Le droit sur les données personnelles : un droit à l’autodétermination plutôt qu’un droit de propriété (3.1.1.)*
Concevoir le droit à la protection des données personnelles comme un droit à « l’autodétermination informationnelle », c’est-à-dire le droit de l’individu de décider de la communication et de l’utilisation de ses données à caractère personnel. Inscrire cette conception dans la proposition de règlement relatif à la protection des données à caractère personnel ou, dans l’attente du règlement, dans la loi du 6 janvier 1978. Ne pas faire entrer les données personnelles dans le champ du droit de propriété patrimonial des personnes.
Vecteur : règlement de l’Union européenne ou loi.
Consacrer le principe de neutralité des opérateurs de communications électroniques dans les termes votés par le Parlement européen le 3 avril 2014, sous trois réserves :
- Revenir à la définition des mesures de gestion de trafic de la proposition de la Commission ;
- Revenir à la définition plus large des « services spécialisés », mais avec des contreparties : information préalable de l’autorité de régulation concernée sur le projet de convention ; droit d’opposition si risque manifeste de dégradation de la qualité de l’internet en-deçà d’un niveau satisfaisant ; droit de suspension de l’autorité de régulation s’il s’avère que qualité de l’internet est dégradée ;
- Droit des opérateurs d’exiger un paiement des fournisseurs de contenus, dans le cadre d’une facturation asymétrique, lorsqu’ils représentent à eux seuls une part significative du trafic.
Vecteur : loi ou règlement de l’Union européenne.
Définir la catégorie juridique des plateformes, distincte de celle des simples hébergeurs passifs. Seraient qualifiés de plateformes les services de référencement ou de classement de contenus, biens ou services édités ou fournis par des tiers et partagés sur le site de la plateforme. Les plateformes seraient soumises à un principe de loyauté.
Vecteur : directive de l’Union européenne.
Donner à la CNIL et à l’ensemble des autorités de protection des données européennes une mission explicite de promotion des technologies renforçant la maîtrise des personnes sur l’utilisation de leurs données. Envisager notamment les actions suivantes :
- Lancer au niveau européen une concertation multiacteurs dans le but de susciter l’émergence des solutions technologiques les plus prometteuses en termes de renforcement de la vie privée ;
- Promouvoir la diffusion gratuite d’outils de renforcement de la vie privée par les FAI, soit dans un cadre volontaire, soit en l’imposant par la loi comme c’est le cas pour les logiciels de contrôle parental ;
- Dans le cadre de la standardisation des politiques d’utilisation des données personnelles prévue par le projet de règlement européen, susciter le développement de règlements-types définissant des polices d’utilisation, auxquels un grand nombre d’internautes adhéreraient et que les entreprises seraient donc conduites à prendre en compte pour définir leur propre politique.
- Développer l’intervention de prestataires « tiers de confiance », afin de garantir que seules les données dont la personne a autorisé la divulgation sont diffusées.
Vecteur : Loi, règlement de l’Union européenne, action de la CNIL et des autres autorités européennes de protection des données.
Mettre en œuvre de manière efficace le droit au déréférencement consacré par l’arrêt Google Spain, en :
- Donnant aux éditeurs des sites dont le déréférencement est demandé la possibilité de faire valoir leurs observations ;
- Explicitant par des lignes directrices la doctrine de mise en œuvre de Google Spain par les autorités de protection des données ;
- Organisant les conditions d’une décision unique de déréférencement, soit par accords de reconnaissance mutuelle des décisions de déréférencement prises par les exploitants de moteurs de recherche, soit par un dispositif légal d’extension à tous les exploitants d’une décision prise par l’un d’entre eux, sous réserve de son homologation par un juge.
Vecteur : lignes directrices du G29 pour les deux premiers points ; accord entre les exploitants de moteurs de recherche ou loi pour le troisième.
