Qu’est ce que la loi pour une république numérique va changer pour nos données personnelles ?

Le 8 octobre 2016 : la loi pour une république numérique est promulguée et publiée au Journal Officiel.

Ce projet porté par Madame Axelle Lemaire, Secrétaire d’état chargée du numérique, vise à favoriser l’ouverture et la circulation des données et du savoir, à garantir un environnement numérique ouvert et respectueux de la vie privée des internautes, de leurs données personnelles et à faciliter l’accès des citoyens au numérique.

Axelle Lemaire, Secrétaire d’état chargée du Numérique

La loi pour une république numérique crée de nouveaux droits informatique et libertés et permet ainsi aux individus de mieux maîtriser leurs données personnelles. Elle renforce les pouvoirs de sanctions de la CNIL et lui confie de nouvelles missions. Elle contribue également à une meilleure ouverture des données publiques.

Certaines dispositions anticipent le règlement européen sur la protection des données personnelles applicable en mai 2018.

• Droit à l’oubli pour les mineurs

Chaque mineur pourra demander sans justification, l’effacement de tous les contenus qu’il aura publiés, avant ses 18 ans.

Les sites sollicités devront procéder aux suppressions sous 1 mois. Sans réponse du ou des sites, la CNIL pourra être saisie.

• La succession numérique

Un point très sensible sur lequel le législateur s’est prononcé.

En l’absence de directive de la part du défunt, les héritiers pourront « accéder aux traitements de données à caractère personnel qui le concernent », uniquement « afin d’identifier et d’obtenir communication des informations utiles à la liquidation et au partage de la succession ». Cela concerne donc les boîtes mails, les photos, les vidéos….

Cependant, les sites devront mentionner le sort de ces données et nous inviter à choisir de les communiquer ou non (et à qui), après notre décès…

Cette sorte de « testament numérique » pourra d’ailleurs être enregistré auprès d’un tiers de confiance numérique – certifié par la CNIL – en vue de son inscription dans un registre unique national. Un décret est toutefois attendu pour préciser ce dispositif.

• Le secret des correspondances

Les fournisseurs de services de communication et les opérateurs seront tenus de respecter le secret des correspondances : contenu, objet, destinataires…

L’analyse automatisée des mails « à des fins publicitaires, statistiques ou d’amélioration du service apporté à l’utilisateur » sera toutefois autorisée, à la condition que le « consentement exprès de l’utilisateur » ait été recueilli par le fournisseur de services ( Facebook Messenger, WhatsApp…) « à une périodicité fixée par voie réglementaire ». Les mails pourront donc être légalement examinés pour permettre aux fournisseurs de ces services de nous envoyer des publicités ciblés… Mais seulement avec notre accord.

• Une revalorisation des amendes de la CNIL

En cas de manquement à la loi Informatique et Libertés, la CNIL pourra exiger des responsables des traitements concernés, une mise en conformité 24h, pour les « urgences extrêmes ».

Pour les contrevenants, l’amende pourra atteindre 3 millions d’euros (contre 150 000 euros avant la loi Numérique).

À compter du 25 mai 2018, l’amende pourra atteindre 20 millions d’euros – voire 4 % du chiffre d’affaires annuel mondial d’une entreprise. Pour une société comme Google, la sanction pourrait ainsi dépasser le milliard d’euros…

https://www.cnil.fr/fr/ce-que-change-la-loi-pour-une-republique-numerique-pour-la-protection-des-donnees-personnelles

Google condamné à une amende de 100.000 euros pour refus d’appliquer le droit à l’oubli au niveau mondial

Comme le prévoit la justice européenne depuis mai 2014, tout citoyen européen peut réclamer le déréférencement d’un contenu mettant à mal sa vie privée. La CNIL réclame son extension au monde entier, afin d’assurer le respect total de ce droit, sans possibilité de contournement.

https://www.cnil.fr/fr/le-droit-au-dereferencement

Google a mis en place en 2014 un formulaire permettant à tous les internautes de formuler leur demande de déréférencement sur les noms de domaine des pays européens, mais pas sur Google.com.

formulaire d’aide Google pour le déréférencement

Formulaires de déréférencement pour les moteurs de recherche

Après une mise en demeure de la Cnil à ce sujet, Google a mis en place un système permettant de détecter la position géographique des internautes grâce à leur adresse IP. Désormais, une personne située dans le pays d’un demandeur de droit à l’oubli ne pourra pas accéder à un contenu déréférencé, que ce soit Google.fr ou Google.com.

Cette solution n’a pas été jugée satisfaisante par la Cnil. En mars, elle a sanctionné Google d’une amende de 100.000 euros.

Mais au vu du bilan 2015 des demandes de déréférencement auprès de Google (seulement 1 demande sur 2 aboutit) les CNIL européennes vont avoir du pain sur la planche…

58% des demandes de déréférencement Google n’ont pas été satisfaites en 2015

Un autre géant du Web, Facebook, est déjà sous la pression de plusieurs CNIL européennes pour non-respect du droit européen en matières de données personnelles.

Meetic et Attractive World sanctionnés par la CNIL

Les 2 sites de rencontres ont respectivement été sanctionnés par une amende de 10.000 euros et 20.000 euros pour non-conformité des mentions liées aux données personnelles.

