RGPD un an après : parachèvement du cadre juridique et application dans les entreprises
L’entrée en vigueur du Règlement Général sur la Protection des Données le 25 mai 2018 (voir précédent article du mois de mai 2018) n’était que la ligne de départ du processus de refonte des textes français en la matière, laquelle vient de s’achever avec le Décret 2019-536 du 29 mai 2019 (1), ce qui n’a toutefois pas empêché les entreprises de commencer à adapter leurs traitements de données personnelles dans l’intervalle depuis un an déjà (2).
1. Entrée en vigueur le 1er juin 2019 du Décret 2019-536
Après la Loi 2018–493 du 20 juin 2018 et l’Ordonnance 2018–1125 du 12 décembre 2018, qui ont respectivement adapté puis « ordonné » la Loi informatique et libertés du 6 janvier 1978 (voir précédent article du mois de décembre 2018), manquait encore le Décret leur permettant d’entrer en vigueur, et qui était prévu pour le 1er juin 2019 au plus tard ; c’est donc chose faite, tout juste en temps utile avec le Décret 2019-536 publié le 30 mai 2019, « pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ».
Fondamentalement ce dernier texte permet surtout à l’ensemble normatif de recevoir désormais application, ainsi que le mentionne sa notice introductive selon laquelle « le décret tire les conséquences de forme et de fond de la loi n°78-17 du 6 janvier 1978 dans sa version résultant de l'ordonnance n° 2018-1125 du 12 décembre 2018. Il harmonise l'état du droit, adapte certaines règles de procédures devant la CNIL. Il précise les droits des personnes concernées. Il abroge le décret n° 2005-1309 du 20 octobre 2005 ».
En amont la CNIL s’était prononcée sur le projet de ce Décret selon avis du 9 mai 2019, estimant certes les objectifs de mise en cohérence et de clarification atteints, mais émettant plusieurs observations en vue d’améliorer encore plus efficacement la sécurité juridique des usagers d’une part, et d’encadrer certaines procédures de contrôle, de mise en demeure et de sanction d’autre part ; dans un communiqué publié en aval le 3 juin 2019, la CNIL a estimé que nombre de ses observations avaient dûment été prises en compte par le Gouvernement dans le Décret finalement publié.
Si les droits et obligations en matière de protection des données personnelles doivent donc désormais être clairement appréhendés par chacun depuis l’entrée en vigueur de ce dernier Décret, en pratique les organismes traitant de telles données ont dû commencer à s’adapter de manière effective dans l’intervalle du fait notamment du caractère immédiatement applicable du Règlement européen dès le 25 mai 2018.
2. Application du RGPD : premier anniversaire le 25 mai 2019
L’importante campagne de communication qui a entouré l’entrée en vigueur du RGPD le 25 mai 2018, et parallèlement les scandales à répétition qui ont concerné des utilisations non consenties de données par certains réseaux sociaux, ont entraîné une forte prise de conscience des enjeux en la matière de part et d’autre.
Ainsi du côté des usagers, une attention plus scrupuleuse et une demande de protection plus effective a fait augmenter de 30%, entre mai 2018 et mai 2019, les plaintes adressées à la CNIL (plus de 11.900 en France, et 144.376 au niveau européen).
L’intérêt pour les professionnels d’intégrer ainsi les nouveaux dispositifs RGPD n’est donc plus purement et simplement normatif mais devient en outre un véritable outil de communication, afin de répondre positivement aux attentes des usagers en termes de respect de leurs données personnelles ; à titre d’exemple, plus de 53.000 organismes sont actuellement recensés par la CNIL comme ayant d’ores et déjà désigné un Délégué à la Protection des Données.
Cependant des progrès restent encore à faire en faveur des organismes traitant des données personnelles ; si la CNIL leur vient certes en aide en multipliant des notes « pratiques » et autres modèles accessibles sur son site Internet cnil.fr, certaines délibérations annoncées se font encore attendre, telle que la publication de la liste des traitements pour lesquels une « analyse d’impact » n’est pas requise, conformément à ce que prévoit l’article 35.5 du RGPD.
