DES MODIFICATIONS DE LA LOI INFORMATIQUE ET LIBERTES : LE PAQUET TELECOM
Le législateur, dans la réalisation de sa mission, doit continuellement prendre en compte les évolutions techniques, mais aussi celles des mentalités pour améliorer les lois. Internet et les télécommunications étant en changement constant il reviendra au législateur de s’en inspirer. En effet, le cadre juridique qui entoure internet et les télécommunications est un vaste chantier qui doit être en perpétuel changement. C’est pourquoi il faut toujours l’aménager. Dès lors, des modifications de la loi informatique et libertés ont vu le jour.
En effet, la loi informatique et libertés a connu de nombreuses modifications, dont celles issues de l’ordonnance du 24 août 2011 qui transpose le Paquet Télécom issu lui-même de la directive européenne de 2009. Quels sont les changements opérés par cette ordonnance sur la loi informatique et libertés ?
Notons que les modifications de la loi informatique et libertés apportées par le législateur touchent à plusieurs domaines des télécommunications. Ces modifications de la loi informatique et libertés appelées paquet télécom touchent aux télécommunications, c’est pourquoi une particulière attention est portée à internet.
Besoin de l'aide d'un avocat pour un problème de vie privée ?
Téléphonez nous au : 01 43 37 75 63
ou contactez nous en cliquant sur le lien
Toutefois, notre étude sur les modifications de la loi informatique et libertés portera essentiellement sur la nouvelle réglementation autour des cookies (I) ainsi que la nouvelle obligation de notification de la violation des données des utilisateurs (II). L’étude des modifications de la loi informatique et libertés est importante, car ces nouveautés impacteront le quotidien des utilisateurs.
L’ordonnance du 24 août 2011 transpose le Paquet Télécom, issu de la directive européenne 2009/136 du 25 novembre 2009 et modifie la loi Informatique et libertés n°78- 17 du 6 janvier 1978.
Le paquet télécom, lui, est un ensemble de propositions faites par la Commission européenne en 2008 et 2009 pour réformer la manière dont sont régulés les réseaux de télécommunication et de services électroniques. L'objectif est sensiblement le même, à savoir notamment la protection des données des consommateurs, mais aussi la réglementation de la compétence des acteurs nationaux en la matière, ou encore la réduction de la fracture numérique.
Pour rappel, la loi informatique et libertés de 1978 a pour but de règlementer le traitement des données personnelles des utilisateurs d'outils informatiques. Comme le prévient l'article 1er du texte initial : " toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant, dans les conditions fixées par la présente loi ".
Parmi les mesures notables d’une part, est visée la gestion des cookies. Ces microfichiers mouchards, téléchargés par les sites sur lesquels un internaute navigue, et ayant pour but d’identifier le terminal utilisé pour pouvoir proposer à son utilisateur un contenu ciblé, doivent désormais être acceptés par lui au préalable.
D’autre part, s’agissant des failles de sécurité qui entrainent la violation des données personnelles, les opérateurs des services de communications électroniques ouverts au public sont tenus de les inventorier et de les notifier à la Cnil.
Par ailleurs il faut savoir, sans y consacrer plus de développements, que l'ordonnance du 24 août modifie également certaines dispositions du Code de la consommation et du Code des postes et des communications électroniques.
Ainsi, les opérateurs de communications électroniques sont tenus de réduire les délais de mise en œuvre de la portabilité des numéros, de même que sont mises en place des garanties sur l'indépendance de l'Autorité de régulation des communications électroniques et des postes (ARCEP).
Il convient donc de se pencher sur les nouvelles dispositions en matière de gestion des cookies (I) ainsi que sur l'identification et la portée des failles de sécurité pour les utilisateurs (II).
Il est important de préciser que le paquet télécom a pour vocation, comme l'indiquait dans un communiqué de 2012 le Ministère de la culture et de la communication et sans parler des dispositions relatives au secteur audiovisuel, " de règlementer les réseaux et non les contenus ". C'est suivant cette ligne directrice que les mesures précitées apparaissent de fait comme des exemples concrets relatifs aux objectifs du paquet télécom.
I – La gestion des cookies : l’obligation d’obtenir le consentement préalable de l’utilisateur
A/ Le principe d’une exigence d’autorisation préalable à l’installation des cookies
Parmi les mesures préconisées par l’ordonnance du 24 août 2011, il convient dans un premier temps de préciser celle relative aux cookies, modifiant l’article 32 II de la loi Informatique et libertés.
