Le quantified self, nouveau moteur du big data et menace pour la vie privée

Publié le 12/05/2016

La diminution du coût de stockage et celle du coût de la puissance de calcul des ordinateurs permet au big data d’être alimenté de manière permanente par des données d’un genre nouveau, issues de capteurs corporels et permettant une mise en donnée de l’activité humaine. L’analyse continue des activités, comportements et modes de vie des individus rend la qualification juridique des données collectées difficile. Sans pouvoir être qualifiées de données de santé, celles-ci doivent se contenter du régime de protection qui est associé aux données personnelles. Pourtant, les principes même de collecte massive de données sans but déterminé du big data mettent à mal les principes de finalité et de proportionnalité de la loi informatique et libertés. Il semble ainsi difficile de garantir une protection efficace de la vie privée des individus sans un meilleur encadrement de ces pratiques, qu’il s’agisse du régime juridique applicable ou des conditions de transfert international des données en question.

L’échange automatique d’informations entre un ou plusieurs systèmes informatiques est un des objectifs affirmés de l’internet des objets1. Alors que de nouveaux traceurs – regroupés sous l’appellation d’objets connectés – connaissent un essor considérable, on assiste à une multiplication des techniques de collecte d’informations sur les individus. Mais surtout, les données divulguées de manière volontaire prolifèrent afin que les utilisateurs puissent, en échange, obtenir services et contenus2. Rendu possible par un « accroissement considérable de la puissance de calcul des processeurs ou encore l’élargissement des capacités de stockage », le quantified self, expression de l’internet des objets, correspond à la numérisation et à la quantification des activités humaines3. Ce mouvement, lancé en 2007, vient redéfinir la relation que la personne entretient avec son corps, sachant que celle-ci devient créatrice de données en s’autoévaluant, lui permettant ainsi de déterminer des comportements à adopter pour elle-même4. Miniaturisation et accessibilité de ces nouveaux outils permettent un accroissement du flot d’informations disponibles, évidemment susceptible d’impacter la vie privée des individus5 dans la mesure où les données en question correspondent à des données personnelles, perçues comme « un reflet moderne de la personnalité »6.

La donnée personnelle – définie comme « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propre »7 – est au cœur des questionnements contemporains relatifs à la vie privée des individus. L’explosion de l’utilisation d’objets connectés combinée à la dimension big data, entendue comme « la capacité d’analyser divers ensemble (non structurés) de données provenant d’une multitude de sources »8, ne fait qu’amplifier le questionnement. Alors qu’on estime qu’à l’horizon 2020, la proportion de données alimentant le big data via les objets connectés et les capteurs personnels passera de 10 % à 90 %, la question se pose de savoir comment concilier la protection de la vie privée avec cette collecte massive de données fondée sur l’analyse de l’activité des individus9. D’autant qu’avec le big data, la question se pose de savoir si toute donnée n’est pas, en soi, identifiante, compte tenu du potentiel profilage résultant du traitement massif des données10.

Si le droit à la protection de la vie privée recouvre la protection contre une intrusion dans l’intimité des personnes11, on assiste inéluctablement, grâce au développement et à l’expansion croissante des nouvelles technologies de l’information à une ouverture vers la question des données personnelles. Force est de constater cependant que les instruments juridiques dont nous disposons à l’heure actuelle ne permettent pas de véritablement saisir ces problématiques. Le quantified self représente aujourd’hui, grâce à la prolifération des objets connectés, un changement de paradigme : il exprime le passage de l’ère du secret, de l’intime et de la protection de la vie privée à celle de l’exposition de soi (I). En dépit de l’explosion du phénomène, le quantified self ne bénéficie pas d’une protection juridique adaptée (II).

I – Un changement de paradigme fondé sur une révélation de la vie privée

Le quantified self, via le développement des objets connectés, permet une expertise qui est révélatrice de la vie privée, non seulement de par la quantification de l’activité humaine mise en œuvre (A), mais également par les risques d’une exploitation des données par les tiers (B).

