CNIL,lignes directrices du 04/07/2019 la notion de terminal dans l’article 1

CNIL,lignes directrices du 04/07/2019 la notion de terminal dans l'article 1 de la délibération, et l'article 82 de la Loi informatique et liberté complétée par le RGPD
  • Propos introductifs :

Dans cet article, nous vous proposons un commentaire de l’article 1 de la délibération CNIL numéro 2019-0 93 du 04/07/2019, qui a fixé le champ d’application de nouvelles lignes directrices relatives à l’application de l’article 82 de la loi du 06/01/78 modifiée, aux opérations de lecture ou écriture dans le terminal d’un utilisateur.

Le présent article, peut être lu de manière indépendante mais il fait partie d’une présentation plus globale d’un article intitulé : « CNIL-cookies et traceur, consentement, délibération du 04/07/2019, comment appliquer correctement les nouvelles lignes directrices et s’en sortir. » qui commente l’ensemble des articles.

 Vous trouverez donc ici le premier commentaire de notre série pour l’article 1   des nouvelles lignes directrices.

 Mais vous pouvez retourner sur l’article général, en cliquant sur le lien ci-dessus :

 A la fin de l’article vous trouverez aussi les liens pour vous rendre sur le commentaire de tous les autres articles de cette délibération du 4/7/2019.

Nous commentons donc ici les informations de l’article 1 concernant l’accès au « Terminal » de l’utilisateur.

        L’accès au terminal d’un utilisateur est soumis au respect de l’article 82 de la loi informatique et libertés (anciennement l’article32-II de cette même loi)

Cet article 82, pose des conditions de fond incontournables à respecter, et c’est tout l’objet de la délibération du 4 juillet 2019 que d’expliquer comment appliquer ces dispositions autonomes et spécifiques qui se cumulent avec certaines exigences du RGPD concernant notamment :

L’application du consentement préalable à l’utilisation du son terminal par l’internaute.

Etant bien précisé que par ailleurs les éventuels traitements de données ultérieurs à caractère personnel qui vont utiliser les données collectées « via les opérations de lecture écriture », devront bien sûr, respecter en tant que tel le RGPD.

Les progrès de la technologie évoluent beaucoup plus vite que la réglementation et les définitions en procédant :

         La Directive 2002/58/C Du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques même modifiées par la Directive 2009 dite directive (e-Privacy),

ET

         La Directive 2008/63/C/E relative à la concurrence dans les marchés des équipements terminaux de télécommunications,

Définissent des « termes techniques » en l’occurrence l’équipement, ou équipement terminal, ou cookies, qui sont généraux et qui peuvent avoir besoin d’ être réactualisés par rapport aux progrès de la technologie pour permettre justement à tous les utilisateurs de l’écosystème du « traçage et/ou de la récolte de flux de données », dans le contexte où cette réglementation doit s’appliquer de manière uniforme sur l’ensemble du territoire de l’union européenne, de se situer, et d’organiser ensemble leurs interactions économiques qui passent par la signature de contrats pour que :

Fabricants de technologies,

Responsables de traitement,

Sous-traitants utilisant les informations relevées par ces technologies,

Puissent offrir, et ce sur l’ensemble du territoire de l’Union européenne le même niveau de garanties et de conformité.

Or, depuis les années 2002 et 2008 jusqu’à aujourd’hui, les technologies « du traçage informatique au sens très large » ont notablement évoluées, et il était important de pouvoir en recadrer le contexte d’application pour que sur l’ensemble du territoire européen les droits des personnes concernées par ces traitements soient garantis de la même manière.

L’article 82 de la loi informatique et libertés, reprend l’exact libellé de l’ancien article 32-II pour préciser que :

 « Tout abonné ou utilisateur d’un service de communication électronique doit être informé de manière claire et complète sauf s’il l’a été au préalable par le responsable du traitement ou son représentant :

        De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communication électronique, ou à y inscrire des informations dans cet équipement. »

Lors de la codification initiale, article 32-II précité, la notion de terminal de communication électronique n’avait pas fait l’objet d’une définition particulière sauf à renvoyer à la définition de l’article 1 de la directive du 20 juin 2008 rédigée plus sous le prisme de l’organisation à la concurrence sur le territoire européen dans les marchés des équipements terminaux de télécommunications que celui d’un contexte de protection des données.

À l’époque également, lorsque la CNIL va écrire sa recommandation du 5 décembre 2013 sur les directives relatives aux cookies et autres traceurs, elle le fait par rapport au contexte des technologies existantes sans forcément s’appesantir sur des définitions notamment celles sur le « Terminal ».

