Archives des données personnelles - Philippe Schmitt Avocats

Consentement requis ou seul intérêt de la plateforme : votre visage ou les traits de votre visage repris par l’IA générative

Philippe Schmitt — Tue, 12 Aug 2025 14:15:17 +0000

Consentement ou Intérêt Légitime : IA et Protection des Données Personnelles selon le RGPD

Consentement ou Intérêt Légitime

La Surprise sur le Visage : Données Traitées par IA et RGPD

Les modèles d'IA génératifs surprennent, nous amusent-ils toujours ?

La réponse appartient aux utilisateurs de réseaux sociaux qui trop rapidement ont coché favorablement les utilisations des plateformes.

L'article publié le 1er août revient sur les évènements qui depuis fin mai 2025 interpellent les utilisateurs des réseaux sociaux, et illustre la distinction posée au RGPD entre le consentement requis et le seul intérêt de la plateforme.

« Votre visage ou vos traits sur une image générée par une IA »

Tout le monde ne supporte pas son image mise en scène dans des situations non acceptées. Cet été sera-t-il le début du cauchemar pour de nombreux utilisateurs des plates-formes des réseaux sociaux ? - Des personnalités publiques, notamment des politiciens et des célébrités, ont exprimé leur préoccupation face à l'utilisation non autorisée de leur image dans des contenus générés par IA.

Cadre Juridique Français

Article 9 du Code civil : "Chacun a droit au respect de sa vie privée"

Article 226-8 du Code pénal : Protection contre la publication de l'image d'une personne sans son consentement

Jurisprudence Cour de cassation (2007) : Renforcement de la protection du droit à l'image en droit français

Chronologie : L'Évolution du Cadre Légal (2024-2025)

Mars 2024

Meta soumet une demande à l'autorité irlandaise de protection des données pour modifier sa base juridique de traitement des données utilisateurs en Europe.

Décembre 2024

Publication de l'Avis 28/2024 du Comité européen de protection des données (CEPD) sur l'IA et la protection des données personnelles.

Mai 2025

Feu vert de l'autorité irlandaise : Meta peut désormais s'appuyer sur l'intérêt légitime (article 6.1.f du RGPD) pour entraîner ses systèmes d'IA sur les contenus publics des utilisateurs européens.

Fin mai 2025

Modification des conditions d'utilisation de Meta (Facebook, Instagram, WhatsApp) permettant l'entraînement IA sur contenus publics.

Été 2025

Multiplication des recours judiciaires, notamment en Allemagne, et opposition persistante de la société civile et d'autorités nationales.

Base Juridique : Intérêt Légitime vs Consentement

Fragilité de l'Accord

L'utilisation de l'intérêt légitime comme base juridique pour l'entraînement d'IA générative reste hautement contestée. Les actions judiciaires se multiplient, remettant en question la validité de ce fondement juridique.

L'Article 6.1.f du RGPD : Intérêt Légitime

Cet article permet le traitement des données personnelles lorsque :

Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement
Ces intérêts ne sont pas supplantés par les intérêts ou les droits et libertés fondamentaux de la personne concernée

Le Test en Trois Étapes du CEPD

1. Identification de l'Intérêt

Le responsable du traitement doit clairement identifier l'intérêt légitime poursuivi.

2. Nécessité du Traitement

Le traitement doit être strictement nécessaire pour atteindre cet intérêt légitime.

3. Mise en Balance

L'intérêt légitime doit être mis en balance avec les droits et libertés fondamentaux de la personne concernée.

Conséquences sur l'Exigence du Consentement Explicite

La distinction entre consentement et intérêt légitime soulève des questions fondamentales sur la protection des données personnelles dans l'ère de l'IA générative.

Validité et Facilité du Consentement

Le RGPD exige que le consentement soit :

Compréhensible : formulé en termes clairs et simples
Accessible : facilement identifiable dans l'interface utilisateur
Révocable : possibilité réelle de retrait du consentement ("opt-out")
Granulaire : consentement spécifique pour chaque finalité

Insuffisances de l'Anonymisation

Les premiers retours d'utilisateurs montrent que l'anonymisation actuellement pratiquée ne suffit pas : des utilisateurs reconnaissent leurs images dans des contenus générés par IA sans leur accord explicite.

Conformité UX des Plateformes

Les processus de consentement et d'opt-out proposés par Meta soulèvent des interrogations sur leur conformité au RGPD, notamment concernant la réelle facilité de retrait du consentement et la clarté des informations fournies aux utilisateurs.

Risques Juridiques et Jurisprudence

Protection Renforcée en Droit Français

La forte protection du droit à l'image et à la vie privée en droit français (articles 9 du Code civil, 226-8 du Code pénal, jurisprudence de 2007) crée un environnement juridique particulièrement strict pour l'utilisation d'images personnelles par l'IA.

Actions Judiciaires en Cours

Recours multiples en Allemagne contestant la validité de l'intérêt légitime
Opposition des autorités nationales de protection des données
Mobilisation de la société civile européenne
Remise en question de l'accord Meta-Irlande par d'autres États membres

Situation Juridique Incertaine

L'incertitude persiste quant à la base légale valable pour l'entraînement d'IA sur des données personnelles. Cette situation impose une vigilance accrue à tous les développeurs de modèles IA pour respecter scrupuleusement les exigences combinées du RGPD.

Références et Sources

Textes Légaux

Documents Officiels

Articles de Presse Référencés

Recommandations pour les Organisations

Évaluation Préalable

Analyser la base juridique appropriée (consentement vs intérêt légitime)
Effectuer le test en trois étapes du CEPD pour l'intérêt légitime
Documenter l'analyse de proportionnalité

Mise en Conformité

Garantir un consentement libre, éclairé et révocable
Implémenter des mécanismes d'opt-out effectifs
Assurer la transparence sur l'utilisation des données

Accompagnement Juridique Spécialisé

Face à la complexité croissante du cadre réglementaire et aux incertitudes juridiques actuelles, l'accompagnement par des professionnels spécialisés en droit des nouvelles technologies et protection des données devient essentiel.

Notre cabinet d'avocats vous accompagne dans l'analyse de vos obligations RGPD et la mise en conformité de vos traitements de données personnelles dans le contexte de l'intelligence artificielle.

L’article Consentement requis ou seul intérêt de la plateforme : votre visage ou les traits de votre visage repris par l’IA générative est apparu en premier sur Philippe Schmitt Avocats.

Une clarification favorable au responsable du traitement

Philippe Schmitt — Thu, 28 Nov 2024 14:43:07 +0000

Des données personnelles, nombreux sont ceux qui les collectent, et encore plus nombreux ceux qui les obtiennent.

Quand la personne physique en demande la communication au responsable du traitement, i) celui-ci ne doit-il transmettre que celles que son entreprise a collecté auprès de cette personne physique ou bien ii) doit-il aussi transmettre les données obtenues auprès d’une autre personne ou d’une autre entreprise et les données qu’il a lui-même généré par le traitement qu’il a effectué à partir des données collectées ou obtenues ?

Pour le responsable du traitement, quand les données à caractère personnel n’ont pas été collectées auprès de cette personne, il peut invoquer l’exception à l’obligation d’information de la personne concernée de l’article 14, § 5 sous c) du RGPD.

La Cour de justice, le 28 novembre 2024, l’arrêt, clarifie la portée de cette exception dans une affaire qui oppose un citoyen hongrois avec son autorité nationale de délivrance du certificat d’immunité à la COVID.

« l’exception à l’obligation d’information de la personne concernée par le responsable du traitement, prévue à cette disposition, concerne indistinctement toutes les données à caractère personnel que le responsable du traitement n’a pas collectées directement auprès de la personne concernée, que ces données aient été obtenues par le responsable du traitement auprès d’une personne autre que la personne concernée ou qu’elles aient été générées par le responsable du traitement lui-même, dans le cadre de l’exercice de ses missions ».

