L’édito de la Lettre juristendance Informatique et libertés de mars-avril décrypte les mesures prises par les autorités européennes suite à l’affaire Prism relative au programme de surveillance mis en place par les Etats-Unis permettant à la NSA (National Security Agency – l’agence nationale de sécurité américaine) de collecter les communications électroniques mondiales échangées sur les services en ligne.
Dans le cadre du projet de règlement européen pour la protection des données à caractère personnel, le Parlement européen a ainsi proposé l’introduction d’un contrôle préalable des autorités de protection sur les demandes d’accès aux données relatives à des citoyens européens adressées à des entreprises par des autorités administratives et judiciaires de pays tiers. En ce qui concerne le projet de partenariat transatlantique pour le commerce et l’investissement entre l’Union européenne et les Etats-Unis, il a par ailleurs adopté, le 12 mars 2014, une résolution affirmant que son approbation de cet accord de libre-échange serait liée à l’arrêt par la NSA de ses activités de surveillance massive des citoyens européens.
La directive 2006/24/CE relative à la conservation des données de connexion a en outre été déclarée contraire aux articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne par la Cour de Justice de l’Union Européenne (CJUE). Aux termes d’un arrêt du 8 avril dernier, il a en effet été jugé que la directive, en autorisant la surveillance d’ensemble des données de communications par les Etats, ne limite pas l’impact sur les droits fondamentaux à ce qui est strictement nécessaire.
La lettre juristendance Informatique et libertés de ce mois analyse également une décision de la Cour d’appel de Bordeaux rappelant que des sanctions pénales sont encourues en cas de non-respect des dispositions de la loi Informatique et libertés. Des plaintes avaient été déposées auprès de la Cnil de personnes dont les noms et coordonnées étaient publiés dans des annuaires en ligne sans q’elles aient pour autant communiqué leurs coordonnées postales ou téléphoniques aux responsables de ces sites, ni autorisé leur mise en ligne.
Suite à la saisine du Ministère public par la Cnil, l’OCLCTIC (Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication) avait effectué les vérifications nécessaires à l’enquête. La Cour d’appel de Bordeaux, par arrêt confirmatif, a condamné le responsable des sites en cause, à raison notamment de la collecte de données à caractère personnel par des moyens frauduleux, déloyaux ou illicites, de traitement de données à caractère personnel malgré l’opposition légitime de la personne concernée.
Le FAQ juristendance dresse un état des techniques d’anonymisation, des techniques susceptibles de constituer un traitement au sens de la loi Informatique et libertés, dans la mesure où des données à caractère personnel ont été initialement collectées.
Lettre juristendance Informatique et libertés N°56 Mars-avril 2014.