Définir les obligations des plateformes envers leurs utilisateurs, découlant du principe de loyauté :
- pertinence des critères de classement et de référencement mis en œuvre par la plateforme au regard de l’objectif de meilleur service rendu à l’utilisateur ;
- information sur les critères de classement et de référencement ;
- définition des critères de retrait de contenus licites en termes clairs, accessibles à tous, et non discriminatoires ;
- mettre l’utilisateur ayant mis en ligne un contenu en mesure de faire valoir ses observations en cas de retrait de celui-ci ;
- en ce qui concerne les utilisateurs commerciaux, notification préalable, avec un délai de réponse raisonnable, des changements de la politique de contenus ou de l’algorithme susceptibles d’affecter le référencement ou le classement.
Vecteur : directive de l’Union européenne ou droit souple (chartes d’engagements des plateformes)
Mettre en œuvre le droit d’alerte pour les salariés des organismes traitant des données personnelles, par des processus d’information et de déclaration placés sous la responsabilité de la CNIL.
Vecteur : action de la CNIL.
Créer une action collective, distincte de l’action de groupe, destinée à faire cesser les violations de la législation sur les données personnelles. Cette action serait exercée devant le tribunal de grande instance par les associations agréées de protection de consommateurs ou de défense de la vie privée et des données personnelles.
Vecteur : loi.
Mettre en Open Data toutes les déclarations et autorisations de traitements de données. Vecteur : action de la CNIL. Dans le cadre du projet de règlement européen, prévoir la publication sur le site de l’autorité de protection des données par les délégués à la protection des données, d’un rapport d’information annuel sur les traitements mis en œuvre par leur organisme.
Vecteur : règlement de l’Union européenne.
Développer la participation des utilisateurs des plateformes à l’élaboration des règles définissant les contenus pouvant être mis en ligne sur leur site.
Vecteur : droit souple (charte d’engagements des plateformes) ; recommandations de l’autorité de régulation compétente.
Confier à la CNIL ou au Conseil national du numérique une mission permanente d’animation de la délibération collective sur les enjeux éthiques liés au numérique. Vecteur : loi pour la CNIL, décret pour le CNNum.
Redéfinir les instruments de la protection des droits fondamentaux et repenser le rôle des autorités publiques (3.3.)
Afin de sécuriser le développement du Big Data en Europe, maintenir sans ambiguïté dans la proposition de règlement européen la liberté de réutilisation statistique des données personnelles, quelle que soit la finalité initiale de leur traitement, en prévoyant pour seule condition que cette réutilisation soit entourée de garanties d’anonymat appropriées.
Vecteur : le règlement de l’Union européenne
Renforcer le rôle de conseil et d’accompagnement des responsables de traitement par la CNIL.
Vecteur : action de la CNIL.
Créer un certificat de conformité (rescrit « données personnelles »).
Vecteur : loi.
Clarifier le champ des traitements soumis en raison de leurs risques à des obligations particulières telles que la réalisation d’une étude d’impact ou la consultation préalable de l’autorité de contrôle, en définissant dans le règlement la liste des catégories de traitement concernées. La soumission à l’obligation de consultation préalable ne doit pas dépendre du résultat de l’étude d’impact.
Vecteur : règlement de l’Union européenne.
Créer une procédure d’homologation des codes de conduite professionnels élaborés au niveau national ou européen.
Vecteur : règlement de l’Union européenne.
Développer la normalisation en matière de sécurité des traitements de données personnelles.
Vecteur : règlement de l’Union européenne.
Participer et organiser la transition vers le nouveau cadre juridique issu du règlement, par une coopération entre le gouvernement, la CNIL et les principaux acteurs professionnels concernés.
Vecteur : action du gouvernement, de la CNIL et des principaux acteurs professionnels concernés.
Créer pour les catégories de traitements présentant les risques les plus importants une obligation de certification périodique (complétant l’examen a priori par l’autorité de contrôle dans le cadre de la procédure de consultation préalable) par un organisme tiers indépendant et accrédité par l’autorité de contrôle.
Vecteur : règlement de l’Union européenne.
Porter une attention particulière aux transmissions de données personnelles d’une entité à une autre en :
- codifiant dans la loi la jurisprudence relative à la nullité des transactions portant sur des fichiers non déclarés ou non autorisés à la CNIL (Vecteur : loi) ;
- incitant les acteurs procédant de manière récurrente à de telles transactions à en tenir un registre (Vecteur : code de conduite professionnel) ;
- incitant à fournir aux personnes exerçant leur droit d’accès une liste complète des entités auxquelles leurs données ont été communiquées (Vecteur : code de conduite professionnel).