Près de 6 ans après cette recommandation de 2013, le contexte de la mise en œuvre technologique des « cookies » et « traceurs »,  s’est particulièrement sophistiquée notamment par le développement des applications mobiles et de tous les procédés de Géolocalisation participant du « tracking », avec  l’idée globale de « suivre quelque chose » !!! 

La CNIL va donc considérer qu’au regard des enjeux pour les droits et libertés des personnes concernées quant à la conséquence de la mise en œuvre de l’utilisation des informations stockées sur leurs équipements terminaux liés au couplement entre « système de télécommunications » et « équipement terminal de traitement de données » (ETTD et leur déclinaisons), il était sans doute urgent de bien savoir se situer lorsque l’on parle d’équipement terminal.

2) Commentaire : Article 1(Délibération CNIL du 04/07/2019) : La clarification concernant la définition de l’équipement terminal qui reçoit le cookie et/ou fait l’objet d’un traçage.

La CNIL confirme que l’accès et l’utilisation de l’équipement terminal reste définit par l’article 1 de la directive 2008/63/CE soit :

Tout équipement qui est connecté directement ou indirectement à l’interface d’un réseau public de télécommunications pour transmettre, traiter ou recevoir des informations ; 

Dans les 2 cas, directe ou indirecte, la connexion peut être établie par fil, fibre optique ou voie électromagnétique ; une connexion est indirecte si un appareil est interposé entre l’équipement terminal et l’interface du réseau public.

 Le Terminal ainsi définit se trouve protégé par l’article 82 de la loi informatique et libertés. (Texte fondateur et de référence)

En 2008 le terme employé de « équipement qui est connecté » pouvait encore apparaître comme « peu ou moyennement signifiant », aujourd’hui la référence revêt des enjeux importants et renvoi maintenant à une notion connue du grand public qui est l’objet connecté, (Internet des objets ou IoT ou Objet Intelligent Connecté OIC), mais dont l’utilisation encore en 2013, et très certainement en 2002 et 2008, n’était pas aussi répandue qu’aujourd’hui.

Donc pour la CNIL en 2019, doit être considéré comme un équipement terminal, et l’on peut considérer que sa liste en article 1 § 4 est purement énonciative et indicative :

        Une tablette,

        Un mobile multifonction (Smartphone),

        Un ordinateur fixe ou mobile,       

        Une console de jeux vidéo,  

        Une télévision connectée,

        Un véhicule connecté

        Un assistant vocal,

        Ainsi que tout autre objet connecté à un réseau de télécommunications ouvertes au public,

Donc tout objet connecté (IoTOIC), quel qu’il soit doit être considéré comme un terminal qui doit respecter l’article 82 de la loi informatique et libertés, donc   la lecture ou l’écriture d’information dans ce terminal qu’est l’IoT doit être autorisé par son propriétaire et/ou utilisateur indépendamment du traitement de données en procédant.

Nous rajoutons là encore à titre d’information et pour des exemples à méditer pour le responsable de traitement que constitue dès lors aussi un « terminal » :

L’imprimante connectée,

Capteur de toute nature constitué en système d’acquisition de données (Définition Wikipédia),

Mini traceur GPS, et tout système de géolocalisation,

D’une manière générale tout objet (OiT) relevant de la « domotique » !

  • Le miroir connecté,
  • Le frigo connecté, etc !!!!

Donc premier réflexe à avoir pour le responsable de traitement qui utilise notamment des objets connectés, sera de vérifier et ce dès aujourd’hui notamment :

 Sa politique d’information cookies,

Sa politique générale de traitement des données,

Et de renseigner si nécessaire son registre des traitements selon une rubrique particulière et adaptée,

Et bien sûr comme on le verra avec le décryptage de la lecture de l’article 2 de recueillir le consentement de l’utilisateur du terminal pour lire les données générées par l’Iot.

La CNIL en profite pour « rénover » aussi la liste de toutes les « formes » technologiques permettant l’accès aux informations du terminal également concernées par la réglementation de l’article 82.

Elle complète l’énumération  de 2013 pour tenir compte là aussi des progrès de la technologie du traçage au sens large puisque :

Dans sa recommandation de 2013 elle considérait que l’utilisation des procédés suivants était soumise à l’ancien article 32-II soit :

        Cookies http,

        Elle rajoutait, en l’état des connaissances actuelles, les « local shared objets », à l’époque appelée aussi parfois cookies flash,

        Les pixels invisibles, ou web Bugs,

        Les identifications par calcul d’empreintes du terminal ou encore les identificateurs cachés,

Tous ces procédés relevaient de la « désignation générale » dite cookie.