Et la Cour limite le droit de contrôle sous cet article 14, §5 sous c).

« Cette vérification ne porte toutefois pas sur le caractère approprié des mesures que le responsable du traitement est tenu de mettre en œuvre, en vertu de l’article 32 de ce règlement, afin de garantir la sécurité des traitements de données à caractère personnel ».

Les responsables de traitement n’en seront que plus rassurés.

L’article Une clarification favorable au responsable du traitement est apparu en premier sur Philippe Schmitt Avocats.

Qui a condamné WhatsApp à 225 millions d’euros d’amende en 2021 ?

Philippe Schmitt — Thu, 08 Dec 2022 15:01:18 +0000

Différentes autorités ont à connaitre des manquements au RGPD et aux règles applicables aux données personnelles. Quand une sanction intervient, quelle décision est à contester ? La décision du 7 décembre 2022 du Tribunal de l’Union montre que cette interrogation n’est pas dépourvue d’intérêt.

La décision du 7 décembre 2022

Très brièvement les deux événements centraux

À compter de décembre 2018, l’autorité de contrôle irlandais a entamé d’office une enquête à caractère général sur le respect par WhatsApp, – société irlandaise -, des obligations de transparence et d’information à l’égard des particuliers (articles 12, 13 et 14 du règlement 2016/679, le Règlement Général sur la Protection des Données).

Le 20 août 2021, l’autorité de contrôle irlandaise a adressé à WhatsApp un rappel à l’ordre d’un certain nombre d’actions à mettre en œuvre ainsi que différentes amendes administratives d’un montant cumulé de 225 millions d’euros.

Mais entre ces deux date, cette autorité irlandaise, – l’autorité de contrôle chef de file – à échanger avec d’autres autorités de contrôle nationales (Allemagne, Hongrie, Pays-Bas, Pologne, France, Italie et Portugal), sans que puisse être établi entre ces différentes autorités un consensus sur les mesures à prendre .

L’autorité irlandaise a alors saisi le Comité Européen de la Protection des Données, selon la procédure prévue au RGPD ( articles 64 et 64), dont la décision intervient le 28 juillet 2021.

Quelle décision WhatsApp devait contester celle d’août 2021 de l’autorité irlandaise chef de file ou celle de juillet 2021 du CEPD ?

La réponse est donnée par l’ordonnance du 7 décembre 2022 du Tribunal de l’union qui examine le recours de WhatsApp contre la décision du ….. CEPD.

Reprenant la jurisprudence de la Cour sur les procédures conduisant à l’élaboration d’actes en plusieurs phases, l’ordonnance rappelle « ..en principe ne constituent pas des actes attaquables les mesures intermédiaires dont l’objectif est de préparer la décision finale ».
De plus à la décision du 2 juillet 2021 ne sont parties que les autorités de contrôle nationales et non WhatsApp !
Comme WhatsApp bénéficie d’une voie de recours prévue par le RGPD devant le juge national de l’autorité chef de file, c’est-à-dire que WhatsApp bénéficie d’une protection juridictionnelle effective.

Le recours de WhatsApp est jugé irrecevable.

Toutefois, si WhatsApp a déjà déposé un recours contre la décision de l’autorité irlandaise, le contentieux européen n’est pas terminé, l’ordonnance précisant :

« il appartiendra le cas échéant à la juridiction irlandaise saisie, seule compétente à cet égard, de contrôler la légalité de la décision finale opposable à WhatsApp en posant une question préjudicielle en appréciation de validité à la Cour de justice de l’Union européenne en ce qui concerne la décision attaquée si elle l’estime nécessaire pour statuer sur le litige opposant WhatsApp à l’autorité de contrôle irlandaise. La juridiction irlandaise saisie pourrait, à cet égard, régler le litige qui lui est soumis soit en écartant l’exception d’illégalité qui pourrait être soulevée à l’encontre de la décision attaquée sans s’adresser à la Cour, si elle n’éprouve pas de doutes sur la validité de cette décision, soit au contraire saisir la Cour si elle éprouve de tels doutes, soit encore régler le litige indépendamment de la question de la validité de la décision attaquée compte tenu des moyens soulevés devant elle. »

L’article Qui a condamné WhatsApp à 225 millions d’euros d’amende en 2021 ? est apparu en premier sur Philippe Schmitt Avocats.

Données personnelles. Leurs collectes et conservations de manière généralisée et indifférenciée, les précisions apportées par la Cour de Justice le 5 avril 2022.

Philippe Schmitt — Wed, 06 Apr 2022 09:32:49 +0000

La Grande Chambre de la Cour de Justice de l’Union, le 2 mars 2021, – l’arrêt – , avait déjà limité à certaines infractions pénales la collecte des données relatives au trafic ou de localisation et limité leur accès au seul contrôle du Ministère public :

1) L’article 15, paragraphe 1, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne, doit être interprété en ce sens qu’il s’oppose à une réglementation nationale permettant l’accès d’autorités publiques à un ensemble de données relatives au trafic ou de données de localisation, susceptibles de fournir des informations sur les communications effectuées par un utilisateur d’un moyen de communication électronique ou sur la localisation des équipements terminaux qu’il utilise et de permettre de tirer des conclusions précises sur sa vie privée, à des fins de prévention, de recherche, de détection et de poursuite d’infractions pénales, sans que cet accès soit circonscrit à des procédures visant à la lutte contre la criminalité grave ou à la prévention de menaces graves contre la sécurité publique, ce indépendamment de la durée de la période pour laquelle l’accès auxdites données est sollicité et de la quantité ou de la nature des données disponibles pour une telle période.

2) L’article 15, paragraphe 1, de la directive 2002/58, telle que modifiée par la directive 2009/136, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la charte des droits fondamentaux, doit être interprété en ce sens qu’il s’oppose à une réglementation nationale donnant compétence au ministère public, dont la mission est de diriger la procédure d’instruction pénale et d’exercer, le cas échéant, l’action publique lors d’une procédure ultérieure, pour autoriser l’accès d’une autorité publique aux données relatives au trafic et aux données de localisation aux fins d’une instruction pénale.

Le 5 avril 2022, la Grande Chambre de la Cour de Justice se prononce sur l’effet dans le temps d’une loi nationale non-conforme au droit de l’Union. Il s’agit dans cette affaire de la loi irlandaise de 2011 confrontée aux dispositions des deux directives de 2002 et de 2009. L’arrêt du 5 avril 2022.

3) Le droit de l’Union doit être interprété en ce sens qu’il s’oppose à ce qu’une juridiction nationale limite dans le temps les effets d’une déclaration d’invalidité qui lui incombe, en vertu du droit national, à l’égard d’une législation nationale imposant aux fournisseurs de services de communications électroniques une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation, en raison de l’incompatibilité de cette législation avec l’article 15, paragraphe 1, de la directive 2002/58, telle que modifiée par la directive 2009/136, lu à la lumière de la charte des droits fondamentaux. L’admissibilité des éléments de preuve obtenus au moyen d’une telle conservation relève, conformément au principe d’autonomie procédurale des États membres, du droit national, sous réserve du respect, notamment, des principes d’équivalence et d’effectivité.

Sur cette question, le Conseil Constitutionnel s’est exprimé,par exemple, à sa décision du 3 décembre 2021.