Mettre à l’étude la création d’un numéro national unique d’identification non signifiant.
Vecteur : action du Gouvernement et de la CNIL.
Permettre le recours au NIR pour les traitements de données personnelles ayant pour fin la recherche dans le domaine de la santé et autorisés par la CNIL en vertu du chapitre IX de la loi du 6 janvier 1978. Admettre l’utilisation du NIR comme identifiant national pour les données de santé.
Vecteur : loi ; action de la CNIL.
Pour assurer l’effectivité de l’interdiction de fonder une décision sur la seule mise en œuvre d’un traitement automatisé, confirmer que l’intervention humaine dans la décision doit être réelle et pas seulement formelle. Indiquer dans un instrument de droit souple les critères d’appréciation du caractère effectif de l’intervention humaine.
Vecteur : règlement de l’Union européenne et droit souple (recommandation de la CNIL ou avis du G29).
Imposer aux auteurs de décisions s’appuyant sur la mise en œuvre d’algorithmes une obligation de transparence sur les données personnelles utilisées par l’algorithme et le raisonnement général suivi par celui-ci. Donner à la personne faisant l’objet de la décision la possibilité de faire valoir ses observations.
Vecteur : loi ou règlement de l’Union européenne.
Dans le cadre de l’article 44 de la loi du 6 janvier 1978, et dans le respect du secret industriel, développer le contrôle des algorithmes par l’observation de leurs résultats, notamment pour détecter des discriminations illicites, en renforçant à cette fin les moyens humains dont dispose la CNIL.
Vecteur : action de la CNIL.
Analyser les pratiques de différenciation des prix reposant sur l’utilisation des données personnelles, mesurer leur développement et déterminer celles qui devraient être qualifiées de pratiques commerciales illicites ou déloyales, et sanctionnées comme telles.
Vecteur : action de la DGCCRF ; saisine du Conseil national de la consommation de l’Autorité de la concurrence ; loi à l’issue de la réflexion.
Encourager la prise en compte de la diversité culturelle dans les algorithmes de recommandation utilisés par les sites internet diffusant des contenus audiovisuels ou musicaux.
Vecteur : droit souple ou conventions conclues avec le CSA.
Organiser la répartition des rôles entre acteurs publics et acteurs privés dans la lutte contre les contenus illicites (3.3.3.)
Aligner le régime de responsabilité civile et pénale des plateformes sur celui des hébergeurs. Prévoir une obligation pour les hébergeurs et les plateformes d’empêcher, durant un délai déterminé, la réapparition des contenus ayant fait précédemment l’objet de retrait. Cette obligation serait prononcée par l’autorité administrative.
Vecteur : loi (pour les plateformes, après l’intervention de la directive de l’Union européenne créant la catégorie juridique des plateformes).
Encadrer l’utilisation des outils de surveillance automatique des contenus mis en œuvre volontairement par les plateformes en prévoyant une obligation de transparence sur l’utilisation de ces outils, leur fonctionnement et l’étendue des blocages de contenus qu’ils entraînent.
Vecteur : loi (après l’intervention de la directive de l’Union européenne créant la catégorie juridique des plateformes). Adapter les instruments de la promotion du pluralisme des médias (3.3.4.)
Revoir le contrôle de la concentration dans les médias, et notamment les quotas de diffusion et la mesure des bassins d’audience utilisés pour la limiter, afin de mieux garantir le pluralisme au regard de l’ensemble des modes de diffusion contemporains.
Vecteur : concertation en vue d’une loi.
Développer la médiation pour régler les litiges liés à l’utilisation des technologies numériques (3.3.5.)
Mettre en place un système de médiation facilement accessible pour régler les petits litiges entre personnes privées liés à l’utilisation des technologies numériques, tels que ceux concernant les données personnelles, les atteintes à la réputation sur internet ou le retrait de contenus mis en ligne.
Vecteur : accord entre les parties prenantes ou loi.
