Messages les plus consultés

lundi 18 mars 2019

Transferts de données personnelles et Brexit : comment se préparer à une sortie de l’UE sans accord ?

Le rejet du plan de sortie de l’Union européenne par les parlementaires britanniques à deux reprises, les 15 janvier et 12 mars derniers, laisse planer la possibilité d’un Brexit sans accord le 29 mars 2019, et ce même en cas d’un report éventuel de quelques semaines. La sortie du Royaume-Uni de l’Union européenne sans accord posera de multiples problèmes, dont celui des transferts de données personnelles entre l’UE (et l’Espace économique européen - EEE) et le Royaume-Uni. Les sociétés de services numériques, les établissements financiers et les multinationales sont particulièrement concernés.

Les sociétés britanniques et leurs co-contractants européens doivent donc être préparés en cas de sortie de l’UE sans accord (« hard Brexit » ou « no-deal Brexit »), afin de minimiser les conséquences d’une telle situation sur leurs activités.

Bien que le Royaume-Uni ait mis à jour sa réglementation sur la protection des données personnelles avec le Data Protection Act 2018,(1) entré en application en même temps que le RGPD le 25 mai 2018, un hard Brexit signifierait la fin de la libre circulation des données personnelles entre l’Union européenne et le Royaume-Uni. Le Royaume-Uni sera alors considéré comme un pays tiers à l’UE et à l’EEE, sans pouvoir bénéficier du statut de pays offrant un niveau de protection adéquat. Les sociétés concernées, responsables de traitement, cotraitants et sous-traitants, devront mettre en place des accords de même type que les entreprises à l’international.

Voyant la date butoir se rapprocher, le Comité européen de la protection des données (CEPD) et la CNIL ont publié, courant février, des conseils à l’attention des organismes concernés par les transferts de données entre l’Union européenne et le Royaume-Uni.(2)


1. La mise en place d’outils de transfert de données pour continuer à assurer un niveau de protection adéquat

Les transferts de données depuis un pays membre de l’Union européenne vers un pays extérieur à l’UE ne bénéficiant pas d’une décision d’adéquation sont soumis à l’exigence de “garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives”, définies par des documents contraignants pour les deux parties, responsable du traitement et destinataire des données. (art. 46 du RGPD)

Ces documents peuvent être :

    - Les clauses contractuelles types (CCT)
Les CCT sont des contrats types de transferts de données adoptés par la Commission européenne. Les CCT doivent être signées telles quelles, et ne peuvent être modifiées par les parties. Il existe deux types de CCT : les CCT entre responsable du traitement européen et responsable du traitement de pays tiers (co-responsables de traitements) et les CCT entre responsable du traitement européen et sous-traitant d’un pays tiers.(3)

    - Les contrats “ad hoc”
Les clauses contractuelles spécifiques, ou “ad hoc” sont des contrats de transferts de données négociés entre les parties. Ces contrats doivent cependant être préalablement autorisés par la CNIL, après avis du CEPD.

    - Les codes de conduite et les mécanismes de certification
Ces deux outils ont été créés avec le RGPD. Comme pour les contrats “ad hoc”, les codes de conduite et mécanismes de certification doivent avoir été préalablement autorisés par la CNIL, après avis du CEPD. Ces outils étant nouveaux, ils semblent peu appropriés pour gérer les transferts de données entre l’UE et le Royaume-Uni, alors que les délais de mise en conformité sont très serrés.

    - Les règles contraignantes d’entreprise (ou binding corporate rules - BCR)
Les BCR sont des politiques intra-groupe, mises en oeuvre au sein de groupes ou sociétés multinationales et applicables à toutes les sociétés du groupe dans le monde. (art. 47 du RGPD) L’adoption des BCR est soumise à une procédure d’approbation par la CNIL. Comme pour les codes de conduite, le délai de mise en place de BCR rend cet outil peu approprié en l’espèce.(4)

Ainsi, pour les entreprises concernées par des transferts de données personnelles vers le Royaume-Uni n’ayant pas de BCR (transferts au sein de sociétés d’un même groupe), l’outil le plus adapté, compte tenu de la situation, est le CCT, document “prêt-à-signer” permettant de se mettre en conformité dans des délais très courts.

En cas d’utilisation de services cloud par des sociétés situées dans l’Union européenne, il conviendra de se poser la question de la situation des data centers et prendre éventuellement les mesures appropriées de mise en conformité : rapatriement des données personnelles sur le continent ou signature de CCT avec le prestataire de services cloud.

Des décisions devront être prises très rapidement par les entreprises concernées pour minimiser les blocages de transferts de données entre le continent européen et le Royaume-Uni.


2. Les autres mesures de mise en conformité des sociétés britanniques et non-européennes

Les sociétés britanniques et non-européennes devront également se mettre en conformité avec le RGPD en cas de “hard Brexit”.

    - La désignation d’un représentant dans l’UE
En vertu des articles 3(2) et 27 du RGPD, les sociétés britanniques responsables de traitement ou sous-traitantes, qui traitent d’importants volumes de données de résidents européens, devront désigner un représentant situé dans l’un des Etats-membres, comme toute société non-européenne dans la même situation.

Quant aux sociétés non-européennes qui auraient désigné un représentant britannique, elles devront désigner un nouveau représentant situé dans l’un des Etats-membres pour se mettre en conformité.

    - La désignation d’une autorité chef de file dans l’UE
Enfin, les sociétés non-européennes qui auraient désigné l’autorité de contrôle britannique (ICO) comme autorité de contrôle chef de file devront rapidement désigner une nouvelle autorité de contrôle dans l’un des Etats-membres, conformément à l’article 56 du RGPD.


3. La situation des données en provenance du Royaume-Uni

Les transferts de données personnelles vers l’UE en provenance du Royaume-Uni ne seraient pas soumis à des procédures supplémentaires pour garantir les droits des personnes concernées. Ces données personnelles britanniques pourront être transférées librement vers l’Union européenne, sous réserve d’être ensuite traitées conformément à la réglementation applicable.


    En l’absence de mise en place des outils juridiques appropriés avant la date effective du Brexit, tout transfert de données depuis l’UE vers le Royaume-Uni deviendra illicite. Cette situation peut paraître paradoxale alors que le Royaume-Uni est pour l’instant soumis au RGPD et donc considéré comme offrant les garanties nécessaires pour la protection des données personnelles en provenance du continent.

La Commission devrait très probablement régulariser cette situation dans les mois qui viennent en prenant une décision d’adéquation pour le Royaume-Uni.

                                                                          * * * * * * * * * * * *


(1) https://ico.org.uk/for-organisations/data-protection-act-2018/
 
(2) Se préparer à un Brexit sans accord : quelles questions ? Quels conseils de la CNIL ? site de la CNIL

(3) https://www.cnil.fr/fr/les-clauses-contractuelles-types-de-la-commision-europeenne

(4) https://www.cnil.fr/fr/les-regles-dentreprise-contraignantes-bcr-binding-corporate-rules


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mars 2019

vendredi 8 mars 2019

Transferts de données à l’international : le Japon reconnu comme offrant un niveau de protection adéquat

Le 23 janvier 2019, la Commission européenne a d’adopté une décision d’adéquation avec le Japon. (1) Le Japon a publié une décision réciproque d’adéquation pour l’Union européenne, ces deux décisions prenant effet ce même jour.

En pratique, cette décision d’adéquation avec le Japon signifie que les entreprises européennes pourront désormais transférer des données personnelles depuis l’Union européenne vers le Japon en application de l’article 45 du RGPD, sans autre formalité.


1. Les transferts de données personnelles à l’international et la notion d’adéquation


Depuis la directive du 24 octobre 1995 sur la protection des données, les organismes peuvent librement transférer des données personnelles d’un Etat membre à un autre au sein de l’Union européenne (sous réserve cependant de respecter la réglementation en matière de protection des données). Les transferts de données vers des pays situés à l’extérieur de l’UE restent toutefois soumis à des règles strictes. Ce principe reste applicable avec le RGPD.

