Plan
général
www.JURILIS.fr

Jean-François CARLOT, Docteur en Droit, Avocat Honoraire
Prec.
Suite
II


DONNEES PERSONNELLES : QUELS ENJEUX, QUELS RISQUES ?



I - Données Personnelles : Quels enjeux ? Quels risques ?
II - Quelle réglementation pour les données personnelles ?
III - Quelles sont les conditions de licéité d'un traitement de données personnelles ?
IV - Quelles protections particulières pour les données personnelles sensibles ?
V - Quelles responsabilités ?


I - Les enjeux et les risques de l'exploitation des données personnelles



Les informations d'identification nécessaires pour gérer des tâches administratives, ont été longtemps collationnées dans des "fichiers papier".

La société de l'information a radicalement changé les modes de collecte, de stockage et d'exploitation des données qui circulent désormais sur l'internet.

L'alliance de l'Intelligence Artificielle aux bases de données de masse entraîne des "économies" et une plus grande efficacité dans la gestion des services privés et publics.

La circulation de ses données personnelles permet à chacun de bénéficier de nombreux services de communication (messageries, réseaux sociaux blog...), d'information (actualités, météo, documentation...), marchands (bancaires, achats, gestion de contrats...), et administratifs (Dossier médical partagé, télépaiements, Impôts...), dont beaucoup sont gratuits.

Chaque citoyen est "condamné" bon gré mal gré, à livrer sa vie privée "en pâture" aux machines en contrepartie de "services" qui lui deviennent de plus en plus indispensables..

L'individu a désormais "son double" dans le monde numérique, souvent désigné comme un "profil utilisateur".

L'addiction aux réseaux sociaux, les échanges électroniques et la multiplication des blogs et sites internet représentent une masse de données personnelles considérable.

De leur côté, les smartphones et autres objets connectés, ainsi que leurs applications, transmettent de plus en plus automatiquement d'informationS sur le comportement des personnes, sans qu'on en connaisse les véritables destinations et finalités...

Les bases de données des services peuvent occasionner des "fuites" massives et intempestives d'informations personnelles dont certaines peuvent être récupérées à des fins malveillantes.

De plus, le référencement par les moteurs de recherche peut rendre accessibles à des tiers des informations à qui elles n'étaient pas initialement destinées.

La "course effrénée" à la collecte et aux traitements de données personnelles, permise par l'augmentation de la puissance des machines et des algorithmes, pose désormais le problème de la dépendance de la personne humaine aux machines, du respect de sa vie privée et de ses libertés fondamentales.

1- Qu'est-ce qu'une donnée personnelle ?

L'article 4 du RGPD définit les "Données à caractère personnel", comme :

L'article 2 alinéa 2 de la loi du 6 janvier 1978, dite "loi informatique et libertés" telle que modifiée par la loi du 6 aout 2004, considère plus simplement la donnée personnelle comme :

On peut identifier plusieurs catégories de données personnelles, dont certaines plus ou moins "sensibles" :

Sans que cette liste soit limitative.

Ces données personnelles peuvent être considérées comme des attributs de la personne humaine, et protégeables au titre de la Déclaration Universelle des droits de l'Homme et des articles 9 et 16 et suivants du Code Civil.

Constitue un fichier de données à caractère personnel tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique.

Les informations qui transitent sur les réseaux sociaux ou les blogs, ou à l'occasion d'activités en ligne, sont systématiquement récupérées dans des fichiers pour être compilées, "digérées", stockées et redistribuées dans le "big data", sachant qu'elle peuvent être associées à l'adresse IP de l'utilisateur.

Leur historique est soigneusement conservé pour être "vendu" à des tiers pour un tout autre usage (notamment prospection commerciale, publicité ciblée...)

Lorsque la personne livre les détails de sa vie privée ou ses opinions sur les réseaux sociaux ou sur un blog, parfois sous le couvert d'anonymat, elle n'a souvent pas conscience de la possibilité de leur utilisation malveillante, malgré "l'agressivité" qui peut y régner...

En acceptant machinalement des "Conditions Générales" et des "cookies" qu'elle ne lit jamais pour accéder à des services, la personne accepte de livrer ses données personnelles pour des finalités souvent imprécises dans le cadre d'un "contrat d'adhésion" passé avec un professionnel.

Exemples :

(A noter qu'à l'égard de personnes physiques, de tels contrats peuvent être interprétés en leur faveur comme des contrats d'adhésion régis par l'article 1171 du Code Civil, ou l'article L133-2 du Code de la Consommation.)

Les immenses volumes de données de géolocalisation ou de consultation sont injectés automatiquement dans le big data par les smartphones et autres objets connectés.

