protection vie privé

QUEL CONSENTEMENT SUR INTERNET ?

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Le consentement de la personne concernée est défini comme toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement (Règl. UE 2016/679 du 27-4-2016, art. 4-11).

Il en résulte que la personne concernée ne doit pas se sentir forcée à consentir. Si la personne concernée n’est pas véritablement en mesure d’exercer un choix, se sent contrainte de consentir ou subit des conséquences négatives importantes si elle ne donne pas son consentement, le consentement n’est pas valable.

La personne concernée a le droit de retirer son consentement à tout moment (Règl. UE 2016/679 du 27-4-2016, art. 7-3).

En outre, la locution « nécessaire à l’exécution d’un contrat » doit être interprétée de façon restrictive. Le traitement doit être nécessaire pour exécuter le contrat conclu avec chacune des personnes concernées. Dans le contexte du travail, ce principe peut par exemple autoriser le traitement des informations liées au salaire et au compte bancaire afin de pouvoir verser les salaires. Il doit exister un lien direct et objectif entre le traitement des données et l’objectif d’exécution du contrat ‘Groupe de travail « Article 29 » : Lignes directrices sur le consentement au sens du règlement 2016/679 du 10-4-2018).


Besoin de l’aide d’un avocat pour un problème de vie privée?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien


Par ailleurs, le principe du consentement de la personne concernée est entouré de diverses garanties (RGPD art. 7) :

–  le responsable du traitement doit être en mesure de démontrer que le consentement a été effectivement donné ;

–  si la déclaration écrite de consentement porte également sur d’autres questions que celle du consentement et si elle est consécutive à une demande préalablement adressée à la personne concernée, cette demande doit être présentée sous une forme compréhensible et aisément accessible ; elle doit aussi être formulée en des termes clairs et simples ;

–  la personne concernée a le droit de retirer son consentement à tout moment ; ce retrait ne remet pas pour autant en cause la licéité du traitement fondé sur le consentement initial ;

–  au moment de déterminer si le consentement est donné librement, il convient, éventuellement, de s’assurer que l’exécution d’un contrat n’est pas subordonnée à un consentement non nécessaire à cette exécution (pratique du « couplage »).

Tel n’a pas été le cas dans un arrêt de la CJUE du 12 novembre 2020 qui juge qu’un contrat de fourniture de services de télécommunication qui contient une clause selon laquelle le client a consenti à la collecte et la conservation de son titre d’identité ne peut démontrer qu’il a valablement donné son consentement lorsque la case y afférente a été cochée par le responsable de traitement avant la signature du contrat. Il en est de même lorsque le consommateur est induit en erreur quant à la possibilité de conclure le contrat en cas de refus du traitement de ses données, ou lorsque le libre choix de s’opposer à cette collecte et à cette conservation est affecté par l’exigence d’un formulaire supplémentaire exprimant ce refus.

La CEDH dans une décision du 9 mai 2023 (CEDH, 9 mai 2023 n°31172/19 « Association les témoins de Jéhovah c/ Finlande) (1)  avait à se prononcer sur l’obligation imposée aux témoins de Jéhovah par la commission de protection des données personnelles, de recueillir le consentement des personnes à la collecte de leurs données personnelles dans le cadre de leurs activités de prédication. La CEDH a considéré que cette obligation n’est pas une violation de la liberté de conscience et de religion. Bien qu’il s’agisse d’une ingérence dans les droits de la communauté religieuse, cette dernière poursuivait un but légitime et était nécessaire dans une société démocratique. (7)

I. La case se référant à cette clause a été cochée par le responsable du traitement des données avant la signature de ce contrat

Selon l’article 4 § 1 du RGPD, la donnée à caractère personnel est toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée »); est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

En outre, la lettre de l’article 4 § 2 dispose que le « traitement » est toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliqués à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

Par ailleurs, le paragraphe 11 de l’article 4 du RGPD dispose que le « consentement » de la personne concernée est toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement.

Le consentement de la personne concernée reste essentiel pour traitement de ses données à caractère personnel par le responsable du traitement ou par ses sous-traitants. Le manquement à cette obligation est une faute imputable au responsable du traitement pour violation du consentement préalable de la personne avant toutes sortes de collectes de ses données.

La Cour de Justice de l’Union européenne par cet arrêt a voulu démontrer ou mettre en lumière l’objet même ou le but poursuivi par le RGPD en l’occurrence le renforcement des droits des personnes physiques concernées par tout traitement de leurs données à caractère personnel.

De plus, le consentement doit être éclairé. Cette qualité fait écho à l’obligation de transparence qui découle des articles 5 et 12 du RGPD et, plus particulièrement à l’obligation d’information qui s’impose au responsable de traitement en vertu des articles 13 et 14 du RGPD.

La CNIL considère que le recours à des cases précochées ou préactivées ne permet pas d’obtenir un consentement univoque. Dans le même esprit, la CJUE a jugé que le placement de cookies requiert un consentement actif des internautes de sorte qu’une case cochée par défaut est insuffisante. De plus, le recueil du consentement de l’utilisateur s’applique quand bien même les données concernées seraient à caractère personnel ou non.

Le Conseil d’État confirme cette observation de la CNIL, à travers une décision du 19 juin 2020 (CE, 10e et 9e chambre réunies, 19 juin 2020 n°430810) (2). Celui-ci précise qu’un consentement exprimé par défaut, tel que par une case pré-cochée, ne reflète pas une action active de la part de l’utilisateur et ne peut donc être considéré comme émanant d’un choix clair et délibéré permettant légitimement le recueil du consentement. La cour ajoute que le consentement obtenu dans le cadre de l’acceptation générale des conditions d’utilisation d’un service ne revêt pas un caractère spécifique conforme au RGPD.

Quand le responsable décide de fonder son traitement sur le consentement de la personne concernée, il doit être en mesure de démontrer qu’il a obtenu ce consentement.

La CJUE a précisé que le responsable du traitement doit être en mesure de démontrer le consentement de la personne concernée à la collecte et à la conservation de ses données à caractère personnel. La seule présence d’une clause contractuelle, cochée à l’avance par les agents de vente, précisant que le client a consenti, ne permet pas de prouver l’existence d’un consentement valable (CJUE, 11 nov. 2020, aff. C-61/19, Orange Romania).

La CNIL dans une délibération rendue le 24 novembre 2022 n°SAN-2022-021 (3), avait à se prononcer sur un contrat conclu entre la société EDF et un courtier en données. Celle-ci précise que le responsable de traitement reste garant de l’obtention du consentement des personnes prospectées et ne peut se décharger de sa responsabilité en cas de manquement de son contractant, à moins qu’il n’ait mis en place des mesures de contrôle adéquates. (8)

2. Les stipulations contractuelles dudit contrat sont susceptibles d’induire la personne concernée en erreur quant à la possibilité de conclure le contrat en question même si elle refuse de consentir au traitement de ses données

Conformément aux lignes directrices dégagées par le CEPD (Lignes directrices CEPD n° 05/2020, 4 mai 2020), le consentement est libre quand il n’est pas contraint, ni influencé. La personne doit se voir offrir un choix réel, sans avoir à subir de conséquences négatives en cas de refus. En ce sens, l’article 7 du RGPD dispose qu’« au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat ».

Cela semble revenir à l’idée que le consentement ne peut être considéré comme valable quand il est donné dans le but de profiter d’un produit ou d’un service pour la fourniture duquel un traitement de données n’est pas nécessaire. Le CEPD donne l’exemple d’un fournisseur de site web qui bloque la visibilité du contenu, sauf si l’utilisateur clique sur le bouton « Accepter les cookies ». La personne concernée ne dispose pas d’un véritable choix, son consentement n’est donc pas donné librement.

La CNIL dans une délibération rendue le 15 juin 2023 (SAN-2023-009) (4) a sanctionné une société spécialisée dans la publicité en ligne pour ne pas avoir vérifié que les personnes dont elle traite les données par l’intermédiaire de cookies avaient donné leur consentement. À cette occasion, elle détaille les conditions requises pour prouver le consentement des individus lorsque des cookies tiers sont déposés sur un site web.

Le responsable peut tout d’abord mettre en œuvre un traitement nécessaire soit à l’exécution d’un contrat auquel la personne concernée est partie, soit à l’exécution de mesures précontractuelles prises à la demande de celle-ci. Comme le consentement, la base légale contractuelle se révèle être souvent utilisée en pratique.

Le responsable peut également faire reposer la licéité de son traitement sur le respect d’une obligation légale à laquelle il est soumis, la sauvegarde des intérêts vitaux de la personne concernée ou encore l’exécution d’une mission d’intérêt public ou la mise en œuvre d’un traitement relevant de l’exercice de l’autorité publique dont il est investi.

En dernier lieu, la loi du 6 janvier 1978 et le RGPD prévoient la possibilité de mettre en œuvre un traitement quand ce dernier est « nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant » (L. n° 78-17, 6 janv. 1978, art. 5, 6° RGPD, art. 6, § 1, f). C’est ainsi au responsable de déterminer à quel moment ses intérêts ou ceux d’un tiers doivent prévaloir sur ceux de la personne concernée.

La CEDH dans une décision du 8 septembre 2022 (CEDH, 5e sect., 8 sept. 2022, nos 3153/16 et 27758/18, Drelon c/ France) (5) devait se prononcer sur une collecte de données effectuée par un établissement français du sang. À cette occasion, elle a rappelé que le seul fait que le responsable de traitement puisse collecter les données personnelles au regard du but poursuivi est insuffisant à rendre ce traitement illicite. Il faut en plus que les données collectées soient exactes, mises à jour, pertinentes et non excessives au regard des finalités du traitement des données. (10)

Dans tous les cas la personne concernée doit être informée de la collecte de ses données conformément au RGPD et son consentement devra être recueilli sans ambiguïté sauf exception édictée par ledit RGPD.

