JURIBLOGSPHERE

Le décret n° 2010-236 du 5 mars 2010 a été publié au Journal Officiel du 7 mars 2010.

Il est relatif au traitement automatisé de données à caractère personnel autorisé par l’article L. 331-29 du code de la propriété intellectuelle dénommé « Système de gestion des mesures pour la protection des œuvres sur internet ».

C’est une nouvelle pierre qui construit le dispositif « HADOPI ».

Il traite des modalités du traitement des données à caractère personnel dans le cadre de ce qui est communément appelé la riposte graduée qui sera mise en œuvre par la commission de protection des droits de la Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet.

Le décret n° 2010-236 du 5 mars 2010

Je note, tout particulièrement, que les données à caractère personnel et les informations enregistrées, à l’occasion de ce traitement, vont être de trois sortes :

• de celles provenant des organismes de défense professionnelle, des sociétés de perception et de répartition des droits, et du Centre national du cinéma.

La lecture du détail de ces données confirme la fixation qui est faite sur la répression du trafic via ce malheureux protocole d’échange « P2P – de pair à pair » alors d’une part que ce type de trafic régresse d’année en année du fait de l’apparition et/ou du développement de nouveaux services, et d’autre part, pour ceux qui l’utilise encore, que les éditeurs de ces logiciels mettent à disposition des utilisateurs un outil de chiffrement s’agissant de la transmission des données et je ne parle pas de la technologie « Perseus » pour l’instant balbutiante, limitée au protocole « http » mais promise à un bel avenir.

• de celles relatives à l’abonné recueillies auprès des fournisseurs d’accès Internet.

• de celles relatives aux courriels, lettres recommandées avec accusé de réception envoyés aux abonnés, et aux courriers et observations des abonnés destinataires des recommandations.

Ce décret, par ailleurs, évoque la durée de conservation de ces données, les personnes qui y auront directement accès, et précise que les personnes fichées bénéficient des droits d’accès et de rectification prévus par la loi Informatique et Libertés, lesquels droits s’exercent auprès du président de la commission de protection des droits de la Haute Autorité, le droit d’opposition ne s’appliquant évidemment pas à ce traitement.

Ce même décret prévoit que les consultations du traitement automatisé font l’objet d’un enregistrement comprenant l’identifiant du consultant, la date, l’heure et l’objet de la consultation, ces informations étant conservées pendant un délai d’un an et il fonde l’interconnexion entre le fichier des ayants-droits et celui des fournisseurs d’accès Internet qui se réalisera, concrètement, par une convention conclue avec les opérateurs et les prestataires concernés ou, à défaut, par un arrêté conjoint du ministre chargé de la culture et du ministre chargé des communications électroniques.

A  noter que deux autres décrets devraient voir le jour prochainement, l’un concernant la labellisation de l’offre légale, l’autre les logiciels de sécurisation qui permettront à l’abonné d’échapper à la riposte graduée.

Hier soir dans son émission « Ce soir ou jamais » diffusée sur France 3, Frédéric Taddei avait invité pour un débat sur les pièges d’Internet et la nécessité ou pas de le contrôler, le président de l’Institut National de l’Audiovisuel Emmanuel HOOG, l’avocat et porte-parole de l’UMP Frédéric LEFEBVRE, le publicitaire Jacques SEGUELA, le directeur juridique Europe, Moyen- Orient et Afrique de Google Yoram ELKAIM, le dirigeant de Bygmalion société de gestion des réputations sur Internet, Bastien MILLOT que l’on retrouve généralement le dimanche à 14 heures sur le plateau d’I-Télé, et le président de French Data Network Benjamin BAYART qui s’est, par le passé, déjà penché sur cette question et qui a participé à la rédaction de l’ouvrage collectif intitulé « La bataille HADOPI ».

Le débat débuta par le rappel de l’affaire Blanchard, cette salarié d’IBM Canada, en congé maladie pour une grave dépression et qui fut trahie par sa page Facebook sur laquelle elle avait publié durant ce congé des photos d’elle à diverses occasions : en vacances en Floride, au cours d’une soirée d’anniversaire ou lors d’une sortie en boite de strip-tease, et l’assureur de cesser de lui verser des indemnités…

Alors Internet, gigantesque mémoire qu’il faut réguler ? par exemple avec la proposition de loi, dont je me suis fait l’écho il y a peu, des sénateurs Detraigne et Escoffier, laquelle vise à mieux garantir le droit à la vie privée à l’heure du numérique ?

