Etat des lieux de l'utilisation des données à caractère personnel


Les enjeux de la révolution numérique : opportunités & risques du Big Data 

Le 8 octobre 2016, la loi pour une République numérique a été publiée au Journal officiel [1] et certaines dispositions sont désormais applicables. Le nouveau règlement européen sur la protection des données personnelles, paru le 4 mai 2016, entrera en application en 2018 [2]. L’accord bilatéral EU-U.S Privacy Shield, adopté le 12 juillet 2016, est entré en vigueur le 1er août 2016 [3].
 
Pour à la fois protéger les internautes dans le cadre de l’utilisation qui est faite de leurs données à caractère personnel et rendre les données numériques toujours plus accessibles, l’encadrement juridique relatif au traitement de ces données évolue pour s’adapter aux pratiques des acteurs du marché numérique. 
 
Au regard de ces récentes évolutions, un état des lieux s’impose pour mieux comprendre les obligations qui incomberont aux professionnels.
 
La détention par une entreprise d’un ensemble vaste et complexe de données personnelles des utilisateurs de ses services est un enjeu commercial indiscutable. Les sociétés de l’information développent des algorithmes toujours plus perfectionnés au service de la prédiction des besoins des consommateurs. Le logiciel « Alpha Go » développé par Google (via Deep Mind) a enfin battu le meilleur joueur professionnel de go le 12 mars 2016.  Si nous ne sommes « qu’à » l’aube de l’intelligence artificielle, la révolution numérique en matière de traitement de données à caractère personnel a déjà complétement bouleversé les pratiques commerciales et, en premier lieu, la publicité.
 
Les investissements dans ce secteur sont considérables. Ogury vient de lever 15 millions de dollars. Créée par les deux fondateurs de BeeAd, cette start-up française annonce un chiffre d'affaires prévisionnel pour 2017 de 50 millions d’euros et une offre permettant aux éditeurs de commercialiser moins d’espaces à meilleur prix grâce à des solutions de ciblage sophistiquées visant à proposer des publicités qui correspondraient davantage aux goûts des utilisateurs et qui amélioreraient leur expérience de navigation.
 
 
La notion de donnée à caractère personnel est très large. La loi Informatique et Libertés [4] définit une donnée à caractère personnel comme étant « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ». Il peut s’agir d’une photographie, d’un enregistrement vidéo, des numéros d’une carte d’identité ou de sécurité sociale.
Dès lors que ces données à caractère personnel sont « traitées » au sens de la loi Informatique et Libertés, le responsable de ce traitement est soumis à des obligations encadrant toute démarche de collecte d’informations, de sous-traitance relative aux traitements et de stockage, conservation et transfert des données.
 
La notion de « traitement » est également très large. Selon la loi Informatique et Libertés, un traitement est « toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ». Cette notion englobe à la fois la collecte, l’enregistrement, l’organisation, la conservation ou encore la modification des données, que ce soit par des moyens automatiques ou informatiques, c’est-à-dire « automatisés », ou de manière simplement manuelle.
 
Le responsable de ces traitements qui doit se conformer aux diverses réglementations est « la personne, l’autorité publique, le service ou l’organisme qui détermine les finalités et les moyens du traitement », c’est-à-dire qui décide de créer le fichier, détermine à quoi il va servir et comment il va être réalisé. Un employeur pourra être qualifié de responsable de traitement s’agissant des données à caractère personnel de ses salariés même si les finalités et les moyens du traitement sont décidés par la maison mère du groupe, ou par un simple prestataire de services tiers qui disposerait d’une certaine autonomie dans l’exécution de ses prestations.
 
Le responsable de traitement doit être extrêmement vigilant. Le Règlement européen a maintenu le principe selon lequel il est responsable des actes de ses sous-traitants. Un sous-traitant qui agit pour le compte et pour les besoins du responsable de traitement, sur les instructions et sous la responsabilité de ce dernier, peut parfois disposer d’une autonomie significative lui permettant en pratique de déterminer la finalité et les moyens du traitement, par exemple, lorsqu’il transfère de sa propre initiative les données vers son propre sous-traitant sans aucune instruction de son mandant. Ce sous-traitant doit en tout état de cause présenter des garanties suffisantes pour préserver la sécurité et la confidentialité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. Par ailleurs, deux personnes peuvent être considérées comme étant co-responsables d’un traitement.
 