Les organismes européens souhaitant transférer des données vers une société située en dehors de l’UE, et son cocontractant doivent soit signer les Clauses contractuelles types (CCT) de la Commission, soit signer un contrat ad hoc de transfert des données, validé par une autorité de contrôle. Les partie peuvent également se soumettre à un code de conduite approuvé, assorti d’engagements contraignants des parties, ou mettre en oeuvre un mécanisme de certification approuvé, également assorti d’engagements contraignants. (2)

Enfin, si les deux entités appartiennent à un même groupe de sociétés, elles peuvent faire approuver des Règles d’entreprise contraignantes (Binding corporate rules - BCR). (3)

Certains pays tiers à l’UE peuvent cependant être reconnus comme offrant un niveau de protection adéquat aux données transférées depuis l’UE. La reconnaissance de l’adéquation du niveau de protection est déterminée par la Commission européenne, sur la base des critères énoncés à l’article 45 du RGPD. Ces critères vont au-delà de l’existence d’une réglementation locale sur la protection des données personnelles et portent sur, outre l’existence et le fonctionnement effectif d’une autorité de contrôle indépendante, sur l’état de droit dans le pays tiers et sur les engagements internationaux pris par ce pays.

Concernant l’état de droit, la Commission prend notamment en considération le respect des droits de l'homme et des libertés fondamentales, l'accès des autorités publiques aux données à caractère personnel, et les droits effectifs et opposables dont bénéficient les personnes concernées dans ce pays tiers. (4)

La procédure d’adéquation est organisée en quatre étapes : 1- une proposition d’adéquation émise par la Commission européenne, 2- un avis rendu par le Conseil européen de la protection des données (CEPD), 3- un accord des représentants des Etats membres, et 4- l’adoption de la décision d’adéquation par la Commission.

Comme nous le verrons pour la décision d’adéquation du Japon, cette procédure peut prendre plusieurs années avant que le pays soit reconnu comme offrant un niveau de protection adéquat.

En vertu de l’article 45 du RGPD, la décision d’adéquation signifie que les entreprises européennes peuvent librement transférer des données personnelles depuis l’Union européenne vers le pays reconnu comme adéquat, sans autre formalité, de la même manière que les transferts intra-européens.

Le Parlement européen et le Conseil peuvent demander à la Commission de modifier ou supprimer une décision d’adéquation en cas de non respect de ses engagements par le pays tiers. Il existe par ailleurs un mécanisme de suivi, pour s’assurer du respect de la décision d’adéquation par le pays tiers. Par exemple, le Privacy Shield, mécanisme d’adéquation mis en place avec les Etats-Unis, est revu tous les ans. (5) Ainsi, une décision d’adéquation peut être accordée par la Commission. Elle peut également être suspendue si les autorités du pays tiers ne se conforment pas, ou plus, à la décision.


2. Historique de la procédure d’adéquation du Japon

La première loi de protection des données japonaise date de 2005.

Une autorité de contrôle indépendante (Personal Information Protection Commission - PPC) a été créée en 2016. (6)

Une nouvelle loi de protection des données est entrée en vigueur le 30 mai 2017. (7) La loi de 2017 a intégré de nouveaux concepts dans le droit japonais, tels que les notions de données sensibles et d’anonymisation des données, et prend globalement en compte le RGPD.

La Commission européenne, constatant que le droit japonais de la protection des données personnelles s’était rapproché des concepts du droit européen, a débuté les discussions d’adéquation avec le Japon il y a deux ans, en janvier 2017. Un accord de principe a été conclu en juillet de la même année, en parallèle avec la conclusion de l’accord de partenariat économique entre l’Union européenne et le Japon. Un projet de décision d’adéquation a ensuite été publié par la Commission en septembre 2018 ayant abouti à son adoption en janvier 2019.


3. Les principaux éléments de la décision d’adéquation concernant le Japon

La loi japonaise n’étant pas identique au RGPD, le Japon a dû mettre en place des “règles supplémentaires” afin d’atténuer les différences entre les deux systèmes de droit de la protection des données. (8) Ces règles supplémentaires concernent plus particulièrement les données sensibles, l’exercice des droits individuels par les personnes concernées, et les conditions dans lesquelles les données personnelles en provenance de l’Union européenne peuvent ensuite être transférées vers un autre pays tiers à l’UE. Ces règles s’appliqueront aux entreprises japonaises destinataires de données personnelles en provenance de l’UE. De son côté, le Japon n’a pas imposé de règles supplémentaires aux entreprises européennes qui importeraient des données en provenance du Japon.

La décision d’adéquation comporte également un engagement du gouvernement japonais relatif à l’accès aux données par les autorités publiques japonaises aux fins de procédures pénales et de la sécurité nationale. L’accès et le traitement de données personnelles en provenance de l’UE dans ces domaines doivent être limités, proportionnés et soumis à une procédure de surveillance et de recours indépendants.

Enfin, la décision comprend un mécanisme de traitement des plaintes des personnes concernées européennes, géré et contrôlé par la PPC.

Il est prévu qu’un réexamen de l’application de la décision soit réalisé après deux ans, puis tous les quatre ans, pour évaluer son fonctionnement effectif, notamment concernant les règles supplémentaires.

Cette décision d’adéquation devrait ainsi faciliter les transferts de données vers le Japon, 3é puissance économique mondiale comptant 127 millions d’habitants.


    Il s’agit de la première décision d’adéquation prise depuis l’entrée en application du RGPD, les précédentes décisions ayant été prises en application de la directive d’octobre 1995 sur la protection des données.

A ce jour, seuls 13 pays ou territoires ont été reconnus par la Commission européenne comme offrant un niveau de protection adéquat aux données personnelles. (9) La Commission a cependant décidé d’étendre cette liste à de nouveaux pays. Cette dynamique viendrait en parallèle des conditions d’application extraterritoriale du RGPD d’une part, et du fait que plusieurs pays envisagent de faire évoluer leur droit de la protection des données personnelles pour se rapprocher des concepts du RGPD d’autre part. (10)

On notera enfin que des discussions d’adéquation sont également en cours depuis deux ans entre l’Union européenne et la Corée du Sud. Des députés européens se sont rendus à Séoul fin octobre 2018 pour rencontrer les autorités coréennes, y compris la Commission des communications coréenne et l’Agence de l’internet et de la sécurité coréenne (KISA) afin d’avancer vers une décision d’adéquation.


                                                                * * * * * * * * * * *

(1) Communiqué de presse de la Commission européenne du 23 janvier 2019

(2) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD), article 47

(3) article 46, RGPD

(4) article 45 2., RGPD

(5) Voir notre article Relations UE-US – Le Privacy Shield renouvelé pour un an

(6) https://www.ppc.go.jp/en/

(7) Act on the protection of personal information : https://www.ppc.go.jp/en/legal/

(8) https://ec.europa.eu/info/sites/info/files/annex_adequacy_decision_japan_2.pdf

(9) Liste des pays offrant un niveau de protection adéquate :
- Europe (hors UE) Andorre, Iles Faroe, Ile de Man, Guernesey, Jersey, Suisse
- Amérique : Canada, Etats-Unis (Privacy Shield), Argentine, Uruguay
- Asie : Israël, Japon
- Océanie : Nouvelle Zélande

(10) voir article 3 “Champ d’application territorial”, RGPD


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mars 2019

mardi 5 février 2019

La CNIL prononce une sanction record de 50 millions d’euros à l’encontre de Google


Le 21 janvier 2019, la formation restreinte de la CNIL a prononcé une sanction pour un montant de 50 millions d’euros, à l’encontre de la société Google LLC.(1) Cette délibération, la première rendue en application du RGPD, est particulièrement motivée quant aux règles de compétence de l’autorité de contrôle pour engager la procédure, et quant aux manquements constatés.

L’un des objectifs du RGPD est de donner aux personnes concernées plus de maîtrise sur leurs données personnelles, en renforçant les principes de transparence et de consentement éclairé, grâce à une information préalable claire et compréhensible.