Les services de stockage de fichiers en ligne ("Cloud"), tels que Google Drive, régis par les conditions d'utilisation de Google, ou Dropbox dont les conditions d'utilisation donnent un droit de collecter des informations liées à la façon dont vous utilisez les Services, y compris sur les actions que vous effectuez dans votre compte (telles que le partage, la modification, la consultation et le déplacement de fichiers ou de dossiers)...

Dès lors, et malgré toute pseudonymisation ou anonymisation des données, leur anonymat n'est qu'un leurre dans la mesure où il est "réversible" par croisement et rapprochement des données de plusieurs fichiers, et notamment avec celles de l'adresse IP... Voir sur le site du Village de la Justice

Ces collectes sont facilitées par l'insuffisance des moyens de sécurité mis en oeuvre pour les protéger de manière efficace : codes d'accès ou mots de passe trop faibles, absence de chiffrement...

Elle permettent ainsi d'alimenter le big data.

2 - Qu'est ce que le "big data" ?

Les données, souvent partagées entre plusieurs utilisateurs, sont de moins en moins localisées sur un serveur "local" et de plus en plus stockées dans le "cloud" (nuage), c'est à dire un espace "nébuleux", non identifiable, souvent réparti dans plusieurs centres dans le monde.Voir sur le site du Village de la Justice : le "Cloud Act".

Outre les données volontairement enregistrées dans un "cloud" par les utilisateurs, toutes celles circulant sur le réseau internet sont systématiquement interceptées et collectées par des robots informatiques ("Bot") qui scrutent inlassablement le cyberespace pour les incorporer dans le big data, vaste ensemble de données si volumineux qu'ils dépassent l'intuition et les capacités humaines d'analyse et même celles des outils informatiques classiques de gestion de base de données.

Le big data s'accompagne donc du développement d'applications à visée analytique, qui "broient" une multitude de données pour en tirer du sens.

Les traitements statistiques issus du big data sont susceptibles de rendre des services immenses à la collectivité en faisant progresser la recherche scientifique dans tous les domaines : gestion des ressources, environnement, climatologie, énergie, urbanisme, santé publique...

L'un des buts de l'alliance de l'Intelligence Artificielle, sans cesse enrichie par le "machine learning", et du big data , est la prévision statistique d'évènements, tels la justice prédictive, mais aussi le futur comportement individuel de personnes déterminées : Voir sur le site "lebigdata"

De leur côté, les services gratuits proposés par les GAFA : Google, Gmail, Facebook, Instagram, Twitter... ont essentiellement pour but de s'approprier les quantités immenses de données personnelles qui leur sont fournies par leurs "profils utilisateurs", pour les revendre à des opérateurs privés ou publics, notamment à des fins commerciales, mais "pas que"...

On peut seulement en dire que l'exploitation exponentielle de ces masses de données personnelles gigantesques échappe à tout contrôle...

Bien qu'en constante augmentation, les capacités techniques de traitements informatiques restent encore aujourd'hui limitées, compte-tenu de du caractère exponentiel des flux de données.

Mais l'avènement des super ordinateurs "quantiques" va révolutionner la main mise du numérique sur l'humain. Voir sur le site de l'Institut Pandore

Ces capacités, qui ne cessent de progresser, doivent cependant absorber une énergie croissante dans la course au "datamining", notamment du fait de la construction et du fonctionnement des fermes de serveurs abritant le big data et des nécessités de refroidissement des processeurs, ce qui commence à poser un problème de ressources. "Pour savoir où se cachent les data centers de Google, il suffit de chercher là ou l'électricité est la moins chère"...

En tout état de cause, la dépendance exponentielle au numérique a déjà commencé à entraîner une mutation profonde des interactions des individus avec leur environnement, aux conséquences encore imprévisibles.

Et c'est pourquoi il est absolument nécessaire de leur permettre de garder le contrôle sur le traitement de leurs données personnelles, afin que soient respectés leurs droits fondamentaux.

3 - Qu'est-ce qu'un traitement de données personnelles ?

On qualifie de "Traitement", toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction... (Article 4 du RGPD)

Selon son considérant n°4 :

Si le traitement du big data représente un fabuleux outil de "connaissance" dont on peut attendre un plus grand bien être de l'humanité, il n'en représente pas moins un outil de "surveillance", susceptible d'entraîner de graves atteintes aux libertés individuelles.