Les cookies sont des petits fichiers « .txt » installés sur le disque dur du terminal de connexion, en général dans le dossier « Temporary Internet Files », à la demande du site consulté par un navigateur. Ils permettent au dit site de déterminer si ce même navigateur s’est déjà connecté auparavant. Leur durée de conservation est définie par l’exploitant du site et peut se limiter à la session de navigation sur le site en question ou lui être supérieure.
Le but premier des cookies est de faciliter la navigation des utilisateurs en évitant, notamment, la ressaisie d’informations telles que des produits placés dans un panier virtuel, des identifiants de connexion, ou des préférences de navigations.
Une seconde fonction peut être attribuée aux cookies en matière de sécurisation de la navigation. Par exemple, le filtrage parental se maintient lors des connexions, grâce aux préférences gardées en mémoire par l’intermédiaire des cookies.
Il est intéressant de noter que les travaux du Contrôleur européen de la protection des données révèlent que les cookies se retrouvent souvent assimilés aux logiciels espions tels que les chevaux de Troie ou encore les « web-bugs ». La défiance associée aux cookies résulte sans doute de cette assimilation erronée, quand bien même la directive européenne « Paquet Télécom » qualifie expressément le recours aux cookies de technologie « légitimes » par opposition aux logiciels espions et virus informatiques.
Les règles d’installation et de stockage des cookies sont modifiables via la configuration du navigateur internet. Si la plupart des navigateurs sont, au départ, configurés pour accepter les cookies, il est possible de les reconfigurer pour qu’ils les refusent tous, pour qu’ils n’acceptent que certains cookies, ou encore pour qu’ils indiquent qu’un cookie a été envoyé. En théorie, et conformément aux dispositions de la loi informatique et libertés, l’internaute a la maîtrise de l’installation des cookies sur son ordinateur.
Ainsi, même avant l'ordonnance du 24 août 2011, les utilisateurs pouvaient tout à fait s’opposer aux cookies en reconfigurant leur navigateur, mais ils ne pouvaient les refuser que postérieurement à l’installation desdits cookies, selon un système d' « opt out ».
La jurisprudence veillait à garantir le respect de cette faculté de refus, comme en témoigne un jugement récent rendu par le Tribunal de grande instance de Montpellier, le 28 octobre 2010, pour l’affaire Mme C. c/ Google France et Inc. Les juges du fond y affirment qu’il incombe aux moteurs de recherche « d’aménager la possibilité d’un retrait a posteriori des données à caractère personnel ».
D’ailleurs, l’article 32 de la loi Informatique et libertés imposait expressément une obligation d’information des personnes concernées par la collecte de données personnelles au travers des cookies, quant aux possibilités de reconfiguration notamment, selon des modalités qui ont été précisées par un décret du 25 mars 2007.
Désormais, depuis le 24 août, l'utilisation de cookies doit être préalablement soumise à l'acceptation de l'utilisateur, selon un système d'« opt in ». De même, il est imposé aux responsables du traitement de données personnelles de fournir des informations « claires et complètes », quant à la finalité des cookies et aux moyens de s'y opposer, avant de recueillir le consentement de l’utilisateur.
Cette nouvelle rédaction de l’article 32 II de la loi Informatique et libertés apparaît comme la transposition directement issue du Paquet Télécom de la directive européenne 2009/136/CE, qui modifiait elle-même la directive du 7 mars 2002 concernant le service universel et les droits des utilisateurs au regard des réseaux et des services de communications électroniques, et celle du 12 juillet 2002 relative au traitement des données à caractère personnel et à la protection de la vie privée dans le secteur des communications électroniques.
Le Paquet Télécom était, en effet, lui-même concentré sur la nécessité d’une information claire et complète de l’utilisateur : « Les États membres garantissent que le stockage d’informations, ou l’obtention de l’accès à des informations déjà stockées, dans l’équipement terminal d’un abonné ou d’un utilisateur n’est permis qu’à condition que l’abonné ou l’utilisateur ait donné son accord, après avoir reçu, dans le respect de la directive 95/46/CE, une information claire et complète, entre autres sur les finalités du traitement ».
