Actualités TMT

Rédaction et négociation de contrats informatiques

Mars 2018 : L’impact du GDPR sur les contrats SaaS

Les dispositions du Règlement Général sur la Protection des Données (le "RGPD") qui entreront en vigueur le 25 mai 2018 ont un impact direct sur les pratiques contractuelles en matière de services SaaS (Software as a Service) et plus généralement en matière de contrats Cloud.

Il existe plusieurs déclinaisons du Cloud [1]. On parle de Cloud public lorsque l’hébergement est mutualisé entre tous les clients du prestataire (partage de l’espace sur le serveur), et de Cloud privé lorsque l’espace de stockage est cloisonné et n’est dédié qu’à un seul client, ce qui est de nature à renforcer les conditions la sécurité des données y étant hébergées.

Dans le cas du SaaS, le logiciel n’est pas installé sur le serveur interne de l’entreprise mais sur les serveurs exploités par le fournisseur du service SaaS. A l’occasion des services qu’il rend à son client, le fournisseur du service SaaS est amené à héberger les données de son client, incluant les données personnelles collectées par ce dernier (ex. : données de ses salariés, des clients et prospects). Avec le SaaS hybride, le logiciel peut être hébergé dans le Cloud public tandis que les données du client peuvent être stockées sur un serveur distinct, « on premise » ou pas.
 

Quelle qualification du prestataire SaaS : responsable de traitement, sous-traitant ou responsable conjoint ?

La rédaction d’un contrat SaaS impose de déterminer la qualification des parties au sens de la réglementation en matière de données personnelles. A chaque qualification correspond un régime juridique propre, des obligations distinctes et une responsabilité spécifique en cas de manquement.

Sous l’égide de la loi Informatique et libertés [2], le client qui collecte en amont les données personnelles et qui détermine les finalités et moyens du traitement de données est qualifié de « responsable de traitement » ; tandis que le prestataire SAAS (hébergement, maintenance) est lui qualifié de « sous-traitant », dès lors qu’il traite les données pour le compte du responsable de traitement, agit sous son autorité et sur la base des instructions données par ce dernier.

Dans de nombreuses situations, compte tenu de la complexité croissante des différents services SaaS, cette qualification s’avère finalement très souvent discutable dès lors que c’est davantage l’éditeur ou le prestataire SaaS, plutôt que son client, qui détermine les moyens du traitement : sélection des outils logiciels, développement des fonctionnalités, sélection des sous sous-traitants et des infrastructures... et ce en vue de proposer une offre identique pour l’ensemble de ses clients.

Ces difficultés de qualification des parties sont d’autant plus signifiantes en matière de SaaS public, en cas d’offres standards communes à tous les clients et imposant des contrats d’adhésion sans aucune possibilité de négociation.

L’un des principaux apports du RGPD [3] est de prévoir une qualité intermédiaire, celle de responsabilité conjointe de traitement, qui doit s’appliquer « Lorsque deux responsables de traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement » [4].

Cette qualité pourra être attribué au prestataire, en lieu et place de la qualité de sous-traitant, dès lors qu’il sera démontré que les parties déterminent ensemble et sur la base de leurs contributions respectives les moyens et finalités du traitement.

En premier lieu en matière contractuelle, il faudra donc déterminer, en fonction de la nature et de la mise en œuvre pratique des services SaaS proposés, si les acteurs (client et prestataire) peuvent être qualifiés de co-responsables de traitement. Les avis publiés par le G29 à ce sujet pourront alors se révéler utiles pour établir cette qualification. Bien entendu, les autorités de contrôle ne sont pas liées par le contrat rédigé par les parties : une requalification a posteriori est toujours envisageable en vue d’une condamnation.
 

La responsabilité solidaire de tous les acteurs impliqués dans le traitement :

Le régime des obligations du responsable de traitement et du sous-traitant est complètement remanié avec le RGPD et beaucoup plus contraignant que sous l’empire de la loi Informatique et Libertés, s’agissant particulièrement du sous-traitant.

Ainsi, sous le régime de la loi Informatique et Libertés, les obligations de sécurité et la responsabilité y afférente pesaient principalement sur le responsable de traitement. Demain avec le RGPD, le sous-traitant pourra être tenu responsable en cas de manquement. Il s’agit donc d’une responsabilité légale et non plus seulement contractuelle. L’article 82 prévoit en effet que « toute personne ayant subi un dommage matériel ou moral du fait d’une violation du Règlement européen peut obtenir la réparation intégrale de son préjudice de la part du responsable de traitement ou du « sous-traitant » ».

Précisément, le sous-traitant n’est tenu pour responsable du dommage causé par le traitement que « s’il n’a pas respecté les obligations prévues par le présent Règlement qui incombent spécifiquement aux sous-traitants ou qu’il a agi en-dehors des instructions licites du responsable du traitement ou contrairement à celles-ci ».

Il ne pourra être exonéré de sa responsabilité que s’il prouve que le fait qui a provoqué le dommage ne lui est pas imputable (il s’agit donc d’une présomption simple de responsabilité). Comme le rappelle la CNIL, « le RGPD consacre ainsi une logique de responsabilisation de tous les acteurs impliqués dans le traitement des données ».

En cas de violation de la réglementation, le responsable de traitement et le sous-traitant pourront être solidairement condamnés à des amendes administratives (montant le plus élevé pouvant aller jusqu’à 20 millions ou 4% du chiffre d’affaire mondial annuel). Ce principe de co-responsabilité et les sanctions applicables marquent une véritable rupture avec l’esprit de la loi Informatique et Libertés du 6 janvier 1978. Pour rappel, sous le régime de la loi Informatique et Libertés, le montant des sanctions que pouvait prononcer la CNIL à l’encontre du seul responsable de traitement ne pouvait excéder 3 millions d’euros [5].

Le RGPD prévoit également que le sous-traitant est tenu d’informer immédiatement le responsable de traitement s’il considère qu’une instruction donnée par ce dernier constitue une violation du RGPD. Ainsi le sous-traitant ne doit plus se limiter à suivre aveuglement les instructions du responsable de traitement en pensant pouvoir se retrancher derrière ce dernier en cas de violation. Désormais, le sous-traitant doit avoir un rôle proactif de contrôle en matière de conformité réglementaire. A défaut, il pourrait être tenu pour co-responsable avec le responsable de traitement en cas de violation de la réglementation. Ainsi c’est toute la chaine de traitement de la donnée qui bénéficie d’une protection renforcée.

À tout moment, les entreprises devront démontrer la conformité de leurs traitements avec le RGPD : c’est le principe d’accountability. Il faut donc constituer une documentation rigoureuse, adaptée et régulièrement mise à jour qui doit pouvoir être communiquée sans délai aux autorités de contrôle. Ceci doit notamment conduire à la conclusion de contrats avec les prestataires SaaS respectant les nouvelles dispositions du RGPD (incluant les obligations liées à la résilience des systèmes) et la démonstration concrète par ces derniers de la mise en œuvre effective des mesures de sécurité y étant définies.
 

Les obligations du prestataire sous-traitant : transparence, traçabilité, sécurité et alerte :

Le RGPD impose désormais un formalisme spécifique et de nouvelles contraintes en matière de sécurité particulièrement à la charge du sous-traitant, qui jusqu’alors pouvait se contenter de « présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité », lesquelles étaient directement imposées par la loi Informatique et Libertés au responsable de traitement, qui devait ainsi « prendre toutes précautions utiles pour préserver la sécurité des données et notamment empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisés y aient accès ».

Plusieurs obligations qui ne visaient que le responsable du traitement sont désormais applicables aux sous-traitants. L’objectif est de garantir la sécurité optimale des données sous traitées sur toute la chaine de traitement, de la collecte jusqu’à la destruction définitive des données.

Selon le RGPD, les responsables de traitements souhaitant conclure des contrats SaaS, dès lors qu’ils impliquent un accès direct ou indirect aux données personnelles du client par un sous-traitant (voir un ou plusieurs sous sous-traitants), devront s’assurer de faire appel à des prestataires qui présentent « des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement effectué réponde aux exigences du Règlement et garantisse la protection des droits de la personne concernée » [6].

L’ensemble des dispositions obligatoires devant figurer dans le contrat sont ensuite listées à l’article 28 du Règlement. Parmi elles, figurent notamment :
  • L’obligation de prendre « toutes les mesures requises en vertu de l’article 32 du RGPD », c’est-à-dire garantir un niveau de sécurité adapté au risque (par exemple, en cas de données hébergées dans un environnement mutualisé), en fonction de la nature des données et de la finalité du traitement notamment. Ces mesures peuvent être les suivantes : pseudonymisation/chiffrement des données ; mise en place de serveurs dédiés et cloisonnés ; moyens permettant le rétablissement des données en cas d’incident ; tests réguliers sur l’efficacité des mesures de sécurité ;
     
  • L’obligation d’aider le responsable de traitement à garantir le respect de ses propres obligations (sécurité ; notification en cas de faille ; analyse d’impact ; consultation préalable auprès de la CNIL pour certains traitements présentant des risques), et de lui tenir à disposition « toutes les informations nécessaires pour démontrer le respect des obligations prévues au présent article et pour permettre la réalisation d’audits », et de « contribuer à ces audits » ;
     
  • L’interdiction de sous sous-traiter sans l’autorisation expresse et écrite du responsable de traitement, et en cas d’accord, l’obligation de reporter l’ensemble des obligations lui étant imputables en matière de protection des données. Il demeure en tout état de cause responsable à l’égard du responsable de traitement de l’exécution des prestations de ses propres sous-traitants.