7 principes clés doivent être respectés par le responsable du traitement : (1) la collecte des données doit être loyale et licite, (2) la finalité du traitement est déterminée, explicite et légitime, (3) les données ne doivent pas être disproportionnées au regard de cette finalité, et (4) ne peuvent être conservées que pendant une durée limitée, (5) la sécurité et la confidentialité des données doivent être garanties (l’enjeu des technologies de stockage et de transfert d’informations dites « blockchain » en est l’illustration), (6) les droits des personnes doivent être respectés, (7) les données « sensibles » (de type données sur la santé, sur l’appartenance ethnique, ou les opinions politiques) ne peuvent être collectées dans les mêmes conditions.
La loi pour une République numérique renforce la protection des mineurs en matière de droit à l’oubli en instaurant une obligation pour le responsable de traitement d’effacer les données à caractère personnel collectées dans le cadre de l’offre de services sur la demande de la personne concernée et « dans les meilleurs délais ».La CNIL disposera d’un délai de 15 jours pour statuer en cas de refus ou de silence du responsable de traitement.
La nouvelle loi entend également promouvoir la portabilité des données collectées par les fournisseurs de services d’emails et de communication en ligne en instaurant une obligation de mettre en place une fonctionnalité gratuite de transfert direct des messages et des listes de contacts vers un autre fournisseur et de permettre aux utilisateurs de récupérer gratuitement tout fichier et données associées conformément aux articles L 224-42-1 et suivants du code de la consommation qui entreront en vigueur le 25 mai 2018. En vertu de l’article L32-3 du code des postes et des communications électroniques applicable depuis le 9 octobre 2016 dans sa nouvelle version codifiée par la loi pour une République numérique, il est interdit aux opérateurs de lire ou scanner le contenu des correspondances et les documents qui y sont attachés, sauf si le consentement exprès de l’utilisateur est recueilli, à une périodicité fixée par voie réglementaire et qui ne peut être supérieure à un an, dans le cadre d’un traitement automatisé d'analyse du contenu de la correspondance en ligne, à des fins publicitaires, statistiques ou d'amélioration du service apporté à l'usager.
 
Des formalités déclaratives préalables à la collecte et au traitement des données doivent être effectuées. Auprès des personnes concernées par le traitement, le responsable du traitement doit  indiquer (1) son identité (2) la finalité du traitement, (3) le caractère obligatoire ou facultatif des réponses, (4) le destinataire des données, (5) les droits d’accès, de rectification et d’effacement, (6) l’existence d’un transfert vers un Etat n’assurant pas un niveau de protection adéquat et le responsable doit collecter (7) l’accord de la personne concernée en fonction de la nature de la donnée, notamment s’il s’agit d’une donnée « sensibles », de la finalité, notamment pour une prospection commerciale ou pour protéger le droit à l’image de la personne. La loi pour une République numérique prévoit que les fournisseurs de services sur Internent doivent également indiquer la durée de conservation des données. La nouvelle loi indique également que les fournisseurs devront informer l’internaute du sort de ses données à son décès et lui permettre de choisir de les transmettre à un tiers qu’il désigne via des directives transmises à la CNIL ou au responsable de traitement. S’agissant des plates-formes, la loi entend les contraindre à informer les internautes de manière loyale, claire et transparente sur les modalités de référencement de classement et de déréférencement des contenus en précisant l’existence d’une relation contractuelle ou de liens capitalistiques avec les personnes référencées et l’existence d’une rémunération et son impact sur le classement des contenus. Les fournisseurs de services en ligne devront également délivrer une information loyale, claire et transparente sur l’existence de processus de vérification des avis communiqués en ligne et sur les modalités de vérification.
Auprès des instances représentatives du personnel, le responsable doit communiquer préalablement sur l’introduction de tout traitement automatisé de gestion du personnel, consulter sur tout contrôle individuel des salariées, et informer de la désignation d’un CIL (« Correspondant Informatique et Libertés »). En cas d’impact sur les conditions de travail, la CHSCT sera consultée.
Auprès de la CNIL, le responsable du traitement devra remplir une déclaration préalable (normale ou simplifiée) ou demander l’autorisation de collecter des données sensibles ou de transférer, dans certains cas, les données à l’étranger. Certaines dispenses sont prévues spécifiquement pour les traitements courants et standardisés non susceptibles de porter atteinte à la vie privée (par exemple, les données pour établir la paie qui n’incluent pas le numéro de sécurité sociales ou la nationalité). Les déclarations ne prévalent en rien de la validité du traitement au regard de la Loi Informatique et Libertés.
 
