Tout traitement de données personnelles doit être fondé sur une condition de licéité (article 7 de la LIL, article 6 du RGPD). Tout traitement ? Un traitement pourtant universel résiste peut-être encore et toujours à l’envahisseur (le droit de la protection des données personnelles). Or, l’article 13 du GDPR impose au responsable de traitement, au titre de son obligation d’information, de clairement indiquer les bases légales de tous les traitements effectués. Afin d’assurer une conformité totale au GDPR, il est donc essentiel de déterminer la condition de licéité applicable à ce traitement récalcitrant.
Afin d’expliquer ce dont il retourne, il est nécessaire de revenir aux fondamentaux du fonctionnement du web : lorsque vous tentez d’accéder à une URL, https://aeonlaw.eu par exemple, vous envoyez une requête HTTP au serveur hébergeant le site en question. Cette requête contient plusieurs paramètres, qui sont automatiquement envoyés par votre navigateur et automatiquement enregistrés par le serveur destinataire de la requête pour traitement de celle-ci. Parmi ces paramètres, votre adresse IP, votre système d’exploitation, la version de votre navigateur Internet, et bien entendu, des métadonnées telles que la date et l’heure exacte (à la seconde près) de votre requête. Or, l’on sait que l’adresse IP est généralement considérée comme une donnée personnelle. C’est a fortiori le cas lorsqu’il est possible d’obtenir l’identité d’une personne auprès des fournisseurs d’accès à Internet, comme en France. Ainsi, tout site Internet que vous visitez collecte automatiquement certaines données qui peuvent permettre de vous identifier. La question est donc : quelle condition de licéité pour ces traitements automatiques réalisés par des serveurs ?
Il n’y a en effet ni consentement (qui doit être explicite et éclairé), ni contrat (puisque vous n’avez pas encore accédé au site), qui sont les deux options les plus courantes. Reste ainsi l’intérêt légitime du responsable de traitement. Cela pourrait se tenir (après tout, le traitement est automatique et nécessaire à l’accès au site), si ce n’est que le responsable du traitement n’est pas si facile à déterminer que cela : en effet, dans beaucoup de cas, l’éditeur du site n’est pas le propriétaire du serveur, qui appartient plutôt à un prestataire d’hébergement. Celui-ci contrôle son serveur de manière autonome, notamment en ce qui concerne la durée de conservation de ces données. Ainsi, à la question de la condition de licéité applicable à ces traitements s’ajoute celle de savoir qui est le responsable du traitement : une fois n’est pas coutume, cette Shower Thought se conclut donc sans réponse mais avec encore plus de questionnements.
Bonjour et merci.
Pas sûr de bien comprendre l’hésitation finale du billet. Il n’existe donc aucun moyen (ie fondement juridique clair fr ou euro sur la définition du responsable de traitement) de distinguer un prestataire de service sur internet de son prestataire d’hébergement, au regard de la responsabilité attachée au traitement des données de l’utilisateur ? Nada ?
Bonjour,
N’est on pas dans le cadre de “la fourniture de réseaux et de services de communications électroniques”, encadrée par la directive e-privacy de 2002 ?
Il s’agirait alors des données de connexion et autres données de trafic, nécessaire à la transmission de l’information, et dont le traitement serait autorisé par ladite directive.
Bonjour à vous deux, “Vengeur masqué des DP” et Jean, et merci pour vos commentaires !
@Vengeur masqué des DP, il y a bien des guidelines du G29 sur la détermination du responsable de traitement (http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2010/wp169_en.pdf).
On y lit que le sous-traitant peut être en charge d’un certain nombre d’éléments techniques et organisationnels sans que cela le fasse devenir responsable, mais qu’il ne faut pas qu’il prenne part aux décisions substantielles sur le coeur du traitement. Or, dans notre cas, si l’on peut considérer que le sous-traitant est bien dans un rôle purement technique et organisationnel, il décide néanmoins d’éléments essentiels du traitement, et notamment de la durée de conservation, Évidemment, il est probable que le prestataire d’hébergement sera considéré comme simple sous-traitant dans la plupart des cas, mais le spectre d’une responsabilité conjointe se dessine néanmoins dans certains cas, tant il est fréquent que le sous-traitant soit en fait le décideur sur un nombre conséquent de points.
Surtout, le mécanisme de coresponsabilité est somme toute relativement nouveau pour nous : s’il existait sous l’empire de la Directive, il n’avait pas été implémenté en droit français. Avec le RGPD, c’est donc l’arrivée d’un nouveau régime pour nous en France et nous avons hâte de voir la manière dont il sera mis en oeuvre par la CNIL et les tribunaux.
@Jean : les hébergeurs sont exclus de la définition des opérateurs de communications électroniques (“Ne sont pas visés les services consistant à éditer ou à distribuer des services de communication au public par voie électronique”), ce que confirme l’ARCEP sur son site (https://www.arcep.fr/index.php?id=8055). Nous explicitons un peu plus ces notions dans cet article : https://aeonlaw.eu/recherche-qualification-juridique-gmail-eprivacy/
Cependant, vous avez raison de pointer dans cette direction : le CPCE met bien à la charge des hébergeurs une obligation légale de conservation des logs. L’hébergeur traite donc ces données en raison d’une obligation légale, ce qui en fait théoriquement le responsable de traitement, lui qui, en tant qu’intermédiaire, ne veut généralement être que simple sous-traitant. Reste à déterminer sur quel fondement ces données peuvent être transmises à l’éditeur du site, comme c’est souvent le cas (intérêt légitime ?) et si le fait que ces données sont collectées et transmises par l’éditeur du site peut faire de ce dernier un coresponsable du traitement.