 3. Le libre choix de s’opposer à cette collecte et à cette conservation est affecté indûment par ce responsable, en exigeant que la personne concernée, afin de refuser de donner son consentement, remplisse un formulaire supplémentaire faisant état de ce refus

La personne concernée est libre de consentir à la collecte de ses données à caractère personnel. Certes, le RGPD prévoit encore la possibilité pour les personnes concernées de « s’opposer à tout moment » au traitement de leurs données (art. 21 (1)). Elles ne peuvent toutefois plus le faire selon les mêmes modalités.

Aux termes du règlement européen, l’exercice du droit d’opposition n’a en effet vocation à s’appliquer qu’à l’encontre des traitements nécessaires à « l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement, ou en raison des intérêts légitimes du responsable du traitement » (RGPD, consid. no 69 et art. 21 (1), par renvoi à, art. 6 (1) e) ou f)).

Dans de telles circonstances, les seules possibilités de mettre fin au traitement seront donc soit de recourir au droit à l’effacement (RGPD, art. 17), soit de retirer son consentement (RGPD, art. 7 (3)) avec l’avantage de ne pas devoir justifier de « motif légitime » (voir en ce sens, Maisnier-Boché L., art. préc.).

Ce qui implique dans les deux hypothèses que de telles actions soient nécessairement exercées après que le traitement ait été mis en œuvre et non avant (RGPD, art. 99 (2)). Sans compter qu’aucune disposition ne semble par ailleurs pouvoir être invoquée pour faire valoir le droit d’opposition en cas de traitement de données personnelles nécessaire à l’exécution d’un contrat ou de mesures précontractuelles (RGPD, art. 6 (1) b) ; voir également en ce sens, Maisnier-Boché L., art. préc.) ou celui – mais l’exception est plus admissible compte tenu des risques encourus – nécessaire à la sauvegarde des intérêts vitaux (RGPD, art. 6 (1) d)).

Le Conseil d’État, dans une décision rendue le 20 décembre 2023 (CE, 20 décembre 2023 n°430810) (6), devait se prononcer sur le droit à l’effacement d’un politicien souhaitant obtenir le déréférencement d’un article de presse le concernant. Celui-ci, par une mise en balance du droit à la protection des données à caractère personnel et le droit à la liberté d’information du public, sur des questions d’intérêt public, a rejeté cette demande de déréférencement.(11)

À cette limite, importante donc, le règlement européen apporte au moins deux précisions utiles. La première est que le droit d’opposition vaut bien en cas de profilage et qu’il continue de s’appliquer en matière de prospection (RGPD, art. 21 (2)), à des fins commerciales comme non-commerciales notamment associatives ou politiques.

La deuxième concerne les conséquences de l’exercice du droit d’opposition. Aussi évidentes soient-elles, il n’en demeurait pas moins pertinent de rappeler que « lorsque la personne concernée s’oppose au traitement à des fins de prospection, les données à caractère personnel ne sont plus traitées à ces fins » (RGPD, art. 21 (3)). Ce qui, comme du reste actuellement, ne devrait toutefois pas avoir pour conséquence d’interdire la mise en place de listes d’opposition, justement dans la mesure où elles poursuivent une finalité propre, à savoir garantir l’exercice effectif de ce droit.

Selon l’article 6 § 1.b du RGPD, le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci.

Toutefois, lorsque le responsable du traitement coche au préalable la case de consentement de la collecte des données personnelles des clients, ce dernier ne met pas en évidence le caractère libre du client pour consentir ou non à la collecte de ses données personnelles. Autrement dit, il affecte même le caractère licite de la collecte des données personnelles des personnes concernées au regard de l’article 6 du RGPD.

Le Conseil d’État dans un arrêt du 19 juin 2020 (CE, 19 juin 2020, n°430810) a condamné la société Google sur ce fondement. Ce dernier souligne que le consentement donné au moyen d’une case pré-cochée ne résulte pas d’une action active de la part de l’utilisateur et ne peut donc être considéré comme provenant d’une décision claire et volontaire. (9)

SOURCES :

1)  CEDH, 9 mai 2023 n°31172/19 « Association les témoins de Jéhovah c/Finlande :https://hudoc.echr.coe.int/fre#{%22itemid%22:[%22002-14070%22]}

(2) CE, 10e et 9e chambre réunies, 19 juin 2020 n°430810 : https://www.legifrance.gouv.fr/ceta/id/CETATEXT000042040546
(3) CNIL, délibération SAN-2022-021 du 24 novembre 2022 : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000046650733

(4) CNIL, Délibération SAN-2023-009 du 15 juin 2023

(5) CEDH, 5e sect., 8 sept. 2022, nos 3153/16 et 27758/18, Drelon c/ France https://hudoc.echr.coe.int/fre#%7B%22itemid%22:%5B%22001-219069%22%5D%7D

(6) CE, 19 juin 2020, n°430810 : https://www.legifrance.gouv.fr/ceta/id/CETATEXT000042040546

(7) https://www-labase-lextenso-fr.ezpum.scdi-montpellier.fr/lessentiel-droit-de-la-famille-et-des-personnes/DFP201o3?em=consentement%20collecte%20des%20donn%C3%A9espar%20

(8) https://www-labase-lextenso-fr.ezpum.scdi-montpellier.fr/lessentiel-droit-de-la-distribution-et-de-la-concurrence/DDC201h3?em=responsable%20de%20traitement%20consentement

(9) https://www-labase-lextenso-fr.ezpum.scdi-montpellier.fr/gazette-du-palais/GPL383j7?em=consentement%20%C3%A9clair%C3%A9%20donn%C3%A9es

(10) https://www-labase-lextenso-fr.ezpum.scdi-montpellier.fr/lessentiel-droit-de-la-famille-et-des-personnes/DFP201a6?em=collecte%20de%20donn%C3%A9es%20

(11) https://www-labase-lextenso-fr.ezpum.scdi-montpellier.fr/gazette-du-palais/GPL459j2?em=droit%20%C3%A0%20l%27effacement

Règlementation drones civils

À l’heure où Amazon promet des livraisons de petits colis en 30 minutes chrono, d’autres rêvent de se faire livrer des pizzas, des médicaments ou bien rêvent de réaliser des films…  Pour le simple plaisir ou pour capter des images et vidéos exceptionnelles, l’utilisation de ces drones connaît un succès aujourd’hui exponentiel.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

La commission nationale de l’informatique et des libertés (CNIL) défini le drone au sens strict comme un appareil sans pilote à bord. Il est généralement piloté à distance par un opérateur humain, mais peut avoir un degré plus ou moins important d’autonomie (par exemple pour éviter des collisions ou gérer les conditions aérologiques). Un drone est avant tout une plateforme de capteurs mobiles. C’est un engin d’observation, d’acquisition et de transmission de données géolocalisées.

Défini par le dictionnaire Larousse comme un « petit avion télécommandé utilisé pour des tâches diverses (missions de reconnaissance tactiques à haute altitude, surveillance du champ de bataille et guerre électronique). Les drones sont aussi utilisés dans le secteur civil pour des missions de surveillance (manifestations, pollution maritime, incendies de forêt, etc.), des prises de vues et divers loisirs (la photo, notamment). »

Cette dernière référence aux drones civils qui va nous intéresser tout particulièrement. Si la définition appuie spécifiquement sur les possibilités offertes par les drones pour diverses missions, de plus en plus de ces engins sont proposés au grand public, et à des prix toujours plus accessibles.


Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien


Si jusqu’à récemment, les drones étaient en effet surtout connus pour leur usage militaire sur lequel la France accuse d’un retard criant, leur utilisation à des fins commerciales et civiles est dorénavant en expansion croissante et touche une vaste quantité de domaines : activités civiles de loisirs dans le cadre de l’aéromodélisme, surveillance de l’environnement, sécurité des sites sensibles, lutte anti-incendie, contrôle de l’intégrité d’ouvrages d’art, inspections techniques, moyens de transport, prises de vue…

Les catégories de drones sont multiples, allant d’appareils de quelques centaines de grammes ayant un rayon et une durée de vol limités à des appareils de plusieurs dizaines voire centaines de kilos pouvant parcourir de longues distances et voler à plusieurs centaines de mètres d’altitude.

Dès lors que les engins volants pèsent moins de 150 kg, ce sont les législations et autorités nationales qui sont compétentes. Du moins, c’était le cas jusqu’à ce que le règlement (UE) 2018/1139 du Parlement européen et du Conseil du 4 juillet 2018 traitant des règles communes dans l’aviation civile n’institue une Agence de l’Union européenne pour la sécurité aérienne (AESA) habilitée à apporter son expertise à la Commission européenne pour réglementer toutes formes de drones.

Ainsi, la France a été le premier pays à avoir instauré une réglementation spécifique par deux arrêtés de 2012 définissant une législation adéquate à des cas simples. Pour les autres drones, il a été nécessaire de faire des analyses et traitements au cas par cas afin d’assurer le développement progressif de cette nouvelle technologie ainsi que l’encadrement des pratiques des particuliers par un cadre adapté.

Ces textes relatifs d’une part à la conception, l’utilisation et aux capacités requises pour faire voler de tels engins, et d’autre part, à l’utilisation de l’espace aérien par ces aéronefs, visent à garantir la sécurité publique. Le législateur français avait introduit plusieurs catégories d’appareils volants (sauf ballons-sondes, fusées, cerfs-volants). Ainsi, pour un engin non doté d’une caméra et pesant moins de 25 kg les règles étaient plutôt permissives puisque pour la grande majorité des appareils vendus pour le loisir (catégorie A), l’arrêté obligeait seulement à ce que le drone reste en vue directe.