Il s’avère que peu sont convaincus qu’il faille intervenir par la loi, Benjamin Bayart ajoutant qu’une loi sur le droit à l’oubli lui parait inapplicable du fait des copies faites par d’autres – lesquelles étant susceptibles de réapparaître à tout moment – des informations publiées par une personne qui en sollicite postérieurement le retrait.

Plutôt que la loi, la solution ne serait-elle pas que chaque internaute se responsabilise et ne diffuse pas n’importe quoi ?

L’opinion partagée serait qu’il faudrait sensibiliser, notamment, les plus jeunes à leur nouvelle qualité de producteur et de consommateur d’informations, qu’il faudrait former les individus à décrypter cette information sachant qu’Internet est le moins crédible des médias.

Pour Benjamin Bayart et je suis pleinement d’accord avec lui, le seul traitement « intelligent » de la question du droit à l’oubli est d’apprendre aux gens à parler en public, à écrire publiquement à savoir, par exemple, que l’on ne poste pas ses billets d’amour sur son blog public, mais qu’au mieux, on les envoie par courrier électronique.

Sur la question du droit à l’oubli des personnes publiques, je relève une petite bêtise de Bastien Millot – parlant de Laure Manaudou et des photos d’elle nue – lorsqu’il affirme qu’en tapant dans le moteur de recherche Google « laure manaudou nue » plus aucune de ces photos n’apparait parce qu’elle aurait, soit disant, fait jouer toute la batterie de possibilités juridiques qui existe dans ce pays.

Manifestement, il n’a pas pris la précaution de vérifier ses dires, ce que j’ai fait et voici le résultat sans qu’il me faille procéder, je vous l’assure, à de longues recherches !

Auto-régulation ou régulation lorsqu’il ne s’agit plus de publication mais de données privées ?

Les données privées, de celles – par exemple – que vous laissez en consultant des pages ou en faisant des recherches sur le Net en utilisant le moteur Google, en sachant que cette société conserve ces données pendant 9 mois.

Dans ce domaine, les mots « auto-régulation », « confiance » peinent énormément à convaincre.

Morceaux choisis : « le fait que Google garde plus que pendant la durée de la recherche ce que je suis entrain de chercher est une atteinte à la vie privée…

La question de la confiance, néant. Quand on a en face une multinationale qui pèse plus de 200 milliards de dollars et de l’autre coté un particulier qui est prié de faire confiance, ce n’est pas du tout, du tout sain... ».

Yoram Elkaim rétorqua pour justifier le stockage et le traitement de ces données par Google :

- par la nécessité d’identifier l’origine des requêtes pour donner des résultats pertinents à l’usager en France qui ne sera pas le même en Belgique qui tape les mêmes mots;

- par la volonté d’aider l’internaute auquel le moteur suggère une orthographe.

Pourquoi pas, mais pas sur que ces arguments aient fait mouche !…

Dans un billet de juillet sur le droit à l’oubli sur Internet, j’avais parlé de l’organisation d’un atelier sur le droit à l’oubli, à l’automne, par le secrétariat d’État chargée de la prospective et du développement à l’économie numérique.

Il s’est concrétisé la semaine dernière, le 12 novembre, dans les locaux de Sciences-Po à Paris et à réuni des juristes, des acteurs du secteur, des associations et un panel de jeunes internautes.

Selon la communication gouvernementale, cet atelier « a pour vocation de faire émerger des propositions concrètes pour améliorer la protection de la vie privée des citoyens sur Internet. Il réunira des acteurs du secteur, des juristes, des associations, et un panel de jeunes internautes qui fera part de ses pratiques, de ses interrogations et de ses attentes ».

Après une ouverture par Madame Nathalie KOSCIUSKO-MORIZET, secrétaire d’État chargée de la Prospective et du développement de l’économie numérique, deux grands débats que vous pouvez visionner ci-dessous :

♦ Premier débat : L’OUBLI DES TRACES

Avec l’essor d’Internet, une nouvelle forme de publicité, plus performante, s’est généralisée. Plus ciblée, plus personnalisée, elle scrute nos comportements à notre insu, au travers de nos navigations enregistrées dans les cookies, pour exploiter ces informations dans le cadre de leur stratégie marketing.

Quels moyens mettre en œuvre pour renforcer la protection de notre intimité ? Sur quelles pratiques vertueuses les gestionnaires de sites et les annonceurs sont-ils prêts à s’engager pour concilier personnalisation des annonces et anonymat de l’internaute ?

♦ Deuxième débat : L’OUBLI DES DONNÉES PUBLIÉES VOLONTAIREMENT

Blogs, réseaux sociaux, Twitter, géolocalisation…

Les internautes racontent désormais leur intimité en ligne, quasiment en temps réel.