Assurer le respect des droits fondamentaux dans l’utilisation du numérique par les personnes publiques (3.4.)
Poursuivre l’ouverture des données publiques tout en prévenant les risques pour la vie privée (3.4.1.)
Afin de promouvoir le développement de l’open data auprès des personnes publiques, notamment les collectivités territoriales :
- Adopter une charte d’engagements et de bonnes pratiques signée par l’État, les associations de collectivités territoriales et les représentants des utilisateurs des données publiques, et promouvoir l’adhésion des personnes publiques à cette charte.
- Accroître le rôle d’appui des services de l’État aux collectivités territoriales souhaitant ouvrir leurs données publiques
Vecteur : droit souple (charte d’engagements et de bonnes pratiques) et décret.
Pour les données publiques comportant des données personnelles, maîtriser les conditions de leur ouverture afin de limiter étroitement le risque de réidentification. À cette fin :
- Faire définir par la CNIL, en concertation étroite avec le comité du secret statistique et la CADA, des standards d’anonymisation ;
- Constituer au sein de chaque ministère un pôle d’expertise en matière d’anonymisation, a priori au sein du service statistique ministériel ;
- Assurer l’accessibilité de ces services d’expertise aux collectivités territoriales qui en font la demande auprès du préfet.
- Lorsque le risque de réidentification ne peut être écarté, définir une procédure d’accès sur autorisation plutôt que de mettre en ligne, en particulier lorsque sont en cause des données sensibles (par exemple des données de santé, des données fiscales ou des informations sur les difficultés sociales des personnes).
Vecteur : Droit souple (recommandations de bonnes pratiques) et organisation des services de l’État. Le cas échéant, dispositions législatives pour définir les procédures d’accès sur autorisation.
Préciser, en s’inspirant des dispositions relatives au fichier « Traitements d’antécédents judiciaires » (TAJ), les conséquences à tirer des décisions judiciaires (classement sans suite, non-lieu, relaxe et acquittement) quant à l’effacement des données relatives aux personnes mises en cause, pour le fichier automatisé des empreintes digitales (FAED) et le fichier national automatisé des empreintes génétiques (FNAEG).
Vecteur : décret pour le FAED, loi pour le FNAEG.
Définir un plan d’apurement des erreurs et insuffisances du fichier « Traitements d’antécédents judiciaires » (TAJ), notamment sur les suites judiciaires données aux mises en cause, afin de mettre à jour l’ensemble des fiches qui y sont contenues.
Vecteur : action du ministère de la justice et du ministère de l’intérieur.
Mettre en œuvre la décision n° 2010-25 QPC du 16 septembre 2010 du Conseil constitutionnel, en modulant la durée de conservation des données dans le fichier national automatisé des empreintes génétiques (FNAEG) en fonction de la gravité de l’infraction et de la minorité de la personne au moment de l’enregistrement.
Vecteur : décret en Conseil d’État.
Définir un régime d’autorisation aux formalités allégées (spécifications du traitement moins précises et autorisation délivrée par la CNIL dans le cadre de l’article 25 de la loi du 6 janvier 1978) pour les expérimentations de traitements de données régis par les articles 26 et 27 de la loi du 6 janvier 1978.
Vecteur : loi.
Conjuguer le plein respect des droits fondamentaux et l’efficacité de la surveillance des communications électroniques à des fins de renseignement (3.4.3.)
Tirer les conséquences de l’arrêt Digital Rights Ireland en ce qui concerne l’accès aux métadonnées, en :
- réservant l’accès à des fins de police judiciaire aux crimes et aux délits d’une gravité suffisante ;
- réexaminant les régimes prévoyant l’accès de certaines autorités administratives pour des finalités autres que la sécurité intérieure (par exemple HADOPI, ANSSI, administration fiscale, AMF), et notamment les circonstances dans lesquelles cet accès peut être demandé et les données peuvent être communiquées ;
- modulant la période accessible en fonction de la finalité et de la gravité des infractions ;
- étendant, pour l’accès aux métadonnées, les règles spécifiques de protection qui bénéficient aux parlementaires, aux avocats, aux magistrats et aux journalistes.
