Messages les plus consultés

lundi 10 juin 2019

La CNUCED publie une carte de l’état de la protection des consommateurs dans le monde


La Conférence des Nations unies sur le commerce et le développement (CNUCED ou UNCTAD) a publié le “Global Cyberlaw Tracker”, une carte du monde interactive qui permet de visualiser les pays qui disposent de lois (ou de projets de lois) sur la protection des données personnelles, la protection des consommateurs, le e-commerce et la cybercriminalité, et les pays sans réglementation dans ces domaines. (1)

Protection de données personnelles
Selon la CNUCED, à ce jour, 107 pays, dont 66 pays en voie de développement économique, ont adopté des lois de protection de données personnelles. (2) Le taux d’adoption pour les pays d’Asie et d’Afrique est au même niveau, avec seulement 40% des pays de ces deux continents protégeant les données à caractère personnel. Des pays tels que Cuba, le Venezuela, l’Algérie, l’Egypte, le Sénégal, le Myanmar, le Laos ou le Cambodge par exemple n’ont toujours pas adopté de loi sur la protection des données personnelles.

Protection des consommateurs
Alors que plus de la moitié des pays, dont tous les pays économiquement développés, disposent d’une règlementation sur la protection des consommateurs, comprenant des dispositions plus ou moins protectrices des consommateurs, de nombreux pays en voie de développement économique n’ont pas encore adopté de loi dans ce domaine, dont un grand nombre de pays d’Afrique, mais également l’Inde et l’Arabie Saoudite.

Commerce électronique
Le taux d’adoption de lois applicables au commerce électronique est particulièrement élevé dans le monde, notamment comparé au domaine de la protection des consommateurs. 145 pays disposent d’une loi sur le commerce en ligne, dont 104 pays en voie de développement économique. Plusieurs pays d’Afrique sont à la traîne dans ce domaine.

Cybercriminalité 
Enfin, la réglementation sur la lutte contre la cybercriminalité se répand. Ainsi, 138 pays dans le monde (dont 95 pays en voie de développement économique) ont adopté une loi de lutte contre la cybercriminalité. 30 pays n’ont toujours pas de loi dans ce domaine.

                                                                               * * * * * * * * * *

(1) ”Data Protection and Privacy Legislation Worldwide”, UNCTAD

(2) Etude menée sur la base des 194 pays membres de la CNUCED


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Juin 2019

jeudi 9 mai 2019

Noms de domaine : le cybersquatting en hausse selon l’OMPI

De nombreuses entreprises sont victimes chaque année de cybersquatting (ou cybersquattage), en particulier dans les domaines du commerce de détail, de la mode et du luxe ou de la finance. Pour se défendre, les victimes peuvent soit engager une action en justice, soit lancer une procédure extrajudiciaire.

Dans un communiqué de presse publié le 15 mars 2019, l’OMPI (Organisation mondiale de la Propriété intellectuelle) a annoncé que son Centre d’arbitrage et de médiation avait reçu 3.447 plaintes relatives aux noms de domaine en 2018. Ces plaintes, déposées en vertu des Principes UDRP par des titulaires de marques, sont en hausse de 12% par rapport à l’année précédente. (1)


1. Le rôle du Centre d’arbitrage et de médiation de l’OMPI dans le règlement extrajudiciaire des litiges sur les noms de domaines (principes UDRP)

Le Centre d’arbitrage et de médiation est un organisme relevant de l’OMPI, dont le siège est situé à Genève, avec un bureau à Singapour. L’objet du Centre d’arbitrage est de proposer des services de règlement extrajudiciaires des litiges (médiation et arbitrage) dans les domaines de la propriété intellectuelle, des technologies et des noms de domaines, en particulier de nature internationale. (2)

Les procédures concernent tant des litiges contractuels (exécution de licences de brevets et de logiciels, contrats de coexistence de marques, contrats de recherche et de développement) que des litiges non-contractuels (tels que des litiges de contrefaçon ou le cybersqatting). Les litiges relatifs aux noms de domaines sont, de loin, les plus nombreux.

Les litiges relatifs aux noms de domaine sont traités par le Centre d’arbitrage et de médiation en vertu des Principes directeurs concernant le règlement uniforme des litiges relatifs aux noms de domaine (principes UDRP - Uniform Dispute Resolution Policy). (3) Cette procédure ne s’applique qu’aux litiges entre noms de domaine et marques.

Concernant les noms de domaine, seuls les litiges portant sur des noms de domaine enregistrés dans les domaines génériques de premier niveau (gTLD), tels que les domaines en .com, .org, .net, et les nouveaux gTLD en .online, .info., .app par exemple, sont pris en compte. Il convient d’ajouter plusieurs domaines de pays de premier niveau (ccTLD), notamment plusieurs extensions “exotiques” pouvant être utilisées à des fins frauduleuses, tels que les domaines en .ag (Antigua-et-Barbuda), .bm (Bermudes), .bs (Bahamas), .tv (Tuvalu), mais également le .fr, ou le .eu. (4) On notera toutefois que les noms de domaine en .com représentent encore plus de 70% des litiges traités par le Centre.

Pour être recevable, la demande du requérant doit remplir trois conditions cumulatives :
    i) le nom de domaine litigieux doit être identique ou similaire à une marque sur laquelle le requérant détient des droits, et prêter à confusion dans l’esprit du public ;
    ii) le détenteur du nom de domaine litigieux n’a aucun droit sur le nom de domaine, ni aucun intérêt légitime qui s’y attache ; et
    iii) le nom de domaine litigieux a été enregistré et utilisé de mauvaise foi. (5)

Enfin, l’entrée en application du RGPD permet désormais de masquer les coordonnées des titulaires de noms de domaines sur les bases de données Whois, rendant l’accès à l’information plus difficile en cas de litige. Le Centre d’arbitrage a publié des conseils “informels” afin de permettre aux ayants droit de s’assurer de la recevabilité des leurs plaintes. (6)


2. La hausse des plaintes relatives aux noms de domaine

Les plaintes concernant le cybersquatting sont en hausse. Ainsi, le nombre de plaintes déposées en vertu des principes UDRP par les ayants droit de marques dans des litiges relatifs à des noms de domaine s’est élevé à 3.447 en 2018 et a porté sur un total de 5.655 noms de domaine, en hausse de 12% par rapport à 2017. 

Les sites utilisant des noms de domaines litigieux sont généralement liés à des activités frauduleuses, telles que la vente de contrefaçons, le phishing (hameçonnage), l’atteinte au droit des marques par exemple, ou encore le développement d’une activité parasitaire.

En 2018, les parties aux litiges administrés par l’OMPI en vertu des principes UDRP venaient de 109 pays. 976 plaintes concernent les États-Unis, suivis par la France (553 plaintes), le Royaume-Uni (305 plaintes) et l’Allemagne (244 plaintes).

Les trois principaux domaines d’activité des plaignants sont la banque et la finance (12%), la biotechnologie et les produits pharmaceutiques (11%) et internet et les technologies de l’information (11%).


    Les noms de domaine font partie des actifs majeurs de la plupart des entreprises, qu'elles aient une activité commerciale en ligne ou un simple site "vitrine". Le cybersquatting porte une atteinte manifeste non seulement à l’image des titulaires de marques mais également à la concurrence. Il est donc nécessaire de mettre en place une stratégie de défense comprenant d’une part l’enregistrement de noms de domaines dans les extensions les plus courantes quand cela est possible, et avec des dérivés orthographiques, et d’autre part organiser une veille internet régulière pour détecter les fraudes éventuelles.

Le recours aux services d’arbitrage et de médiation de l’OMPI permet notamment aux ayants droit de récupérer un nom de domaine enregistré de mauvaise foi par un tiers, en évitant des procédures judiciaires longues et coûteuses, et le plus souvent internationales. Cette procédure simple, rapide et peu coûteuse (mais entièrement à la charge du requérant), n’exclut cependant pas la possibilité pour l’une ou l’autre des parties de porter le litige devant les tribunaux.