L’image qu’ils donnent d’eux-mêmes pourra-t-elle leur nuire ultérieurement ? Existe-t-il des solutions techniques permettant de faire table rase de son passé numérique ? Comment former et informer les jeunes sur la bonne gestion de leur vie privée sur Internet ?

A noter que durant le premier débat, le responsable des données personnelles au sein de « Google » parle de son nouvel outil « Google Dashboard » et vous invite à vous l’approprier dans les meilleurs délais…

Qui a dit que cette vénérable institution qu’est le Sénat français ne servait à rien ?

Deux de ses membres, Yves DETRAIGNE et Anne-Marie ESCOFFIER viennent d’en faire la démonstration inverse en déposant, au début de ce mois, une proposition de loi concernant un sujet éminemment important et d’actualité qui est celui de mieux garantir le droit à la vie privée à l’heure du numérique.

C’est un thème auquel je suis très attaché. Comme je l’écrivais dans un précédent billet, le droit à la vie privée est de plus en plus rogné sur Internet bien sur, mais également dans la réalité du quotidien avec ce que j’ai pu récemment lire au sujet des projets de maires souhaitant accroître la vidéo-surveillance dans leurs communes alors que cette vidéo-surveillance n’a pas fait la preuve incontestable de son efficacité.

Proposition de loi visant à mieux garantir le droit à la vie privée à l’heure du numérique (format pdf)

Cette proposition de loi est la suite du rapport d’information (ci-contre) rédigé par ces mêmes auteurs et publié en mai dernier sur « la vie privée à l’heure des mémoires numériques. Pour une confiance renforcée entre citoyens et société de l’information ».

La synthèse de ce rapport est disponible ici. (format pdf)

Que contient cette proposition de loi ?

Parmi ses quatorze articles, j’en ai sélectionné quelques uns qui ont tout spécialement retenu mon attention.

L’article 1° qui vise, comme le dit joliment l’exposé des motifs, à transformer l’« Homo Sapiens » en « Homo Numericus » libre et éclairé, protecteur de ses données et pour ce faire qui va « renforcer la place accordée à la sensibilisation aux questions de protection de la vie privée et des données personnelles dans les programmes scolaires ».

L’article 2 qui clarifie le statut de l’adresse IP (Internet Protocol), affirmant qu’elle constitue une donnée à caractère personnel.

L’article 4 qui réserve au législateur la compétence exclusive pour créer une catégorie de fichiers nationaux de police et définir ses principales caractéristiques.

Par rapport à la proposition de loi des députés BATHO et BENISTI sur les fichiers de police, (le rapport d’information des députés sur les fichiers de police est consultable ici) le dispositif de cet article 4 est moins contraignant puisque là où les députés préconisent l’intervention du législateur pour chaque création ou modification de fichier de police, les deux sénateurs suggèrent que le Parlement n’intervienne que pour autoriser certaines catégories de fichiers nationaux de police et leurs caractéristiques les plus importantes.

L’article 6 qui actualise l’article 32 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés portant sur les obligations d’information du responsable du traitement.

L’article 7 qui précise l’obligation de sécurisation des données incombant au responsable du traitement et qui crée une obligation de notification des failles de sécurité à la Commission nationale informatique et libertés.

L’article 8 qui substitue au terme « opposition » mal compris, celui plus explicite de « suppression » et ce droit de suppression s’exercerait sans frais pour celui qui le met en œuvre.

Ainsi dans la nouvelle mouture de l’article 38 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, il y aurait le droit d’opposition commerciale, qui s’exercerait avant tout traitement ou, en cas de collecte indirecte, avant toute communication des données, et le droit de suppression des données qui s’exercerait, par définition, après.

L’article 9 qui précise l’obligation pour le responsable du traitement interrogé au titre du droit d’accès d’indiquer l’origine de la donnée.

Cette indication permettrait à la personne objet du traitement de remonter jusqu’au responsable du traitement détenteur du fichier d’origine et d’exercer éventuellement auprès de lui ses droits d’accès, de rectification ou d’opposition.

L’article 12 qui renforce les pouvoirs de sanction de la Commission nationale informatique et libertés.

Enfin, l’article 13 qui renforce les possibilités d’actions juridictionnelles de la Commission nationale informatique et libertés et des personnes en cas de méconnaissance, par un responsable du traitement, des dispositions de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

Le décret n° 2009-1249 du 16 octobre et celui n° 2009-1250 du même jour ont peu, sur le plan médiatique, fait parler d’eux et pourtant ils créent deux nouveaux fichiers de police.

