Über dangereux - la loi informatique détournée à des fins politiques

    « L’enquête vise des faits présumés de « conservation illégale de données à caractère personnel au-delà de la durée prévue préalablement à la mise en œuvre du traitement ». Ce volet porte sur la collecte des données des clients et de possibles infractions à la loi informatique et libertés de 1978. »

    Récapitulons…

    Quant au droit.

    La loi informatique et libertés impose que l’on ne traite des données à caractère personnel que pendant une durée limitée. Il s’agit en fait de ce que l’on appelle communément « le droit à l’oubli ». Passé le délai que vous avez indiqué lors de votre déclaration à la CNIL, vous n’êtes plus en droit de procéder à leur traitement. La loi prévoit des sanctions importantes en cas de dépassement, mais ces sanctions visent avant tout à contrer des abus graves et manifestes (ex : vous stockez des données médicales à vie sur vos clients…).

    De toutes les infractions prévues par la loi il s’agit sans aucune discussion possible, en l’espèce, de la moins réaliste à invoquer contre Über. En effet, en général lorsqu’une entreprise n’a pas pris en compte la problématique CNIL, on retrouve une batterie d’infractions sur lesquelles intenter une véritable action de droit : absence de mesures de sécurité, collectes non cadrées de données à caractère personnelles, traitement de données sensibles, etc.

    Il suffit par exemple de prendre l’exemple de Facebook qui avait été épinglé par un jeune étudiant en droit en 2011 qui avait trouvé – dans mes souvenirs – pas moins de 35 violations à la directive européenne… A ce titre, il ne semble pas que les dirigeants de Facebook aient jamais été inquiétés, et encore moins placés en garde à vue, alors pourtant qu’ils traitent les données d’un plus grand nombre de clients.

    Mais, le régime n’est pas le même pour Über, qui doit sans doute traiter une batterie de données à caractère personnel très sensibles, comme l’email, des données de facturation et quelques trajets effectués… A n’en pas douter, cela justifie totalement des mesures de rétorsion. A n’en pas douter, également, le principe d’égalité des citoyens devant la loi ici est totalement respecté. Facebook : +1 milliard de clients, des giga-terabytes de données à caractère personnelles, 35 infractions dénichées par un étudiant et au final : rien. Über, côté légal, pas grand chose, mais il faut très vite s’assurer du respect de la loi ! Conséquence : garde à vue immédiate.

    A titre de comparaison, il faut savoir qu’en 37 ans de loi informatique et libertés – depuis 1978 –  l’article 226-20 du code pénal ici invoqué – n’a donné lieu à une seule décision judiciaire : l’arrêt de la Cour d’Appel de Paris, le 15 fév. 1994 qui sanctionnait un établissement bancaire pour avoir refusé l’attribution d’une carte de paiement en raison d’un maintien erroné d’une personne dans une liste noire.

    En épluchant vraiment tous les bas-fonds des recueils de jurisprudence, on peut également dénicher une décision du conseil d’état (CE, 26 juill. 2006, D. 2006, p. 2347, JCP G 2006, IV, no 2861 – qui ne juge pas de l’application pénale du texte) qui se prononçait sur la durée de conservation de données d’attestations d’accueils des étrangers en France.

    C’est tout !

    Aucune autre décision, depuis 37 ans…

    Quelqu’un au sein des services gouvernementaux doit certainement se dire que la violation de la loi informatique et libertés est tellement grave, qu’elle justifie une action immédiate.

    Soit.

    Mais alors pourquoi ne pas regarder directement du côté des fichiers des services de police pour déterminer dans quelle mesure ceux-ci sont aussi vertueux et respectueux de la loi ? Au-delà du fait que la CNIL elle-même avait relevé en 2008 qu’ils comportaient 83% d’erreurs, il est intéressant de noter que l’institution avait, lors de son contrôle, également relevé que les données collectées étaient souvent conservées « à vie » alors que la loi ne prévoyait « que de le faire pendant 400 jours » (voir à ce sujet l’article de Jean-Marc Manach, journaliste spécialiste des questions de vie privée : « le fait que les informations, qui devraient normalement être effacées au bout de 400 jours, dans les commissariats locaux, sont en fait conservées ad vitam aeternam… »).

    La question très embrassante des fichiers de police fait l’objet de vifs débats, par exemple :

    • Le Figaro titrait en 2013 : La CNIL alerte sur les fichiers de police, notant que dans ses recommandation à mettre en oeuvre en urgence qu’il était nécessaire de « «limiter dans le temps l’accès aux données dans le cadre administratif et envisager la diminution de certaines durées de conservation». Selon la Cnil, cette durée peut «atteindre quarante ans pour certaines infractions». Elle «apparaît disproportionnée au regard de la gravité des dysfonctionnements, manifestement durables, qui affectent les fichiers d’antécédents»«
    • NextImpact détaillait les nombreux problèmes de sécurité dans un article saisissant : « Comment pirate le Stic en un coup de fil« .
    • Ou toute la batterie d’erreurs remontées par la CNIL lors de son contrôle initial en 2008, tel que
      • Des personnes inscrites comme auteur de viols alors qu’il n’étaient que témoins…
      • Signalé comme auteur dans une affaire de vol à main armée avec séquestration alors qu’il était victime…

    Intéressant.

    Malgré la gravité de ces faits, beaucoup plus importants, on note que personne n’a fait de garde à vue pourtant…

    Mais, fort heureusement, il existe en France 90 codes, 10.000 lois, et plus d’un million de règlements, autant d’opportunités juridiques pour écraser un acteur encombrant.

    Ou encore de laisser impunies les violences contre lui :

    Thiébaut Devergranne
    Thiébaut Devergranne
    Thiébaut Devergranne est docteur en droit et expert en droit des nouvelles technologies depuis plus de 20 ans, dont 6 passés au sein des services du Premier Ministre. En savoir plus

    Ils nous ont fait confiance

    logo Deloitte
    logo starbucks
    logo orange bank
    logo vinci
    logo nokia
    logo sanofi
    logo sncf
    Automatisez votre conformité RGPD
    Economisez-vous des semaines de travail avec Legiscope logiciel de gestion de la conformité RGPD
    VOS CGV (gratuites)