Bien entendu, les sous sous-traitants seront également impactés par la nouvelle réglementation européenne. Les contrats conclus entre ces derniers et le sous-traitant devront refléter les obligations imposées par le responsable de traitement à son sous-traitant (contrat dit « miroir » ou « back to back », imposé par l’article 28-4 du RGPD). En d’autres termes le responsable de traitement exigera de ses sous-traitants qu’ils imposent les mêmes obligations à l’ensemble de leurs propres cocontractants ayant accès aux données personnelles ainsi communiquées pour les besoins du service SaaS.

A ces obligations devant désormais être respectées par le sous-traitant, il faut en plus ajouter :

L’obligation de tenir un registre des traitements (même obligation imposée au responsable de traitement) ; ce registre participe à l’obligation d’accountability et devra être tenu à la disposition de l’autorité de contrôle [7]
La coopération du sous-traitant aux opérations de contrôle (par la CNIL notamment) [8]
La désignation d’un Délégué à la Protection des Données, dans les mêmes conditions que le responsable de traitement est tenu de le faire [9]
La notification du responsable de traitement en cas de faille de sécurité [10]
Appliquer en amont les principes de Privacy by design et Privacy by default [11], qui impliquent de prendre en compte la protection des données à chaque étape du processus (et notamment que seules les données personnelles nécessaires, au regard de la finalité recherchée, soient traitées) ;
Des mécanismes de certification ou des codes de conduites permettront de démontrer le respect des exigences énoncées.

Dans le cadre de la gestion des risques, les entreprises pourront notamment se référer au nouveau guide de la sécurité des données personnelles publié par la CNIL en janvier 2018 [12] qui rappelle « les précautions élémentaires devant être mise en œuvre de façon systématique ».
 

Plan d’action :

Selon la CNIL, « tous les contrats de sous-traitance en cours d’exécution devront comprendre au 25 mai 2018 les clauses obligatoires prévues par le Règlement européen ».

En conséquence il est indispensable de procéder dès maintenant à une analyse complète de tous contrats en cours conclus avec ou par les prestataires de services SaaS puis de les amender, afin d’y prévoir les nouvelles obligations imposées par la réglementation. Des avenants devront être conclus en ce sens avant le 25 mai 2018.

Il est précisé que la CNIL demande expressément à vérifier l’existence et le contenu de ces contrats en cas de contrôle.


Notes :

[1] SaaS : Software as a Service, c’est-à-dire la fourniture de logiciel en ligne ; PaaS : Platform as a Service, c’est-à-dire la fourniture d’une plateforme de développement d’applications en ligne ; IaaS : Infrastructure as a Service, c’est-à-dire la fourniture d’infrastructures de calcul et de stockage en ligne
[2] Loi n° 78-17 du 6 janvier 1978 relative à l’Informatique, aux Fichiers et aux Libertés
[3] Règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
[4] Article 26 du RGPD
[5] Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique
[6] Article 28 du RGPD
[7] Article 30 du RGPD
[8] Article 31 du RGPD
[9] Article 37 du RGPD
[10] Article 33 du RGPD
[11] Article 25 du RGPD
[12] https://www.cnil.fr/fr/un-nouveau-guide-de-la-securite-des-donnees-personnelles

Juin 2012 : Externaliser par le Cloud : ce qu'il faut savoir

Externaliser par le Cloud : ce qu'il faut savoir : Revue Fiduciaire Comptable, Juin 2012, n°395, p.16 par Donatienne Blin

Pré-contentieux informatique

Mars 2012 : Sortie d'un contrat d'externalisation : les points d'attention, Revue Fiduciaire Comptable, Mars 2012 n°392 par Donatienne Blin

Sortie d'un contrat d'externalisation : les points d'attention, Revue Fiduciaire Comptable, Mars 2012 n°392 par Donatienne Blin

Janvier 2012 : La sortie d'un contrat d'outsourcing : la réversibilité, Le cercle des échos, les Echos.fr, Janv. 2012 par Donatienne Blin

La sortie d'un contrat d'outsourcing : la réversibilité, Le cercle des échos, les Echos.fr, Janv. 2012 par Donatienne Blin

Audit IFL et RGPD : mise en conformité et sensibilisation

Testez la conformité de votre organisme au RGPD !

SEA Avocats vous propose un outil d’auto-diagnostic afin d’évaluer la conformité de votre organisme au RGPD - Durée estimée du questionnaire : 10 à 15 min

Faire de quizz

Septembre 2017 : Une nouvelle Loi Informatique, Fichiers et Libertés avant le 25 mai 2018

Le règlement européen 27 avril 2016 sur la protection des données personnelles (RGPD1) entrera en application le 25 mai 2018. Il constitue selon la CNIL « une étape majeure pour la protection des données personnelles en Europe ». 

L’objectif de ce règlement est de renforcer la protection des données personnelles des citoyens européens et d’unifier les législations nationales de chaque Etat membre de l’union. Il introduit de nouveaux principes majeurs, notamment, le renforcement des droits des personnes dont les données sont collectées, les notions de Privacy by design et Privacy by default, le principe d’Accountability, la notion de responsabilité conjointe des traitements, ou encore la désignation obligatoire dans certain cas d’un délégué à la protection des données. 

Ses dispositions seront directement applicables dans tous les Etats membres.

Toutefois le règlement européen comporte de nombreux renvois au droit de chaque Etat membre, laissant à ces derniers la possibilité d’adapter leur droit national avec les nouvelles dispositions. 

Le considérant 10 du RGPD fait référence à ces renvois aux droits nationaux des Etats membres. Il y est précisé que le niveau de protection des droits des personnes devrait être équivalent dans tous les Etats membres, et qu’il convient dès lors « d'assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes physiques à l'égard du traitement des données à caractère personnel dans l'ensemble de l'Union ». 

Puis il ajoute que dans certaines matières, « il y a lieu d'autoriser les Etats membres à maintenir ou à introduire des dispositions nationales destinées à préciser davantage l'application des règles du règlement », ou encore qu’il « existe plusieurs législations sectorielles spécifiques dans des domaines qui requièrent des dispositions plus précises ». 

Le règlement laisse ainsi une marge de manœuvre aux Etats membres. Il en résulte que des disparités entre les différents membres de l’Union Européenne pourront exister en matière de protection des données personnelles.

Pour intégrer les nouvelles obligations réglementaires, la France devra donc, avant le 25 mai 2018, adapter en profondeur la Loi du 6 janvier 1978 Informatique, Fichiers et Libertés,  sous peine, selon la CNIL, « de rendre très largement inapplicable le nouveau cadre de protection en France ».

La CNIL a identifié près de 57 renvois au droit des Etats membres dans le RGPD.

Le chapitre IX du RGPD, intitulé « Dispositions relatives à des situations particulières de traitement », dresse la liste des sujets sur lesquels les Etats membres pourront prévoir des dérogations ou des précisions. Il s’agit notamment des traitements suivants : 
 
  • Les traitements réalisés à des fins journalistiques et à des fins d’expression universitaire, artistique ou littéraire : les Etats membres pourront prévoir « des exemptions ou des dérogations au règlement (…) si celles-ci sont nécessaires pour concilier le droit à la protection des données à caractère personnel de la liberté d’expression et d’information » (Article 85 du règlement) ;
     
  • Le traitement et l’accès du public aux documents officiels : afin de concilier le droit d'accès du public aux documents officiels et le droit à la protection des données personnelles, le règlement précise que « les données personnelles figurant dans des documents officiels détenus par une autorité publique, un organisme public ou un organisme privé pour l'exécution d'une mission d'intérêt public peuvent être communiquées par ladite autorité ou organisme conformément au droit de l'Union ou au droit de l'Etat membre auquel est soumis l'autorité publique ou l'organisme public » (Article 86 du règlement) ;
     
  • Le traitement du NIR (Numéro d’Identification National) : selon le RGPD, « les Etats membres peuvent préciser les conditions spécifiques du traitement d'un numéro d'identification national ». Ce numéro ne doit être utilisé « que sous réserve des garanties appropriées pour les droits et libertés de la personne concernée adoptées par le règlement » (Article 87 du règlement) ;
     
  • Le traitement des données dans le cadre des relations de travail : le règlement précise que s’agissant du traitement des données personnelles des employés, « les Etats membres peuvent prévoir, par la loi ou au moyen de conventions collectives, des règles plus spécifiques pour assurer la protection des droits et libertés », lesquelles devront comprendre « des mesures appropriées et spécifiques pour protéger la dignité humaine, les intérêts légitimes et les droits fondamentaux des personnes concernées » (Article 88 du règlement) ;
     
  • Le traitement à des fins de recherche scientifique ou historique, ou à des fins statistiques : selon le RGPD, le droit d'un Etat membre peut prévoir des dérogations aux droits visés aux articles 15 du règlement (Droit d’accès), 16 (Rectification et effacement), 18 (Droit à la limitation du traitement) et 21 (Droit d’opposition), « dans la mesure où ces droits risqueraient de rendre impossible ou d'entraver sérieusement la réalisation des finalités spécifiques et où de telles dérogations sont nécessaires pour atteindre ces finalités » (Article 89 du règlement) ;
     
  • Le traitement de données personnelles obtenues dans le cadre d'une activité couverte par le secret professionnel : les Etats membres peuvent adopter des règles spécifiques « afin de définir les pouvoirs des autorités de contrôle à l'égard des responsables du traitement ou des sous-traitants qui sont soumis, en vertu du droit de l'Union ou du droit d'un Etat membre, à une obligation de secret professionnel » (Article 90 du règlement).
 