A – Une expertise fondée sur l’exposition de soi

Le principe même du quantified self relève d’une exposition constante de soi et d’éléments relevant de la vie privée, de l’intimité corporelle d’une personne12. Ce sont des éléments relatifs à la vie privée qui permettront directement d’alimenter les différents capteurs inclus dans les objets connectés : la divulgation de données personnelles devient une condition nécessaire à l’existence du service lui-même13. L’utilisateur d’un objet connecté s’engage avec le quantified self sur la voie de l’auto-mesure en cherchant à mesurer son activité pour la quantifier. Ce soi-quantifié repose sur l’idée de répétition et de routinisation du processus car la mesure, pour être pertinente, doit s’insérer dans un ensemble plus vaste permettant de définir des évolutions et éventuelles améliorations14.

Le fonctionnement même du quantified self soulève évidemment la question du paradoxe de la vie privée, paradoxe en vertu duquel la crainte réelle de la révélation massive de données relatives à la vie privée n’empêche pas les internautes de se dévoiler de plus en plus15. Alors que ces craintes – exacerbées par les révélations d’Edward Snowden sur la surveillance réalisée par la NSA16 – concernant la vie privée et l’identité numérique des internautes n’ont jamais été aussi fortes qu’actuellement, l’utilisation d’objets connectés porteurs de risques de dissémination de données probablement inégalés est en augmentation constante17. D’autant que la protection de la vie privée des individus est malmenée par des données qui peuvent être créées directement, ou indirectement, par l’utilisation même des services en cause18 : en dehors des données qu’il crée volontairement, l’utilisateur va laisser des traces numériques en utilisant un service19.

C’est pour répondre à ces différentes problématiques que le concept du Privacy by Design a été développé20. Ce concept part du principe que, pour être effective, la protection de la vie privée doit être intégrée directement en amont de la mise en service d’un outil présentant des risques potentiels pour la vie privée21. S’appuyant sur l’insuffisance du cadre légal, le Privacy by Design présente un caractère préventif et une forme de régulation ex ante, inscrite dans la technologie elle-même, dans le but d’éviter des risques de fuite informationnelle22. L’article 29 du projet de loi pour une République numérique adopté en Conseil des ministres le 9 décembre 2015 entend conférer à la Commission nationale informatique et libertés (Cnil) un rôle de soutien au Privacy by Design, pour le développement de la protection intégrée de la vie privée dès la conception23. Cependant, bien que prometteur en apparence, ce concept peine à trouver de réelles applications pratiques24. Il pourrait dès lors être complété par le Privacy by Using, qui consiste en un processus de régulation par les individus eux-mêmes et ce, par une accumulation d’apprentissages25. Destiné à pallier l’obsolescence rapide des standards de protection de la vie privée, le Privacy by Using permet aux individus de faire une utilisation éclairée de leurs données personnelles leur permettant en particulier de se prémunir contre les risques d’exploitation de leurs données par des tiers.

B – L’exploitation des données par des tiers

Les données recueillies sont agrégées par des tiers, entreprises privées, qui vont conserver, analyser et exploiter les éléments recueillis par les individus via leurs objets connectés. Qu’il s’agisse directement des constructeurs d’objets connectés ou de développeurs d’applications aux fins d’analyse des données, celles-ci finissent par échapper à la maîtrise des individus26. Alors que le quantified self permet la création de bases de données élargies construites autour d’éléments récoltés directement par des opérateurs privés – Apple, Google et Samsung ont tous les trois créé des plates-formes relatives aux données captées par les objets connectés27 – les utilisateurs font désormais face à la centralisation de leurs données en se retrouvant sous la surveillance d’un tiers (le concepteur d’une application par exemple)28.

Les données personnelles des individus deviennent des ressources pour les entreprises : celles-ci permettent aux opérateurs des plates-formes susmentionnées d’offrir des services ciblés et personnalisés, ou encore, de les vendre à des tiers à des fins publicitaires et commerciales29. Dès lors, si la quantification de soi semble correspondre à un mouvement de contrôle de l’activité et des données associées, le modèle économique qui est mis en place repose en fait sur une monétisation par des tiers des données générées d’une part, et sur une centralisation de ces mêmes données d’autre part30. Or contrairement à ce qui a pu être préconisé, la centralisation des données ne permet pas de garantir un niveau de sécurité satisfaisant : on rend accessible en un même endroit de nombreuses données relatives à une même personne, soumettant ainsi des pans entiers de vie privée à un risque de divulgation31.

En tout état de cause, comment prétendre à la sauvegarde de la vie privée alors que les services utilisés – proposés gratuitement de manière générale ou sur la base d’un modèle freemium32 – reposent justement sur un échange réciproque entre données de la part d’un utilisateur et expertise de la part d’une application33 ?