                                                                   * * * * * * * * * *

(1) « Nouveau record de plaintes pour cybersquattage (+12%) déposées auprès de l’OMPI en 2018 », Communiqué de presse du 15 mars 2019, OMPI

(2) Site de l’OMPI

(3) La procédure UDRP (Uniform Dispute Resolution Policy) et les Principes directeurs et les règles d’application éditées le 24 octobre 1999, sont accessibles sur le site du Centre d’arbitrage de l’OMPI
 
(4) Il existe deux types de procédures similaires - la procédure Syreli (Système de règlement des litiges) et la procédure PARL Expert (Procédures alternatives de résolution de litiges) administrées par l’Afnic pour l’extension en .fr et les extensions gérées gérées par l’Afnic 

(5) Pour les conditions de recours à la procédure UDRP, voir notre précédent article sur le sujet “Conflit entre une marque et un nom de domaine : le choix du recours à la procédure extrajudiciaire

(6) Voir la page “Impact of Changes to Availability of WhoIs Data on the UDRP: WIPO Center Informal Q&A



Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mai 2019

vendredi 26 avril 2019

Signature d’une Charte des acteurs du e-commerce pour une relation équilibrée entre les places de marché et les vendeurs

 
Le 26 mars 2019, une Charte des acteurs du e-commerce a été co-signée par Mounir Mahjoubi, ex-Secrétaire d’état chargé du numérique, la Fevad (Fédération du e-commerce), la CPME (Confédération des PME) et huit places de marché (ou marketplaces), membres de la Fevad, dont Cdiscount, eBay, Le Bon Coin, et Rakuten. (1)

L’objet de cette charte, dont l’adhésion est volontaire, est de poser les « conditions d’une relation équilibrée, transparente et loyale entre les opérateurs de plateformes en ligne, tels que définis à l’article L.111-7 du code de la consommation » et les entreprises utilisatrices. La charte propose ainsi des bonnes pratiques, afin d’améliorer la confiance des utilisateurs dans le e-commerce. Ces entreprises, la plupart PME, voire TPE, utilisent les services et la visibilité des plateformes pour faciliter l’accès au marché de la vente en ligne.

La charte s’articule autour des points suivants :

   - La formalisation des engagements mutuels entre les parties, plateformes et entreprises utilisatrices, par la mise à disposition des entreprises des conditions d’utilisation claires et compréhensibles, permettant notamment le recours à la médiation en cas de litige ;

   - La garantie d’un échange ouvert, fiable et individualisé entre la plateforme et l’entreprise utilisatrice par un dispositif au sein des plateformes permettant les échanges entre les parties ;

   - Des règles de déréférencement plus claires avec la possibilité pour les entreprises utilisatrices de les contester et des règles relatives au classement commercial des produits plus robustes. Concernant les entreprises utilisatrices, apprendre à respecter les règles de fonctionnement de la plateforme et mettre en ligne des offres conformes aux règlementations applicables en matière de vente à distance ;

   - L’efficacité de la lutte contre la contrefaçon par les plateformes et par les entreprises utilisatrices.

La charte doit faire l’objet d’un bilan annuel.

La charte sera complétée dans les mois qui viennent par le règlement sur les services d’intermédiation en ligne (règlement « platform to business ») et les directives « nouvelle donne pour les consommateurs ». (2)


                                                                         * * * * * * * * * *

(1) site de la Fevad

(2) Proposition de règlement promouvant l’équité et la transparence pour les entreprises utilisatrices des services d’intermédiation en ligne (règlement « platform to business ») et proposition de directives « nouvelle donne pour les consommateurs » (new deal for consumers)



Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Avril 2019

mardi 23 avril 2019

Résiliation contractuelle et stricte application de la clause résolutoire

En vertu de l’article 1103 du code civil, “Les contrats légalement formés tiennent lieu de loi à ceux qui les ont faits”. (1) Cette disposition s’applique tant aux conditions d’exécution du contrat qu’aux conditions de résiliation qui ont été prévues par les parties. (2)

La Cour de cassation l’a rappelé dans deux arrêts dans lesquels les juges ont fait une stricte application de la clause résolutoire figurant dans les contrats pour apprécier la régularité de la résiliation.


1. Les conditions de mise en oeuvre de la clause résolutoire

Dans une première affaire, la propriétaire d’un immeuble avait vendu son bien, avec une partie en rente viagère. L’acheteur (débirentier) n’ayant pas réglé des rentes à leur échéance, le 6 avril 2012 la vendeuse (crédirentier) a fait signifier un commandement de payer visant la clause résolutoire figurant au contrat de vente. Le 9 mai 2012, le crédirentier a assigné le débirentier, alors en redressement judiciaire, pour voir constater l’acquisition de la clause résolutoire du contrat de vente et obtenir le paiement des sommes dues par ce dernier.

La clause résolutoire figurant au contrat de vente stipulait “qu’à défaut par le débirentier de payer exactement les arrérages de la rente, et en cas de mise en demeure par le crédirentier au débirentier d’avoir à acquitter ladite rente, la vente sera résolue de plein droit, après un simple commandement de payer resté infructueux et contenant déclaration par le crédirentier de son intention d’user du bénéfice de ladite clause”.

Le commandement de payer signifié au débirentier faisait effectivement référence à la clause résolutoire du contrat. Le crédirentier avait en outre manifesté “sans ambiguïté”, sa volonté d’appliquer cette clause, avec effet immédiat. La Cour d’appel avait ainsi conclu au caractère régulier du commandement de payer.

Dans un arrêt du 17 octobre 2018, la Cour de cassation a cassé l’arrêt de la Cour d’appel d’Aix en Provence du 1er mars 2017, au motif que cette dernière n’avait pas correctement tiré les conséquences légales de ses constatations sur l’application de la clause résolutoire du contrat. (3)

Selon les termes de cette clause, la résolution du contrat était soumise à un délai accordé au débirentier pour régler les sommes impayées (“commandement de payer resté infructueux”). En conséquence, la Cour de cassation a décidé que la résolution du contrat devait être impartie d’un délai au débirentier pour régler les sommes impayées, appliquant strictement les termes de la clause résolutoire.


2. L’incompatibilité d’une faute grave avec l’application d’un préavis de résiliation

Dans cette seconde affaire, un radiologue avait conclu un contrat d’exploitation d’un scanner avec une clinique, en date du 21 décembre 2010. La clause résolutoire prévoyait que les parties pourraient mettre fin au contrat sous réserve d’un préavis de six mois. En cas de résiliation par la clinique, celle-ci devait verser au médecin une indemnité correspondant à un an de chiffre d’affaires. En revanche, en cas de faute grave de la part du médecin, la résiliation serait immédiate et celui-ci n’aurait pas droit à l’indemnité.

Par courrier du 25 juillet 2014, la clinique a résilié le contrat à effet du 31 janvier 2015, s’appuyant sur un certain nombre de griefs, mais en s’opposant au versement de l’indemnité.

Le médecin a assigné la clinique en versement de l’indemnité contractuelle prévue à la clause résolutoire.

Le litige portait notamment sur la qualification de la faute imputable au médecin, et sur les conditions applicables à la résiliation du contrat. En effet, soit la clinique estimait que le médecin avait commis une faute grave, et dans ce cas la résiliation était immédiate et ne donnait pas lieu au versement de l’indemnité prévue au contrat, soit la faute n’était pas qualifiée de “grave”, et dans ce cas la résiliation était assortie du préavis de 6 mois et du versement de l’indemnité contractuelle.

Dans un arrêt rendu le 14 novembre 2018, la Cour de cassation a une nouvelle fois fait une application stricte des termes du contrat et relève la contradiction entre le fait de retenir une faute grave à l’encontre du cocontractant et refuser de lui régler l’indemnité contractuelle, et le fait d’assortir la résiliation d’un préavis de 6 mois. Ainsi, les juges soulignent “qu’une faute grave, par son importance, rend impossible le maintien d’un contrat d’exploitation ou d’exercice” conclu entre un médecin et un établissement de santé pendant la durée du préavis. La faute grave “ne peut, dès lors être retenue que si la résiliation a été prononcée avec effet immédiat.” (4)

La Cour d’appel de Paris, dans son arrêt du 15 juin 2017, avait relevé que la clinique avait résilié le contrat en accordant à la société (au médecin) un préavis de six mois. La qualification de faute grave ne pouvait donc s’appliquer. La cour de cassation a confirmé l’arrêt d’appel mais a prononcé la cassation partielle sur le montant de l’indemnité due par la clinique au médecin.


   La résiliation anticipée d’un contrat est désormais régie par l’article 1225 du code civil, dans sa version en vigueur depuis la réforme du droit des contrats. (5) Un contrat ne peut être résilié de manière anticipée que sous réserve 1- d’une mise en demeure restée sans effet, et 2- que la mise en demeure mentionne expressément la clause résolutoire figurant au contrat. Les parties peuvent cependant prévoir que le contrat sera résilié du seul fait de l’inexécution de ses obligations par une partie.