***
Après une première année de mise en place normative, et une action pour l’instant plus pédagogique que répressive de la CNIL, cette dernière prévient néanmoins, notamment aux termes d’un récent communiqué du 23 mai 2019, qu’elle vérifiera désormais « pleinement le respect des nouvelles exigences » dans l’instruction des plaintes et dans ses contrôles... Mieux vaut donc être prêt, d’autant plus que la CNIL complète ce dernier communiqué en précisant qu’à défaut « elle en tirera au besoin toutes les conséquences, y compris en termes de sanction », lesquelles sont essentiellement financières.
https://www.legifrance.gouv.fr/eli/decret/2019/5/29/JUSC1911425D/jo/texte
Julie GRINGORE
Juin 2019
Droit d’auteur et droits voisins dans l’environnement numérique : la nouvelle Directive européenne à transposer
Dans l’attente de l’imminente publication au Journal Officiel de l’Union Européenne de la Directive « sur le droit d’auteur et les droits voisins dans le marché unique numérique » (adoptée par le Parlement le 26 mars et approuvée par le Conseil le 15 avril 2019), nous pouvons envisager les « mesures visant à assurer le bon fonctionnement du marché du droit d’auteur » (Titre IV) que les États membres auront à transposer dans les deux années suivant la publication à intervenir.
Considérant que depuis la précédente Directive dite DADVSI de 2001, « l'évolution rapide des technologies continue à modifier la manière dont les œuvres ou autres objets protégés sont créés, produits, distribués et exploités », le législateur européen a souhaité répondre aux nouvelles insécurités juridiques apparues en vingt ans, « tant pour les titulaires de droits que pour les utilisateurs, en ce qui concerne certaines utilisations, notamment transfrontières, d'œuvres ou autres objets protégés dans l'environnement numérique » (Considérant 3).
La nouvelle Directive a donc pour objectif notamment de rééquilibrer les rapports entre les titulaires de droits et les diffuseurs de contenus, au titre desquels sont particulièrement visés :
- « les fournisseurs de services de partage de contenus en ligne » (type YouTube), vis-à-vis desquels les droits d’auteurs et droits voisins sont renforcés (1),
- « les agrégateurs d’informations » (type Google Actualités), à l’égard desquels un nouveau droit voisin est créé au bénéfice des éditeurs de presse (2).
1. Extension des droits vis-à-vis des fournisseurs de services de partage
Selon l’ancienne Directive DADVSI, les plateformes de partage de contenus en ligne n’étaient pas nécessairement responsables du contenu posté par leurs utilisateurs ; désormais ces mêmes plateformes devront « obtenir une autorisation, notamment par le biais d’un accord de licence, de la part des titulaires de droits concernés » (Considérant 64).
De tels accords de licence sont ainsi prévus par l’article 17 de la nouvelle Directive, précisant que « si aucune autorisation n’est accordée, les fournisseurs... sont responsables des actes non autorisés de communication au public » ; une telle responsabilité peut toutefois être écartée si le fournisseur concerné :
- déploie « les meilleurs efforts » (notion à préciser…) pour obtenir une telle autorisation, et à défaut garantit « l’indisponibilité des œuvres spécifiques »,
- agit « promptement, dès réception d’une notification suffisamment motivée de la part des titulaires de droit, pour bloquer l’accès aux œuvres et autres objets protégés ».
En outre, seront exemptés de ces contraintes :
- les fournisseurs de contenus « émergents », à savoir exerçant depuis moins de trois ans et ayant un chiffre d’affaires annuel inférieur à 10 millions d’euros,
- plus classiquement les diffusions de critiques, citations, caricatures et parodies.
