de la personnalité de l’intéressé. La loi interdit toute décision administrative ou privée ayant pour « seul » fondement un tel traitement. La loi dispose du droit d’information et de contestation de la personne concernée quant aux informations et raisonnements utilisés dans un traitement automatisé. La directive de 1995 reprend cette préoccupation dans son article 15. L’article 22 RGPD intitulé « Décision individuelle automatisée y compris le profilage » reprend l’article 15 de la Directive. On a l’impression que le profilage est une décision individuelle automatisée, mais c’est un traitement particulier qui pourrait être mis à profit par une décision individuelle automatisée. Définition, Article 4.4 RGPD = « « profilage », toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique ». Le profilage se distingue de l’analytics (= analyse de groupes) car il ne concerne qu’une personne. Le profilage se distingue du traitement de données automatisé (= plus large) Le champ de l’article 22 n’est défini ni par l’existence d’un traitement automatisé, ni par l’existence d’un profilage. L’article 22 ne s’applique qu’à une prise de décision fondée exclusivement sur un traitement automatisé. S’il n’y a pas de décision automatisée, le profilage tombe dans le champ de règles standards du RGPD comme n’importe quel traitement de donnée : a) Les principes généraux de l’article 5 doivent être respectés b) Un fondement légal de l’article 6 doit être vérifié c) Les droits des personnes prévus par le RGPD doivent être respectés d) Si le traitement implique des données sensibles, il faut caractériser une exception de l’article 9 1. Prise de décision automatisée dans le champ du RGPD 50 a) L’article 22 du RGPD L’IA n’est pas encore réglementée à titre principal. Mais en avril 2021, la Commission a adopté une proposition de Règlement sur l’IA. Mais son champ d’application est particulier car ne traite que des systèmes de IA considérés à « hauts risques » et ne traite pas des autres, sans préjudice des règles du RGPD. Il n’est pas non plus question de la responsabilité des concepteurs de cette IA. Exemple : La décision automatique peut conduire à ne pas proposer un emploi à la personne concernée. Le G29 propose trois catégories constitutives : A) La situation est de nature à affecter significativement la situation, le comportement ou les choix de la personne B) La décision est de nature à avoir un impact prolongé ou permanent sur la personne concernée C) La décision est de nature à provoquer l’exclusion ou la discrimination de la personne concernée L’interdiction de ce mode de décision n’est pas absolue. Il est possible aux sociétés de recourir aux algorithmes en rentrant dans l’une des trois exceptions à l’article 22.2 RGPD. 1) La décision est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et le responsable de traitement. Le G29 insiste sur la nécessité ; on ne peut pas faire autrement. S’il existe d’autres moyens tout aussi efficaces et moins intrusifs pour obtenir le même objectif, le traitement ne sera pas nécessaire. 2) Le consentement explicite de la personne concernée = pour avoir le consentement d’une personne, il faut respecter les règles du consentement déjà étudiées. ➔ Pour ces deux exceptions, le RGPD veut que deux types de garanties existent pour la personne concernée : A) Le responsable de traitement doit faire en sorte que la personne concernée ait au moins la possibilité d’obtenir une intervention humaine de la part du responsable de traitement B) La personne concernée doit être informée de l’existence d’une prise de décision automatisée et au moins pareil pour des informations utiles concernant la logique sous-jacente de l’algorithme =alors que la machine construit un mode de décisions occulte. 3) La décision automatique est autorisée par le droit interne ou de l’UE, lesquels prévoient des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée. L’article 22 précise que ces décisions ne pourront être fondées sur des données sensibles (au sens de l’article 9.1) que si l’une des deux exceptions de l’article 9 sont remplies : 1) Le consentement de la personne concernée 2) Motif d’intérêt public important = nécessite un jugement de proportionnalité Il sera nécessaire de réaliser une analyse d’impact relative à la protection des données (autotest de proportionnalité). 