Est à noter que cet arrêt réaffirme la nécessité d’une autorisation préalable à l’accès par un fonctionnaire de police auxdites données,

2) L’article 15, paragraphe 1, de la directive 2002/58, telle que modifiée par la directive 2009/136, lu à la lumière des articles 7, 8, 11 et de l’article 52, paragraphe 1, de la charte des droits fondamentaux, doit être interprété en ce sens qu’il s’oppose à une législation nationale en vertu de laquelle le traitement centralisé des demandes d’accès à des données conservées par les fournisseurs de services de communications électroniques, émanant de la police dans le cadre de la recherche et de la poursuite d’infractions pénales graves, incombe à un fonctionnaire de police, assisté par une unité instituée au sein de la police jouissant d’un certain degré d’autonomie dans l’exercice de sa mission et dont les décisions peuvent faire ultérieurement l’objet d’un contrôle juridictionnel.

Ce principe a conduit le Conseil d’Etat à interroger la Cour de justice à propos de l’accès par les agents de l’HADOPI aux données fournies par les opérateurs de communications électroniques, c’est là.

Toutefois, au-delà des actes de terrorisme, cet arrêt précise la catégories et l’étendue des mesures de conservation de ces données dans le cas des actes de criminalité grave ( les faits à l’origine de la saisine de la Cour étaient une condamnation pour meurtre ).

1)      L’article 15, paragraphe 1, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne, doit être interprété en ce sens qu’il s’oppose à des mesures législatives prévoyant, à titre préventif, aux fins de la lutte contre la criminalité grave et de la prévention des menaces graves contre la sécurité publique, une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation. En revanche, ledit article 15, paragraphe 1, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la charte des droits fondamentaux, ne s’oppose pas à des mesures législatives prévoyant, aux fins de la lutte contre la criminalité grave et de la prévention des menaces graves contre la sécurité publique,

–        une conservation ciblée des données relatives au trafic et des données de localisation qui soit délimitée, sur la base d’éléments objectifs et non discriminatoires, en fonction de catégories de personnes concernées ou au moyen d’un critère géographique, pour une période temporellement limitée au strict nécessaire, mais renouvelable ;

–        une conservation généralisée et indifférenciée des adresses IP attribuées à la source d’une connexion, pour une période temporellement limitée au strict nécessaire ;

–        une conservation généralisée et indifférenciée des données relatives à l’identité civile des utilisateurs de moyens de communications électroniques, et

–        le recours à une injonction faite aux fournisseurs de services de communications électroniques, au moyen d’une décision de l’autorité compétente soumise à un contrôle juridictionnel effectif, de procéder, pour une durée déterminée, à la conservation rapide des données relatives au trafic et des données de localisation dont disposent ces fournisseurs de services,

dès lors que ces mesures assurent, par des règles claires et précises, que la conservation des données en cause est subordonnée au respect des conditions matérielles et procédurales y afférentes et que les personnes concernées disposent de garanties effectives contre les risques d’abus.

L’article Données personnelles. Leurs collectes et conservations de manière généralisée et indifférenciée, les précisions apportées par la Cour de Justice le 5 avril 2022. est apparu en premier sur Philippe Schmitt Avocats.

Données personnelles : à propos des réquisitions des données de connexion et autres données informatique portant sur des données nominatives.

Philippe Schmitt — Wed, 02 Feb 2022 10:02:14 +0000

Le 3 décembre 2021, le Conseil constitutionnel s’est prononcé sur la licéité de la collecte des données personnelles sur réquisition de données informatiques par le procureur de la République dans le cadre d’une enquête préliminaire. La décision

La question de la collecte des données nominatives lors de mesure d’enquête administrative ou d’enquête préliminaire a déjà été signalée ici à propos de l’HADOPI et de la collecte massive et préalable de données auprès des opérateurs de téléphonies.

La Cour de justice s’est également prononcée sur cette question plus récemment par une décision du 5 avril 2022.

Les dispositions contestées de la loi française:

L’article 77-1-1 du code de procédure pénale, dans sa rédaction résultant de la loi 24 décembre 2020, prévoit :
« Le procureur de la République ou, sur autorisation de celui-ci, l’officier ou l’agent de police judiciaire, peut, par tout moyen, requérir de toute personne, de tout établissement ou organisme privé ou public ou de toute administration publique qui sont susceptibles de détenir des informations intéressant l’enquête, y compris celles issues d’un système informatique ou d’un traitement de données nominatives, de lui remettre ces informations, notamment sous forme numérique, le cas échéant selon des normes fixées par voie réglementaire, sans que puisse lui être opposée, sans motif légitime, l’obligation au secret professionnel. Lorsque les réquisitions concernent des personnes mentionnées aux articles 56-1 à 56-5, la remise des informations ne peut intervenir qu’avec leur accord.
« En cas d’absence de réponse de la personne aux réquisitions, les dispositions du second alinéa de l’article 60-1 sont applicables.
« Le dernier alinéa de l’article 60-1 est également applicable.
« Le procureur de la République peut, par la voie d’instructions générales prises en application de l’article 39-3, autoriser les officiers ou agents de police judiciaire, pour des catégories d’infractions qu’il détermine, à requérir de toute personne, de tout établissement ou organisme privé ou public ou de toute administration publique, de leur remettre des informations intéressant l’enquête qui sont issues d’un système de vidéoprotection. Le procureur est avisé sans délai de ces réquisitions. Ces instructions générales ont une durée qui ne peut excéder six mois. Elles peuvent être renouvelées ».
L’article 77-1-2 du même code, dans sa rédaction résultant de la loi du 23 mars 2019, prévoit :
« Sur autorisation du procureur de la République, l’officier ou l’agent de police judiciaire peut procéder aux réquisitions prévues par le premier alinéa de l’article 60-2.
« Sur autorisation du juge des libertés et de la détention saisi à cette fin par le procureur de la République, l’officier ou l’agent de police peut procéder aux réquisitions prévues par le deuxième alinéa de l’article 60-2.
« Les organismes ou personnes concernés mettent à disposition les informations requises par voie télématique ou informatique dans les meilleurs délais.
« Le fait de refuser de répondre sans motif légitime à ces réquisitions est puni conformément aux dispositions du quatrième alinéa de l’article 60-2 ».

Le 3 décembre 2021, le Conseil constitutionnel s’est prononcé sur la compatibilité de ces dispositions :

Qui permettent « au procureur de la République d’autoriser, sans contrôle préalable d’une juridiction indépendante, la réquisition d’informations issues d’un système informatique ou d’un traitement de données nominatives, qui comprennent les données de connexion. »
Au regard du droit de l’Union européenne et, d’autre part, du droit au respect de la vie privée, ainsi que des droits de la défense et du droit à un recours juridictionnel effectif.

Ce que dit le Conseil Constitutionnel.

Sur le droit de l’Union invoqué :

….sans qu’il soit besoin de se prononcer ni sur le grief tiré de la méconnaissance du droit de l’Union européenne qu’il n’appartient pas, au demeurant, au Conseil constitutionnel d’examiner..

Au regard des dispositions nationales :

D’une part, les données de connexion comportent notamment les données relatives à l’identification des personnes, à leur localisation et à leurs contacts téléphoniques et numériques ainsi qu’aux services de communication au public en ligne qu’elles consultent. Compte tenu de leur nature, de leur diversité et des traitements dont elles peuvent faire l’objet, les données de connexion fournissent sur les personnes en cause ainsi que, le cas échéant, sur des tiers, des informations nombreuses et précises, particulièrement attentatoires à leur vie privée.

D’autre part, en application des dispositions contestées, la réquisition de ces données est autorisée dans le cadre d’une enquête préliminaire qui peut porter sur tout type d’infraction et qui n’est pas justifiée par l’urgence ni limitée dans le temps.

Si ces réquisitions sont soumises à l’autorisation du procureur de la République, magistrat de l’ordre judiciaire auquel il revient, en application de l’article 39-3 du code de procédure pénale, de contrôler la légalité des moyens mis en œuvre par les enquêteurs et la proportionnalité des actes d’investigation au regard de la nature et de la gravité des faits, le législateur n’a assorti le recours aux réquisitions de données de connexion d’aucune autre garantie.

