[data] e-Privacy v2 RGPD utilisation des capacités de traitement-stockage du terminal (Conférence Paris II du 19 février 2018)

[mis à jour le 6 mars 2018] Lorsque le Master 2 pro DMI organise un colloque sur le (prochain ?) Règlement « e-Privay » relatif à la vie privée et aux communications électroniques ? Il faut y aller ! Pourquoi ? Mais voyons… le projet annoncé de RGPD-GDPR spécial « communications électroniques »… A 90 jours de l’entrée en vigueur de la GDPR… Et lorsque les étudiants de DMI – Droit du Multimédia et de l’Informatique – (le titre date un peu, non?) me font l’honneur de me demander de venir leur exposer l’article 8 en version 2 du projet « e-Privacy », j’accours volontiers. Et comme les étudiants m’ont fait promettre de venir avec une présentation en BD… Vous trouverez dans le slider ci-dessous la présentation « utilisation des capacités de traitement-stockage du terminal » pour le colloque du 19 février 2018. Et comme toujours, juste après les slides, un résumé littéraire pour les littéraires. Ah oui, petit rappel, la première version du projet de Règlement « e-Privacy » datait du 20 janvier 2017, la version 2 du projet « e-Privacy » date du 20 octobre 2017. La version finale n’est pas annoncée avec une date prévisible…

Pour un compte rendu de l’ensemble de cette matinée – fort instructive – cliquez sur www.blog-dmi.com/compte-rendu-conference-le-reglement-e-privacy-un-marche-unique-des-donnees/


Capacités de traitement-stockage du terminal : les définitions

« équipement terminal »

Ne cherchez pas dans « e-Privacy », la définition date de 2008 (art. 1.1 Directive 2008/63). Cette définition reste parfaitement d’actualité.

capacités de traitement-stockage


« capacités de traitement » d’un terminal ?

Pas de définition légale ? Mais une définition technique qui laisse planer peu de doute : si le CPU de votre terminal fonctionne en utilisant la batterie interne (ou une connexion à un fournisseur d’énergie (le courant électrique pour le dire simplement), il y a manifestement usage des capacités de traitement.

capacités de traitement-stockage


« Capacités de stockage » d’un terminal ?

Pas de définition légale non plus. Le stockage, c’est la mémoire (vive, morte, programmable, etc.) de votre terminal.

capacités de traitement-stockage


Petit rappel : données de « contenu » vs « métadonnées »

Impossible de faire l’impasse sur ce rappel.

Le contenu, c’est ce que vous mettez dans l’enveloppe, le texte de vos messages électroniques… C’est la protection du secret des correspondances…

capacités de traitement-stockage


Les métadonnées des communications électroniques sont l’essence même de ce projet de règlementation. Les métadonnées sont les données techniques qui permettent de transférer des communications électroniques d’un terminal vers un autre terminal. Ce sont toutes les données techniques qui ne sont pas du « contenu » (le « quoi ») mais qui permettent d’adresser ce « contenu » à son destinataire (Qui ? Quand ? Ou ? Comment ?).

capacités de traitement-stockage


capacités de traitement-stockage


Capacités de traitement-stockage du terminal : le principe d’interdiction

capacités de traitement-stockage


Capacités de traitement-stockage du terminal : les dérogations à l’interdiction

Comme dans la GDPR, l’option est simple : AVEC ou SANS consentement ?

capacités de traitement-stockage


Oui, avec le consentement, des tas de cas d’usage des métadonnées peuvent être envisagés…

capacités de traitement-stockage


Dans la version v1 du 10 janvier 2017, il y avait trois exceptions permettant l’utilisation des capacités de traitement-stockage du terminal d’un « User ». 

capacités de traitement-stockage


Soyons moins hypocrites que les rédacteurs de ce projet de texte : « nécessaire pour fournir un service demandé par l’utilisateur« , c’est la même chose qu’un traitement sans consentement « nécessaires à l’exécution d’un contrat » au sens de l’article 6.1 (b) de la GDPR.

En plus de ces trois cas, la version 2 de « e-Privacy » introduit deux dérogations additionnelles.

capacités de traitement-stockage


Capacités de traitement-stockage du terminal : la « collecte d’informations provenant d’un terminal »

C’est sur ce point que l’on réalise combien ce projet de Règlement pousse à son paroxysme le concept de protection de l’utilisation « cachée » d’un terminal.

capacités de traitement-stockage


Capacités de traitement-stockage du terminal : le « traitement d’informations émises par un terminal »

capacités de traitement-stockage


Le texte de l’UE suggère fortement de faire une distinction entre les informations « demandées » à un terminal de celles transmises « spontanément » par ce même terminal. On pensera ici par exemple aux données de recherche de connexion Wi-Fi d’un smartphone… 

On pourrait espérer que l’UE encadre à l’identique les données « émises » par un terminal de celles « transmises » par un terminal… Il n’en est rien. Pour les « informations émises par », il est possible de déroger AVEC consentement, ou SANS consentement (pour établir la connexion). Reste une troisième hypothèse fondée sur les « risques atténués » que je serai bien en peine de vous expliquer…

capacités de traitement-stockage




Une conclusion sur l’utilisation des capacités de traitement-stockage du terminal ?

capacités de traitement-stockage


Les techniques d’utilisation des capacités de traitement-stockage du terminal ?

C’est le point franchement compliqué et essentiel pour comprendre les enjeux de cette réglementation. Il faut connaitre / comprendre les cookies / tokens / pixel invisibles / empreintes numériques / etc. Et là, heureusement M. Judicaël Phan, ex-Critéo et actuel DPO d’Ubisoft nous a éclairé ! S’il l’accepte comme je le lui ai proposé, attendez vous à une prochaine présentation (en BD bien sûr) sur ce thème précis. Pour comprendre (enfin…).

capacités de traitement-stockage


 

capacités de traitement-stockage


capacités de traitement-stockage