Outre le chapitre IX précité, le règlement européen comporte plusieurs autres renvois au droit des Etats membres, pour compléter les règles existantes. C’est notamment le cas : 
 
  • Des conditions applicables au consentement des enfants : selon le règlement, le traitement des données personnelles relatives à un enfant est licite lorsque l'enfant est âgé d'au moins 16 ans. Le RGPD précise que les Etats membres peuvent prévoir par la loi un âge inférieur pour autant que cet âge inférieur ne soit pas en-dessous de 13 ans (Article 8 du règlement) ;
     
  • Des données concernant la santé (dont la définition est d’ailleurs élargie par le règlement) : « Les Etats membres peuvent maintenir ou introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données génétiques, des données biométriques ou des données concernant la santé » (Article 9 du règlement) ;
 
  • Des données relatives aux condamnations pénales et aux infractions : le RGPD prévoit que le traitement de telles données « ne peut être effectué que sous le contrôle de l'autorité publique, ou si le traitement est autorisé par le droit de l'Union ou par le droit d'un Etat membre qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées » (Article 10 du règlement) ;
     
  • Des traitements effectués dans le cadre d’une mission d’intérêt public : les Etats membres peuvent décider « que les responsables du traitement consultent l'autorité de contrôle et obtiennent son autorisation préalable » à la mise en place de tels traitements (Article 36 du règlement) ;
     
  • De l’étendue des pouvoirs de l’autorité de contrôle : chaque Etat membre peut prévoir par la loi que son autorité de contrôle dispose de missions ou de pouvoirs additionnels à ceux visés au RGPD (Article 58 du règlement) ;
     
  • Des voies de recours : le RGPD permet aux personnes dont les données ont été collectées de mandater des organismes, organisations ou associations afin d’introduire une réclamation en leur nom devant l’autorité de contrôle et d’obtenir réparation de leur préjudice. Là encore le règlement prévoit que les Etats membres pourront préciser l’étendue des pouvoirs de ces organismes, et ce indépendamment de tout mandat (Article 80 du règlement) ;
     
  • Des sanctions applicables en cas de violation : les Etats membres devront déterminer le régime de sanctions de certains manquements, qui doivent être « effectives, proportionnées et dissuasives », et prendre toutes les mesures nécessaires pour garantir leur mise en œuvre (Article 84 du règlement).
 
Les Etats membres devront notifier à la Commission certaines des règles ainsi adoptées en dérogation ou précision du règlement, au plus tard le 25 mai 2018.
 
Outre ces amendements pouvant être induits par les renvois aux droits nationaux expressément visés par le texte, d’autres adaptations (ajouts ou suppressions) à la Loi du 6 janvier 1978 devraient être envisagées par le législateur français, notamment pour tenir compte des incompatibilités ou des redondances de celle-ci avec le règlement.   
 
C’est le cas par exemple des définitions (Article 4 du règlement), des dispositions relatives aux droits et consentement des personnes dont les données sont collectées (Article 7 du règlement, article 12 et suivants), des principes à respecter relatifs aux traitements et à la licéité de ceux-ci (Art. 5 et suivants du règlement) ou encore des règles sur les obligations des responsables de traitements (Art. 12 et suivants). 
 
Enfin, devront être prises en compte les dispositions de la directive européenne dite « police-justice » adoptée le même jour que le règlement du 27 avril 2016, applicable aux traitements en matière de sécurité publique et de recherche et répression des infractions pénales.  Cette directive qui doit être transposée en droit français a pour but de faciliter l'échange d’informations entre les autorités policières et judiciaires nationales, tout en garantissant des droits aux personnes concernées par la collecte et le traitement de leurs données personnelles.


--------------------------------------------------------------------------------------------------------------------------------------------------------------------------

(1)Règlement (UE) 2016/679 du Parlement et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement Général sur la Protection des Données, dit « RGPD »)

(2)Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil
 
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Donatienne Blin 
Avocat à la Cour
SEA AVOCATS
153 rue de Rome 75017 Paris 
 

APPLIS DE SANTÉ : La HAS s'empare du réglement européen

La Haute Autorité de Santé (HAS) a élaboré, avec l’aide de la CNIL, un référentiel de bonnes pratiques visant à aider les concepteurs d’applications et d’objets connectés de santé à respecter les réglementations en vigueur. L’analyse de ce référentiel traduit une volonté d’anticiper l’application du Règlement européen sur la protection des données personnelles, prévue pour mai 2018.

Le marché de la santé mobile est en plein essor. Le nombre d’applications mobiles de santé disponibles ne cesse de croître. Et pour cause, la santé connectée présente de nombreux avantages, que ce soit en termes de progrès médical grâce à l’exploitation du Big Data ou de médecine préventive grâce au rôle actif du patient dans sa prise en charge.

L’image d’un individu acteur de sa santé entre cependant encore trop souvent en conflit avec celle d’un individu acteur de la protection de ses données personnelles.

En effet, que l’ « appli santé » ait une finalité médicale déclarée ou qu’elle se dise simplement « de bien être », elle conduira très certainement à la collecte de données renseignant directement ou indirectement sur l’état de santé de l’utilisateur. Face à l’hétérogénéité des applications disponibles, il n’est alors pas étonnant que l’utilisateur s’interroge sur leur qualité, leur fiabilité et l’existence de risques pour la confidentialité et la sécurité de leurs données.

Cette méfiance est légitime, dès lors qu’aucune règlementation spécifique ne vient encadrer le développement des applications, et que les dispositions légales et règlementaires existantes en matière de dispositifs médicaux, de protection des données personnelles et d’hébergement de données de santé ne suffisent pas à traiter toutes les problématiques soulevées par les « applis santé ».

Consciente de ce problème, la Haute Autorité de Santé (HAS) s’est donné pour objectif de proposer un guide technique à destination des industriels et des évaluateurs, afin de garantir ainsi la conception et la mise sur le marché d’applications et d’objets connectés (OC) de santé fiables, performants, sécurisés et ergonomiques.

Ce référentiel de bonnes pratiques 1, fruit d’une étroite collaboration de la HAS, de la CNIL et de l’ANSSI 2, a vu le jour en octobre 2016. Il concerne les seules applications et OC n’ayant pas de finalité médicale déclarée, et non ceux soumis au régime du marquage CE en tant que dispositifs médicaux.

Non-contraignant, ce référentiel n’a pas vocation à se substituer à la règlementation existante, mais plutôt à proposer des clés concrètes pour une application correcte des dispositions légales en vigueur.

En matière de données personnelles, la HAS, poussée par la CNIL, va encore plus loin : elle anticipe l’entrée en vigueur du Règlement sur la protection des données personnelles du 27 avril 2016 3, en édictant des bonnes pratiques s’inspirant directement des nouveaux principes consacrés par ce texte.
 

L’ANALYSE D’IMPACT


La HAS recommande aux concepteurs de réaliser en amont du développement de l’application ou de l’OC, une analyse de la menace pesant sur le produit, en termes de sécurité. Cette analyse - du type EBIOS 4 - permettrait d’identifier les données sensibles manipulées par le produit et les mesures de sécurité propres à couvrir les risques pesant sur leur confidentialité, leur intégrité et leur disponibilité, afin « d’ajuster le curseur sécurité au bon niveau ».

En édictant cette bonne pratique, la HAS fait manifestement écho à la pratique de l’ « Etude d’Impact sur la Vie Privée » (EIVP) récemment consacrée par le Règlement européen. Cette nouvelle pratique – qui aurait dans certains cas vocation à se substituer aux formalités déclaratives existantes – impose en effet au responsable de traitement projetant la réalisation d’un traitement à risque, d’effectuer, préalablement à la mise en oeuvre du traitement, une auto-évaluation des risques que présente son projet sur la vie privée des individus.


LA MINIMISATION DES DONNÉES


La HAS rappelle que les données collectées par l’application ou l’OC ne peuvent excéder celles nécessaires à la destination d’usage du produit, c’est à dire indispensables à la réalisation des finalités préalablement déterminées. Certes, les principes de pertinence, de proportionnalité et de finalité existent déjà dans la Loi Informatique et Libertés 5, mais la HAS fait ici explicitement référence au principe de minimisation des données, consacré par le Règlement européen, en vertu duquel le responsable de traitement ne doit pas collecter plus de données que nécessaires.


LE CONSENTEMENT EXPLICITE


Le référentiel de bonnes pratiques s’inspire de la nouvelle définition du consentement donnée par le Règlement européen en imposant le recueil du consentement préalable explicite de l’utilisateur de l’application ou de l’OC, pour l’utilisation de ses données. L’influence du Règlement est encore perceptible à travers l’obligation faite au concepteur de mettre l’utilisateur en mesure de modifier et retirer son consentement à tout moment.
D’un point de vue pratique, la HAS affirme que le consentement exprimé via l’acceptation de Conditions Générales d’Utilisation (CGUs) ne permet pas la mise en oeuvre concrète de ces droits de l’utilisateur, dans la mesure où cette acceptation n’intervient que lors de la première utilisation. La mise en oeuvre d’éléments de réglages modifiables doit donc être favorisée.
 

