La Maj d'

La newsletter d'actu techno-juridique : tous les mardis matin à 9h, faites la mise à jour !

En cliquant sur “S’abonner”, vous consentez à recevoir la newsletter d’Aeon (la “Maj”) chaque mardi matin à l’adresse email que vous avez indiquée. Les données saisies dans les champs ci-dessus nous sont nécessaires pour vous adresser la Maj par l’intermédiaire de notre prestataire MailChimp, et ne sont utilisées qu’à cette fin.

Vous consentez également à ce que MailChimp collecte, par l’intermédiaire d’un traceur placé dans l’email contenant la newsletter, des informations relatives à l’ouverture de cet email et à votre lecture de la Maj. Ces informations ne sont utilisées par Aeon qu’aux fins d’améliorer la Maj et son contenu, et ne sont partagées avec aucun tiers hormis le prestataire MailChimp.

Si vous souhaitez lire la Maj sans que ces informations soient collectées, notez que vous pouvez la retrouver à tout moment à cette adresse aeonlaw.eu/maj. Vous pouvez également vous abonner au flux RSS de cette page pour être averti de chaque nouvelle Maj dès sa parution, en cliquant ici !

Pour plus d’informations, consultez la Politique de Confidentialité d’Aeon en cliquant ici.

Celle qui est bien de son temps – Maj du 12/11/19

L'actu en bref

Cette semaine, Facebook a de nouveau fait la une pour les mauvaises raisons : d’après des documents internes rendus publics, l’équipe dirigeante du réseau social, en ce compris Mark Zuckerberg lui-même, auraient utilisé des données personnelles d’utilisateurs à des fins anticoncurrentielles. Sinon, on a plus de détails sur l’accident de la voiture autonome d’Uber ayant entrainé la mort d’une cycliste, et c’est pas bon du tout ; deux employés de Twitter sont poursuivis pour espionnage pour le compte de l’Arabie Saoudite ; une proposition de loi américaine vise à créer une CNIL fédérale ; et on remercie notre ami QGDA pour ces deux news audiovisuelles : Netflix teste le visionnage en accéléré, ce qui déclenche l’ire des réalisateurs qui considèrent que cela porte atteinte à l’intégrité de leurs œuvres et James Dean va tourner dans un nouveau film malgré la petite difficulté tenant à sa mort. De notre côté du tunnel, le remaniement de la DINSIC en DINUM passe mal ; une amende de 14,5 millions d’euros a été prononcée par la CNIL allemande pour des pratiques d’archivage et de conservation démesurées ; Paris a accueilli la finale des Worlds de League of Legends et ça s’est (très) mal passé pour les européens finalistes ; et l’EDPS a publié des guidelines sur la relation responsable de traitement/sous-traitant/responsable conjoint – bien que relatives au règlement 2018/1725 (traitements de données persos par les institutions européennes), ses conclusions devraient être RGPD-compatibles. On se quitte sur une proposition de loi “pour le droit d’uriner en paix”, la date du lancement de Disney+ en France et une vive invitation à vous inscrire au Village de la Legaltech des 26 et 27 novembre prochains, en particulier pour le procès fictif sur la justice privée qui aura lieu le 26 à 17h30 et qu’Aeon co-organise avec Open Law !

Faites la Maj, et à la semaine prochaine !

Idéologie poussiéreuse“, “blocages idéologiques d’un autre temps“, “bloquée au 20e siècle“, “principes dépassés” ou encore “rejet de toute forme d’évolution“… autant de qualificatifs non pas employés pour parler du fait de porter des chaussettes dans ses sandales, mais bien de la CNIL ! Dépassée la CNIL ? Pas si sûrs.

#BigBrotherPACA

À l’origine de ces huées, un projet de la région PACA : l’expérimentation de la reconnaissance faciale des élèves à l’entrée de deux lycées. Le but est ainsi d’assurer la sécurité des lycéens en garantissant que seuls ces derniers puissent entrer dans l’enceinte de l’établissement sans contrôle. Le projet visait également à permettre un “suivi des trajectoires” de toute personne pénétrant dans le lycée, mais ce deuxième volet complémentaire n’a pas fait l’objet d’une analyse d’impact communiquée à la CNIL, et cette dernière ne s’est donc pas prononcée sur sa licéité.

Dans une lettre pédagogique, la CNIL explique que le projet ne peut être mené de manière licite, même s’il ne s’agit que d’une expérimentation. Comme l’explique la Commission, la reconnaissance faciale implique le traitement de données biométriques, intimement liées à la personne : “la donnée biométrique compromise reste attachée à son identité, mais ne peut, contrairement à un badge ou un mot de passe, être révoquée”. Or, le RGPD impose un principe de minimisation des données et de proportionnalité des traitements par rapport à leurs finalités : en l’espèce, il est indéniable que le contrôle des entrées dans le lycée peut être effectué par des moyens moins intrusifs que la reconnaissance faciale, ce qui légitime la position de la CNIL.