Il convient donc d’une part de rédiger les clauses résolutoires dans des termes clairs, en précisant les différentes situations pouvant entraîner la résiliation du contrat (manquement contractuel, faute grave - et éventuellement fournir des exemples de manquements qui pourront être qualifiés de faute grave), et d’autre part de s’assurer de les exécuter correctement en cas de mise en oeuvre de la clause de résiliation anticipée du contrat.


                                                                      * * * * * * * * * *

(1) ancien article 1134 al.1 du code civil dans sa version antérieure à l’ordonnance du 10 février 2016.

(2) article 1184 du code civil, dans sa version antérieure à l’ordonnance du 10 février 2016, remplacé par les articles 1224 à 1230 du code civil

(3) Cass com, affaire n°17-17935, arrêt du 17 octobre 2018

(4) Cass civ 1, affaire n°17-23135, arrêt du 14 novembre 2018

(5) Art 1225 du code civil “La clause résolutoire précise les engagements dont l'inexécution entraînera la résolution du contrat.
La résolution est subordonnée à une mise en demeure infructueuse, s'il n'a pas été convenu que celle-ci résulterait du seul fait de l'inexécution. La mise en demeure ne produit effet que si elle mentionne expressément la clause résolutoire.


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Avril 2019

jeudi 18 avril 2019

L’importance de l’implication du client dans l’exécution d’un projet informatique

La jurisprudence relative aux contrats informatiques relève souvent les carences du prestataire dans l’exécution de son obligation de conseil vis-à-vis du client ou dans l’exécution de ses prestations. On rappellera toutefois que dans le cadre de l’exécution de projets informatiques, le client ne peut pas attendre la livraison du projet en restant passif. Deux arrêts de cour d’appel remontant à 2017 rappellent ainsi l’importance du rôle actif du client dans l’exécution de projets informatiques. Sa pleine coopération est en effet un élément clé de la bonne exécution du projet. Par ailleurs, le nouveau droit des contrats, issu de l’ordonnance du 10 février 2016 prévoit que “Les contrats doivent être négociés, formés et exécutés de bonne foi.” (1) Cette obligation, d’ordre public, s’impose aux parties non seulement pendant la période pré-contractuelle, mais également pendant toute la durée du contrat.

Dans la première affaire, la faute du client qui n’avait pas exprimé ses besoins a été retenue par les juges. La seconde affaire retient la résiliation du contrat aux torts du client qui a refusé la réception provisoire d’un site internet.


1. Le client est tenu d’exprimer ses besoins

Dans un arrêt rendu le 5 octobre 2017, la cour d’appel d’Aix-en-Provence a prononcé la résiliation d’un contrat de développement de sites web aux torts du client qui n’a pas exprimé ses besoins. (2)

En 2010, la société Nouvelles Destinations, tour-opérateur spécialisé dans la vente de séjours autour de parcs d’attractions, a souhaité refondre son site internet destiné aux professionnels (B2B) et développer un site à destination des consommateurs (B2C). Les prestations de développement ont été confiées à la société Flag Systèmes. Trois contrats ont été conclus en décembre 2010 et janvier 2011 : un contrat-cadre pour les développements spécifiques, pour un montant total de 135.000 euros, un contrat d’achat et de maintenance des licences I-Resa et un contrat d’hébergement et d’administration de la plate-forme I-Resa.

N’ayant pas reçu le dernier paiement prévu au contrat-cadre de développement, ni le règlement des factures d’hébergement, la société Flag Systèmes a mis le client en demeure de payer le 14 octobre 2013. En réponse, la société Nouvelles Destinations a contesté devoir les sommes réclamées, invoquant divers dysfonctionnements. Le prestataire a donc fait assigner la société Nouvelles Destinations et son assureur devant le tribunal de commerce d’Aix-en-Provence en règlement des sommes. Dans un jugement du 10 novembre 2015, le tribunal a condamné la société Nouvelles Destinations à régler les sommes dues à la société Flag Systèmes. Nouvelles Destinations a interjeté appel.

Dans sa décision du 5 octobre 2017, la Cour relève que le contrat-cadre rappelle en préambule que la société Nouvelles Destinations n’a pas fourni de document d’expression de ses besoins ni de cahier des charges, que le contrat-cadre est destiné à permettre « d’initialiser les premières phases de travail sans que les enveloppes définitives soient engagées », et qu’il est recommandé à la société Nouvelles Destinations « de recourir à une assistance à maîtrise d’ouvrage, mener une réflexion de fond sur l’organisation des services, les processus métiers et les flux d’informations mis en place, et la mise en place d’un comité de pilotage. » Or, la société Nouvelles Destinations n’a suivi aucune des recommandations du prestataire, au titre de l’obligation de conseil de ce dernier.

Par ailleurs, alors qu’il revient à la société cliente de prouver les dysfonctionnements allégués et leur imputabilité au prestataire, les juges relèvent que la société Nouvelles Destinations ne produit que des emails émanant d’elle-même, se plaignant de dysfonctionnements, sans aucune plainte de clients ou de partenaires commerciaux, ni constat d’huissier attestant desdits dysfonctionnements pouvant justifier le non-paiement des factures du prestataire.

En conséquence, la Cour a confirmé le jugement du tribunal de commerce, mais revu la condamnation à la baisse. La société Nouvelles Destinations a ainsi été condamnée à payer 101.000 euros dus au titre des contrats.


2. Le client qui refuse la réception provisoire du projet est en tort

Dans un arrêt du 6 juillet 2017, la cour d’appel de Grenoble a confirmé la résiliation d’un contrat de développement d’un site internet aux torts exclusifs du client qui avait refusé de procéder à la réception provisoire, alors que la réception aurait pu lui permettre de faire réaliser les corrections nécessaires par le prestataire au vu des éventuelles réserves.

La société Sikirdji Gemfrance, spécialisée dans le commerce de pierres fines et précieuses avait conclu un contrat de réalisation de site web avec la société DediServices le 9 juillet 2012 et a versé un premier acompte de 40% à la commande (soit 10.697,02€ TTC). Prétendant que le site commandé n’avait jamais été achevé et qu’il comportait de nombreux dysfonctionnements, la société Sikirdji Gemfrance a demandé au prestataire le remboursement de l’acompte versé par mise en demeure du 4 avril 2013, puis assigné la société DediServices en résolution du contrat et remboursement de l’acompte le 16 septembre 2013.

Dans son jugement du 28 novembre 2014, le tribunal de commerce de Grenoble a condamné la société cliente à payer à la société DediServices la somme de 16.045,54 € au titre des factures impayées avec application des pénalités de retard contractuelles, 10.000 € euros de dommages et intérêts et 2.000 € au titre de l’article 700 du code de procédure civile. La société Sikirdji Gemfrance a interjeté appel le du 16 janvier 2015.

Alors que la réception a notamment pour objet d’obliger le prestataire à faire les modifications correspondant aux éventuelles réserves qui auraient été mentionnées au procès-verbal de recette, en l’espèce la société cliente a refusé la réception provisoire du site.

La cour a confirmé la condamnation de la société Sikirdji Gemfrance à payer au prestataire les sommes prévues par le contrat et non encore réglées, augmentées des pénalités de retard, 10.000 € pour le travail supplémentaire généré par les nombreuses demandes d’interventions et de modifications, et 50.000 € de dommages-intérêts.

Cet arrêt fait l’objet d’un pourvoi en cassation.

                                                                   * * * * * * * * * *

(1) article 1104 du Code civil

(2) Cour d’appel d’Aix-en-Provence, 8e ch. B, arrêt du 5 octobre 2017, Nouvelles Destinations / Flag Systèmes et Hiscox Europe Underwriting Ltd

(3) Cour d’appel de Grenoble, ch. com, arrêt du 6 juillet 2017 Sikirdji Gemfrance / DediServices


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Avril 2019

lundi 18 mars 2019

Transferts de données personnelles et Brexit : comment se préparer à une sortie de l’UE sans accord ?

Le rejet du plan de sortie de l’Union européenne par les parlementaires britanniques à deux reprises, les 15 janvier et 12 mars derniers, laisse planer la possibilité d’un Brexit sans accord le 29 mars 2019, et ce même en cas d’un report éventuel de quelques semaines. La sortie du Royaume-Uni de l’Union européenne sans accord posera de multiples problèmes, dont celui des transferts de données personnelles entre l’UE (et l’Espace économique européen - EEE) et le Royaume-Uni. Les sociétés de services numériques, les établissements financiers et les multinationales sont particulièrement concernés.

