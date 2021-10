Ce colloque, organisé notamment avec le concours des étudiants du Master 2 du Droit du multimédia et de l’informatique (DMI), de l’association des anciens DMI (AADMI), du Master 2 Droit de la communication (DTCOM), de l’association française de droit de l’informatique et de la télécommunication (AFDIT) et de l’association française des juristes d’entreprises (AFJE), s’est tenu sous la présidence le matin, en l'absence du professeur François Terré, membre de l’Académie des sciences morales et politiques, du professeur Jérôme Passa, directeur du CEJEM,et sous la présidence de Pierre Leclercq, conseiller honoraire de la Cour de cassation et ancien membre de la CNIL, l’après-midi.

Les travaux de la matinée se sont concentrés sur la réforme du cadre européen en matière de protection des données personnelleset de la vie privée annoncée en janvier 2012 par Vivianne Reding, vice-présidente de la Commission et commissaire européenne à la justice, aux droits fondamentaux et à la citoyenneté.

De fait, une proposition de règlement publiée par la Commission le 25 janvier 2012 fixant le futur cadre général européen de protection des données à caractère personnel, remplaçant l’actuelle directive 95/46 de 1995, a été étudiée à la loupe par la Commission des libertés civiles, de la justice et des affaires intérieures (LIBE). Cette dernière a d’ailleurs rendu un texte de compromis fin octobre 2013, salué par la Commission nationale de l’informatique et des libertés (CNIL).

Toutefois, la réforme pourrait s’arrêter en marche en dépit du message politique fort porté par le Parlement européen qui a voté en première lecture le texte du compromis le 12 mars dernier.

Nathalie Metallinos, avocat au sein du cabinet Bird &Bird et enseignante à l’Université Panthéon-Assas, souligne que l'accord entre le Conseil de l'Union européenne et le Parlement européen reste à trouver « les positions des Etats membres manifestant des clivages importants ». Invoquant « d’importantes crispations et incertitudes » tenant aux difficultés de la négociation, à la complexité du sujet, aux abords très techniques et soumis à l’obsolescence, à l’importance des lobbies, ainsi qu’au contexte politique européen comme international. Enfin, elle indique que si la France et la Pologne soutiennent fermement le projet de règlement de la Commission, un groupe de pays mené par le Royaume-Uni plaide au contraire pour retarder son adoption et pour l’abandon du règlement en faveur d’une directive.

A ce propos, Jérôme Huet, professeur émérite à Paris II, se range du côté britannique estimant qu’une directive est plus appropriée dans un domaine constamment évolutif. En outre, chargé de parler des prérogatives des personnes concernées par les données, il a souligné que, si peu de choses changeaient en ce qui concerne l'accès et la rectification des données, tout comme pour le droit d'opposition, toujours aussi théorique, le consentement de ces personnes semble être une notion clé dans le projet de règlement européen : il est l'objet d'un ensemble de dispositions, dans lesquelles on trouve même un peu de consumérisme (art. 7). Mais, si l'on regarde de près, son rôle est assez réduit : le consentement au traitement, par principe, n'est guère nécessaire, dès lors que le traitement peut être justifié par l'"intérêt légitime" de celui qui l'ordonne. Il n'y a guère que pour le traitement de données dangereuses (origine raciale, opinion politique, appartenance syndicale, santé...) que le consentement peut jouer. Quant au transfert international des données, il est rigoureusement encadré, avant que le consentement de l'intéressé ne soit appelé à entrer en jeu.

Durant l’après-midi, les travaux se sont déroulés en suivant une approche sectorielle. La sécurité des données personnelles a été envisagée selon des angles de vues différents, tous très importants, car encrés dans notre vie quotidienne, tels que la cyber-criminalité, les données bancaires, la liberté d’expression, les Télécoms et réseaux sociaux et les données de santé.

L'angle pris par Myriam Quéméner, avocat général près la Cour d’appel de Versailles, est celui des données personnelles utilisées par les cyber-délinquants. Aujourd'hui, on est face à une évolution de la délinquance vers le numérique, puisque c'est beaucoup moins risqué et plus facile. Nombreuses sont les personnes qui se livrent sur les réseaux sociaux et donnent nombre d'informations aux cybercriminels. Des robots escroquent les individus et les cyber-délinquants utilisent le dark-net et le réseau Tor. Ces réseaux virtuels facilitent la vie des délinquants et compliquent des enquêteurs. Récemment, l'entreprise Géant Vert a été victime d'une escroquerie aux ordres de virement qui a causé un préjudice énorme. Il y a tout un travail à faire pour sensibiliser les parlementaires sur ces problèmes. Par ailleurs, dès qu'il y a un débat d'actualité ou une catastrophe naturelle, les cybercriminels en profitent pour envoyer des e-mails de « fishing », que les victimes ouvrent naïvement, et les cybercriminels récupèrent ainsi l’accès à leurs données personnelles. La cybercriminalité se diversifie : auteurs isolés ; « mules », intermédiaires ; réseaux mafieux ; hacktivistes ; cybersoldats… le panel est varié. Selon Myriam Quéméner, les infractions traditionnelles (vol, escroquerie, abus de confiance, atteintes aux systèmes de traitement automatisé de données « STAD »…) permettent de punir les cyber-délinquants, et il n’y a pas besoin de légiférer davantage.

