Ενημέρωση για τη γαλλική νομοθεσία

Απόσπασμα από το βιβλίο του Bruno DUMAY: ΑΠΟΚΡΥΠΤΟΓΡΑΦΗΣΗ GDPR – Για διευθυντές, στρατηγικά τμήματα και υπαλλήλους εταιρειών και οργανισμών – Πρόλογος από την Gaëlle MONTEILLER

Οι δύο τελευταίες γραμμές του ΓΚΠΔ, ο οποίος καταργεί το άρθρο 94 της οδηγίας 95/46/ΕΚ, δηλαδή το προηγούμενο κείμενο αναφοράς για την προστασία δεδομένων, έχουν ως εξής: «Εφαρμόζεται από τις 25 Μαΐου 2018. Ο παρών κανονισμός είναι δεσμευτικός ως προς όλα τα μέρη του και ισχύει άμεσα σε όλα τα κράτη μέλη». Συνεπώς, δεν υπάρχει ανάγκη μεταγραφής σε νόμο σε εθνικό επίπεδο. Παρ' όλα αυτά, τα κράτη καλούνται να το πράξουν, κάτι που αντιστοιχεί στην πρακτική πολλών από αυτά. Όπου βλέπουμε ότι η Ευρώπη δεν είναι ακόμη ομοσπονδία, κάθε άλλο.

Ως εκ τούτου, η Γαλλία έχει καταρτίσει ένα σχέδιο νόμου (ένα κείμενο που υποβλήθηκε στο κοινοβούλιο, το μοναδικό κάτοχο της νομοθετικής εξουσίας, αλλά προτάθηκε από την κυβέρνηση) που ενσωματώνει τις διατάξεις του ευρωπαϊκού κανονισμού για την προστασία των προσωπικών δεδομένων (γνωστού ως «ευρωπαϊκό πακέτο»). Το κείμενο αυτό, που παρουσιάστηκε στα μέσα Δεκεμβρίου 2017 από την Υπουργό Δικαιοσύνης Νικόλ Μπελουμπέ, εγκρίθηκε στις 13 Φεβρουαρίου 2018 από την Εθνοσυνέλευση, με πολύ μεγάλη πλειοψηφία (505 ψήφοι υπέρ, 18 ψήφοι κατά και 24 αποχές). Για να τεθεί σε ισχύ, πρέπει ακόμη να εγκριθεί από τη Γερουσία, η οποία θα το εξετάσει από τις 20 Μαρτίου (επομένως, δεν γνωρίζουμε το αποτέλεσμα κατά τη στιγμή της σύνταξης αυτού του κειμένου, στις αρχές Μαρτίου, αλλά δεν υπάρχει λόγος οι γερουσιαστές να ψηφίσουν διαφορετικά από τους συναδέλφους τους βουλευτές σε αυτό το σημείο).

Χθες, τέθηκε σε εφαρμογή ο Νόμος περί Προστασίας Δεδομένων του 1978. Αυτή η μακροβιότητα δείχνει την ευφυΐα των υποστηρικτών αυτού του νόμου εκείνη την εποχή (το διαδίκτυο δεν υπήρχε), ακόμη και αν τώρα είναι παρωχημένος. Ο νέος νόμος αντικαθιστά επομένως αυτόν του 1978, όπως ακριβώς ο ΓΚΠΔ αντικαθιστά την οδηγία του 1995 σε ευρωπαϊκό επίπεδο. Στις διατάξεις του κανονισμού που είδαμε, προσθέτει εκείνες μιας οδηγίας που εφαρμόζεται σε ποινικά αρχεία (τα οποία θα αφορούν κυρίως το εθνικό αρχείο γενετικών δακτυλικών αποτυπωμάτων, αυτό των απαγορεύσεων σταδίων ή ακόμα και την επεξεργασία ποινικών μητρώων).

«Αυτό περιλαμβάνει την απλοποίηση των προκαταρκτικών διατυπώσεων υπέρ μιας διαδικασίας λογοδοσίας για τα ενδιαφερόμενα μέρη και την ενίσχυση των ατομικών δικαιωμάτων. Σε αντάλλαγμα, οι εξουσίες της CNIL ενισχύονται και οι επιβαλλόμενες κυρώσεις αυξάνονται σημαντικά», δήλωσε η κα Belloubet, επαναλαμβάνοντας τη φιλοσοφία του ευρωπαϊκού κανονισμού.