Les sociétés britanniques et leurs co-contractants européens doivent donc être préparés en cas de sortie de l’UE sans accord (« hard Brexit » ou « no-deal Brexit »), afin de minimiser les conséquences d’une telle situation sur leurs activités.

Bien que le Royaume-Uni ait mis à jour sa réglementation sur la protection des données personnelles avec le Data Protection Act 2018,(1) entré en application en même temps que le RGPD le 25 mai 2018, un hard Brexit signifierait la fin de la libre circulation des données personnelles entre l’Union européenne et le Royaume-Uni. Le Royaume-Uni sera alors considéré comme un pays tiers à l’UE et à l’EEE, sans pouvoir bénéficier du statut de pays offrant un niveau de protection adéquat. Les sociétés concernées, responsables de traitement, cotraitants et sous-traitants, devront mettre en place des accords de même type que les entreprises à l’international.

Voyant la date butoir se rapprocher, le Comité européen de la protection des données (CEPD) et la CNIL ont publié, courant février, des conseils à l’attention des organismes concernés par les transferts de données entre l’Union européenne et le Royaume-Uni.(2)


1. La mise en place d’outils de transfert de données pour continuer à assurer un niveau de protection adéquat

Les transferts de données depuis un pays membre de l’Union européenne vers un pays extérieur à l’UE ne bénéficiant pas d’une décision d’adéquation sont soumis à l’exigence de “garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives”, définies par des documents contraignants pour les deux parties, responsable du traitement et destinataire des données. (art. 46 du RGPD)

Ces documents peuvent être :

    - Les clauses contractuelles types (CCT)
Les CCT sont des contrats types de transferts de données adoptés par la Commission européenne. Les CCT doivent être signées telles quelles, et ne peuvent être modifiées par les parties. Il existe deux types de CCT : les CCT entre responsable du traitement européen et responsable du traitement de pays tiers (co-responsables de traitements) et les CCT entre responsable du traitement européen et sous-traitant d’un pays tiers.(3)

    - Les contrats “ad hoc”
Les clauses contractuelles spécifiques, ou “ad hoc” sont des contrats de transferts de données négociés entre les parties. Ces contrats doivent cependant être préalablement autorisés par la CNIL, après avis du CEPD.

    - Les codes de conduite et les mécanismes de certification
Ces deux outils ont été créés avec le RGPD. Comme pour les contrats “ad hoc”, les codes de conduite et mécanismes de certification doivent avoir été préalablement autorisés par la CNIL, après avis du CEPD. Ces outils étant nouveaux, ils semblent peu appropriés pour gérer les transferts de données entre l’UE et le Royaume-Uni, alors que les délais de mise en conformité sont très serrés.

    - Les règles contraignantes d’entreprise (ou binding corporate rules - BCR)
Les BCR sont des politiques intra-groupe, mises en oeuvre au sein de groupes ou sociétés multinationales et applicables à toutes les sociétés du groupe dans le monde. (art. 47 du RGPD) L’adoption des BCR est soumise à une procédure d’approbation par la CNIL. Comme pour les codes de conduite, le délai de mise en place de BCR rend cet outil peu approprié en l’espèce.(4)

Ainsi, pour les entreprises concernées par des transferts de données personnelles vers le Royaume-Uni n’ayant pas de BCR (transferts au sein de sociétés d’un même groupe), l’outil le plus adapté, compte tenu de la situation, est le CCT, document “prêt-à-signer” permettant de se mettre en conformité dans des délais très courts.

En cas d’utilisation de services cloud par des sociétés situées dans l’Union européenne, il conviendra de se poser la question de la situation des data centers et prendre éventuellement les mesures appropriées de mise en conformité : rapatriement des données personnelles sur le continent ou signature de CCT avec le prestataire de services cloud.

Des décisions devront être prises très rapidement par les entreprises concernées pour minimiser les blocages de transferts de données entre le continent européen et le Royaume-Uni.


2. Les autres mesures de mise en conformité des sociétés britanniques et non-européennes

Les sociétés britanniques et non-européennes devront également se mettre en conformité avec le RGPD en cas de “hard Brexit”.

    - La désignation d’un représentant dans l’UE
En vertu des articles 3(2) et 27 du RGPD, les sociétés britanniques responsables de traitement ou sous-traitantes, qui traitent d’importants volumes de données de résidents européens, devront désigner un représentant situé dans l’un des Etats-membres, comme toute société non-européenne dans la même situation.

Quant aux sociétés non-européennes qui auraient désigné un représentant britannique, elles devront désigner un nouveau représentant situé dans l’un des Etats-membres pour se mettre en conformité.

    - La désignation d’une autorité chef de file dans l’UE
Enfin, les sociétés non-européennes qui auraient désigné l’autorité de contrôle britannique (ICO) comme autorité de contrôle chef de file devront rapidement désigner une nouvelle autorité de contrôle dans l’un des Etats-membres, conformément à l’article 56 du RGPD.


3. La situation des données en provenance du Royaume-Uni

Les transferts de données personnelles vers l’UE en provenance du Royaume-Uni ne seraient pas soumis à des procédures supplémentaires pour garantir les droits des personnes concernées. Ces données personnelles britanniques pourront être transférées librement vers l’Union européenne, sous réserve d’être ensuite traitées conformément à la réglementation applicable.


    En l’absence de mise en place des outils juridiques appropriés avant la date effective du Brexit, tout transfert de données depuis l’UE vers le Royaume-Uni deviendra illicite. Cette situation peut paraître paradoxale alors que le Royaume-Uni est pour l’instant soumis au RGPD et donc considéré comme offrant les garanties nécessaires pour la protection des données personnelles en provenance du continent.

La Commission devrait très probablement régulariser cette situation dans les mois qui viennent en prenant une décision d’adéquation pour le Royaume-Uni.

                                                                          * * * * * * * * * * * *


(1) https://ico.org.uk/for-organisations/data-protection-act-2018/
 
(2) Se préparer à un Brexit sans accord : quelles questions ? Quels conseils de la CNIL ? site de la CNIL

(3) https://www.cnil.fr/fr/les-clauses-contractuelles-types-de-la-commision-europeenne

(4) https://www.cnil.fr/fr/les-regles-dentreprise-contraignantes-bcr-binding-corporate-rules


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mars 2019

vendredi 8 mars 2019

Transferts de données à l’international : le Japon reconnu comme offrant un niveau de protection adéquat

Le 23 janvier 2019, la Commission européenne a d’adopté une décision d’adéquation avec le Japon. (1) Le Japon a publié une décision réciproque d’adéquation pour l’Union européenne, ces deux décisions prenant effet ce même jour.

En pratique, cette décision d’adéquation avec le Japon signifie que les entreprises européennes pourront désormais transférer des données personnelles depuis l’Union européenne vers le Japon en application de l’article 45 du RGPD, sans autre formalité.


1. Les transferts de données personnelles à l’international et la notion d’adéquation


Depuis la directive du 24 octobre 1995 sur la protection des données, les organismes peuvent librement transférer des données personnelles d’un Etat membre à un autre au sein de l’Union européenne (sous réserve cependant de respecter la réglementation en matière de protection des données). Les transferts de données vers des pays situés à l’extérieur de l’UE restent toutefois soumis à des règles strictes. Ce principe reste applicable avec le RGPD.

Les organismes européens souhaitant transférer des données vers une société située en dehors de l’UE, et son cocontractant doivent soit signer les Clauses contractuelles types (CCT) de la Commission, soit signer un contrat ad hoc de transfert des données, validé par une autorité de contrôle. Les partie peuvent également se soumettre à un code de conduite approuvé, assorti d’engagements contraignants des parties, ou mettre en oeuvre un mécanisme de certification approuvé, également assorti d’engagements contraignants. (2)

Enfin, si les deux entités appartiennent à un même groupe de sociétés, elles peuvent faire approuver des Règles d’entreprise contraignantes (Binding corporate rules - BCR). (3)

Certains pays tiers à l’UE peuvent cependant être reconnus comme offrant un niveau de protection adéquat aux données transférées depuis l’UE. La reconnaissance de l’adéquation du niveau de protection est déterminée par la Commission européenne, sur la base des critères énoncés à l’article 45 du RGPD. Ces critères vont au-delà de l’existence d’une réglementation locale sur la protection des données personnelles et portent sur, outre l’existence et le fonctionnement effectif d’une autorité de contrôle indépendante, sur l’état de droit dans le pays tiers et sur les engagements internationaux pris par ce pays.

