Vous faites déjà du Big Data ou plus simplement du IP tracking ? Pour les juristes, vous collectez des données personnelles. Et les règles de droit qui s’appliquent à votre activité sont en pleine évolution. Faisons un point avant l’entrée en vigueur prochaine du Règlement de l’UE du 27 avril 2016.

Pas de traitement du contenu des correspondances écrites ou orale

La loi interdit la collecte et l’enregistrement à titre commercial du contenu des correspondances.

Il n’est pas légal d’enregistrer les conversations orales (sauf à des fins de contrôle qualité du service client, mais seulement avec le consentement de l’appelant).

Cette interdiction vaut bien évidemment pour l’analyse du contenu des correspondances électroniques. Même lorsque le service d’adresse mail est gratuit…

Les métadonnées ?

Il n’existe aucune définition juridique des métadonnées, ni aucune législation cohérente de la matière qui évoque les « données de connexion ». Ce sont les données techniques qui entourent tout message électronique, écrit ou oral (quel terminal ? à quelle heure ? depuis quel endroit ? etc.). Le principe de liberté prévaut pour celui qui les collecte (opérateurs télécom et opérateurs de service web) et les traitent avec ses algorithmes.

Les données personnelles

Plus compliqué, le traitement des « données à caractère personnel« , comme par exemple les données de navigation des internautes.

Le principe est le suivant : si les données que vous collectez permettent « directement ou indirectement » d’identifier une personne physique, vous opérez un « traitement de données à caractère personnel« . Et vous êtes tenus de respecter la loi « Informatique et Libertés » du 6 janvier 1978, très largement inspirée de la législation européenne. Le non-respect de cette réglementation fait encourir au dirigeant de la personne morale coupable jusqu’à cinq ans d’emprisonnement et 300.000 € d’amende.

L’adresse IP est une donnée personnelle ?

Oui, l’adresse IP est bien une « donnée personnelle« , la jurisprudence européenne est sans ambiguïté (CJUE 24 nov. 2011 Scarlet Extended) ainsi que les tribunaux français (référé TGI Meaux 10 août 2016).

Et le Règlement européen du 27 avril 2016 va certainement aggraver encore l’interprétation des principes aujourd’hui en vigueur.

Demain ? le Règlement européen « data protection » 2016/679

Toute collecte et tout traitement de données « notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne » devront respecter l’ensemble des contraintes juridiques communes aux 28 27 pays de l’Union Européenne. La principale ? Obtenir du consommateur au préalable un consentement, une « manifestation de volonté, libre, spécifique, informée et univoque … par une déclaration ou par un acte positif explicite » pour que ses données fassent l’objet d’un traitement.

Quel usage des données ?

Le Règlement 2016/679 encadre « toute forme de traitement de données… pour analyser ou prédire… les préférences personnelles, les intérêts, le comportement, la localisation » d’un consommateur.

Ce texte, qui s’appliquera de manière uniforme dans l’UE, encadre explicitement les pratiques de « profilage« . Il n’entrera en vigueur que le 25 mai 2018, ce qui devrait laisser le temps aux professionnels de se l’approprier.