Cela signifie que l’appareil et son conducteur devaient rester en contact visuel et ne pas voler plus haut qu’une altitude de 150 mètres (désormais 120 mètres) ou à proximité d’une zone dangereuse ou interdite. En revanche, lorsque le drone est muni d’un appareil à captation d’images photo ou vidéos, la réglementation se durcit. Le développement de ces engins risque en effet de porter atteinte d’une part au respect de la vie privée lorsqu’ils disposent de tels dispositifs de captation d’images, et d’autre part à la sécurité lorsqu’ils transportent des matériaux dangereux ou illégaux.

S’il a donc été important pour le législateur français, au vu de la croissance phénoménale de l’utilisation des drones civils, de séparer les enjeux légaux liés à l’encadrement des drones disposant d’une caméra (I) de ceux qui n’en n’ont pas (II), c’est finalement l’Union européenne qui s’est emparée de la réglementation en la matière (III).

I- Les drones disposant d’une caméra

Concernant les drones qui permettent la captation d’images photo photo ou vidéos, la réglementation française se faisait plus stricte (A) car des atteintes à la vie privée peuvent être caractérisées (B).

A) La réglementation

Ces drones permettent la prise de clichés et de vidéos via des angles jusque-là impossibles à atteindre sans utiliser un hélicoptère. Il est ainsi possible de manier aisément un engin aux caractéristiques intéressantes en utilisant de simples commandes ou un smartphone. Mais concernant la réglementation applicable, elle s’est faite plus stricte.

En effet, une distinction entre usage personnel et professionnel a cessé d’être opérée par la loi qui énonçait que des autorisations préfectorales devaient être demandées en fonction de la zone survolée. À titre d’exemple, une autorisation était indispensable concernant des vols en agglomération ou à proximité de personnes ou d’animaux, en vue directe et à une distance horizontale maximale de 100 mètres du pilote.

De plus, s’il le souhaitait, un conducteur de drone pouvait effectuer un vol hors vue directe et en dehors d’une zone peuplée, mais à condition d’également obtenir une autorisation au plus tard 24 heures avant le vol et d’informer le ministère chargé de l’aviation civile. Le conducteur devait alors pendant le vol être accompagné d’une seconde personne étant en mesure de prendre de contrôle de l’appareil à tout moment.

Étant précisé également par l’arrêté qu’il n’était pas possible de faire évoluer un aéronef télépiloté si le conducteur était lui-même à bord d’un autre véhicule en déplacement, situation nécessitant également l’obtention d’une autorisation du ministre chargé de l’aviation civile.

Ainsi, pour ne pas avoir respecté la réglementation, un jeune homme de 18 ans avait été convoqué devant le tribunal pour « mise en danger délibérée de la vie d’autrui » pour avoir, en janvier 2014, survolé et filmé la ville de Nancy à l’aide d’un drone équipé d’une caméra GoPro, avant de diffuser son film sur internet. Nul n’étant censé ignorer la loi, il a dû répondre de ses actes devant le tribunal correctionnel.

B) Les atteintes à la vie privée

Ces drones équipés de dispositifs de captation photo, vidéo ou sonore peuvent être très intrusifs et menacer le respect à la vie privée. En effet, se posait et se pose toujours la question de certaines caméras ayant des performances techniques telles qu’elles pourraient identifier des personnes physiques à leur insu.

Plus généralement, les drones équipés peuvent collecter, stocker et transmettre des informations ainsi que surveiller les comportements et déplacements de personnes, ce qui pose de graves enjeux en matière de libertés individuelles.

Il est intéressant de remarquer dans un premier temps que lorsqu’un aéronef fixe l’image d’une personne physique, le droit à l’image a vocation à s’appliquer. L’article 9 du Code civil ainsi que la jurisprudence énoncent que toute personne a sur son image et sur l’utilisation qui en est faite un droit exclusif et peut donc s’opposer à sa diffusion sans son autorisation. Pour faire respecter ce droit à l’image, tout télépilote d’un drone qui viendrait à capter l’image d’une personne par le biais d’une vidéo ou d’une photo, pourrait ainsi, sous réserve d’obtention du consentement de la personne concernée, publier cette image.

En pratique, il s’avère cependant très difficile de retrouver la personne concernée et de recueillir son consentement. C’est pourquoi la jurisprudence a assoupli ce principe concernant les personnes se trouvant dans des lieux publics sous réserve de certaines conditions.

En effet, pour que la publication ne soit pas subordonnée à l’accord des personnes qui apparaissent sur les images, la photographie ne doit pas permettre d’individualiser une personne en particulier, l’image ne doit pas porter atteinte à la dignité humaine et dans le cas d’évènements d’actualité, la publication de l’image ne doit pas dépasser les limites du droit à l’information (par exemple lors de manifestations publiques). A défaut, les personnes photographiées ou filmées à leur insu pourraient poursuivre juridiquement l’utilisateur du drone pour atteinte au droit à l’image.

Par ailleurs, le droit à la preuve ne peut justifier la production d’éléments portant atteinte à la vie privée qu’à la condition que l’atteinte soit proportionnée au but poursuivi. Constitue ainsi une atteinte à la vie privée la prise de vue aérienne d’une propriété privée sans l’accord des propriétaires et ce, même si elle n’en montre pas ses occupants (Paris, 15 mai 2019, n°18/26775).

Ensuite, comme le rappelle le Conseil d’Etat la captation de l’image d’une personne physique par un drone équipé d’une caméra correspond à un enregistrement de données personnelles protégé par la loi informatique et Liberté (CE 13 novembre 2020, n°401214). En effet, cette loi encadre la collecte et le traitement des données à caractère personnel en faisant peser des obligations sur le responsable du traitement. Les drones opèrent un changement de paradigme en matière de captation de données personnelles.

Enfin, des atteintes peuvent surgir concernant la surveillance des personnes par les autorités publiques. Ainsi, le CISR du 2 octobre 2015 préconisait par exemple l’utilisation de drones dans le domaine de la sécurité routière.

Comme le relève le Conseil d’Etat dans une décision du 22 décembre 2020, en l’absence d’encadrement législatif, le dispositif de surveillance par drone transmettant, même après floutage des images à la préfecture de police de Paris pour un visionnage en temps réel, constitue un traitement illégal de données à caractère personnel.

Alertée en effet par les enjeux considérables en la matière, la CNIL engage depuis 2012 des réflexions prospectives au sujet de l’utilisation des drones et du respect à la vie privée. Un des axes majeurs consiste à s’assurer que les nouveaux usages n’entraînent pas de dérives en matière de surveillance.

Lors du confinement du printemps 2020, des drones équipés de caméras ont été utilisés par les forces de l’ordre afin de surveiller le respect des mesures de confinement. Après les décisions du Conseil d’État, des 18 mai et 22 décembre 2020, qui interdisent leur utilisation, c’est au tour de la CNIL de sanctionner le ministère de l’Intérieur. Dans sa délibération du 12 janvier 2021, la formation restreinte de la Commission nationale de l’informatique et des libertés (CNIL) a sanctionné le ministère de l’intérieur à la suite de l’usage de drones équipés de caméras.

En réponse à ces décisions, le législateur a entendu donner naissance à un cadre légal à l’utilisation par les forces de l’ordre des caméras aéroportées (précisément embarquée à bord d’un drone), en adoptant la loi n° 2021-646 du 25 mai 2021 pour une sécurité globale. Les dispositions concernées ont été censurées par le Conseil constitutionnel le 20 mai 2021, car méconnaissant le droit au respect de la vie privée (Cons. constit., 20 mai 2021, n° 12021-817 DC).

Depuis le législateur a adopté la loi n°2022-52 du 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure. Plusieurs articles réécrivent, à la suite de la censure par le Conseil Constitutionnel, certaines dispositions de la loi du 25 mai 2021, le cadre juridique pour l’usage des caméras et des drones par les forces de l’ordre à la fois pour des finalités de police administrative et judiciaire.

Le 20 avril 2023 le décret relatif à la mise en œuvre de traitements d’images au moyen de dispositifs de captation installés sur des aéronefs pour des missions de police administrative a été publié.

Le 20 avril 2023 le décret relatif à la mise en œuvre de traitements d’images au moyen de dispositifs de captation installés sur des aéronefs pour des missions de police administrative a été publié. Rendue dans la foulée, une nouvelle délibération de la Cnil, enjoint que lui soient transmises les doctrines d’emploi, qui ne figurent pas dans le décret et qui devront préciser les « cas d’usage, les conditions d’emploi et les conduites à tenir », en particulier s’agissant de « l’information » du public concerné. La Commission réclame aussi un chiffrement des enregistrements « directement au niveau des caméras » pour une garantie d’intégrité et de sécurité « jusqu’à leur effacement ».

 

II- Les drones ne disposant pas d’une caméra

Si le droit français est venu réguler l’utilisation classique des aéronefs non équipés de dispositif de captation d’images (A), cette réglementation semblerait pourtant inefficace face aux utilisations illicites menaçant la sécurité des personnes (B).

A) La réglementation

Avant que la réforme européenne n’intervienne, la France opérait une classification de A à G des drones civils dépendamment de facteurs tels que leur masse, leur type de propulsion ou les types d’activités concernés. De ces catégories ainsi que de l’utilisation faite du drone découlaient des obligations contraignant la vitesse, la hauteur de vol, vol en vue ou hors vue, le type de zone survolable (selon la présence d’individus ou non), et la finalité du vol (ce que le droit définit sous l’appellation de scénario).