Les instruments utilisés dans le cadre du quantified self sont en eux-mêmes destinés à favoriser une révélation de la vie privée et de l’intime ; la protection juridique ou techno-juridique mise en œuvre ne permet pas d’apporter une réponse précise à ces problématiques nouvelles.

II – Une protection juridique inadaptée

En dehors des risques pour la vie privée tenant au concept même du quantified self et à la transmission de données aux tiers, les risques associés à la vie privée tiennent au fait que la surveillance mise en œuvre par le quantified self n’a pas été pensée par les textes (A) et que le stockage des données en question s’effectue en majeure partie hors des frontières du pays ou la collecte est réalisée (B).

A – Le quantified self, « impensé » des textes

Les données issues du quantified self sont, comme toutes les données personnelles, concernées par la loi informatique et libertés de 1978. Ces données – soumises à un traitement automatisé – entrent donc dans le champ de l’article 2, alinéa 2 de cette loi. Un régime juridique protecteur devrait donc en théorie pouvoir s’appliquer aux données en question. Celui-ci, porté par des principes qui sont énoncés à l’article 6 de cette même loi comprend, en particulier, un principe de finalité déterminé, un principe de proportionnalité et enfin, un principe d’exactitude des données récoltées.

Ces principes sont difficilement conciliables avec le fonctionnement du quantified self. Ainsi, le phénomène du big data, qui correspond à la récolte continue de données potentiellement identifiantes via les objets connectés, est incompatible en soi avec le principe de finalité34. Ensuite, comment envisager le respect d’un principe de proportionnalité alors qu’il s’agit justement ici de réaliser des mesures de façon continue et que c’est cette « imprévisibilité » des résultats qui est recherchée ? Enfin, comment envisager un principe de pertinence et d’exactitude des données alors que les objets connectés ne sont pas à l’abri d’éventuelles erreurs dans les mesures qu’ils vont établir35 ? Le consentement – préalable nécessaire à toute collecte de données – soulève également des questions : envisagé à l’article 7 de la loi, celui-ci doit faire face à des conditions générales d’utilisation qui sont souvent peu claires pour l’individu et à des éléments techniques qui ne permettent pas toujours de garantir son recueil36. Force est de constater que les principes dégagés par la loi informatique et libertés ainsi que les pouvoirs de contrôle qui sont confiés à la Cnil ne semblent plus en phase avec la réalité technologique permise par les objets connectés. Conscients de ces problématiques, les auteurs du projet de loi pour une République numérique prévoient de renforcer les pouvoirs de la Cnil, mais aussi de mettre à la charge des opérateurs diverses obligations. Une obligation de loyauté visant à une meilleure information des utilisateurs serait couplée à celle de portabilité des données, permettant aux utilisateurs de récupérer et de transférer aisément leurs données.

Les objets connectés brouillent les frontières entre le domaine du bien-être et celui de la santé37. Il est difficile de savoir si la donnée recueillie par les différents capteurs est une donnée de santé ou non ; d’ailleurs le régime juridique applicable aux objets connectés à l’heure actuelle ne prend pas encore en compte cette distinction38. Dès lors, la protection associée aux données de santé par l’article 8 de la loi informatique et libertés n’aura pas toujours vocation à s’appliquer, la protection associée aux bases de données sanitaires non plus. En France, qu’il s’agisse du PMSI (Programme de médicalisation des systèmes d’information) ou du SNIIRAM (Système national d’information inter-régimes de l’Assurance maladie), une protection – technique et légale39 – renforcée est assurée à ces bases de données40. Les données individuelles nominatives qui sont recueillies sont anonymisées et dé-identifiées, les noms et adresses n’y figurent plus et le numéro de sécurité sociale (le NIR) est remplacé par un identifiant propre pour éviter tout risque de ré-identification41. De même, les objets connectés n’entrent pas dans le champ de la directive 93/42/CEE relative aux dispositifs médicaux dès lors que les constructeurs ne leur ont pas attribué une finalité médicale.

