Expression libre

Les textes courts (3.000 signes environ) qui figurent dans cette rubrique n’engagent pas l’AFCDP. Ces textes sont proposés par des professionnels de la protection des données personnelles (CIL désigné ou pas) et de la conformité à la loi Informatique et Libertés.

Les propositions de texte doivent être envoyés à au format éditable et accompagné des coordonnées et de la présentation de l’auteur.

Avant qu’il ne disparaisse, saluons le G29

L’article 29 de la directive du 24 octobre 1995 sur la protection des données et la libre circulation de celles-ci a institué un groupe de travail rassemblant les représentants de chaque autorité indépendante de protection des données nationales : le G29.

Cette organisation qui réunit l’ensemble des "CNIL" européennes, tient des séances plénières tous les deux mois environ à Bruxelles.

Sa présidence, après avoir été assurée par Madame Isabelle Falque-Pierrotin, Présidente de la CNIL, vient d’échoir à Madame Andrea Jelinek, Directrice de l’autorité de contrôle autrichienne depuis 2014.

Le 25 mai 2018, le G29 disparaitra pour laisser la place au Comité européen de protection des données, créé par l’article 68 du RGPD.

Lors d’une conférence qui s’est tenue à Londre le 22 février 2018, Giovanni Buttarelli, European Data Protection Supervisor, a indiqué qu’il était probable que Mme Andrea Jelinek garde cette même qualité quand le G29 deviendra le Comité européen de la protection des données.

Avant que le G29 disparaisse, il semblait intéressant de revenir sur sa genèse et ses apports.

C’est pourquoi nous publions ici un chapitre du livre "Correspondant Informatique et Libertés : bien plus qu’un métier", publié en 2015 par l’AFCDP.

LE GROUPE DE TRAVAIL DE L’ARTICLE 29 par Julien ROSSI

Le groupe de travail de l’article 29 (ou G29), prévu par la directive 95/46/CE, regroupe les autorités nationales de protection des données personnelles. Cette structure originale dans l’architecture européenne, semble à mi-chemin entre une agence structurée et un comité classique conseillant la Commission. Récemment, un contrôle conjoint de la politique de confidentialité de Google a attiré l’attention du public sur le rôle joué par ce groupe dans la protection des données en Europe. Cet article tente d’explorer le rôle du G29 dans la politique européenne de protection des données. Ce travail permet de montrer que le réseau institutionnalisé sous la forme du G29 actuel préexistait à la directive européenne le créant formellement, et qu’il a eu un rôle majeur dans l’adoption de celle-ci. Aujourd’hui, le projet de règlement entérine plusieurs évolutions de facto expérimentées par ce groupe, mais la montée en puissance du G29, bien qu’apparemment très forte, est à nuancer. On ne peut en effet pas parler d’unité du G29, qui ressemble plus à une ressource politique et matérielle à disposition des autorités nationales. Il n’en demeure pas moins que ce groupe est capable de produire des outils utiles à l’intention des responsables de traitement et des CIL.

La directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données oblige les États membres de l’Union Européenne (UE) qui n’en étaient pas encore dotés de créer une ou plusieurs autorités chargées de contrôler le respect, par les responsables de traitement, des obligations découlant de la directive.

L’article 29 de cette même directive prévoit la constitution d’un groupe de travail composé des représentants de ces autorités nationales. Ce groupe, qui peut prendre ses décisions à la majorité simple, élit son propre président, mais ne dispose pas de son propre secrétariat – lequel est assuré par la Commission européenne – ni d’un budget propre. La directive ne prévoit que des missions consultatives : ce groupe conseille la Commission, émet des avis sur la conformité du niveau de protection des données dans les États tiers, peut émettre de sa propre initiative des recommandations, contribue à la mise en œuvre homogène de la directive et produit un rapport annuel, qui est en fait pour une très large part la compilation d’extraits de rapports annuels en provenance des États membres.

Concrètement, ce groupe de travail, connu en France sous son abréviation « G29 », a un rôle dans cinq domaines :

  • L’interprétation de la directive par l’adoption d’avis sur différents thèmes, allant de la biométrie à la définition de la notion personnelle ou du consentement ;
  • L’évaluation du niveau de protection des données personnelles des États tiers, cadre dans lequel le G29 entretient une correspondance avec les autorités de ces États et formule des avis à leur encontre, participant à une forme de « diplomatie des données personnelles » au niveau international ;
  • La correspondance avec certains responsables de traitement établis dans les États tiers (ICANN , Microsoft, Google…) ;
  • La formulation d’avis sur la politique européenne, sous l’angle de la protection des données ;
  • Enfin, le G29 est un forum d’échange d’expertise entre autorités nationales et a un rôle primordial dans la mise en réseau de celles-ci.

I. Le G29 à l’origine de la directive 95/46/CE

I.1. L’entrepreneuriat transgouvernemental

Abraham Newman, universitaire américain ayant étudié les Autorités nationales de Protection des Données Personnelles (APDP), propose dans son ouvrage Protectors of Privacy (2008) une explication alternative aux récits classiques, intergouvernementaux et néofonctionnalistes pour expliquer l’adoption de la directive 95/46/CE, auquel il donne le nom de la théorie de l’entrepreunariat transgouvernemental. Cette explication repose sur les éléments suivants :

  • une volonté politique d’acteurs publics sub-étatiques ;
  • une mise à l’agenda politique passant par l’expertise ;
  • l’utilisation de ressources politiques nationales pour modifier le statuquo réglementaire international ;
  • la contribution aux négociations internationales.

I.2. Le G29 avant la directive

Le rôle joué par le réseau des APDP européennes dans l’adoption de la directive 95/46/CE illustre la théorie de l’entrepreneuriat transgouvernemental d’Abraham Newman.

Lorsqu’au milieu des années 1970 ont commencé les négociations au Conseil de l’Europe sur ce qui allait devenir la Convention 108 sur la protection des données à caractère personnel, le réseau des experts de ce sujet ne pouvait s’appuyer que sur une autorité nationale de protection des données personnelles, celle de la Suède, puisqu’il n’en existait aucune autre à l’exception de celle du Land de Hesse, qui n’avait qu’une autorité régionale. En 1988, il y avait déjà onze autorités, dont la coopération avait débuté par l’organisation à Bonn, en 1979, lors de la première conférence internationale des commissaires à la protection des données.

À partir du milieu des années 1970, le Parlement européen a adopté plusieurs résolutions demandant à la Commission de proposer un texte visant à harmoniser les règles de protection des données personnelles en Europe . Le Parlement européen, même s’il n’est élu au suffrage universel direct que depuis 1979, avait déjà théoriquement vocation à devenir un élément supranational dans l’architecture institutionnelle de la CEE, qui devint l’Union européenne. La Commission, que celui-ci appelait à agir, n’a cependant pas souhaité le faire, la direction générale Marché Intérieur ayant considéré à l’époque que la protection des données personnelles ne concernait que le secteur public. En outre, l’absence d’appel à une harmonisation européenne par les représentants de l’industrie contribue elle aussi à invalider l’explication néofonctionnaliste de l’adoption de la directive 95/46/CE. L’explication intergouvernementale est invalidée par l’absence de volonté française ou allemande d’imposer un cadre européen, et l’opposition du gouvernement britannique au Conseil.

Mais, à partir de la fin des années 1980, les autorités nationales de protection des données prennent le relais du Parlement européen pour exiger une harmonisation européenne. En 1989, à Berlin, les autorités de protection des données personnelles adoptent une résolution appelant la Commission à agir, et jouant sur les objectifs du marché unique. L’année suivante, les mêmes autorités menacent, si la CEE ne se dote pas d’une réglementation garantissant un niveau minimum de protection des données avant 1992, de bloquer les flux de données transfrontaliers qui sont alors déjà en pleine expansion :

If there are no common rules by 1992 amongst the twelve Community members then quite simply five of the countries of the European Community without such laws will have to be treated in exactly the same way as those with no rules for data privacy. Therefore, there will no personal data transfers to those countries because data commissioners will oppose such transfers .

Cette menace a eu des effets concrets. Invoquant l’article 24 de la loi Informatique et Libertés de l’époque, la CNIL a bloqué un transfert de données personnelles de Fiat France vers Fiat Italie (CNIL, délibération 89-78). De telles menaces ont également pesé à la fin des années 1980 sur l’accord Schengen, des autorités nationales ayant menacé d’interdire les transferts vers la Belgique prévus dans le cadre du Schengen Information System (SIS).

C’est à la lumière de ces efforts coordonnés que doit s’analyser la proposition du 13 septembre 1990 de la Commission européenne portant sur une directive relative à la protection des données à caractère personnel , qui allait aboutir à la directive 95/46/CE que nous connaissons. Les autorités nationales de protection des données ont su ainsi imposer aux gouvernements réunis au sein du Conseil leur agenda politique dans un domaine où ces derniers avaient déjà, dans un premier temps, délégué leurs compétences en interne à une entité sub-étatique, indépendante d’eux.

L’absence de dispositions portant sur des autorités de supervision dans la Convention 108 du Conseil de l’Europe, comparée à l’importance de ces dernières dans l’architecture réglementaire de la directive 95/46/CE, est elle aussi un indice qui rappelle l’absence des autorités dans les négociations de ce premier texte, qui vient renforcer la thèse de Newman.