Pour autant, les travaux préparatoires de cette directive européenne démontre qu’elle ne semblait pas avoir pour finalité d’aller jusqu’à imposer l’instauration d’un cadre strict d’ « opt in » préalable à l’installation de cookies. Le Parlement européen avait notamment supprimé la référence au consentement « préalable » lors de la deuxième lecture du projet de directive.
B/ Les limites de l’exigence d’autorisation préalable aux cookies
Il convient, tout d’abord, d’observer que les exceptions à l'obligation de recueillir un accord préalable, déjà présentes dans l'ancien article 32 de la loi Informatique et libertés, sont maintenues pour certains cookies. En effet, sont exclus du champ de l’obligation d’obtention du consentement préalable de l’utilisateur, les cookies qui ont pour « finalité exclusive de permettre ou faciliter la communication par voie électronique » d’une part, ainsi que les cookies qui sont « strictement nécessaires à la fourniture d'un service expressément demandé par l'internaute ».
Deuxièmement, les moyens techniques permettant de satisfaire à ces obligations d’autorisation préalable semblent rester à déterminer. En effet, le texte précise seulement que l'accord « peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle ».
L'opérateur doit alors modifier les conditions d'utilisation de son site pour remplir son devoir d'information, en intégrant les nouvelles dispositions imposées par l'ordonnance. Ces modifications une fois portées à l'attention de l'internaute, devront être expressément acceptées par lui.
Cette acceptation de l’utilisateur ne peut donc pas prendre une forme tacite, comme elle ne peut qu’avoir lieu avant « toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ».
Il sera intéressant de suivre l'évolution des recommandations techniques émises par la CNIL, qui ne semble pas avoir mis à jour son site internet pour le moment.
En pratique, il est d’ores et déjà possible de penser que peu de solutions permettent au responsable du traitement de recueillir ce consentement.
En effet, l’installation et l’utilisation de cookies peuvent être soumises soit à une configuration du navigateur internet, soit à un mécanisme systématique de « pops up », où chaque connexion à un site serait préalablement conditionnée à l’acceptation ou non par l’utilisateur de l’installation de cookies par l’exploitant du site.
Les conséquences pratiques du second mécanisme seraient toutefois dommageables sur la fluidité de la navigation sur internet, ce qui conduit à préférer la première solution de configuration du navigateur. En effet, avec le système de « pops up », l’internaute pourrait rapidement se retrouver avec un nombre incessant de messages de confirmation qui deviennent vite pénalisants pour la navigation.
De plus, un tel système serait en totale contradiction avec les lignes directrices de la directive européenne 2009/136/CE qui recommandent des méthodes d’information et d’exercice du droit de refus « les plus conviviales possibles ». D’ailleurs, l’apparition systématique de « pops up » aurait pour effet de pousser les utilisateurs à approuver, sans aucune réflexion, n’importe quel « pop up ». En outre, les hackers et autres pirates informatiques seraient susceptibles de profiter de cette pratique de « click » automatique pour élaborer de nouvelles techniques d’infiltration des ordinateurs, compromettant ainsi à la fois la sécurité et la vie privée des utilisateurs d’internet.
Enfin, il ne peut être exclu que l’obtention systématique du consentement de l’utilisateur à l’installation de cookies soit qualifié de spam, bien que la Commission européenne semble écarter cette possibilité.
Pour éviter de telles pratiques, le Paquet Télécom avait toutefois déjà apporté quelques lignes directrices déterminant la forme attendue de l’expression du consentement de l’utilisateur pour les cookies. Son considérant n° 66 indique que « l’accord de l’utilisateur en ce qui concerne le traitement peut être exprimé par l’utilisation des paramètres appropriés d’un navigateur ou d’une autre application ».
Cet énoncé va ainsi dans le sens d’une approche responsabilisant les internautes quant à leurs propres préférences de la gestion du cadre de leur privée ; et préconise donc une adaptation de l’obligation d’obtention du consentement des utilisateurs pour les cookies via un paramétrage du navigateur.
II – Les failles de sécurité : l’obligation de notification de la violation des données de l’utilisateur
A/ Le principe d’une obligation de notification des violations de la sécurité des données
L'ordonnance du 24 août 2011 ajoute, dans un second temps, un article 34 bis dans la Loi Informatique et libertés, instituant une obligation de notification à la CNIL des cas de violation de la sécurité des données personnelles (« Data Security Breach »).