Les termes visés par la décision d’inconstitutionnalité.

Article 1^er. – Les mots «, y compris celles issues d’un système informatique ou d’un traitement de données nominatives, » figurant à la première phrase du premier alinéa de l’article 77-1-1 du code de procédure pénale, dans sa rédaction résultant de la loi n° 2020-1672 du 24 décembre 2020 relative au Parquet européen, à la justice environnementale et à la justice pénale spécialisée, et « aux réquisitions prévues par le premier alinéa de l’article 60-2 » figurant au premier alinéa de l’article 77-1-2 du même code, dans sa rédaction résultant de la loi n° 2019-222 du 23 mars 2019 de programmation 2018-2022 et de réforme pour la justice, sont contraires à la Constitution.

Article 2. – La déclaration d’inconstitutionnalité de l’article 1^er prend effet dans les conditions fixées au paragraphe 17 de cette décision. [31 décembre 2022]

L’article Données personnelles : à propos des réquisitions des données de connexion et autres données informatique portant sur des données nominatives. est apparu en premier sur Philippe Schmitt Avocats.

Données personnelles de connexion : un contrôle préalable par une juridiction ou une autorité indépendante à l’accès par les agents de l’HADOPI

Philippe Schmitt — Wed, 25 Aug 2021 08:45:10 +0000

Par son arrêt du 5 juillet 2021, le Conseil d’Etat interroge la Cour de justice sur la nécessité ou non d’un contrôle préalable par une juridiction ou une autorité indépendante à l’accès par les agents de l’HADOPI aux données fournies par les opérateurs de communications électroniques.

A voir plus récemment la décision du Conseil Constitutionnel du 3 décembre 2021

A) Les questions préjudicielles à l’arrêt du 5 juillet 2021.

Les données d’identité civile correspondant à une adresse IP sont-elles au nombre des données relatives au trafic ou de localisation soumises, en principe, à l’obligation d’un contrôle préalable par une juridiction ou une entité administrative indépendante dotée d’un pouvoir contraignant ‘
2. S’il est répondu par l’affirmative à la première question, et eu égard à la faible sensibilité des données relatives à l’identité civile des utilisateurs, y compris leurs coordonnées, la directive du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, lue à la lumière de la Charte des droits fondamentaux de l’Union européenne, doit-elle être interprétée comme s’opposant à une réglementation nationale prévoyant le recueil de ces données correspondant à l’adresse IP des utilisateurs par une autorité administrative, sans contrôle préalable par une juridiction ou une entité administrative indépendante dotée d’un pouvoir contraignant ‘
3. S’il est répondu par l’affirmative à la deuxième question, et eu égard à la faible sensibilité des données relatives à l’identité civile, à la circonstance que seules ces données peuvent être recueillies, pour les seuls besoins de la prévention de manquements à des obligations définies de façon précise, limitative et restrictive par le droit national, et à la circonstance qu’un contrôle systématique de l’accès aux données de chaque utilisateur par une juridiction ou une entité administrative tierce dotée d’un pouvoir contraignant serait de nature à compromettre l’accomplissement de la mission de service public confiée à l’autorité administrative elle-même indépendante qui procède à ce recueil, la directive fait-elle obstacle à ce que ce contrôle soit effectué selon des modalités adaptées, tel qu’un contrôle automatisé, le cas échéant sous la supervision d’un service interne à l’organisme présentant des garanties d’indépendance et d’impartialité à l’égard des agents chargés de procéder à ce recueil ‘

B) Ces questions préjudicielles interviennent après une décision du Conseil Constitutionnel !

En rouge les dispositions abrogées à compter du 31 décembre 2020 par la décision du Conseil Constitutionnel du 20 mai 2020, décision n° 2020_841 QPC du 20 mai 2020. On sait que le Conseil Constitutionnel n’est pas juge de la conformité des lois au droit de l’Union.

Article L331-21 du CPI

Pour l’exercice, par la commission de protection des droits, de ses attributions, la Haute Autorité dispose d’agents publics assermentés habilités par le président de la Haute Autorité dans des conditions fixées par un décret en Conseil d’Etat. Cette habilitation ne dispense pas de l’application des dispositions définissant les procédures autorisant l’accès aux secrets protégés par la loi.

Les membres de la commission de protection des droits et les agents mentionnés au premier alinéa reçoivent les saisines adressées à ladite commission dans les conditions prévues à l’article L. 331-24. Ils procèdent à l’examen des faits.

Ils peuvent, pour les nécessités de la procédure, obtenir tous documents, quel qu’en soit le support, y compris les données conservées et traitées par les opérateurs de communications électroniques en application de l’article L. 34-1 du code des postes et des communications électroniques et les prestataires mentionnés aux 1 et 2 du I de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique.

Ils peuvent également obtenir copie des documents mentionnés à l’alinéa précédent.

Ils peuvent, notamment, obtenir des opérateurs de communications électroniques l’identité, l’adresse postale, l’adresse électronique et les coordonnées téléphoniques de l’abonné dont l’accès à des services de communication au public en ligne a été utilisé à des fins de reproduction, de représentation, de mise à disposition ou de communication au public d’œuvres ou d’objets protégés sans l’autorisation des titulaires des droits prévus aux livres Ier et II lorsqu’elle est requise.

Au CPI pour ces données communiquées par les opérateurs est prévu un traitement automatisé.

Article L331-29

Est autorisée la création, par la Haute Autorité, d’un traitement automatisé de données à caractère personnel portant sur les personnes faisant l’objet d’une procédure dans le cadre de la présente sous-section.

Ce traitement a pour finalité la mise en œuvre, par la commission de protection des droits, des mesures prévues à la présente sous-section, de tous les actes de procédure afférents et des modalités de l’information des organismes de défense professionnelle et des organismes de gestion collective des éventuelles saisines de l’autorité judiciaire ainsi que des notifications prévues au cinquième alinéa de l’article L. 335-7.

Un décret en Conseil d’Etat, pris après avis de la Commission nationale de l’informatique et des libertés, fixe les modalités d’application du présent article. Il précise notamment :

― les catégories de données enregistrées et leur durée de conservation ;

― les destinataires habilités à recevoir communication de ces données, notamment les personnes dont l’activité est d’offrir un accès à des services de communication au public en ligne ;

― les conditions dans lesquelles les personnes intéressées peuvent exercer, auprès de la Haute Autorité, leur droit d’accès aux données les concernant conformément à la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

Et à la partie règlementaire du CPI une obligation de communication à la charge des opérateurs de communications électroniques est organisée par le décret du 5 mars 2020.

Article R331-37

Les opérateurs de communications électroniques mentionnés à l‘article L. 34-1 du code des postes et des communications électroniques et les prestataires mentionnés aux 1 et 2 du I de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique sont tenus de communiquer, par une interconnexion au traitement automatisé de données à caractère personnel mentionné à l’article L. 331-29 ou par le recours à un support d’enregistrement assurant leur intégrité et leur sécurité, les données à caractère personnel et les informations mentionnées au 2° de l’annexe du décret n° 2010-236 du 5 mars 2010 dans un délai de huit jours suivant la transmission par la commission de protection des droits des données techniques nécessaires à l’identification de l’abonné dont l’accès à des services de communication au public en ligne a été utilisé à des fins de reproduction, de représentation, de mise à disposition ou de communication au public d’œuvres ou d’objets protégés sans l’autorisation des titulaires des droits prévus aux livres Ier et II lorsqu’elle est requise.

Ces opérateurs et prestataires sont également tenus de fournir les documents et les copies des documents mentionnés aux troisième et quatrième alinéas de l’article L. 331-21 dans un délai de quinze jours suivant la demande qui leur en est faite par la commission de protection des droits.