En l’espèce, la décision de la CNIL sanctionne un manque de transparence de la part de Google et met en cause la validité du consentement obtenu à partir d’informations qui “ne sont pas toujours claires et compréhensibles”, ni aisément accessibles pour les utilisateurs.

Les 25 et 28 mai 2018, soit juste après l’entrée en application du RGPD, la CNIL a été saisie de deux plaintes collectives en vertu de l’article 80 du RGPD, déposées pour le compte de près de 10.000 personnes, par les associations None Of Your Business et La Quadrature du Net. Ces plaintes étaient motivées par le fait que Google traitait les données personnelles des utilisateurs de ses services, notamment à des fins de ciblage publicitaire, sans base juridique valable.

En septembre 2018, la CNIL a procédé à un contrôle en ligne pour vérifier la conformité à la loi Informatique et Libertés et au RGPD des traitements de données personnelles réalisés par Google. Pour ce faire, la Commission a analysé le parcours d’un utilisateur et les documents auxquels il peut avoir accès, en créant un compte Google au moment de la configuration de son téléphone mobile sous Android.


1. La compétence de la CNIL pour engager la procédure contre Google

Avant même d’aborder les manquements constatés par la formation restreinte de la CNIL(2), celle-ci justifie notamment sa compétence pour engager cette procédure contre la société Google.

La société Google contestait en effet la compétence de la CNIL, en soutenant que le siège européen de Google étant situé en République d’Irlande, l’autorité de protection des données irlandaise (Data Protection Commission) était compétente en qualité d’autorité chef de file.

La formation restreinte rappelle que la notion d’établissement principal suppose que l’établissement concerné dispose d’un “pouvoir de décision vis-à-vis des traitements de données à caractère personnel (…)”, et que ce pouvoir de décision comprend “l’exercice effectif et réel d’activité de gestion déterminant les décisions principales quant aux finalités et aux moyens du traitement.” Cette notion doit s’apprécier in concreto et ne peut reposer que sur la déclaration de l’entreprise en cause.

En l’espèce, Google ne démontre pas que sa filiale irlandaise disposait d’un pouvoir décisionnel sur les finalités et les moyens des traitements concernés. Le rôle de Google Ireland Limited se concentrait sur les activités commerciales et financières de Google en Europe. Par ailleurs, Google Ireland Limited n’était pas mentionnée dans les Règles de confidentialité de la société au 25 mai 2018 (date de l’entrée en application du RGPD), et n’avait pas désigné de délégué à la protection des données (DPO).

La formation restreinte en conclut que Google Ireland Limited ne peut être considérée comme l’établissement principal européen de Google LLC au sens de l’article 4 (16) du RGPD. Elle ne peut donc identifier une autorité chef de file. Après avoir consulté les autres autorités de contrôle européennes et pris en compte les lignes directrices publiées par le CEPD (3), la CNIL se déclare compétente pour engager cette procédure.


2. Les manquements constatés par la CNIL

Pour établir ses constatations, la formation restreinte a analysé le parcours d’un utilisateur et les documents contractuels auxquels il peut avoir accès, en créant un compte Google lors de la configuration de son téléphone mobile sous Android.

Deux séries de manquements au RGPD ont été constatés :

     1 - Un manquement aux obligations de transparence et d’information

Le RGPD repose sur les deux principes fondamentaux de transparence et d’information. La formation restreinte reprend les articles correspondants (art. 12 et 13 notamment) et les applique à la lettre à la procédure de création de compte sur Google.

Selon l’article 12 du RGPD, les informations fournies à la personne concernée doivent être concises, transparentes, compréhensibles, aisément accessibles, et rédigées en termes clairs et simples. L’article 13 prévoit que le responsable de traitement fournit les informations suivantes à la personne concernée au moment de la collecte des données, à savoir l’identité et les coordonnées du responsable du traitement, le cas échéant les coordonnées du DPO, les finalités du traitement ainsi que sa base juridique, les destinataires des données, le cas échéant, le fait que les données seront transférées vers un pays tiers, etc.

En l’espèce, les informations délivrées par Google aux utilisateurs ne sont pas suffisamment accessibles, claires et compréhensibles. Certaines informations obligatoires ne sont pas fournies aux utilisateurs : “des informations essentielles, telles que les finalités pour lesquelles les données sont traitées, la durée de conservation des données ou les catégories de données utilisées pour la personnalisation de la publicité, sont excessivement disséminées dans plusieurs documents, qui comportent des boutons et liens qu’il est nécessaire d’activer pour prendre connaissance d’informations complémentaires. L’information pertinente n’est accessible qu’après plusieurs étapes, impliquant parfois jusqu’à cinq ou six actions.

L’architecture générale de l’information, mise en place par Google, rend l’accès à certaines informations clés difficile. Ainsi, même si ces informations sont fournies par Google, elles sont difficiles à trouver car nécessitent de passer de page en page, par plusieurs clics, avant de les atteindre.

La formation restreinte conclut à un défaut global d’accessibilité des informations délivrées par la société.

La formation restreinte met ensuite l’accent sur le caractère “massif et intrusif” des traitements mis en oeuvre par Google. Elle rappelle que les données collectées par Google à travers ses différents services proviennent de sources très variées : données d’utilisation du téléphone portable (Android), de la messagerie Gmail, de la plateforme de vidéos YouTube, données de navigation sur internet avec les cookies Google Analytics déposés sur des sites tiers, données de géolocalisation…

Ces données relèvent de trois catégories : les données produites par la personne concernée (nom, mot de passe, adresse email, etc.), les données générées par son activité (adresse IP, identifiant uniques de l’utilisateur, données de réseaux mobiles et sans fil, géolocalisation, etc.), et les données dérivées à partir des données produites par la personne ou générées par son activité (ciblage publicitaire sur la base notamment des centres d’intérêt des utilisateurs, à partir de leur activité sur internet, ou recommandations personnalisées).

La formation restreinte considère que les finalités annoncées dans les différents documents sont “trop génériques au regard de la portée des traitements mis en oeuvre et de leurs conséquences.” La description des données collectées est imprécise et incomplète. Au vu de ces éléments, elle considère que l’utilisateur n’est pas à même de prendre la mesure des conséquences des principaux traitements sur sa vie privée.

Le manque de clarté et la difficulté des utilisateurs à “comprendre l’ampleur des traitements mis en place par Google”, considérés comme “particulièrement massifs et intrusifs” est en partie la conséquence du nombre de services proposés par Google, de la quantité de données collectées ainsi que leur nature.

     2 - Un manquement à l’obligation de disposer d’une base légale pour les traitements de personnalisation de la publicité

La deuxième série de manquements concerne la validité du consentement.

L’un des principes fondamentaux du droit de la protection des données repose sur la caractère licite du traitement, et particulièrement le consentement de l’utilisateur qui doit être libre, spécifique, éclairé et univoque, et recueilli par un acte positif clair (art. 4 (11) RGPD). Les conditions relatives au recueil et au retrait du consentement figurent à l’article 7 du RGPD.

A ce titre, la CNIL relève que le consentement de l’utilisateur n’est pas valablement recueilli car non suffisamment éclairé, dans la mesure où l’information, telle que l’information sur les traitements de personnalisation de la publicité, est disséminée dans plusieurs documents et parfois difficile à localiser.

La CNIL relève ensuite que le consentement n’est ni “spécifique” car il concerne plusieurs traitements alors que le RGPD implique un consentement distinct pour chaque traitement ou finalité, ni “univoque” dans la mesure où plusieurs cases sont pré-cochées par défaut alors qu’elles devraient être décochées.

La formation restreinte en conclut que le consentement des utilisateurs n’est pas valablement recueilli car il n’est pas donné par un acte positif et distinct pour chacun des traitements mis en oeuvre.