Ο νόμος προχωρά ακόμη περισσότερο από τον ΓΚΠΔ σε δύο σημεία: την ηλικία της «ψηφιακής ενηλικίωσης» και τις ομαδικές αγωγές. Στο πρώτο σημείο, υπενθυμίζουμε ότι ο ΓΚΠΔ το ορίζει στα 16 έτη, αλλά επιτρέπει στα κράτη να το μειώσουν στα 13. Η Γαλλία έχει επιλέξει μια ενδιάμεση θέση: «Ένας ανήλικος μπορεί να συναινέσει μόνος του στην επεξεργασία προσωπικών δεδομένων από την ηλικία των 15 ετών» (αυτή η μείωση κατά ένα έτος δεν προήλθε από την κυβέρνηση, αλλά από τους ίδιους τους βουλευτές, με τη μορφή τροποποίησης του αρχικού σχεδίου). Μεταξύ των ηλικιών 13 και 15 ετών, απαιτείται η γονική συναίνεση. Κάτω των 13 ετών, απαγορεύεται κάθε συλλογή δεδομένων. Πώς όμως μπορούν να εφαρμοστούν τέτοιες διατάξεις όταν γνωρίζουμε ότι, σύμφωνα με μια μελέτη της CNIL τον Ιούνιο του 2017, το 63% των παιδιών ηλικίας 11-14 ετών είναι εγγεγραμμένα σε ένα κοινωνικό δίκτυο, ότι 4 στα 10 λένε ψέματα για την ηλικία τους και ότι οι πλατφόρμες ή τα κοινωνικά δίκτυα ορίζουν τους δικούς τους κανόνες (είναι δυνατή η εγγραφή στο Facebook χωρίς γονική άδεια από την ηλικία των 13 ετών);

Το άλλο ισχυρό σημείο του νέου νόμου για την προστασία των δεδομένων είναι η δυνατότητα ομαδικών αγωγών, που έχουν ήδη ξεκινήσει με τους νόμους του 2014 και του 2016, αλλά αυτή τη φορά θα επέτρεπαν την αποζημίωση για ζημίες «υλικής ή ηθικής φύσης», ενώ μέχρι τώρα λαμβάνονταν υπόψη μόνο οι οικονομικές ζημίες. Παρά τη δυσκολία εφαρμογής μιας τέτοιας διαδικασίας, αποτελεί ένα πρόσθετο μέσο πίεσης στις εταιρείες που θεσπίζεται από τον νέο γαλλικό νόμο.

Το γαλλικό κείμενο, σύμφωνα με τον ΓΚΠΔ, ο οποίος προβλέπει εξαιρέσεις για τομείς που σχετίζονται με την ασφάλεια, διατηρεί την προηγούμενη άδεια για την επεξεργασία «βιομετρικών δεδομένων απαραίτητων για την ταυτοποίηση ή την επαλήθευση της ταυτότητας των ατόμων». Ομοίως, το ευρωπαϊκό δίκαιο δεν εφαρμόζεται σε δώδεκα λεγόμενα αρχεία «κυριαρχίας», όπως το αρχείο ειδοποιήσεων για την πρόληψη της ριζοσπαστικοποίησης τρομοκρατικής φύσης (FSPRT).

Μια εκπληκτική πτυχή του νόμου φαίνεται να έχει λάβει ελάχιστη αναφορά: το νομοσχέδιο εξουσιοδοτεί την κυβέρνηση να ξαναγράψει ολόκληρο τον Νόμο περί Προστασίας Δεδομένων εντός έξι μηνών, με τη μορφή διατάγματος (άρθρο 38 του Συντάγματος, η κυβέρνηση ενεργεί σε έναν τομέα που είναι κυρίως αυτός του Κοινοβουλίου). Αυτός ο νέος νόμος για την προστασία δεδομένων θα έχει επομένως περιορισμένη διάρκεια; Αυτό δεν φαίνεται μόνο εκπληκτικό, δεδομένου ότι το κύριο περιεχόμενο του νόμου είναι η μεταφορά ενός σημαντικού ευρωπαϊκού κανονισμού, που έχει σχεδιαστεί για να διαρκέσει. Αλλά επιπλέον, αναρωτιέται κανείς γιατί το Κοινοβούλιο θα παραιτηθεί από την εξουσία του σε ένα τόσο θεμελιώδες ζήτημα. Τέλος, πώς μπορούμε να απαιτήσουμε από τις εταιρείες να συμμορφωθούν έως τις 25 Μαΐου 2018, εάν οι κανόνες του παιχνιδιού αλλάξουν τους επόμενους μήνες;