Les opérateurs sont tenus d’adresser par voie électronique à l’abonné chacune des recommandations mentionnées respectivement au premier et au deuxième alinéa de l’article L. 331-25, dans un délai de vingt-quatre heures suivant sa transmission par la commission de protection des droits.

Différents associations ont demandé l’abrogation du décret mais sans succès, l’affaire est portée devant le Conseil d’Etat. L’arrêt est du 10 juillet 2021.

C) Sur la conséquence de la décision du Conseil Constitutionnel.

Par sa décision n° 2020-841 QPC du 20 mai 2020, le Conseil constitutionnel a déclaré les troisième et quatrième alinéas de l’article L. 331-21 du code de la propriété intellectuelle cité au point 2, ainsi que le mot » notamment » figurant au cinquième alinéa du même article, contraires à la Constitution, en l’absence de garanties propres à assurer une conciliation qui ne soit pas manifestement déséquilibrée entre le droit au respect de la vie privée et l’objectif de sauvegarde de la propriété intellectuelle. L’article 2 du dispositif de cette décision précise que la déclaration d’inconstitutionnalité prend effet dans les conditions prévues au paragraphe 21, qui prévoit qu’il » y a lieu de reporter au 31 décembre 2020 la date de l’abrogation des dispositions contestées « . En revanche, le reste du dernier alinéa de l’article L. 331-21, qui permet à la Haute Autorité pour la diffusion des oeuvres et la protection des droits sur internet d’obtenir des opérateurs de communications électroniques l’identité, l’adresse postale, l’adresse électronique et les coordonnées téléphoniques de l’abonné est déclaré conforme à la Constitution.

D) Mais au regard des dispositions du droit de l’Union

La nécessité d’un contrôle préalable et indépendant posé par la Cour de justice.

D’autre part, par son arrêt du 21 décembre 2016 Tele2 Sverige AB c/ Post-och telestyrelsen et Secretary of State for the Home Department c/ Tom Watson et autres (C 203/15 et C 698/15), la Cour de justice de l’Union européenne a dit pour droit que l’article 15 de la directive du 12 juillet 2002 devait : » être interprété en ce sens qu’il s’oppose à une réglementation nationale régissant la protection et la sécurité des données relatives au trafic et des données de localisation, en particulier l’accès des autorités nationales compétentes aux données conservées, (…) sans soumettre ledit accès à un contrôle préalable par une juridiction ou une autorité administrative indépendante « . Le point 120 de cet arrêt précise que » Aux fins de garantir, en pratique, le plein respect de ces conditions, il est essentiel que l’accès des autorités nationales compétentes aux données conservées soit, en principe, sauf cas d’urgence dûment justifiés, subordonné à un contrôle préalable effectué soit par une juridiction soit par une entité administrative indépendante, et que la décision de cette juridiction ou de cette entité intervienne à la suite d’une demande motivée de ces autorités présentée, notamment, dans le cadre de procédures de prévention, de détection ou de poursuites pénales « . Si la Cour de justice n’a rappelé cette règle dans son arrêt du 6 octobre 2020 mentionné au point 14 qu’à propos du recueil en temps réel des données de connexion par les services de renseignement, elle a rappelé l’obligation d’un contrôle préalable de l’accès des autorités nationales aux données de connexion par une juridiction ou une autorité administrative indépendante dans son arrêt du 2 mars 2021 H.K. / Prokuratuur (C 746/18).

La situation au sein de l’HADOPI : l’importance des notifications et donc des données de connexion demandées aux opérateurs et nécessaires à la mission de service public.

Il ressort du rapport d’activité 2019 de la Hadopi que, depuis sa création en 2009, plus de 12.7 millions de recommandations ont été adressés aux titulaires d’abonnements en application de la procédure dite de » réponse graduée « détaillée au point 2, dont 827 791 recommandations au titre de la seule année 2019. Pour la mise en oeuvre de cette procédure, les agents de la commission de protection des droits de la Hadopi doivent pouvoir recueillir, chaque année, un nombre considérable de données relatives à l’identité civile des utilisateurs concernés. Le fait de soumettre ce recueil à un contrôle préalable risque ainsi de rendre impossible la mise en oeuvre des recommandations. Dans ces conditions, la question de savoir si les données d’identité civile correspondant à une adresse IP sont au nombre des données relatives au trafic ou de localisation soumises, en principe, à l’obligation d’un contrôle préalable par une juridiction ou une entité administrative indépendante dotée d’un pouvoir contraignant soulève une difficulté d’interprétation du droit de l’Union européenne. S’il est répondu par l’affirmative à la première question, et eu égard à la faible sensibilité des données relatives à l’identité civile des utilisateurs, y compris leurs coordonnées, la directive du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, lue à la lumière de la Charte des droits fondamentaux de l’Union européenne, doit-elle être interprétée comme s’opposant à une réglementation nationale prévoyant le recueil de ces données correspondant à l’adresse IP des utilisateurs par une autorité administrative, sans contrôle préalable par une juridiction ou une entité administrative indépendante dotée d’un pouvoir contraignant ‘ S’il est répondu par l’affirmative à la deuxième question, et eu égard à la faible sensibilité des données relatives à l’identité civile, à la circonstance que seules ces données peuvent être recueillies, pour les seuls besoins de la prévention de manquements à des obligations définies de façon précise, limitative et restrictive par le droit national, et à la circonstance qu’un contrôle systématique de l’accès aux données de chaque utilisateur par une juridiction ou une entité administrative tierce dotée d’un pouvoir contraignant serait de nature à compromettre l’accomplissement de la mission de service public confiée à l’autorité administrative elle-même indépendante qui procède à ce recueil, la directive fait-elle obstacle à ce que ce contrôle soit effectué selon des modalités adaptées, tel qu’un contrôle automatisé, le cas échéant sous la supervision d’un service interne à l’organisme présentant des garanties d’indépendance et d’impartialité à l’égard des agents chargés de procéder à ce recueil ‘

L’article Données personnelles de connexion : un contrôle préalable par une juridiction ou une autorité indépendante à l’accès par les agents de l’HADOPI est apparu en premier sur Philippe Schmitt Avocats.

CNIL : les critères de détermination du responsable de traitement, une question à 400 000 €

Philippe Schmitt — Thu, 12 Aug 2021 14:38:46 +0000

Qui est le responsable du traitement celui qui effectue techniquement la collecte, le traitement et l’organisation en fichier ou celui qui a demandé ces prestations pour identifier et recenser les parties prenantes du secteur afin de mettre en place une stratégie de communication ciblée ? Ces critères distinguent le responsable du traitement de son sous-traitant. L’enjeu de la réponse est ici de 400 000 € montant de l’amende prononcée par la CNIL.

Pour la CNIL, le responsable du traitement est celui qui bénéfice d’une autonomie pour déterminer la finalité et les moyens du traitement. Cette définition ressort de sa décision du 26 juillet 2021 dont de nombreux passages sont repris ci-dessous et qui en montre l’importance pratique. La délibération de la formation restreinte de la CNIL du 26 juillet 2021

Le contexte de cette affaire : un contrat de prestations

Il ressort des investigations …. que, par un contrat cadre de prestation de services en date du 18 juillet 2013, complété par trois avenants et quatre cahiers des charges, la société M…… a confié à la société FH…………….- devenue le 1er janvier 2017 la société…………. – une mission de représentation d’intérêts concernant l’utilisation du glyphosate en Europe et dans le monde, à compter de 2016 et jusqu’au 31 mai 2019.