3. Les motivations justifiant le montant de la sanction

Enfin, la formation restreinte justifie le montant de cette sanction, fixé en application des nouvelles dispositions du RGPD (art. 83), compte tenu de la gravité des manquements constatés, du nombre d’utilisateurs, du nombre de services et du volume de données concernés, et du fait que ces manquements sont continus et non pas délimités dans le temps. La CNIL rappelle ainsi que “le renforcement des droits des personnes est l’un des axes majeurs du Règlement” et que “les personnes physiques devraient avoir le contrôle des données à caractère personnel les concernant.

Les manquements constatés permettent, selon la formation restreinte, de justifier une amende qui, en l’espèce, a été fixée à 4% du chiffre d’affaires de la société Google, soit 50 millions d’euros. Cette amende reste cependant très en deçà du plafond de 20% du chiffre d’affaires mondial de Google (110 milliards de dollars en 2017 pour sa maison-mère, Alphabet), prévu par le RGPD.

La société Google a annoncé sa décision de former un recours devant le Conseil d’Etat.


    L’objectif de remplacer la précédente directive d’octobre 1995 par un règlement est d’assurer une approche unifiée du droit de la protection des données personnelles dans l’Union européenne. A ce titre, la formation restreinte mentionne avoir consulté les autres autorités de contrôle et se réfère à plusieurs reprises dans sa délibération aux lignes directrices du CEPD. On peut donc s’attendre au développement d’une “jurisprudence” homogène des autorités de contrôle européennes.

Cette première sanction de la CNIL donne un aperçu de l’application effective du RGPD et comment la conformité à la nouvelle réglementation est appréhendée par l’autorité de contrôle, à savoir une interprétation stricte du règlement. La CNIL sanctionne ici une architecture de l’information trop complexe et peu instinctive pour l’utilisateur, ainsi que des textes souvent rédigés dans des termes peu clairs ou trop généraux.

La difficulté pour Google, comme pour toutes les plateformes proposant plusieurs services, sera de concilier les impératifs de concision, transparence et simplicité de l’information avec ceux de clarté et spécificité du consentement, afin d’être considérée conforme aux dispositions du RGPD, alors même que ces dispositions impliquent des documents contractuels plus longs car plus détaillés. Même si Google a choisi de former un recours contre la délibération de la CNIL, la société devra faire un réel effort de simplification et de transparence de l’information.

                                                                   * * * * * * * * * * *


(1) Délibération de la formation restreinte n°SAN-2019-001 du 21 janvier 2019 prononçant une sanction pécuniaire à l’encontre de la société Google LLC

(2) La formation restreinte de la CNIL est un collège spécifique composé de 6 membres. Elle est chargée de mener les procédures de non-conformité au RGPD et à la loi Informatique et Libertés et, le cas échéant, de prononcer des sanctions pécuniaires.

(3) Le comité européen à la protection des données (CEPD, ex-groupe de travail Article 29 ou G29) rassemble les autorités des 28 Etats-membres. Il a notamment pour mission de clarifier la mise en œuvre du RGPD en vue d’assurer une application uniforme du règlement. Ainsi, 19 lignes directrices ont été adoptées et 6 sont en cours d’élaboration par le CEPD.


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Février 2019


mercredi 30 janvier 2019

Relations UE-US – Le Privacy Shield renouvelé pour un an

Pour rappel, le Privacy Shield (ou “Bouclier de protection des données”), a remplacé le système du Safe Harbor en août 2016. Le Privacy Shield permet le transfert de données à caractère personnel entre des sociétés européennes et des sociétés américaines adhérentes au programme, dans le cadre d’une décision d’adéquation de la Commission européenne du 12 juillet 2016. (1) Les sociétés américaines adhérentes au Privacy Shield s’engagent à respecter les droits des citoyens européens dont les données à caractère personnel sont transférées vers les Etats-Unis. Le Privacy Shield est réexaminé par la Commission une fois par an pour s’assurer que ce système continue de garantir un niveau de protection adéquat des données personnelles transférées.

Selon Andrus Ansip, Vice-président de la Commission, chargé du marché unique numérique, en décembre 2018, plus de 3.850 sociétés américaines étaient certifiées comme adhérentes au Privacy Shield. (2)

Le 5 juillet 2018, le Parlement européen avait voté la suspension du Privacy Shield. Cette résolution, non contraignante, demandait à la Commission de suspendre le programme, sous réserve d’une mise en conformité par les Etats-Unis avant le 1er septembre.

Dans son rapport publié le 19 décembre 2018, la Commission européenne déclare que le niveau de protection des données personnelles transférées depuis l’Europe vers les Etats-Unis en application du Privacy Shield reste adéquat. Le Privacy Shield est donc renouvelé pour un an. (3)

Le rapport relève les mesures prises par les Etats-Unis sur la base des recommandations de la Commission, notamment :

   - le renforcement de la procédure de certification des sociétés américaines par le Ministère du commerce (DoC). Celles-ci ne peuvent désormais annoncer leur adhésion au Privacy Shield qu’après la finalisation de la procédure de certification par le Ministère ;

   - l’amélioration du suivi de la conformité des sociétés au Privacy Shield. Le Ministère du commerce a ainsi mis en place un double système de contrôle de conformité, avec des contrôles sur place auprès de sociétés adhérentes au système, sélectionnées au hasard, et des contrôles en ligne. Enfin des contrôles sont réalisés pour mettre en évidence les fausses déclarations par des sociétés qui ne sont pas certifiées. La Commission fédérale du commerce (Federal Trade Commission) réalise également des contrôles de conformité.

La Commission européenne a cependant identifié plusieurs points devant être pris en compte, dont la nomination d’un médiateur permanent (ombudsman) dans le cadre de cet accord d’ici le 28 février 2019, et l’évaluation de son rôle dans le traitement et la résolution des plaintes.

   En conclusion, ce deuxième examen annuel du Privacy Shield a permis de constater des avancées dans la mise en oeuvre du système par les autorités américaines. Par ailleurs, l’entrée en application du RGPD en Europe, et une plus grade sensibilité des particuliers au respect de leurs données personnelles, ont amené le Ministère du commerce américain à lancer une consultation sur une approche fédérale en matière de “respect de la vie privée”.

                                                                       * * * * * * * * * * *

(1) Décision d’exécution (UE) 2016/1250 de la Commission du 12 juillet 2016 conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à l'adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis

(2) Communiqué de presse de la Commission européenne du 19 décembre 2018 : “Bouclier de protection des données UE-États-Unis: le deuxième examen a conclu à des améliorations, mais un médiateur permanent devrait être nommé d'ici le 28 février 2019”

(3) Report on the second annual review of the EU-US privacy shield (19th December 2018)


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Janvier 2019

mardi 8 janvier 2019

Qu’est-ce que le Cloud Act américain ?

L’adoption du “Cloud Act” aux Etats-Unis en 2018 a suscité de nombreuses critiques et fait couler beaucoup d’encre. Afin de mieux comprendre les enjeux de cette législation, nous résumons ci-après ses principales finalités.

Encapsulé dans la loi américaine sur les dépenses 2018 (“Consolidated Appropriations Act”, 2018), le Cloud Act (pour “Clarifying lawful overseas use of data act”), adopté le 23 mars 2018, donne un cadre légal à la saisie d'emails, documents et communications électroniques localisés dans les serveurs de sociétés américaines et de leurs filiales à l’étranger. (1)

Alors que les sociétés internet et technologiques américaines se félicitent de l’adoption de cette loi, les associations de défense des libertés et de la vie privée dont l'union des libertés civiles américaines (ACLU) et l'Electronic Frontier Fondation (EFF) y sont vivement opposées.

Le Cloud Act devient une alternative au processus actuel de partage d'informations d’utilisateurs entre pays, le MLAT (Mutual legal assistance treaty), et dont la mise en oeuvre est plus rapide et simple à exécuter.