Ainsi, à titre d’exemple, seuls les aéronefs de moins de 25 kg comportant un seul type de propulsion et ne disposant pas de caméra et ne pouvant voler qu’en vue directe, ce qui correspondait à la catégorie A, étaient dispensés de document de navigabilité et ne requéraient aucune condition particulière à propos des capacités du télépilote pour l’autoriser à voler.

En revanche, pour toutes les autres catégories d’aéronefs et toujours dépendamment de l’utilisation qui est faite du drone, une autorisation délivrée par le ministre chargé de l’aviation civile et l’installation sur l’aéronef de dispositifs spécifiques pouvait être requise. Il était exigé pour le télépilote d’avoir une certaine maîtrise en pilotage et de détenir certains documents spécifiques.

B) Les atteintes à la sécurité

Bien que l’utilisation des drones civils soit réglementée, elle reste problématique sur certains points. D’abord, en matière de sécurité, l’état actuel de la technologie des aéronefs civils ne permet pas de leur prêter une confiance totale. Un rapport du Congrès américain mettait en exergue, à ce titre, en septembre 2012, que n’étant pas technologiquement capables d’éviter d’éventuels objets volant à basse altitude, les drones civils présentent un dangereux risque de collision avec des ULM, hélicoptères ou avions en phase de décollage ou d’atterrissage par exemple. C’est d’ailleurs pour cette raison que sont en ce moment développées par les constructeurs des technologies de détection et d’évitement dites de « sense and avoid ».

De plus, ces appareils émettant entre autres des ondes WiFi présentent également un risque d’être piratés et donc de pouvoir être détournés de leur mission initiale, et ce, par de potentielles personnes mal intentionnées. À ce titre, dans le cadre de protestations contre la surveillance excessive de la société civile, le Parti pirate allemand avait en septembre 2013 fait atterrir un drone aux pieds de la chancelière allemande Angela Merkel. La farce de mauvais goût aurait alors, entre de mauvaises mains telles que celles d’États ou de groupes hostiles, pu facilement tourner au drame national si un terroriste avait fait atterrir le même drone avec une charge explosive déclenchée à l’atterrissage. Un risque d’utilisation de drones à des fins terroristes est à prendre en compte, voire à anticiper, bien que, fort heureusement, aucun accident de la sorte ne soit à ce jour à déplorer.

Par ailleurs, concernant le problème du transport de matériaux illégaux, là où le directeur d’Amazon voit dans les drones le futur de la livraison de petits colis, des délinquants pourraient également à terme faire usage de ce mode de livraison dans le cadre de trafic de stupéfiants. C’est à ce titre qu’un Australien de 28 ans a été arrêté pour avoir tenté de livrer par drone un stock de drogues dans une prison de Melbourne.

Appareils pilotables à distance, aux capacités de chargement croissantes et aux prix sans cesse plus accessibles pour tout un chacun, il est fort probable que les drones élargissent durablement le champ de la criminalité.

En 2021, les craintes d’une utilisation détournée se sont confirmées lorsqu’un drone, de type « professionnel », d’une envergure de 4,3 mètres et d’une autonomie de vol de 7 heures a été saisi par les agents de la Policia Nacional dans le cadre d’une affaire de lutte contre le trafic de stupéfiants entre l’Espagne et la France.  

Plus récemment en France, un drone a été utiliser pour voler 150.000 euros d’un distributeur de billets.

Bien que ces cas restent isolés, ils soulèvent de nombreuses questions sur l’utilisation et les potentielles atteintes qui pourraient en découler.

C’est en toute conscience de ces enjeux que la Commission européenne s’est alors saisie de la question en créant en 2013 un groupe de travail ayant eu pour mission de penser et proposer l’intégration sécurisée des drones civils dans le système d’aviation européen dès 2016.

III- La nouvelle réglementation européenne pour les UAS

Si la nouvelle réglementation européenne présente des enjeux de taille aux conséquences diverses (A), elle engendre à court terme de multiples répercussions au sein du droit national (B).

A) La réglementation

La Commission, le Parlement ainsi que le Conseil européens se sont accordés pour donner à l’Union européenne la compétence de la réglementation relative à la sécurité des drones et ce, quelle que soit leur masse. Dans cette logique elle a d’abord adopté le règlement du 4 juillet 2018 qui étend aux drones l’essentiel des dispositions applicables aux autres catégories d’aéronefs.

Dans la foulée, la Commission a procédé à l’élaboration de deux règlements visant à harmoniser en Europe le statut des drones.

D’une part, le règlement délégué (UE) 2019/945 de la Commission du 12 mars 2019 relatif aux systèmes d’aéronefs sans équipage à bord (ci-après UAS, acronyme de l’anglais « Unmanned Aerial Systems ») et aux exploitants, issus de pays tiers, d’UAS, et d’autre part, le règlement d’exécution (UE) 2019/947 de la Commission du 24 mai 2019 concernant les règles et procédures applicables à l’exploitation d’aéronefs sans équipage à bord.

Ainsi, la catégorie « ouverte » désignant les opérations à faible risque au cours desquelles l’UAS vole en vue et à faible hauteur se distingue de la catégorie « spécifique » désignant les opérations à risque modéré au cours desquelles l’aéronef vole à vue ou hors vue dans des conditions différentes de la catégorie précédente, elle-même se distinguant de la catégorie « certifiée » qui désigne les opérations hautement risquées nécessitant une importante fiabilité dans l’aéronef, et impliquant par exemple de transporter des personnes ou des marchandises dangereuses.

Les règlements européens précités sont d’application directe dans les États membres et doivent se substituer à la réglementation nationale dès leur entrée en vigueur le 31 décembre 2020.

Cependant, les exigences de la réglementation nationale et européenne sont parfois incohérentes. Ainsi, malgré l’application de la réglementation européenne sur les drones, la gestion de l’espace aérien relève toujours du droit français, à l’exception de certaines spécificités comme des restrictions ou conditions de pénétration dans les ex-catégories loisirs et autres activités particulières désormais régies par la nouvelle catégorisation européenne.

Par ailleurs, le droit français motive ses réglementations par des considérations de sûreté publique (telle la compétence nationale sur les dispositifs de signalement électronique), tandis que la réglementation européenne porte quant à elle sur des questions de sécurité aérienne.

Afin de permettre tout de même une transition progressive vers la nouvelle réglementation européenne, certains textes nationaux sont maintenus. C’est par exemple le cas de la nouvelle catégorie « spécifique » au moyen de laquelle il est encore possible de voler selon des scénarios standard nationaux jusqu’au 2 décembre 2023 au plus tard, après quoi il y aura obligation de voler selon l’un des scénarios standards européens (STS).

B) Les répercussions dans le droit national

Le droit français visant donc à modifier a minima la réglementation actuelle dans le but de répondre aux nouvelles exigences européennes, plusieurs arrêtés ont alors été publiés au JORF du 10 décembre 2020.

L’un, relatif aux dispositions transitoires de reconnaissance de la formation et des titres des pilotes à distance, crée des modalités de reconnaissance des compétences actuelles des télépilotes pour la catégorie « ouverte » limitée.

Cependant, les drones de cette catégorie, marqués ‘CE’ depuis la réglementation européenne et pouvant être utilisés depuis le 31 décembre 2020, présentent l’inconvénient de ne pas encore être disponibles sur le marché. C’est pourquoi des drones pourtant non conformes à la nouvelle réglementation européenne pourront voler jusqu’au 1er janvier 2023 s’ils sont utilisés selon une catégorie « ouverte » dite « limitée ». Leurs utilisateurs devront néanmoins finir par acquérir un drone avec mention de classe pour pouvoir voler sans trop de problèmes.

Un deuxième arrêté, relatif à l’exploitation d’aéromodèles au sein d’associations d’aéromodélisme, autorise ces associations à pouvoir continuer d’exercer suivant les mêmes règles qu’avant la réforme, et ce jusqu’au 1er janvier 2023, la nouvelle réglementation européenne donnant la possibilité aux États membres de définir leur propre réglementation pour les clubs et associations d’aéromodélisme.

Un troisième arrêté concerne cette fois la définition des scénarios standard nationaux et fixe les conditions applicables aux missions d’UAS exclues du champ d’application du règlement (UE) 2018/1139 du 4 juillet 2018, précité, relatif aux règles communes dans le domaine de l’aviation civile (et instituant l’AESA).

Cet arrêté reprend trois des scénarios standard nationaux (S1, S2, S3) pour qu’ils puissent continuer d’être utilisés en catégorie « spécifique » jusqu’au 2 décembre 2023. Il inclut également des exigences spécifiques applicables aux exploitants de drones qui n’entrent pas dans le champ de la nouvelle réglementation européenne, à savoir pour des missions de secours, de police ou encore de lutte contre les incendies par exemple.

Un quatrième arrêté permanent relatif aux exigences applicables aux pilotes à distance dans le cadre d’opérations relevant de la catégorie « ouverte » fixe l’âge minimal de 14 ans pour les pilotes de drones dans cette catégorie. En effet, si la réglementation européenne fixe pourtant l’âge minimal à 16 ans dans cette catégorie, elle laisse en fait également aux États membres le choix de réduire cet âge minimum.

Cinquièmement, un arrêté permanent relatif à l’utilisation de l’espace aérien par les aéronefs sans équipage à bord fait entre autres passer la hauteur de vol maximale de 150 mètres à 120 mètres afin de se conformer avec la nouvelle réglementation européenne bien que la France demeure compétente en la matière, s’agissant de la gestion de l’espace aérien.