La nature des données

Dans le cadre de cette prestation, la société FH…………….a procédé à l’identification et au recensement d’informations relatives à des personnalités impliquées dans le débat sur le renouvellement de l’autorisation d’utilisation du glyphosate en Europe, qui s’est notamment concrétisé par l’élaboration et la tenue d’une liste des « parties prenantes » intervenant dans le cadre de cette campagne. Ce fichier, intitulé « French M…… stakeholders database – cultivating trust » , comportait une liste de 201 personnes résidant en France, dont des membres d’associations de protection de l’environnement, d’associations d’agriculteurs, d’associations dans le domaine de la santé, d’organisations professionnelles, des personnalités politiques, des membres d’administrations, des journalistes, des universitaires et des agriculteurs. Pour chacune de ces personnes, les informations suivantes étaient renseignées : organisme de rattachement et site web, poste occupé, adresse professionnelle, numéro de téléphone fixe professionnel, numéro de téléphone portable, adresse de messagerie électronique professionnelle et, le cas échéant, compte « Twitter » .

Le traitement des données personnelles

En outre, une note allant de 1 à 5 était attribuée à chaque personne, afin d’évaluer son influence, sa crédibilité et son soutien à la société M…… sur six sujets, en l’occurrence l’agriculture, les pesticides, les organismes génétiquement modifiés, l’environnement, l’alimentation et la santé.
Le fichier comportait également une zone de commentaire libre dans laquelle pouvaient être indiqués les évènements auxquels ces personnes avaient assisté ou qu’elles avaient organisé, les personnes avec qui elles travaillaient, les contacts qu’elles avaient eus avec des représentants de la société M…… ou encore les articles qu’elles avaient publiés au sujet du glyphosate.

Le débat sur la qualité de responsable de traitement

La disposition invoquée du RGPD

Aux termes de l’article 4 (7) du RGPD, le responsable de traitement est défini comme étant « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement « .

La position du rapporteur

La rapporteure considère qu’en l’espèce, la société M…… doit être regardée comme le responsable du traitement en question dans la mesure où elle est la personne pour le compte de laquelle le traitement est mis en œuvre, qui détermine pourquoi le traitement a lieu et comment son objectif doit être atteint. En effet, le fichier en cause avait pour objet de permettre à la société M…… d’identifier et de recenser les parties prenantes du secteur afin de mettre en place une stratégie de communication ciblée en faveur du renouvellement de l’autorisation du glyphosate par la Commission européenne. Elle rappelle ainsi que c’est pour atteindre cet objectif qu’elle a décidé de confier à la société FH…………….l’ensemble des activités liées aux relations publiques et à la réputation de l’entreprise et, plus particulièrement à compter de 2016, une mission de représentation d’intérêts concernant l’utilisation du glyphosate en Europe et dans le monde et que c’est dans le cadre de cette mission que le fichier nommé « 20160822 French M…… stakeholders database – cultivating trust » a été établi.

La position de M…… : une confusion entre bénéficiaire du service et responsable du traitement

En défense, la société estime que la responsabilité du traitement incombait exclusivement à la société FH…………….et que la rapporteure confond les notions de bénéficiaire d’un service et celle de responsable de traitement. Elle souligne que c’est la société FH…………….qui, en sa qualité d’entreprise spécialisée en matière de conseil et de relations publiques, a construit le fichier de manière autonome, selon une méthodologie qu’elle a elle-même définie, puis qui l’a proposé à la société M…….
La société souligne que c’est en raison de l’expertise de la société FH…………….qu’elle a fait appel à ses services et que la constitution de listes de noms est une pratique courante dans ce secteur d’activités. Elle rappelle qu’elle n’a jamais donné d’instructions à la société FH…………….quant à la façon d’effectuer cette mission et qu’elle n’a fait que réagir aux propositions faites par cette dernière.
…., elle n’a jamais utilisé le fichier en question. Or, elle note que si elle avait agi en tant que responsable de traitement, elle aurait demandé à la société FH…………….de modifier le fichier à sa convenance afin d’obtenir un résultat correspondant davantage à ses attentes.
La société indique en outre que la société FH…………….se présente sur son site internet comme le responsable de traitement des données traitées dans le cadre des missions qui lui sont confiées par ses clients. Elle rappelle également que c’est la société FH…………….qui a répondu aux demandes d’exercice des droits des personnes concernées en lien avec le traitement en cause.

Ce que dit la CNIL

En premier lieu, …..le responsable de traitement est la personne qui détermine les finalités du traitement mis en œuvre, c’est-à-dire le résultat attendu ou recherché, et les moyens de ce traitement, c’est-à-dire la façon de parvenir à ce résultat.
Les notions de responsable de traitement et de sous-traitant sont éclairées par le Comité européen de la protection des données (ci-après « le CEPD » ) dans ses lignes directrices 07/2020 adoptées le 2 septembre 2020 et soumises à consultation publique. Le CEPD y indique que « Déterminer les finalités et les moyens revient à décider respectivement du « pourquoi » et du « comment » du traitement : s’agissant d’une opération de traitement particulière, le responsable du traitement est l’acteur qui a déterminé pourquoi le traitement a lieu (c’est-à-dire « dans quel but » ou « pour quel objectif » ) et comment cet objectif doit être atteint (c’est-à-dire quels moyens doivent être utilisés pour atteindre l’objectif). Une personne physique ou morale qui exerce une telle influence sur le traitement des données à caractère personnel participe ainsi à la détermination des finalités et des moyens de ce traitement conformément à la définition de l’article 4, paragraphe 7, du RGPD. Le responsable du traitement doit décider à la fois de la finalité et des moyens de traitement décrits ci-dessous. Par conséquent, le responsable du traitement ne peut pas déterminer uniquement la finalité. Il doit également prendre des décisions sur les moyens du traitement. Inversement, la partie agissant en tant que sous-traitant ne peut jamais déterminer la finalité du traitement » (traduction libre).

Les faits établissant cette connaissance de la finalité et des moyens

la société FH…………….a été plus particulièrement chargée d’établir la liste des « parties prenantes » ( « stakeholders » ) dans le cadre de la campagne pour le renouvellement de l’autorisation du glyphosate en Europe.
……………..Il apparaît ainsi que la société FH…………….était explicitement tenue d’établir la liste des parties prenantes dans le cadre de la campagne pour le renouvellement de l’autorisation du glyphosate en Europe.

39…………, il ressort de plusieurs échanges intervenus entre les deux sociétés par voie électronique que la société M…… a été étroitement associée à l’identification et au recensement des parties prenantes impliquées dans le débat sur le glyphosate, activité qui s’est notamment concrétisée par l’élaboration du fichier en question. ………………………..

Les pièces annexées au rapport de sanction attestent ainsi de l’implication de la société M…… dans le suivi des tâches réalisées par la société FH……………, et notamment l’organisation d’échanges quotidiens entre les équipes, de points hebdomadaires, mensuels et trimestriels permettant à la société M…… de suivre l’avancée des tâches confiées à FH…………….et la livraison du travail réalisé ou en cours de réalisation.

La formation restreinte considère que ces échanges démontrent que la société FH…………….rendait compte à la société M…… de la progression de la campagne liée au renouvellement du glyphosate et des actions menées dans ce cadre, et surtout que cette dernière exerçait un pouvoir de direction sur les activités de la société FH……………., la privant ainsi de l’autonomie dont jouit normalement un responsable de traitement. Ces éléments démontrent que la société FH…………….a agi en tant que sous-traitant de la société M……, au sens de l’article 4(8) du RGPD.
La formation restreinte souligne au contraire que c’est le fait pour la société M……, société donneuse d’ordre, de décider d’accepter la proposition faite par la société FH…………., et de lui demander contractuellement de réaliser des opérations pour son compte en tant que prestataire, qui a permis au traitement d’exister. En effet, si la société M…… avait refusé cette proposition, la société FH…………….n’aurait pas mis en œuvre ce traitement. …..