Le Cloud Act contient deux grandes séries de dispositions :

    1 - La communication de données par les sociétés américaines
Toute société dont le siège est aux Etats-Unis, ainsi que les sociétés contrôlées par elle, doit communiquer aux autorités américaines, sur leur demande, les données de communication placées sous son contrôle, sans considération du lieu de stockage de ces données ;

    2 - La signature d’accords entre les administrations américaines et étrangères
Le gouvernement américain pourra signer des accords internationaux avec des gouvernements étrangers, permettant aux autorités de chaque pays de demander directement aux fournisseurs de services de communication, de traitement et de stockage électroniques de données relevant de la juridiction de l’autre pays, la divulgation des données de communication les intéressant, sans avoir à passer par les procédures plus lourdes des MLAT ou des commissions rogatoires internationales.

Ces accords internationaux prendront la forme d’executive agreements, à savoir des accords qui ne nécessitent ni l’accord du Sénat (majorité des deux tiers), ni l’adoption d’une loi par les deux chambres du Congrès. Pour entrer en vigueur, il suffira que les deux chambres ne s’y opposent pas par une résolution conjointe dans les 90 jours de leur signature. En contrepartie, de tels accords ne peuvent être signés qu’avec des pays respectueux des droits fondamentaux et des principaux standards démocratiques.

Les demandes de communication de données concernées par ces accords ne peuvent viser que les infractions les plus graves (« serious crime »). L’objectif est d’accélérer la procédure d’investigation par les forces de l’ordre.

Pour l’instant, il existe une incertitude sur le fait de savoir si un executive agreement pourrait être signé avec l’Union européenne plutôt qu’avec chaque Etat-membre, voire même si les Etats-Unis chercheront à signer avec l’Europe. L’UE serait plutôt favorable à la signature d’un accord global.

En conclusion, le Cloud Act s’applique à toute société placée sous la juridiction des Etats-Unis qui contrôle les données informatiques de ses clients (notamment les GAFAM et leurs filiales), quels que soient leur nationalité et le lieu physique où ces données ont été émises ou sont stockées. Il ne s’agit pas d’une nouvelle procédure mais d’une évolution par rapport à la réglementation précédente issue du Stored Communications Act de datant de 1986.

Le Cloud Act, comme le Stored Communications Act, encadre l’accès des autorités américaines aux données de fournisseurs de services de communication, traitement et stockage électroniques de données placés sous la juridiction des Etats-Unis (procédure judiciaire en cours et sous réserve de disposer d’un mandat (ou warrant) délivré par une juridiction, requête par les autorités gouvernementales américaines dans le cadre d’une procédure pénale sous réserve de disposer d’une réquisition judiciaire (ou court order). Le Cloud Act prévoit que le fournisseur de services auquel les données sont demandées a la possibilité de s’y opposer au motif que la demande, si elle devait être satisfaite, le conduirait à méconnaître la législation d’un pays étranger et l’exposerait à des sanctions (situation de conflits de lois).

Le Cloud Act est-il compatible avec le RGPD ?

Le RGPD (art. 44 et suivants) réglemente les conditions dans lesquelles des données personnelles peuvent être transférées vers des pays tiers. Or le Privacy shield, applicable aux transferts entre sociétés européennes et sociétés américaines adhérant au programme, ne couvre pas les entités gouvernementales.

Le transfert de données à caractère personnel aux autorités américaines par une société américaine ou sa filiale, en application d’une demande fondée sur le Cloud Act et non sur un accord international de type MLAT ou la mise en œuvre d’une commission rogatoire internationale, ne serait pas conforme au RGPD. Il conviendra de suivre comment le Cloud Act sera mis en œuvre dans les prochains mois.

                                                       * * * * * * * * * * *

(1) Consolidated Appropriations Act, 2018 et Clarifying lawful overseas use of data act (Cloud Act), adopté le 23 mars 2018

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Janvier 2019

vendredi 4 mai 2018

RGPD : pendant quelle durée conserver les données personnelles ?


L’un des sujets d’achoppement entre l’Union européenne et les “GAFA” concerne la durée de conservation des données personnelles collectées. Pour ces sociétés, lorsque les traitements sont soumis au droit américain (droit de l’état de Californie notamment), la question de la durée de conservation des données personnelles ne se pose pas, celles-ci pouvant généralement être conservées sans limitation. Il n’en est pas de même en Europe.

Le RGPD impose non seulement de minimiser les données collectées, c’est-à-dire de limiter les catégories et les volumes de données personnelles collectées, mais également, de limiter leur durée de conservation. (1)

La question n’est pas nouvelle puisque le principe de durée limitée de conservation des données figure déjà à l’article 6 de la loi Informatique et Libertés de janvier 1978. (2)

Mais que signifie le fait de conserver les données pour une durée limitée ? Et comment définir cette durée ? La réponse à ces questions est relativement complexe. En effet, il n’existe pas une durée unique de conservation des données personnelles, mais des durées variables suivant la finalité des traitements.

Certaines données n’ont pas besoin d’être conservées pendant une durée supérieure à leur utilisation effective (quelques minutes à quelques jours). En revanche, d’autres catégories de données personnelles doivent être conservées pendant une durée fixée par la loi, afin par exemple, de permettre aux parties d’exercer leurs droits ou de prouver un acte juridique ou l’exécution d’une obligation. Les données personnelles concernées ne seront effacées qu’à l’expiration de ce délai.

En matière de durée de conservation des données personnelles, la distinction peut s’opérer ainsi : celles pour lesquelles il existe des règles relatives à la durée de conservation (délai de prescription), et celles non couvertes par un délai de prescription.


1. Les données devant être conservées pendant un délai légal

Certaines catégories de données doivent être conservées pendant une durée déterminée par le délai de prescription. (3) En effet, chacune des parties concernées doit pouvoir rapporter la preuve d’un acte juridique (achat / vente, paiement d’une prestation, paiement de la TVA, etc.) pendant un délai raisonnable, fixé par la loi.

Il existe de multiples délais de prescription légale, que ce soit en droit civil, commercial, fiscal ou pénal par exemple.

En règle générale :
    - en matière civile, le délai de prescription applicable aux biens et services fournis par un vendeur ou prestataire professionnel à un consommateur est de 2 ans. En matière de salaires, la prescription est de 3 ans ;
    - en matière commerciale, le délai de prescription est fixé à 5 ans pour les obligations entre commerçants et entre commerçants et non-commerçants (consommateurs) ;
    - enfin, en matière fiscale, le délai de prescription est fixé à 3 ans (fin de la troisième année qui suit celle au titre de laquelle l'imposition est due). (4)

Comment appliquer ces délais à la durée de conservation des données personnelles collectées ? Il convient d’identifier la finalité du fichier afin de déterminer la durée de conservation applicable aux données collectées.

Exemple de données collectées dans le cadre de la relation entre l’entreprise et ses clients :
    - Contrat de vente ou de prestation de services : les données devant être conservées concernant les contrat comprennent, outre le contrat, les coordonnées du client (nom, prénom, adresse, etc.). Ces données doivent être conservées pendant 5 ans.
    - Facturation et paiement : les données devant être conservées comprennent les coordonnées du client (nom, prénom, adresse, etc.) et les données de facturation. Ces données doivent être conservées pendant 3 ans.
    - Obligations fiscales (TVA, IS) : les données devant être conservées comprennent les données de facturation. Ces données doivent être conservées pendant 3 ans.

Exemple de données collectées dans le cadre de la relation entre l’entreprise et ses salariés :
    - Gestion de la paie : les données devant être conservées comprennent les coordonnées du salarié (nom, prénom, adresse, etc.) et les données de salaire. Ces données doivent être conservées pendant 3 ans.

Comme on peut le voir par les quelques exemples ci-dessus, certaines catégories de données sont utilisées pour plusieurs actes (inscription sur un site de e-commerce, achats en ligne, commandes de prestations, etc.) eux-mêmes couverts par des délais de prescription différents. Il conviendra d’identifier l’objectif poursuivi par la collecte de données et appliquer la durée correspondant à cette finalité.

