fbpx
skip to Main Content

Données et sécurité, par Clara Hainsdorf

Partage, accès et transferts de données personnelles : un enjeu politique et économique majeur.

C’est un constat sans appel, notamment dans le domaine de la santé : la collecte et l’exploitation des données de santé sont et resteront essentielles dans la lutte contre les pandémies. Ainsi, l’Organisation Mondiale de la Santé, soutenue par le Conseil Européen, a proposé l’adoption d’un traité mondial sur les pandémies qui servirait de base à l’instauration d’un système d’échange international de données. C’est également le sens de la résolution adoptée en octobre dernier par la Global Privacy Assembly (GPA) sur le partage des données pour le bien commun : un groupe de travail a été instauré pour rendre un rapport d’ici fin 2022 sur les moyens de concilier la protection de la vie privée et le partage des données, notamment des données de santé.

Cette recherche d’équilibre entre vie privée et partage de données est cruciale tant la défiance des populations est grande. En effet, aux Etats-Unis, 52% des américains seraient prêts à partager leurs données de santé pour aider la recherche, mais 58% d’entre eux reconnaissent ne pas être confiants quant à la sécurité ou la confidentialité des applications développées par l’Etat. S’il existe un impératif de sécurité nationale et de sécurité publique incontestable, celui-ci ne saurait toutefois justifier un accès disproportionné aux données à caractère personnel collectées et détenues par les organismes privés.

Le Cloud Act, qui permet au gouvernement américain d’accéder sur réquisition aux données stockées par des entreprises américaines sur des serveurs situés hors des Etats-Unis, avait déjà suscité de vives inquiétudes. En Europe, depuis l’arrêt Schrems II (CJCE, C-311/18, 16 juillet 2020), les régulateurs conditionnent l’utilisation des Clauses Contractuelles Types (CCT) pour l’export de données vers un pays tiers, à la vérification de la législation dudit pays, et notamment à l’évaluation du risque d’accès aux données transférées par les autorités publiques de ce dernier. En Chine, la loi sur la protection des données, adoptée le 20 août 2021, encadre les transferts internationaux de données encore plus strictement que le RGPD. C’est dans ce contexte de protection que la GPA a adopté une résolution pour le respect de la vie privée en cas d’accès par un gouvernement à des données personnelles détenues par un acteur du secteur privé : les gouvernements ne peuvent accéder auxdites données que dans le strict respect des principes de proportionnalité, de nécessité et de transparence. Un tel accès doit également faire l’objet d’un contrôle par une autorité indépendante, être préalablement approuvé par l’autorité judiciaire et garantir un recours effectif aux individus concernés.

Ce rôle de protection des données personnelles incombe aux Etats et se voit renforcé lorsqu’il s’agit de la protection des personnes les plus vulnérables et plus particulièrement des mineurs. Les enfants sont en effet directement menacés par leur inconscience de l’existence des mécanismes de traçage et de surveillance en ligne. En juin 2021, la CNIL avait déjà publié 8 recommandations pour renforcer la protection des mineurs en ligne. Dans le cadre de la GPA, la CNIL a renouvelé son engagement à l’égard des mineurs en co-signant une résolution du GPA sur la nécessité d’implémenter des mécanismes de protection spécifiques impliquant une coopération des quatre acteurs en jeu : les enfants, leurs parents, l’Etat et les plateformes. Ces dernières devraient permettre aux enfants de prendre part activement à la protection de leurs données, par la mise en place de mécanismes de réclamation intuitifs et simples d’utilisation et par la mise à disposition d’information adaptées. Les hébergeurs et les responsables de traitements des données sont enjoints à ne collecter que des données basiques, nécessaires au service et à ne pas transférer ou réutiliser celles-ci à des fins commerciales. Cette résolution fait également écho à la loi française n°2020-1266 du 19 octobre 2020 relative à l’exploitation commerciale de l’image d’enfants de moins de 16 ans sur les plateformes en ligne, qui vise à encadrer et protéger ces enfants mineurs influenceurs, menacés par leur exposition sur le devant de la scène. Le groupe de travail international sur l’éducation au numérique, piloté par la CNIL, s’est engagé à accompagner la mise en œuvre opérationnelle de cette résolution.
Si les résolutions de la GPA rappellent donc l’importance d’encadrer les accès et transferts de données à caractère personnel, il faut espérer que la mise en place de ces résolutions sera limitée au strict nécessaire, au risque de restreindre considérablement la circulation primordiale des données dans certains secteurs, comme celui de la santé, ainsi que les investissements étrangers.

Par Clara Hainsdorf, associée du cabinet White & Case, partenaire du Club des juristes.

Back To Top
×Close search
Rechercher