LE DROIT A L’OUBLI


Le principe phare du Règlement européen, le droit à l’oubli, n’est pas en reste. La HAS anticipe son application en invitant le concepteur d’une part à préciser la durée de conservation nécessaire à l’accomplissement des finalités et à ne pas la dépasser ; et d’autre part à mettre l’utilisateur en mesure – via un élément de réglage – d’exercer son droit de corriger et d’effacer ses données à tout moment, même si la durée de conservation n’est pas écoulée.


LE PRIVACY BY DESIGN


Sur l’autel de la sécurité et de la confidentialité, la HAS sacrifie l’appli santé ou l’objet « hyper connecté ».

La HAS relève que certains produits peuvent avoir accès à des fonctionnalités du smartphone contenant une quantité importante de données personnelles. Nombreuses sont en effet les applications qui demandent, pour fonctionner de manière optimale, un accès aux e-mails, carnet d’adresses, calendriers, historiques de navigations, photographies et films stockés, préférences du système, géolocalisation, microphone, caméras, etc. Similairement, la HAS envisage le cas – fréquent – où l’application ou l’OC prévoit de partager les données qu’il gère avec d’autres applications ou OC, ou sur des réseaux sociaux.

Or, le principe de loyauté en matière de protection des données personnelles suppose que l’utilisateur soit en mesure de donner son consentement éclairé, après avoir reçu une information explicite, à l’accès ou au partage par l’application ou l’OC d’informations sensibles.

Pour la HAS, applications et OC doivent donc être conçus d’une manière telle que ces accès et partages soient par défaut impossibles, et que leur mise en oeuvre soit subordonnée à une autorisation expresse de l’utilisateur. L’application ou l’OC pourrait ainsi proposer à l’utilisateur d’approuver une notification ou d’effectuer un réglage spécifique avant l’utilisation par le produit concerné de la caméra, de la géolocalisation ou tout autre contenu de son smartphone. De même, s’agissant du partage des données, l’application ou l’OC pourrait prévoir une zone de réglage permettant à l’utilisateur de sélectionner les applications et réseaux sociaux pour lesquels il accepte la diffusion de ses données.

La HAS précise en outre que le concepteur doit prendre en compte les droits de l’utilisateur de modifier son consentement et de corriger et d’effacer ses données personnelles à tout moment, en prévoyant des éléments de réglage lui permettant de gérer son consentement et ses données.

Au final, la HAS recommande donc aux concepteurs d’application et d’OC d’intégrer, dès la conception du produit (built-in) et avant sa mise en circulation, des fonctionnalités permettant le respect des principes clés de la protection des données personnelles et notamment des principes d’information, de consentement exprès, explicite et révisable à tout moment, et de droit à l’oubli.

Ce faisant, la HAS procède à une application anticipée des principes de Privacy by Design et de Privacy by Default consacrés par le Règlement européen qui imposent de prendre en compte le respect de la vie privée et de la protection des données dès les premières phases de conception des technologies et de paramétrer ces technologies de manière à garantir par défaut le plus haut niveau de protection des données.

La référence au principe du Privacy By Design est d’ailleurs explicite. La HAS souligne en effet la criticité de son respect par les développeurs, notamment afin d’assurer la loyauté de l’application.
 

LA SÉCURITÉ RENFORCÉE


Pour la HAS, le Privacy by Design s’applique aussi aux mesures de sécurité, qui doivent être prises en compte dans les spécifications même de l’application ou de l’OC afin de protéger la confidentialité et l’intégrité des données.

La conception de l’application ou de l’OC devrait ainsi intégrer des « fonctions de sécurité » telles que l’authentification des utilisateurs (en cas d’échanges de données entre l’application et des services distants), la pseudonymisation (qui consiste à masquer l’identité réelle de l’utilisateur en y associant un pseudonyme) ou encore l’anonymisation (obligatoire en cas de transmission de données de santé à des fins de statistiques).

La HAS préconise également le recours au chiffrement, que ce soit pour sécuriser les données faisant l’objet d’un transfert ou pour protéger les données stockées sur le terminal ou sur les serveurs distants. Cette technique permettant en effet de garantir la confidentialité des données en cachant leur substance : les données chiffrées n’apparaîtront sous leur forme d’origine que si elles sont déchiffrées à l’aide de la bonne clé. Le recours à des services de cryptographie robustes, connus et éprouvés devra être privilégié par le concepteur, le développement de ces fonctionnalités étant particulièrement difficile.

Ces bonnes pratiques s’inspirent directement des mesures de sécurité renforcées dont le Règlement européen préconise la mise en oeuvre.


LA NOTIFICATION DES FAILLES DE SÉCURITÉ


La HAS explique enfin, qu’en cas de survenance d’un incident de sécurité ou d’une violation des données, l’éditeur de l’application ou le concepteur de l’OC devra faire preuve de transparence et en alerter les autorités compétentes et les utilisateurs. Elle recommande alors au concepteur de mettre en place, au stade de la conception (Privacy By Design), un processus de signalement lui permettant de remplir cette obligation de notification. Une application pourrait ainsi, selon la HAS, adresser une notification à l’utilisateur pour mettre à jour l’application suite à une faille de sécurité.

L’influence du Règlement européen est ici indiscutable : la bonne pratique édictée par la HAS est une application pratique directe de l’obligation de notification des failles de sécurité instaurée par le Règlement.



Si le guide n’a pas de portée contraignante, il invite les concepteurs d’applications et d’OC à se mettre dès aujourd’hui en conformité avec le Règlement Européen qui leur sera directement applicable, sous peine de sanctions, à compter de son entrée en vigueur le 6 mai 2018.

Dans l’intervalle, le référentiel de la HAS sera complété par un code de conduite établi par la Commission Européenne destiné à aider les concepteurs d’applications de santé à respecter la législation européenne en matière de données personnelles avec des conseils et exemples concrets

Par Marion Barbezieux et Hervé Gabadou, avocats, et Agnès Morel, stagiaire chez SEA AVOCATS.


1Référentiel de bonnes pratiques sur les applications et les objets connectés en santé (Mobile Health ou mHealth) de la Haute Autorité de Santé, Octobre 2016
2 Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI)
3 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
4 EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) est la méthode de gestion desrisques SSI de l'ANSSI.
5 Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, article 6.

Un guide de protection des données personnelles publié par l’AFNOR dans la perspective du Règlement européen en matière de protection des données personnelles

Octobre 2011 : Modifications substantielles de la loi Informatique et Libertés : Journal des sociétés, Oct. 2012 n°91, p.52, par Donatienne Blin

Modifications substantielles de la loi Informatique et Libertés : Journal des sociétés, Oct. 2012 n°91, p.52, par Donatienne Blin

Protection des données personnelles et BIG DATA

Février 2017 : Les recommandations de la CNIL en matière de mots de passe

Alors que l’accès à de nombreux services est conditionné à l’utilisation de mots de passe, et dans un contexte de menace accrue sur la sécurité des données, la CNIL adopte une recommandation sur les mots de passe pour garantir un niveau de sécurité minimal en la matière. Elle met également des outils pratiques à disposition des professionnels et des particuliers...

Septembre 2016 : L’adoption de la directive NIS (Network and Information Security) par Donatienne Blin, Avocat, SEA AVOCATS

La directive NIS 1 (Network and Information Security) a été adoptée le 6 juillet 2016 par le Parlement européen et le Conseil. Les Etats membres auront jusqu’au 9 mai 2018 pour la transposer dans leur droit national.

Ce texte intervient dans un contexte où la fréquence et l'impact des incidents de cybersécurité dont les entreprises sont victimes ne cessent de croître.

Selon la directive, une perturbation des réseaux et des systèmes, qu'elle soit intentionnelle ou non et indépendamment du lieu où elle se produit dans un état membre, pourrait avoir des conséquences sur l’ensemble des autres états membres.

L’objectif de la directive est donc d’établir des mesures harmonisées visant à assurer dans l’Union un niveau élevé et commun de sécurité des réseaux et des systèmes d’information.

La transposition de la directive sera assurée par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) avec l’aide de l’ENISA (Agence européenne chargée de la sécurité des réseaux et des systèmes d’information).

En synthèse, les principaux apports de cette directive sont les suivants :

-    La désignation d’ « Autorités nationales compétentes » et d’un « point de contact unique »

Les états membres devront désigner une ou plusieurs autorités nationales spécialisées en matière de sécurité des réseaux et des systèmes d'information.

En France, c’est l’ANSSI, créée par décret le 7 juillet 2009, qui est prévue pour assurer cette fonction.

Les états devront également désigner un « point de contact national unique ». Celui-ci devra exercer une « fonction de liaison pour assurer une coopération transfrontalière entre les autorités des États membres », ainsi qu'avec le « Groupe de coopération » et le « Réseau des CSIRT » (cf. ci-dessous).

Les états membres rendront publique la désignation de l'Autorité nationale compétente et du point de contact unique.