Le premier décret n° 2009-1249 a été pris pour la création d’un fichier en matière de prévention des atteintes à la sécurité publique.

Il va servir à recueillir, conserver et analyser les informations qui concernent «les personnes dont l’activité individuelle ou collective indique qu’elles peuvent porter atteinte à la sécurité publique et notamment les personnes susceptibles d’être impliquées dans des actions de violences collectives, en particulier en milieu urbain ou à l’occasion de manifestations sportives».

La lecture de l’article 3 de ce décret est intéressante puisqu’il est désormais possible dans ce cadre, si vous êtes âgé d’au moins treize ans, de collecter, de conserver – pendant dix ans à compter du dernier évènement ayant donné lieu à enregistrement, durée raccourcie à trois ans pour un mineur – de traiter des données concernant notamment :

- votre origine géographique, notion que je peine à définir,

- vos activités politiques, vos activités philosophiques, vos activités religieuses, et vos activités syndicales.

Quant au second décret n° 2009-1250, il vise la création d’un fichier de données à caractère personnel relatif aux enquêtes administratives liées à la sécurité publique.

Ces enquêtes sont réalisées, notamment, dans le cadre de recrutements à des emplois publics participant à l’exercice des missions de souveraineté de l’État, ou relevant du domaine de la sécurité ou de la défense, et sont destinées à vérifier que le comportement des personnes physiques ou morales intéressées n’est pas incompatible avec l’exercice des fonctions ou des missions envisagées.

Dans ce cas de figure, si vous êtes âgé d’au moins seize ans, il est autorisé notamment l’enregistrement de données – contenues dans un rapport d’enquête – relatives à un comportement incompatible avec l’exercice des fonctions ou des missions envisagées, la source de ce comportement pouvant être une motivation politique, religieuse, philosophique ou syndicale.

Bien entendu, ces deux nouveaux fichiers de police vont s’ajouter à la liste de ceux existant en France, ces fichiers détaillés par la Commission Nationale Informatique et Libertés sur son site Internet.

Dans les faits, cette énumération CNIL a peu à voir avec la réalité puisque le rapport d’information du 24 mars 2009 sur les fichiers de police – rédigé par les députés Jacques Alain BENISTI (UMP) et Delphine BATHO (PS) – en dénombre 58, soit dix fois plus…

Assemblée nationale – Rapport d’information des députés BENISTI et BATHO du 24 mars 2009 sur les fichiers de police (format pdf)

J’ai tout particulièrement noté que, dans leur rapport, deux points particulièrement importants.

La tendance actuelle à la multiplication des fichiers de police

Les deux parlementaires pointent du doigt la tendance actuelle à la multiplication des fichiers de police qui s’explique, selon eux :

♦ d’une part «par le fait que certains traitements de données sont créés en dehors de tout cadre juridique et sans aucune base normative» (un quart des fichiers de police n’ont aucune base juridique),

♦ d’autre part «lorsque le gouvernement entend donner une base juridique aux fichiers, dont il envisage la création, il peut recourir à un large éventail d’instruments normatifs (lois, décrets, arrêtés, etc…)».

La nécessité de clarifier les conditions de création de ces fichiers de police

Les deux députés soulignent également la nécessité de clarifier les conditions de création de ces fichiers de police car le cadre juridique actuel n’est pas satisfaisant.

Aujourd’hui, lorsque l’exécutif entend donner une base juridique au fichier de police qu’il crée, il peut recourir soit à la voie réglementaire sur le fondement de l’article 26 de la loi du 6 janvier 1978 (cf. par exemple les deux décrets ci-dessus), soit à la voie législative.

Alors, les deux députés proposent notamment «de modifier l’article 26 de la loi du 6 janvier 1978 afin que les fichiers ou toute catégorie de fichiers intéressant la sécurité publique et ceux qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales ou des mesures de sûreté ne soient autorisés que par la loi.».

Pour eux – en la matière – l’intervention et le contrôle du Parlement est le point d’équilibre entre les besoins opérationnels des services de police pour l’exercice de leurs missions et la protection des libertés individuelles du citoyen.

Visiblement, ils n’ont guère été entendus…

A mon sens, depuis son arrivée au Secrétariat d’état à l’économie numérique, Nathalie Koscuisko-Morizet a plutôt brillé par son silence hormis un voyage d’études en Asie et quelques déclarations à propos de l’après publication de la loi «Création et Internet».

Mais les choses semblent changer puisqu’il y a deux jours, elle a été présenter devant la Commission nationale informatique et libertés son programme en faveur de la protection des données personnelles.