II. Le G29 aujourd’hui : une ressource plus qu’un lieu uni de décision, ou qu’un embryon d’agence fédérale européenne de protection des données

Si l’article 29 de la directive formalise et institutionnalise cette coopération informelle préexistante des autorités nationales de protection des données personnelles en Europe, elle ne lui confère cependant pas de pouvoirs d’une portée comparable à ceux de ses membres, puisqu’il ne s’agit que d’une instance consultative, présentant ses avis à la Commission et lui proposant éventuellement d’agir dans le cadre d’actes délégués, soumis de toutes façons à une procédure de comitologie fortement contrôlée et contrainte par les exécutifs nationaux des États membres.

La question se pose de savoir si cet esprit d’entrepreneuriat politique des premières heures a perduré après l’adoption de la directive. Certains signes extérieurs semblent en effet pointer vers une tentative de « fédéraliser » la supervision des données personnelles au niveau du G29.

La multiplication du nombre de comptes à des services en ligne a créé un marché pour les services permettant de se connecter avec un identifiant à plusieurs comptes en même temps. Microsoft avait au début des années 2000 lancé le produit Passport.NET pour offrir ce type de service. Les données collectées par les prestataires partenaires étaient centralisées et servaient à l’établissement d’un profil marketing. En 2002, le G29 s’est saisi de la question en publiant un rapport mettant en lumière plusieurs éléments d’inquiétude vis-à-vis de ce service, et déplorant le manque d’information des usagers. Microsoft avait alors incorporé les recommandations des superviseurs européens.

Plus récemment, le G29 a su attirer l’attention par son action conjointe à l’égard de Google. Le 2 février 2012, Jacob Kohnstamm, président du G29, a écrit à Google Inc. pour demander des clarifications au sujet de la fusion des règles de protection des données de plusieurs services gérés par Google . Cette lettre informait le PDG de Google de l’intention du G29 d’évaluer la conformité de la nouvelle politique de confidentialité de Google à la lumière de la législation européenne, et demandait la suspension de la mise en œuvre des nouvelles règles en attente du résultat de cette analyse. Google refusa cette dernière demande et en informa le G29 par courrier , qui procéda malgré tout à l’évaluation prévue et conclut à la violation par Google de la directive 95/46/CE en raison d’une information insuffisante des utilisateurs, de la violation du principe de limitation des finalités, et de l’absence d’indication quant à la durée de conservation des données .

Suite à cela, les autorités nationales de protection des données personnelles française, italienne, espagnole, britannique et hambourgeoise se sont regroupées pour sanctionner Google chacune selon la procédure nationale . L’autorité espagnole a imposé une amende de 900.000 euros et la CNIL 150.000 euros . Le 15 décembre 2014, le CBP néerlandais a annoncé avoir mis Google en demeure d’adapter sa politique de confidentialité avant fin février 2015, sous peine d’une astreinte dont le montant pourrait atteindre jusqu’à 15 millions d’euros . Et fin février 2015, l’autorité italienne de protection des données a annoncé un accord avec Google , selon lequel l’entreprise avait jusqu’en janvier 2016 pour se mettre en conformité. S’il est possible d’interpréter cette décision comme un nouveau délai accordé – de près d’un an par rapport au délai contenu dans la décision néerlandaise – le fait que le Garante Privacy italien soit parvenu à un accord montre l’efficacité que peut revêtir une procédure à l’échelle européenne.

L’analyse détaillée de la procédure à l’encontre de Google Inc. illustre cependant le fait que le G29 sert en fait souvent à « démultiplier » le rôle d’une autorité nationale. C’est en effet la CNIL qui a pris la direction de l’enquête sur Google Inc., qui ne s’y trompe pas : c’est Google France qui a répondu à la lettre à la lettre du président du G29 du 2 février 2012 sur sa nouvelle politique de confidentialité, par un courrier envoyé à la CNIL. Le communiqué de presse publié le 16 octobre 2012 sur le site du G29 est un communiqué de la CNIL. Et à l’heure actuelle, seules quelques autorités ont sanctionné Google dans le cadre de sa nouvelle politique de confidentialité , la plupart n’ayant même pas enclenché de procédure interne !

L’absence de véritable procédure commune de sanction peut s’expliquer par l’absence de caractère contraignant des décisions du G29. De plus, l’analyse par une autorité chef-de-file, et les éléments de dossiers qu’elle collecte, ne peuvent généralement pas être légalement utilisés dans leur ordre juridique interne et leurs procédures internes par les autorités d’autres États membres. Plusieurs acteurs étrangers de la protection des données – qui ont préféré garder l’anonymat pour ne pas engager les autorités pour lesquelles ils travaillent – ont indiqué que selon eux, cette procédure est une tentative dont le but réel est de pallier l’absence de moyens de l’autorité irlandaise de protection des données. Mais Google Irlande n’a par exemple aucune obligation de laisser entrer des agents d’une autorité étrangère, même membre de l’Union européenne et mandatés par le président du G29, pour une inspection sur place. Enfin, la coordination entre les autorités nationales n’est à l’heure actuelle même pas appuyée par un système cohérent de partage d’informations. Il n’existe pas, contrairement à d’autres domaines de la coopération européenne, d’extranet commun à ces autorités qui permettrait un partage sécurisé des données.

Cette utilisation du G29 comme « démultiplicateur » des capacités d’une autorité nationale se voit aussi dans la façon dont les « petites autorités » font un usage plus systématique des avis du G29 que les « grandes ». Le G29 a adopté, depuis sa création, un nombre important d’avis visant à clarifier certaines des notions de la directive 95/46/CE ou à définir des lignes directrices propres à un secteur d’activité. Il arrive que ces opinions contiennent des recommandations qui vont au-delà de ce que prescrit explicitement la directive. C’est le cas notamment de l’avis 10/2004 sur l’harmonisation des dispositions en matière d’information . La question se pose alors pour un responsable de traitement de savoir s’il peut se baser de façon fiable sur ces avis pour sa propre politique de confidentialité. Traduit d’une façon plus « politique », il s’agit de savoir si les autorités nationales répercutent, utilisent et se basent dans leurs décisions sur ces avis du G29. Quinze décisions de trois autorités ont été étudiées. Toutes les décisions hongroises analysées faisaient référence à un ou plusieurs avis du G29, ainsi que deux des cinq décisions françaises, mais aucune des décisions espagnoles. Comme la CNIL française dispose de plus de moyens que l’AEPD espagnole , le facteur « ressources » n’est pas le seul qui semble entrer en jeu. Cependant, si l’AEPD et la CNIL ont des ressources similaires (respectivement 14,4 millions et 15,8 millions d’euros en 2011), la NAIH ne disposait en 2012, date de sa création, que de 1,3 million d’euros pour exercer des compétences qui vont au-delà de celles de la CNIL ou l’AEPD, puisqu’elle est aussi responsable de l’accès aux documents administratifs. Il faudrait vérifier avec les autres « petites » autorités nationales si la même propension à se référer aux avis du G29 se retrouve, mais il est possible de formuler l’hypothèse selon laquelle les autorités disposant de peu de moyens trouvent dans le G29 un vivier d’expertise utile et permettant de compenser en partie le manque de moyens internes. Quoiqu’il en soit, le résultat de cette courte enquête prouve que contrairement à ce qu’avance Newman dans son ouvrage publié en 2008, les avis du G29 n’ont pas le même impact interne dans chaque État membre.

La participation au G29 des autorités disposant de moyens limités est aussi contrainte par le fait qu’il ne dispose pas de son propre budget. La participation aux travaux et les déplacements sont financés par les autorités elles-mêmes. La présidence du G29 est assurée par le budget et le personnel de l’autorité dont le dirigeant a été élu, et seuls les déplacements sont pris en charge par la Commission.

III. Des outils pour les CIL

Bien que cela soit rare, il convient tout d’abord de souligner qu’il arrive au G29 de prendre contact directement avec des responsables de traitement. Les cas précédemment décrits de Microsoft, avec Passport.Net, et de Google plus récemment, en sont des illustrations. Il arrive également que le contact avec le G29 soit à l’initiative du responsable de traitement, ou d’associations professionnelles. C’est ainsi que le G29 a été amené à se prononcer sur une proposition de cadre d’évaluation de l’impact sur la protection des données et de la vie privée des applications reposant sur l’identification par radiofréquence (RFID). De tels contacts sont cependant relativement rares et, étant donné le faible poids au quotidien du G29 sur l’immense majorité des responsables de traitement, c’est ailleurs que les CIL peuvent aujourd’hui trouver un intérêt à ses travaux.

Deux catégories d’outils proposés par le G29 paraissent dès aujourd’hui pertinentes pour les Correspondants Informatique et Libertés : les avis du G29, et la procédure européenne de reconnaissance mutuelle des règles contraignantes d’entreprise comme base légale permettant le transfert de données vers des pays tiers.

III.1. Les avis du G29

Le groupe a été amené à adopter un grand nombre d’avis sur des thèmes variés , des données biométriques à la protection des données des enfants. Une présentation plus intuitive sur le site Internet du G29 permettrait sans doute de mieux faire le tri entre les avis encore pertinents et utiles aux responsables de traitement, et ceux qui sont soit périmés (comme l’avis 3/1997 sur l’anonymat sur Internet, techniquement dépassé depuis longtemps), soit destinés à la Commission et donc sans grand intérêt pour les CIL.