Il suffit d'imaginer les conséquences de l'achat sur un quelconque "dark web" des données personnelles piratées d'un futur conjoint, sans mettre à mal le célèbre adage de Loysel (bien connu des juristes ), selon lequel : "en mariage trompe qui peut"... Mais on peut surtout redouter les risques de sélection et de discrimination que cela entraînerait, notamment de la part d'un futur employeur qui aurait connaissance de toute la vie privée d'un futur salarié.

Par ailleurs, n'y a-t-il par un risque d'enfermer l'individu dans le destin prédictif attribué par le traitement de ses données personnelles, sans tenir compte de ses possibilités d'évolution et de changement, mais aussi de la chance et du hasard ?

Peut-on "juger" une personne exclusivement sur son histoire ou ses fantasmes ?

C'est pourquoi la loi limite les possibilités de traitement de certaines données personnelles, dites "sensibles" : telles qu'origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données génétiques, biométriques, concernant de santé (handicap...), ou caractérisant le genre,la vie sexuelle ou l'orientation sexuelle d'une personne physique...

Mais encore faut-il que la loi soit applicable et soit respectée...

Le danger le plus grave serait que les machines définissent statistiquement une catégorie "standard" d'individus, dont seraient exclus tous ceux qui n'en rempliraient pas les critères, ce qui entraînerait un risque de sélection et de discrimination qui pourrait aboutir à des dérives eugéniques, notamment en cas de raréfaction des ressources qui imposerait des choix humains.

N'aurons nous vrament pas d'autre choix que d'être connecté au formidable système de surveillance d'Internet pour "exister socialement" ?

Rabelais estimait que "science sans conscience, n'était que ruine de l'âme"...

L'utilisation du big data pose donc des questions "éthiques" qui sont loin d'être résolues.

4 - Quels sont les risques du référencement ?

Suite à un arrêt de la CJUE du 19 Octobre 2016,la Cour de Cassation a estimé le 3 novembre 2016 que "les adresses IP, qui permettent d'identifier un ordinateur et donc indirectement son utilisateur, sont des données à caractère personnel." : Cass. Civ. I, 3 novembre 2016, 15-22.595, Publié au bulletin.

Toutes les données personnelles circulant dans le cyberespace peuvent faire l'objet d'une référencement par les moteurs de recherche.

Elles concernent les contenus des blogs, publications , fichiers, réseaux sociaux, messageries présents dans le cyberespace.

L'activité d'un moteur de recherche consistant à trouver des informations publiées ou placées sur Internet par des tiers, à les indexer de manière automatique, à les stocker temporairement et, enfin, à les mettre à la disposition des internautes selon un ordre de préférence donné doit être qualifiée de "traitement de données à caractère personnel".

Toute personne physique a théoriquement le droit de s'opposer à ce traitement, mais (hors certaines données "sensibles") à condition de justifier de motifs légitimes.

Cet intérêt, qui peut être "moral", n'est donc pas absolu...

Une personne ne peut exiger du responsable d'un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, que si celles-ci sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation est interdite.

Ces demandes peuvent être directement adressées par la personne concernée au responsable du traitement, qui doit alors examiner et apprécier le bien-fondé de celles-ci et, le cas échéant, mettre fin au traitement des données en cause. A défaut, lorsque le responsable du traitement ne donne pas suite à ces demandes, la personne concernée peut saisir l'autorité judiciaire.

En cas de contestation du responsable de traitement, il appartient au Juge de rechercher un juste équilibre, notamment, entre l'intérêt à l'utilisation de ces données, et les droits au respect de la vie privée et à la protection des données personnelles.

La juridiction saisie d'une demande de déréférencement est tenue de porter une appréciation sur son bien-fondé et de procéder, de façon concrète, à la mise en balance des intérêts en présence, de sorte qu'elle ne peut ordonner une mesure d'injonction d'ordre général conférant un caractère automatique à la suppression de la liste de résultats, affichée à la suite d'une recherche effectuée à partir du nom d'une personne, des liens vers des pages internet contenant des informations relatives à cette personne.

Elle ne peut donc prononcer une injonction d'ordre général :Cass. Civ. I, 14 février 2018, 17-10499, Publié au Bulletin

A noter, toutefois, que ce droit au déréférencement, affirmé par voie jurisprudentielle, mais qui n'a rien d'absolu, n'a pas pour conséquence l'effacement de ces informations des pages web sur lesquelles elles ont été publiées.

Il conviendrait alors de demander aux éditeurs et aux hébergeurs de supprimer le contenu des sites illicites.

Voir : http://www.droit-oubli-numérique.org

5 - Quels sont les risques d'atteinte aux droits fondamentaux ?