Nul doute que ses membres ont du apprécier cette visite gouvernementale car la lecture du rapport d’activité CNIL 2008 fait état de l’attention toute particulière qui est accordée à ce sujet.

Nathalie Koscuisko-Morizet organisera, à l’automne, un atelier réunissant tous les acteurs du Web pour concrétiser les modalités du «droit à l’oubli» sur Internet.

Ce droit qui pourra être évoqué, notamment, pour effacer des données personnelles figurant sur «la toile» et qui portent préjudice aux intéressés. Une partie du travail que font ces cabinets, surtout américains, qui fleurissent et qui sont spécialisés dans ce qu’ils appellent «la web-réputation» ou encore «la cyber-réputation» d’une personne ?

«NKM» veut également aborder avec les entreprises et les organisations professionnelles les thèmes de la lutte contre le «spam» et de la limitation de la durée de conservation des données de connexion des internautes.

Que de travail en perspective…

La simplification et la clarification du droit que j’évoquais il y a peu a fait une heureuse à savoir la commission nationale informatique et libertés.

En effet, la loi du 12 mai 2009 du député Warsmann a modifiée la loi du 6 janvier 1978, bien connue sous le nom de «Informatique et libertés», dans ses articles 11, 13 et 15.

De par ces modifications, pour ne pas renouveler les tribulations du projet de loi «Hadopi ou Création et Internet», un avis de la commission sur un projet de loi est rendu public non plus à la suite de «fuites» mais à la demande du président de l’une des commissions permanentes prévues à l’article 43 de notre Constitution.

Par ailleurs, la commission peut – ce qu’elle ne pouvait faire antérieurement faute de moyens – délivrer des labels aux entreprises qui attestent que leurs produits ou leurs procédures sont conformes aux exigences de la protection des données personnelles car elle a la faculté de «recourir à toute personne indépendante qualifiée» pour procéder à l’évaluation de ces produits ou de ces procédures en sachant «que le coût de cette évaluation est pris en charge par l’entreprise qui demande le label».

Enfin, cette même commission peut déléguer à son président la compétence pour autoriser les transferts de fichiers en dehors de l’Union Européenne.

Ce qui vient d’être dit est, au passage, une réponse à Stéphane Cola rédacteur d’un communiqué en date du 2 juillet au nom du site «Palmarés.com» – dans son conflit ouvert avec la CNIL – qui écrit :

«Contre toute attente, le 10 juin 2009 la Commission nationale de l’informatique et des libertés (CNIL) a exigé de Palmares.com la disparition de cet espace de liberté et de partage d’expérience. Cette exigence se fonde sur une loi dite « informatique et libertés » promulguée en janvier 1978, à un moment où l’informatique encore balbutiante était perçue non comme une chance mais comme une menace.»

Cette présentation est clairement tendancieuse et erronée :

- tendancieuse car le couplet sur 1978 et l’informatique balbutiante perçue comme une menace est non avéré;

- erronée car la loi du 6 janvier 1978 n’est pas figée et, bien évidemment, fait l’objet de constantes adaptations comme ce fut le cas, notamment, avec la loi du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et, il y a moins de deux mois, avec celle que je viens d’évoquer.

Il est parfaitement louable de vouloir exploiter son modèle économique encore faut-il que cette exploitation se fasse dans le respect du droit et des personnes.

«Nos vies sur Internet à perpète» est le titre d’une très intéressante enquête parue dans l’édition datée d’hier du quotidien «Le Monde».

Avec les nouveaux outils Internet – blogs, pages personnelles, réseaux sociaux… – et les pratiques qui leur sont associées, la frontière entre vie privée et vie professionnelle est de plus en plus floue, ce qui dans le domaine du recrutement ne manque pas de poser de sérieux problèmes à certains candidats.

La tache d’enquête, notamment, des recruteurs et des DRH est grandement facilitée avec des outils comme ceux qui suivent.

Les agrégateurs 123people.com ou CVGadget.com

La plus grande vigilance est donc de mise sur les renseignements que vous fournissez sur «Facebook», «Viadeo» ou «LinkedIn» et/ou sur vos propos sur vos pages personnelles, blogs et sur les photos qui sont prises de vous.

A propos des réseaux sociaux, ainsi que le rappelle Alex Turk, son président, la commission nationale informatique et libertés peut difficilement intervenir pour faire effacer données et photos car les sociétés gestionnaires de ces réseaux sont généralement américaines et corrélativement hors de portée de la CNIL, n’existant pas «de cadre juridique satisfaisant entre l’Union européenne et les États-Unis dans ce domaine».