-    La création d’un « Réseau de centre de réponse aux incidents de sécurité informatiques » (CSIRT)

Chaque état membre devra désigner un ou plusieurs CSIRT. En France, c’est le CERT (Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques) qui assurera cette fonction.

Le « Réseau des CSIRT» devra contribuer au renforcement de la confiance entre les États membres et « promouvoir une coopération rapide et effective au niveau opérationnel ».

Les CSIRT seront notamment chargés de la gestion des incidents (ils recevront les notifications) et des risques selon un processus défini. Ils auront également pour tâche d’aider les états membres à faire face aux incidents transfrontaliers, de publier des lignes directrices pour « faciliter la convergence des pratiques opérationnelles entre les différents états ».

Ils devront enfin avoir accès « à une infrastructure d'information et de communication adaptée, sécurisée et résiliente au niveau national ».

Le secrétariat du réseau des CSIRT tiendra à jour un site internet mettant à la disposition du public des informations générales sur les principaux incidents qui sont survenus dans toute l'Union.

-    La création d’un « Groupe de coopération » :

Ce Groupe doit réunir les représentants des états membres, de la Commission et de l'Agence de l'Union européenne chargée de la sécurité des réseaux et de l'information (ENISA).

Il aura pour mission de « soutenir et de faciliter la coopération stratégique entre les États membres », de faciliter l’échange d’information et de renforcer la confiance mutuelle.

A titre d’exemple, ce Groupe aidera les états membres à suivre une approche cohérente dans le processus d'identification des opérateurs de services essentiels. Il sera chargé de fournir des orientations stratégiques, d’évaluer les stratégies nationales mises en place par les états membres en matière de sécurité, ou encore plus généralement d’échanger sur les bonnes pratiques dans le domaine de la sécurité informatique.

-    Des exigences de sécurité spécifiques et renforcées pour les « Opérateurs de services essentiels » et les « Fournisseurs de services numériques »

Selon la directive, les « Opérateurs de services essentiels » sont des opérateurs publics ou privés qui (i) fournissent « un service essentiel au maintien d'activités sociétales et/ou économiques critiques », (ii) qui sont « tributaires des réseaux et des systèmes d'information », et (iii) pour lesquels « un incident aurait un effet disruptif important sur la fourniture du service ».

En France, cette définition est proche de celle d’ « Opérateurs d’importance vitale » (OIV) déjà prévue dans la loi de programmation militaire du 19 décembre 2013, et dont les entités y répondant sont soumises à des obligations de sécurité spécifiques.

Les secteurs concernés sont l’énergie, les transports, les banques et infrastructures de marchés financiers, la santé, les fournisseurs d’eau potable et les infrastructures numériques.   

Chaque état doit les identifier et constituer une liste, qui devra être mise à jour tous les deux ans.

Les « Fournisseurs de services numériques » relevant de la directive « sont ceux qui sont considérés comme offrant des services numériques sur lesquels de nombreuses entreprises de l'Union s'appuient de plus en plus ». Il s’agit précisément des marchés en ligne (site d’e-commerce comme Amazon), des moteurs de recherche et des fournisseurs de services Cloud.

Les Opérateurs de services essentiels et les Fournisseurs de services numériques devront mettre en œuvre les mesures techniques et organisationnelles renforcées pour prévenir les incidents et gérer les risques qui menacent la sécurité des réseaux et des systèmes d'information qu'ils utilisent dans le cadre de leurs activités.

Ils seront également astreints à une obligation de notification à l'Autorité compétente ou au CSIRT.

Les exigences imposées aux fournisseurs de services numériques seront moins contraignantes que celles applicables aux opérateurs de services essentiels.

-    La définition d’une « Stratégie nationale »

La directive prévoit un renforcement des obligations de sécurité imposées aux états membres. Elle impose notamment à chaque état la création d’une « stratégie nationale en matière de sécurité des réseaux et des systèmes d'information ».

Cette stratégie doit notamment inclure les objectifs et priorités de la stratégie, un cadre de gouvernance, l'inventaire des mesures en matière de préparation, d'intervention et de récupération, un plan d'évaluation des risques, ou encore la liste des acteurs chargés de la mise en œuvre de la stratégie nationale.

En France, la « stratégie nationale pour la sécurité du numérique » a fait l’objet de travaux interministériels coordonnés par l’ANSSI. Cette stratégie nationale a été publiée le 16 octobre 2015.

1- Directive (UE) 2016/1148 du parlement européen et du conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'union

Donatienne Blin, Avocat,
SEA AVOCATS

Juin 2016 : Brève : campagne de contrôles de la CNIL

Comme chaque année, la CNIL prévoit de dédier une part significative de son activité de contrôle à des thèmes sélectionnés en raison de leur impact sur les libertés individuelles et du nombre important de personnes concernées.
 
En 2015, la CNIL s’était notamment concentrée sur les thèmes suivants : le paiement sans contact ; les outils de mesure de fréquentation des lieux publics ; les objets connectés « bien-être et santé » ; les « Binding Corporate Rules » (BCR). Pour l’année 2016, la CNIL a indiqué qu’elle réalisera entre 400 et 450 contrôles sur place, sur audition, sur pièces et en ligne, tant dans le secteur public que privé. Les thématiques retenues pour ce programme de contrôle concernent des traitements portant sur la vie quotidienne des personnes. Précisément, la CNIL a indiqué que ses contrôles porteront sur les thèmes suivants :
 
-          Les courtiers en données (Data Brokers) : Les entreprises utilisent toujours des données personnelles pour maximiser leur rentabilité et améliorer leurs performances commerciales, en analysant les centres d’intérêts de leurs clients, leur comportement, leurs habitudes. La commercialisation de ces données revêt une importance majeure. La CNIL s’intéressera plus particulièrement aux intermédiaires faisant le lien entre les organismes collectant des données personnelles, et ceux les utilisant dans le cadre de leur activité économique. Le profilage, de plus en plus fin et pertinent, réalisé à partir de ces données constitue l’enjeu majeur de la protection de la vie privée du 21ème siècle, selon la CNIL. Il s'agira notamment pour la CNIL de veiller au respect des obligations de pertinence des données et d'information des personnes, de consentement et de respect des droits prévus par la loi Informatique et Libertés et, enfin, de sécurité.
 
-          Le SNIIRAM : cette base de données contient les données « pseudonymisées » relatives aux demandes de remboursements de frais de santé. Les données collectées sont l’âge et le sexe du patient, le diagnostic de l’affection longue durée, la commune et le département de résidence, la date de décès ou encore les soins remboursés. Les contrôles permettront de vérifier la conformité des traitements de données mis en œuvre avec l’ensemble des dispositions de la loi Informatique et Libertés, notamment la sécurité des données et la réalité de la pseudonymisation de ces dernières.
 
-          Le fichier API-PNR : il s’agit du fichier de contrôle des déplacements aériens et sert notamment à la lutte contre le terrorisme ou le trafic de drogue.
 
Rappelons qu’en matière de données personnelles, l’année 2015 a notamment été marquée par le nombre record de plaintes enregistrées par la CNIL et par l’adoption du règlement européen sur la protection des données personnelles.  La CNIL connait donc une forte activité et va voir ses pouvoirs élargis suite à la réforme européenne.

Accord de l'Union Européenne sur la protection des données personnelles sur internet

Après des années de négociation, les instances européennes sont parvenues, ce 15 décembre, à un compromis sur le règlement européen en matière de protection des données personnelles. Destiné à harmoniser les législations nationales existantes en matière de données personnelles, ce règlement  s’appliquera directement dans les Etats-Membres à partir de début 2017.

Ses mesures phares prévoient notamment :
  • Le droit à l’oubli, c’est-à-dire la possibilité pour tout citoyen européen de demander la suppression et de déréférencer des données non-pertinentes le concernant ;
  • La portabilité des données, c’est-à-dire la possibilité de demander le transfert de leurs données d’une plateforme à une autre ;
  • L’obligation faites aux entreprises de signaler aux régulateurs nationaux, sous trois jours et sous peine d’amende, toute fuite de donnée dont elle serait victime ;
  • L’obligation, pour les moins de 16 ans, d’obtenir une autorisation parentale afin d’accéder à des services en ligne collectant des données personnelles tels que Facebook, Instagram ou SnapShat.

Surtout, les Autorités de Protection des Données nationales, telles que la CNIL, voient leur pouvoir de sanction largement renforcé, puisqu’elles pourront notamment infliger des amendes allant jusqu’à 4% du chiffre d’affaires mondial aux entreprises qui enfreindraient le règlement.

Le règlement européen s’appliquera à toutes les sociétés qui recueillent les données d’utilisateurs établis dans l’Union Européenne, quand bien même elle n’y seraient pas elles-mêmes établies.