Vecteur : loi.
Définir par la loi le régime de l’interception des communications à l’étranger. La loi déterminerait les finalités de ces interceptions et habiliterait l’Autorité de contrôle des services de renseignement à exercer son contrôle sur ces activités.
Vecteur : loi.
Définir le régime juridique de l’utilisation par les services de renseignement, sur autorisation administrative, de certains moyens d’investigation spéciaux prenant appui sur des techniques numériques (déchiffrement, captation de données informatiques...).
Vecteur : loi.
Faire de la Commission nationale de contrôle des interceptions de sécurité (CNCIS) une Autorité de contrôle des services de renseignement dotée de moyens et de prérogatives renforcés.
Vecteur : loi.
Créer un droit de signalement à l’Autorité de contrôle des services de renseignement, l’ACSR, permettant aux agents impliqués dans la mise en œuvre des programmes de renseignement de signaler des pratiques manifestement contraires au cadre légal. Ce droit de saisine serait effectué selon des modalités sécurisées assurant la protection du secret de la défense nationale.
Vecteur : loi.
Affirmer l’applicabilité du droit européen et organiser la coopération au sein de l’Union européenne (3.5.1.)
Définir un socle de règles applicables à tous les services dirigés vers l’Union européenne ou la France (selon que la règle est européenne ou nationale), quel que soit leur lieu d’établissement. Ce socle comprendrait :
- la législation européenne relative à la protection des données personnelles, qui serait qualifiée à cette fin de « loi de police » au sens du droit international privé.
- l’obligation de coopération des hébergeurs et des plateformes avec les autorités administratives et judiciaires, prévue par l’article 6 de la LCEN, dont le champ d’application territorial serait explicité.
- le droit pénal, qui est déjà applicable à l’ensemble des sites destinés au public français.
Vecteur : règlement de l’Union européenne pour la protection des données personnelles / loi pour l’obligation de coopération des hébergeurs et des plateformes.
Réformer le Safe Harbor en développant les contrôles par la Federal Trade Commission américaine (FTC) ou des organismes accrédités par elle, en prévoyant un droit de regard des autorités européennes sur ces contrôles et en renforçant les obligations de fond.
Vecteur : décision de la Commission européenne.
Prévoir que les transferts de données personnelles vers certains État tiers, lorsqu’ils sont requis par les autorités administratives ou judiciaires de cet État, sont subordonnés à l’autorisation préalable de l’autorité de contrôle compétente. La décision d’appliquer ce régime à un État tiers, prise par la Commission, est temporaire et renouvelable ; elle doit être justifiée par le non-respect des standards de l’État de droit ou par le caractère excessif des pratiques de collecte de renseignement.
Vecteur : règlement de l’Union européenne.
Subordonner la reconnaissance par l’UE du caractère adéquat de la protection dans des États tiers à une condition de réciprocité.
Vecteur : action de la Commission européenne
Créer un groupe d’action interétatique, sur le modèle du Groupe d’action financière (GAFI), pour définir des recommandations en matière de lutte contre la cybercriminalité et publier une liste d’États non coopératifs.
Vecteur : action du Conseil de l’Europe
### Rééquilibrer la gouvernance d’internet (3.5.3.)
Promouvoir la démocratisation de l’ICANN, en :
- créant une assemblée générale rassemblant l’ensemble des parties prenantes et pouvant mettre en cause la responsabilité du conseil d’administration ;
- renforçant les mécanismes de recours internes, par exemple en dotant d’une portée contraignante le mécanisme d’Independent Review Panel ;
- permettant au comité représentant les gouvernements (GAC) d’adopter des résolutions contraignantes.
Vecteur : modification des statuts de l’ICANN.
Diversifier la composition des instances de gouvernance d’internet, par des critères de sélection imposant une réelle diversité linguistique et géographique et la mise en place de stratégies d’influence au niveau de la France et de l’Union européenne.
Vecteur : modification des statuts de ces instances, action du Gouvernement français et de l’Union européenne.
Promouvoir l’adoption d’une convention internationale relative aux libertés fondamentales et aux principes de la gouvernance d’internet.
Vecteur : convention internationale.