51 2. Prise de décision automatisée dans le champ de la directive Police-justice Article 11.1 Directive Police-Justice = « Les États membres prévoient que toute décision fondée exclusivement sur un traitement automatisé, y compris le profilage, qui produit des effets juridiques défavorables pour la personne concernée ou l'affecte de manière significative, est interdite, à moins qu'elle ne soit autorisée par le droit de l'Union ou le droit d'un État membre auquel le responsable du traitement est soumis et qui fournit des garanties appropriées pour les droits et libertés de la personne concernée, et au minimum le droit d'obtenir une intervention humaine de la part du responsable du traitement. ». La prise de décision automatisée produisant des effets juridiques favorables échappe à ce régime. Pas d’exceptions tenant à la conclusion/exécution d’un contrat ou au consentement. Seule exception : autorisation par le droit de l’Union ou d’un Etat membre, exception semblant dès lors ouvrir un large choix. La directive ne pose pas de règles particulières pour les données sensibles. Il faut ainsi appliquer les règles de base : 1) Il faut une nécessité absolue de traiter ces données sensibles 2) L’un des trois cas : - Autorisation du droit de l’UE ou d’un EM - Protection des intérêts vitaux - Données rendues manifestement publique par la personne concernée C/ Règles propres aux traitements des articles 85 et s. A la fin du RGPD, les articles 85 s. traitent de traitements de données spécifiques : • Traitements connexes à des enjeux de liberté d’expression et d’information (art. 85) • Traitement des données à caractère personnel figurant des documents officiels (art. 86) • Traitement du numéro d’identification national (art. 87) • Traitement des données dans le cadre des relations de travail (art. 88) • Traitement des données à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historiques et à des fins statistiques (art. 89) Section 4 : Les principes d’intégrité et de confidentialité des données Ces principes se rapportent à la question de la sécurité des données, aspect délicat à maitriser car les juristes ne sont pas des ingénieurs. Les dirigeants y sont astreints par la force. 52 En 2021, selon le Cost of Data Breach Report, il peut coûter cher d’avoir une brèche de sécurité dans les données → 124 millions de dollars par violation de données. Il peut aussi y avoir des amendes dans ces coûts. Exemple de l’amende de l’ICO (UK) de 1,25 million à Ticketmaster La sécurité des données est l’un des aspects du principe de confidentialité dès la conception. Article 5.1 f) RGPD = « Les données doivent être {…} traitées de façon à garantir une sécurité appropriée des données à caractère personnel y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelle appropriées ». Deux aspects : 1) Sécurité relative à l’intégrité des données. 2) Sécurité relative à la confidentialité des données. Les considérations relatives à la sécurité des traitements sont détaillées à l’article 32. Trois critères d’appréciation de l’opportunité des mesures de sécurité devant être prises par les RT et ST : 1) Les types de traitements réalisés 2) Les risques d’une défaillance pour les droits et libertés des personnes 3) Les coûts entrainés et les connaissances en la matière Les moyens pour assurer la sécurité : 1) La pseudonymisation et le chiffrement (rend les données non attribuables à une personne physique) des données à caractère personnel. 2) Les moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement. 3) Les moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique. 4) Une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement. L’application d’un code de conduite ou d’un mécanisme de certification est un facteur favorable en cas de contrôle ou de défaillance. Dès qu’un code existe, le fait que les professionnels appliquent les règles ira dans leur sens s’il y a un jour contrôle. Le mécanisme de certification nécessite la nomination de certificateurs. Il doit exister une politique de sécurité claire = expliquer les mesures prises pour garantir la sécurité des traitements - Le RT doit se préoccuper des mesures de sécurité prises par son ST car à défaut engage sa responsabilité - Le RT ne peut se cacher derrière le ST : en théorie, le RT est censé auditer le ST 53 Exemple de Darty qui a une amende de 100 000 euros. Le prestataire avait développé un module de SAV. La manière dont les URL étaient formulées rendaient une attaque facile. Il était reproché à Darty de ne pas avoir pris les mesures utiles et nécessaires pour contrôler les agissements de son prestataire. L’article 29 Directive 2016/680 dispose des mêmes critères pour gouverner l’opportunité des mesures, mais en revanche la liste des objectifs à accomplir est plus précise : 1) Contrôle de l’accès aux installations utilisées 2) Contrôle des supports des données contre toute possibilité de lecture, de suppression ou modification non autorisée 3) Contrôle de la conservation des données (= intégrité) 4) Contrôle des utilisateurs L’article 25 Directive 2016/680 dispose d’une obligation de journalisation = les Etats membres doivent prévoir que toute consultation, communication, y compris les transferts, l’interconnexion et effacement des données doit être journalisée. Le but est d’établir le motif, la date et l’heure du