 

Septembre 2013 - La lutte contre la cybercriminalité : village-justice.com, Solutions IT & Logiciels, Monde du droit, par Donatienne Blin

Septembre 2013 - La lutte contre la cybercriminalité : village-justice.com, Solutions IT & Logiciels, Monde du droit, par Donatienne Blin

Octobre 2011 : Modifications substantielles de la loi Informatique et Libertés : Journal des sociétés, Oct. 2012 n°91, p.52, par Donatienne Blin

Modifications substantielles de la loi Informatique et Libertés : Journal des sociétés, Oct. 2012 n°91, p.52, par Donatienne Blin 

Propriété intellectuelle des actifs immatériels

Site web et application mobile

Janvier 2014 : Les nouveaux GTLD : enjeux et opportunités, Le Monde du Droit, Fiscal Online, Domaine.info

Les nouveaux GTLD : enjeux et opportunités, Le Monde du Droit, Fiscal Online, Domaine.info 

Avril 2010 : Le statut d'hébergeur refusé en application du critère économique, Gaz. Pal. Avr. 2012, juris. p.33. par Donatienne Blin

Le statut d'hébergeur refusé en application du critère économique, Gaz. Pal. Avr. 2012, juris. p.33. par Donatienne Blin

Intelligence Artificielle

Février 2018 : Quel droit pour l'Intelligence Artificielle ?

Acte 1 : L'IA: révolution ou évolution?

A la fois nouvel eldorado économique et source de questionnements existentiels sur le futur de l’humanité, l’Intelligence Artificielle (IA) inonde le débat public[1]. Ce « boom » actuel plonge ses racines au lendemain de la seconde guerre mondiale.

Après l’apparition des ordinateurs programmables dans les années 1940, c’est surtout la conférence de Dartmouth de 1956 qui a rendu possible le rêve – ou le cauchemar – de l’IA. Cet évènement fondateur donna à l’ « Intelligence Artificielle » son nom et ouvrit la porte à deux décennies de découvertes extraordinaires, à l’image du système-expert Mycin[2] permettant le diagnostic de maladies du sang.

Paralysée par des critiques d’ordre philosophique et par une puissance de calcul et un volume de données limités, l’IA connut un second souffle avec la diversification des systèmes experts et la banalisation de l’informatique. Grâce à l’émergence du Big Data et aux avancées technologiques, l’IA ne cesse de démontrer son potentiel. Et les GAFAM d’accroître leur domination entre R&D interne et rachats de start-up prometteuses…

Aujourd’hui, les spéculations sur les potentiels de l’IA se multiplient et le besoin d’encadrement juridique devient de plus en plus pressant.

L’Intelligence Artificielle reste pourtant difficile à définir, en raison de sa dimension technique irréductible. Pour faire simple, l’IA a pour ambition de répliquer les capacités cognitives de l’être humain (la mémoire, le langage, la motricité, l’indentification sensorielle, etc.).

Depuis les travaux d’Alain Turing, on distingue deux seuils d’intelligence artificielle : l’« IA générale » ou « faible », qui n’est qu’une intelligence rationnelle et la « super IA » ou « IA forte », pourvue d’intelligence émotionnelle et de conscience de soi[3].


1. L’Intelligence Artificielle dite « faible »

Le terme d’IA faible désigne les technologies reconstituant – et amplifiant – l’intelligence humaine rationnelle. L’objectif est de leur permettre d’exécuter de manière performante et autonome des tâches prédéterminées. La calculatrice par exemple, effectue à une vitesse fulgurante d’imposants calculs que l’homme serait parfois incapable de résoudre.

Initialement, les IA faibles se contentaient d’effectuer les missions pour lesquelles elles avaient été programmées. Aujourd’hui, elles sont de plus en plus sophistiquées : elles apprennent et évoluent, sous la supervision de l’homme ou par elles-mêmes, sans qu’une modification de leurs algorithmes ne soit nécessaire.

Cette mutation doit beaucoup au développement des techniques d’apprentissage automatique, elles-mêmes rendues possible par l’explosion du Big Data : les données sont le carburant des IA actuelles, ce qui a fait dire à Satya Nadella, CEO de Microsoft, « Data is the new electricity !».

La technologie du machine learning consiste ainsi à fournir au système une masse conséquente de données, que l’homme lui aura préalablement décrites et expliquées. A partir de ces exemples précalculés, l’IA est capable d’effectuer ses propres déductions, en affinant ses résultats à mesure qu’elle apprend de ses erreurs.

Plus poussé encore, le deep learning permet de se dispenser de l’étape de description du contenu des données par l’homme. Un algorithme perfectionné gère seul cette phase d’apprentissage. En contrepartie, le système est très gourmand en données : l’IA devra visionner et analyser plus d’un million de photos de chats pour être capable d’en reconnaître un toute seule.

La méthode du deep learning est ainsi à l’origine du développement des technologies de reconnaissance visuelle (Horus[4], Facebook Tag, etc.) ou sonore (Siri, Shazam, etc.). Demain, la voiture autonome, entièrement pilotée par l’IA, sera capable d’identifier en temps réel les obstacles sur sa route pour déterminer s’il faut ou non les éviter.

Finalement, l’IA est amenée à devenir omniprésente, comme l’illustre le système A.I Watson, développé par IBM. Depuis son apparition remarquée dans le jeu télévisé Jeopardy en 2011[5], IBM a renforcé sa plate-forme intelligente, repoussant les limites de ce que Watson peut faire. Elle propose aujourd’hui un portefeuille de plus de 25 APIs pouvant être exploitées par des développeurs dans des domaines variés, pour étoffer leurs applications.

Après une phase d’apprentissage, Watson pourra conseiller le meilleur investissement financier[6], assister un médecin dans la réalisation de diagnostics médicaux et le choix du traitement le plus adapté[7], accompagner un compositeur dans l’écriture d’une chanson[8], créer des recettes de cuisine[9] ou recruter le meilleur candidat pour un poste donné[10].

IBM se tourne aujourd’hui vers les objets connectés. Elle annonce des collaborations :

avec Whirpool pour créer de l’électroménager analysant les habitudes alimentaires,
avec Nokia pour un dispositif d’assistance aux personnes âgées chez elles,
ou avec Medtronic pour développer, via l’API Discovery, un système de monitoring du diabète et de prédiction de crises d’hypoglycémie.
Les start-ups ne sont pas en reste. Dans le domaine juridique, la « révolution » est menée aux Etats-Unis par Ross Intelligence et son assistant personnel autonome sur la recherche juridique et en France par Predictice et son outil d’analyse et de prédiction des décisions de justice.
 

2. L’Intelligence artificielle dite « forte »

Contrairement à l’IA faible, l’IA forte éprouverait des sentiments, une réelle conscience de soi, et comprendrait ce qui la pousse à faire telle ou telle action. On parlera de cognition artificielle : la machine pense !

Du film Westworld de 1973 à la série éponyme de 2016, qui immerge le spectateur dans un parc à thème peuplé de robots presque impossible à distinguer des humains, en passant par Blade Runner ou Ex-Machina, l’IA forte prend vie grâce à l’imagination des romanciers et cinéastes.

L’IA forte, si fascinante soit-elle, inquiète : certains, influencés par ces scénarios où la machine se rebelle toujours contre la société, y voient une « menace existentielle » pour la civilisation humaine[11]. Mais le « point de singularité technologique » n’est pas encore atteint[12], le robot tout-puissant demeurant une fiction.

L’IA est pourtant inéluctablement appelée, dans un futur proche, à se substituer aux individus dans l’exécution de multiples travaux. Chacun doit donc prendre conscience du besoin pressant de repenser les métiers et d’organiser la reconversion des actifs : il ne s’agit plus de former les individus à exécuter des tâches concurrentes à celles de l’IA, mais à devenir complémentaires de cette nouvelle Intelligence Artificielle.

Toute aussi impérieuse est la nécessité de réfléchir au cadre juridique dans lequel l’IA pourra se développer. Les problématiques juridiques soulevées par l’IA sont en effet nombreuses. Trois d’entre elles seront développées dans une trilogie à venir :

Le créateur de l’IA voudra protéger sa création et les éventuelles œuvres produites par celle-ci. Quelles réponses le droit de la propriété intellectuelle actuel peut-il alors lui apporter ?
L’IA se nourrit du Big Data. La règlementation applicable aux données personnelles sera-t-elle un frein à son développement ?
L’IA étant dépourvue de personnalité juridique, sur qui pèsera la responsabilité de l’erreur de prédiction ou de l’accident ?
A cette occasion, les concepts juridiques en vigueur seront confrontés à la technologie disruptive de l’IA. Si notre droit positif pourrait permettre d’appréhender et de réguler de manière satisfaisante les IA faibles d’aujourd’hui, l’émergence d’une IA forte bouleverserait cette certitude. Elle imposerait de définir une lex robotica à laquelle il faut dès aujourd’hui réfléchir[13].

Marion Barbezieux


[1] Dans la continuité du Rapport France IA remis au précédent gouvernement en mars 2007, le Premier Ministre a chargé le député Cédric Villani d’une mission ayant pour objectif de permettre au Gouvernement de fixer une stratégie publique en matière d’IA.

[2] Un système expert est un outil informatique d’IA, conçu pour simuler le savoir-faire d’un spécialiste, dans un domaine précis et délimité, grâce à l’exploitation de connaissances fournies par des experts.

[3] Le « test de Turing » (1950) mesure la capacité d’une machine à penser : pour être qualifiée d’IA forte, une machine doit, à l’issue de cinq minutes d’échanges, tromper plus de 30% de ses interlocuteurs en les amenant à penser qu’ils conversent avec un être humain et non une machine.

[4] Horus, le dispositif de reconnaissance visuelle crée par la start-up Eyra, décrit à son utilisateur malvoyant l'environnement où il évolue, lit des textes et reconnaît les visages.

