La Maj d'

La newsletter d'actu techno-juridique : tous les mardis matin à 9h, faites la mise à jour !

En cliquant sur “S’abonner”, vous consentez à recevoir la newsletter d’Aeon (la “Maj”) chaque mardi matin à l’adresse email que vous avez indiquée. Les données saisies dans les champs ci-dessus nous sont nécessaires pour vous adresser la Maj par l’intermédiaire de notre prestataire MailChimp, et ne sont utilisées qu’à cette fin.

Vous consentez également à ce que MailChimp collecte, par l’intermédiaire d’un traceur placé dans l’email contenant la newsletter, des informations relatives à l’ouverture de cet email et à votre lecture de la Maj. Ces informations ne sont utilisées par Aeon qu’aux fins d’améliorer la Maj et son contenu, et ne sont partagées avec aucun tiers hormis le prestataire MailChimp.

Si vous souhaitez lire la Maj sans que ces informations soient collectées, notez que vous pouvez la retrouver à tout moment à cette adresse aeonlaw.eu/maj. Vous pouvez également vous abonner au flux RSS de cette page pour être averti de chaque nouvelle Maj dès sa parution, en cliquant ici !

Pour plus d’informations, consultez la Politique de Confidentialité d’Aeon en cliquant ici.


Celle qui entre en friction – Maj du 04/09/18

L'actu en bref

Après un dur été pour Google, la semaine n’a pas été meilleure : par un de ces tweets dont il a le secret, Donald Trump a remis en cause la fiabilité du moteur de recherche, arguant que les résultats seraient biaisés contre les points de vue conservateurs. Le tweet aurait potentiellement déclenché des enquêtes plus poussées de la part des services de la Maison Blanche. En attendant, il est révélé que le géant du net aurait conclu un deal secret avec Mastercard pour traquer les achats en magasin. Toujours dans la partie GAFAM des news, Facebook se lance dans la vidéo, Amazon a besoin de ses salariés pour redorer son image et YouTube vous permet de savoir combien de temps vous passez sur la plateforme. Notons également les préparatifs européens pour tenter de lutter contre des tentatives de manipulation des prochaines élections, une belle enquête sur la réalité de l’existence du Petro, la fameuse cryptomonnaie vénézuélienne, et le lancement d’une consultation de la CNIL sur la biométrie au travail, et ce pendant qu’une cartographie des contrôles CNIL est possible grâce à l’open data. Côté jurisprudence, une décision britannique vaut le détour puisqu’il s’agit de l’exact opposé d’une décision française sur le sujet de l’imputation des frais de blocage de sites contrefaisants, dont on vous parlait il y a peu. Enfin, on ne pouvait pas se quitter sans vous parler de cette startup japonaise dont le but est de quitter votre job à votre place, et de cette Bugatti fonctionnelle et de taille réelle construite intégralement en Lego. Est-ce bien la rentrée ? Faites la Maj, et à la semaine prochaine !

Le RGPD est toujours le centre de l’attention, malgré le temps qui passe et qui nous éloigne doucement mais sûrement du 25 mai 2018. Il y a de quoi, puisque les 99 articles du texte doivent maintenant être décortiqués à l’aune de la pratique et des décisions à venir. Cette mise en pratique en éclipserait presque l’un des aspects les plus révolutionnaires du texte, son champ d’application territorial. Il s’agit en effet d’un texte à portée internationale by design, et par conséquent d’un texte susceptible d’entrer en conflit avec d’autres normes. Ainsi en est-il par exemple des règles autour de la base WHOIS.

Le RGPD vs le fonctionnement d’Internet

Cette base comporte l’ensemble des coordonnées des titulaires de noms de domaine. Jusque récemment, cette base était entièrement publique, et la publication des données personnelles des déposants faisait même partie des contrats d’enregistrement d’un nom de domaine. Des services se sont même développés pour limiter cette pratique, en permettant aux internautes cherchant à déposer un nom de domaine de masquer leurs coordonnées : c’était alors des sociétés prête-nom qui déposaient le nom de domaine pour le compte du véritable titulaire, en conservant elles-mêmes les précieuses informations.

Bien que potentiellement attentatoire à la vie privée, la base WHOIS avait évidemment son utilité : comme un registre de marques ou de brevets, elle assurait la publicité de l’embryon de titre que constitue le nom de domaine. On comprend déjà bien l’utilité de la base marques de l’INPI lorsqu’il s’agit de contacter le titulaire d’un droit, on comprend encore mieux l’utilité de la base WHOIS pour un actif immatériel dont l’obtention se fait selon la règle du “premier arrivé, premier servi” à l’échelle de la planète. Le WHOIS permettait ainsi de contacter un titulaire de nom de domaine n’importe où sur Terre, afin par exemple de proposer un rachat ou envoyer une lettre de mise en demeure pour atteinte à une marque antérieure. L’entrée en vigueur du RGPD a conduit l’ICANN, l’organisme gestionnaire du système de nom de domaines, à cacher par défaut les entrées WHOIS, dans l’attente de trouver mieux (ou de l’obtenir auprès de la CJUE).

La donnée personnelle vs la donnée publique

En filigrane derrière ce cas se cache un dilemme assez profond lié à l’extension du domaine de la donnée : au fur et à mesure que l’on élargit le périmètre de la protection des données personnelles, les champs de friction avec d’autres droits vont également augmenter. Ce phénomène est notamment observable en ce qui concerne la nature même des données à caractère personnel. La définition, toute information se rapportant à une personne physique identifiée ou identifiable, permet en effet d’englober les données purement identifiantes (nom, prénom, etc), les données que l’on produit soi-même (SMS, etc), les métadonnées (heure d’envoi du SMS), mais aussi les données que l’on coproduit avec un service (historique de recherche) ou les données que l’on produit sur soi (statistiques d’utilisation d’un service). Ce caractère protéiforme, presque indéfinissable, de la donnée personnelle est notamment l’un des arguments de la CNIL pour s’opposer à la proposition de droit de propriété sur la donnée : comment posséder quelque chose que l’on n’arrive même pas à définir ?

Cette définition extrêmement large fait que par exemple, la protection des données va entrer en friction avec le droit à l’image. Un cas particulièrement intéressant d’une telle friction est celui des données rendues publiques. Le droit des données personnelles se place dans la lignée de la protection de la vie privée, que l’on oppose à la vie publique : une information privée rendue publique perd cette protection. Pour autant, une donnée personnelle rendue publique est toujours protégée : en témoigne la récente affaire Disinfo lab dont nous vous parlions la semaine dernière. Ici, c’est bien le droit de traiter des informations manifestement publiques qui est en cause : quoi de moins privé qu’un tweet ?

Au-delà des frictions avec d’autres droits de la personnalité, la protection des données personnelles se trouve donc souvent en opposition avec la liberté d’expression, le droit à l’information et le droit d’accéder à des données publiques (on pense notamment à l’open data des décisions de justice). Quitte pour les autorités de contrôle européennes à continuer la grande œuvre d’exégèse (bienvenue) qu’elles ont entreprise, il serait donc grand temps de commencer à décortiquer les articles 85, 86 et 89 du RGPD, afin d’y voir un peu plus clair sur ces frictions.

Le Gif de la semaine


À la semaine prochaine, avec Michael "Terminator" Jackson !