Le cadre juridique protecteur qui concerne les activités d’hébergement des données de santé recueillies ou produites à l’occasion des activités de prévention, de diagnostic ou de soins n’est donc pas, a priori, applicable aux données issues du quantified self, même si in fine le juge reste seul maître de la qualification qui sera appliquée. En tout état de cause, même si tel était le cas, un doute subsiste quant à l’efficacité des mesures, dont on sait qu’elles ne constituent pas des garanties absolues contre les risques de ré-identification. Certains procédés semblent plus efficaces que d’autres42 : mais aucun n’est totalement infaillible43. Plusieurs expériences ont d’ailleurs eu l’occasion de montrer les limites des procédés envisagés44. En outre, l’extraterritorialité des moyens de stockage accroit encore les risques de perte de maîtrise des données.

B – L’extraterritorialité des moyens de stockage

Favoriser le cloud computing comme moyen de stockage des données récoltées est un facteur de risque supplémentaire pour la vie privée des individus. Moyen technique permettant le stockage à distance des informations, le cloud est à l’heure actuelle le principal standard en matière d’archivage des données. Pourtant, c’est la question de la destination finale des données qui est en cause45. Il devient en effet délicat de savoir avec certitude par où la donnée transite, et où elle est finalement stockée46. Le cloud soulève donc des interrogations quant à la compétence territoriale des juridictions en cas de litige et introduit une couche de complexité supplémentaire à un problème déjà complexe.

Les informations stockées et centralisées dans le cloud peuvent être soumises à différentes législations en fonction de leur localisation. Déterminer à l’avance de quelle juridiction relèvent les litiges portant sur les informations stockées devient difficile. Les procédés de quantified self que nous avons abordés jusqu’à présent sont généralement le fait d’entreprises américaines, ou basées aux États-Unis. Or les problématiques relatives à la compétence territoriale des tribunaux sont parmi celles ayant soulevé le plus de questions, sachant que la majorité des entreprises américaines traitant des données personnelles insèrent dans leurs contrats d’utilisation une clause conférant compétence juridictionnelle aux tribunaux du comté de Santa Clara en Californie. La jurisprudence française a certes commencé à se prononcer sur le caractère abusif de cette clause47, mais c’est surtout la Cour de justice de l’Union européenne qui a provoqué un séisme en la matière avec l’invalidation de la décision 2000/520 de la Commission européenne, dite « Safe Harbor », selon laquelle les États-Unis disposaient d’un niveau satisfaisant de protection des données personnelles48. En effet, selon la directive 95/46/CE, un transfert de données à caractère personnel vers un pays tiers de l’Union européenne est en principe interdit, sauf si le pays de destination assure un niveau de protection suffisant des données personnelles. L’objet du « Safe Harbor » était de reconnaître le niveau de protection adéquat attaché au transfert de données personnelles entre l’Europe et les États-Unis. La CJUE, dans un arrêt de Grande chambre en date du 6 octobre 2015, a constaté que la Commission n’a pas recherché si les États-Unis assuraient effectivement une protection adéquate et a donc invalidé la décision 2000/52049. Si toutes les conséquences de cette décision sur le long terme ne sont pas encore perceptibles, celle-ci montre bien le climat de méfiance qui règne en matière de transferts internationaux de données et révèle une faible sécurisation juridique de l’explosion de la mise en données de l’activité humaine. La Cnil, certes vigilante, n’est pas suffisamment armée pour canaliser efficacement cette dispersion. Le G29 travaille depuis maintenant trois ans à l’adoption d’un règlement européen visant à mieux encadrer les pratiques. Longtemps freiné par les enjeux économiques colossaux soulevés par la libéralisation des données, le projet semble aujourd’hui sur le point d’aboutir. À l’instar du projet de loi pour une République numérique, il entend notamment renforcer les sanctions contre les contrevenants aux principes et mesures de protection de la vie privée. C’est in fine une solution d’équilibre qui devra être trouvée, permettant aux innovations technologiques de se développer de façon sereine en limitant les atteintes à la protection de la vie privée qui seront susceptibles de se développer.