Les avis du G29 contiennent parfois des recommandations pragmatiques à l’usage des responsables de traitement. C’est le cas par exemple de l’avis 4/2004 sur la vidéosurveillance qui propose un guide concret de la réflexion à suivre pour aboutir à une politique de confidentialité conforme à la directive. L’avis 10/2004 , qui porte sur l’information à donner aux personnes concernées, propose lui aussi des exemples. Plus récent, l’avis 5/2014 présente les avantages et les inconvénients de plusieurs techniques d’anonymisation.

D’autres avis sont quant à eux intéressants car ils sont des éléments de doctrine qui ont une influence forte sur les autorités nationales à l’échelle de l’Union, même si celle-ci varie d’une autorité à l’autre en fonction de la connaissance qu’en ont les agents. L’avis 1/2010 présente ainsi les notions de responsable de traitement et de sous-traitant et décrit en détail les situations dans lesquelles un sous-traitant peut être requalifié de responsable de traitement. L’avis 4/2007 sur le concept de donnée personnelle est lui aussi intéressant, car il entérine à un niveau européen une évolution de la notion, qui ne saurait être conçue de façon absolue (donnée personnelle / donnée non-personnelle) mais de façon relative : est une donnée personnelle toute donnée que le détenteur est en mesure de relier à une personne physique.

Il serait difficile de dresser un tableau exhaustif des avis pouvant intéressant les responsables de traitement, car nombre de ces avis sont des avis sectoriels (vidéosurveillance, RFID , données PNR …) et ne concernent pas tous les CIL. Quoiqu’il en soit, ils peuvent s’avérer une ressource utile pour une mise en conformité pensée en rapport avec la directive, et donc à un niveau européen.

III.2. Les règles contraignantes d’entreprise

Les règles contraignantes d’entreprise de l’Union européenne , ou BCR (de l’anglais Binding Corporate Rules) sont un moyen pour un groupe d’entreprises international de faciliter les transferts de données personnelles en son sein, entre ses filiales situées dans et hors de l’Union européenne. Elles ne sont pas prévues par la directive, mais se fondent sur l’article 26 paragraphe 2 qui dispose que :

[…] un État membre peut autoriser un transfert, ou un ensemble de transferts, de données à caractère personnel vers un pays tiers n’assurant pas un niveau de protection adéquat au sens de l’article 25 paragraphe 2, lorsque le responsable du traitement offre des garanties suffisantes au regard de la protection de la vie privée et des libertés et droits fondamentaux des personnes, ainsi qu’à l’égard de l’exercice des droits correspondants ; ces garanties peuvent notamment résulter de clauses contractuelles appropriées.

Les BCR sont un moyen de prouver la garantie offerte par le responsable de traitement, au même titre que les clauses contractuelles types de la Commission européenne. Cet outil a été créé en 2003 par le G29, et la procédure de reconnaissance mutuelle date de 2005 .

Cette procédure se déroule en plusieurs étapes :

  • dans un premier temps, le groupe ayant rédigé un projet de BCR doit désigner une autorité chef-de-file là où il a son établissement principal sur le territoire de l’Union ;
  • ensuite, l’autorité chef-de-file envoie son analyse à deux autres autorités, qui analysent à leur tour les BCR ;
  • puis, le projet de BCR et l’analyse sont envoyés à toutes les autorités participant au mécanisme de reconnaissance mutuelle, puis à toutes les autorités du G29 ;
  • des commentaires sont envoyés au groupe candidat, qui doit alors les prendre en compte et proposer des modifications ;
  • une fois que l’autorité chef-de-file est satisfaite des modifications apportées, elle propose aux autres autorités de les approuver. Un consensus entre autorités est nécessaire pour cette étape.

Une fois les BCR approuvés, le groupe doit cependant toujours procéder aux demandes d’autorisation de transfert dans chaque État membre d’où il veut transférer des données, mais les autorités nationales participant au mécanisme de reconnaissance mutuelle s’engagent à accorder l’autorisation dès lors que les BCR ont été préalablement approuvés au niveau du G29. Ceci montre les limites du pouvoir du G29, qui ne peut pas lui-même créer du droit. L’existence de BCR devrait être entérinée par le projet de règlement actuellement en cours de négociation, mais en l’attente de cette réforme, les BCR sont une construction nouvelle, non prévue par la législation actuelle, mais devant s’insérer dans le cadre fourni par cette dernière.

En règle générale, l’autorité chef-de-file prend cinq mois pour analyser une candidature de BCR. Ensuite, il faut attendre en moyenne trois mois et demi pour que la procédure de reconnaissance mutuelle suive son cours, après quoi le plus long est la prise en compte des remarques par le groupe candidat, puisque ce délai est en moyenne de sept mois et demi (Privacy Laws & Business, 2013).

Les BCR peuvent être un outil efficace pour nombre de responsables de traitement. Il convient toutefois de souligner que toutes les autorités ne participent pas au mécanisme de reconnaissance mutuelle. Seuls les vingt-et-un pays suivants participaient au moment de la rédaction de cet article : l’Allemagne, l’Autriche, la Belgique, la Bulgarie, Chypre, l’Espagne, l’Estonie, la France, la Grande Bretagne, l’Irlande, l’Islande, l’Italie, la Lettonie, le Liechtenstein, le Luxembourg, Malte, la Norvège, les Pays-Bas, la République tchèque, la Slovaquie et la Slovénie. La plupart des autres États membres de l’Union acceptent quand même les BCR, mais selon une procédure différente, qui varie d’un État à l’autre. Le droit hongrois pose plus particulièrement problème, puisque l’article 8 de la loi hongroise sur la protection des données (loi CXII de 2011) ne reconnaît que le consentement, les décisions de conformité de la Commission et les traités internationaux conclus entre la Hongrie et des États tiers comme base légale permettant le transfert de données personnelles.

Bien que l’autorité hongroise de protection des données demande depuis plusieurs années la possibilité de participer au mécanisme de reconnaissance mutuelle des BCR, cette demande n’a toujours pas été prise en compte par le législateur. Les données en provenance de ce pays doivent donc être exclues des transferts vers des pays tiers, ce qui prouve que malgré tout l’intérêt de l’outil que sont les BCR, en dehors des vingt-et-un États participant au mécanisme de reconnaissance mutuelle du G29, il convient de demeurer vigilant dans l’utilisation des BCR et de vérifier le droit national applicable au cas-par-cas.

IV. Le futur du G29

Le projet de règlement européen devrait transformer le G29 d’aujourd’hui en Comité européen de la protection des données, ou European Data Protection Board en anglais (EDPB ). Cette transformation fait suite à des demandes de la part du G29 d’avoir, notamment, plus de poids dans la résolution d’affaires touchant plusieurs États membres . L’article 66 de la proposition de règlement, qui liste les tâches du futur EPDB, n’inclut aucune mission de nature à le mettre en contact avec des responsables de traitement, ni aucune responsabilité vis-à-vis, par exemple, des CIL.

Le règlement introduit plusieurs modifications, comme par exemple le fait que le secrétariat ne sera plus assuré par la Commission, mais par le Contrôleur Européen de la Protection des Données (CEPD). La principale nouveauté consiste en la consécration du mécanisme de reconnaissance mutuelle des BCR, décrit à l’article 43 du règlement. La nouvelle procédure de reconnaissance mutuelle se base sur celle – nouvelle elle aussi – de la procédure du mécanisme de contrôle de la cohérence.

Selon la procédure de cohérence, les autorités nationales sont habilitées à prendre les décisions portant sur les responsables de traitement ayant leur établissement principal dans leur aire de compétence géographique (art. 51-2 de la proposition de règlement). La certification de BCR est au nombre de ces décisions pour lesquelles sont compétentes les autorités nationales. L’EDPB dispose ensuite d’un mois au maximum pour donner un avis sur la décision affectant la protection des données au niveau européen (art. 58-7). Il ne s’agit que d’un avis simple, que l’autorité nationale compétente n’est pas tenue de respecter. La Commission peut cependant décider (art. 59) de suspendre la décision de l’autorité nationale compétente pendant une durée pouvant aller jusqu’à un an (art. 60). Ceci diminue le pouvoir qui est celui actuel du G29 dans le processus de certification des BCR, réduit considérablement la durée de la consultation par rapport aux délais actuels, et accroît les pouvoirs de la Commission en matière de protection des données. Cette dernière peut en effet intervenir non seulement en matière de BCR, mais dans toute autre procédure relative à des traitements de données affectant plusieurs États membres. La Commission étant un organe politique, ceci semble difficilement compatible avec la jurisprudence de la CJUE sur l’indépendance des autorités de protection des données …

En créant cette nouvelle procédure, ainsi qu’une procédure permettant aux autorités de mettre en commun des ressources humaines sous l’autorité d’un chef-de-file pour l’organisation de contrôles conjoints, la réforme proposée par la Commission accentue la transformation du G29 en une ressource matérielle et politique utilisée à disposition des autorités nationales, et renforce la Commission tout comme le CEPD. La production d’avis ne devrait pas être affectée par ce changement, mais il incombera au premier président de l’EDPB de faire en sorte que le G29 ne perde pas ce qu’il avait d’unité si ce forum de décision souhaite demeurer pertinent pour définir la mise en œuvre de la politique européenne de protection des données.