Afin de s’assurer que l’on ne conserve que les données nécessaires pendant la durée légale applicable, il conviendra de les cartographier en identifiant les traitements pour lesquels ces données sont utilisées et déterminer la durée de prescription légale la plus longue. Les autres données seront supprimées.


2. Les données non couvertes par un délai de conservation légal


La durée de conservation des données collectées pour certains traitements n’est pas soumise à un délai de conservation légal. Il conviendra alors d’appliquer strictement le principe de conservation uniquement pour le temps nécessaire à l’accomplissement de la finalité poursuivie lors de la collecte.

Par exemple :
    - en matière de vidéosurveillance sur le lieu de travail, la CNIL recommande une durée de conservation des données de quelques jours à un mois maximum ;
    - les coordonnées de la carte bancaire du client lors d’un achat en ligne ne doivent être conservées que pendant la durée de réalisation de l’opération de paiement, éventuellement augmentée du délai de rétractation ;
    - les coordonnées d’un prospect inactif doivent être supprimées au bout d’un délai maximum de trois ans. (5)


Enfin, certaines données personnelles peuvent faire l’objet d’un archivage. Il convient de déterminer les règles d’archivage dans une procédure interne. La CNIL a défini trois types d’archives : la base active (ou archives courantes), les archives intermédiaires et les archives définitives. L’obligation de sécurité applicable en matière de traitement de données personnelles s’applique également aux données archivées (sécurité technique et physique) et sera adaptée à la nature des données archivées.

    En conclusion, il est vivement recommandé de prévoir une procédure spécifique relative à la détermination de la durée de conservation des données personnelles collectées. Cette procédure définira les objectifs poursuivis par la collecte, les catégories de données personnelles collectées, l’existence ou non de durées de conservation légale, la nécessité ou non d’archiver certaines données, etc. Par ailleurs, la loi n’est pas statique, même en matière de délais de prescription ou de conservation. Il conviendra de mettre cette procédure à jour en tenant compte de l’évolution de la loi et de la jurisprudence.

                                                                         * * * * * * * * * * * *

(1) Article 5 1. e) du RGPD “1. Les données à caractère personnel doivent être: (…) e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l'article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation).

(2) Article 6 5° de la loi Informatique et Libertés: “[Les données] sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.

(3) Il s’agit de la prescription extinctive. A l’issue du délai de prescription, le droit (ex. créance) s’éteint du fait de l’inaction de son titulaire. Par exemple, si le créancier d’une dette ne réclame pas le règlement d’une facture impayée, la créance s’éteint à l’issue du délai de prescription. Une fois le délai de prescription dépassé, le titulaire du droit ne peut plus l’exercer en cas d’inaction. (c.civ. art. 2219)

(4) Liste non exhaustive

(5) Voir la norme simplifiée n°48 (NS-048) de la CNIL relative à la gestion de clients et de prospects



Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mai 2018

mercredi 18 avril 2018

Des experts européens contre la création d'un statut juridique de personne électronique pour les robots

 
 
Alors que les applications d’intelligence artificielle se déploient à grande échelle, la Commission européenne travaille actuellement à l'élaboration d'un nouveau droit pour les robots. Or, des centaines de membres de la société civile s'opposent à la création d'une “personnalité électronique” qui pourrait attribuer une responsabilité à la machine.

Dans ce sens, deux cents experts européens viennent de signer une lettre ouverte contre “la création d'un statut juridique de personne électronique pour les robots”. Cette lettre, adressée à la Commission européenne, s’oppose plus spécifiquement au point de la résolution du Parlement européen du 16 février 2017 concernant des règles de droit civil sur la robotique (2015/2103 (INL)) relatif à “la création, à terme, d'une personnalité juridique spécifique aux robots, pour qu'au moins les robots autonomes les plus sophistiqués puissent être considérés comme des personnes électroniques responsables, tenues de réparer tout dommage causé à un tiers (…).”

Les signataires de la lettre ouverte critiquent cette notion de « personnalité électronique », que celle-ci repose sur le modèle de la personnalité physique, de la personnalité morale, ou sur le modèle du trust. Le débat reste à suivre…

                                                                        * * * * * * * * * * * *

(1) Robotics-openletter.eu, Open letter to the European Commission – Artificial intelligence and Robotics


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Avril 2018

mardi 6 mars 2018

Sécurité des réseaux : la directive NIS a été transposée en droit français


La directive concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union (Directive « NIS » 2016/1148) a été transposée en droit français le 26 février 2018.

En résumé, la loi de transposition prévoit des obligations accrues en matière de sécurité informatique.

Deux nouvelles catégories d’entreprises sont identifiées :
   - les opérateurs de services essentiels (OSE) (correspondant globalement aux OIV – opérateurs d’importance vitale) qui regroupent les entreprises opérant dans les domaines de l'énergie, des transports, de la banque, des infrastructures de marchés financiers, de la santé, de la fourniture et distribution d'eau potable et les fournisseurs d'infrastructures numériques, et
   - les fournisseurs de services numériques (FSN) qui regroupent notamment les entreprises fournissant des services de cloud computing, les places de marché, et les moteurs de recherche.

Ces entreprises devront mettre en œuvre les règles de cybersécurité élaborées par l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Ces opérateurs devront informer l’ANSSI en cas d’incidents de sécurité susceptibles d’avoir un impact significatif sur la continuité des services qu’ils assurent. Tout manquement à ces obligations de sécurisation des réseaux, d’absence de déclaration d’incident ou de blocage aux opérations de contrôle sera passible d’amendes de 75.000€ à 125.000€ pour les OSE selon le type d’infraction, et de 50.000€ à 100.000€ pour les FSE.
 
Un décret d’application précisant la liste des OSE et des FSN opérant sur le territoire français devrait venir compléter la loi avant le 9 novembre 2018.

                                                                      * * * * * * * * * * *

(1) Loi  n°2018-133 du 26 février 2018 portant diversesd ispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité


Bénédicte DELEPORTE
Avocat
Deleporte Wentz Avocat

Mars 2018


mardi 20 février 2018

Plateformes internet - Trois nouveaux décrets “pour favoriser la transparence des plateformes numériques”


Afin d’améliorer la confiance des utilisateurs dans les services numériques, et pour faire suite à la loi pour une République numérique (1), trois décrets d’application “pour favoriser la transparence des plateformes numériques” ont été publiés le 29 septembre 2017. (2) Ces décrets concernent les moteurs de recherche, les réseaux sociaux et les sites comparateurs ainsi que les places de marchés et les sites d'économie collaborative.

1. A compter du 1er janvier 2018, les plateformes qui valorisent des contenus, des biens ou des services proposés par des tiers, à savoir les moteurs de recherche et les sites comparatifs notamment, devront préciser les critères de référencement et de déréférencement ainsi que les critères de classement de leurs résultats. Ces sites devront également indiquer dans quelle mesure le montant de leur rémunération entre en compte dans l'ordre de présentation des contenus.

Les plateformes de mise en relation doivent prévoir une rubrique accessible depuis toutes les pages du site comprenant notamment les informations relatives à la qualité des personnes pouvant proposer la vente de biens ou de services (consommateurs ou professionnels), la description de la mise en relation entre vendeurs et acheteurs, la commission due à la plateforme pour la mise en relation, etc. A noter que ces informations figurent en principe dans les conditions générales de la plateforme.

Enfin, les plateformes B-to-C doivent mettre à la disposition des vendeurs professionnels un espace permettant la communication des informations prévues aux articles L.221-5 et L.221-6 du code de la consommation (description du bien ou du service proposé, prix, délais de livraison, coordonnées du professionnel, garantie légale, existence d’un droit de rétractation, modalités de règlement des litiges, etc.).

Par ailleurs, les sites web publiant des avis de consommateurs devront préciser si ces avis ont été vérifiés et, le cas échéant, de quelle manière cette vérification a été effectuée. Lorsque les avis sont vérifiés, l’opérateur du site doit veiller à ce que les données personnelles des contributeurs soient traitées conformément aux obligations de la loi Informatique et Libertés.