Enfin, un sixième arrêté relatif aux exigences applicables aux opérations conduites sur certains aéronefs captifs visés à l’annexe I du même règlement (UE) 2018/1139 précité, régit la conception, production, maintenance et exploitation de certains UAS captifs énumérés à l’alinéa 2 de cette même annexe.

Pour conclure, la réglementation européenne des aéronefs sans équipage à bord entrée en application le 31 décembre 2020 vient remplacer, notamment au terme d’une période de transition, la réglementation nationale en matière de sécurité aérienne et opère une classification des drones sous un angle différent, non plus selon la finalité de l’opération, mais selon le niveau de risque qu’elle présente.

Face au développement des usages, la Commission a adopté le 29 novembre 2022 une nouvelle stratégie intitulée « Drone 2.0 ». Ce texte défini les objectifs des institutions européennes d’ici à 2030 en matière de développement, de l’exploitation commerciale des drones à grande échelle, qu’il s’agisse des services d’urgence, de la cartographie, l’imagerie, l’inspection et la surveillance dans le respect du cadre légal applicable, ainsi que la livraison urgente de petits envois, tels que des échantillons biologiques ou des médicaments ou encore les taxis aériens.

Toutefois, le droit européen n’a pas vocation à se substituer à la réglementation nationale dont certaines dispositions continueront d’être applicables. Tel est le cas pour tout ce qui concerne la sûreté, la gestion de l’espace aérien ainsi que les drones utilisés par l’État dans le cadre d’activités miliaires, de douanes, de police, de recherche et sauvetage, de lutte contre l’incendie, de contrôle aux frontières et de surveillance côtière qui relèvent d’un régime particulier.

Pour lire une version plus complète de cet article sur les drones, cliquez

Sources :
http://www.village-justice.com/articles/essor-utilisation-drones-usage-civil,16348.html
http://vision-du-ciel.com/images_vierges/tableau-synthese-aeronefs-telepilotes.pdf
http://www.numerama.com/magazine/28431-drones-civils-ce-que-dit-la-loi-en-france.html
Communiqué de la Commission européenne, 19 juin 2013 « Les drones stimulent l’innovation et créent des emplois »
Règlement (UE) 2018/1139 du Parlement européen et du Conseil du 4 juillet 2018
Règlement délégué (UE) 2019/945 de la Commission du 12 mars 2019
Règlement d’exécution (UE) 2019/947 de la Commission du 24 mai 2019
Laurent Archambault et Cassandra Rotilly, Dalloz IP/IT : 2021 (Dalloz, 22 mars 2021) N° 3 p.163
Décret n° 2023-283 du 19 avril 2023 relatif à la mise en œuvre de traitements d’images au moyen de dispositifs de captation installés sur des aéronefs pour des missions de police administrative : https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000047464659

CLOUD COMPUTING ET RISQUES JURIDIQUES

Le Cloud Computing a fait émerger, en dépit de son caractère récent, une foule de questions notamment sur les avantages, mais surtout sur les risques liés à ce Cloud Computing. Alors doit-on se méfier ou au contraire approuver le Cloud ?

Le monde est fait de révolutions industrielles et de « modes » 1990 : le PC Windows, 2000 : Internet dans les entreprises, et… 2010 : le Cloud Computing !

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Le Cloud Computing ou « l’informatique dans les nuages », fait référence à une technique de service informatique qui permets aux utilisateurs tiers d’accéder aux ressources Internet d’un hébergeur, sans être contraints d’acquérir ou de louer le matériel informatique ou le logiciel ou encore de conclure des contrats de maintenance et de prestation de services y afférents. Plus précisément, cette technologie permet d’utiliser la puissance de serveurs informatiques à distance par l’intermédiaire d’un réseau.

Le National Institute of Standards and Technology (NIST) définit le cloud computing comme étant « l’accès via un réseau de télécommunications, à la demande et en libre-service, à des ressources informatiques partagées configurables ».


Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


Les multiples utilisateurs peuvent partager certaines données, générer automatiquement leurs propres fichiers et communiquer en ligne avec des tiers auxquels ils auront préalablement autorisé l’accès auxdites données, et ce, grâce à un système d’authentification (mot de passe et codes d’authentification. Mais l’usage de cet outil novateur que constitue le Cloud Computing contient, en son sein, des risques juridiques liés à la protection des données qu’il permet de traiter.

Dans ce sens, le début de la première initiative s’était concrétisé par le partenariat entre les entreprises Intel, Hewlett Packard et Yahoo! fin juillet 2008 dans le but de promouvoir la recherche dans ce domaine du Cloud Computing. On parlait alors de « cloud computing test bed », ayant pour objectif de créer un « environnement distribué » à l’échelle mondiale, permettant notamment la recherche sur les logiciels et le matériel informatique, ainsi que la centralisation de données.

Ensuite, le gouvernement américain suivait cette ligne en lançant le 22 novembre 2010 sa politique de « cloud prioritaire ».

Aujourd’hui, les services de cloud computing, qui déjà lancés par un certain nombre de sociétés dont Amazon et Google, et même Microsoft avec sa plateforme cloud Azure qui répond déjà aux attentes des développeurs, pourraient bien révolutionner l’informatique des entreprises.

Le cloud computing, permettant désormais d’externaliser l’utilisation de la mémoire ainsi que les capacités de calcul d’ordinateurs et de serveurs répartis dans le monde entier, offre en effet aux entreprises une formidable puissance informatique s’adaptant de surcroît à la demande. Mais le cloud computing présente également un certain nombre de risques juridiques dont il convient de se prémunir dans le cadre d’un contrat adapté.

Les dépenses mondiales en services de cloud computing devraient augmenter de 23 % en 2023, selon un récent rapport de CanalysLes réalités de la dégradation des conditions macroéconomiques et de la récession imminente ont entraîné un ralentissement du volume et du rythme de la migration vers le cloud au quatrième trimestre, notamment de la part des entreprises, qui ont généralement des charges de travail plus importantes.

Il s’agit d’une technique qui diffère des contrats classiques d’outsourcing aux termes desquels un prestataire tiers sera en charge du traitement technique des données (données personnelles comprises).

Le droit français et la majorité des lois nationales relatives à la protection des données personnelles au sens de la directive n° 95/46/CE du 24 octobre 1995, considèrent en principe ce prestataire tiers (hébergeur du système de Cloud Computing) comme un sous-traitant des données agissant conformément aux instructions d’un responsable du traitement des données.

Le RGPD, dans son article 28, impose l’existence d’un contrat liant le responsable de traitement, à savoir le client, et le sous-traitant qui n’est autre que le prestataire de services de cloud.

Néanmoins, il peut s’avérer que cette qualification peut s’avérer plus complexe comme ses conséquences sur le plan contractuel. L’affaire Swift, concernant une société de droit belge, qui assure le transfert de fonds internationaux à des établissements financiers, témoigne de cette complexité.

La société Swift prétendait qu’elle était le sous-traitant des données en question lorsqu’elle exportait des données personnelles et des données financières hors de l’Union européenne dans le cadre d’opérations financières. Et la Justice belge a en effet considéré que les établissements financiers impliqués dans ces opérations étaient les responsables des données personnelles en question et que Swift devait ainsi être considéré comme sous-traitant de ces données de fait et délégué desdits établissements financiers. Cette affaire révèle assez clairement les risques juridiques qu’entretient l’innovation du Cloud Computing.

Enfin, le cloud permet à l’entreprise de s’affranchir des contraintes traditionnelles (la bonne appréciation du nombre de serveurs, de la capacité nécessaire) et d’avoir une approche modulaire en fonction des besoins. Sur le plan juridique, on se rapproche du cas dans lequel une entreprise déciderait d’externaliser tout ou partie de son système d’information.

Une démarche prudente consiste en l’appréhension des risques et la prise des mesures nécessaires à la garantie la continuité du service, la sécurité des données, la qualité du service, la réversibilité… Finalement, la question liée à la confidentialité doit rester une préoccupation centrale. Ces différents sujets sont très similaires à ceux de l’outsourcing. Donc, dans l’ensemble, des réponses existent déjà et pourraient être mises en œuvre.

Il conviendra donc d’exposer ce qu’est le concept de cloud computing (1), pour ensuite définir et se prémunir des risques juridiques liés à son utilisation (2).

I. Qu’est-ce que le cloud computing ?

Il convient de définir le cloud computing (A), ainsi que ses avantages (B).

A) La définition du cloud computing

Le cloud computing présente un concept récent permettant d’utiliser de la mémoire et des capacités de calcul d’ordinateurs et de serveurs répartis dans le monde entier et liés par un réseau tel Internet. Le cloud computing permet ainsi de disposer, à la demande, de capacités de stockage et de puissance informatique sans disposer matériellement de l’infrastructure correspondante.

Le cloud computing est la prestation de services informatiques (comme des logiciels, des bases de données, des serveurs et des réseaux) sur Internet. Cela signifie que les utilisateurs finaux peuvent accéder aux logiciels et aux applications, peu importe où ils se trouvent. Pour les utilisateurs, le « Cloud » est synonyme de connexion permanente à des applications web, au stockage de données, au traitement et à d’autres ressources informatiques.

L’infrastructure du fournisseur est ainsi totalement autonome et déconnectée de celle du client, ce qui permet à ce dernier de s’affranchir de tout investissement préalable (homme ou machine). L’accès aux données et aux applications peut ainsi se faire à partir de n’importe quel périphérique connecté, le plus souvent au moyen d’un simple navigateur Internet.

