Positions TECH IN France

Données personnelles : Construire un système européen protecteur des droits des citoyens et favorable à l’innovation

Publié le September 30, 2013

Dans la perspective du Conseil européen sur le numérique qui se tiendra le 24 et 25 octobre 2013 et dans le cadre des débats en cours à Bruxelles autour du projet de règlement européen relatif à la protection des données personnelles, l’AFDEL publie aujourd’hui la position des éditeurs de logiciels et solutions Internet intitulée « Construire un système européen protecteur des droits des citoyens et favorable à l’innovation». Droit à l’oubli, portabilité des données, proposition de Schengen numérique, nouvelles obligations et responsabilités des entreprises, rôle des CNILS européennes… L’AFDEL formule 11 propositions et s’exprime sur l’ensemble de ces sujets, qui dessineront le nouveau système européen.

Avant propos

  • Proposition 1 : Faire de l’éducation au numérique une priorité

L’AFDEL appelle à faire de l’Education à la responsabilité numérique, vers tous les publics, une priorité. L’AFDEL soutient, avec la FIEEC, au sein du collectif constitué pour l’occasion, l’initiative de la CNIL pour faire de l’Education au numérique la grande cause nationale 2014.
 
L’AFDEL préconise d’inscrire à court terme l’éducation à la responsabilité numérique dans les programmes d’éducation civique de l’Education nationale.

  • Proposition 2 : Adopter une définition pragmatique et ouverte du consentement

L’AFDEL appelle à une définition pragmatique et ouverte du consentement : afin d’assurer l’effectivité de la protection des internautes, les responsables de traitement doivent rester libres d’employer toute solution à même de recueillir le consentement des internautes. Ainsi, le fait qu’un internaute ait souscrit initialement à de longues conditions générales d’utilisation (CGU) ne lui garantit pas d’évoluer dans un espace dans lequel il dispose du contrôle effectif de ses données personnelles. En revanche, dans le cadre de la navigation sur internet, il est par exemple à même de se protéger via son navigateur contre une utilisation abusive de ses données de navigation.

  • Proposition 3 : Consacrer le principe de neutralité technologique

L’AFDEL propose de consacrer dans le projet de règlement le principe de neutralité technologique, afin de garantir la pertinence des réformes proposées sur le long terme et la sécurité juridique des entreprises, au bénéfice de la protection des personnes physiques. Une telle précision pourrait intervenir à l’article 86 ou au sein de chacune des dispositions concernées.

  • Proposition 4 : Limiter le droit à la portabilité aux données de l’individu

L’AFDEL soutient l’instauration d’un droit à la portabilité mais propose, afin de ne pas porter atteinte à la compétitivité des entreprises de limiter l’usage de ce droit aux données concernant l’individu « lui-même » (cf. schéma ci-dessus). Ainsi, les données qui, de fait, se trouvent étroitement liées à l’outil ou au service fourni par l’opérateur (telles que les données générées par exemple dans le cadre du fonctionnement du service), ne pourraient ouvrir droit à la portabilité.    

  • Proposition 5 : Renforcer les moyens de mise en œuvre du droit d’opposition plutôt que de créer un nouveau droit « à l’oubli »

L’AFDEL estime qu’une forme de droit à l’oubli est déjà garantie en France (depuis 1978) et en Europe (depuis 1995), en premier lieu via l’exercice du droit d’opposition et qu’il importe avant tout de veiller à la bonne application de ce droit, qui pâtit aujourd’hui d’un manque de moyens en France.
 
De ce point de vue, le droit à l’oubli pour les mineurs, instauré récemment en Californie, ne correspond à rien d’autre qu’au droit d’opposition tel qu’il existe déjà en France et dans l’Union Européenne, et que l’AFDEL soutient pleinement.  Dans ce cadre, la très grande majorité des prestataires de réseaux sociaux ont déjà mis en place toutes les fonctionnalités nécessaires pour permettre à un utilisateur de supprimer ses contenus ou son compte. Il faut s’assurer que cette possibilité de suppression soit bien effective, dans des conditions raisonnables que doivent contrôler les autorités compétentes.
 
L’AFDEL défend donc plutôt le principe d’un renforcement des ressources allouées aux autorités nationales de contrôle, notamment à la CNIL, pour renforcer les moyens de mise en œuvre des droits existants. Il faut en effet surtout faciliter les procédures pour les citoyens et augmenter les sanctions en cas de violation des données personnelles.
 
Les autorités de contrôle doivent notamment pouvoir s’assurer (et au besoin tester) de l’effectivité, la fluidité et la rapidité des procédures de désactivation des comptes ou d’effacement des données personnelles ou encore  des possibilités d’intervention mises à disposition des parents d’adolescents.  

