Les données personnelles à l'ère du 3.0
Commentaire de la proposition de règlement du 25 janvier 2012 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel
Article rédigé par Me Henri Leben
Avocat Associé
Colbert Paris
Donner sur Internet son nom, son adresse, ses coordonnées bancaires, ses préférences de consommation, son emploi du temps, le nom de ses amis et encore bien d'autres renseignements, est désormais monnaie courante. Un temps réticents à mettre en ligne leurs données sur Internet, les consommateurs hésitent de moins en moins à livrer leur intimité sur le réseau. Véritable eldorado pour les annonceurs, l'afflux de données personnelles présente toutefois un risque pour les individus. Détournement de données bancaires, usurpation d'identité, réputation ruinée ou carrière brisée suite à la diffusion d'informations sur Internet, illustrent les problèmes auxquels de nombreuses personnes sont de plus en plus confrontées.
Consciente de ce risque, la Commission européenne a engagé une réforme en profondeur de la directive de 1995 qui servait de base, jusqu'à aujourd'hui, aux différentes législations relatives aux données personnelles.
Le projet de règlement du 25 janvier dernier (" Règlement général sur la protection des données ") modifie en profondeur le régime des données personnelles et doit impérativement être anticipé par les entreprises. L'industrie du jeu vidéo qui collecte les données personnelles de ses joueurs est naturellement concernée par le nouveau règlement.
Parmi les mesures phares annoncées, les plus importantes pour l'industrie nous paraissent être les suivantes :
- Fin du consentement tacite au recueil de ses données
- Renforcement des dispositions de protection des mineurs
- Création d'un droit à la portabilité des données
- Notification de toute violation de données à caractère personnel
- Application du règlement aux sociétés étrangères
Fin du consentement tacite au recueil de ses données
Désormais, le responsable de traitement ne pourra plus se contenter du traditionnel " si vous ne souhaitez pas que notre entreprise utilise vos données, cochez la case ". L'article 6 de la proposition de règlement prévoit en effet que : " Le traitement de données à caractère personnel n'est licite que si (…) la personne concernée a consenti au traitement de ses données à caractère personnel ".
Tout traitement de données nécessitera par conséquent au préalable un consentement exprès.
Inversement (en guise de dédommagement ?) les entreprises n'auront plus l'obligation de notifier les traitements de données personnelles auprès de la CNIL (ancien régime de déclaration).
Renforcement des dispositions de protection des mineurs
La Commission européenne s'aligne sur le Children's Online Privacy Protection Act américain et interdit désormais la collecte des données des moins de treize ans, sans l'accord exprès de leurs parents.
L'article 8 de la proposition de règlement dispose ainsi :
" Aux fins du présent règlement, s'agissant de l'offre directe de services de la société de l'information aux enfants, le traitement des données à caractère personnel relatives à un enfant de moins de 13 ans n'est licite que si et dans la mesure où le consentement est donné ou autorisé par un parent de l'enfant ou par une personne qui en a la garde. Le responsable du traitement s'efforce raisonnablement d'obtenir un consentement vérifiable, compte tenu des moyens techniques disponibles ".
Très concrètement, cette nouvelle obligation va imposer aux éditeurs de jeux qui ciblent un public de pré-adolescents, de revoir leurs conditions générales en prévoyant la mise en place de processus permettant de s'assurer du consentement des parents.
On notera que la Commission a cette-fois prévu des sanctions réelles, propres à inciter les entreprises à respecter leurs obligations en matière de collecte, puisqu'outre les éventuels dommages et intérêts et sanctions pénales, tout manquement aux dispositions de l'article 8 est susceptible de donner lieu au paiement d'une amende égale à 2 % du chiffre d'affaires annuel mondial de la société.
Création d'un droit à la portabilité des données
La portabilité des données à caractère personnel est sans doute l'une des mesures les plus emblématiques (surprenantes ?) du nouveau règlement. Concrètement, toute personne aura désormais le droit de demander au responsable en charge du traitement de ses données, de transférer celles-ci à un autre prestataire de services.
Les conséquences pratiques de ce nouveau droit sont, en l'état, difficiles à mesurer. Ce droit à la portabilité paraît légitime pour certains services spécifiques. On imagine par exemple le cas d'une personne ayant souscrit une assurance en ligne, qui demande que toutes ses données soient transmises à son nouvel assureur. Mais en dehors de ce type de services, est-il justifié par exemple, qu'un joueur exige d'un éditeur de jeux qu'il transmettre l'ensemble de ses données personnelles, au concurrent qui édite le nouveau jeu auquel s'est abonné le joueur ? On imagine aisément que l'éditeur qui devra transmettre les données personnelles de son abonné, collectées patiemment pendant plusieurs mois, sera plus que réticent à s'exécuter.
Nul doute que les premières applications de ce droit seront analysées avec soin par les praticiens et donneront lieu à de nombreux commentaires.
Notification de toute violation de données à caractère personnel
Parmi les autres dispositions fortes du règlement, on mentionnera également l'obligation faite au responsable du traitement des données, de notifier à son autorité de contrôle (la CNIL ou son équivalent), toute violation de données personnelles dans les 24 heures de sa survenance.
La personne dont les données ont été violées doit également être contactée.
Pour rappel, la violation de données personnelles se définit comme " une violation de la sécurité entraînant de manière accidentelle ou illicite la destruction, la perte, l'altération, la divulgation ou la consultation non autorisées de données à caractère personnel ".
Application du règlement aux sociétés étrangères
Cerise sur le gâteau, les dispositions du règlement ont vocation à s'appliquer aux sociétés ayant leur siège dans l'Union européenne, mais également aux entreprises non établies dans l'Union, lorsque celles-ci collectent les données de personnes situées sur le territoire de l'Union et que celles-ci sont liées :
- à une offre de biens ou de services, ou
- à l'observation du comportement des consommateurs.
Autrement dit, les éditeurs de jeux, quelle que soit leur nationalité, seront désormais tous tenus d'appliquer la règlementation communautaire, même lorsque les données collectées sont stockées hors Union Européenne.
Pour l'heure, que les prestataires se rassurent, il ne s'agit que d'une proposition de règlement et elle doit encore être adoptée par le Parlement et le Conseil.
Néanmoins, il serait sage d'anticiper son application, compte tenu de l'importance des changements annoncés.
Henri Leben
Avocat Associé
h.leben@colbert-paris.com
Colbert Paris