Vie privée et sécurité La recherche en droit à UT1C Céline Castets-Renard Professeur, Université Toulouse Capitole Membre de l’Institut Universitaire de France

I. Quelques remarques en droit sur le thème du chantier De nouvelles approches scientifiques : pour concilier les deux principes de sécurité et de respect de la vie privée. Il convient donc de : développer des technologies qui protègent la vie privée sans menacer la sécurité et développer des technologies de sécurité sans impact sur les libertés individuelles. Il convient aussi de confronter les solutions et les pratiques utilisées dans différents domaines d'application, dans un objectif d'enrichissement mutuel.

1. Sécurité informatique et respect de la vie privée : des intérêts convergents Lien sécurité informatique et vie privée : Obligations légales de sécuriser les données personnelles Pseudonymisation, anonymisation Notification des failles de sécurité

1) Obligations légales de sécuriser les données personnelles (loi 78, dir. 95/46/CE, règlement 2016/679/UE) Enjeux : susciter la confiance qui permettra à l'économie numérique de se développer dans l'ensemble du marché intérieur Les personnes physiques devraient avoir le contrôle des données à caractère personnel les concernant La sécurité tant juridique que pratique devrait être renforcée pour les personnes physiques, les opérateurs économiques et les autorités publiques

2) Chiffrement, pseudonymisation, anonymisation Art. 32§1 règlement 2016/679/UE : obligation de sécurité des données Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins: a) la pseudonymisation et le chiffrement des données à caractère personnel «pseudonymisation» : définition le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable;

3) Notification des failles de sécurité et DP Règlement UE 2016/679 sur la protection des données personnelles. Entrée en vigueur en mai 2018 (art. 31) Art. 33 : obligation de notifier les failles de sécurité à l’autorité de contrôle (CNIL) sauf si pas de risques pour les droits et libertés des personnes physiques. Indique notamment : - nature de la violation - conséquences probables de la violation - mesures prises Art. 34 : notification à la personne concernée si risques élevés d’atteinte à sa vie privée et droits fondamentaux Mêmes informations Mêmes obligations à la charge du sous-traitant

Notification des failles et sécurité des OIV La cybersécurité des opérateurs d’importance vitale (OIV) Loi n° 2013-1168 de programmation militaire promulguée le 19 décembre 2013 : article 22 prévoit l’adoption de mesures de renforcement de la sécurité des opérateurs d’importance vitale (OIV) et confère à l’ANSSI de nouvelles prérogatives : mesures de sécurité et des contrôles de leurs systèmes d’information les plus critiques (SIV). De plus, l’article 22 rend obligatoire la déclaration des incidents constatés par les OIV sur ces systèmes (failles de sécurité) Sécurité informatique : loi Godfrain (art. 323-1 à 323-8 du Code pénal)

2. Des technologies qui protègent la vie privée : menace sur la sécurité ? Controverses sur la cryptologie : Loi n° 90-1170 du 29 décembre 1990 : accès à la cryptologie mais régimes stricts d’autorisation et de déclaration. Obstacle au commerce électronique donc ouverture avec la loi n° 2004°575 dite LCEN du 21 juin 2004 = libéralisation Ex. whatsapp. Atteinte aux intérêts de l’Etat, lutte contre le terrorisme : dans quelle mesure l’Etat contraint les équipementiers et prestataires de services de cryptologie à l’ouverture des données chiffrées ? Coopération ? Back door ? Actions en justice (Etats-Unis), San Bernardino, affaire de drogue Capacité de l’Etat à accéder aux données ? Etat français (ANSSI, DGSI/DGSE), Etats-Unis, NSA et NIST En France, annonce le 22 août 2016 du ministre B. Cazeneuve : le contenu des échanges est illisible pour les enquêteurs. Affaiblir les systèmes de chiffrement ébranle l’ensemble du dispositif

II. Recherche menée en droit et objectifs du chantier L'objectif de ce chantier est : de partager les connaissances et les expertises dans ce domaine, au niveau des besoins, des verrous et des solutions et de réfléchir collectivement sur des pistes de recherche prioritaires et de nouvelles méthodes et techniques pertinentes pour différents domaines d'application. L'objectif est aussi de renforcer les synergies Recherche-Formation- Industrie

1) Données personnelles interdépendantes Tentative de définition Exemples Lacune légale 3 cas de figure Pas de lacune législative Lacune législative pas souhaitable de légiférer (périmètre trop large ou prématuré) Lacune législative et souhaitable de légiférer Travail de Thibault Brunel ancien étudiant du Master 2 Droit et Numérique, UT1C au CNRS LAAS (TSF)

2) Transparence algorithmique Art. 22 : mesures fondées sur le profilage et décisions individuelles 1.   La personne concernée a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire. 2.   Exceptions : a) décision nécessaire à la conclusion ou à l'exécution d'un contrat entre la personne concernée et un responsable du traitement; b) décision est autorisée par le droit de l'Union ou le droit de l'État membre c) décision est fondée sur le consentement explicite de la personne concernée. 3.   le responsable du traitement respecte le droit de la personne concernée d'obtenir une intervention humaine de la part du responsable du traitement, d'exprimer son point de vue et de contester la décision. Gouvernance des algorithmes / politique des algorithmes Travaux avec INSA et TSE (statisticiens-mathématiciens)

Rendre compte des règles (accountability) LOI n° 2016-1321 du 7 octobre 2016 « Pour une République numérique » dite loi Lemaire Article 4 : Nouvel article L. 311-3-1 du Code des relations entre le public et l’administration : «une décision individuelle prise sur le fondement d'un traitement algorithmique comporte une mention explicite en informant l'intéressé. Les règles définissant ce traitement ainsi que les principales caractéristiques de sa mise en œuvre sont communiquées par l'administration à l'intéressé s'il en fait la demande. « Les conditions d'application du présent article sont fixées par décret en Conseil d'Etat. »

Transparence de l’administration ART 6 Loi Lemaire « Art. L. 312-1-3.-Sous réserve des secrets protégés en application du 2° de l'article L. 311-5, les administrations mentionnées au premier alinéa de l'article L. 300-2, à l'exception des personnes morales dont le nombre d'agents ou de salariés est inférieur à un seuil fixé par décret, publient en ligne les règles définissant les principaux traitements algorithmiques utilisés dans l'accomplissement de leurs missions lorsqu'ils fondent des décisions individuelles. » Ex. Admission Post Bac ?

Transparence des plateformes Article 49 de la Loi Lemaire I. - Le livre Ier du code de la consommation est ainsi modifié : « Art. L. 111-7. - I. - Est qualifiée d'opérateur de plateforme en ligne toute personne physique ou morale proposant, à titre professionnel, de manière rémunérée ou non, un service de communication au public en ligne reposant sur : « 1° Le classement ou le référencement, au moyen d'algorithmes informatiques, de contenus, de biens ou de services proposés ou mis en ligne par des tiers ; « 2° Ou la mise en relation de plusieurs parties en vue de la vente d'un bien, de la fourniture d'un service ou de l'échange ou du partage d'un contenu, d'un bien ou d'un service. « II. - Tout opérateur de plateforme en ligne est tenu de délivrer au consommateur une information loyale, claire et transparente sur : « 1° Les conditions générales d'utilisation du service d'intermédiation qu'il propose et sur les modalités de référencement, de classement et de déréférencement des contenus, des biens ou des services auxquels ce service permet d'accéder (…) Un décret précise les conditions d'application.

Merci de votre attention. celine. castets@ut-capitole. fr www Merci de votre attention ! celine.castets@ut-capitole.fr www.castetsrenard.org Twitter : @CastetsRenard