  • Proposition 6 : Se prémunir contre toute dérive vers un droit au déréférencement

L’AFDEL ne comprend pas l’intérêt de requalifier des droits existants pour les appeler  « droit à l’oubli », à moins de souhaiter étendre le droit dans une direction peu réaliste et non souhaitable :

  • Ainsi, il n’est ni réaliste ni raisonnable d’exiger du responsable de traitement, qui a rendu publiques des données personnelles, qu’il informe les tiers qui traitent lesdites données de la demande d’effacement de ces données comme cela est prévu dans le projet de règlement.
  • En outre, étendre à l’excès le droit d’opposition sous la forme d’un droit à l’oubli général comporterait un risque important d’atteinte à des libertés fondamentales tout en déresponsabilisant l’internaute quant à son degré d’exposition publique. L’AFDEL est à ce titre fortement opposée à l’idée d’un droit au déréférencement
  • Proposition 7 : Préserver les PME d’obligations administratives pénalisantes

L’AFDEL appelle de ses vœux l’instauration d’un système responsabilisant mais protecteur pour les PME. S’il est légitime d’exiger des garanties élevées de la part des PME dont l’activité principale est le traitement de données, l’AFDEL condamne les propositions du rapport Albrecht visant à imposer de manière quasi-automatique certaines obligations administratives lourdes aux PME (Amendements 172, 188, 190).

  • Proposition 8 : Ne pas diluer la responsabilité qui incombe au dit « responsable de traitement »

Dans un souci de sécurité juridique et de protection des PME, l’AFDEL s’oppose à la multiplication des obligations incombant au sous-traitant prévue par le projet de règlement.
 
L’AFDEL préconise plutôt de développer dans les textes la requalification en « responsable conjoint du traitement » afin de préciser les conditions d’application de ce régime dès lors qu’un sous-traitant dépasserait le périmètre de ses attributions, définies par la voie du contrat.
 
L’AFDEL estime qu’il n’est pas raisonnable, comme le propose le rapport Albrecht, de soumettre le sous-traitant à des obligations élargies et dans le même temps à un risque important de requalification en responsable conjoint de traitement.

  • Proposition 9 : Créer une agence européenne de contrôle

L’AFDEL appelle de ses vœux une plus grande sécurité juridique pour les entreprises, qui doit aller de pair avec le maintien d’un lien de proximité entre les autorités nationales de contrôle et les citoyens.
 
L’AFDEL propose la création d’une Agence européenne de contrôle disposant de relais nationaux, qui serait profitable aux entreprises comme aux citoyens.
 
A défaut, l’AFDEL souscrirait à l’instauration d’un système double impliquant l’autorité nationale de contrôle du pays d’établissement de l’entreprise (autorité chef de file) et l’autorité de contrôle du pays de résidence du citoyen. Dans ce cas, l’AFDEL souhaite que la détermination de l’autorité compétente sur le fond dépende de critères simples et transparents ; l’existence du CEPD (Comité européen de protection des données) permettra d’arbitrer et d’assurer la cohérence du système, en cas de besoin.

  • Proposition 10 : L’AFDEL plébiscite le principe de la privacy by design qui est adapté à l’innovation

L’AFDEL est favorable à l’inscription dans les textes de la « privacy by design », pour que les technologies et les services intègrent dès la conception la dimension de protection des données personnelles. L’AFDEL préconise, comme cela est prévu à ce stade, une obligation de résultat et s’opposera à toute spécification relative aux moyens technologiques dans les textes.  
 
L’AFDEL estime en revanche que l’obligation nouvelle de « privacy by default » est insuffisamment clarifiée. Cette obligation pourrait avoir pour effet indésirable la réduction du champ des services offerts à l’utilisateur. La possibilité laissée à la Commission d’élaborer des normes techniques  en la matière pourrait être préjudiciable à l’innovation. Encore une fois, il faut plutôt exiger des sociétés qu’elles mettent à disposition des utilisateurs toutes les informations et donner aux utilisateurs la maîtrise des outils pour les laisser choisir leur niveau d’exposition souhaité.
 
Enfin, l’AFDEL souhaite que soient étudiées toutes les conséquences (notamment en termes de responsabilité) de l’extension par le rapport Albrecht de l’obligation pour les éditeurs de logiciel de tenir compte du respect de la vie privée dès la conception et par défaut, même s’ils ne procèdent pas au traitement des données2[1].

  • Proposition 11 : Proportionner et graduer la sanction

Il est impératif d’instaurer un principe de gradation et de proportionnalité de la sanction comme le propose notamment le rapport Albrecht.   



[1]2 Amendements 98 et 178 : le rapport Albrecht propose d’étendre l’application de la privacy by design, et de la privacy by default aux sous-traitants et aux éditeurs de systèmes de traitement automatisé des données (matériel et logiciel). En effet, le rapport propose d’insérer dès l’article 5 l’obligation pour les éditeurs, responsables de traitement et sous-traitants, de prendre les mesures nécessaires pour garantir la protection des données personnelles via la privacy by design et by default. Il est également prévu que les principes de la protection des données dès la conception et par défaut soient pris en compte dans les contrats entre le responsable de traitement et le sous-traitant.