[5] En moins de trois secondes Watson a été capable de comprendre la question posée, rechercher la réponse exacte, buzzer pour prendre la main et formuler cette réponse grâce à un système de synthèse vocale.

[6] Watson Financial Services : https://www.ibm.com/watson/financial-services/

[7] IBM met son IA Watson au service du traitement du cancer dans le cadre d’un accord avec le Memorial Sloan Ketting Hospital de New York. Grâce à l’API Discovery, Watson peut lire 20 millions de pages de publications médicales en 3 secondes. https://www.ibm.com/blogs/watson-health/watson-treatment-option/

[8] Avec ses outils Tone Analyser et Beat, Watson lui a fourni une liste d’inspirations qu’il a perçus comme tendance en analysant 26 000 chansons ainsi que les réseaux sociaux: https://www.ibm.com/watson/music/, https://tone-analyzer-demo.mybluemix.net/

[9] Chef Watson propose, à partir d’un aliment, une liste d’associations culinaires fondées sur des statistiques de synergie entre saveurs : https://www.ibmchefwatson.com/tupler

[10] Watson Talent Acquisition : https://www.ibm.com/watson/talent/talent-acquisition/. Similairement, l’entreprise Hire Vue propose aux entreprises un système de reconnaissance faciale capable de déceler les qualités recherchées chez un candidat. Depuis un an, l’entreprise Unilever a soumis 250 000 candidats à ce processus.

[11] Une partie de la communauté scientifique, avec Elon Musk pour chef de file, alerte sur les dérives de l’IA et plaide pour une régulation préventive. Dans une lettre ouverte du 27 juillet 2015, plus d’un millier de personnalités, dont Elon Musk, Stephen Hawking et Steve Wozniak, ont notamment réclamé l’interdiction des armes autonomes, capables « de sélectionner et de combattre des cibles sans intervention humaine ».

[12] Cette notion, envisagée depuis les années 1950, désigne le point au-delà duquel le développement des IA déclencherait des modifications imprévisibles (et dévastatrices) sur notre société, jusqu’à créer un super-intelligence dépassant de loin l'intelligence humaine.

[13] Tel est justement l’objet de la Résolution du Parlement européen du 16 février 2017 contenant des recommandations à la Commission concernant des règles de droit civil sur la robotique (2015/2103(INL)), dont les pistes de réflexion méritent d’être approfondies.

Marché public informatique

Janvier 2014 : Les nouveaux GTLD : enjeux et opportunités, Le Monde du Droit, Fiscal Online, Domaine.info

Les nouveaux GTLD : enjeux et opportunités, Le Monde du Droit, Fiscal Online, Domaine.info 

Avril 2010 : Le statut d'hébergeur refusé en application du critère économique, Gaz. Pal. Avr. 2012, juris. p.33. par Donatienne Blin

Le statut d'hébergeur refusé en application du critère économique, Gaz. Pal. Avr. 2012, juris. p.33. par Donatienne Blin

Droit du travail & numérique

PLEK : Le droit à la deconnexion

Le nouveau texte sur la Loi Travail intitulé « projet de loi visant à instituer de nouvelles libertés et de nouvelles protections pour les entreprises et les actif-ve-s » prévoit d’inclure un droit à la déconnexion dans le code du travail conformément aux recommandations du rapport Mettling.
Ce rapport a mis en lumière les dangers pour sur les salariés utilisant leurs outils numériques en dehors du temps de travail. Le projet de loi El Khomri (PLEK) anticipe et corrige l’impact du tout numérique. Il sensibilise les entreprises pour que soit assuré le respect des temps de repos et de congés des salariés. (Article 25)

 

LES PREMICES D’UNE REGULATION DES OUTILS NUMERIQUES


Aujourd’hui, la notion de droit à la déconnexion n’a pas d’existence propre dans le code du travail. Cependant, sous l’influence des nouvelles technologies, de nombreux employés, et notamment les cadres, restent connectés hors des heures de bureau. A ce jour, l’accord de branche des entreprises du numérique et du conseil (Syntec) est la seule à avoir validé ce droit. Dans son rapport, Monsieur Mettling, préconise la mise en place d’un devoir de déconnexion, dans les entreprises. Le DRH du groupe Orange insiste pour qu’il soit encouragé par la soft law (chartes, vademecum) et le dialogue social. Même si l’efficacité du travail s’est améliorée grâce au développement des outils numériques, l’utilisation intensive de ces technologies floute la frontière entre la vie professionnelle et la vie privée. Dans la pratique, de grands groupes ont déjà commencé à se pencher sur le sujet et à réguler l’usage de ces outils d’une manière qui reste plus ou moins ferme selon les entreprises.
 

LE PLEK ASSURE UN DROIT A LA DECONNEXION


Le texte du gouvernement  prévoit une discussion annuelle sur : 1/ les modalités d’exercice du droit à la déconnexion et 2/ sur la mise en place de dispositifs de régulation de l’utilisation des outils numériques. On note que ce sujet a été ajouté au contenu de la négociation annuelle sur l’égalité professionnelle entre femmes et les hommes et sur la qualité de vie au travail. Le gouvernement vise autant le respect des temps de repos et de congés que le respect de la vie personnelle et familiale. Par ailleurs, est mise en place une expérimentation nationale d’une durée de douze mois portant sur « l’articulation du temps de travail et l’usage raisonnable des messageries électroniques par les salariées » en dehors des heures de bureau. L’objet est d’élaborer des lignes directrices à destination des entreprises. Ces dispositions enteront en vigueur le 1 janvier 2017.
 

LE PLEK DONNE LA PAROLE A L’EMPLOYEUR


A défaut de pouvoir conclure un accord collectif, l’employeur établira unilatéralement les règles à mettre en place pour concrétiser ce droit à la déconnexion dans l’entreprise. Il définira lui-même ces modalités et les communiquera par tout moyen aux salariés. Dans les entreprises d’au moins cinquante salariés, une charte est prévue. La charte est élaborée après avis du comité d’entreprise ou à défaut, des délégués du personnel. Elle doit prévoir « notamment la mise en œuvre, à destination des salariés et du personnel d’encadrement et de direction, d’actions de formation et de sensibilisation à un usage raisonnable des outils numériques ».
 

UNE SENSIBILISATION NECESSAIRE MAIS DELICATE


Le PLEK est pragmatique. Du fait de la spécificité des entreprises, il donne directement la possibilité de négocier et d’atténuer les inconvénients des nouvelles technologies. Les entreprises pourront ainsi adapter les pratiques du travail à l’ère du numérique et sensibiliser les managers et les salariés. Conforme au rapport Mettling, la mise en place de ce droit se base davantage sur une prise de conscience collective que sur des solutions contraignantes. En effet, la commission des affaires sociales a retiré l’amendement visant à introduire une sanction en cas de non-respect de ce droit par un employeur. Cependant, le succès de la mesure n’est pas assuré, puisque à l’heure du « tout connecté », du travail à distance et du travail hors salariat, la frontière d’utilisation risque d’être difficile à tracer. C’est pour toutes ces raisons que le droit à la déconnexion doit être co-construit entre entreprise et salariés. 

Avril 2013 - L'encadrement juridique de l'utilisation de leurs équipements personnels par les salariés : www.indicerh.net, www.solutions-logiciels.com, www.info-utiles.com, par Donatienne Blin

L'encadrement juridique de l'utilisation de leurs équipements personnels par les salariés : www.indicerh.net, www.solutions-logiciels.com, www.info-utiles.com, par Donatienne Blin

Médiation, contentieux et expertise informatique

Février 2010 : Publier les moyens d'exploiter la vulnérabilité d'un SI constitue un délit : Gaz. Pal. Fév.2010, juris p.32 par Donatienne Blin

Publier les moyens d'exploiter la vulnérabilité d'un SI constitue un délit : Gaz. Pal. Fév.2010, juris p.32 par Donatienne Blin 

Juillet 2009 : L'accès aux codes sources : Gaz. Pal. Juil. 2009, juris p.37 par Donatienne Blin

L'accès aux codes sources : Gaz. Pal. Juil. 2009, juris p.37 par Donatienne Blin

Données personnelles de santé

Mars 2018 : Hébergement de données personnelles de santé : publication du décret précisant les modalités de la nouvelle procédure de certification

Traitement des données de santé : une nouvelle simplification des formalités préalables

Dans la perspective de l’entrée en vigueur du nouveau règlement européen sur la protection des données personnelles (RGPD), la CNIL vient d’annoncer une nouvelle simplification des formalités préalables obligatoires pour la mise en œuvre de certains traitements de données de santé.

Les données de santé de santé sont, rappelons-le, des données sensibles dont le traitement est par principe interdit. Lorsque ces traitements sont autorisés – parce que bénéficiant d’une exception légale – ils doivent, pour être licites, faire l’objet de formalités légales préalables (autorisation, déclaration normale, déclaration simplifiée, etc).

Or, la CNIL vient d’annoncer que les traitements de données de santé relevant des exceptions prévues à l’article 8 II de la loi Informatique et Libertés dont la mise en œuvre est aujourd’hui subordonnée à une autorisation de la CNIL, seront désormais soumis au régime de la déclaration.