La CNIL enjoignait Meetic et Attractive World à « recueillir le consentement exprès des personnes sur la base d’une information spécifique à la collecte et au traitement de leurs données sensibles ». Elle constate que « les utilisateurs souhaitant s’inscrire aux sites devaient – en une seule fois – accepter les conditions générales d’utilisation, attester de leur majorité et consentir au traitement des données sensibles ».

La CNIL adresse aux 2 sites une mise en demeure et les appelle à réviser, dans un délai de 3 mois, leur politique de conservation et de traitement des données sensibles.

Depuis, Meetic et Attractive World ont mis en place une case dédiée pour obtenir le consentement exprès des utilisateurs, mais cette modification est intervenue au-delà du délai imparti par la mise en demeure.

Les Français et leurs données personnelles : 72% jugent les marques intrusives

La baromètre 2016 de l’intrusion, réalisé par Publicis ETO et Toluna, révèle que près de 72% des internautes sont « dérangés par le fait que des informations soient collectées et enregistrées dans des bases de données ». Ce chiffre était à 29% en 2008…

72% des Français jugent les marques intrusives

60% (contre 67% en 2015) ne sont pas d’accord avec le fait que les réseaux sociaux (Facebook, Twitter, Pinterest…) puissent exploiter leurs datas ou leurs comptes « pour mieux cibler les messages publicités ou les personnaliser »

Réseaux sociaux et exploitations des données par les marques

Partage des données personnelles oui, mais pas toutes ! et pour des avantages bien concrets.

Si les consommateurs sont relativement d’accord pour que les marques conservent leur historique d’achats, voire récoltent certaines données issues du comportement digital (produits regardés), ils ne sont majoritairement pas d’accord (près de 60%) pour que les marques exploitent des informations provenant de leur navigation notamment à l’extérieur de l’écosystème digital de la marque (sites web visités).

Ce que les Français veulent bien partager de leurs données personnelles

La géolocalisation de son côté semble l’information la plus taboue : 68,05% des répondants ne sont pas d’accord pour que les marques et enseignes récupèrent ce type d’information.

Parmi les informations que les internautes sont prêts à partager, figurent la date de naissance (66%), les loisirs (67%), l’activité professionnelle (52%), la zone de résidence (61%)… En revanche, les marques n’obtiendront pas facilement des renseignements sur leurs revenus ou leur conjoint !

Ce que les français veulent bien partager de leurs données personnelles

Le VRM serait-il une solution ?

Pourquoi ne pas donner les outils au consommateur pour gérer lui-même ses données ? 80% des répondants à l’étude déclarent être intéressés.

80% des Français voudraient gérer leurs données personnelles directement via des outils

Avec cette approche du VRM (Vendor Relationship Management), c’est le client qui gère sa relation avec les marques. Il fait le tri entre les marques, déclare ses centres d’intérêts…

Les consommateurs mûrissent et sont de plus en plus conscients de la valeur de leurs données et de l’intérêt des marques pour ces informations. Il ne faut plus hésiter à leur fournir les moyens de mieux gérer leur relation à la marque. Les deux parties ont tout à y gagner.

La CNIL en quelques repères

1974 : le gouvernement met en place le projet SAFARI Système automatisé pour les fichiers administratifs et le répertoire des individus), visant à interconnecter les fichiers nominatifs de l’administration française

1978 : craignant un fichage général de la population et pour que l’informatique se développe dans le respect de la vie privée, une commission est créée afin de proposer des mesures visant à garantir le respect de la vie privée, des libertés individuelles et publiques.

La loi relative à l’informatique, aux fichiers et aux libertés du 6 janvier 1978 institue une autorité indépendante : la Commission nationale de l’informatique et des libertés, et constitue le fondement de la protection des données à caractère personnel dans les traitements informatiques mis en œuvre sur le territoire français.

1995 : la protection des données et la libre circulation de celles-ci a institué un groupe de travail, le G29, qui rassemble toutes les CNIL européennes. Ce groupe a pour mission de contribuer à l’élaboration des normes européennes et de conseiller la Commission européenne sur tout projet ayant une incidence la protection des données et des libertés des personnes.

2016 : La CNIL mène une consultation publique sur le règlement européen sur la protection des données et permettre à l’Europe de s’adapter aux nouvelles réalités du numérique en imposant des règles unifiées en matière de protection des données pour l’ensemble des pays européens. La date d’entrée en vigueur du règlement européen relatif aux données personnelles est le 25 mai 2018.

2017 : La loi Numérique enclenche le rapprochement entre CADA (commission d’accès aux documents administratifs) et CNIL. Les 2 autorités vont se rapprocher physiquement et siéger dans les même locaux fin 2017. Pas de fusion mais les 2 institutions sont amenées à se prononcer sur des problématiques communes.

La CNIL est présidée par Isabelle FALQUE-PIERROTIN, elle préside également le G29.

Le collège de la CNIL est composé de 17 membres, son président est élu. En 2015, la CNIL comptait 192 agents et avait un budget de 17 millions d’euros.

La CNIL sera présente au 9eme forum International de la Cybersécurité FIC les 24 et 25 janvier à Lille, Grand Palais.

https://www.forum-fic.com/

Sources : Lucie Ronfaut lefigaro.fr, Jacques Cheminat www.silicon.fr, Xavier Berne NextInpact, CBnews, Influencia, Publicis ETO, sondage Toluna