Bonne nouvelle, l’Europe vient d’éditer un manuel relatif au droit et à la protection des données téléchargeable ici. Il est vrai qu’avec les révélations de Snowden et l’immigration (légale ?) de données vers des pays non-européens, il était temps de se pencher sur la question.

source.

Bonne nouvelle, dans le droit de l’UE, la protection des données est un droit fondamental. La convention 108 consacre le droit de tout individu de savoir que des informations sont conservées à son sujet et, si nécessaire, de les faire rectifier.

Pour l’UE, une donnée est à caractère personnel dès lors qu’elle porte sur une personne identifiée ou identifiable, une personne étant identifiable si des informations complémentaires peuvent être obtenues, sans effort déraisonnable, permettant l’identification de la personne concernée, des données sensibles, énumérées dans la convention 108 (origines raciales et ethniques, opinions politiques, convictions religieuses ou autres, données de santé ou relatives à la vie sexuelle) sont soumises à un régime juridique spécial.

Passons les paragraphes relatifs à la légalité et aux objectifs des traitements de données (j’avoue ne pas avoir trouvé de pire lecture que le droit européen.)

Comme les entreprises sont de grandes consommatrices de données, voici un passage les concernant : Les règles relatives à la sécurité du traitement impliquent une obligation pour le responsable du traitement et le sous-traitant de prendre des mesures techniques et organisationnelles appropriées pour empêcher toute ingérence non autorisée dans des traitements de données. Le niveau de sécurité des données nécessaire est déterminé par

• les caractéristiques de sécurité existant sur le marché pour tout type particulier de traitement ;
• les coûts ;
• la nature sensible ou non des données traitées.

Le traitement de données en toute sécurité est également garanti par l’obligation générale imposée à tous, responsables du traitement ou sous-traitants, de veiller à préserver la confidentialité des données.
Sans oublier que des mesures de sécurité appropriées sont prises pour la protection des données à caractère personnel enregistrées dans des fichiers automatisés contre la destruction accidentelle ou non autorisée, ou la perte accidentelle, ainsi que contre l’accès, la modification ou la diffusion non autorisés. Il est précisé que les mesures techniques ne peuvent suffire, une organisation adaptée doit aussi être mise en place (p 99 et 100).

Ami lecteur qui est parvenu sans broncher jusqu’ici, tu as droit à un peu de détente : Un nouvel instrument pour répondre aux violations de la sécurité des données a été introduit dans le droit en matière de protection des données de plusieurs pays européens : l’obligation pour les prestataires de services de communications électroniques de notifier les violations de données aux victimes potentielles et aux autorités de contrôle. Pour les prestataires de services de télécommunications, le droit de l’UE en fait une obligation (directive 2002/58/CE).
Bien, mais comment le rendre compatible avec les récentes décisions de justice américaines ? Après un jugement confirmant la possibilité pour Washington d’exiger l’accès aux données stockées en dehors des États-Unis, un juge fédéral soutient l’accès à tous les courriels d’un compte Gmail à la demande – mandat – des autorités américaines. Le juge new-yorkais considère que la loi autorise les enquêteurs à examiner un large volume de documents pour en déterminer la pertinence dans le cadre du mandat de perquisition. Au passage, voici une belle knockification du cyber : tout internaute est un cyberdélinquant qui s’ignore. Si l’État peut tout vérifier pour déterminer a posteriori la pertinence de sa vérification, alors l’État ne serait-il pas un tantinet totalitaire ?

Quant à l’actuelle question du pseudo droit à l’oubli, les personnes concernées ont le droit de faire supprimer ou verrouiller leurs données, le cas échéant, par le responsable du traitement si celui-ci traite leurs données illégalement.

Ah, le législateur européen… Je lui donnerais volontiers une part de ce pudding.