2. A compter du 1er janvier 2019, les plateformes qui comptabilisent en moyenne plus de 5 millions de visiteurs uniques mensuels devront “appliquer des bonnes pratiques en matière de clarté, de transparence et de loyauté.” Ces règles, qui devront être consultables en ligne, correspondent aux obligations générales d’information précontractuelle définies aux articles L.111-1 et suivants du code de la consommation.


                                                                      * * * * * * * * * * * *

(1) Loi n°2016-1321 du 7 octobre 2016 pour une république numérique

(2) Décret n°2017-1434 du 29 septembre 2017 relatif aux obligations d'information des opérateurs de plateformes numériques ; Décret n°2017-1435 du 29 septembre 2017 relatif à la fixation d'un seuil de connexions à partir duquel les opérateurs de plateformes en ligne élaborent et diffusent des bonnes pratiques pour renforcer la loyauté, la clarté et la transparence des informations transmises aux consommateurs ; Décret n°2017-1436 du 29 septembre 2017 relatif aux obligations d'information relatives aux avis en ligne de consommateurs



Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Février 2018

vendredi 29 décembre 2017

Cybermalveillance - lancement d’une plateforme d’accompagnement des victimes


La cybermalveillance recouvre les actes de cybercriminalité tels que le hameçonnage (phishing - faux emails comprenant des liens vers des sites frauduleux pour collecter mots de passe et autres données confidentielles des utilisateurs), la diffusion de virus par messagerie ou SMS (logiciel contenant du code malveillant), ou la diffusion de rançongiciels (ransomware - logiciels qui forcent l'utilisateur au versement d'une rançon pour récupérer des données bloquées), infractions punies pénalement.

Ces activités ne cessent de se développer depuis plusieurs années et ciblent tous les acteurs de la société : particuliers, entreprises de toutes tailles et de tous secteurs d’activités et administrations. Malgré les conseils régulièrement diffusés concernant les mots de passe à adopter, la nécessité des mises à jour logicielles, etc., le nombre de victimes explose.

Fin mai 2017 en France, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a lancé un projet de plateforme d’aide aux victimes d'actes de cybermalveillance. Cette première phase d’expérimentation était limitée à la région Hauts de France.

La plateforme Cybermalveillance.gouv.fr a été lancée sur l’ensemble du territoire français le 17 octobre 2017.

Les objectifs de cette plateforme, à finalité à la fois pédagogique et curative, sont triples :
    1 - la mise en place de campagnes de prévention et de sensibilisation à la sécurité du numérique ;
    2 - pour les victimes d’un acte de cybermalveillance, la mise en relation des victimes via la plateforme avec des prestataires de proximité susceptibles de restaurer leurs systèmes ;
    3 - la création d’un observatoire du risque numérique permettant de l’anticiper.

La plateforme cybermalveillance.gouv.fr est conçue comme un guichet unique. Après l’établissement d’un diagnostic de la situation de la victime (particulier, entreprise (PME/TPE) ou collectivité territoriale - hors OIV), la plateforme permet sa mise en relation avec des prestataires de proximité, compétents et présents sur l’ensemble du territoire français, des administrations de I‘État (Gendarmerie, Police, représentants locaux de I’ANSSI) ou des collectivités et acteurs locaux (chambres consulaires, fédérations professionnelles, réseaux “transition numérique”, etc.).

Les victimes sont guidées, lors de leur déclaration d’acte de cybermalveillance, pour l’identification du problème : virus, blocage informatique suite à l’activation d’un rançongiciel, piratage (réseau social, compte bancaire, messagerie, etc.). À la fin de la déclaration, les victimes sont informées sur les étapes suivantes de la procédure : déposer une plainte, prévenir sa banque, faire appel à un expert informatique…

L’un des objectifs de la plateforme étant la prévention et la sensibilisation aux cyber risques, plusieurs outils et démarches de sensibilisation sont proposés : principes de base à respecter pour assurer sa cyber sécurité, guides de bonnes pratiques en matière de cyber sécurité.

Enfin, la plateforme doit permettre de collecter et centraliser l’information sur les actes de cybermalveillance : types d’atteintes cyber, nombre et profil des victimes.

Ce dispositif est incubé par l’ANSSI et copiloté avec le ministère de l’Intérieur.


                                                                             * * * * * * * * * * *

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Décembre 2017

vendredi 22 décembre 2017

Publication d’une ordonnance sur le transfert de titres par blockchain


Après une consultation lancée entre mars et mi-mai 2017 sur la transmission de certains titres financiers via la blockchain, dont la synthèse a été publiée courant septembre, un projet d’ordonnance avait été proposé au Gouvernement par la Direction du Trésor. L’objet de cette consultation était de recueillir l’avis des parties prenantes -banques, sociétés de gestion, acteurs de la blockchain, fintechs, sociétés de conseils, sur la réglementation à mettre en place.

L’ordonnance permettant légalement le transfert de propriété de titres financiers par blockchain vient d’être publiée le 8 décembre. (1) Ce texte a été pris en application de l’article 120 de la loi Sapin II du 9 décembre 2016, dont les dispositions permettent notamment d’adapter le droit applicable à certains titres financiers au moyen d’un dispositif d’enregistrement électronique partagé, ou “technologie de registre distribué” (distributed ledger technology ou DLT). (2)

Bien qu’il soit déjà possible d’utiliser une technologie de registre distribué pour la transmission de titres, de nombreuses zones d’insécurité juridique persistent, y compris concernant le droit applicable en matière de propriété du titre et les modalités de règlement.

La majorité des parties prenantes ayant répondu à la consultation estimait néanmoins qu’il était souhaitable de ne pas remettre en cause le cadre juridique actuel de la transmission de titres, même en cas de transfert de propriété via la blockchain. Elles estimaient par ailleurs nécessaire de prévoir un cadre juridique où “l’intervention du législateur se limiterait à assurer la neutralité technologique des exigences de fond pesant sur les acteurs existants”. Ainsi, la blockchain a besoin d’un cadre juridique, mais a minima.

Ce texte, devant entrer en vigueur au plus tard le 1er juillet 2018, viendra modifier le code de commerce et le code monétaire et financier. Cette réforme s'appliquera aux titres financiers pour lesquels le droit européen n’impose pas de passer par un dépositaire central de titres (parts de fonds, titres de créance négociables, actions et obligations non cotées). Un décret en Conseil d'Etat doit fixer les conditions dans lesquelles les titres financiers peuvent être inscrits dans un dispositif d'enregistrement électronique partagé présentant des garanties, notamment en matière d'authentification, au moins équivalentes à celles présentées par une inscription en compte-titres.


                                                                        * * * * * * * * * * *

(1) Ordonnance n°2017-1674 du 8 décembre 2017 relative à l'utilisation d'un dispositif d'enregistrement électronique partagé pour la représentation et la transmission de titres financiers

(2) art. 120 de la loi n°2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique (loi “Sapin II”)



Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Décembre 2017

lundi 4 septembre 2017

Pourquoi être concerné par le RGPD si votre entreprise n'est pas localisée dans l’UE ?


La directive du 24 octobre 1995 sur la protection des données s’appliquait aux traitements de données réalisés par des organismes, responsables de traitement, situés dans l’Union européenne. Les traitements de données réalisés par des responsables de traitement situés en dehors de l’UE n’étaient en principe pas soumis aux règles de la directive européenne, telles que transposées dans les lois nationales des Etats-membres. (1) Or, avec le développement des technologies et des services en ligne autour de la donnée, de nombreuses sociétés situées hors Union européenne, telles que Google, Amazon, Facebook ou Apple (les “GAFA”) notamment, collectent et traitent des données d’Européens et “échappent” à la réglementation européenne, même si les transferts de données vers ces sociétés américaines sont notamment soumis aux principes du Privacy Shield.