traitement et dans la mesure du possible l’identification de la personne qui a consulté et communiqué les données et l’identité aussi des destinataires. Obligation de notification d’une violation de données à caractère personnel. Il existe deux créanciers de notification : 1) Notification de l’autorité de contrôle (art. 33 RGPD, art. 30 Directive) - Incombe au responsable de traitement (et non au ST) Cette notification n’est pas systématique : la notification n’est pas nécessaire si la « violation en question n’est pas susceptible d’engendre un risque pour les droits et libertés des personnes physiques ». La notification doit être réalisée « dans les meilleurs délais et, si possible 72 heures au plus tard après en avoir pris connaissance ». Le sous-traitant doit notifier le responsable de traitement « dans les meilleurs délais ». 2) Notification de la personne concernée (art. 34 RGPD, art. 31 Directive) - Incombe au responsable de traitement (et non au ST) Cette notification n’est pas systématique : la notification n’est nécessaire si la « violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique ». Le critère de déclenchement est l’existence d’un risque élevé. La notification doit être réalisée « dans les meilleurs délais ». La notification doit déclarer la violation dans « des termes clairs et simples ». Elle doit être individualisée, à moins que cette individualisation exige des « efforts disproportionnés ce qui justifie une communication publique ». Les exceptions à l’obligation de notifier la personne concernée qu’il faut prouver : 54 A) Les mesures qu’il a appliquées aux données violées les rendent « incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès, tel le chiffrement B) Le RT « a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et liberté des personnes concernées visées au paragraphe 1 n’est pas susceptible de se matérialiser » C) La communication exigerait des efforts disproportionnés et dans ce cas il est procédé à la communication au public ou à une mesure similaire. D) L’Autorité de contrôle peut décider si la notification doit être faite ou non (ex forcer à réaliser la notification). Elle peut imposer la notification. La Directive Police-Justice prévoit que ce droit à notification peut être retardé, modifié ou supprimé. Pourquoi ? La Directive prévoit des hypothèses dans lesquelles des impératifs supérieurs permettent de neutraliser les droits des personnes concernées. Le RT doit veiller à ce que ses sous-traitants et agents ne traitent les données auxquelles ils ont accès que : a) Sur instruction de leur employeur b) S’ils y sont obligés par la loi Section 5 : Le principe d’exactitude des données Article 5.1 d) RGPD et article 4.1 Directive = « Les données à caractère personnel doivent être exactes et, si nécessaire, tenues à jour ; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder ». C'est à dire qu’elles doivent être tenues a jour, tout le temps. • Question : Finalement, la vie privée n’est-elle pas mieux protégée lorsque le RT a de fausses informations ? - Les textes envisagent l’inexactitude comme une source de dommage potentiel pour la personne qui est concernée Spécificités de la Directive Police Justice. Le principe d’exactitude ne s’applique pas au contenu des déclarations faites par les personnes physiques dans le cadre des procédures judiciaires (cons. 30), ce qui est logique. Pareillement pour la teneur d’une déposition. Les autorités doivent veiller à la non-transmission de données inexactes, incomplètes ou périmées. Section 6 : Les principes relatifs à la conservation des données Article 5.1 d) RGPD et article 4.1 d) Directive = « Les données à caractère personnel doivent être exactes et, si nécessaire, tenues à jour ; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder ». 55 Les données à caractère personnel ne peuvent être conservées indéfiniment. Exemple : la société Spartoo est condamnée par la CNIL (28 juillet 2020). Conservait les données de 25 millions de personnes avec aucune activité depuis plus de 3 ans dans l’UE. Mais, passé trois ans, il est normal d’effacer les données. Exemple d’AG2R La Mondiale qui n’a pas mis en œuvre dans ce systèmes les durées de conservation que la société avait définie. Article 5.1 e) RGPD et article 4.1 e) Directive = Les données doivent être « concernées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ». Seulement RGPD = « Les données à caractère personnel peuvent être conservés pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1 ». = C’est la finalité du traitement qui détermine la durée de conservation. Exemple : Facebook est condamnée pour ne pas avoir démontré pourquoi la conservation de données (adresses IP) était nécessaire pendant toute la durée de vie du compte facebook. Le responsable de la détermination de la durée de conservation incombe au RT. Parfois