Notes de bas de pages

  • 1.
    Xiaofeng Lu, Zhaowei Qu, Qi Li, and Pan Hui, « Privacy Information Security Classification for Internet of Things Based on Internet Data » : International Journal of Distributed Sensor Networks, 2015, vol. 2015, art. ID 932941.
  • 2.
    A. Rallet, F. Rochelandet, « Exposition de soi et décloisonnement des espaces privés : les frontières de la vie privée à l’heure du numérique » : Terminal, n° 105 « Technologies et usages de l’anonymat sur Internet », 2010, p. 71-86.
  • 3.
    A. Thierer, « The Internet of Things and Wearable Technology : Addressing Privacy and Security Concerns without Derailing Innovation », 21 Rich. J.L. & Tech. 6, 2015.
  • 4.
    D. Nafus, J. Sherman, « Big Data, Big Questions : This One Does Not Go Up To 11 : The Quantified Self Movement as an Alternative Big Data Practice » : International Journal of Communication, [S.l.], V. 8, p. 11, jun. 2014. ISSN 1932-8036.
  • 5.
    D. Kellmereit, D. Obodovski, The Silent Intelligence, The Internet of Things, DND Ventures LLC, 2013, 1re éd.
  • 6.
    V. Mazeaud, « La constitutionnalisation du droit au respect de la vie privée » : Les Nouveaux Cahiers du Conseil constitutionnel, 2015, p. 9, n° 48.
  • 7.
    L. n° 78-17, 6 janv. 1978, art. 2, relative à l’informatique, aux fichiers et aux libertés.
  • 8.
    Comm. UE, Livre vert sur la Santé Mobile, Bruxelles, 2014, COM 2014 – 219 final.
  • 9.
    A. Pentland et al., Improving Public Health and Medicine by use of Reality Mining, Robert Wood Johson Foundation, 2009.
  • 10.
    A. Bensamoun, C. Zolynski, « Cloud computing et big data. Quel encadrement pour ces nouveaux usages des données personnelles ? » : Réseaux 1/2015 , p. 103-121, n° 189.
  • 11.
    Voir le droit au respect de la vie privée, tel qu’il est énoncé par les différents textes en vigueur : article 9 du Code civil, Déclaration universelle des droits de l’Homme, Convention européenne de sauvegarde des droits de l’Homme et des libertés fondamentales.
  • 12.
    D. Lupton, « Quantifying the body : monitoring and measuring health in the age of mHealth technologies » : Critical Public Health, 2013, 23 :4, 393-403, DOI : 10.1080/09581596.2013.794931.
  • 13.
    S. M. Watson Living with Data: Personal Data Uses of the Quantified Self, Oxford Internet Institute Masters Thesis, 2013.
  • 14.
    Cnil, « Le corps, nouvel objet connecté, Du quantified self à la M-Santé : les nouveaux territoires de la mise en donnée du monde » : Cahier Innovation & Prospective, mai 2014.
  • 15.
    V. not. sur ce point, S. B. Barnes, « A Privacy Paradox : Social Networking in the United States » : First Monday, avr. 2006.
  • 16.
    D. Lyon, Surveillance After Snowden, Polity Press, 2015, p. 15.
  • 17.
    G. Mulligan, « The internet of things: here now and coming soon » : IEEE Internet Computing, 2010, vol. 14, n° 1, p. 35–36.
  • 18.
    J. M. Corby, « The case for privacy » : Information Systems Security, 2002, vol. 11, n° 2, p. 9–14.
  • 19.
    T. Berthier, « Projections algorithmiques et cyberespace » : R2IE – Revue Internationale d’Intelligence Economique, 2013, vol. 5-2, p. 179-195.
  • 20.
    A. Cavoukian, Privacy by Design, INFO. & PRIVACY COMM’R, 1 (2009), http:// www.ipc.on.ca/images/Resources/privacybydesign. V. égal. : « Communication from the Commission to the European Parliament, the Council, the European Economic and Social Committee and the Committee of the Regions » : A Digital Agenda for Europe, 26 août 2010, COM, 2010, 245 final/2.
  • 21.
    S. Gürses, C. Troncoso et C. Diaz, « Engineering privacy by design » : Computers, Privacy & Data Protection, 2011, n° 14.
  • 22.
    I. Rubinstein, « Regulating privacy by design » : Berkeley Technology Law Journal, 2012, 26, 1409.
  • 23.
    Projet de loi pour une République numérique, n° 3318, enregistré à la présidence de l’Assemblée Nationale le 9 décembre 2015.
  • 24.
    S. Spiekermann, « The challenges of privacy by design » : Communications of the ACM 55.7, 2012, p. 38-40.
  • 25.
    A. Rallet et a., « De la Privacy by Design à la Privacy by Using. Regards croisés droit/économie » : Réseaux 2015/1, n° 189, p. 15-46.