Répondre à des demandes de droit d’accès n’emporte pas la qualité de responsable du traitement

En dernier lieu, la formation restreinte considère que le fait pour la société FH…………….d’avoir répondu à des demandes de droits d’accès n’emporte pas pour autant la qualification de responsable de traitement. En effet, l’article 28-3-e du RGPD prévoit que le sous-traitant « aide le responsable du traitement, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits » . Ainsi, au regard des spécificités du traitement, le sous-traitant peut répondre lui-même aux demandes des personnes si cette mesure permet un meilleur respect des droits des personnes. Il est d’ailleurs courant que ce soit le sous-traitant qui soit le plus à même de traiter les demandes d’exercice de droit.

La formation restreinte de la CNIL considère donc, compte tenu de ces éléments, que la société M…… doit être qualifiée de responsable de traitement.

La CNIL condamne la société M…… en sa qualité de responsable du traitement à une amende de 400 000 €.

L’article CNIL : les critères de détermination du responsable de traitement, une question à 400 000 € est apparu en premier sur Philippe Schmitt Avocats.

Sanction contre l’éditeur du site pour des cookies déposés pas des sociétés tierces

Philippe Schmitt — Thu, 05 Aug 2021 13:22:47 +0000

Dans sa décision du 27 juillet 2021, la CNIL à propos de cookies de sociétés tierces au journal éditeur du site déposés sur les ordinateurs des lecteurs, condamne cet éditeur :

La formation restreinte rappelle ensuite que le Conseil d’État ….a jugé ….. qu’au titre des obligations qui pèsent sur l’éditeur d’un site qui dépose des « cookies tiers » , figurent celle de s’assurer auprès de ses partenaires, d’une part, qu’ils n’émettent pas, par l’intermédiaire de son site, des traceurs qui ne respectent pas la règlementation applicable en France et, d’autre part, celle d’effectuer toute démarche utile auprès d’eux pour mettre fin à des manquements. Le Conseil d’État a en particulier jugé que « les éditeurs de site qui autorisent le dépôt et l’utilisation de tels « cookies » par des tiers à l’occasion de la visite de leur site doivent également être considérés comme responsables de traitement, alors même qu’ils ne sont pas soumis à l’ensemble des obligations qui s’imposent au tiers qui a émis le « cookie » , notamment lorsque ce dernier conserve seul la maîtrise du respect de sa finalité ou de sa durée de conservation. Au titre des obligations qui pèsent sur l’éditeur de site dans une telle hypothèse, figurent celle de s’assurer auprès de ses partenaires qu’ils n’émettent pas, par l’intermédiaire de son site, des « cookies » qui ne respectent pas la règlementation applicable en France et celle d’effectuer toute démarche utile auprès d’eux pour mettre fin à des manquements » (surlignement ajouté).

L’article Sanction contre l’éditeur du site pour des cookies déposés pas des sociétés tierces est apparu en premier sur Philippe Schmitt Avocats.

Données personnelles de géolocalisation : un accès sous contrôle même pour le Ministère Public

Philippe Schmitt — Wed, 10 Mar 2021 16:37:03 +0000

(Article publié sur le site du village de la justice le 4 mars 2021)

Le lendemain de la décision rendue par le Tribunal correctionnel de Paris à propos de faits révélés lors d’écoutes téléphoniques, affaire où étaient également évoquées des fadettes, le 2 mars 2020, la Cour de justice a limité strictement l’emploi des données personnelles de géolocalisation dans le procès pénal. Les pouvoirs de réquisition du Ministère public de l’article 77-1-1 du Code de procédure pénale sont -ils encore envisageables pour des données personnelles de géolocalisation ?

Saisie de questions préjudicielles de la juridiction suprême estonienne où le prévenu contestait la recevabilité des procès-verbaux établis à partir des données obtenues auprès d’opérateurs de téléphonie, la Grande chambre de la Cour de justice, c’est dire l’importance de cette décision, appliquant les dispositions de la directive de 2002 concernant le traitement des données à caractère personnel et à la protection de la vie privée dans le secteur des communications électroniques, et celles de la Charte, encadre très strictement l’accès de ces données par le Ministère Public.

Les données relatives au trafic et à la localisation collectées par les opérateurs

Sont en cause dans cette procédure pénale estonienne « des données permettant de retrouver et d’identifier la source et la destination d’une communication téléphonique à partir du téléphone fixe ou mobile du suspect, d’en déterminer la date, l’heure, la durée et la nature, d’identifier le matériel de communication utilisé ainsi que de localiser le matériel de communication mobile. Ces données permettent notamment de localiser le téléphone mobile sans qu’une communication soit nécessairement acheminée. En outre, elles offrent la possibilité de déterminer la fréquence des communications de l’utilisateur avec certaines personnes pendant une période donnée ».

L’accès à ces données a été demandé par le Ministère public après le début de leur collecte par l’opérateur. En Estonie « l’accès auxdites données peut, en matière de lutte contre la criminalité, être sollicité pour tout type d’infraction pénale ».

L’accès à de tels données est limité aux seuls cas de criminalité grave ou de prévention de menaces graves pour la sécurité publique

Classiquement, l’accès à de telles données ne pouvait être accordé que pour autant que ces données aient été conservées par les fournisseurs de manière conforme aux dispositions de la directive.

Avec cette décision du 2 mars 2021, la Cour de justice pose un principe essentiel « seuls les objectifs de lutte contre la criminalité grave ou de prévention de menaces graves pour la sécurité publique sont de nature à justifier l’accès des autorités publiques à [cet] ensemble de données ». Principe dont par cette même décision la Cour renforce la portée : seuls ces objectifs permettent » cet accès indépendamment de la durée de la période pour laquelle l’accès aux données est sollicité et de la quantité ou de la nature des données disponibles pour une telle période« . En effet, il aurait été tentant pour contourner le principe de limiter la demande d’accès soit en diminuant la période concernée soit en minorant la quantité ou la quantité des données disponibles.

Même dans les cas de criminalité grave ou de prévention de menaces graves pour la sécurité publique l’accès à ces données doit être soumis à des critères objectifs

Autre conséquence de la prédominance de la protection des droits fondamentaux, « la réglementation nationale concernée doit se fonder sur des critères objectifs pour définir les circonstances et les conditions dans lesquelles doit être accordé aux autorités nationales compétentes l’accès aux données en cause« .

Et parmi ces circonstances et conditions, des éléments doivent établir que ces personnes dont l’accès aux données est demandé, sont « soupçonnées de projeter, de commettre ou d’avoir commis une infraction grave ou encore d’être impliquées d’une manière ou d’une autre dans une telle infraction ».

N’échapperaient à cette exigence que des situations particulières « telles que celles dans lesquelles des intérêts vitaux de la sécurité nationale, de la défense ou de la sécurité publique sont menacés par des activités de terrorisme« où l’accès aux données d’autres personnes pourrait également être accordé « lorsqu’il existe des éléments objectifs permettant de considérer que ces données pourraient, dans un cas concret, apporter une contribution effective à la lutte contre de telles activités ».

L’effectivité de cet accès limité s’impose au juge pénal national.

Classiquement c’est le droit national qui fixe les règles relatives à l’admissibilité et à l’exploitation des informations et des éléments de preuve par le juge pénal, Toutefois, la Cour de justice impose au juge national d’écarter un tel moyen de preuve qui ne respecterait pas ce principe pour violation du droit à un procès équitable.

Même dans le cas d’une procédure pénale ouverte à l’encontre de personnes soupçonnées d’actes de criminalité, la Cour de justice impose au juge national d’écarter ces preuves, « si ces personnes ne sont pas en mesure de commenter efficacement ces informations et ces éléments de preuve, provenant d’un domaine échappant à la connaissance des juges et qui sont susceptibles d’influencer de manière prépondérante l’appréciation des faits ».

