« LA COL­LECTE AU­RAIT DÛ ÊTRE FAITE DE FA­ÇON LOYALE »

Alexandre Ar­cham­bault est avo­cat, fin connais­seur du droit des nou­velles tech­no­lo­gies et des don­nées per­son­nelles. Il fut di­rec­teur des af­faires rè­gle­men­taires de Free, en charge du pôle In­ter­net et Cy­ber­sé­cu­ri­té.

L'Informaticien - - À LA UNE - ME ALEXANDRE AR­CHAM­BAULT PRO­POS RECUEILLIS PAR M. R.

Avec votre oeil de ju­riste, comment ana­ly­sez- vous cette af­faire ?

Quel plus beau cas pour faire taire les der­niers scep­tiques sur l’in­té­rêt du RGPD ! Ce n’est pas une af­faire li­mi­tée à un pays don­né, mais qui peut concer­ner l’en­semble des clients d’une plate- forme. Ce­la nous conduit donc à rai­son­ner en ap­proche glo­bale, ici à la maille de l’Eu­rope qui, rap­pe­lons- le, est en termes d’uti­li­sa­teurs de­vant les États- Unis, alors que jus­qu’à présent les lé­gis­la­tions na­tio­nales étaient un peu désem­pa­rées.

Pour­quoi désem­pa­rées ?

Des ju­ri­dic­tions étaient prêtes à faire de la créa­ti­vi­té, ty­pi­que­ment en France où on a consi­dé­ré que dès lors que Fa­ce­book ci­blait un uti­li­sa­teur fran­çais, alors le droit na­tio­nal de la con­som­ma­tion ain­si que ce­lui de la pro­tec­tion de la vie pri­vée et des don­nées per­son­nelles de­vaient s’ap­pli­quer. On res­tait néan­moins sur notre faim. Si cette af­faire était ar­ri­vée avec un RGPD d’ores et dé­jà ap­pli­qué, on au­rait eu l’exemple concret que ce texte n’est pas là pour em­bê­ter le monde. Il per­met au contraire de trai­ter les failles du dis­po­si­tif sous un angle eu­ro­péen. L’ar­gu­ment qui consiste à dire que les don­nées ont été com­mu­ni­quées par les in­ter­nautes au ré­seau social est d’ailleurs in­suf­fi­sant. Le RGPD ne se li­mite pas qu’à la seule col­lecte, mais vise éga­le­ment le trai­te­ment et l’ex­ploi­ta­tion des don­nées. En amont, la fi­na­li­té doit être pré­sen­tée de fa­çon claire et loyale, en aval on doit s’at­ta­cher à ce que le trai­te­ment et l’ex­ploi­ta­tion res­pectent les fi­na­li­tés ex­po­sées. Au­tant de condi­tions qui semblent faire dé­faut dans l’af- faire Fa­ce­book/ Cam­bridge Ana­ly­ti­ca puisque la fi­na­li­té du trai­te­ment des don­nées col­lec­tées sous forme d’un test de per­son­na­li­té s’est avé­rée à mille lieues de ce qui a été pré­sen­té.

Que peut faire une per­sonne qui s’es­time avoir été vic­time de Fa­ce­book ou de Cam­bridge Ana­ly­ti­ca ?

Dé­jà, elle peut re­ti­rer son consen­te­ment gra­tui­te­ment et sim­ple­ment. Fa­ce­book a mis en place une nou­velle in­ter­face qui per­met à cha­cun de vé­ri­fier et ré­vo­quer les au­to­ri­sa­tions des ap­pli­ca­tions tierces. Sur la ré­pa­ra­tion du pré­ju­dice, il peut y avoir une faute de la part de ce­lui qui a col­lec­té les don­nées, celle de ne pas avoir été suf­fi­sam­ment vi­gi­lant que ce soit en amont avec la pré­sen­ta­tion des fi­na­li­tés du trai­te­ment, le re­cueil du consen­te­ment, mais éga­le­ment en aval avec la pro­tec­tion de la confi­den­tia­li­té des don­nées col­lec­tées ain­si que le contrôle de l’usage qui peut en être fait par des tiers. Comme l’a dé­jà dé­ci­dé la Cnil dans de ré­centes dé­ci­sions an­ti­ci­pant le RGPD, on ne peut plus se re­tran­cher der­rière la cape du sous- trai­tant. Sur le ter­rain ci­vil, une vic­time peut d’ores et dé­jà mon­ter un dos­sier d’in­dem­ni­sa­tion, avec un che­mi­ne­ment clas­sique : la dé­mons­tra­tion d’une faute, d’un pré­ju­dice et d’un lien de cause à ef­fet. Il reste éga­le­ment la pos­si­bi­li­té de sai­sir la Cnil pour faire sanc­tion­ner de tels com­por­te­ments, étant pré­ci­sé qu’elle ne peut pro­cé­der à l’in­dem­ni­sa­tion des pré­ju­dices in­di­vi­duels – il faut sai­sir le juge pour ce­la. Ce­pen­dant, l’en­quête se fe­ra sous l’em­prise préRGPD alors qu’à par­tir du 25 mai, les obli­ga­tions se­ront net­te­ment plus claires. Les sanc­tions peuvent at­teindre des ni­veaux dis­sua­sifs pour in­ci­ter les en­tre­prises à res­pec­ter la phi­lo­so­phie du rè­gle­ment, – qui, rap­pe­lons- le, est un texte pro­fon­dé­ment no­va­teur car il pri­vi­lé­gie la confiance et la res­pon­sa­bi­li­sa­tion au contrôle bu­reau­cra­tique – et col­la­bo­rer avec les au­to­ri­tés en charge de la pro­tec­tion des don­nées per­son­nelles.

Newspapers in French

Newspapers from France

© PressReader. All rights reserved.