Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - 15
usage non autorisé, notamment en cas
d'intervention de sous-traitants.
Ces obligations sont assorties de sanctions pénales spécifiques, prévues
aux articles 226-16 et suivants du code
pénal, ainsi que de sanctions pouvant
être prononcées par la Cnil, en particulier des amendes et la publication
des décisions - outre le risque de
responsabilité civile.
Le projet de règlement
européen de protection des
données
Le projet de règlement développe les
droits des personnes concernées, en
prévoyant de nouveaux droits pour
les personnes concernées, tels le droit
à l'oubli numérique ou la portabilité
des données, ou encore en créant des
protections ciblées pour les enfants.
Côté exploitants, le projet renforce les
obligations, en exigeant de la part des
responsables davantage de vigilance
et de suivi dans la gestion interne des
traitements - étant précisé que, en
contrepartie, le projet limite les formalités préalables. Les sous-traitants
se voient attribuer des obligations
précises. Les violations de données
devront être notifiées, et les sanctions
financières pourraient être fortement
alourdies.
UNE COMPLEXITÉ
CROISSANTE
Dès l'origine, une définition large, non limitée à la
donnée en tant que telle
Les législateurs, en France et en
Europe, ont donné une définition
volontairement large de la notion de
donnée personnelle.
En droit européen, l'article 2, a) de la
directive définit une donnée personnelle comme « toute information
concernant une personne physique
identifiée ou identifiable (personne
concernée) ; est réputée identifiable
une personne qui peut être identifiée,
directement ou indirectement, notamment par référence à un numéro
d'identification ou à un ou plusieurs
éléments spécifiques, propres à son
identité physique, physiologique,
psychique, économique, culturelle
ou sociale », le considérant 26 précisant qu'« il convient de considérer
l'ensemble des moyens susceptibles
d'être raisonnablement mis en œuvre,
soit par le responsable du traitement,
soit par une autre personne, pour
identifier ladite personne ».
En droit français, il s'agit de « toute
information relative à une personne
physique identifiée ou qui peut être
identifiée, directement ou indirectement, par référence à un numéro
d'identification ou à un ou plusieurs
éléments qui lui sont propres. Pour
déterminer si une personne est identifiable, il convient de considérer
l'ensemble des moyens en vue de
permettre son identification dont
dispose ou auxquels peut avoir accès
le responsable de traitement ou toute
autre personne » selon l'article 2 de la
loi Informatique et libertés.
Au-delà des différences, tel le critère
des « moyens raisonnablement mis
en œuvre » employé dans la directive et absent de la loi française qui
lui préfère celui de « moyens dont
dispose ou auxquels peut avoir
accès » l'exploitant, il apparaît dans
tous les cas que l'analyse ne peut pas
se contenter d'examiner la donnée
pour la qualifier : les capacités,
qu'elles soient réelles ou potentielles,
du détenteur des données doivent être
prises en compte, pour déterminer si
les données permettent de remonter
jusqu'à un individu.
Cette lecture large est rappelée par
le « groupe de l'article 29 » (G29),
organisme consultatif rassemblant
l'ensemble des autorités de protection
européennes, dans son opinion 4/2007
sur le concept de donnée personnelle
(WP136 du 20 juin 2007).
Il convient d'examiner comment les
autorités appréhendent les mécanismes permettant de réduire ou
supprimer le caractère personnel
des données : anonymisation et
pseudonymisation.
Echapper à la qualification de donnée
personnelle par la technique ?
EXPERTISES JANVIER 2016
L'anonymisation
Anonymiser les données semble être
la solution parfaite pour résoudre
toutes les difficultés : elle devrait
permettre d'exclure purement et
simplement les données du champ
d'application de la réglementation, et
faire ainsi disparaître tous les risques
et toutes les contraintes. Le considérant 26 de la directive énonce ainsi
que « les principes de la protection
ne s'appliquent pas aux données
rendues anonymes d'une manière
telle que la personne concernée n'est
plus identifiable ». Il s'agit même d'une
obligation dès lors que la durée nécessaire à la réalisation du traitement a
expiré.
C'est une réflexion qui était historiquement « réservée » à des secteurs
spécialisés tels la statistique, la
recherche, les essais cliniques. Ce
débat ne manquera pas de se développer dans une économie de la
donnée ouverte et des biens communs
informationnels, actuellement encouragée par le législateur (voir à cet
égard les débats sur le projet de loi
République numérique).
L'anonymisation doit être irréversible.