Si le responsable du traitement ne respecte pas les conditions prévues dans la loi Informatique et Libertés, il peut être condamné au paiement de sanctions pécuniaires [5] prononcées directement par la CNIL à l’issue d’une procédure contradictoire diligentée après l’envoi d’une mise en demeure, ou d’amendes. La CNIL peut adresser un avertissement, enjoindre de cesser le traitement, retirer l’autorisation de traitement et/ou rendre obligatoire la publicité des sanctions. La loi pour une République numérique envisage de renforcer le pouvoir disciplinaire de la CNIL qui pourrait mettre en demeure les responsables de traitement de se conformer à la loi sous 24h ou de les sanctionner immédiatement si la mise en conformité s’avère impossible. La CNIL pourra également obliger le responsable de traitement à informer chaque personne concernée de ces sanctions.
 
Le transfert des données vers d’autres pays devrait être facilité. Outre les déclarations à la CNIL, les démarches préalables visant les transferts vers un pays situé en dehors de l’EEE ou vers un pays qui n’est pas mentionné dans la liste des pays ayant un niveau de protection adéquat [6] sont maintenues : le responsable de traitement devra soit (i) obtenir le consentement exprès de la personne concernée par les données, soit (ii) faire accepter des clauses contractuelles types éditées par la Commission Européenne qui seront mises à la disposition de CNIL ou seront revues par cette dernière dans le cas où le modèle type aurait été modifié, soit (iii) instaurer des Règles Contraignantes d’Entreprise s’agissant des échanges de données au sein d’un groupe (Binding Corporate Rules) qui auront été préalablement autorisées par l’autorité nationale de protection où siège le responsable de traitement. Le Règlement européen prévoit la suppression de la formalité d’autorisation spécifique par l’autorité nationale de protection dans la mesure où l’un des outils précités aura été mis en place et que les clauses contractuelles type ou le code de conduite édité par une catégorie de responsables de traitement ou de sous-traitants auront été approuvés par l’autorité nationale de contrôle. La nouvelle loi prévoit également la possibilité pour les Etats-membre de mettre en place des mécanismes de certification afin de démontrer que les opérations de traitement par les responsables de traitement et les sous-traitants respectent le règlement européen ou fournissent des garanties appropriées dans le cadre d’un transfert de données dans un pays tiers à l’UE.
 
Par décision du 6 octobre 2015, la Cour de Justice de l’Union Européenne a jugé que le niveau de protection des données garanti par les Etats-Unis est insuffisant au regard des possibilités d’accès aux données de manière massive et indifférenciée. Depuis l’entrée en vigueur le 1er août dernier de l’accord EU-U.S Privacy Shield, les transferts de données à des entreprises situées aux Etats-Unis ayant adhéré aux règles prévues dans cet accord ne nécessitent plus l’accomplissement des formalités décrites au paragraphe ci-dessus.
 
L’accessibilité des données publiques est renforcée. Le texte de la loi pour une République numérique, adopté par les sénateurs le 3 mai dernier, a été modifié par ces derniers notamment sur la notion d’« open data », exprimant l’ambition du législateur de créer un service public de la donnée dans le cadre de la transposition de la directive 2013/36/UE du 26 juin 2013. Toutefois, la publication spontanée des données administratives ne concerne que les données présentant un intérêt économique, social ou environnemental et la mise en place d’une base de données par l’administration nécessitera l’évaluation systématique et préalable des risques de divulgation des secrets protégés par la loi. La loi prévoit par ailleurs des exceptions à la gratuité de l’accès pour les administrations qui tirent une part substantielle de leurs recettes des redevances, le cas du retrait des données de transport demandé par la SNCF est évocateur.  
 
Les décisions rendues par les juridictions seront mises à la disposition du public à titre gratuit dans le respect de la vie privée des personnes concernées. Il appartiendra aux juridictions de vérifier avant la mise en ligne, et dans des conditions fixées par décret, si malgré l’anonymisation le contexte permet d'identifier les personnes concernées par ces décisions et qu’on ne puisse pas « ré-identifier » les personnes.
 
S’agissant de l’objectif de transparence sur les traitements algorithmiques, les sénateurs sont allés plus loin en introduisant l’obligation pour les administrations d’indiquer, le cas échéant, l’utilisation d’un algorithme dans la prise d’une décision individuelle.
 