Concernant l’état de droit, la Commission prend notamment en considération le respect des droits de l'homme et des libertés fondamentales, l'accès des autorités publiques aux données à caractère personnel, et les droits effectifs et opposables dont bénéficient les personnes concernées dans ce pays tiers. (4)

La procédure d’adéquation est organisée en quatre étapes : 1- une proposition d’adéquation émise par la Commission européenne, 2- un avis rendu par le Conseil européen de la protection des données (CEPD), 3- un accord des représentants des Etats membres, et 4- l’adoption de la décision d’adéquation par la Commission.

Comme nous le verrons pour la décision d’adéquation du Japon, cette procédure peut prendre plusieurs années avant que le pays soit reconnu comme offrant un niveau de protection adéquat.

En vertu de l’article 45 du RGPD, la décision d’adéquation signifie que les entreprises européennes peuvent librement transférer des données personnelles depuis l’Union européenne vers le pays reconnu comme adéquat, sans autre formalité, de la même manière que les transferts intra-européens.

Le Parlement européen et le Conseil peuvent demander à la Commission de modifier ou supprimer une décision d’adéquation en cas de non respect de ses engagements par le pays tiers. Il existe par ailleurs un mécanisme de suivi, pour s’assurer du respect de la décision d’adéquation par le pays tiers. Par exemple, le Privacy Shield, mécanisme d’adéquation mis en place avec les Etats-Unis, est revu tous les ans. (5) Ainsi, une décision d’adéquation peut être accordée par la Commission. Elle peut également être suspendue si les autorités du pays tiers ne se conforment pas, ou plus, à la décision.


2. Historique de la procédure d’adéquation du Japon

La première loi de protection des données japonaise date de 2005.

Une autorité de contrôle indépendante (Personal Information Protection Commission - PPC) a été créée en 2016. (6)

Une nouvelle loi de protection des données est entrée en vigueur le 30 mai 2017. (7) La loi de 2017 a intégré de nouveaux concepts dans le droit japonais, tels que les notions de données sensibles et d’anonymisation des données, et prend globalement en compte le RGPD.

La Commission européenne, constatant que le droit japonais de la protection des données personnelles s’était rapproché des concepts du droit européen, a débuté les discussions d’adéquation avec le Japon il y a deux ans, en janvier 2017. Un accord de principe a été conclu en juillet de la même année, en parallèle avec la conclusion de l’accord de partenariat économique entre l’Union européenne et le Japon. Un projet de décision d’adéquation a ensuite été publié par la Commission en septembre 2018 ayant abouti à son adoption en janvier 2019.


3. Les principaux éléments de la décision d’adéquation concernant le Japon

La loi japonaise n’étant pas identique au RGPD, le Japon a dû mettre en place des “règles supplémentaires” afin d’atténuer les différences entre les deux systèmes de droit de la protection des données. (8) Ces règles supplémentaires concernent plus particulièrement les données sensibles, l’exercice des droits individuels par les personnes concernées, et les conditions dans lesquelles les données personnelles en provenance de l’Union européenne peuvent ensuite être transférées vers un autre pays tiers à l’UE. Ces règles s’appliqueront aux entreprises japonaises destinataires de données personnelles en provenance de l’UE. De son côté, le Japon n’a pas imposé de règles supplémentaires aux entreprises européennes qui importeraient des données en provenance du Japon.

La décision d’adéquation comporte également un engagement du gouvernement japonais relatif à l’accès aux données par les autorités publiques japonaises aux fins de procédures pénales et de la sécurité nationale. L’accès et le traitement de données personnelles en provenance de l’UE dans ces domaines doivent être limités, proportionnés et soumis à une procédure de surveillance et de recours indépendants.

Enfin, la décision comprend un mécanisme de traitement des plaintes des personnes concernées européennes, géré et contrôlé par la PPC.

Il est prévu qu’un réexamen de l’application de la décision soit réalisé après deux ans, puis tous les quatre ans, pour évaluer son fonctionnement effectif, notamment concernant les règles supplémentaires.

Cette décision d’adéquation devrait ainsi faciliter les transferts de données vers le Japon, 3é puissance économique mondiale comptant 127 millions d’habitants.


    Il s’agit de la première décision d’adéquation prise depuis l’entrée en application du RGPD, les précédentes décisions ayant été prises en application de la directive d’octobre 1995 sur la protection des données.

A ce jour, seuls 13 pays ou territoires ont été reconnus par la Commission européenne comme offrant un niveau de protection adéquat aux données personnelles. (9) La Commission a cependant décidé d’étendre cette liste à de nouveaux pays. Cette dynamique viendrait en parallèle des conditions d’application extraterritoriale du RGPD d’une part, et du fait que plusieurs pays envisagent de faire évoluer leur droit de la protection des données personnelles pour se rapprocher des concepts du RGPD d’autre part. (10)

On notera enfin que des discussions d’adéquation sont également en cours depuis deux ans entre l’Union européenne et la Corée du Sud. Des députés européens se sont rendus à Séoul fin octobre 2018 pour rencontrer les autorités coréennes, y compris la Commission des communications coréenne et l’Agence de l’internet et de la sécurité coréenne (KISA) afin d’avancer vers une décision d’adéquation.


                                                                * * * * * * * * * * *

(1) Communiqué de presse de la Commission européenne du 23 janvier 2019

(2) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD), article 47

(3) article 46, RGPD

(4) article 45 2., RGPD

(5) Voir notre article Relations UE-US – Le Privacy Shield renouvelé pour un an

(6) https://www.ppc.go.jp/en/

(7) Act on the protection of personal information : https://www.ppc.go.jp/en/legal/

(8) https://ec.europa.eu/info/sites/info/files/annex_adequacy_decision_japan_2.pdf

(9) Liste des pays offrant un niveau de protection adéquate :
- Europe (hors UE) Andorre, Iles Faroe, Ile de Man, Guernesey, Jersey, Suisse
- Amérique : Canada, Etats-Unis (Privacy Shield), Argentine, Uruguay
- Asie : Israël, Japon
- Océanie : Nouvelle Zélande

(10) voir article 3 “Champ d’application territorial”, RGPD


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mars 2019

mardi 5 février 2019

La CNIL prononce une sanction record de 50 millions d’euros à l’encontre de Google


Le 21 janvier 2019, la formation restreinte de la CNIL a prononcé une sanction pour un montant de 50 millions d’euros, à l’encontre de la société Google LLC.(1) Cette délibération, la première rendue en application du RGPD, est particulièrement motivée quant aux règles de compétence de l’autorité de contrôle pour engager la procédure, et quant aux manquements constatés.

L’un des objectifs du RGPD est de donner aux personnes concernées plus de maîtrise sur leurs données personnelles, en renforçant les principes de transparence et de consentement éclairé, grâce à une information préalable claire et compréhensible.

En l’espèce, la décision de la CNIL sanctionne un manque de transparence de la part de Google et met en cause la validité du consentement obtenu à partir d’informations qui “ne sont pas toujours claires et compréhensibles”, ni aisément accessibles pour les utilisateurs.

Les 25 et 28 mai 2018, soit juste après l’entrée en application du RGPD, la CNIL a été saisie de deux plaintes collectives en vertu de l’article 80 du RGPD, déposées pour le compte de près de 10.000 personnes, par les associations None Of Your Business et La Quadrature du Net. Ces plaintes étaient motivées par le fait que Google traitait les données personnelles des utilisateurs de ses services, notamment à des fins de ciblage publicitaire, sans base juridique valable.

En septembre 2018, la CNIL a procédé à un contrôle en ligne pour vérifier la conformité à la loi Informatique et Libertés et au RGPD des traitements de données personnelles réalisés par Google. Pour ce faire, la Commission a analysé le parcours d’un utilisateur et les documents auxquels il peut avoir accès, en créant un compte Google au moment de la configuration de son téléphone mobile sous Android.


1. La compétence de la CNIL pour engager la procédure contre Google

Avant même d’aborder les manquements constatés par la formation restreinte de la CNIL(2), celle-ci justifie notamment sa compétence pour engager cette procédure contre la société Google.