Le processus est contraignant. Dans
son opinion sur les techniques d'anonymisation (WP216 du 10 avril 2014),
le G29 indique qu'elle doit donner lieu
à un processus qui va bien au-delà
du simple effacement de noms d'individus, mais doit comprendre la
combinaison de plusieurs techniques
de randomisation, « famille de techniques qui altèrent la véracité des
données afin d'affaiblir le lien entre
les données et l'individu », et de généralisation, consistant à « généraliser,
ou diluer, les attributs des personnes
concernées en modifiant leur échelle
ou leur ordre de grandeur respectif ».
De plus, l'anonymisation n'est pas
exempte de risques de ré-identification (voir opinion du G29 précitée
sur les techniques d'anonymisation).
Le simple maintien de données individuelles dans une base pourrait
présenter un risque de ré-identification. En pratique, lorsqu'il transmet un
fichier anonymisé, un responsable de
15
Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409
Couverture
Editorial & Sommaire
MAGAZINE Lanceur d’alerte : Le cadre manquant
INTERVIEW Big data sécuritaire
DOCTRINE
Données personnelles - Identifiants, pseudonymes, anonymat
Preuve - Valeur juridique d’une copie numerisée
Cybercriminalité - Terrorisme, état d’urgence et numérique... Quelles incidences ?
E-commerce - Vers un assouplissement des règles d’affichage
JURISPRUDENCE
DIGITRE / J-B. N. ET NEO AVENUE
ETAI / YAHOO! FRANCE, SFR, MANCHE TÉLÉCOM
TÉFAL ET AUTRES / M. M. C. ET MME J. L
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - Couverture
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - Editorial & Sommaire
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - MAGAZINE Lanceur d’alerte : Le cadre manquant
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - 4
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - 5
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - 6
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - 7
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - 8
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - 9
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - INTERVIEW Big data sécuritaire
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - 11
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - 12
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - 13
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - Données personnelles - Identifiants, pseudonymes, anonymat
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - 15
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - 16
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - 17
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - 18
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - 19
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - 20
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - 21
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - 22
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - 23
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - Preuve - Valeur juridique d’une copie numerisée
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - 25
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - Cybercriminalité - Terrorisme, état d’urgence et numérique... Quelles incidences ?
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - 27
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - 28
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - E-commerce - Vers un assouplissement des règles d’affichage
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - 30
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - DIGITRE / J-B. N. ET NEO AVENUE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - ETAI / YAHOO! FRANCE, SFR, MANCHE TÉLÉCOM
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - 33
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - 34
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - 35
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - TÉFAL ET AUTRES / M. M. C. ET MME J. L
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - 37
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - 38
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - 39
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Janvier 2016 - n°409 - 40
https://www.nxtbook.fr/newpress/celog/celog-expertises-2210_483
https://www.nxtbook.fr/newpress/celog/celog-expertises-2209_482
https://www.nxtbook.fr/newpress/celog/celog-expertises-2207_481
https://www.nxtbook.fr/newpress/celog/celog-expertises-2206_480
https://www.nxtbook.fr/newpress/celog/celog-expertises-2205_479
https://www.nxtbook.fr/newpress/celog/celog-expertises-2204_478
https://www.nxtbook.fr/newpress/celog/celog-expertises-2203_477
https://www.nxtbook.fr/newpress/celog/celog-expertises-2202_476
https://www.nxtbook.fr/newpress/celog/celog-expertises-2201_475
https://www.nxtbook.fr/newpress/celog/celog-expertises-2112_474
https://www.nxtbook.fr/newpress/celog/celog-expertises-2111_473
https://www.nxtbook.fr/newpress/celog/celog-expertises-2110_472
https://www.nxtbook.fr/newpress/celog/celog-expertises-2109_471
https://www.nxtbook.fr/newpress/celog/celog-expertises-2107_470
https://www.nxtbook.fr/newpress/celog/celog-expertises-2106_469
https://www.nxtbook.fr/newpress/celog/celog-expertises-2105_468
https://www.nxtbook.fr/newpress/celog/celog-expertises-2104_467
https://www.nxtbook.fr/newpress/celog/celog-expertises-2103_466
https://www.nxtbook.fr/newpress/celog/celog-expertises-2102_465
https://www.nxtbook.fr/newpress/celog/celog-expertises-2101_464
https://www.nxtbook.fr/newpress/celog/celog-expertises-2012_463
https://www.nxtbook.fr/newpress/celog/celog-expertises-2011_462
https://www.nxtbook.fr/newpress/celog/celog-expertises-2010_461
https://www.nxtbook.fr/newpress/celog/celog-expertises-2009_460
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com