C’est a fortiori le cas car les données en cause sont doublement sensibles. Il s’agit tout d’abord de données qualifiées par le RGPD de “particulières“, en ce que, par leur nature même, elles révèlent plus d’éléments intimes sur la personne que d’autres données. Ainsi, la biométrie ou l’orientation sexuelle font l’objet d’une protection renforcée par rapport au nom et au prénom d’une personne. Il s’agit par ailleurs de traitements effectués sur une catégorie particulière de personnes, des mineurs, qui font également l’objet d’une protection renforcée par le texte. C’est l’ensemble de ces éléments qui a justifié la position de la CNIL.

Époussetage

Reste à déterminer si cette position est poussiéreuse. Il suffira pour ce faire de se rappeler les conditions de la création de la Commission nationale de l’informatique et des libertés. En 1974, le Monde fit découvrir à la France que l’administration avait centralisé au sein d’un “Système automatisé pour les Fichiers Administratifs et le Répertoire des Individus” (SAFARI) l’ensemble des répertoires d’identification régionaux,  permettant ainsi une interconnexion entre toutes les données de l’administration sur un individu à partir de son numéro de sécurité sociale. Cette révélation fut à l’origine d’un scandale politique et d’une polémique publique, qui aboutit à l’adoption de la loi informatique et libertés le 6 janvier 1978, afin de rétablir la confiance dans l’administration. Cette relation de confiance a par la suite été renforcée par l’adoption de la loi “CADA” relative à l’accès aux documents administratifs (17 juillet 1978) et la loi d’accès aux archives (3 janvier 1979) pour garantir aux citoyens une véritable transparence administrative.

La logique de lutte contre la surveillance est également celle qui a, partiellement du moins, sous-tendu l’adoption du RGPD : bien que ce dernier soit aujourd’hui surtout mobilisé à l’encontre des géants du net, il est essentiel de se souvenir que ses négociations ont été entamées à la suite des révélations d’Edward Snowden sur la surveillance de masse conduite par l’administration américaine. Comme la loi informatique et libertés, le RGPD a ainsi été conçu dès son origine comme un instrument de lutte contre les abus de l’administration. En empêchant une administration de procéder à une surveillance non proportionnée aux objectifs poursuivis, la CNIL est donc parfaitement dans son rôle. Bien loin d’embrasser une idéologie poussiéreuse, elle met en œuvre des principes réaffirmés très récemment justement dans ce but. La pratique est à ce point dans l’ère du temps que les États-Unis semblent se diriger dans la même direction pour se doter d’un équivalent de la CNIL.

Le point essentiel dans cette petite échauffourée est que la CNIL ne remet nullement en cause la légitimité du but poursuivi par la région PACA : la sécurité des lycéens est primordiale, et il convient de mettre en œuvre tous les moyens pour parvenir à ce but – tous les moyens proportionnés. Tout l’enjeu repose sur ce dernier mot, qui cristallise les tensions entre sécurité et liberté : la valeur ajoutée pour la sécurité de la surveillance par la reconnaissance faciale est largement moindre que l’atteinte aux libertés qui en résulte. Paradoxalement, on pourrait même dire que la CNIL a plus œuvré pour la sécurité des lycéens en question que le projet de la région PACA, puisque leurs droits et libertés en sortent renforcés, y compris contre de potentielles atteintes par la puissance publique. Alors que l’on pointe du doigt les pratiques chinoises en la matière, il serait malvenu de se perdre et d’oublier à quel point la protection des données personnelles, loin d’être dépassée, est bien dans l’ère du temps, y compris (voire surtout) lorsqu’elle s’applique à l’encontre de l’administration.

Ce qu'on lit cette semaine

"Pour le Conseil d’État, #BigBrotherBercy est un cavalier budgétaire" via NextINpact : où l'on s'étonne de l'inventivité du législateur. #bigbrotherbercy #surveillance #lescavaliersdubigdata
"En e-sport, l’union européenne fait la force" via LeMonde.fr : où la construction européenne passe aussi par le (e)sport ! #e-sport #géopolitique #e-nationalitérégionale
"Où en est-on de l'open data en France ?" via Les Echos : où l'on espère que l'unité fera l'ouverture des données. #opendata #donnéespubliques #ouvronslesdonnéessurl'opendata
"The rise of microchipping: are we ready for technology to get under the skin?" via The Guardian : où l'on apprend à mieux se connaitre de l'intérieur. #Transhumanisme #iot #biotechnologie #pourneplusperdresamaindroite
"The troubling age of algorithmic entertainment" via The Week : où l'on en vient à se demander si on voulait vraiment regarder cette série cheloue sur Netflix... #algorithme #médias #déterminismealgorithmique

Le Gif de la semaine

À la semaine prochaine, en célébrant tous l'esport !