La Cnil précise le Pack de conformité

Le Pack de conformité poursuit son travail de maturation. Sophie Nerbonne, la directrice de la conformité au sein de la Cnil, a pu profiter d'une conférence organisée sous l'égide du CCFA pour donner des éléments sur l'avancée du chantier, alors que la connectivité des véhicules se fait toujours plus présente sur les stands du Mondial de Paris.

"Nous avons conscience que toute la chaîne de valeur industrielle se trouve impactée, a déclaré Christian Peugeot, le président du CCFA. Les partenariats entre les entreprises du monde automobile et celui de l'Internet imposent un cadre sécurisé pour faciliter l'acceptation par les consommateurs. D'où la nécessité d'un Pack de conformité."

Qu'est-ce que le Pack de conformité ?

Parce que le véhicule connecté n'est pas un simple "smartphone sur roues", il faut un cadre législatif international qui protège le consommateur de l'exploitation des données personnelles qui pourraient être faites. Un droit jugé fondamental. Pour Sophie Nerbonne, le Pack de conformité négocié par la Cnil – le sixième du genre, toutes industries confondues – vise à garantir l'équité et l'homogénéité, à travers l'Europe, "avec un écho à l'échelle mondiale".

Ce Pack ouvre la voie à l'instauration de nouvelles méthodes de travail. Toutefois, il ne s'agit pas de bloquer l'évolution des marchés. "Les relations entre les constructeurs d'écosystèmes forcent le législateur à faire preuve de plus d'agilité. Le Pack que nous préparons, dont nous aurons les premières concrétisations en mars 2017, fixera des limites qui préviendront des dérives", assure la représentante de la Cnil.

Que cela va-t-il changer ?

Il va contraindre les entreprises à raisonner en termes de "sécurité à la conception" (security by design), soit une nécessité de considérer les intérêts des consommateurs dès les premières lignes du cahier des charges des services connectés, en relation avec l'automobile. Le Pack de conformité va de fait aussi permettre la création de "Cnil européennes" qui opéreront avec un référentiel unique, soit une forme d'aide à des Etats qui ne disposent pas de ces compétences, et donc peinent à juger les affaires litigieuses.

Dans quel contexte intervient ce Pack de conformité ?

Le 25 mai 2018 entrera en vigueur le Règlement européen. Il va concerner tous les individus sur le territoire européen, leur assurant une protection des données personnelles. Et Sophie Nerbonne d'insister : "Une fois que l'Europe aura adopté le texte, il ne fera pas l'objet de transpositions nationales." Toutes les entreprises qui mènent des activités commerciales sur le sol européen devront se soumettre à la législation. Un message qu'il est difficile de ne pas voir adressé aux géants de la Silicone Valley, entre autres.

Comment aborder les dossiers sensibles ?

Des sujets comme le droit à l'oubli (Google en Espagne) ou l'application de sanctions (Apple en Irlande) ne sont pas toujours des plus simples à traiter par la justice, chacune des parties pouvant se réclamer d'être dans son bon droit. Il est alors envisagé une stratégie de guichet unique dans chacun des pays européens. Les autorités de protection des données personnelles pourront mener des analyses en amont, à l'instauration d'un service connecté, ou en aval, lors de la gestion des conflits. Celles-ci auront alors la compétence de traiter les cas de transmissions transfrontalières des informations personnelles. Une forme de lutte contre les zones de non-droit. Deux étapes sont prévues. Au premier niveau, il y aura une procédure de coopération entre les autorités compétentes. En cas de non-résolution du dossier, au deuxième niveau, le bureau européen de protection des données – les fameuses Cnil européennes – s'autorisera le droit d'intervention et la formulation d'un avis contraignant. Le Pack de conformité pourrait de fait prévoir l'intégration d'un employé de référence dans les effectifs des entreprises.

Quelle vision de la donnée ?

Le Pack de conformité n'a pas une approche patrimoniale, mais reconnait que les données sont propres à la personne et que l'exploitation qui pourra en être faite se soumet à une acceptation (opt-in, dans le jargon consacré). Les affaires Snowden ou encore Schrems (Facebook) ont conduit la Commission européenne à invalider des processus de transfert de données vers les Etats-Unis. "Nous souhaitons la mise en place d'un bouclier, clarifie Sophie Nerbonne. Les Cnil européennes ont déjà émis des réserves en août dernier sur la collecte massive d'informations."

Protection de la donnée et protection de la société civile ?

Sujet plus épineux. Dans le cadre d'un Etat d'urgence comme nous le connaissons en France ou pour le bien d'une enquête sur des trafics illégaux, comme au Brésil au printemps dernier, comment la législation va-t-elle gérer la donnée collectée. D'autant plus que les autorités, par le biais du V-to-X (entre véhicule et infrastructure), entreront en possession d'éléments déterminants. La police se permettra-t-elle la suspension du service connecté d'un constructeur, d'un équipementier ou d'un fabricant au seul motif de sa non-coopération. On se souvient du bras de fer entre Apple et les autorités américaines. La définition d'un garde-fou n'a pas été évoquée avec plus de clarté, mais Sophie Nerbonne considère le sujet dans la réflexion menée.

Qui participe à ce projet ?

Le Pack de conformité fait l'objet d'un groupe de travail. Pour l'heure, il n'y a pas de contrainte et seuls les volontaires contribuent. Les références de la Silicon Valley, à titre d'exemple, ne se sont pas manifestées, au contraire des éditeurs de logiciels anti-piratage, désireux de collaborer sans se mettre en marge de la loi. Il apparaît intéressant de voir comment la liste des partenaires va se développer.