Enfin le mécanisme est parachevé par des obligations, pour les diffuseurs, de transparence et de traitement « rapide et efficace » des plaintes des titulaires de droits le cas échéant.
2. Création d’un nouveau droit à l’égard des agrégateurs d’informations
La nouvelle Directive rappelle « qu’une presse libre et pluraliste est indispensable pour garantir un journalisme de qualité et l’accès des citoyens à l’information », et que les éditeurs de presse doivent être reconnus et davantage encouragés pour « promouvoir la disponibilité d’informations fiables » (Considérant 55).
Nous voyons donc éclore à l’article 15 de la nouvelle Directive un droit voisin inédit bénéficiant « aux éditeurs de publications de presse établis dans un Etat membre », opposable aux agrégateurs d’informations.
Sont toutefois notamment exemptés les « mots isolés ou très courts extraits d’une publication ».
Notons également la relative brièveté de ce nouveau droit, qui « expire deux ans après que la publication de presse a été publiée ».
***
L’on peut aisément comprendre, à la lecture de tels enjeux, que de nombreux lobbies, défendant notamment la « diffusion libre » sur Internet, se soient opposés à l’adoption d’un tel projet.
Les eurodéputés français ont toutefois pour leur part majoritairement voté pour la nouvelle Directive, de sorte que les discussions au niveau désormais national aux fins de transposition dans le délai biennal devraient demeurer équilibrées... pour un rendez-vous législatif en principe d’ici 2021.
***
Julie GRINGORE
mai 2019
L’Intelligence artificielle selon le Parlement européen
Le Parlement européen vient d’adopter le 12 février 2019 une Résolution sur l’intelligence artificielle (ci-après IA), quasiment deux ans jour pour jour après sa Résolution du 16 février 2017 concernant les règles de droit civil sur la robotique (au premier chef de ses visas) ; qualifié de « l’une des technologies stratégiques du 21ème siècle » (pt. D), le sujet apparaît suffisamment urgent pour que la Résolution souligne, à plusieurs reprises, la nécessité de rattraper le retard européen « vis-à-vis de l’Amérique du Nord et de l’Asie » (pt. AF et I).
Du point de vue des PME (auxquelles une section 3.1.7 est consacrée), le Parlement européen considère que l’IA peut « renforcer la compétitivité de l’industrie et des petites et moyennes entreprise » (pt. F), en permettant « une meilleure adaptation aux besoins des consommateurs » (pt. Q) ; cela vaut en de nombreux domaines « tels que la médecine, les finances, la biologie, l’énergie, l’industrie, la chimie ou le secteur public » notamment (pt. T).
Cette Résolution est l’occasion de faire le point sur les modalités de protection de l’IA (1), ainsi que sur leurs limites actuelles (2).
1. Protection de l’IA : droit des bases de données et des logiciels
Le Parlement européen insiste sur le fait que « les régimes et doctrines juridiques existants peuvent s’appliquer en l’état à ce domaine », de sorte qu’aucune nouvelle législation particulière n’est pour l’instant envisagée (pt. 136) ; diverses dispositions peuvent effectivement d’ores et déjà régir les sources comme le fonctionnement de l’IA.
En premier lieu sur ce qui alimente de manière indispensable l’IA, à savoir les bases de données lui permettant de fonctionner, celles-ci font l’objet d’une protection spécifique au sein de l’Union européenne depuis la Directive 96/9/CE du Parlement européen et du Conseil du 11 mars 1996, transposée aux art. L341-1 et s. du Code de la propriété intellectuelle ; soulignons que lesdites bases doivent en outre désormais se conformer au Règlement RGPD 2016/679 du 27 avril 2016 si elles impliquent le traitement de données personnelles (voir les précédents articles sur le sujet : Entrée en vigueur du Règlement général sur la protection des données le 24 mai 2018 ; Les données personnelles et le droit français).