Il existe également des clouds computing publics qui constituent des services partagés auxquels toute personne peut accéder à l’aide d’une connexion Internet et d’une carte de paiement, sur une base d’utilisation sans abonnement. Ce sont donc des infrastructures virtualisées que se partagent plusieurs utilisateurs.

Les clouds privés (ou d’entreprise), quant à eux, ils tendent à reprendre le même modèle de distribution des clouds computing publics, à la différence qu’ils sont détenus et gérés de manière privée, l’accès pouvant être limité à une seule entreprise ou à une partie de celle-ci. Ces derniers peuvent ainsi apparaître comme plus sûrs en termes de sécurité, de stabilité, de confidentialité et de persistance des données.

Globalement, le cloud computing constitue une nouvelle forme d’informatique à la demande, à géométrie variable, que l’on pourrait classer d’un point de vue juridique, au croisement des services d’externalisation, et des services ASP et SaaS.

En effet, les services d’externalisation (ou « outsourcing ») consistent à confier la totalité d’une fonction ou d’un service à un prestataire externe spécialisé, pour une durée pluriannuelle. Grâce à de tels contrats, le client peut s’exonérer des contraintes de gestion et de maintenance d’un système informatique.

Les services « ASP » (pour « Application Service Provider ») dérivent des contrats d’outsourcing. Sauf que dans les contrats ASP, le client ne fait que louer un droit d’accès et d’utilisation du système informatique auprès du prestataire. Le client dispose ainsi d’un accès à distance à des applications sur un serveur extérieur, ce qui le dispense d’acquérir lui-même une infrastructure informatique, des licences d’utilisation de progiciels etc.

Les services SaaS (pour « Software As A Service »), sont quant à eux des dérivés des contrats ASP dont ils constituent une forme particulière (application personnalisée), en externalisant le système informatique du client, auquel celui-ci à accès exclusivement par Internet.

B) Les apports du cloud computing

L’adoption du Cloud a été rapide et globale. A l’origine, les trois principes raison qui envoient les entreprises à adopter les services Cloud sont : la flexibilité de la fourniture des services, les équipements géographiques et l’offre.

En effet, le Cloud computing offre la possibilité d’étendre le système d’information d’une entreprise à la simple demande de celle-ci, en fonction de l’utilisation attendue (pics d’activité, pics de fréquentation, etc.).

Les services fournis dans le cadre du cloud computing sont vastes. L’entreprise peut notamment bénéficier d’une capacité de traitement de l’information (sans acquérir des ordinateurs et ressources nécessaires), d’infrastructures informatiques (de type réseaux), de capacités de stockage et d’archivage (sans avoir à se doter de serveurs spécifiques) mais aussi d’applications informatiques (sans avoir à acquérir les licences correspondantes).

Ainsi, le cloud computing permet, sans investissement majeur en termes d’infrastructure et de dépenses en capitaux, de bénéficier d’un service à moindre coût fondé sur la consommation, de type « pay-per-use », et par suite d’optimiser la gestion des coûts d’une entreprise.

De ce fait, le prix d’un tel service est calculé en fonction de la consommation effective d’une entreprise, tout comme pour l’utilisation du gaz ou de l’électricité. L’entreprise achète en quelque sorte la possibilité d’utiliser de la puissance informatique sur demande.

Au-delà du service en lui-même, les avantages du cloud computing, résident donc d’une part dans la simplicité et la rapidité de mise en œuvre dudit service, et d’autre part dans la grande flexibilité liée à l’offre sur demande que celui-ci permet.

Enfin, il convient de noter que techniquement, il est possible de mettre n’importe quelle application dans un cloud computing. Néanmoins, ses usages principaux concerneront essentiellement le management lié aux nouvelles technologies, la collaboration, les applications personnelles ou d’entreprise, le développement ou le déploiement des applications et enfin les capacités serveurs et de stockage.

A titre d’illustration, Microsoft a investi des centaines de millions de dollars cette année pour construire et améliorer les centres de données (le dernier, ouvert à Chicago, compte 300000 serveurs !) qui rendent ses ambitions de cloud computing possibles. Malgré la crise économique, Microsoft a investi 9 milliards de $ en R&D, 10 % de plus que l’année dernière, et les spécialistes prédisent déjà que le géant américain, malgré les critiques faites à son encontre, sera l’acteur le plus prééminent et le plus rentable en la matière.

Le cloud computing constitue donc un service mutualisé et virtualisé, dont le coût varie uniquement en fonction de l’utilisation effective, qu’il conviendra d’encadrer spécifiquement sur un plan juridique.

 

II . Les risques juridiques liés à l’utilisation du cloud computing

Les principaux risques juridiques du cloud computing sont inhérents aux données (A). Il convient de s’en prémunir dans des contrats sécurisés (B).

A) La sécurité et la sécurisation des données

Le cloud computing se base sur l’hypothèse selon laquelle la majeure partie de l’informatique s’effectue sur une machine souvent distante qui diffère de celle en cours d’utilisation. Les données recueillies lors de ce processus sont stockées et traitées par des serveurs distants (aussi connus sous le nom de « serveurs Cloud »), ce qui signifie que l’appareil qui accède au Cloud est moins sollicité.

Ces serveurs libèrent la mémoire et la puissance de calcul des ordinateurs personnels puisque ce sont eux qui hébergent les logiciels, les plates-formes et les données. Les utilisateurs accèdent aux services Cloud de manière sécurisée : il leur suffit d’utiliser les identifiants transmis par le fournisseur de cloud computing.
Comme le cloud computing implique d’héberger la charge de travail de l’ordinateur d’un utilisateur sur une machine différente, le Cloud est donc accessible partout et disponible dès lors qu’une connexion Internet l’est également.

Certaines sociétés ont leur propre infrastructure Cloud pour conserver les données utilisateur (Google dispose par exemple de ses propres serveurs, tout comme Salesforce). Toutefois, un Cloud peut aussi consister en un nombre restreint d’ordinateurs. Ainsi, il existe des Clouds publics et privés, qui peuvent être autohébergés ou hébergés par un tiers. Pour les Clouds privés, les utilisateurs doivent disposer de plates-formes ou de sessions appropriées (comme un navigateur web ou un compte en ligne) pour pouvoir accéder aux serveurs et aux données qu’ils contiennent.

La mise en place de services de cloud computing n’est pas sans risques, notamment au regard de la sécurité et de sécurisation des données. En effet, l’accès aux données et aux applications est réalisé entre le client et la multiplicité des serveurs distants. Ce risque se trouve donc amplifié par la mutualisation des serveurs et par la délocalisation de ceux-ci.

L’accès aux services induira donc des connexions sécurisées et une authentification des utilisateurs. Se posera alors le problème de la gestion des identifiants et celui des responsabilités (accès non autorisé, perte ou vol d’identifiants, niveau d’habilitation, démission ou licenciement, etc.).

Il existe également un risque de perte de données qu’il conviendra de prendre en considération, d’évaluer et d’anticiper dans le cadre de procédures de sauvegarde adaptées (stockage dans des espaces privés, en local, en environnement public, etc.). De même, il existe également des risques au regard de la confidentialité des données (fuites), vu le nombre de serveurs et la délocalisation de ceux-ci.

De surcroît, la réalisation des services de cloud computing étant assurée par un prestataire externe, celle-ci comporte des risques au regard de la qualité de service obtenue, et de la propriété et de l’intégrité des données et/ou applications confiées, risques qu’il conviendra donc de prévoir contractuellement.

En outre, la mise en place de ce type de service peut parfois s’avérer onéreuse. Il existe en effet des risques financiers liés aux outils de contrôle servant à évaluer la consommation du cloud computing, et sa facturation. Il conviendra ainsi de définir contractuellement une unité de mesure du stockage, et des ressources informatiques utilisées, ou encore du nombre d’utilisateurs actifs, afin que cela reste avantageux pour l’entreprise concernée.

Finalement, la mise en place de services de cloud computing fait naître pour l’entreprise un certain nombre de risques au regard des données personnelles et des formalités imposées par la CNIL. Ces risques sont aggravés en cas de transfert de données hors de l’Union européenne (UE). La rédaction de contrats de cloud computing devra donc également prendre en considération ces problématiques.

En effet, le contrat doit tenir compte de ces contraintes, d’autant que le fait de confier ses données à un sous-traitant n’exonère pas le responsable du traitement de ses obligations. Cette question prend une ampleur particulière, car les serveurs sont délocalisés et le client n’a pas à connaître la localisation des serveurs.

Cependant, la loi impose, pour les transferts de données à caractère personnel hors de l’Union européenne, des formalités d’autorisation. Il est donc prudent d’imposer au prestataire de cloud computing soit un engagement de maintenir ses serveurs au sein de l’Union européenne, soit de veiller à être bien informés dans le cas d’un transfert hors Union européenne.

Il convient de distinguer entre les données personnelles telles que définies par le Règlement général sur la protection des données (RGPD) et les données commerciales non personnelles. Le RGPD, dans son article 4, définit les données personnelles comme toute information relative à une personne physique identifiée ou identifiable de manière directe ou indirecte par référence à des éléments qui lui sont propres. Sachant que les données à caractère personnel sont protégées par ce règlement, les données commerciales, quant à elles, sont régies par les dispositions de la loi n° 2018-670 du 30 juillet 2018 relative à la protection du secret des affaires et plus précisément en vertu l’article L151-1 du Code de commerce. (1)

B) Les précautions juridiques nécessaires à la rédaction d’un contrat de cloud computing

Il conviendra d’un point de vue général de mettre en place, pour pallier les risques précédemment évoqués, comme dans le cadre de tout projet d’externalisation, une convention de niveau de service, également appelée « SLA » (pour « Service Level Agreement »), permettant au client d’obtenir du prestataire une qualité de service convenue contractuellement.