V. Conclusion

On ne peut pas dire que le G29 soit une entité singulière, disposant d’une identité propre. En l’état actuel des choses, le G29 reste avant tout un réseau transgouvernemental, c’est-à-dire, selon Keohane et Nye « Un jeu d’interactions parmi des sous-unités de différents gouvernements qui ne sont pas contrôlées ou guidées de près par les politiques gouvernements ou par ses ministres ».

Ce réseau représente avant tout une ressource pour les autorités nationales qui peuvent s’en servir de levier pour leurs activités d’entrepreunariat intergouvernemental, à l’image de la façon dont la CNIL a expérimenté dans l’affaire Google mentionnée ci-dessus ce que pourraient être des contrôles conjoints dans le futur. Cet « activisme institutionnel » d’autorités nationales a un effet puisque le projet de règlement officialise certaines des évolutions informelles du G29 qui sont le fait de telles entreprises politiques. Il peut aussi servir de ressource matérielle et en expertise pour des autorités nationales à taille et moyens réduits, et cette tendance est appelée à s’accentuer si la réforme proposée par la Commission est adoptée.

Il n’est cependant pas à négliger. Ce forum de discussion entre membres des autorités nationales – car ce sont bien les agents qui travaillent dans les sous-groupes préparant les décisions et avis du G29 – contribue à unifier la vision qu’ont les autorités nationales de certaines questions techniques ou légales en matière de protection des données. Les avis du G29 sont des éléments incontournables de doctrine en la matière, et ils ont l’avantage d’être valables sur tout le territoire de l’Union. Enfin, le G29 s’est montré capable à plusieurs reprises d’influencer des réformes législatives. S’il continue à développer une logique d’entrepreneuriat, il pourrait devenir un partenaire incontournable des CIL, tant au niveau de CEDPO qu’au niveau des responsables de traitement qui, par leur importance et leur échelle européenne ou mondiale, ne peuvent efficacement être supervisés qu’à un niveau européen.

Julien ROSSI, Membre de l’AFCDP. Lors de la rédaction de ce texte, il était chargé de missions pédagogiques à l’université de Szeged (Hongrie). Il est actuellement Doctorant au laboratoire COSTECH de l’Université de technologie de Compiègne(UTC). Julien a suivi un Master en Affaires européennes à l’Institut d’Études Politiques de Lille où il a publié un mémoire de recherche sur la jurisprudence de la Cour de justice de l’Union européenne sur les autorités nationales de protection des données personnelles, avant de faire un stage de fin d’études à l’Autorité nationale pour la protection des données et la liberté de l’information, en Hongrie, puis au service international de la Commission Nationale Informatique et Libertés.

Pour un nouveau mode de consentement en ligne ?

Ce texte est l’un des chapitres du livre « Correspondant Informatique et Libertés : bien plus qu’un métier », publié en 2015 par l’AFCDP.

RÉFLEXIONS PROSPECTIVES EN FAVEUR D’UN NOUVEAU MODE DE CONSENTEMENT EN LIGNE par Emmanuel CAUVIN

Le consentement est au centre du dispositif légal relatif à la protection des données personnelles. Pourtant, l’expression de la volonté dans l’environnement numérique laisse place à de nombreux et difficiles débats. La façon dont le consentement doit se manifester ne tombe pas sous le sens, on s’interroge sur les conditions à remplir pour qu’il soit considéré comme valide. Il s’agit pourtant de nos droits, de notre liberté. En remontant au déroulement des faits, aux modalités pratiques du consentement, cet article propose une idée, à titre de clarification, pour les actes les plus importants : le clic différé.

Le 13 juillet 2011, les autorités nationales de protection des données des 27 États membres, réunies dans le cadre de leur groupe de coordination, dit « de l’article 29 », ont adopté un document entièrement consacré à « la définition du consentement ». Ce document fait quarante-trois pages. Un tel volume pour un sujet aussi précis témoigne de la difficulté de l’exercice. La définition du consentement dans l’environnement numérique pose problème.

Révélateur aussi sur ce point est l’intitulé de l’intervention de Martine Ricouart-Maillet lors de l’Université AFCDP, le 27 janvier 2014 : Le consentement : le pouvoir de dire vraiment « oui » ? La question mérite en effet d’être posée, car ce pouvoir de dire « oui » est sujet à caution. Un simple clic à l’écran peut-il vraiment révéler une acceptation pleine et entière des conditions proposées ? Nous sentons bien une difficulté à associer la notion de consentement aux modalités concrètes qui lui sont associées, dans l’environnement numérique. Qu’il s’agisse d’une case à cocher ou d’une réponse positive à l’alternative « Oui/Non/Annuler », nous avons du mal à accorder ces procédés sommaires avec le poids que notre système juridique consensualiste accorde au consentement.

I. Difficulté à caractériser ce que doit être le consentement en ligne

Constatons d’abord que ce problème est nouveau. Les modalités du consentement, dans notre environnement classique, ne font pas réellement débat. Qu’il se manifeste de vive voix ou par écrit, la question de la preuve se posera éventuellement, a posteriori, mais le procédé en tant que tel, à l’instant précis où il est déclenché, ne suscite pas de question particulière. On ne peut pas en dire autant de la même question mais posée dans l’environnement numérique, s’agissant de nos libertés, du respect de notre vie privée.

« Explicite », « libre », « éclairé », « informé », « exprès », « spécifique », « indubitable », « effectif », « qualifié », « non équivoque » : le législateur ne sait plus quel mot employer pour qualifier ce que doit être le consentement de l’internaute face à des engagements dont l’enjeu n’est pas négligeable. Et de leur côté les professionnels ne savent plus comment interpréter ces exigences sous forme de processus à l’écran. La traduction dans la pratique de ces règles de formalisme juridique libellées sous forme d’épithètes apparaît pleine d’incertitude. Comment un responsable de traitement peut-il être sûr que telle séquence permettant d’enregistrer l’accord de l’internaute répond aux exigences légales ? Le législateur déclare son intention, mais oublie de fournir les spécifications y afférentes. Du terme juridique à la cinétique proposée aux utilisateurs, potentiellement consentants, il y a un pas, nécessaire… que le législateur ne franchit pas. Non accompagnés par une description de processus, ces adjectifs ne sont d’aucune utilité. La loi mouline dans le vide. Ceux qui voudraient se situer dans la légalité sont laissés dans l’incertitude quant au comment. Le législateur ne doit pas se contenter de formulations évasives, qui laissent les professionnels devant une réelle difficulté d’interprétation.

Consentement problématique, lois abstraites et dépourvues de résonance pratique évidente : nous avons deux problèmes à résoudre. S’assurer de la réalité du consentement de celui qui clique, et proposer aux professionnels une solution qui ne les laisse pas dans l’incertitude sur la façon de remplir leurs obligations. Commençons par analyser le geste incriminé, en lui-même, puis dans le contexte général dans lequel il prend place.

II. Un geste banal, pour des décisions qui ne le sont pas

Quelle est la valeur, le poids d’un clic, ce petit geste infime que nous accomplissons des dizaines (centaines ?) de fois tous les jours ? Si peu… La signature à l’encre représente au contraire un geste assez solennel, un peu théâtral, que nous accomplissons avec fierté, et parfois un brin d’angoisse, qu’il s’agisse d’un cadre privé (notaire…) ou professionnel (contrat). Pour les ventes immobilières, le notaire procède à la lecture du contrat à haute voix, avant de demander aux parties en présence de signer le document, sur chaque page : la séance peut prendre du temps, mais personne ne trouve à y redire, compte tenu de l’enjeu. On réfléchit avant de signer de sa main, par un tracé qui paraît-il, d’après les graphologues, exprime notre personnalité. Signer un document papier n’est pas chose courante, les occasions sont assez rares dans la vie quotidienne. On ne saurait en dire autant du clic de souris, souvent remplacé par une légère pression du bout du doigt sur l’écran tactile… La signature manuscrite présente cette caractéristique d’être unique. Ma signature c’est moi. Et elle m’engage. Le clic qui est pourtant lui aussi la marque d’un consentement est bien loin d’atteindre une telle singularité, magistrale. Le clic est un geste banal, employé pour marquer des décisions qui ne le sont pas : que l’on pense par exemple aux réseaux sociaux dans lesquels des pans entiers de nos vies sont désormais engagés, et qui comportent des règles du jeu, fixées par le propriétaire des lieux. Ces règles ont une influence directe sur nos actions et sur ce qui se joue, avec nos données, derrière le rideau.