La société Google contestait en effet la compétence de la CNIL, en soutenant que le siège européen de Google étant situé en République d’Irlande, l’autorité de protection des données irlandaise (Data Protection Commission) était compétente en qualité d’autorité chef de file.

La formation restreinte rappelle que la notion d’établissement principal suppose que l’établissement concerné dispose d’un “pouvoir de décision vis-à-vis des traitements de données à caractère personnel (…)”, et que ce pouvoir de décision comprend “l’exercice effectif et réel d’activité de gestion déterminant les décisions principales quant aux finalités et aux moyens du traitement.” Cette notion doit s’apprécier in concreto et ne peut reposer que sur la déclaration de l’entreprise en cause.

En l’espèce, Google ne démontre pas que sa filiale irlandaise disposait d’un pouvoir décisionnel sur les finalités et les moyens des traitements concernés. Le rôle de Google Ireland Limited se concentrait sur les activités commerciales et financières de Google en Europe. Par ailleurs, Google Ireland Limited n’était pas mentionnée dans les Règles de confidentialité de la société au 25 mai 2018 (date de l’entrée en application du RGPD), et n’avait pas désigné de délégué à la protection des données (DPO).

La formation restreinte en conclut que Google Ireland Limited ne peut être considérée comme l’établissement principal européen de Google LLC au sens de l’article 4 (16) du RGPD. Elle ne peut donc identifier une autorité chef de file. Après avoir consulté les autres autorités de contrôle européennes et pris en compte les lignes directrices publiées par le CEPD (3), la CNIL se déclare compétente pour engager cette procédure.


2. Les manquements constatés par la CNIL

Pour établir ses constatations, la formation restreinte a analysé le parcours d’un utilisateur et les documents contractuels auxquels il peut avoir accès, en créant un compte Google lors de la configuration de son téléphone mobile sous Android.

Deux séries de manquements au RGPD ont été constatés :

     1 - Un manquement aux obligations de transparence et d’information

Le RGPD repose sur les deux principes fondamentaux de transparence et d’information. La formation restreinte reprend les articles correspondants (art. 12 et 13 notamment) et les applique à la lettre à la procédure de création de compte sur Google.

Selon l’article 12 du RGPD, les informations fournies à la personne concernée doivent être concises, transparentes, compréhensibles, aisément accessibles, et rédigées en termes clairs et simples. L’article 13 prévoit que le responsable de traitement fournit les informations suivantes à la personne concernée au moment de la collecte des données, à savoir l’identité et les coordonnées du responsable du traitement, le cas échéant les coordonnées du DPO, les finalités du traitement ainsi que sa base juridique, les destinataires des données, le cas échéant, le fait que les données seront transférées vers un pays tiers, etc.

En l’espèce, les informations délivrées par Google aux utilisateurs ne sont pas suffisamment accessibles, claires et compréhensibles. Certaines informations obligatoires ne sont pas fournies aux utilisateurs : “des informations essentielles, telles que les finalités pour lesquelles les données sont traitées, la durée de conservation des données ou les catégories de données utilisées pour la personnalisation de la publicité, sont excessivement disséminées dans plusieurs documents, qui comportent des boutons et liens qu’il est nécessaire d’activer pour prendre connaissance d’informations complémentaires. L’information pertinente n’est accessible qu’après plusieurs étapes, impliquant parfois jusqu’à cinq ou six actions.

L’architecture générale de l’information, mise en place par Google, rend l’accès à certaines informations clés difficile. Ainsi, même si ces informations sont fournies par Google, elles sont difficiles à trouver car nécessitent de passer de page en page, par plusieurs clics, avant de les atteindre.

La formation restreinte conclut à un défaut global d’accessibilité des informations délivrées par la société.

La formation restreinte met ensuite l’accent sur le caractère “massif et intrusif” des traitements mis en oeuvre par Google. Elle rappelle que les données collectées par Google à travers ses différents services proviennent de sources très variées : données d’utilisation du téléphone portable (Android), de la messagerie Gmail, de la plateforme de vidéos YouTube, données de navigation sur internet avec les cookies Google Analytics déposés sur des sites tiers, données de géolocalisation…

Ces données relèvent de trois catégories : les données produites par la personne concernée (nom, mot de passe, adresse email, etc.), les données générées par son activité (adresse IP, identifiant uniques de l’utilisateur, données de réseaux mobiles et sans fil, géolocalisation, etc.), et les données dérivées à partir des données produites par la personne ou générées par son activité (ciblage publicitaire sur la base notamment des centres d’intérêt des utilisateurs, à partir de leur activité sur internet, ou recommandations personnalisées).

La formation restreinte considère que les finalités annoncées dans les différents documents sont “trop génériques au regard de la portée des traitements mis en oeuvre et de leurs conséquences.” La description des données collectées est imprécise et incomplète. Au vu de ces éléments, elle considère que l’utilisateur n’est pas à même de prendre la mesure des conséquences des principaux traitements sur sa vie privée.

Le manque de clarté et la difficulté des utilisateurs à “comprendre l’ampleur des traitements mis en place par Google”, considérés comme “particulièrement massifs et intrusifs” est en partie la conséquence du nombre de services proposés par Google, de la quantité de données collectées ainsi que leur nature.

     2 - Un manquement à l’obligation de disposer d’une base légale pour les traitements de personnalisation de la publicité

La deuxième série de manquements concerne la validité du consentement.

L’un des principes fondamentaux du droit de la protection des données repose sur la caractère licite du traitement, et particulièrement le consentement de l’utilisateur qui doit être libre, spécifique, éclairé et univoque, et recueilli par un acte positif clair (art. 4 (11) RGPD). Les conditions relatives au recueil et au retrait du consentement figurent à l’article 7 du RGPD.

A ce titre, la CNIL relève que le consentement de l’utilisateur n’est pas valablement recueilli car non suffisamment éclairé, dans la mesure où l’information, telle que l’information sur les traitements de personnalisation de la publicité, est disséminée dans plusieurs documents et parfois difficile à localiser.

La CNIL relève ensuite que le consentement n’est ni “spécifique” car il concerne plusieurs traitements alors que le RGPD implique un consentement distinct pour chaque traitement ou finalité, ni “univoque” dans la mesure où plusieurs cases sont pré-cochées par défaut alors qu’elles devraient être décochées.

La formation restreinte en conclut que le consentement des utilisateurs n’est pas valablement recueilli car il n’est pas donné par un acte positif et distinct pour chacun des traitements mis en oeuvre.


3. Les motivations justifiant le montant de la sanction

Enfin, la formation restreinte justifie le montant de cette sanction, fixé en application des nouvelles dispositions du RGPD (art. 83), compte tenu de la gravité des manquements constatés, du nombre d’utilisateurs, du nombre de services et du volume de données concernés, et du fait que ces manquements sont continus et non pas délimités dans le temps. La CNIL rappelle ainsi que “le renforcement des droits des personnes est l’un des axes majeurs du Règlement” et que “les personnes physiques devraient avoir le contrôle des données à caractère personnel les concernant.

Les manquements constatés permettent, selon la formation restreinte, de justifier une amende qui, en l’espèce, a été fixée à 4% du chiffre d’affaires de la société Google, soit 50 millions d’euros. Cette amende reste cependant très en deçà du plafond de 20% du chiffre d’affaires mondial de Google (110 milliards de dollars en 2017 pour sa maison-mère, Alphabet), prévu par le RGPD.

La société Google a annoncé sa décision de former un recours devant le Conseil d’Etat.


    L’objectif de remplacer la précédente directive d’octobre 1995 par un règlement est d’assurer une approche unifiée du droit de la protection des données personnelles dans l’Union européenne. A ce titre, la formation restreinte mentionne avoir consulté les autres autorités de contrôle et se réfère à plusieurs reprises dans sa délibération aux lignes directrices du CEPD. On peut donc s’attendre au développement d’une “jurisprudence” homogène des autorités de contrôle européennes.

Cette première sanction de la CNIL donne un aperçu de l’application effective du RGPD et comment la conformité à la nouvelle réglementation est appréhendée par l’autorité de contrôle, à savoir une interprétation stricte du règlement. La CNIL sanctionne ici une architecture de l’information trop complexe et peu instinctive pour l’utilisateur, ainsi que des textes souvent rédigés dans des termes peu clairs ou trop généraux.