Concernant l’énumération de 2019 la CNIL reprend la définition ci-dessus en rajoutant :

Le « local storage » mis en œuvre au sein du HTML5,

En 2013 déjà, la CNIL assimilait aux cookies toute identification par calcul d’empreintes du terminal.

Se révèle une distinction sémantique entre cookies et traceurs, ou le second tend à devenir un concept « autonome » pour souligner que :

        Toute identification par calcul d’empreintes du terminal,

+

        Les identifiants générés par les systèmes d’exploitation et collectée comme tels qu’ils soient publicitaires ou non : IDFAIDFVAndroid ID,

+

        Les identifiants matériels : adresse Macnuméro de série ou tout autre identifiant d’un appareil,

= « Traceurs », et ils sont soumis à l’ensemble des dispositifs visés par l’article 82 de la loi informatique et libertés.

Par ailleurs la CNIL reprend ici une recommandation de 2013 dans la rédaction de son précédent article 1 :

        « La réglementation de l’article 82 (avant article 32-II) s’applique même si l’utilisation du terminal collecte des données à caractère personnel ou pas ».

Dans les 2 cas l’utilisateur du « traceur » doit faire l’objet d’une information préalable à l’obtention de son consentement.

A retenir concernant les nouvelles lignes directrices de l’article 1 de la délibération du 04/07/2019 :

Une définition très large du terminal parmi lesquels se trouvent les Iot ou objets connectés qui doivent inclure dans leur police de traitement cookies et données personnelles le respect de l’article 82 de la Loi informatique et libertés

Justement pour savoir comment et dans quelles conditions recueillir le consentement de l’utilisateur du terminal nous vous donnons rendez-vous sur le lien suivant pour le commentaire de l’article 2.

Rédigé à Marseille Le 09/08/2019

 Véronique Rondeau– Abouly

Avocat à Marseille : Déléguée à la protection des données (DPO externe)

La rédaction de cet article a été conçue et organisée pour vous soumettre des informations utiles, des axes de réflexion pour une utilisation personnelle ou à visée professionnelle.

Il est mis à jour régulièrement mais dans un contexte réglementaire et jurisprudentiel évoluant, nous soulignons que nous ne pouvons être responsable de toute péremption du contenu, ou de toute erreur juridique et/ou inexactitude qui pourrait se révéler en fonction de l’évolution,  le lecteur voudra bien considérer qu’en tout état de cause pour une application personnalisée chaque cas est unique et que bien sûr le cabinet reste à votre disposition si vous avez une question précise à poser en lien avec cet article, nous nous ferons un plaisir de collaborer avec vous, n’hésitez pas à prendre contact ou à nous téléphoner.    

Nous vous proposons aussi: 

https://www.cabinetrondeauabouly.fr/details-cnil+le+consentement+aux+cookies+et+traceurs+l+article+2+de+la+deliberation+du+04+07+2019+fixe+les+nouvelles+lignes+de+l+application+pour+rester+conforme+au+rgpd-130.html

      https://www.cabinetrondeauabouly.fr/details-cnil+rgpd+et+responabilite+des+acteurs+du+traitement+que+doivent+contenir+les+nouveaux+contrats+des+responsables+de+traitement+des+sous-traitants+et+des+responsables+conjoints+de+traitements+en+matiere+de+cookies+et+traceurs+-131.html 

https://www.cabinetrondeauabouly.fr/details-cnil+rgpd+et+parametres+du+terminal+pour+la+gestion+des+cookies+et+autres+traceurs+dans+ses+recommandations+de+la+deliberation+du+04+07+2019+la+cnil+rappelle+en+article+4+le+contexte+legal-132.html


https://www.cabinetrondeauabouly.fr/details-cnil+rgpd+et+cookies+traceurs+d+audience+et+traceurs+necessaires+a+la+communication+ou+au+service+nouvelles+lignes+directrices+depuis+le+04+07+2019-133.html

Pour l’illustration de cet article : Photo libre de droit Fotomelia


Retour

© 2021 MAÎTRE VÉRONIQUE RONDEAU - ABOULY - Réalisation Bexter - Accueil - Plan du site - Mentions légales

En poursuivant votre navigation, vous acceptez l'utilisation de services tiers pouvant installer des cookies

Gestion des cookies