On constate donc un écart entre le geste, ordinaire, et sa signification, pleinement contractuelle. Il y a là une sorte d’incompatibilité. Dans les salles des ventes, ou les marchés aux bestiaux du centre de la France, il est de tradition de considérer que le fait de lever la main équivaut à faire une offre dans le cadre de l’enchère en cours. Ce type de scénario, un geste habituellement anodin mais pourtant lourd de conséquences, est très exceptionnel. Il y faut des circonstances particulières, un décorum, un cercle d’initiés, une sorte de contrat préalable, presque un rite. En règle générale, le geste qui a le sens d’une acceptation contractuelle est réservé à cet effet, il ne sert pas à autre chose. Le moins que l’on puisse dire c’est que tel n’est pas le cas du clic de souris, qui, dans le monde en ligne, représente quelque chose comme mettre un pied devant l’autre, et qui est pourtant utilisé, aussi, pour signer des contrats (« Conditions d’Utilisation »).

III. Une caractéristique de l’environnement numérique : le temps qui presse

Remontons maintenant à la configuration des lieux. Comment caractériser l’environnement numérique, indépendamment des applications ? La façon dont nous « habitons », pour quelques minutes ou quelques heures, dans les programmes ? Là se trouve une autre explication de la difficulté que nous éprouvons à admettre, et à réglementer, le consentement par clic. La configuration physique des lieux fournit une seconde explication à la difficulté à laquelle nous nous heurtons.

Les « moyens de communication » avaient pour but affiché de vaincre les distances, pour permettre aux individus de « communiquer », malgré l’éloignement. Ce que personne n’avait imaginé c’est que le temps allait occuper la place laissée vacante par l’espace. Passer d’une situation à une autre n’implique pas un déplacement, mais un temps d’attente. L’espace est écrasé, la seule distance est celle qui sépare les bords opposés de l’écran. Tout est gouverné par la seule variable T. Au moment de débarquer dans l’océan des octets, « Actualiser » et « Synchroniser » sont toujours les premières choses à faire, avant de commencer quoi que ce soit, car venir se placer dans ce nouveau monde signifie d’abord se situer dans la chronologie. Se tenir au courant de l’actualité, suivre les dernières tendances, installer la nouvelle version de logiciel, charger les derniers messages, mettre à jours ses contacts. La course à la dernière version de tel ou tel document est le sport favori, ou en tout cas quotidien, de tout internaute qui se respecte. Tous ces actes ont la même signification : il faut coller au temps présent. Attirés, aspirés, captivés par la fuite vertigineuse des minutes et des secondes, nous tenons grâce à une atmosphère en mutation permanente. Plus rien pour se reposer, plus rien pour se poser. La seule perspective n’est ni devant, ni derrière, ni en haut, ni à droite ni à gauche, la seule perspective devant nos yeux est après. Tout ce qui existe, existe dans l’attente de quelque chose.

Faute d’espace, nous prenons appui sur le temps, inévitablement, et celui-ci peut dès lors nous entraîner dans sa course . L’unité de compte est le temps passé, le contrat, un abonnement. Être en ligne c’est être en mouvement, tiré par le temps, happé par l’instant futur. Le présent n’est pas statique, immobile, le présent est la poussée qui avale le futur pour en faire du passé, et c’est sur la pointe avancée de cette poussée inexorable que se situe la ligne, la ligne en laquelle nous sommes. Nous habitons cette poussée continuelle et inexorable, c’est précisément là que nous nous situons. Notre existence est passagère, toujours sur cette crête. En termes techniques, chaque fois qu’un programme est exécuté, une instance est créée : nous vivons littéralement dans des instances, nous vivons en instance. Tout est chronométré. S’arrêter ? Attendre ? Hors de question ! « Le temps presse » : cette formule pourrait résumer nos conditions de vie en mode connexion.

IV. La précipitation, vice du consentement de l’individu pris dans les flux numériques

Installés que nous sommes dans un processus mental en perpétuel bouleversement, la notion même de consentement individuel est douteuse. Où trouver le temps ? La réflexion intérieure ? L’homme immergé dans les octets (l’humanoctet) se laisse entraîner, c’est dans sa nature. Imaginons un instant un coureur lancé en pleine course à qui l’on viendrait tendre un papier et un stylo en lui demandant de s’engager sur un contrat. Quelle valeur donner à une signature obtenue dans un tel contexte ? La belle théorie de l’autonomie de la volonté, déclinaison de la liberté individuelle en matière contractuelle, et fondement, en droit civil, de la force obligatoire des contrats, semble bien loin… Le législateur a raison de se préoccuper de la réalité du consentement des humanoctets. L’injonction implicite qui est adressée aux passants à l’instant fatidique n’est pas vous pouvez valider, mais vous devez valider, et cela immédiatement.

Aucune solution ne se présente de manière évidente, pour rendre au consommateur en ligne la maîtrise de ce qui se passe dans sa tête. À côté de l’erreur, du dol et de la violence, nous avons à ajouter un nouveau vice du consentement : la précipitation. La volonté du contractant n’est ni contrainte, ni trompée, mais entraînée. S’il fallait définir d’un mot l’état d’esprit de l’humanoctet, ce serait l’impatience. Hors de lui, enroulé autour de la ligne, le consommateur n’a plus tout à fait sa tête à lui. La présence dans les flux numériques passe par une absence de soi, une adhésion à la matière. Les utilisateurs sont en état de réceptivité, ils se rapprochent des programmes, et tendent naturellement à s’accorder avec les messages. Le cerveau, qui est l’endroit où se prennent les décisions, est mobilisé pour le bon suivi du programme. On se rappelle la formule fameuse d’un dirigeant de TF1 : « ce que nous vendons à Coca-Cola, c’est du temps de cerveau humain disponible ». La formule a pu choquer, mais elle n’en exprime pas moins une vérité foncière.

V. L’hameçonnage apporte la preuve que nous avons tendance parfois à cliquer sans bien réfléchir

Certains s’y entendent à exploiter cet état d’entraînement à des fins illicites. Si les escrocs continuent de lancer leurs pourriels et leurs attaques d’hameçonnage (phishing), c’est parce qu’ils rencontrent un certain succès, des victimes se laissent prendre par un simple courriel contenant une invitation à venir faire un tour sur un site. Et si des victimes tombent dans le piège, c’est parce qu’il n’est pas très difficile de capter l’attention de personnes littéralement immergées dans les programmes, de télévision ou d’ordinateur, vers une décision, un acte qu’elles n’envisageaient aucunement au départ. C’est si facile de cliquer ! Pour faire suite à une si sympathique invitation ! Il y a une difficulté intrinsèque à admettre la validité d’un consentement donné dans ce lieu. Nous avons tous tendance à cliquer à tort et à travers, et à répondre aux questions qui nous sont posées.

Si le législateur a multiplié les adjectifs comme « spécifique », « indubitable », « effectif » c’est parce qu’il a bien senti l’existence d’un consentement implicite au déroulement général, dont il s’agit de s’abstraire pour aller chercher un autre consentement, au moment où une question piégée est posée au curseur. Est-ce la bonne méthode ? Il est permis d’en douter. Le consentement n’est pas susceptible de degrés. Il y a acceptation ou il y a refus. Qu’est-ce qu’un consentement « non-qualifié » sinon une absence de consentement ? Les qualificatifs plus ou moins calamiteux déployés dans les textes officiels tentent de marquer une rupture avec la logique du système qui consiste littéralement à suivre les instructions, à consentir au programme tel qu’il a été fixé et mis à disposition.

Le consentement que le législateur tente de susciter est un consentement supérieur, une marque de volonté détachée du processus dans lequel l’individu est engagé au moment de signer le contrat. Cet individu, rappelons-le, n’est au sens propre qu’un exécutant, l’exécutant des instructions en provenance du programme. Tout fonctionne grâce à un consentement implicite, général, à la suite des instructions. C’est cette logique qu’il s’agit de casser, ponctuellement et momentanément, pour faire place à des principes juridiques, des valeurs, que nous considérons comme prioritaires, au moment où l’utilisateur engage ses droits, souscrit à des obligations. Il y a un « oui » derrière chaque action menée dans le programme. On a vite fait de mettre tous les messages reçus de ce dernier dans le même sac, un simple message technique ou une acceptation contractuelle qui nous suivra pendant des années. Il y a de facto une solidarité entre l’utilisateur et le programme dans lequel il est inséré, ou « embarqué ». Volontiers l’humanoctet se contente d’acquiescer, acquiescer sans trop savoir à quoi ou à qui. Le législateur cherche à s’intercaler entre le programme, piloté par un responsable de traitement, et ses utilisateurs : cette intention est louable. Mais comment faire ? La volonté du législateur n’est guère discutable, l’objectif ne peut qu’être approuvé, mais la solution consistant à définir une sorte de consentement de deuxième niveau se heurte à des difficultés aussi bien conceptuelles que pratiques.

Comment rompre avec une interface tirée au cordeau, des circonstances peu ou prou acceptées, et provoquer une réflexion sereine chez cet utilisateur, avec suffisamment de distance, dès lors qu’une décision importante pour ses droits individuels se présente ?

VI. Proposition : le clic différé

Une idée consisterait à établir, pour les décisions les plus importantes, une signature en deux temps. À un premier accord donné succéderait obligatoirement une confirmation, intervenant au plus tôt 24h après l’accord initial. La signature serait divisée en deux composantes successives, séparées par un intervalle minimum. L’intéressé aurait à respecter un délai minimum de réflexion obligatoire, par exemple une journée, pour les signatures les plus importantes. L’idée consiste donc à imposer un processus (en trois étapes) plutôt qu’un adjectif qualificatif.