Un contrôle préalable par une juridiction ou une autorité indépendante aux demandes d’accès par le Ministère Public

Autre exigence posée par la Cour de justice, le contrôle préalable de l’accès à ces données par une juridiction ou par une autorités admirative indépendante et dont la décision du 2 mars 2021 écarte le Ministère Public : « Tel n’est pas le cas d’un ministère public qui dirige la procédure d’enquête et exerce, le cas échéant, l’action publique. En effet, le ministère public a pour mission non pas de trancher en toute indépendance un litige, mais de le soumettre, le cas échéant, à la juridiction compétente, en tant que partie au procès exerçant l’action pénale ».

L’article Données personnelles de géolocalisation : un accès sous contrôle même pour le Ministère Public est apparu en premier sur Philippe Schmitt Avocats.

Collecte massive de données auprès des opérateurs sous contrôle du juge

Philippe Schmitt — Wed, 10 Mar 2021 08:42:03 +0000

Face aux menaces d’attentats, les Etats envisagent la collecte massive et préalable de données auprès des opérateurs de téléphonies. Ces données étant à la fois des données personnelles et des données destinées à établir des infractions pénales, le 6 octobre 2020, la Cour de justice encadre strictement leur collecte.

Limitons-nous ici à en souligner l’importance.

Par ces motifs, la Cour (grande chambre) dit pour droit :

1) L’article 15, paragraphe 1, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne, doit être interprété en ce sens qu’il s’oppose à des mesures législatives prévoyant, aux fins prévues à cet article 15, paragraphe 1, à titre préventif, une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation. En revanche, l’article 15, paragraphe 1, de la directive 2002/58, telle que modifiée par la directive 2009/136, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la charte des droits fondamentaux, ne s’oppose pas à des mesures législatives

– permettant, aux fins de la sauvegarde de la sécurité nationale, le recours à une injonction faite aux fournisseurs de services de communications électroniques de procéder à une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation, dans des situations où l’État membre concerné fait face à une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible, la décision prévoyant cette injonction pouvant faire l’objet d’un contrôle effectif, soit par une juridiction, soit par une entité administrative indépendante, dont la décision est dotée d’un effet contraignant, visant à vérifier l’existence d’une de ces situations ainsi que le respect des conditions et des garanties devant être prévues, et ladite injonction ne pouvant être émise que pour une période temporellement limitée au strict nécessaire, mais renouvelable en cas de persistance de cette menace ;

– prévoyant, aux fins de la sauvegarde de la sécurité nationale, de la lutte contre la criminalité grave et de la prévention des menaces graves contre la sécurité publique, une conservation ciblée des données relatives au trafic et des données de localisation qui soit délimitée, sur la base d’éléments objectifs et non discriminatoires, en fonction de catégories de personnes concernées ou au moyen d’un critère géographique, pour une période temporellement limitée au strict nécessaire, mais renouvelable ;

– prévoyant, aux fins de la sauvegarde de la sécurité nationale, de la lutte contre la criminalité grave et de la prévention des menaces graves contre la sécurité publique, une conservation généralisée et indifférenciée des adresses IP attribuées à la source d’une connexion, pour une période temporellement limitée au strict nécessaire ;

– prévoyant, aux fins de la sauvegarde de la sécurité nationale, de la lutte contre la criminalité et de la sauvegarde de la sécurité publique, une conservation généralisée et indifférenciée des données relatives à l’identité civile des utilisateurs de moyens de communications électroniques, et

– permettant, aux fins de la lutte contre la criminalité grave et, a fortiori, de la sauvegarde de la sécurité nationale, le recours à une injonction faite aux fournisseurs de services de communications électroniques, par le biais d’une décision de l’autorité compétente soumise à un contrôle juridictionnel effectif, de procéder, pour une durée déterminée, à la conservation rapide des données relatives au trafic et des données de localisation dont disposent ces fournisseurs de services,

dès lors que ces mesures assurent, par des règles claires et précises, que la conservation des données en cause est subordonnée au respect des conditions matérielles et procédurales y afférentes et que les personnes concernées disposent de garanties effectives contre les risques d’abus.

2) L’article 15, paragraphe 1, de la directive 2002/58, telle que modifiée par la directive 2009/136, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la charte des droits fondamentaux, doit être interprété en ce sens qu’il ne s’oppose pas à une réglementation nationale imposant aux fournisseurs de services de communications électroniques de recourir, d’une part, à l’analyse automatisée ainsi qu’au recueil en temps réel, notamment, des données relatives au trafic et des données de localisation et, d’autre part, au recueil en temps réel des données techniques relatives à la localisation des équipements terminaux utilisés, lorsque

– le recours à l’analyse automatisée est limité à des situations dans lesquelles un État membre se trouve confronté à une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible, le recours à cette analyse pouvant faire l’objet d’un contrôle effectif, soit par une juridiction, soit par une entité administrative indépendante, dont la décision est dotée d’un effet contraignant, visant à vérifier l’existence d’une situation justifiant ladite mesure ainsi que le respect des conditions et des garanties devant être prévues, et que

– le recours à un recueil en temps réel des données relatives au trafic et des données de localisation est limité aux personnes à l’égard desquelles il existe une raison valable de soupçonner qu’elles sont impliquées d’une manière ou d’une autre dans des activités de terrorisme et est soumis à un contrôle préalable, effectué, soit par une juridiction, soit par une entité administrative indépendante, dont la décision est dotée d’un effet contraignant, afin de s’assurer qu’un tel recueil en temps réel n’est autorisé que dans la limite de ce qui est strictement nécessaire. En cas d’urgence dûment justifiée, le contrôle doit intervenir dans de brefs délais.

3) La directive 2000/31/CE du Parlement européen et du Conseil, du 8 juin 2000, relative à certains aspects juridiques des services de la société de l’information, et notamment du commerce électronique, dans le marché intérieur (« directive sur le commerce électronique »), doit être interprétée en ce sens qu’elle n’est pas applicable en matière de protection de la confidentialité des communications et des personnes physiques à l’égard du traitement des données à caractère personnel dans le cadre des services de la société de l’information, cette protection étant, selon le cas, régie par la directive 2002/58, telle que modifiée par la directive 2009/136, ou par le règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46. L’article 23, paragraphe 1, du règlement 2016/679, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la charte des droits fondamentaux, doit être interprété en ce sens qu’il s’oppose à une réglementation nationale imposant aux fournisseurs d’accès à des services de communication au public en ligne et aux fournisseurs de services d’hébergement la conservation généralisée et indifférenciée, notamment, des données à caractère personnel afférentes à ces services.

4) Une juridiction nationale ne peut faire application d’une disposition de son droit national qui l’habilite à limiter dans le temps les effets d’une déclaration d’illégalité lui incombant, en vertu de ce droit, à l’égard d’une législation nationale imposant aux fournisseurs de services de communications électroniques, en vue, notamment, de la sauvegarde de la sécurité nationale et de la lutte contre la criminalité, une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation incompatible avec l’article 15, paragraphe 1, de la directive 2002/58, telle que modifiée par la directive 2009/136, lu à la lumière des articles 7, 8 et 11 ainsi que de l’article 52, paragraphe 1, de la charte des droits fondamentaux. Cet article 15, paragraphe 1, interprété à la lumière du principe d’effectivité, impose au juge pénal national d’écarter des informations et des éléments de preuve qui ont été obtenus par une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation incompatible avec le droit de l’Union, dans le cadre d’une procédure pénale ouverte à l’encontre de personnes soupçonnées d’actes de criminalité, si ces personnes ne sont pas en mesure de commenter efficacement ces informations et ces éléments de preuve, provenant d’un domaine échappant à la connaissance des juges et qui sont susceptibles d’influencer de manière prépondérante l’appréciation des faits.

L’article Collecte massive de données auprès des opérateurs sous contrôle du juge est apparu en premier sur Philippe Schmitt Avocats.