  • 26.
    Art. 29 Data protection Working Party, Opinion 8/2014 on the recent developement on the Internet of Things, Adopted on 16 september 2014.
  • 27.
    http://www.lemonde.fr/vie-en-ligne/article/2014/06/03/apple-healthkit-samsung-sami-collecter-les-donnees-de-sante-pour-quoi-faire_4430908_4409015.html.
  • 28.
    Art. 29 Data protection Working Party, Opinion 8/2014 on the recent developement on the Internet of Things, Adopted on 16 september 2014.
  • 29.
    G. Cecere et a., « Les modèles d’affaires numériques sont-ils trop indiscrets ? Une analyse empirique » : Réseaux 2015/1, n° 189, p. 77-101.
  • 30.
    Cnil, « Le Quantified self : nouvelle forme de partage des données personnelles, nouveaux enjeux ? » : Lettre Innovation et Prospectives, n° 05, juill. 2013.
  • 31.
    Narayanan, Arvind, and Edward W. Felten, « No silver bullet : De-identification still doesn’t work » : White Paper, 2014.
  • 32.
    Cnil, « Le Quantified self, nouvelle forme de partage des données personnelles » : Lettre Innovation & Prospectives n° 5, nouveaux enjeux, déc. 2013.
  • 33.
    Park, Yong Jin, « Provision of Internet privacy and market conditions: An empirical analysis » : Telecommunications Policy, 2011, 35.7, p. 650-662.
  • 34.
    I. Beyneix, « Le traitement des données personnelles par les entreprises : big data et vie privée, état des lieux » : JCP G 2015, doct. 1260.
  • 35.
    http://internetactu.blog.lemonde.fr/2015/03/07/les-applications-de-sante-en-questions/.
  • 36.
    Institut national des hautes études de la sécurité et de la justice, Travaux des auditeurs, « Sécurité des Objets Connectés », déc. 2014.
  • 37.
    « Big Data et objets connectés, Faire de la France un champion de la révolution numérique » : Rapp. Institut Montaigne, avr. 2015, p. 69.
  • 38.
    E. Minvielle, « Santé numérique » : le Libellio d’AEGIS 2015, p. 13.
  • 39.
    Sur ce point, l’article L. 161-28-1 du Code de la sécurité sociale indique que les données reçues et traitées par le SNIIRAM doivent préserver l’anonymat des personnes ayant bénéficié des prestations de soins, et l’article L. 6113-8 du Code de la santé publique concernant le PMSI insiste sur le besoin de respecter l’anonymat des patients.
  • 40.
    P.-L. Bras, A. Loth, « Rapport sur la gouvernance et l’utilisation des données de santé » : DRESS, sept. 2013.
  • 41.
    Institut des données de santé, rapp. au Parlement, 2014.
  • 42.
    L’utilisation de différents pseudonymes associés directement à l’objet, combinée à une différenciation des données permettant un éclatement du stockage des informations concernant un individu semblent être des solutions satisfaisantes. Sur ce point, v. P. Schaar, « Privacy by design » : Identity in the Information Society 3.2, 2010, p. 267-274.
  • 43.
    Les processus de dé-identification ne permettent justement pas une protection absolue contre les risques de ré-identification. Sur ce point, v. P. Ohm, « Broken promises of privacy : Responding to the surprising failure of anonymization » : 57 UCLA Law Review, 2010.
  • 44.
    Sur ce point, voir notamment le rapport d’information du Sénat n° 469, fait au nom de la commission des lois constitutionnelles, de législation, du suffrage universel, du règlement et d’administration générale sur l’open data et la protection de la vie privée, par G. Gorge et F. Pillet, 16 avr. 2014.
  • 45.
    P. De Filipi, S. McCarthy, « Cloud Computing : Centralization and Data Sovereignty » : European Journal of Law and Technology, [S.l.], v. 3, n° 2, feb. 2012.
  • 46.
    J. Lavenue, « Données de santé à caractère personnel : Esculape vs Mercure ? » : Terminal. Technologie de l’information, culture & société, 2014, n° 116.
  • 47.
    TGI Paris, 5 mars 2015.
  • 48.
    A. Debet, « L’invalidation du Safe Harbor par la CJUE : tempête sur les transferts de données vers les États-Unis » : Comm. com. électr. nov. 2015, n° 11, comm. 94.
  • 49.
    CJUE, gr. ch., 6 oct. 2015, n° C-362/14, Maximilian Schrems c/ Data Protection Commissioner.