Il existe au moins un précédent, bien connu. L’article 1396-5 du Code civil prévoit que le destinataire d’une offre commerciale doit avoir eu la possibilité de vérifier le détail de sa commande et son prix total, avant de confirmer son acceptation. Tout processus de commande en ligne doit obéir à une sorte de cérémonial, imposé par la loi, le « double clic ». Tout est mis en œuvre pour que l’acheteur se rende bien compte de ce qu’il est en train de faire. Et les choses ne s’arrêtent pas là. Une fois la commande validée, un droit de rétractation s’offre au consommateur, pendant un délai passé récemment de sept à quatorze jours (loi Hamon du 17 mars 2014). L’achat précipité est donc réparable. Celui qui a acheté trop vite et sans bien réfléchir peut renvoyer la marchandise et se faire rembourser. Ce mécanisme peut s’analyser comme un consentement en deux étapes. Le processus décrit dans la loi reconstitue à l’écran le déroulement d’un achat dans la rue ou au centre commercial : envie d’achat, devant la vitrine du magasin, ou à la lecture du catalogue papier, puis achat effectif et définitif, avec l’article entre les mains : exemple à suivre. Aujourd’hui nous sommes mieux protégés pour acheter des petits articles de bricolage ou des chaussures de sport via un site Web que pour des sujets relevant de nos droits fondamentaux. Le niveau de sécurité est meilleur pour l’achat de quelques babioles que pour décider du parcours de nos données personnelles, qui matérialisent notre vie numérique. Une certaine solennité devrait prévaloir dans ce domaine. Entre le consommateur et le citoyen, c’est le premier qui a la priorité du législateur. La question au fond est la suivante : devons-nous toujours obéir par-dessus tout aux principes de fonctionnement du milieu numérique ? Quelle doit être la priorité ? Aller vite ? Ou s’assurer de la réalité du consentement de la personne concernée ? La vitesse ? Ou la liberté individuelle ?

Une décision prise à la hâte peut avoir des conséquences préjudiciables, voire dramatiques. Faire attention, peser le pour et le contre, n’est pas chose facile dans un environnement dominé par l’immédiateté, la poussée continuelle du présent. Pour certaines décisions importantes, et, en pratique, définitives, nous pourrions prendre le temps de réfléchir. Contre la précipitation, la circonspection. Après tout, en politique il y a bien des élections à deux tours. On peut estimer que pendant le temps d’attente, entre la décision et sa confirmation, l’humanoctet aura lâché la ligne, repris ses esprits, condition nécessaire à toute décision « mûrement réfléchie ».

Prendre notre temps, pour renverser la logique de la nouvelle dimension qui consiste en cela que le temps nous prend. La nuit porte conseil, y réfléchir à deux fois : toutes ces expressions courantes se rejoignent pour lier la réflexion à la durée, l’idée d’un temps nécessaire avant d’arriver à une bonne décision. Un individu complètement immergé n’est pas en mesure de prendre une décision libre et durable. Se retirer un moment, déconnecter, puis revenir afin de confirmer ou d’infirmer l’impulsion initiale. Il faut un détour par notre environnement naturel pour trouver un individu immobile, tourné sur lui-même et sur ses objectifs, sa volonté propre.

Garder le clic comme geste d’acceptation peut se concevoir à condition de le prolonger sur 24 heures : des décisions extraordinaires méritent un geste extraordinaire. Un geste qui crée une situation contractuelle engageant mes données et mes droits ne doit pas être le même que celui qui permet de mettre ce mot en gras, ou, non, finalement, en caractère normal (italique peut-être ?). La plupart du temps un clic ne signifie pas grand-chose, et n’engage à rien. Ceux qui ont un impact concret et qui m’engagent de manière contraignante doivent sortir de l’ordinaire. Puisque le procédé est incontournable, reste l’idée de le dédoubler, à 24h de distance, dans les cas les plus cruciaux, pour s’assurer d’une vraie décision, d’un libre choix de la part de celui qui s’engage.

Ne pas se précipiter ! Faire le tour de la question. Bien peser la portée de ce consentement, ses conséquences. Exister vraiment dans une durée faite de passé et d’avenir réunis, formant un bloc de sens, au lieu de cet évanouissement continuel du présent dans lequel l’environnement numérique nous enferme. La navigation fluide fluidifie l’esprit. Il y a une forme de continuité entre la personne et le milieu. Les pulsions de la matière (« pop-up ») nous dictent un comportement impulsif. Le milieu n’est donc pas favorable à un consentement digne de ce nom.

VII. Deux environnements, deux systèmes de règles

L’idée du consentement est la même partout, sur papier ou à l’écran : liberté, auto-détermination, pouvoir de l’individu sur son existence. C’est au stade des modalités techniques que les règles doivent nécessairement diverger, car alors il faut composer avec deux environnements différents, deux modes de vie, d’un côté notre environnement naturel, celui où nous sommes nés, et de l’autre les flux numériques. Un même objectif, des moyens différents. Le pourquoi du consentement ne change pas, le comment est fonction de la nature du terrain. Dans nos activités traditionnelles parmi les choses solides (hardware), dominées par la pesanteur, un consentement donné en un trait de temps est parfaitement valable, et cela d’autant plus qu’il s’effectue à travers l’apposition d’une marque manuscrite spécialement étudiée à cette fin : la signature à l’encre. Le sujet dans ce cas n’est aucunement embarqué dans un programme conçu pour l’amener… là où on veut l’amener. Ce qu’une telle signature fait, dans le monde hors ligne, un clic ne saurait le faire. L’idée serait alors de le réitérer, pour à la fois sortir de l’ordinaire, et s’assurer de la volonté persistante du sujet, avec du recul. Le clic différé permettrait d’aller chercher un vrai consentement, libre, assumé, responsable, et donc pourvoyeur de sécurité juridique pour celui qui le reçoit. Consentement rime avec engagement. Celui qui a incontestablement consenti à des conditions de service perd toute possibilité de contestation à l’encontre de son prestataire, dès lors que celui-ci respecte ses propres engagements. La responsabilité est le corollaire de la liberté.

Dans un milieu qui est entièrement constitué de processus, appelés « programmes », la loi pour être efficace doit intervenir en imposant, précisément, un processus, comme cela se fait déjà dans le domaine de la vente. Multiplier les adjectifs pour caractériser ce que doit être le consentement de la personne concernée ne sert à rien. Il s’agit d’adapter la loi au milieu, à ses principes de fonctionnement, afin de faire effectivement prévaloir la protection de la liberté individuelle. Un consentement doit prendre la forme d’un processus en trois étapes comportant en son milieu une échappée hors-ligne, une coupure. Certains ne manqueront pas d’évoquer un inconvénient : l’attente, attendre 24 heures pour obtenir l’accès au service, à partir de la sollicitation initiale. Le monde en ligne nous met sous tension, toute attente est mal vécue. L’humanoctet aime aller vite, toujours plus vite. Les délais sont toujours des délais maximum, pas minimum. Le critère de la rapidité doit-il dès lors l’emporter sur toute autre considération ? Là est le débat de fond. La question est de savoir ce qui doit prévaloir de notre libre arbitre ou de nos envies de consommation immédiate. Que voulons-nous ? Que voulons-nous être ?

DPO : la fin des autodidactes ?

Le RGPD fait obligation à certaines catégories de responsables de traitement de désigner un Délégué à la protection des données (ou DPO – pour Data Protection Officer), évolution naturelle de l’actuel Correspondant Informatique et Libertés. À l’échelle européenne, c’est plusieurs dizaines de milliers de professionnels qui devraient être désignés auprès des autorités de contrôle. Déjà la pénurie d’experts se fait sentir et l’on observe une augmentation du niveau de gratification nécessaire pour attirer de jeunes talents.

L’article 37 du règlement européen 2016/679 du 27 avril 2016 contraint certains responsables de traitement à désigner un Délégué à la protection des données. L’article 38 en définit la fonction, tandis que l’article 39 en liste les missions. Cet expert étant un facteur de co-régulation et le meilleur levier pour réduire les risques du chef d’entreprise, nul doute que de nombreux décideurs qui ne sont pas obligés de désigner un DPO auprès de la CNIL le feront de façon volontaire. Lors de la dernière conférence de l’AFCDP, la CNIL a indiqué qu’elle pensait finaliser le nouveau formulaire de désignation en ligne durant le premier trimestre 2018. Les responsables de traitement ayant actuellement désigné un CIL devront l’utiliser pour les confirmer dans leur fonction.

L’association qui représente les professionnels de la conformité à la loi Informatique et Libertés a appelé à une "clause du grand-père", pour permettre aux CIL qui le désirent et qui le méritent, d’être confirmés en tant que DPO. La CNIL indique d’ailleurs, dans son guide « Règlement européen : se préparer en 6 étapes », que le CIL a vocation à être désigné CIL, confirmant les propos tenus récemment par Édouard Geffray, secrétaire général de la Commission Nationale de l’Informatique et des Libertés.