La difficulté pour Google, comme pour toutes les plateformes proposant plusieurs services, sera de concilier les impératifs de concision, transparence et simplicité de l’information avec ceux de clarté et spécificité du consentement, afin d’être considérée conforme aux dispositions du RGPD, alors même que ces dispositions impliquent des documents contractuels plus longs car plus détaillés. Même si Google a choisi de former un recours contre la délibération de la CNIL, la société devra faire un réel effort de simplification et de transparence de l’information.

                                                                   * * * * * * * * * * *


(1) Délibération de la formation restreinte n°SAN-2019-001 du 21 janvier 2019 prononçant une sanction pécuniaire à l’encontre de la société Google LLC

(2) La formation restreinte de la CNIL est un collège spécifique composé de 6 membres. Elle est chargée de mener les procédures de non-conformité au RGPD et à la loi Informatique et Libertés et, le cas échéant, de prononcer des sanctions pécuniaires.

(3) Le comité européen à la protection des données (CEPD, ex-groupe de travail Article 29 ou G29) rassemble les autorités des 28 Etats-membres. Il a notamment pour mission de clarifier la mise en œuvre du RGPD en vue d’assurer une application uniforme du règlement. Ainsi, 19 lignes directrices ont été adoptées et 6 sont en cours d’élaboration par le CEPD.


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Février 2019


mercredi 30 janvier 2019

Relations UE-US – Le Privacy Shield renouvelé pour un an

Pour rappel, le Privacy Shield (ou “Bouclier de protection des données”), a remplacé le système du Safe Harbor en août 2016. Le Privacy Shield permet le transfert de données à caractère personnel entre des sociétés européennes et des sociétés américaines adhérentes au programme, dans le cadre d’une décision d’adéquation de la Commission européenne du 12 juillet 2016. (1) Les sociétés américaines adhérentes au Privacy Shield s’engagent à respecter les droits des citoyens européens dont les données à caractère personnel sont transférées vers les Etats-Unis. Le Privacy Shield est réexaminé par la Commission une fois par an pour s’assurer que ce système continue de garantir un niveau de protection adéquat des données personnelles transférées.

Selon Andrus Ansip, Vice-président de la Commission, chargé du marché unique numérique, en décembre 2018, plus de 3.850 sociétés américaines étaient certifiées comme adhérentes au Privacy Shield. (2)

Le 5 juillet 2018, le Parlement européen avait voté la suspension du Privacy Shield. Cette résolution, non contraignante, demandait à la Commission de suspendre le programme, sous réserve d’une mise en conformité par les Etats-Unis avant le 1er septembre.

Dans son rapport publié le 19 décembre 2018, la Commission européenne déclare que le niveau de protection des données personnelles transférées depuis l’Europe vers les Etats-Unis en application du Privacy Shield reste adéquat. Le Privacy Shield est donc renouvelé pour un an. (3)

Le rapport relève les mesures prises par les Etats-Unis sur la base des recommandations de la Commission, notamment :

   - le renforcement de la procédure de certification des sociétés américaines par le Ministère du commerce (DoC). Celles-ci ne peuvent désormais annoncer leur adhésion au Privacy Shield qu’après la finalisation de la procédure de certification par le Ministère ;

   - l’amélioration du suivi de la conformité des sociétés au Privacy Shield. Le Ministère du commerce a ainsi mis en place un double système de contrôle de conformité, avec des contrôles sur place auprès de sociétés adhérentes au système, sélectionnées au hasard, et des contrôles en ligne. Enfin des contrôles sont réalisés pour mettre en évidence les fausses déclarations par des sociétés qui ne sont pas certifiées. La Commission fédérale du commerce (Federal Trade Commission) réalise également des contrôles de conformité.

La Commission européenne a cependant identifié plusieurs points devant être pris en compte, dont la nomination d’un médiateur permanent (ombudsman) dans le cadre de cet accord d’ici le 28 février 2019, et l’évaluation de son rôle dans le traitement et la résolution des plaintes.

   En conclusion, ce deuxième examen annuel du Privacy Shield a permis de constater des avancées dans la mise en oeuvre du système par les autorités américaines. Par ailleurs, l’entrée en application du RGPD en Europe, et une plus grade sensibilité des particuliers au respect de leurs données personnelles, ont amené le Ministère du commerce américain à lancer une consultation sur une approche fédérale en matière de “respect de la vie privée”.

                                                                       * * * * * * * * * * *

(1) Décision d’exécution (UE) 2016/1250 de la Commission du 12 juillet 2016 conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à l'adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis

(2) Communiqué de presse de la Commission européenne du 19 décembre 2018 : “Bouclier de protection des données UE-États-Unis: le deuxième examen a conclu à des améliorations, mais un médiateur permanent devrait être nommé d'ici le 28 février 2019”

(3) Report on the second annual review of the EU-US privacy shield (19th December 2018)


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Janvier 2019

mardi 8 janvier 2019

Qu’est-ce que le Cloud Act américain ?

L’adoption du “Cloud Act” aux Etats-Unis en 2018 a suscité de nombreuses critiques et fait couler beaucoup d’encre. Afin de mieux comprendre les enjeux de cette législation, nous résumons ci-après ses principales finalités.

Encapsulé dans la loi américaine sur les dépenses 2018 (“Consolidated Appropriations Act”, 2018), le Cloud Act (pour “Clarifying lawful overseas use of data act”), adopté le 23 mars 2018, donne un cadre légal à la saisie d'emails, documents et communications électroniques localisés dans les serveurs de sociétés américaines et de leurs filiales à l’étranger. (1)

Alors que les sociétés internet et technologiques américaines se félicitent de l’adoption de cette loi, les associations de défense des libertés et de la vie privée dont l'union des libertés civiles américaines (ACLU) et l'Electronic Frontier Fondation (EFF) y sont vivement opposées.

Le Cloud Act devient une alternative au processus actuel de partage d'informations d’utilisateurs entre pays, le MLAT (Mutual legal assistance treaty), et dont la mise en oeuvre est plus rapide et simple à exécuter.

Le Cloud Act contient deux grandes séries de dispositions :

    1 - La communication de données par les sociétés américaines
Toute société dont le siège est aux Etats-Unis, ainsi que les sociétés contrôlées par elle, doit communiquer aux autorités américaines, sur leur demande, les données de communication placées sous son contrôle, sans considération du lieu de stockage de ces données ;

    2 - La signature d’accords entre les administrations américaines et étrangères
Le gouvernement américain pourra signer des accords internationaux avec des gouvernements étrangers, permettant aux autorités de chaque pays de demander directement aux fournisseurs de services de communication, de traitement et de stockage électroniques de données relevant de la juridiction de l’autre pays, la divulgation des données de communication les intéressant, sans avoir à passer par les procédures plus lourdes des MLAT ou des commissions rogatoires internationales.

Ces accords internationaux prendront la forme d’executive agreements, à savoir des accords qui ne nécessitent ni l’accord du Sénat (majorité des deux tiers), ni l’adoption d’une loi par les deux chambres du Congrès. Pour entrer en vigueur, il suffira que les deux chambres ne s’y opposent pas par une résolution conjointe dans les 90 jours de leur signature. En contrepartie, de tels accords ne peuvent être signés qu’avec des pays respectueux des droits fondamentaux et des principaux standards démocratiques.

Les demandes de communication de données concernées par ces accords ne peuvent viser que les infractions les plus graves (« serious crime »). L’objectif est d’accélérer la procédure d’investigation par les forces de l’ordre.

Pour l’instant, il existe une incertitude sur le fait de savoir si un executive agreement pourrait être signé avec l’Union européenne plutôt qu’avec chaque Etat-membre, voire même si les Etats-Unis chercheront à signer avec l’Europe. L’UE serait plutôt favorable à la signature d’un accord global.

En conclusion, le Cloud Act s’applique à toute société placée sous la juridiction des Etats-Unis qui contrôle les données informatiques de ses clients (notamment les GAFAM et leurs filiales), quels que soient leur nationalité et le lieu physique où ces données ont été émises ou sont stockées. Il ne s’agit pas d’une nouvelle procédure mais d’une évolution par rapport à la réglementation précédente issue du Stored Communications Act de datant de 1986.