Tout l'enjeu de la protection des personnes est de tenter de donner à l'individu un contrôle sur la collecte et l'exploitation de ses données personnelles, même s'il s'agit d'un "combat" difficile, compte-tenu de la croissance exponentielle des moyens informatiques de collecte et de traitement mondialisés.

Les données sur lesquelles un contrôle peut être exercé sont d'abord celles partagées volontairement par l'individu, y compris sur les réseaux sociaux.

La nécessité d'accepter les "cookies" : c'est à dire le "contrat" par lequel on cède ses données personnelles lors des navigations sur Internet, montre à quel point ce contrôle est illusoire...

Et on ne peut que s'étonner de l'imprudence avec laquelle beaucoup de personnes livrent les détails de leur vie la plus intime sur les réseaux sociaux, ou au moyen d' objets connectés : smartphone, Google home ou Amazon Echo...

Tout le monde sait que "si c'est gratuit, c'est que tu es le produit"...

Les nombreux services en ligne ou les moteurs sont apparement gratuits, mais en contrepartie des données fournies volontairement par les utilisateurs.

Mais la plupart des données personnelles sont collectées par des tiers à l'insu de la personne concernée, soit à l'occasion d'une "transaction" sur Internet dans le cadre d'un service marchand, soit à l'occasion d'une simple "navigation", via l'identification de l'IP de l'ordinateur.

Le croisement et le rapprochement de ces métadonnées permet d'identifier à coup sûr la personne physique connectée, par le rapprochement de ses goûts, ses centres d'intérêts, ses habitudes consuméristes, ses déplacements, ses pseudonymes, ses appartenances, par les opinions qu'elle a déjà manifestées dans les réseaux sociaux ou dans ses publications sur internet, mais aussi par ce que disent d'elle les d'autres internautes....

Ces "métadonnées", qui caractérisent chaque personne physique, font l'objet d'une collecte et d'une exploitation commerciale systématique, notamment de la part des GAFA, et sont "revendues" aux opérateurs les plus divers pour des finalités inconnues.

Il ne peut donc exister aucun contrôle sur ce que les comportements des personnes "disent" aux machines, et encore moins sur ce que les machines "pensent" des personnes, grâce à l'analyse des données comparées en permanence à d'autres profils pour inférer des corrélations statistiques permettant de catégoriser des individus clairement identifiés, et à qui elles ne sont pourtant pas accessibles.

Elles sont "dupliquées" et conservées sur une multiplicité de plateformes informatiques, de sorte que leur effacement devient impossible.

Les "informations" mises par les personnes physiques sur les réseaux sociaux, sites Internet, blogs, Facebook, Twitter, Instagram... échappent techniquement aux serveurs dès qu'elles sont consultées et enregistrées sur un système local, ou lorsqu'elles sont retransmises à des tiers.

Il ne peut donc y avoir de réelle possiblité "d'oubli".

Ce pistage des individus n'occasionne qu'un agacement mineur lorsqu'il ne se manifeste que par une publicité agressive sur la toile.

En revanche, les "machines" en connaissent beaucoup plus long sur l'individu que ce dernier en sait sur lui même...

Et cette "connaissance", qui n'en est encore qu'à ses prémices, représente une "menace" pour les droits fondamentaux des personnes si elles sont mises à la disposition d'un "pouvoir".

6 - Les risques de violations de données personnelles

Les moyens mis en oeuvre pour "pirater" les données personnelles sont multiples : Usurpation d'identité, introduction clandestine dans un système d'information, hammeçonnage (phishing), rançongiciel, vol de mots de passe, attaque par force brute, faux sites internet, faux réseaux wifi, vol de coordonnées bancaires... Voir sur Wikipedia : "sécurité des système d'information"

Voir sur https://www.cybermalveillance.gouv.fr

Le piratage est souvent organisé au niveau mondial par des organisations qui peuvent être gouvernementales.

Elles sont parfois facilitées par l'imprudence et la négligence des utilisateurs.

De multiples cas de violations de données n'en finissent plus d'être constatés depuis la mise en application du RGPD le 20 mai 2018 :

Voir : Bilan des violations de données personnelles sur le site de la CNIL

Il est inadmissible que des entreprises aussi puissantes que Facebook puissent faire l'objet d'aussi fréquentes violations des données personnelles de leurs utilisateurs, ce qui prouve bien la fragilité des mesures de sécurité et une certaine désinvolture dans leurs mises en oeuvre.

Il devenait donc urgent et nécessaire qu'une réglementation vienne renforcer la protection de ces utilisateurs, en responsabilisant ces exploitants.

Selon les considérants 6 et 7 du RGPD :



Plan
général
www.JURILIS.fr
Prec.
Suite
II