Plutôt que de créer de nouvelles infractions, on doit mettre en place une politique pénale en matière de lutte contre la cybercriminalité, développer la formation initiale pluridisciplinaire des acteurs, et renforcer la coopération internationale. Actuellement, il y existe un vent de panique autour des moyens d'investigation numériques (affaire des écoutes de Nicolas Sarkozy), cela relance le débat sur le nécessaire équilibre entre la protection des données personnelles et l'ordre public et la sécurité juridique, ce qui démontre la nécessité pour le législateur de prévoir des textes assurant une sécurité juridique.

Juliette Morel-Maroger, maître de conférence à l’universitéParis Dauphine, s’est attachée à l’angle de données bancaires. Le secteur bancaire est un domaine dans lequel les données personnelles peuvent causer un certain nombre de difficultés. En témoigne, au plan interne, les débats soulevés sur le « fichier positif » inscrit dans la loi Hamon, (qui recenserait tous les crédits octroyés aux particuliers par opposition au FICP, déjà existant, qui liste uniquement les incidents de paiement) censuré tout récemment par le Conseil Constitutionnel. Le fameux « scoring » ou profilage qui attribue une note aux individus pour les demandes de crédits pose problème.

Il existe des tensions fortes entre la nécessité des traitements bancaires et le risque qu'ils comportent. Les transferts de données sont encouragés par l'Etat pour la lutte contre la fraude, car un rapport révèle que le secteur bancaire et financier est le plus exposé aux pertes et vols de données personnelles, et alerte sur l’augmentation exponentielle des fraudes. L’intervenante estime que la réaction des autorités est largement insuffisante car le droit commun ne prend pas en compte les questions soulevées par le secteur bancaire. C’est encore plus alarmant du coté du secteur bancaire puisqu'il occulte presque la protection des données personnelles. De fait, certains textes semblent marquer un recul en matière de protection des données, à l’instar de la directive du 4 février 2014 sur les contrats de crédits immobiliers, qui, dans son article 18, instaure une obligation faite aux banques d'évaluer la solvabilité du consommateur par un traitement automatisé de données. La possibilité pour le consommateur de demander un réexamen de sa demande de crédit par un être humain a été supprimée, car la protection des données personnelles cède souvent face aux impératifs économiques. Il faudrait, selon elle, adopter un régime juridique particulier, plus protecteur, pour les données traitées par le secteur bancaire.

Entre données personnelles et liberté d’expression, existent, dans une société démocratique, probablement autant de situations et de raisons de concours et de complémentarité que de conflits et de concurrence selon le professeur Emmanuel Derieux. Aussi essentielle que soit la liberté d’expression, ne devrait-elle pas n’être qu'un moyen au service de la fin qu’est le respect des droits de chacun ? Si la liberté d’expression a été renforcée dans les faits, avec l’arrivée du numérique (meilleure qualité et circulation de l'information, moteurs de recherche, accessibilité et collecte d'informations…), comme en droit (loi de 1881 sur la liberté de la presse, convention collective sur le journalisme de 1967, « loi informatique & libertés » de 1978 réformée en 2004 et directive européenne de 1995), elle a paradoxalement été restreinte par ces mêmes sources sur certains sujets tels que la protection des données personnelles.

Ce mécanisme d’évolutions juridiques paradoxales est le même dans de nombreux secteurs sensibles tels que les Télécoms ou les données relatives à la santé. La spécificité du secteur des Télécoms et des réseaux sociaux, selon la directrice données personnelles et sécurité de l'Information du groupe Orange, Marie-Gaëlle Choisy, est qu'il est à très forte mutation technologique et culturelle. De l'analogique au tout numérique, du téléphone fixe au mobile, à internet, à la télévision et aux objets connectés... de la conversation personnelle à la conversation publique partagée. Aujourd’hui, sur 2,484 milliards d'internautes à travers le monde, 1,856 sont inscrits sur un réseau social, soit 74 % des internautes et 26 % de la population mondiale ! Tout cela soulève le problème du droit à la vie privée et de la protection des données personnelles. Le bilan depuis la directive de 1995, avec la fixation de limites strictes à la collecte des données personnelles, la création d’organismes nationaux chargés de leur protection telle que la CNIL, et l’instauration du droit à l’effacement, semble globalement positif, mais il doit s’améliorer.

Idem pour les données de santé, selon Nathalie Martial-Braz, professeur à l’université de Franche-Comté, et François Malye, journaliste d’investigation au Point, auteur du Hit parade des hôpitaux. Ces données sont au cœur de nouveaux enjeux. On réfléchit d'ailleurs à une législation européenne à ce sujet. Les données de santé sont des valeurs économiques majeures permettant de réaliser un profilage (publicités ciblées, mutuelles, banques, maîtrise des coûts de santé publique). Elles sont extrêmement sensibles car elles touchent l'intimité. En septembre dernier, la CNIL a mis en demeure le centre hospitalier de Saint-Malo pour non respect de la confidentialité des données. Pourtant, l’accès à celles-ci, par le biais du fichier de la Sécurité sociale notamment, pourrait permettre de réaliser de nombreuses études très utiles. Par exemple, sur la consommation, l’efficience et la dangerosité des médicaments, afin d’éviter des scandales malheureux comme celui du Médiator ou du Distilbène, souligne François Malye. Faudrait-il alors adopter un régime juridique spécifique à ces données comme pour le secteur bancaire ?