La violation de données personnelles est constituée par toute situation de faille de sécurité du système d'information entraînant, de façon accidentelle ou illicite, l’altération, la destruction, la perte, la divulgation, ou encore l'accès non autorisé à des données personnelles par un tiers.
Si la France n’a connu jusqu’à présent que peu de scandales liés à la perte ou à la diffusion illégale de données personnelles, contrairement à certains de ses voisins européens à l’image de l’Allemagne, ou de la Grande-Bretagne, il n’en demeure pas moins que pour la CNIL le niveau de protection des données personnelles en France est resté insuffisant.
L’obligation d’informer la CNIL en cas de violation de la sécurité des données personnelles consiste à renforcer l’obligation de sécurité et de confidentialité des données à caractère personnel.
Jusqu’à maintenant, le responsable du traitement était tenu de prendre « toutes précautions utiles » pour garantir la sécurité et la confidentialité des données.
Avec l’ordonnance du 24 août 2011, cette mention est remplacée par celle plus précise de « mesures adéquates », qui implique d’adapter les mesures de sécurité selon le type de données.
De plus, s’inspirant des dispositions du Paquet Télécom qu’elle transpose, l’ordonnance introduit la notion de « violation des données » dans la loi Informatique et libertés.
Ainsi, en cas d’atteinte aux données à caractère personnel, autrement dit, lorsque la sécurité des données est violée, le responsable du traitement a dorénavant l’obligation d’avertir « sans délai » la CNIL.
Dans l’hypothèse où cette atteinte est susceptible d’affecter les données d’une ou de plusieurs personnes physiques, la CNIL pourrait également exiger du responsable du traitement qu’il en avertisse ces personnes.
Cette seconde mesure notable de l’ordonnance oblige à nouveau les responsables du traitement des données personnelles. En effet, elle concerne une obligation de notification des données traitées dans le cadre de leur « fourniture de services de communications électroniques ouverts au public», tout en incluant également les fournisseurs « prenant en charge les dispositifs de collecte de donnée et d'identification ».
Il convient d’entendre par le terme de « services de communications électroniques », les prestations qui consistent principalement en la fourniture de communications électroniques. Ne sont donc pas visés les services qui éditent ou distribuent des services de communication au public par voie électronique, par exemple.
En pratique, le fournisseur doit désormais établir un inventaire des violations constatées qu'il tient à disposition de la CNIL. Il est alors tenu d’y soulever les modalités des violations constatées, les effets provoqués par cette violation et les mesures entreprises pour y remédier.
En cas de méconnaissance de l’obligation de notification à la CNIL ou à l’intéressé, la sanction du responsable de traitement est fixée à une peine pouvant aller jusqu'à cinq ans d’emprisonnement et à 300 000 euros d'amende, conformément à l’article 226-17-1 du Code pénal, auquel l'ordonnance relative aux communications électroniques du 24 août 2011 a ajouté un nouvel alinéa.
B/ Les limites à l’obligation de notification des violations de la sécurité des données
L’ordonnance relative aux communications électriques pose toutefois une exception à l'obligation de notification à l'intéressé de la violation de la sécurité de ses données personnelles. En effet, elle n’est pas réputée nécessaire si la CNIL a constaté que des mesures de protections appropriées ont été mises en œuvre par le fournisseur. Il peut notamment s’agir de cryptage des données qui ont pour finalité de rendre les données incompréhensibles.
De plus, au regard du texte même de l’ordonnance, celui-ci ne semble pas préciser les modalités de notification. Seule la directive européenne du 12 juillet 2002, relative au traitement des données à caractère personnel et à la protection de la vie privée dans le secteur des communications électroniques, fait encore figure de référence sur ce point.
Conformément aux lignes directrices dont elle dispose, la notification faite à l'abonné ou à la personne physique doit au minimum mentionner la nature de la violation de données personnelles, les points de contact auprès desquels des informations supplémentaires peuvent être obtenues, ainsi qu’une recommandation des mesures à adopter afin d'atténuer les conséquences éventuelles de la violation de données personnelles.
Cette directive européenne apparaît alors encore comme la seule garantie d’une description des conséquences de la violation de données personnelles, et des mesures proposées ou prises pour y remédier, assurant alors à l’obligation de notification des failles de sécurité à la CNIL une réelle efficacité.
ARTICLES QUI POURRAIENT VOUS INTERESSER: