Dans un contexte où la société française prend de plus en plus conscience de son empreinte numérique, l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (ARCEP) et l'Agence de la transition écologique (ADEME) viennent de franchir un pas décisif. Ces deux institutions ont annoncé ce jeudi 12 décembre la création d'un observatoire des impacts environnementaux du numérique, une initiative qui promet de révolutionner notre compréhension des enjeux écologiques liés aux technologies de l'information. Cette plateforme, fruit d'une collaboration initiée en 2020 à la demande des ministères de la Transition écologique et de l'Économie, vise à devenir une référence incontournable en matière de données fiables sur l'empreinte environnementale du numérique. "L'observatoire a vocation à constituer une plateforme de référence en matière de données fiables et sourcées sur les impacts environnementaux du numériqu...
Par Fabien Honorat, avocat associé, Péchenard & associés
Suite à l’accord intervenu entre le Parlement européen et le Conseil de l’Union européenne en décembre dernier, le règlement sur la protection des données (à qui il reste à passer la validation du Parlement Européen) devrait s'appliquer au 1er janvier 2018 dans tous les pays de l'Union Européenne et pour la France venir se substituer à l’ancestrale loi Informatique et Libertés du 7 janvier 1978.
On y retrouve les classiques obligations de transparence, de loyauté et de proportionnalité dans le traitement des données personnelles mais aussi de vraies nouveautés. Détails...
1° Le principe de l’Opt-in
Le principe pour la légalité d'un traitement de données personnelles est l'accord préalable des personnes concernées (opt-in). L'accord tacite reste possible mais devient l'exception (en cas d'obligation légale, pour préserver les intérêts des personnes concernées …).
Le consentement doit être donné de façon claire, non ambigüe et c'est au responsable du traitement de justifier de celui-ci.
Ce consentement peut être retiré à tout moment.
Cela ne devrait pas révolutionner les pratiques dans la mesure où la « case à cocher » est devenue depuis longtemps la règle notamment dans le domaine du marketing.
2° La fin des traitements des données des mineurs
Le traitement des données personnelles des mineurs (en dessous de 16 ans pour la règle générale ou par exception 13 ans s'il existe des dispositions spécifiques dans le pays concerné) est subordonné à l'accord préalable des titulaires de l'autorité parentale. Ce sera au responsable du traitement de le vérifier.
Cette nouvelle disposition qui se calque sur le droit américain risque de modifier sensiblement les opérations à destination des mineurs qui ne faisaient pas l’objet par la pratique de précaution particulière.
3° La portabilité des données
Le règlement intronise le principe de portabilité de ses données personnelles, à savoir la possibilité de se voir transmettre sur un support numérique ou transférer sur un serveur l’ensemble de ses données.
Il s’agit d’un renforcement du principe de droit d’accès à ses données personnelles qui figurait dans la loi Informatique et Libertés.
4° Des informations à communiquer au public
Le responsable du traitement devra communiquer aux personnes concernées les informations suivantes au moment de la collecte des données :
– L'identité du responsable du traitement (et son adresse)
– L'objet du traitement
– Les destinataires des données
– La durée de conservation des données
– Le droit d'accès, de rectifier ou de supprimer les données
– Le droit à la portabilité des données
– Le droit de saisir la CNIL
– L'obligation de fournir ses données pour remplir une obligation contractuelle
Si les données n'ont pas été reçues de la personne concernée mais d'un tiers (on peut penser aux opérations de parrainage en matière de marketing), il conviendrait de fournir en plus l'information sur la source ayant fourni les données (notion de traçabilité des données).
6° La consécration du droit à l’oubli
Le règlement encadre le principe de droit de retrait qui existait dans la Loi Informatique et Libertés pour consacrer un véritable droit à l’oubli numérique mais sous conditions.
Le responsable du traitement se trouve contraint d’effacer dans un bref délai les données personnelles de toute personne en faisant la demande. Cette demande doit toutefois être justifiée et il est possible pour le responsable du traitement de s’y opposer en arguant notamment du principe du droit à l’information, de liberté d’expression ou dès lors que ce traitement de données procède d’un intérêt scientifique, historique ou vise à protéger le public d’une manière ou d’une autre.
Sur ce point du droit à l'oubli, le règlement européen vient valider les différentes décisions judiciaires qui sont intervenues depuis le fameux arrêt de la Cour Européenne du 13 mai 2014 qui avait imposé à Google la mise en œuvre du droit au déréférencement.