Les solutions de Big data fourniraient un pouvoir de marché.
Pour rappel, pour déterminer si l’utilisation de bases de données sur un marché non numérique est susceptible de restreindre la concurrence, l’Autorité de le Concurrence apprécie les conditions dans lesquelles ces bases de données ont été constituées, si elles peuvent être reproduites par les concurrents dans des conditions raisonnables et si leur utilisation est susceptible de se traduire par un avantage concurrentiel significatif. S’agissant du marché numérique, les autorités (américaine et européenne) ont pu considérer qu’aucun risque pour la concurrence ne pouvait être relevé sur les marchés considérés dans la mesure où des quantités importantes de données restaient disponibles pour les concurrents et/ou que les données sont souvent utilisées pour améliorer la qualité du service offert aux consommateurs.
L’Autorité de la Concurrence et le Bundeskartellamt, son homologue allemande, ont publié une étude conjointe le 10 mai 2016 dans laquelle il est envisagé que l’utilisation de données à caractère personnel pourrait conférer un pouvoir de marché dans la mesure où un nombre restreint d’entreprises seraient susceptibles de contrôler des données nécessaires pour répondre aux besoins des utilisateurs et exclure leurs concurrents du marché.  Il est ainsi précisé dans l’étude, s’agissant du marché des activités en ligne où les entreprises s’adressent à plusieurs groupes d’utilisateurs, que « la collecte et l’exploitation de données peut renforcer les effets de réseau lorsque l’accroissement du nombre d’utilisateurs d’une entreprise lui permet de collecter davantage de données que ses concurrents, ce qui lui permet ensuite d’accroitre la qualité de ses produits ou services et au final d’accroitre ses parts de marché ». Toutefois, l’étude souligne que « les effets de réseau peuvent également être bénéfiques à de nouveaux entrants sur le marché s’ils sont en mesure d’attirer un nombre élevé d’utilisateurs pour d’autres raisons que leur taille (grâce par exemple à une fonctionnalité innovante) ».
Concernant les marchés où les services sont gratuits pour les consommateurs finaux et qui sont « caractérisé(s) par des effets de réseau et d’expérience (pouvant être liés aux volumes de données collectées), les nouveaux entrants peuvent ne pas être en mesure de proposer une qualité de service comparable à celle d’entreprises déjà établies et ne pourraient compenser cette moindre qualité par des prix inférieurs. » L’étude précise qu’il convient de faire une analyse au cas par cas même si la Commission a estimé dans la décision Facebook/Whatsapp qu’il s’agit d’«un secteur en évolution rapide, dans lequel les coûts de transfert et les obstacles à l’entrée ou à l’expansion sont faibles. » En effet, l’étude précise que « selon le cas considéré, les coûts d’entrée sur le marché peuvent inclure les dépenses de recherche et développement, les actifs matériels nécessaires à l’exploitation, les dépenses de marketing pour faire connaître le service à ses utilisateurs potentiels, etc. ».
L’étude tire de l’analyse des décisions antérieures sur les marchés numériques l’enseignement suivant : un pouvoir de marché serait caractérisé en fonction de (1) la rareté des données collectées et la difficulté de les reproduire ou les substituer, et de (2) la valeur marginale des données utilisées qui peut diminuer rapidement lorsqu’un certain volume de données a déjà été collecté et que les données volumineuses deviennent « obsolètes ».
 
La révolution numérique qui est en marche pousse les acteurs du commerce en ligne à continuellement adapter leurs offres et leurs façons de communiquer auprès des consommateurs. En effet, sur un marché caractérisé par les effets de réseaux « croisés » où certains ont déjà accumulé des données innombrables, on comprend que l’enjeu commercial se déplace sur la collecte des données les plus actuelles et pertinentes pour attirer les bons prospects et les fidéliser, d’autant qu’en vertu du droit à la portabilité des données les utilisateurs pourront plus facilement passer d’un service à un autre. La loi pour une République numérique renforce en outre l’obligation pour les plateformes d’identifier clairement les publicités, et ce en vue d’assurer le respect des droits des utilisateurs. Or, pour ces derniers la publicité en ligne est souvent perçue comme agressive et intrusive. Il n’est ainsi pas étonnant de voir apparaître des stratégies marketing intégrant les techniques traditionnelles de promotion en ligne et la diffusion de contenus de qualité (notamment sur les blogs et les réseaux sociaux) permettant d’attirer vers le site Internet d’une marque une cible à fort potentiel de fidélisation.
 
Stéphanie COEN

18/10/2016
 
[1] Loi n°2016-1321 du 7 octobre 2016 pour une République numérique
[2] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
[3] Commission Implementing Decision (EU) 2016/1250 of 12 July 2016 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the EU-U.S. Privacy Shield (notified under document C(2016) 4176)
[4] Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
[5] 150.000€ et 300.000€ en cas de récidive - le projet de Règlement européen prévoit un maximum de 4% du chiffre d’affaires
[6] La liste des pays ayant un niveau de protection adéquat hors EEE inclut les USA, depuis le Privacy-Shield et dans certaines circonstances, le Canada, l’Argentine et la Suisse.