En outre, la convention pourra comporter des indications quant aux attentes du client relatives à la réalisation des obligations du prestataire et notamment instaurer un système de malus ou de pénalités.

Il s’avère primordial de contractualiser un plan de réversibilité permettant d’assurer le transfert des services à d’autres prestataires, et ce, pour assurer une pérennité des services de cloud computing.

Plus particulièrement, il conviendra de prévoir les facteurs déclencheurs de cette réversibilité (carence du prestataire, libre choix du client après un certain nombre d’années), les conditions de cette réversibilité (simple discontinuité du service, ou arrêt total du service) et enfin le coût de celle-ci.

Il sera préconisé de prévoir la réplication des données sur plusieurs sites distants ou l’obligation de résultat de restauration des données dans des délais contractuels définis afin de palier leur perte. L’accord de Cloud Computing devra aussi stipuler une garantie de paiement d’une indemnité aux personnes physiques concernées par les données personnelles, en cas de traitement illicite ou de perte de ces dernières.

Le contrat prendra soin de préciser que l’ensemble des traitements ne seront opérés par l’hébergeur que sur instructions et contrôle des utilisateurs, c’est-à-dire sans prise d’initiative sans instructions expresses des utilisateurs considérés comme responsables de traitements.

En ce qui concerne l’intégrité et de la confidentialité des données, il pourra être prévu une clause d’audits externes, chargés d’une mission de contrôle acceptée par l’hébergeur du service. Notons aussi qu’il conviendra de s’assurer de la bonne rédaction de la clause de responsabilité du contrat, et d’encadrer tout particulièrement la traçabilité, l’accès frauduleux, l’atteinte à l’intégrité, voire la perte de données sensibles.

Mais s’agissant plus particulièrement les données sensibles que sont les données personnelles, le client pourra exiger que celles-ci restent localisées sur des serveurs exclusivement situés dans l’UE et prévoir les moyens de contrôle de cette obligation.

Le client s’exonérera ainsi d’un ensemble de formalités CNIL liées au transfert de données personnelles en dehors de l’UE. Pour se prémunir, il pourra aussi stipuler une interdiction pour l’hébergeur de regrouper, ou de stocker sur des serveurs identiques, un fichier de données avec d’autres fichiers comportant des données dites sensibles (par exemple : des fichiers comportant des informations bancaires et financières).

Enfin, nouveau modèle d’intégration de services informatiques, utilisables à la demande via Internet, reposant sur l’hébergement et l’accès à distance, attractif pour les entreprises, le cloud computing reste complexe à maîtriser.

Naturellement le bénéficiaire du cloud computing aura intérêt à s’assurer que le contrat de cloud comporte une clause intuitu personae, à encadrer autant que possible les conséquences de la disparition de son cocontractant.

Il conviendra par conséquent pour les entreprises de mettre en place un cadre contractuel adapté. L’encadrement juridique est en effet primordial pour prévenir les risques liés à ce service, qui, d’ici 2020, permettra aux entreprises de faire migrer l’essentiel de leurs applications dans les « nuages ».

Cela étant, il est intéressant d’évoquer le Cloud Act (Clarifying Lawful Overseas Use of Data Act) qui avait été adopté, le 8 mars 2018, par le Congrès américain. Ce Cloud Act permet aux agences de renseignement américaines ou aux forces de l’ordre d’obtenir les informations stockées dans les serveurs des opérateurs de télécoms et des fournisseurs de services de Cloud computing.

En effet, les prestataires de services sont obligés de communiquer « les contenus de communications électroniques et tout enregistrement ou autre information relative à un client ou abonné, qui sont en leur possession ou dont ils ont la garde ou le contrôle, que ces communications, enregistrements ou autres informations soient localisés à l’intérieur ou à l’extérieur des États-Unis ». (2)

Suivant l’exemple américain, les instances européennes ont entamé le travail sur un Cloud Act européen ayant pour objectif l’établissement d’un cadre juridique permettant d’instaurer une souveraineté de l’Union européenne sur son propre cloud. Ces mesures se justifient par les difficultés de mises en œuvre inhérentes au recours au cloud. Comme l’a formulé Frédéric Forster : « Si le recours au cloud a la particularité d’être aisé et convivial, il ne se heurte toutefois pas à des difficultés juridiques de mise en œuvre, voire à des convoitises dont il est évidemment indispensable qu’elles soient régulées et coordonnées ». (3)

Pour lire une version plus complète de cet article sur les risques juridiques du cloud computing, cliquez

Sources

Protection de vos données médicales

La question de la mise en conformité au RGPD se pose dans tous les domaines et notamment dans le domaine de la santé.

Qu’est-ce qu’une donnée à caractère personnelle ? L’article 4.1 du RGPD donne la définition suivante de la « donnée à caractère personnel » comme toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Le traitement des données personnelles nécessite au préalable d’obtenir le consentement libre et éclairé de la personne concernée (article 5.1.a RGPD) et (article 6 RGPD).

En outre, en ce qui concerne les données personnelles de santé, l’impératif de la protection s’est accru à l’occasion de l’informatisation des structures de santé et de la dématérialisation des supports et des flux.

NOUVEAU : Utilisez nos services pour faire retirer un contenu concernant vos données personelles en passant par le formulaire ! 

À cette occasion, tant le législateur que l’autorité de protection des données personnelles, la Commission nationale de l’informatique et des libertés (CNIL), ainsi que l’État et ses agences, ont développé un corpus de règles et de recommandations destiné à assurer la protection des données de santé, non seulement du point de vue des garanties juridiques, mais également de la sécurité des systèmes d’information

Par ailleurs, le secret médical a un caractère absolu précise la Cour de cassation, chambre criminelle du 5 juin 1985, n° 85-90.322. Le caractère secret et absolu dans le domaine médical permet de s’interroger sur comment sont protégées les données personnelles des personnes concernées.

Les données de santé ont toujours été considérées comme au cœur de l’intimité des personnes, dès lors que traditionnellement, elles se confondaient avec les données issues du dossier médical. À ce titre, elles bénéficient d’un haut niveau de protection, à la fois grâce à la protection de la vie privée (Code civil, article 9), du secret professionnel qui les protège (CSP, art. L. 1110-4) «Toute personne prise en charge par un professionnel de santé, un établissement ou service, un professionnel ou organisme concourant à la prévention ou aux soins dont les conditions d’exercice ou les activités sont régies par le présent code, le service de santé des armées, un professionnel du secteur médico-social ou social ou un établissement ou service social et médico-social mentionné au I de l’article L. 312-1 du code de l’action sociale et des familles a droit au respect de sa vie privée et du secret des informations la concernant » et de la législation relative à la protection des données personnelles.

Les fichiers comportant des données à caractère personnel sont soumis à la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique et aux libertés, ainsi qu’au règlement général de protection des données (RGPD), sous le contrôle de la CNIL.


 

Besoin de l’aide d’un avocat pour un problème de vie privée ou de données personnelles ?

Téléphonez nous au : 01 43 37 75 63

ou contactez nous en cliquant sur le lien


Enfin, cette protection s’est accrue du fait que les données personnelles de santé sont devenues un véritable trésor très convoité par les géants de l’informatique en vue d’une monétisation. Il se pose une de plus la question de la sécurité des données de santé.

I. Approche définitionnelle de la donnée médicale

A) La définition des données de santé par l’article 4.15 du RGPD

Selon l’article 4.15 du RGPD les données à caractère personnel concernant la santé sont les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne.

Cette définition comprend donc par exemple :

Les informations relatives à une personne physique collectées lors de son inscription en vue de bénéficier de services de soins de santé ou lors de la prestation de ces services : un numéro, un symbole ou un élément spécifique attribué à une personne physique pour l’identifier de manière unique à des fins de santé ;

Les informations obtenues lors du test ou de l’examen d’une partie du corps ou d’une substance corporelle, y compris à partir des données génétiques et d’échantillons biologiques ;

Les informations concernant une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée (indépendamment de sa source, qu’elle provienne par exemple d’un médecin ou d’un autre professionnel de santé, d’un hôpital, d’un dispositif médical ou d’un test de diagnostic in vitro).

Cette définition permet d’englober certaines données de mesure à partir desquelles il est possible de déduire une information sur l’état de santé de la personne.

B) L’importance ou le caractère précieux des données de santé

Les données de santé se trouvent dans la grande famille des données dites sensibles telles qu’énoncées à l’article 9 RGPD.

En effet, l’article 9 RGPD dispose que : « Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits ». Cet article souffre néanmoins de quelques exceptions.

Elles sont précieuses en ce qu’elles concernent la vie privée de la personne concernée. L’information à délivrer aux personnes concernées par un traitement de données de santé est soumise au régime de droit commun de l’information des personnes, prévu aux articles 12, 13 et 14 du RGPD.

La nature sensible des données de santé impose néanmoins aux responsables de traitement une particulière vigilance, notamment au regard de l’obligation de transparence de l’article 12.

De plus dans le considérant numéro 1 du RGPD, le parlement européen élève la protection des personnes physiques à l’égard du traitement des données à caractère personnel comme un droit fondamental « La protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental. L’article 8, paragraphe 1, de la Charte des droits fondamentaux de l’Union européenne (ci-après dénommée « Charte ») et l’article 16, paragraphe 1, du traité sur le fonctionnement de l’Union européenne disposent que toute personne a droit à la protection des données à caractère personnel la concernant ».

Conscient du caractère sensible des données médicales, la CNIL a été saisie par le ministre des Solidarités et de la Santé d’une demande d’avis concernant un projet de décret autorisant la création d’un traitement de données à caractère personnel relatif à la gestion et au suivi des vaccinations contre le coronavirus SARS-CoV-2.