Il est regrettable qu’une minorité des CIL actuels, comme l’avait montré l’enquête que la CNIL avait commanditée en 2015 à l’occasion des dix ans du CIL, n’aient jamais bénéficié des conditions optimales pour honorer leurs engagements (tenue du registre, formalisation d’un bilan annuel, etc.) : certains CIL avouaient ne consacrer que deux heures par mois à la thématique et n’avoir jamais concédé aucun effort pour se former. Cela a rappelé l’intervention du Professeur Kongehl, qui dirige l’Ulmer Akademie, qui s’était livré en avril 2011à une description savoureuse des « mauvais » profils de délégués à la protection des données à caractère personnel qu’il a observés en Allemagne, où la fonction existe depuis plus de quarante ans. À l’autre extrémité du spectre, des Correspondants Informatique et Libertés ont investi lourdement dans la formation et ont d’ores et déjà adopté certaines des pratiques que le RGDP va consolider, comme le Privacy by Design ou les EIVP (Études d’Impacts sur la Vie Privée).

Avec le règlement, la question n’est plus « Faut-il se former pour être DPO ? », mais bien « Avec quelle intensité faut-il se former pour être ou devenir DPO ? ». Imaginons l’inquiétude d’un patient sur le point d’entrer au bloc opératoire et qui apprendrait incidemment que le chirurgien qui va l’opérer n’a suivi que trois jours de formation… Avec le niveau de sanction prévu par le RGPD, ce pourrait être le sentiment d’un chef d’entreprise, d’un responsable de traitement, qui met sa sécurité juridique et sa sérénité entre les mains de son délégué à la protection des données. Certaines entreprises l’ont bien compris. Ainsi le groupe La Poste comptera bientôt cinq diplômés au niveau Bac + 6 en ce domaine.

Comme à chaque création d’un nouveau métier, cela se traduit par le passage d’une traditionnelle courbe de Gauss à une double bosse. Imaginons une courbe représentant la distribution des CIL actuellement désignés suivant leur « niveau » : une majorité d’entre eux (environ 80 %) constituent la bosse du milieu, tandis qu’on observe une minorité de CIL « experts » et une minorité de CIL « débutants ». Le règlement va accélérer la modification de cette courbe vers une double bosse. On trouvera moins de DPO « moyens », au bénéfice d’une bosse regroupant les délégués qui ont fait l’effort de se former (les « experts ») et une autre bosse regroupant les débutants. Tout l’enjeu, pour les professionnels, est de se retrouver dans la bonne bosse… et de s’y maintenir.

Ces derniers mois, l’employabilité des professionnels de la conformité à la loi Informatique et Libertés s’est considérablement améliorée, comme le montre la rubrique « Carrière et Emplois de DPO » mise à disposition gracieusement par l’AFCDP. Nous vivons un changement de paradigme, en passant d’une situation dans laquelle les offres de postes étaient rares à une situation où les postes proposés sont nombreux et majoritairement en CDI. Clairement, ce sont désormais les candidats qui font la loi, et non plus les recruteurs. Selon certains, à l’échelle européenne, plus de 70.000 professionnels devraient être désignés auprès des autorités de contrôle. Déjà la pénurie d’experts se fait sentir, au point qu’on observe une augmentation du niveau de gratification nécessaire pour attirer de jeunes talents. Grâce à son observatoire salarial, l’AFCDP a déjà eu connaissance de salaires de l’ordre de 4.000 € en début de carrière (25 % des juniors se verraient proposer un salaire situé entre 3.000 et 3.499 €/mois) tandis que 47 % des stagiaires reçoivent une gratification de stagiaire située entre 1.000 et 1.500 €.

Au niveau mondial, le record salarial semble toujours être de 700.000 $ (plus bonus), pour une DPO américaine embauchée par une entreprise qui venait de subir une data breach qui a mis en péril sa réputation et lui a fait perdre des parts de marché significatives. D’après les études de l’IAPP (International Association of Privacy Professionals), le salaire médian d’un professionnel américain début 2017 serait de 130.000 $, contre un salaire médian de 95.800 $ pour leurs confrères européens (soit de 35 % supérieur). L’AFCDP avait réalisé en 2012 un sondage auprès des CIL : leur salaire moyen annuel était alors de 47.000 € brut, mais cette moyenne cachait une très grande disparité, le salaire étant celui du poste précédent occupé par le CIL. On voit que, si les rémunérations des professionnels français de la conformité à la loi Informatique et Libertés ont fortement progressé ces dernières années, la marge de progression est grande. Il va être intéressant d’observer ce qu’il va advenir des CIL qui deviendront DPO : leur confirmation de désignation sera-t-elle accompagnée d’une augmentation salariale ? N’allons-nous pas observer un turnover plus important ? On prévoit aussi l’apparition de « DPO de transition », enchaînant les missions d’entreprise en entreprise.

La politique d’embauche de la CNIL devrait concourir à tendre davantage le marché du travail si, comme son homologue britannique, elle obtient les crédits lui permettant d’augmenter fortement ses effectifs. Pour accompagner les entreprises d’outre-Manche dans leur préparation au RGPD, l’ICO, qui compte déjà environ 500 collaborateurs, compte recruter massivement. Le Data Protection Commissioner irlandais vient également d’annoncer la création de cinquante postes, « pour se préparer au plus grand événement de ces dernières années dans le domaine de la protection des données personnelles, le règlement européen ». Dans le même temps, la CNIL demande la création d’une quinzaine de nouveaux postes d’ici 2020.

Du fait de la pénurie déjà observée et qui va sans doute s’accroître dans les mois qui viennent, les recruteurs ne devraient-ils pas élargir leurs recherches ? La Cedpo (Confederation of European Data protection Associations) a lancé un appel pour que la profession de DPO ne se limite pas aux seuls profils juridiques. « La pratique a démontré que, dans les pays qui ont opté pour le “Détaché à la protection des données” dans le cadre de la directive 95/46/CE, l’hétérogénéité de l’origine des CIL était une véritable richesse. Ainsi, en Allemagne aussi bien qu’en France, la majorité des CIL ont une formation initiale d’informaticien, et non de juristes » indique Patrick Blum, CIL de l’Essec et Vice-président de l’AFCDP. La fonction de DPO doit rester ouverte à toute personne, quels que soient sa formation initiale et son parcours, et l’exigence exprimée dans le RGPD dans son article 37.5 et son considérant 97 peut être satisfaite même par des personnes dépourvues de diplôme en droit.

Naturellement, cela implique un effort certain de formation initiale de la part des personnes qui se projettent dans le métier de Data Protection Officer, afin de compléter leurs connaissances, notamment pour permettre aux juristes de maîtriser les concepts techniques ou, symétriquement, pour permettre aux informaticiens de maîtriser le langage et les concepts juridiques.

Le RGPD marquera-t-il la fin de l’ère des « pionniers », des autodidactes et des profils atypiques ? Il serait dommage, pour les entreprises, de se priver de leurs qualités : ils ont généralement la passion d’apprendre, ils savent s’autoriser la déviance et la résistance aux conformismes, ils savent saisir les opportunités, expérimenter, tolérer l’incertitude et improviser. Leur capacité d’adaptation est reconnue, de même que leur prise de recul, parce qu’ils analysent et réfléchissent davantage aux conséquences d’une action. D’aucuns reconnaissent, chez les autodidactes seniors, « leur ténacité sur les projets et les missions, leur caractère posé et rassurant ». Encore faut-il faire évoluer les mentalités et de convaincre une majorité d’entreprises qu’au-delà un CV qui est statique, il est tout aussi important de s’intéresser à la personnalité et à la dynamique du candidat.

Pour aider les innombrables entités qui découvrent le sujet, l’association qui regroupe les professionnels de la conformité à la loi Informatique et Libertés et au RGPD met à disposition un exemple de lettre de mission de Délégué à la protection des données ainsi qu’une fiche de poste de DPO.

Bruno Rasle : Délégué général de l’AFCDP, Chef de projet Informatique et Libertés au sein de l’une des branches de la sécurité sociale, co-auteur des livres Halte au Spam (Eyrolles, 2003), « Correspondant Informatique et Libertés : bien plus qu’un métier » (AFCDP, 2015) et « Droit à l’oubli numérique » (Larcier, 2015), Bruno Rasle forme les CIL depuis 2007 dans le cadre d’un Mastère spécialisé et a créé un « Kit de survie Technique pour CIL, avocats et juristes ».

Sésame, ouvre-toi !

Ce texte est l’un des chapitres du livre « Correspondant Informatique et Libertés : bien plus qu’un métier », publié par l’AFCDP en 2015, c’est à dire deux ans avant la publication, par la CNIL, de sa délibération n° 2017-012 du 19 janvier 2017 portant adoption d’une recommandation relative aux mots de passe. Voir aussi l’excellente rubrique dédiée aux mots de passe sur le site web de la Commission Nationale de l’Informatique et des Libertés.

Et si, en termes de sécurité des données à caractère personnel, on commençait par la base, c’est-à-dire le mot de passe ?