Il s’agit notamment des traitements pour lesquels la personne concernée a donné son consentement exprès, ceux nécessaires à la sauvegarde de la vie humaine pour lesquels le consentement est impossible, les traitements portant sur des données rendues publiques, ou encore ceux relatifs à la médecine préventive, aux diagnostics médicaux, à l’administration de soins ou de traitements, ou à la gestion de services de santé. Les traitements statistiques et ceux nécessaires à la recherche, aux études et évaluation dans le domaine de la santé sont aussi concernés.

Cette vague de simplification avait été amorcée par la CNIL en 2016 par l’adoption des méthodologies de référence MR-001 et MR-003 simplifiant les formalités des traitements de données réalisés dans le cadre de nombreuses recherches dans le domaine de la santé. Elle concerne désormais de nombreux autres traitements, les dispositifs de télémédecine, les dossiers médicaux partagés ou encore les dispositifs d’éducation thérapeutique. Le régime de l’autorisation restera applicable aux traitements ne relevant pas des exceptions de l’article 8 II, mais présentant néanmoins un intérêt public.

Cette décision est bienvenue en ce qu’elle allège les démarches incombant aux responsables de traitements, favorisant ainsi l’innovation en matière de e-santé et évitant toute situation de blocage. Plus autonomes dans la mise en œuvre de leur traitement de données de santé, les responsables de traitements ne devront pas pour autant être moins vigilants quant à la protection des données traitées. Le respect des principes de Privacy by Design et de Privacy by Default, et la réalisation d’études d’impact sur la vie privée pour les traitements à risques s’inscrivent notamment au rang de leurs futures obligations.

A cet égard, la CNIL prévoir de diffuser « très prochainement de nouveaux outils clairs, synthétiques et accessibles au bénéfice de l’ensemble des professionnels de santé pour les accompagner dans la mise en œuvre de leurs traitements ».

L’article 47 du projet de loi de modernisation de notre système de santé, l’open data des données de santé ?

La révolution numérique concerne également le secteur de la santé.

Dans le prolongement du big data qui permet la valorisation des données collectées en masse, et de l’open data qui garantit le libre accès et la réutilisation des données d’origine publique par tous, l’article 47 du projet de loi relatif à la santé (dite « loi Touraine ») a introduit dans le Code de santé publique un titre intitulé « Mise à disposition des données de santé ».

Le gouvernement est parti du principe que les traitements liés à la collecte massive de données de santé par les professionnels de santé et l’analyse ciblée et intelligente de l’information en résultant pourraient permettre de mieux comprendre les pathologies, de déterminer les habitudes de consommation des médicaments, d’identifier les traitements qui fonctionnent et ceux qui sont inefficaces, d’orienter les axes de recherche dans le cadre des politiques de santé publique, ou encore de mieux gérer les dépenses de santé publique.

Avec cet article 47 « Mise à disposition des données de santé », l’objectif du gouvernement est donc de permettre l’exploitation à grande échelle des données de santé, dans l’intérêt de la collectivité.
 

Les enjeux liés à la sécurité des données de santé et au respect de la vie privée

Cet article 47 est probablement celui qui soulève le plus de polémiques dans le projet de loi. Les discussions ont été nombreuses au Parlement (celles-ci sont d’ailleurs encore en cours) compte tenu du sujet hautement sensible auquel il se rapporte : il s’agirait de centraliser et de mettre à disposition du public dans une unique base les données personnelles concernant la santé de 66 millions de français.

Il faut donc analyser ce projet d’article 47 en lien étroit avec l’article 9 du Code civil sur le respect de la vie privée, mais surtout avec la loi Informatique Fichiers et Libertés n°78-17 du 6 janvier 1978 relative à la protection des données personnelles (ci-après, la « loi Informatique et Libertés »), l’article 1er de cette dernière affirmant que « l’informatique (…) ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».

Le projet de créer une telle base, « l’une des plus importantes du monde » selon la ministre de de la Santé Marisol Touraine, et d’en permettre l’accès au public, pose la problématique de la sécurité et de la confidentialité des données de santé la composant, ces données étant qualifiées de « sensibles » au sens de la loi Informatique et Libertés.

Les données de santé obéissent à un régime spécifique plus contraignant que celui applicable aux autres données personnelles, tant en terme de collecte que lors de leur traitement, par principe interdits selon l’article 8 de la loi Informatique et Libertés (les exceptions y sont listées de manière exhaustive).

L’enjeu du gouvernement est donc de concilier ces dispositions légales protectrices consacrées par la loi Informatique et Libertés avec la nécessité de permettre l’accès et la valorisation des données de santé, en vue d’améliorer le fonctionnement de notre système de santé.
 

La création du « Système National des Données de Santé » ou la centralisation des données de santé dans une base unique 

Le projet d’article 47 du projet de loi relatif à la santé prévoit la mise en place d’un « Système National des Données de Santé » (SNDS).

Ce système centraliserait l’ensemble des fichiers de données de santé collectées notamment par les établissements de santé publics et privés, par les organismes d’assurance maladie (le fichier SNIIRAM) ou encore par la caisse nationale de solidarité pour l’autonomie des personnes handicapées. Le responsable de ce traitement au sens de l’article 3 de la loi Informatique et Libertés serait la Caisse Nationale d’Assurance Maladie des Travailleurs Salariés (la CNAMTS) .

Selon le projet de loi, le SNDS aurait notamment pour finalités de « contribuer à l’information sur la santé  », « à la mise en œuvre des politiques de santé », « à la connaissance des dépenses de santé », « à l’information des professionnels et des établissements sur leurs activités », ou encore, à « la recherche, aux études, à l’évaluation et à l’innovation dans les domaines de la santé ».

Compte tenu du risque d’identification directe des personnes, il est prévu que le SDNS ne contienne ni le nom ni le prénom ni même le numéro de sécurité sociale des personnes, en synthèse, aucune information permettant une identification directe. Les données permettant une ré-identification seront confiées à un organisme distinct, qualifié de « tiers de confiance », seul détenteur du dispositif de correspondance permettant de ré-identifier les personnes pour des cas précisément définis.


Les différents régimes d’accès au SDNS

Pour respecter les principes de confidentialité imposés par la loi Informatique et Libertés, le projet d’article 47 prend soin de distinguer, dans le cadre de l’accès aux données contenues dans ce SNDS, (i) les données personnelles rendues entièrement anonymes (ii) des autres données personnelles de santé, potentiellement identifiantes.

S’agissant des données complètement anonymes, elles seront accessibles et réutilisables par tous gratuitement, sous forme de statistiques agrégées : c’est le concept de l’open data. S’agissant en revanche de la deuxième catégorie (les données présentant un risque de ré-identification directe ou indirecte), elles obéiraient à un régime spécifique et beaucoup plus contraignant.
  • L’accès ne serait autorisé que pour permettre des traitements : o (i) réalisés à des fins de recherches, d’étude ou d’évaluation contribuant à l’une des finalités précisées ci-dessus et répondant à un motif d’« intérêt public », qu’il faudra donc pouvoir démontrer et justifier précisément, ou o (ii) pour les besoins des missions des services de l’Etat, des établissements publics ou des organismes chargés d’une mission de service public. 
     
  • Pour le (i), le traitement ne serait possible qu’après une procédure de requête spécifique impliquant notamment l’autorisation de la CNIL et l’avis de l’Institut National des Données de Santé (organisme remplaçant l’actuel Institut des Données de santé, aux missions plus élargies). Ce dernier aura le rôle de « guichet unique », notamment en charge de l’évaluation du motif « d’intérêt public »
     
  • Ces données seront payantes afin que les demandeurs contribuent au coût de l’infrastructure mise en place par la puissance publique pour assurer leur sécurité.

 

Les mesures permettant la protection des droits des personnes

Conformément aux dispositions de la loi Informatique et Libertés, il est prévu plusieurs « gardes fous » pour protéger la vie privée, garantir la sécurité et la confidentialité des données du SNDS et des traitements utilisant ces données, notamment :

•    Un référentiel de sécurité garantissant la confidentialité, la traçabilité et l’intégrité des données. Celui-ci devra être défini par le demandeur et approuvé par la CNIL au préalable ; 
  • Aucune décision ne pourra être prise à l’encontre d’une personne physique identifiée sur le fondement des données la concernant ;
     
  • Le système ne pourra pas avoir pour finalités (i) la promotion des produits autorisés par l’ANSM ni (ii) l’exclusion de garantie des contrats d’assurance ou la modification de cotisations ou de primes d’assurance en fonction de l’état de santé d’un individu ;
     
  • Enfin la CNIL, qui devrait déjà voir ses pouvoirs de sanctions renforcés avec le règlement européen sur la protection des données personnelles, voit également ici avec ce projet d’article 47 ses pouvoirs élargis, notamment pour l’autorisation préalable à la mise en œuvre des traitements.
Compte tenu de ces précautions, l’accès aux données potentiellement identifiantes devrait donc être cantonné à des cas limités et soumis à des conditions contraignantes. Les rédacteurs du projet de l’article 47 semblent avoir veillé au respect des droits des personnes. Reste à déterminer si en pratique, ces mesures seront suffisantes. Il faudra notamment rester vigilant sur la qualification in concreto de l’« intérêt public », sur la garantie de l’anonymat, sur la non réutilisation des données à des fins commerciales et sur l’indépendance des membres composant l’Institut National des Données de Santé chargés de donner leurs avis à la CNIL.

Donatienne Blin 
Avocat à la Cour 
SEA AVOCATS
Département Industries de l’intelligence