En effet, le projet de décret dont a été saisie la Commission prévoyait la création d’un système d’information pour la mise en œuvre, le suivi et le pilotage des campagnes vaccinales contre la covid-19 dénommé « Vaccin Covid » (ci-après, le SI « Vaccin Covid »), sous la responsabilité conjointe de la direction générale de la santé et de la Caisse nationale d’assurance maladie (CNAM), fondé sur les articles 6.1 e et 9.2 i du RGPD.

II. Applicabilité du Règlement européen sur la protection des données dans le secteur médical

A) Les finalités

Lorsqu’un traitement de données personnelles de santé bénéficie d’une exception à l’interdiction prévue par l’article 9-1 du RGPD et de l’article 44 de la loi informatique et Liberté, ce traitement doit par ailleurs justifier de l’existence d’un intérêt public, sauf exceptions prévues par la loi informatique et Libertés.

Cette exigence est issue de la nouvelle section 3 (L. n° 78-17, 6 janv. 1978, mod., art. 65 et s.), qui prévoit que les traitements de données à caractère personnel de santé ne peuvent être mis en œuvre qu’en considération de la finalité d’intérêt public qu’ils présentent.

Elle découlerait du « principe rappelé par le règlement européen, que les traitements de données de santé ne peuvent être mis en œuvre qu’en considération de la finalité d’intérêt public qu’ils présentent », ce qui paraît renvoyer aux termes du considérant 53 du RGPD.

Certaines finalités de traitement peuvent être intrinsèquement constitutives d’un intérêt public. Les dispositions du RGPD permettent d’identifier des domaines dans lesquels des finalités d’intérêt public peuvent être identifiées, notamment :

La santé publique, tout particulièrement la protection contre les menaces transfrontalières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux (règl. (UE) 2016/679, 27 avr. 2016, cons. 45 et 73 ; art. 9 (2) i) ; art. 23 (1) e)). La loi informatique et Liberté a repris exactement ces termes (L. n° 78-17, 6 janv. 1978, mod., art. 66) ;

La gestion des services et systèmes de soins de santé et de protection sociale, y compris les retraites, notamment à des fins de sécurité, de surveillance et d’alerte sanitaire, de prévention ou de contrôle de maladies transmissibles et d’autres menaces graves pour la santé (règl. (UE) 2016/679, 27 avr. 2016, cons. 45, 52, 53 et 73) ;

Les finalités humanitaires (règl. (UE) 2016/679, 27 avr. 2016, cons. 73) ;

Dans le cadre des transferts, les échanges internationaux de données entre services chargés des questions de sécurité sociale ou relative à la santé publique, par exemple aux fins de la recherche des contacts des personnes atteintes de maladies contagieuses ou en vue de réduire et/ou d’éliminer le dopage dans le sport (règl. (UE) 2016/679, 27 avr. 2016, cons. 112).

Au regard des dossiers de demande d’accès au SNDS, l’INDS a identifié comme finalités générales d’études présentant un intérêt public :

L’amélioration des soins et de la santé publique ;

L’amélioration du système de santé ;

La recherche et l’augmentation des connaissances ;

La contribution potentielle à l’intérêt général d’une étude poursuivant des finalités d’intérêt privé.

En somme, l’article 17 du RGPD mentionne toutes les exceptions au principe de la collecte et du traitement des données à caractère personnel.

B) Désignation dans le cadre de traitements de données de santé

À ce titre, les établissements publics de santé, de par leur nature publique, sont ainsi dans l’obligation de désigner un délégué à la protection des données. (Dit DPO)

Le G 29 a par ailleurs confirmé que devaient être considérées comme traitant des données de santé à grande échelle, dans le cadre de leur activité de base, tous les établissements de santé (G 29, 5 avr. 2017, Lignes directrices concernant les délégués à la protection des données (DPD), WP 243 rév. 01, p. 8 et 25), et la CNIL a par ailleurs visé les maisons de santé, les centres de santé, ainsi que les professionnels de santé exerçant au sein d’un réseau de professionnels, ou dans le cadre de dossiers partagés entre plusieurs professionnels de santé.

C) Les droits des personnes concernées

Les droits des personnes concernées par un traitement de données de santé, à savoir les droits d’accès, de rectification, d’effacement et de portabilité des données personnelles, de limitation ou d’opposition au traitement, le droit de ne pas faire l’objet d’une décision automatisée (règl. (UE) 2016/679, 27 avr. 2016, art. 15, 16, 17, 18, 20, 21 et 22), ainsi que le droit de définir des directives relatives à la conservation, à l’effacement et à la communication des données personnelles après le décès, prévu par la loi informatique et Liberté (L. n° 78-17, 6 janv. 1978, mod., art. 85), sont des droits qui s’appliquent à tout traitement de données à caractère personnel, quelle que soit la nature des données.

La nature sensible de ces traitements implique cependant une attention particulière. La CNIL a par exemple prononcé une sanction pécuniaire d’un montant de 10 000 euros à l’encontre d’un professionnel de santé libéral, pour défaut de réponse dans les délais à la demande de communication de son dossier médical par un patient. Cette sanction est intervenue après que la CNIL a envoyé plusieurs courriers, puis mis une première fois en demeure le professionnel de communiquer le dossier.

La CNIL a ainsi prononcé cette sanction au regard également du défaut de réponse à ses courriers, en rappelant par ailleurs que « le secret médical ne saurait s’opposer, en l’espèce, à la communication au patient des données le concernant et contenues dans son dossier médical » (CNIL, délib. n° SAN-2017-008, 18 mai 2017).

III. Le principe du consentement préalable assorti d’exceptions dans le cadre de la collecte des données des personnes concernées dans le domaine médical

A) Le principe

Par principe, les traitements de données personnelles de santé sont interdits, comme tout traitement de catégories particulières de données (règl. (UE) 2016/679, 27 avr. 2016, art. 9. – L. n° 78-17, 6 janv. 1978, art. 6, mod.).

Une série d’exceptions, pour la plupart inspirées de celles prévues par la directive, fournissent cependant un fondement pour déroger à l’interdiction. De plus, depuis la loi du 20 juin 2018, s’ajoute une obligation générale de justifier d’un intérêt public pour traiter des données de santé, sauf dans certains cas énumérés de façon limitative (L. n° 2018-493, 20 juin 2018, art. 16. – Ord. n° 2018-1125, 12 déc. 2018, art. 1 : JO 13 déc. 2018, texte n° 5).

Telle n’est pas la solution proposée par l’un des pays voisins européens en l’occurrence l’Espagne. En effet, face à la méfiance de la population européenne sur les vaccins Pfizer et BioNTech sortis plus tôt que prévu de ne pas se faire vacciner, car considérant qu’elle ne serait pas un objet d’essai clinique voire de cobayes cliniques, l’Espagne a décidé de répertorier les données personnelles des personnes ne voulant pas se faire vacciner.

Dans une interview à la chaîne de télévision La Sexta, Salvador Illa a souligné que la vaccination contre le coronavirus, qui a débuté dimanche en Espagne comme dans de nombreux autres pays de l’UE, ne serait pas obligatoire.

En ce qui concerne les personnes qui ne voudront pas se faire vacciner, « ce qu’on va faire, c’est un registre qui, de plus, sera partagé avec d’autres pays européens », a-t-il poursuivi, précisant qu’il se référait « aux personnes auxquelles on l’aura proposé (de se faire vacciner, NDLR) et qui, tout simplement, l’auront refusé ».

Alors la question serait de savoir si l’Espagne en tant que pays européen et soumis au RGPD est en droit de collecter les données personnelles des personnes ne souhaitant pas se faire vacciner ? Telle est la question de droit à résoudre.

D’autres questions seraient de savoir comment ces données personnelles seront collectées ? Qui sera le responsable du traitement ? Quels seront les sous-traitants ? Quelles seront les garanties apportées pour la confidentialité des données ? À quelles finalités se résume cette collecte ? Que risquent les personnes ne souhaitant pas donner leur consentement à la collecte de leurs données personnelles ?

Pourquoi partager les données des personnes ne souhaitant pas se faire vacciner entre pays européens ? Toutes ces nombreuses questions devraient être résolues pour éclairer les personnes concernées. Ces questions feront l’objet d’un autre article.

B) L’exception : l’obtention du consentement préalable à la collecte des données personnelles

Le consentement explicite de la personne concernée peut permettre, dans une certaine mesure, de déroger à l’interdiction de traitement des données de santé (règl. (UE) 2016/679, 27 avr. 2016, art. 9, (2).

Le consentement au sens de l’article 9 doit être conforme à la définition qu’en donne le RGPD, à savoir constituer une “manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement” (règl. (UE) 2016/679, 27 avr. 2016, art. 4 (11)), et respecter les conditions de l’article 7.

À cela s’ajoute l’exigence spécifique que le consentement soit explicite.

Pour lire une version plus longue de cet article sur la protection des données médicales, cliquez  

SOURCES :

https://www.cnil.fr/fr/quest-ce-ce-quune-donnee-de-sante#:~:text=Les%20données%20à%20caractère%20personnel,de%20santé%20de%20cette%20personne.

https://www.lemonde.fr/sciences/article/2020/03/02/les-donnees-de-sante-un-tresor-mondialement-convoite_6031572_1650684.html

https://healthcare.orange.com/fr/dossiers/securite-des-donnees-de-sante/#:~:text=Les%20trois%20grands%20types%20de,sur%20le%20traitement%20du%20patient.

https://www.cnil.fr/fr/reglement-europeen-protection-donnees