En second lieu sur l’essence même de l’IA, celle-ci relève du droit des logiciels, lesquels sont protégés en droit européen depuis la Directive 91/250 du Conseil des Communautés européennes du 14 mai 1991, notamment transposée aux art. L122-6 et s. du Code de la propriété intellectuelle ; cette protection est ainsi intégrée depuis près de trente ans aux droits d’auteur, traités par le premier livre dudit Code.
*
C’est donc sans envisager de prendre dans l’immédiat de nouvelles dispositions spécifiques pour l’IA que le Parlement appréhende la matière, tout en préconisant tout de même des réévaluations régulières de la législation « afin de s’assurer qu’elle soit adaptée à son objectif » (pt. 114), ainsi que des bilans pour « contrôler la pertinence et l’efficacité des règles en matière de propriété intellectuelle » (pt. 136).
2. Contrôle de l’IA : fiabilité des sources et gestion d’exploitation
Le Parlement souligne à plusieurs reprises la priorité humaine sur le système informatique, posant un principe « de responsabilité selon lequel l’humain contrôle la machine » (pt. AK), ou encore qualifiant l’IA « d’outil utile pour compléter l’action humaine et pour améliorer ses performances et réduire les erreurs », sans avoir vocation à la remplacer (pt. 152) ; cela s’illustre tant au niveau de la collecte des données qu’au niveau de leur traitement.
En amont, conscient qu’un système informatique ne sera pas nécessairement capable d’apprécier le degré d’authenticité d’une information, le Parlement invite par exemple la Commission « à veiller à ce que toute personne qui produit des documents ou des vidéos synthétiques comportant des trucages vidéo élaborés ou toute autre vidéo synthétique réaliste déclare explicitement qu’il ne s’agit pas d’un original » (pt. 178) ; il convient, plus généralement, de veiller ainsi à ce que l’IA ne parte pas de postulats erronés si l’on veut s’assurer ensuite de son bon fonctionnement.
En aval, et à titre d’illustration au niveau du traitement des données, le Parlement « fait observer que les technologies de l’IA destinées aux systèmes d’armes automatisés doivent continuer à faire l’objet d’une approche dans laquelle l’homme reste aux commandes » (pt. 150) ; il était apparemment utile de le préciser…
*
Ainsi les aspects éthiques, auxquels la présente Résolution consacre un chapitre entier (5.), apparaissent-ils omniprésents dans la réflexion du Parlement européen qui prône « une technologie centrée sur l’homme » (5.1), tentant de se distinguer en cela notamment des systèmes de crédit social fondés sur l’exploitation d’analyses comportementales adoptés par d’autres pays (pt. 13 et 146).
***
Si la Résolution du Parlement du 12 février 2019 souligne l’urgence qu’il y a désormais à s’adapter aux codes de l’IA en Europe, les prochaines générations devront quant à elles quasiment en faire une seconde langue vivante, ce qui est d’ores et déjà envisagé par le biais de « l’acquisition des compétences numériques, y compris la programmation, dans l’éducation et la formation, depuis l’enseignement fondamental jusqu’à l’apprentissage tout au long de la vie » (pt. 8), le Parlement invitant « instamment les États membres à moderniser leur système d’éducation… et à faire en sorte que les services professionnels de l’Union soient compétitifs à l’échelle internationale dans les décennies à venir » (pt. 121).
Après la course à l’information c’est donc désormais celle à la formation qui est lancée avec l’IA, laquelle pourrait même avoir pris un peu d’avance en la matière, la Résolution indiquant notamment « reconnaître que les algorithmes d’apprentissage automatiques sont entraînés pour apprendre par eux-mêmes... » (pt. 160).
Julie GRINGORE
Février 2019
Les données personnelles et le droit français
Le Règlement Général sur la Protection des Données est entré en vigueur le 25 mai 2018 (voir précédent article du mois de mai 2018 sur le présent site) : tous les acteurs professionnels ont alors dû se mettre en conformité avec ces nouvelles exigences en matière de gestion de données personnelles, alors même que le législateur français n’a lui-même promulgué qu’ultérieurement une loi sur le sujet, et que la CNIL continue, plusieurs mois après, de rendre des délibérations pour son application...
