Expertises
Droit, technologies & prospectives

interview / Ariane MOLE

RGPD : une révolution dans la continuité

Droit, technologies & prospectives

Tous les mois, toute l'actualité du numérique... Et tellement plus !

Nos derniers numéros

EXPERTISES N°453 - janvier 2020 - RGPD : une révolution dans la continuité / Ariane MOLE
N°453 – janvier 2020
EXPERTISES N°452 - décembre 2019 - le droit de<br>la compliance<br>pour réguler l’internet / Marie-Anne Frison-Roche” title=”EXPERTISES N°452 – décembre 2019 – le droit de<br>la compliance<br>pour réguler l’internet / Marie-Anne Frison-Roche” description=”EXPERTISES N°452 – décembre 2019-  le droit de<br>la compliance<br>pour réguler l’internet / Marie-Anne Frison-Roche”></div>
<div class=N°452 – décembre 2019
EXPERTISES N°451 - novembre 2019 - Data brokers :</br>le trou noir</br>des données personnelles / Antoine Dubus” title=”EXPERTISES N°451 – novembre 2019 – Data brokers :</br>le trou noir</br>des données personnelles / Antoine Dubus” description=”EXPERTISES N°451 – novembre 2019-  Data brokers :</br>le trou noir</br>des données personnelles / Antoine Dubus”></div>
<div class=N°451 – novembre 2019
EXPERTISES N°450 - octobre 2019 - Numérique :<br>le défi fiscal / Frédéric Douet” title=”EXPERTISES N°450 – octobre 2019 – Numérique :<br>le défi fiscal / Frédéric Douet” description=”EXPERTISES N°450 – octobre 2019-  Numérique :<br>le défi fiscal / Frédéric Douet”></div>
<div class=N°450 – octobre 2019
EXPERTISES N°449 - septembre 2019 - L'impérialisme<br>juridique / Olivier de Maison Rouge” title=”EXPERTISES N°449 – septembre 2019 – L’impérialisme<br>juridique / Olivier de Maison Rouge” description=”EXPERTISES N°449 – septembre 2019-  L’impérialisme<br>juridique / Olivier de Maison Rouge”></div>
<div class=N°449 – septembre 2019
EXPERTISES N°448 - juillet 2019 - DPO : un métier<br>qui s’installe / Paul Olivier Gibert” title=”EXPERTISES N°448 – juillet 2019 – DPO : un métier<br>qui s’installe / Paul Olivier Gibert” description=”EXPERTISES N°448 – juillet 2019-  DPO : un métier<br>qui s’installe / Paul Olivier Gibert”></div>
<div class=N°448 – juillet 2019
EXPERTISES N°447 - juin 2019 - Le RGPD : du droit sans vision stratégique / Julien Nocetti
N°447 – juin 2019
EXPERTISES N°446 - mai 2019 - IGN : la gratuitE des données en question / Marie Pisan
N°446 – mai 2019
EXPERTISES N°445 - avril 2019 - Nom de domaine un actif et des risques / Nathalie Dreyfus
N°445 – avril 2019
EXPERTISES N°444 - mars 2019 - Les logiciels libres, un modèle mature / Benjamin Jean
N°444 – mars 2019
EXPERTISES N°443 - février 2019 - Résister à la gouvernance algorithmique / François Pellegrini
N°443 – février 2019
EXPERTISES N°442 - janvier 2019 - Anticiper sa survie numérique au-delà de sa mort / Mathieu Fontaine
N°442 – janvier 2019
EXPERTISES N°441 - décembre 2018 - Intelligence artificielle et médecine quelle éthique pour demain ? / David Gruson
N°441 – décembre 2018
EXPERTISES N°440 - novembre 2018 - Blockchain AS A SERVICE Démocratisation de la blockchain ? / Marc-Antoine Ledieu
N°440 – novembre 2018
EXPERTISES N°439 - octobre 2018 - Nathalie Nevejans / Nathalie Nevejans
N°439 – octobre 2018
EXPERTISES N°438 - septembre 2018 - Pour la médiation judiciaire en  propriété  intellectuelle / Françoise Barutel Naulleau
N°438 – septembre 2018
EXPERTISES N°437 - juillet 2018 - Science-fiction : quand l’imaginaire devient source de droit / Fabrice Defferrard
N°437 – juillet 2018
EXPERTISES N°436 - juin 2018 - CONTRATS, Accès indirects & coûts cachés : SAP BRISE LA GLACE AVEC Ses utilisateurs / Gianmaria Perancin
N°436 – juin 2018
EXPERTISES N°435 - mai 2018 - L’innovation prédatrice Un nouveau défi pour le droit de la concurrence / Thibault Schrepel
N°435 – mai 2018
EXPERTISES N°434 - avril 2018 - LES données LA NOUVELLE INGENIéRIE  DU POUVOIR / Adrien Basdevant
N°434 – avril 2018
EXPERTISES N°433 - mars 2018 - L’open data de la jurisprudence : Le casse-tête de l’anonymisation / Loïc Cadiet
N°433 – mars 2018
EXPERTISES N°432 - février 2018 - RGPD : vers un futur standard global / Max Schrems
N°432 – février 2018
EXPERTISES N°431 - janvier 2018 - L’angoisse du RGPD la Cnil rassure / Jean Lessi
N°431 – janvier 2018
EXPERTISES des systèmes d’informationjanvier 2020 – N°453

L'édito du mois

CJUE = AirBnb ≠ Uber

C’est une très bonne nouvelle pour AirBnb qui doit entrer en bourse en début d’année, mais pas les métropoles européennes. Par un arrêt du 19 décembre 2019, la Cour de justice de l’Union européenne a considéré que la plateforme de location immobilière constitue un service de la société de l’information, tel que défini par la directive sur le commerce électronique. La Cour a pris en considération le fait qu’AirBnb n’impose pas de contraintes aux loueurs de biens qui restent libres des conditions de location comme le prix. Cette qualification avait, en revanche, été refusée à Uber, dont l’élément principal de la prestation est un service de transport, obligeant les chauffeurs à obtenir une licence. En conséquence, AirBnb n’est pas considérée comme Hstreignant la libre circulation d’un tel service, qu’il fournit à partir d’un autre État membre, lorsque ces mesures n’ont pas été notifiées conformément à la directive relative à certains aspects juridiques des services de la société de l’information. La loi Hoguet, bien antérieure à la directive de 2000, n’avait pas été notifiée. Or, elle aurait pu l’être, ce qui lui aurait permis de restreindre la libre circulation de ce service sur son territoire, pour des motifs de garantie de « l’ordre public, de la protection de la santé publique, la sécurité publique ou la protection des consommateurs ».

Cet arrêt, issu d’une plainte du syndicat des agents immobiliers Ahtop, devrait avoir un impact déterminant sur les autres affaires visant AirBnb, notamment le contentieux qui oppose la plateforme à la Ville de Paris. La capitale, confrontée comme beaucoup de grandes villes à un phénomène massif de locations saisonnières, est engagée dans un bras de fer avec la plateforme. Ainsi impose-t-elle une autorisation municipale en cas de changement d’affectation du bien en location saisonnière. Deux propriétaires, qui n’avaient pas respecté cette obligation et avaient été condamnés à 40 000 € d’amende, ont saisi la Cour de cassation qui s’est elle-même tournée vers la CJUE. Dans l’attente de son arrêt qui devrait intervenir dans le courant 2020, la mairie de Paris a suspendu la perception de ses amendes de 2019 : en 2018, les propriétaires avaient dû payer 2,1 millions d’euros d’amende.

L’arrêt du 19 décembre 2019 impose de sérieuses entraves aux politiques des villes pour réguler et contrôler les effets indésirables de la plateforme touristique sur l’offre globale de logements. C’est pourquoi, elles s’orientent davantage vers une résolution politique du problème. Dans une déclaration commune, les élus de Paris, Bordeaux, Amsterdam, Vienne, Bruxelles, Berlin, Munich et Barcelone ont appelé la Commission européenne à se saisir du sujet, considérant “qu’il est urgent qu’elle prenne rapidement des mesures, et propose une nouvelle directive sur le commerce électronique visant à garantir une évolution plus équilibrée des locations de meublés touristiques”. Elles ont rendez-vous le 4 février 2020 à Bruxelles pour plaider en faveur d’une évolution de la législation.

Le focus du mois

Données personnelles

Le Parlement européen sanctionné par le CEDP

La Contrôleur européen à la protection des données a infligé deux blâmes à l’Europarlement qui n’a pas respecté le RGPD quand il a utilisé NationBuilder pour les élections européennes.

Le Parlement européen, qui a adopté la législation la plus protectrice au monde en matière de données personnelles, a été épinglé par le Contrôleur européen de la protection des données. Il lui a infligé deux blâmes pour ne pas avoir respecté le RGPD dans le cadre de son recours aux prestations de BuilderNation pour les élections européennes de 2018. Il s’agit de la première sanction jamais donnée par le CEDP à une institution de l’UE. Le Contrôleur lui reproche la violation de l’article 29 du RGPD quant à la sélection et à l’absence d’agrément des sous-traitants de NationBuilder et l’omission de la publication de la politique relative à la protection de la vie privée de son site Thistimeimvoting.eu, destiné à inciter les Européens à voter. Le CEPD devait poursuivre son enquête jusqu’à la fin de l’année et rendre publiques ses conclusions.

Le Parlement européen est loin d’être le seul à recourir à la plateforme américaine NationBuilder. Elle a été choisie par Donald Trump mais aussi par Jean-Luc Mélenchon, Emmanuel Macron, François Fillon, Alain Juppé, Bruno Le Maire, Anne Hidalgo, François Hollande, Jacques Cheminade, etc. Au Royaume-Uni, la plateforme est utilisée aussi bien par les travaillistes que les conservateurs, par les indépendantistes écossais ou gallois ou Acinda Ardern, la Première ministre Néo-Zélandaise.

NationBuilder permet de créer une communauté pour gérer une campagne électorale comme on mène une campagne marketing avec des prospects, des clients, des leads, du branding, du storytelling. La plateforme est un Content Management System (CMS), un système de gestion de contenus, qui se présente sous la forme d’une suite logicielle, une sorte de couteau suisse avec quatre grandes fonctions : gestion de site web de campagne, construction d’une communauté grâce à une base de données regroupant adhérents, sympathisants et prospects, collecte de dons en ligne et gestion des relations avec les internautes, grâce à l’envoi systématique de SMS ou de courriels.

Cet outil de l’empowerment militant, qui est diffusé en mode SaaS, se nourrit de la collecte massive de données personnelles des membres de l’organisation mais aussi de données de sources extérieures publiques (Insee, résultats électoraux, etc.), de fichiers loués, mais aussi de la captation des informations provenant des réseaux sociaux, y compris les likes, les retweets, les adresses emails des signataires de pétitions en ligne. Ces informations sont croisées afin de profiler et de cibler les électeurs potentiels pour envoyer le meilleur message. Sauf que l’Europe n’est pas les Etats-Unis, et ce qui est possible et accepté outre-Atlantique n’est pas toujours permis de l’autre côté de l’océan.

Le 8 novembre 2016, la Cnil est intervenue dans le cadre de la campagne présidentielle de 2017, pour rappeler les règles en matière d’utilisation des données issues des réseaux sociaux, obligeant de facto NationBuilder à supprimer, en France, la fonctionnalité qui permet d’agréger en base les informations personnelles publiques extraites des réseaux sociaux. Le Royaume-Uni y a par la suite renoncé, comme le Parlement européen.

La Cnil a en effet rappelé que le caractère public des informations sur les réseaux sociaux ne leur fait pas perdre le statut de données personnelles. Par conséquent, elles doivent être collectées de façon loyale et licite. Par ailleurs, la Cnil opère une distinction entre contacts réguliers et contacts occasionnels. La personne qui fait une démarche positive auprès d’un parti politique doit être informée du traitement de ses données et de la possibilité de s’y opposer.

Quant aux contacts occasionnels (par exemple, la personne ayant liké, partagé, commenté ou retweeté du contenu), le parti doit recueillir son consentement pour lui envoyer des messages de communication publique. « Ces logiciels posent ainsi la question des limites à apporter à la combinaison de données, à l’exploitation de données relatives au comportement, aux goûts et aux interactions sociales en ligne des personnes, ainsi qu’aux conséquences de ces opérations sur les personnes concernées ».

L’autre point sensible du recours à NationBuilder réside dans le fait que les données personnelles sont stockées aux Etats-Unis, donc à l’extérieur de l’Union européenne. Ce transfert de données est cependant conforme au RGPD dans la mesure où NationBuilder a adhéré aux principes du Privacy Shield. La plateforme indique même avoir désigné un délégué à la protection des données. Cette certification est censée nous rassurer alors que les garanties et les recours sont bien en deça des standards européens. D’ailleurs, la Cour de justice de l’UE doit se prononcer sur l’accord du Privacy Shield, suite à une action de Max Schrems qui avait été à l’origine de l’invalidation du Safe Harbor. C’est aussi toute la question de la souveraineté numérique qui est justement pointée par son concurrent français DigitaleBox qui héberge les données des personnes sur le territoire national. D’autant plus quand les données traitées révèlent les opinions politiques des personnes.

par Sylvie Rozenfeld

L'invité du mois

Interview / Ariane Mole

par Sylvie Rozenfeld

RGPD : une révolution dans la continuité

La protection des données à caractère personnel existe depuis plus de 40 ans. Mais il a fallu l’évolution des usages et surtout le RGPD pour que les personnes sachent que ce droit existe et que les organisations commencent à sérieusement l’appliquer. Pour beaucoup, la mise en conformité n’est pas simplement un pas supplémentaire à accomplir pour se mettre au niveau des exigences du RGPD mais un véritable chantier à entreprendre à sa base. Ariane Mole, avocate pionnière de la pratique de la loi Informatique et libertés, nous expose les forces et les difficultés de mise en œuvre du RGPD que ce soit en France ou dans un contexte international, à l’aune de sa longue expérience de la matière.

Sylvie Rozenfeld : Vous avez travaillé sept ans à la Cnil auprès de la direction juridique et vous avez été la première à créer une activité d’avocat entièrement dédiée à la protection des données personnelles. Cela fait une quinzaine d’années que vous avez rejoint le cabinet Bird & Bird pour co-diriger l’activité mondiale en matière de données personnelles.
Vous avez donc été témoin d’une énorme transformation. A la fin du XXème siècle, la protection des données personnelles était un sujet d’initiés, pas toujours très pris au sérieux, vu la faiblesse du risque de sanctions. Aujourd’hui, les traitements sont omniprésents et le risque potentiel est énorme. Que vous inspire cette évolution ?

Ariane Mole : Le RGPD a opéré un vrai changement dans les organismes : avant rares étaient ceux qui avaient une organisation en matière de protection des données personnelles et qui recensaient leurs traitements. Je pense qu’il y a une évolution incroyable par rapport à la situation d’il y a deux ou trois ans, soit avant l’entrée en application du RGPD. Ce ne sont plus les mêmes enjeux, les mêmes problèmes. De façon générale, on constate une grande différence entre les PME et les grands groupes internationaux, et parmi ces derniers, une grande différence entre ce qui est mis en place au niveau du groupe et au niveau des filiales, mais aussi parfois de grandes différences entre les filiales elles-mêmes.
Avant, on me demandait rarement un audit Informatique et libertés et c’était moi qui devait attirer l’attention des entreprises sur sa nécessité. Aujourd’hui, les entreprises viennent vers nous avec de nouvelles demandes, pas seulement liées à la mise mise en place d’un registre des traitements, mais aussi pour des procédures, des process, des conseils sur la manière de mettre en œuvre un projet au regard des différentes actions de conformité, une étude d’impact, etc. Au début de ma pratique, il fallait convaincre de la nécessité de se préoccuper de la protection des données personnelles. C’est beaucoup moins vrai aujourd’hui.

Après un an et demi d’application du RGPD, qu’est-ce qui vous a le plus surprise ? Qu’est-ce qui a semblé complexe à intégrer ?
D’abord, le RGPD est une révolution, avec l’introduction du principe d’accountability, l’importance des sanctions, etc. Si ce texte reprend beaucoup d’éléments qui existaient déjà, il comporte aussi beaucoup de nouveautés. Mais il faut admettre que beaucoup d’organisations, une majorité d’entre elles, n’étaient pas du tout conformes avec les règles préexistantes. Au lieu d’avoir à accomplir le delta entre ce qui existait déjà et le RGPD, elles ont dû faire tout le chemin depuis le début pour se conformer à la législation du 6 janvier 1978, ce qui a donc ajouté à la difficulté de l’application du RGPD. Rares sont celles qui étaient conscientes de cette difficulté et de l’importance du chantier.
Un autre point surprenant a été de constater que les personnes concernées ont découvert des droits, vieux de plus de 40 ans. Quand le RGPD est devenu applicable, elles ont par exemple été nombreuses à mettre en œuvre leur droit d’accès, alors que ce droit existe en France depuis 1978. On a assisté à un déferlement de demandes, ce qui a posé des problèmes d’organisation pour les entreprises et les administrations. Cela n’est pas simple de répondre à une telle demande. Notre travail a aussi consisté, du fait du RGPD, à assister les organisations dans le contenu des réponses à apporter et dans la mise en place de procédures pour s’organiser afin de pouvoir répondre à de telles demandes.

Quelles nouveautés du RGPD vous ont semblé difficiles à intégrer ?
Les organismes, et même les autorités de contrôle parfois, ne savent pas comment mettre en œuvre certains droits, comme le droit à la portabilité des données ou à la limitation des traitements. Les contours de ces nouveaux droits ne sont pas toujours clairs alors que cela représente autant d’obligations pour les organismes. Il en va de même du droit pour la personne de donner des instructions sur le sort de ses données après sa mort, qui figure dans la loi Informatique et libertés. Ces droits sont écrits mais ils n’ont pas été explicités. Il y a également l’étude d’impact, qui est une obligation nouvelle. La Cnil a publié la liste blanche et la liste noire des traitements soumis ou non à cette obligation. Néanmoins, entre la liste blanche et la liste noire, il existe une zone grise où chaque responsable de traitement doit se faire son opinion et déterminer si le traitement est soumis à cette obligation. Le sujet de…

Les doctrines du mois

Données personnelles

La nouvelle Plateforme des données de santé : enjeux et risques

Par Amélie BEAUX

Le « Health Data Hub » qui succède au Système national des données de santé (SNDS) créé par la loi «Touraine » du 26 janvier 2016 va comprendre l’intégralité des données de santé financées par la solidarité nationale. Destinée à favoriser l’essor de la e-santé en France, cette plateforme comporte des risques malgré les garde-fous mis en place.

Information

La Directive « Lanceurs d’alerte » et les enjeux de sa transposition en France

Par Juliette FELIX

L’UE vient de se doter d’une directive « sur la protection des personnes qui signalent des violations de l’Union ». Si la liberté d’expression s’en trouve renforcée, les enjeux financiers ne sont pas étrangers à l’adoption de ce texte. Sa transposition nécessitera une remise à plat du dispositif français créé par la loi dite « Sapin 2 » en 2016.

Cybersécurité

CHINE : la nouvelle loi sur la cryptographie

Par Elise Dufour et Xiaolin Fu-Bourgne

Le 26 octobre 2019, le législateur chinois a adopté une loi sur la cryptographie lors de sa 14e réunion de la 13e session du Comité permanent de l’Assemblée nationale. Cette nouvelle loi entrera en vigueur le 1er janvier 2020.

Données personnelles

Démarchage téléphonique : la Cnil inflige une amende de 500 000 €

Par Stéphane BAÏKOFF

Par une délibération du 21 novembre 2019, la formation restreinte de la Cnil a prononcé une sanction de 500 000 euros à l’encontre de la société Futura Internationale notamment pour ne pas avoir respecté les droits des personnes sollicitées dans le cadre d’opérations commerciales.

Expertises : Droit, technologies & prospectives

Tous les mois, toute l'actualité du numérique... Et tellement plus !

FORMULES D'ABONNEMENT

EXPERTISES N°445
EXPERTISES N°431
EXPERTISES N°447
EXPERTISES N°433
EXPERTISES N°448
EXPERTISES N°448
  • + Les alertes d’actualité de legalis.net, avec des présentations
    de décisions de justice en exclusivité
  • + Le carnet MOLESKINE série limitée « EXPERTISES », au format 13*21cm, disponible exclusivement  pour nos abonnés