[mis à jour le 16 octobre 2017] J’ai déjà assuré cette année plusieurs formations professionnelles ou académiques sur la GDPR. Et je suis à chaque fois frappé par les questions de mes interlocuteurs sur le « pourquoi ? ». Oui, c’est vrai, ça : pourquoi la GDPR ? Pourquoi le (projet de) Règlement « e-Privacy » ? Pour vous apporter un début de réponse, je vous propose ici un parcours historique, mêlant technique et juridique, autours de la notion centrale de « data ».
[wonderplugin_gallery id= »101″]
« data » et information
D’abord, il faut savoir de quoi l’on parle. La « data« , c’est une « information », un « message« . Depuis l’homme de Neandertal et l’Egypte des Pharaons, les problématiques autours de la data sont les mêmes : comment transporter la data ? comment la stocker ?
Les révolutions techniques autours de la data ont entrainé d’abord l’apparition du support de la data, puis son transport physique. Dès le temps des Pharaons, voici qu’apparait la télécommunication par le transport du support du message.
(télé)communications et secret des correspondances
Depuis la Révolution et les textes fondateurs de 1793 jusqu’à aujourd’hui, le droit ne protège que la data « contenu d’une correspondance ». C’est la protection pénale de l’atteinte au secret des correspondances. Le principe vaut depuis les récriminations des cahiers de doléances de 1789.
Le changement de paradigme : les communications électroniques
Mais, changement de paradigme, voici qu’apparaissent au XX° siècle les télécommunications analogiques d’abord, puis les communications électroniques. Et avec le développement des logiciels et des réseaux de communication (apparition de l’Internet, du web et des terminaux portables), voici venu le temps des « métadonnées« .
La lettre et son enveloppe
Lorsque vous mettez une lettre dans une enveloppe et que vous postez l’ensemble, le texte de votre lettre représente le contenu protégé par le secret des correspondances. Les métadonnées, ce sont l’ensemble des informations techniques portées sur l’enveloppe, qui permettent à La Poste de la remettre à son destinataire. Et en matière de communication électronique, les informations relatives à l’enveloppe de transport du message sont extrêmement nombreuses.
Les paquets du protocole TCP/IP
La métaphore de l’enveloppe est particulièrement pertinente lorsqu’on s’intéresse aux transferts de données par le protocole tcp/ip sur lequel repose le protocole Web. Chaque « paquet » d’informations est intégré dans un paquet TCP. Et chaque paquet TCP est inclus dans un paquet IP. Et le paquet IP est ouvert puis intégré dans un nouveau paquet TCP lorsque le réseau de transport change. Tout cela est invisible pour les utilisateurs et ces opérations techniques se réalisent en quelques mili-secondes. Mais chacune de ces opérations génère des métadonnées. Des tas de métadonnées…
Les « métadonnées » ?
Techniquement, les métadonnées sont l’ensemble des informations techniques permettant l’acheminement des communications électroniques. Si le « contenu » d’une communication électronique peut être défini par la question « quoi ?« , les métadonnées, c’est tout le reste : « comment ?« , « quand ? » « où ? » et « qui ?« .
Et si un opérateur est capable de déterminer le « qui », à votre avis, la métadonnée est une donnée [personnelle] ?
La règlementation des métadonnées
Historiquement, la règlementation des métadonnées s’imposait seulement aux opérateurs télécoms et aux FAI. Or, aujourd’hui, les entreprises qui traitent massivement à l’échelle mondiale les métadonnées (les Google, Facebook, etc.) ne sont ni FAI ni opérateur télécom et ne sont donc pas soumis à la réglementation UE sur la collecte, la conservation et le traitement des métadonnées (Directive 2002/58 « vie privée et communications électroniques » du 12 juillet 2002). Oui, les prestataires de service de messagerie via communication électronique (WhatsApp, Messenger, Skype, etc.) n’étaient pas juridiquement des opérateurs de communication électronique. ça les arrangeait bien…
Mais… la nature (comme les juristes…) ayant horreur du vide, le mouvement de balancier n’aura pas tardé. Et si le législateur européen a peiné à prendre conscience de la gravité du problème et de l’urgence de disposer d’un cadre juridique conciliant le business de la data d’un coté, et la protection de la vie privée des citoyens de l’autre (voir le bonus ci-dessous), la justice de l’UE a pris le problème à bras le corps à partir de principes à force obligatoire dans les 28 pays de l’UE.