Retour sur six mois de textes parus en droit français dans le prolongement de l’entrée en vigueur du Règlement CE RGPD, tant au niveau législatif et exécutif (1) qu’administratif (2).
- Loi 2018-493 et Ordonnance 2018-1125
Sur le fond c’est tout d’abord la Loi 2018–493 du 20 juin 2018 qui a adapté la Loi informatique et libertés du 6 janvier 1978 ; ainsi, et à titre d’exemples :
- la réforme faisant passer la France de son ancien système déclaratif à un système désormais de contrôle en aval, les dispositions relatives à l'obligation de déclaration préalable auprès de la CNIL ont essentiellement disparu, à quelques exceptions près (données de santé notamment) ;
- corrélativement les pouvoirs de contrôle de la CNIL sont étendus, notamment pour les opérations en ligne, que les contrôleurs peuvent désormais réaliser sous une identité d'emprunt (art. 5 Loi 2018–493 du 20 juin 2018 / art. 44 Loi informatique et libertés du 6 janvier 1978).
Sur la forme c’est ensuite l’Ordonnance 2018–1125 du 12 décembre 2018 qui a plus récemment donné un « plan plus lisible, ordonné et cohérent » à la Loi du 6 janvier 1978 (selon les termes du compte rendu du Conseil des ministres du 12 décembre 2018, même si le nombre d’articles de ladite loi est à cette occasion passé de 72 à 128…) ; ainsi :
- les nouvelles dispositions RGPD ont essentiellement été concentrées aux articles 42 à 86 de la Loi du 6 janvier 1978, concernant notamment le nouveau droit à la portabilité des données (art. 55), le Registre des activités de traitement et le Délégué à la protection des données (art. 57), ou encore l’analyse d’impact de protection des données (art. 62) ;
- sans oublier les autres Codes concernés par ces mesures, tels que le Code pénal sanctionnant « d'un an d'emprisonnement et de 15 000 € d'amende le fait d'entraver l'action de la Commission nationale de l'informatique et des libertés » (art. 226-22-2 Code pén.)
Toutefois cet édifice juridique n’en est toujours pas à son terme dès lors que cette dernière Ordonnance n’entrera en vigueur qu’en même temps que le futur Décret devant modifier le Décret informatique et libertés du 20 octobre 2005... mais ce tout de même au plus tard le 1er juin 2019.
2. Délibérations et Modèles CNIL
Parallèlement aux Pouvoirs législatif et exécutif, l’Administration œuvre également, au niveau de la CNIL, pour aider les utilisateurs à appliquer le droit en vigueur.
En premier lieu la CNIL multiplie les notes « pratiques » et autres modèles accessibles sur son site Internet cnil.fr, dont notamment à souligner un registre type permettant à tout organisme de recenser au moins les données à caractère personnel dont il assure le traitement (fichiers clients, salariés, fournisseurs, etc...)
En second lieu la CNIL a également récemment défini, aux termes de deux Délibérations du 11 octobre 2018 (2018–326 et 2018–327), les types d’opérations de traitement suffisamment risqués pour qu’une « analyse d’impact » soit requise (à savoir essentiellement en matière de santé, ressources humaines, localisation ou encore logements sociaux).
Néanmoins sur ce point non plus la CNIL n’a pas « dit son dernier mot », dès lors qu’elle doit encore prochainement publier une liste des traitements qui, à l’inverse, ne présentant pas de risque élevé, ne sont donc pas soumis à la réalisation d’une telle analyse d’impact.
***
Rendez-vous est donc d’ores et déjà pris en 2019 pour surveiller ces nouvelles dispositions à venir tant sur le plan réglementaire qu’administratif.
Julie Gringore