il y a des exigences légales de conservation des données, mais les recommandations / suggestions de la CNIL se fondent sur d’autres exigences légales qu’elle cite : - Dispositif de vidéosurveillance poursuivant un objectif de sécurité des biens et des personnes : 1 mois. - Données relatives à la gestion de la paie ou au contrôle des horaires des salariés : 5 ans. - Données figurant dans un dossier médical : 10 ans à compter de la consolidation du dommage. - Coordonnées d’un prospect : 3 ans à compter de la dernière réponse du prospect. Il faut interroger les prospects avant même la collecte. La CNIL propose d’envisager la conservation en trois phases : La base active = ce sont les données couramment nécessaires. L’archivage intermédiaire = la donnée n’est plus activement exploitée mais doit être conservée en vertu d’une obligation légale ou pour pouvoir réagir à une demande en justice faite à l’intérieur du délai de prescription applicable. Conduit à terme à suppression. L’archivage définitif = archivage réalisé dans l’intérêt public au sens de la RGPD car en théorie on ne peut pas archiver lorsque la finalité est remplie. Mais souvent, suppression de la donnée et pas d’archivage définitif. Dernier principe non évoqué : le principe de redevabilité, à tout moment on doit pouvoir rendre compte de la donnée conservée, soit à la personne concernée soit à l’autorité. 56 Chapitre 4 : Les transferts internationaux de données Cette réglementation est une question fondamentale pour n’importe quel pays protégeant les données de ses concitoyens. Le fait que les données soient traitées, collectées en numérique permet de les transférer en une seconde. Ne pas réglementer le transfert des données serait abdiquer à leur protection. Il est nécessaire de pouvoir travailler avec des gens au-delà des frontières. La réglementation de ces transferts est inévitable pour assurer une balance entre la réalité et la protection effective des données. Comment encadrer ces transferts ? Les art. 44 à 50 RGPD consacrent ce transfert. L’art. 44 RGPD dispose qu’il faut prendre des mécanismes particuliers pour réaliser ce transfert. Dans l’hypothèse ou aucune décision d’adéquation n’a été prise à m’égard du pays destinataire de ces données, la complication qu’a induite l’arrêt Schems II rend l’emprunt de tous les mécanismes, sauf la décision d’adéquation, assez compliqué. Cet article 44 RGPD dispose « Un transfert, vers un pays tiers ou à une organisation internationale, de données à caractère personnel qui font ou sont destinées à faire l’objet d’un traitement après ce transfert ne peut avoir lieu que si, sous réserve des autres dispositions du présent règlement, les conditions définies dans le présent chapitre sont respectées par le responsable du traitement et le sous-traitant, y compris pour les transferts ultérieurs de données à caractère personnel au départ du pays tiers ou de l’organisation internationale vers un autre pays tiers ou à une autre organisation internationale ». L’art. 44 RGPD retient que « Toutes les dispositions du présent chapitre sont appliquées de manière à ce que le niveau de protection des personnes physiques garanti par le présent règlement ne soit pas compromis ». Les mécanismes en vertu desquels un exploitant peut exporter des données en dehors de l’UE sont : - Soit l’existence d’une décision d’adéquation - Soit l'existence de garantie appropriée - Dérogations pour situations particulières Section 1 : Existence d’une décision d’adéquation La notion de transfert de données fondée sur une décision d’adéquation en date du RGPD mais c’st un mécanisme issu de la directive de 1995. La décision d’adéquation est lorsque la commission prend un décision en vertu de laquelle un pays tiers, ou in territoire assure un niveau adéquat en matière de protection des données (art. 45 RGPD). Cette décision permet aux sous traitants d’exporter n’importe quelle donnée vers une entité sans aucun procès. Cette décision permet un libre flux des données depuis l’Europe vers une certaine entité. 57 Cela ne signifie pas que le pays ait une mesure de protection identique. On demande que cette protection soit substantiellement équivalente à celle que confère du RGPD. Donc, le pays n’est pas tenu de disposer d’un système de protection des données comme celui qui existe en Europe. En revanche, les droits des personnes présents dans le RGPD doivent être dans le pays d’accueil. Le RGPD donne trois grands critères : 1- La commission européenne doit juger qu’il existe et fonctionne une autorité de contrôle effective qui assure un contrôle équivalent à celui qui existe dans l’UE. C'est à dire qu’elle doit avoir le pouvoir 2- Les engagements et obligations internationaux que le pays a signé. Par exemple : depuis le Brexit, il a fallu conférer à la grande Bretagne une décision d’adéquation.