Le Cloud Act, comme le Stored Communications Act, encadre l’accès des autorités américaines aux données de fournisseurs de services de communication, traitement et stockage électroniques de données placés sous la juridiction des Etats-Unis (procédure judiciaire en cours et sous réserve de disposer d’un mandat (ou warrant) délivré par une juridiction, requête par les autorités gouvernementales américaines dans le cadre d’une procédure pénale sous réserve de disposer d’une réquisition judiciaire (ou court order). Le Cloud Act prévoit que le fournisseur de services auquel les données sont demandées a la possibilité de s’y opposer au motif que la demande, si elle devait être satisfaite, le conduirait à méconnaître la législation d’un pays étranger et l’exposerait à des sanctions (situation de conflits de lois).

Le Cloud Act est-il compatible avec le RGPD ?

Le RGPD (art. 44 et suivants) réglemente les conditions dans lesquelles des données personnelles peuvent être transférées vers des pays tiers. Or le Privacy shield, applicable aux transferts entre sociétés européennes et sociétés américaines adhérant au programme, ne couvre pas les entités gouvernementales.

Le transfert de données à caractère personnel aux autorités américaines par une société américaine ou sa filiale, en application d’une demande fondée sur le Cloud Act et non sur un accord international de type MLAT ou la mise en œuvre d’une commission rogatoire internationale, ne serait pas conforme au RGPD. Il conviendra de suivre comment le Cloud Act sera mis en œuvre dans les prochains mois.

                                                       * * * * * * * * * * *

(1) Consolidated Appropriations Act, 2018 et Clarifying lawful overseas use of data act (Cloud Act), adopté le 23 mars 2018

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Janvier 2019

vendredi 4 mai 2018

RGPD : pendant quelle durée conserver les données personnelles ?


L’un des sujets d’achoppement entre l’Union européenne et les “GAFA” concerne la durée de conservation des données personnelles collectées. Pour ces sociétés, lorsque les traitements sont soumis au droit américain (droit de l’état de Californie notamment), la question de la durée de conservation des données personnelles ne se pose pas, celles-ci pouvant généralement être conservées sans limitation. Il n’en est pas de même en Europe.

Le RGPD impose non seulement de minimiser les données collectées, c’est-à-dire de limiter les catégories et les volumes de données personnelles collectées, mais également, de limiter leur durée de conservation. (1)

La question n’est pas nouvelle puisque le principe de durée limitée de conservation des données figure déjà à l’article 6 de la loi Informatique et Libertés de janvier 1978. (2)

Mais que signifie le fait de conserver les données pour une durée limitée ? Et comment définir cette durée ? La réponse à ces questions est relativement complexe. En effet, il n’existe pas une durée unique de conservation des données personnelles, mais des durées variables suivant la finalité des traitements.

Certaines données n’ont pas besoin d’être conservées pendant une durée supérieure à leur utilisation effective (quelques minutes à quelques jours). En revanche, d’autres catégories de données personnelles doivent être conservées pendant une durée fixée par la loi, afin par exemple, de permettre aux parties d’exercer leurs droits ou de prouver un acte juridique ou l’exécution d’une obligation. Les données personnelles concernées ne seront effacées qu’à l’expiration de ce délai.

En matière de durée de conservation des données personnelles, la distinction peut s’opérer ainsi : celles pour lesquelles il existe des règles relatives à la durée de conservation (délai de prescription), et celles non couvertes par un délai de prescription.


1. Les données devant être conservées pendant un délai légal

Certaines catégories de données doivent être conservées pendant une durée déterminée par le délai de prescription. (3) En effet, chacune des parties concernées doit pouvoir rapporter la preuve d’un acte juridique (achat / vente, paiement d’une prestation, paiement de la TVA, etc.) pendant un délai raisonnable, fixé par la loi.

Il existe de multiples délais de prescription légale, que ce soit en droit civil, commercial, fiscal ou pénal par exemple.

En règle générale :
    - en matière civile, le délai de prescription applicable aux biens et services fournis par un vendeur ou prestataire professionnel à un consommateur est de 2 ans. En matière de salaires, la prescription est de 3 ans ;
    - en matière commerciale, le délai de prescription est fixé à 5 ans pour les obligations entre commerçants et entre commerçants et non-commerçants (consommateurs) ;
    - enfin, en matière fiscale, le délai de prescription est fixé à 3 ans (fin de la troisième année qui suit celle au titre de laquelle l'imposition est due). (4)

Comment appliquer ces délais à la durée de conservation des données personnelles collectées ? Il convient d’identifier la finalité du fichier afin de déterminer la durée de conservation applicable aux données collectées.

Exemple de données collectées dans le cadre de la relation entre l’entreprise et ses clients :
    - Contrat de vente ou de prestation de services : les données devant être conservées concernant les contrat comprennent, outre le contrat, les coordonnées du client (nom, prénom, adresse, etc.). Ces données doivent être conservées pendant 5 ans.
    - Facturation et paiement : les données devant être conservées comprennent les coordonnées du client (nom, prénom, adresse, etc.) et les données de facturation. Ces données doivent être conservées pendant 3 ans.
    - Obligations fiscales (TVA, IS) : les données devant être conservées comprennent les données de facturation. Ces données doivent être conservées pendant 3 ans.

Exemple de données collectées dans le cadre de la relation entre l’entreprise et ses salariés :
    - Gestion de la paie : les données devant être conservées comprennent les coordonnées du salarié (nom, prénom, adresse, etc.) et les données de salaire. Ces données doivent être conservées pendant 3 ans.

Comme on peut le voir par les quelques exemples ci-dessus, certaines catégories de données sont utilisées pour plusieurs actes (inscription sur un site de e-commerce, achats en ligne, commandes de prestations, etc.) eux-mêmes couverts par des délais de prescription différents. Il conviendra d’identifier l’objectif poursuivi par la collecte de données et appliquer la durée correspondant à cette finalité.

Afin de s’assurer que l’on ne conserve que les données nécessaires pendant la durée légale applicable, il conviendra de les cartographier en identifiant les traitements pour lesquels ces données sont utilisées et déterminer la durée de prescription légale la plus longue. Les autres données seront supprimées.


2. Les données non couvertes par un délai de conservation légal


La durée de conservation des données collectées pour certains traitements n’est pas soumise à un délai de conservation légal. Il conviendra alors d’appliquer strictement le principe de conservation uniquement pour le temps nécessaire à l’accomplissement de la finalité poursuivie lors de la collecte.

Par exemple :
    - en matière de vidéosurveillance sur le lieu de travail, la CNIL recommande une durée de conservation des données de quelques jours à un mois maximum ;
    - les coordonnées de la carte bancaire du client lors d’un achat en ligne ne doivent être conservées que pendant la durée de réalisation de l’opération de paiement, éventuellement augmentée du délai de rétractation ;
    - les coordonnées d’un prospect inactif doivent être supprimées au bout d’un délai maximum de trois ans. (5)


Enfin, certaines données personnelles peuvent faire l’objet d’un archivage. Il convient de déterminer les règles d’archivage dans une procédure interne. La CNIL a défini trois types d’archives : la base active (ou archives courantes), les archives intermédiaires et les archives définitives. L’obligation de sécurité applicable en matière de traitement de données personnelles s’applique également aux données archivées (sécurité technique et physique) et sera adaptée à la nature des données archivées.

    En conclusion, il est vivement recommandé de prévoir une procédure spécifique relative à la détermination de la durée de conservation des données personnelles collectées. Cette procédure définira les objectifs poursuivis par la collecte, les catégories de données personnelles collectées, l’existence ou non de durées de conservation légale, la nécessité ou non d’archiver certaines données, etc. Par ailleurs, la loi n’est pas statique, même en matière de délais de prescription ou de conservation. Il conviendra de mettre cette procédure à jour en tenant compte de l’évolution de la loi et de la jurisprudence.

                                                                         * * * * * * * * * * * *

(1) Article 5 1. e) du RGPD “1. Les données à caractère personnel doivent être: (…) e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l'article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation).

(2) Article 6 5° de la loi Informatique et Libertés: “[Les données] sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.

(3) Il s’agit de la prescription extinctive. A l’issue du délai de prescription, le droit (ex. créance) s’éteint du fait de l’inaction de son titulaire. Par exemple, si le créancier d’une dette ne réclame pas le règlement d’une facture impayée, la créance s’éteint à l’issue du délai de prescription. Une fois le délai de prescription dépassé, le titulaire du droit ne peut plus l’exercer en cas d’inaction. (c.civ. art. 2219)

(4) Liste non exhaustive

(5) Voir la norme simplifiée n°48 (NS-048) de la CNIL relative à la gestion de clients et de prospects



Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mai 2018