Le couple identifiant-mot de passe (login-password) est de loin la solution de contrôle d’accès logique la plus répandue. Pourtant nous avons tous connaissance des imperfections de ce dispositif simple et ancien : mots de passe notés sur un petit bout de papier ou sur un tableau blanc, mots de passe identiques pour accéder à plusieurs services, mots de passe faibles et jamais changés, mots de passe transmis en clair avec l’identifiant, mot de passe communiqué à des collègues… Dans son principe même, le mot de passe présente de multiples défauts : il est difficile d’en retenir plusieurs, il est facile à deviner si faible et difficile à retenir si fort, il est facile à espionner lors de la saisie, il peut être intercepté, aucun signal ne nous alerte si quelqu’un se l’est approprié … et pourtant, malgré tous ces inconvénients, la plupart des contrôles d’accès logiques l’utilise, bien que certains annoncent régulièrement sa mort prochaine.

Au-delà de ces annonces pas toujours désintéressées, ce texte vise à donner à un Délégué à la protection des données les connaissances élémentaires lui permettant de se faire sa propre opinion quant à la pertinence de ce mode de protection d’accès , à l’heure où une série de délibérations de la CNIL met l’emphase sur des défauts de sécurité.

Ce texte a aussi pour ambition de responsabiliser les utilisateurs, car, comme le rappelle Bernard Foray dans son ouvrage « La Fonction RSSI, Guide des pratiques et retours d’expérience » (Dunod, 2007), « Le mot de passe, c’est la première pierre de la construction d’une culture sécurité ».

La Blockchain est-elle soluble dans le RGPD ?

Faisons du bilan annuel du DPO un outil indispensable

Année après année, les CIL ont modifié la perception qu’ils avaient du rapport annuel, considéré désormais comme l’un de leurs outils indispensables. Pour la majorité d’entre eux, il est devenu un exercice salutaire et un levier de conduite du changement. C’est également un élément important de la démarche de responsabilité (« accountability ») attendue du responsable de traitement.

A minima, la présentation du bilan est la seule opportunité de rencontrer son responsable de traitement, de lui faire part de ses difficultés, d’obtenir des moyens, de s’assurer de son soutien, de « sentir » son intérêt pour le sujet…

Malheureusement le RGPD ne prévoit rien concernant un éventuel rapport annuel établi par le délégué à la protection des données et présenté au responsable de traitement.

Le bilan, ou des extraits de celui-ci, communiqué avec l’autorisation du responsable de traitement, peut également être utile pour les directions métier, les responsables opérationnels, le DSI, le DRH, le RSSI, etc. qui y trouveront une mise en perspective de l’action du Délégué, une description de sa doctrine et une affirmation de ses ambitions.

La phase de préparation du bilan peut être mise à profit pour solder quelques incompréhensions, et pour lever d’éventuels freins ou blocages.

Il peut aussi participer d’un climat social apaisé, quand certains de ses extraits sont présentés aux instances représentatives du personnel (IRP), toujours avec l’autorisation du responsable de traitement.

Pour l’entreprise, le rapport est un élément de mémoire de la fonction. Sans bilan, il est difficile d’assurer la traçabilité des actions du délégué à la protection des données au fil des années, ou de comprendre ce qui fondait certaines décisions passées. Par ailleurs, ce fond documentaire sera utile pour les successeurs.

En dernière analyse, c’est pour le DPO lui-même que ce rapport est un levier précieux. Utilisé comme un outil de conduite de changement, il s’avère utile 365 jours par an.

Sa rédaction est également l’occasion d’un exercice d’autocritique : quelle a été la portée de mes actions ? Ai-je fait preuve de vigilance, de diligence ? Ai-je réussi à atteindre les objectifs que je m’étais fixés l’an dernier, et que j’avais annoncés à mon responsable de traitement ? Les moyens dont je dispose sont-ils adaptés ? La formulation du chapitre « plan d’action » oblige à cesser d’être accaparé par le quotidien et d’envisager l’action du CIL sous un angle stratégique.

Pour toutes ces raisons, l’AFCDP a milité pour que le bilan annuel devienne une bonne pratique, et le G29, dans ces lignes directrices sur le DPO, s’exprime d’ailleurs en faveur de cette idée : « Un autre exemple de rapport direct [entre le DPD et son responsable de traitement] est la rédaction d’un rapport annuel sur les activités du DPO qui sont fournies au plus niveau le plus élevé de la direction ».

Bruno Rasle - Délégué général - - Tel. 06 1234 0884

Notifications de violation de données : enfin des chiffres !

A l’occasion de l’atelier sur les Data Breach Notification qui s’est tenu les 5 et 6 avril 2017 à Bruxelles, dans le cadre du deuxième Fablab, des chiffres ont enfin été dévoilés concernant les notifications reçues par certaines autorités de contrôles.

Ainsi, l’autorité irlandaise a indiqué avoir reçu 142 notifications l’an dernier de la part des acteurs du secteur Telecom. Elle a également reçu en sus 2.224 notifications volontaires, dans le cadre du "Personal Data Security Breach Code of Practice".

L’autorité norvégienne reçoit, pour sa part, environ 200 notifications par an, principalement émises par les secteurs bancaires et les services financiers.

L’autorité néerlandaise indiquait qu’elle n’a reçu "que" 7.000 notifications en 2016, là où elle en attendait 60.000 selon ses estimations…

A titre de comparaison, la France n’indique recevoir que "quelques" notifications chaque année (le dernier rapport annuel est encore muet sur ce point).

Plusieurs des propositions formulées par l’AFCDP ont été partagées lors de cet atelier, comme celle qui demande au futur Comité européen de la protection des données de publier des statistiques sur les notifications de violation reçues par les "CNIL" européennes, afin de mettre à disposition des éléments de sinistralité sur lesquels les Délégués à la protection des données pourront s’appuyer pour conseiller leur responsable de traitement.

Nous verrons si cette idée est reprise dans le projet de lignes directrices qui devrait être publié prochainement par le G29.

Voici quelques autres points notables qui ont été abordés lors de cet atelier :

  • Il est observé, au sein des entreprises, une tendance à conserver les informations relatives aux incidents de sécurité au sein des équipes chargées de les traiter, au détriment de la nécessaire prise en compte des mesures à prendre pour protéger les personnes concernées (en clair, le CIL est oublié…)
  • Le risque de voir le responsable de traitement informé avec retard (rappel : le RGPD spécifie que les "72 heures" sont décomptées à partir du moment ou celui-ci prend connaissance de la violation…)
  • L’éventuelle communication aux personnes devra bien être distincte de toute autre communication
  • Il est craint - comme nous l’avions signalé il y a déjà bien longtemps - que les campagnes de communication auprès des personnes concernées soient mises à profit pour réaliser des opérations de phishing
  • Si le règlement ePrivacy n’est pas implémenté le 25 mai 2018, les opérateurs et ISP seront de fait soumis à deux cadres : le RGPD et l’actuelle directive ePrivacy.

Bruno Rasle - Délégué général - - Tel. 06 1234 0884

Quelles différences entre droit d’accès et droit à la portabilité des données ?

Sauvons le CIL !

Défini par la Loi Informatique et Libertés modifiée en 2004, le « Correspondant à la protection des données à caractère personnel » a promptement été renommé « Correspondant Informatique et Libertés ». Cette dénomination nous est enviée par nos confrères Européens, en raison de sa référence au concept de « libertés » associé aux technologies informatiques. Mais qu’adviendra-t-il de l’acronyme CIL et de l’appellation "Correspondant Informatique et Libertés" en 2018 ?

Le règlement européen en cours d’adoption officialise la fonction de « Data Protection Officer (DPO) », que la traduction française provisoire appelle « Délégué à la protection des données ». Cela signifie-t-il la disparition du mot CIL ?

A bien y regarder, rien ne s’oppose à ce que l’appellation "CIL" perdure. De même, rien ne justifie l’adoption d’un acronyme anglo-saxon. A titre d’exemple, nos voisins Allemands vont continuer à appeler DBS (pour Datenschutzbeauftragter), leurs experts de la conformité.

Bien sûr, rien n’empêche les CIL qui interagissent avec l’étranger de se doter de cartes de visites à deux faces imprimées, l’une, en français, portant le titre de CIL, l’autre, en anglais, portant le titre de DPO.

Si l’on s’en tient aux textes officiels, l’usage a retenu la dénomination de CIL, alors que la Directive 95/46 EC parlait de « Personal Data Protection Official », traduit dans sa version française par « Détaché à la protection des données à caractère personnel », puis repris dans la Loi Informatique et Libertés sous le nom de « Correspondant à la protection des données à caractère personnel ».

Official, Officer, Détaché, Délégué, Correspondant,… Pourquoi ne pas conserver le beau titre de « Correspondant Informatique et Libertés », ne serait-ce que pour démontrer le lien naturel entre le passé, le présent et l’avenir ?

Cher législateur Français : veillez à préserver le CIL !

Patrick Blum, CIL de l’Essec

Dans le contexte de la Directive 95/46 EC relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données : Personal Data Protection Official, traduit en Détaché à la protection des données à caractère personnel , transposé dans la Loi Informatique et Libertés en "Correspondant à la protection des données à caractère personnel"… et par "Correspondant Informatique et Libertés" (CIL) dans l’usage (au point que la CNIL a créé un logo dédié et à déposé les droits sur l’expression.

Dans le contexte du Règlement général relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données : Data Protection Officer, traduit en (version non encore officielle) "Délégué à la protection des données". Pourquoi ne pas retenir, pour la version française la belle appellation de "Correspondant Informatique et Libertés" ?