La Charte des droits fondamentaux de l’Union Européenne
Pour comprendre la GDPR comme le projet de Règlement « e-privacy », il faut relire 5 principes posés par la Charte des droits fondamentaux de l’UE qui réglementent les communications électroniques. Car la GDPR ne fait que reprendre ces principes adoptés en 2000. Les principes de la Charte des droits fondamentaux de l’UE sont d’autant plus importants que la Charte a été adoptée APRES la directive 95/46. Et la GDPR n’est donc aujourd’hui que la conséquence logique des principes posées dans cette Charte, que le projet « e-Privacy » sera également tenu de respecter.
Le rôle essentiel de la CJUE
Les principes de la Charte des droits fondamentaux ne sont pas du vent. La Cour de Justice de l’UE les utilise pour fonder ses décisions qui valent pour l’ensemble des 28 (bientôt 27) pays de l’Union Européenne. Quoi qu’en disent, pensent ou écrivent les législateurs nationaux et leur système judiciaire respectifs.
Et le mouvement de la jurisprudence de la CJUE va indéniablement vers un rapprochement de la notion de « métadonnées » avec celle de « contenu ». C’est selon moi la lecture à donner à l’arrêt « Tele2 Sverige » du 21 décembre 2016.
Par ailleurs et fort logiquement, la CJUE a seule eu l’audace de tirer les conséquences de la notion de « donnée à caractère personnel » au sens de la Directive 95/46. Si parmi les métadonnées figurent des informations relatives au « qui ? » (« qui » a émis la communication électronique ? vers « qui » ?), cela signifie que certaines métadonnées constituent effectivement des données [personnelles].
C’est également en ce sens qu’il faut comprendre l’arrêt de la CJUE du 24 novembre 2011 « Scarlet Extended » qualifiant l’adresse IP statique de donnée [personnelle] et surtout, l’arrêt « Breyer » du 19 octobre 2016 qui fait basculer (à juste titre) l’adresse IP dynamique dans la catégorie des données [personnelles].
Souvenez-vous… depuis les années 1990, les opérateurs de communication électronique ont réussi à nous faire croire que l’adresse IP était un simple numéro technique, alors que le numéro de téléphone était historiquement reconnu comme une donnée [personnelle]. Or, c’est précisément lorsqu’on s’intéresse à la technique de l’adresse IP que l’on réalise qu’il s’agit bien d’une « information concernant une personne physique identifiée ou identifiable ». Comme le numéro de téléphone fixe ou mobile…
Et si, maintenant, je vous rappelle qu’une « information concernant une personne physique identifiée ou identifiable » est la définition précise d’une donnée « à caractère personnel » selon la GDPR ?
BONUS : (projet de) Règlement « e-Privacy »
Et la révolution qui s’annonce pour les professionnels de la collecte des métadonnées de communication électronique s’appelle « Règlement e-Privacy » (projet v1 du 10 janvier 2017) et doit remplacer la Directive « vie privée et communications électroniques » 2002/58. On y trouve – grande première – une définition des « métadonnées » des communications électroniques. Vote du Parlement européen prévu « à l’automne 2017″…
« e-Privacy » ? c’est la GDPR spéciale communications électroniques !
Bonnes vacances estivales à toutes et à tous, on se retrouve fin aout avec de nouvelles présentations sur des sujets (passionnants…) comme les failles de sécurité, les bases de données électroniques, les logiciels à réseau neuronal…
Grâce aux éditions Delcourt / Soleil qui m’ont ouvert leur immense catalogue, je vous propose un parcours technico-juridique tout en BD. Vous visiterez avec « Neandertal » les plaines peuplées d’animaux disparus. Puis vous partirez « Sur les terres d’Horus » visiter le royaume d’Egypte au temps de Ramsès II, avec quelques incursions dans « L’Histoire Secrète« . « Le dernier Troyen » nous transportera avec l’information dans le temps et dans l’espace (et vers le protocole blockchain). « Badlands » nous rappelera les principes de la Charte des droits fondamentaux de l’UE et ceux du projet de Règlement « e-Privacy », tandis que « Horologiom » illustrera – comme depuis quelques mois déjà – nos propos sur la GDPR / RGPD. Puisque, au final, c’est de ce texte ardu qu’il est question.
Cette présentation est pour moi l’occasion de remercier une fois encore la Team Delcourt / Soleil. Merci à Sébastien Le Foll et à Lucie Massena qui valide patiemment chacune de mes présentations et obtient l’accord des auteurs dont je détourne les phylactères. Merci Delcourt, merci Soleil ! Vive la BD !!!