Η σπάνια συναίνεση που επικρατεί στη χώρα μας σχετικά με τα νέα μέτρα υπέρ της προστασίας των δεδομένων δεν θα πρέπει να μας εμποδίζει να ακούμε την κριτική, όταν αυτή προέρχεται από άτομα με αναμφισβήτητη εμπειρία στο θέμα. Θα αναφέρουμε απλώς δύο από αυτά.

Το πρώτο προέρχεται από τον Yann Padova, πρώην γενικό γραμματέα της CNIL, νυν δικηγόρο στην Baker McKenzie, ο οποίος έγραψε στην εφημερίδα Les Échos στις 29 Ιανουαρίου: «Ο κόσμος μας βιώνει έναν κατακλυσμό δεδομένων, με τον όγκο τους να διπλασιάζεται κάθε είκοσι τέσσερις μήνες. Η διευκόλυνση της ανάλυσής τους, η αναζήτηση νέων συσχετίσεων και η ενθάρρυνση της εμφάνισης καινοτόμων υπηρεσιών - αυτή είναι η πρόκληση των Μεγάλων Δεδομένων σήμερα και της τεχνητής νοημοσύνης αύριο. Αρνούμενο να εκμεταλλευτεί αυτή τη δυνατότητα, το νομοσχέδιο επιλέγει τον συντηρητισμό. Δεδομένων των δυνατοτήτων της γαλλικής μας βιομηχανίας και της μαθηματικής μας σχολής, αυτή η επιλογή είναι λυπηρή. Καταδεικνύει για άλλη μια φορά την έλλειψη εξέτασης της σχέσης μεταξύ καινοτομίας, προστασίας δεδομένων και βιομηχανικής ανάπτυξης».

Το δεύτερο είναι από τον Laurent Alexandre, ειδικό στην τεχνητή νοημοσύνη (μεταξύ άλλων), του οποίου οι διαφωτιστικές αναλύσεις μας διαφωτίζουν εδώ και χρόνια σχετικά με τον αντίκτυπο των τεχνολογιών NBIC (νανο, βιο, επιστήμη υπολογιστών, γνωστική επιστήμη) στη ζωή μας. Στη στήλη του στις 24 Ιανουαρίου 2018, με τίτλο «Πρέπει να καταργηθεί η CNIL;», γράφει: «... Η Τεχνητή Νοημοσύνη βρίσκει απροσδόκητες συσχετίσεις μεταξύ δεδομένων, οι οποίες φαίνονται, εκ των προτέρων, αδιάφορες. Οποιοσδήποτε περιορισμός στη συλλογή δεδομένων σίγουρα μειονεκτεί όλους τους φορείς εκμετάλλευσης, αλλά πάνω απ' όλα επιτρέπει στις κινεζικές ή αμερικανικές εταιρείες να ευημερούν χωρίς ευρωπαϊκό ανταγωνισμό». Και περαιτέρω: «Στις Βρυξέλλες, χρειαζόμαστε μια Θάτσερ δεδομένων για να ηγηθεί του τεχνολογικού πολέμου. Σε γαλλική κλίμακα, πρέπει να φέρουμε επανάσταση στην CNIL, η οποία διευθύνεται από μια αξιοσημείωτη ομάδα, αλλά η οποία επιδιώκει λάθος στόχο. Πρέπει να εμπλουτίσουμε την αποστολή της ενσωματώνοντας τα τεχνολογικά συμφέροντα της χώρας μας».

Δεν είναι εδώ το κατάλληλο μέρος για να ανοίξουμε μια συζήτηση. Αλλά αυτές οι δύο σοφές οπτικές γωνίες μας δείχνουν ότι η νόμιμη προστασία των προσωπικών δεδομένων δεν πρέπει να ασκείται εις βάρος της καινοτομίας και της οικονομικής ανάπτυξης, διαφορετικά θα βρεθούμε σε υποτέλεια.