Désormais la donnée, et plus particulièrement la donnée personnelle, est au coeur de l’économie numérique. Il était donc nécessaire de mettre à jour la règlementation des données personnelles pour prendre en compte les évolutions technologiques intervenues depuis la directive de 1995 et assurer un niveau de protection élevé et homogène des données personnelles. C’est chose faite avec le règlement général sur la protection des données (RGPD). Ce texte, adopté le 27 avril 2016 après plus de quatre ans d’intenses discussions, doit entrer en application le 25 mai 2018. (2)

L’un des objectifs du RGPD est de prendre en compte, d’une part les cas dans lesquels plusieurs responsables de traitements et/ou sous-traitants, situés dans différentes régions du monde, sont impliqués dans un traitement de données, d’autre part les services de cloud computing et de big data (serveurs déployés et données collectées dans plusieurs régions), et enfin les activités des GAFA, ceci afin que les données personnelles des résidents européens restent protégées quel que soit le pays dans le monde où se trouve le responsable de traitement.

Le champ d’application du règlement couvre donc non seulement le territoire de l’Union européenne, mais aussi les entreprises situées hors Union européenne qui visent le marché européen. Ces entreprises sont donc concernées par le RGPD et doivent se mettre en conformité avec ces nouvelles règles.


1. Le RGPD, un texte applicable en Europe et au-delà

La directive de 1995 devait être transposée dans les lois nationales des Etats membres. Ces lois nationales sur la protection des données personnelles comportaient cependant des différences entre les Etats membres, certains états ayant choisi une application stricte de la directive, alors que d’autres ont opté pour une application plus souple.

Le règlement général sera d’application directe dans les Etats membres. Ses règles s’appliqueront de manière quasiment uniforme dans tous les Etats membres, hormis quelques dispositions qui pourront différer d’un pays à l’autre. (3)

Mais alors que la directive n’avait que peu d’impact en dehors de l’Union européenne, le règlement sera d’application territoriale dans l’UE, mais également extra-territoriale, au-delà de l’UE. (4)

    1.1 Application dans l’Union européenne

Le règlement s’appliquera, d’une part aux traitements de données à caractère personnel réalisés dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire de l’Union européenne, que le traitement lui-même ait lieu ou non dans l’UE.

L’établissement situé dans l’UE nécessite un effectif et une activité stables. En revanche, l’établissement n’est pas soumis à une forme juridique particulière. Il peut s’agir du siège, d’une filiale, voire de la succursale d’une entreprise, elle-même située en dehors de l’Union.

Le traitement peut être réalisé, ou non dans l’UE. Cette disposition permet par exemple de soumettre au règlement les bases de données hébergées en cloud, quels que soient les pays d’installation des serveurs.

    1.2 Application extra-territoriale


Le règlement s’appliquera d’autre part aux traitements de données à caractère personnel relatifs à des personnes qui se trouvent dans l’UE, réalisés par un responsable du traitement ou un sous-traitant qui n'est pas établi dans l’UE, lorsque les activités de traitement sont liées à l'offre de biens (site de e-commerce) ou de services (applications mobiles, hébergement de données en cloud) à ces personnes, à titre gratuit ou payant.

Pour déterminer si l’entreprise, responsable du traitement ou sous-traitant, vise le marché européen en proposant des biens ou des services à des personnes situées dans l’UE, il conviendra de relever les indices qui permettront d’établir que le responsable du traitement ou le sous-traitant visent bien le marché européen. Par exemple, la simple accessibilité du site internet de l’entreprise en cause, une adresse email ou l'utilisation d'une langue généralement utilisée dans le pays tiers où cette entreprise est établie ne suffira pas pour déterminer que le responsable du traitement ou le sous-traitant visent effectivement le marché européen. En revanche, des éléments tels que l'utilisation d'une langue européenne ou d'une monnaie telle que l’euro pourront permettre de démontrer que le marché européen est effectivement visé.

Par ailleurs, les traitements de données de personnes situées dans l'Union européenne par une entreprise, responsable du traitement ou sous-traitant, qui n'est pas établie dans l'Union seront également soumis au règlement lorsque ces traitements ont pour objet le suivi du comportement de ces personnes, sous réserve qu’il s’agisse de leur comportement dans l’UE. Cette disposition concerne particulièrement les activités de profilage en ligne, “afin notamment de prendre des décisions concernant” la personne, “ou d'analyser ou de prédire ses préférences, ses comportements et ses dispositions d’esprit.” (5)

On retiendra également que ces dispositions s’appliquent tant aux responsables de traitement qu’aux sous-traitants. Ces derniers sont donc concernés par les dispositions du RGPD, au même titre que les responsables de traitement, donneurs d’ordre, ou peuvent même être considérés comme co-responsables de traitement.

Ainsi, le règlement ne limite pas son applicabilité aux responsables de traitements et aux sous-traitants établis dans l’Union européenne, mais étend son périmètre géographique au-delà des frontières de l’Union européenne, dès lors que des données personnelles de résidents européens sont concernées.


2. Quelles conséquences pour les entreprises non-européennes ?

Les entreprises n’ayant aucun établissement sur le territoire de l’UE, mais qui visent l’Europe pour leurs activités commerciales (voir critères ci-dessus), et à ce titre, qui collectent et traitent des données personnelles d’Européens devront donc se conformer au RGPD, la date butoir étant fixée au 25 mai 2018.

    2.1 L’obligation de désigner un représentant dans l’Union

Au-delà des travaux de mise en conformité au règlement, les entreprises, responsables de traitements et sous-traitants, n’ayant pas d’établissement sur le territoire de l’UE devront désigner “par écrit” un représentant dans l’Union. (6)

Ce représentant devra être établi dans un des États membres dans lesquels se trouvent les personnes physiques dont les données font l'objet d'un traitement. Le représentant, mandaté par le responsable du traitement ou le sous-traitant, servira de contact pour les autorités de contrôle et les personnes concernées pour les questions relatives au traitement. Le responsable du traitement ou le sous-traitant resteront néanmoins responsables juridiquement de la conformité et du respect au RGPD.
La désignation d’un représentant ne s’appliquera cependant pas à toutes les entreprises non-européennes concernées.

Seront exemptés de cette obligation les responsables du traitement ou sous-traitants :
. qui mettront en oeuvre des traitements à titre occasionnel,
. qui n'impliquent pas un traitement à grande échelle des catégories particulières de données sensibles visées à l'article 9 par.1, ou un traitement de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10,
. et qui mettront en oeuvre des traitements ne nécessitant pas d’analyse d’impact en vertu de l’article 35 du règlement.

De même, les autorités et organismes publics non européens ne sont pas concernés par cette obligation de désignation d’un représentant.

    2.2 Le cas du Royaume-Uni après le Brexit

Une fois que le Royaume-Uni sera sorti de l’Union européenne, il ne sera plus soumis au RGPD. Cependant, le gouvernement britannique vient de se prononcer pour l’adoption d’une loi, réformant la Data Protection Act 1998 actuelle et intégrant dans le droit anglais les règles du RGPD.

L’objet de ce projet de loi est de rassurer le monde des affaires suite au Brexit, sur la possibilité de poursuivre les transferts de données entre le Royaume-Uni et l’Union européenne. Par ce biais, le Royaume-Uni souhaite s’assurer que sa loi sur la protection des données personnelles sera considérée par la Commission de Bruxelles comme offrant un niveau de protection adéquat, permettant de continuer à transférer librement des données personnelles entre le Royaume-Uni et l’UE. (7)

    2.3 La mise en conformité au RGPD

Le règlement européen comprend de nombreux principes nouveaux ou renforcés par rapport à la réglementation actuelle qu’il convient de prendre en compte. Ces principes devront être intégrés  par les entreprises dans leurs procédures de développement de nouveaux produits et services à destination du marché européen, pour être en conformité au règlement. Parmi ces principes, il convient de rappeler : (8)

a) Concernant les droits des personnes :
    - Le renforcement des conditions de l’obtention du consentement des personnes (art. 7) : les termes relatifs au consentement doivent être rédigés de manière claire et explicite. ;
    - L’information des personnes concernées doit être transparente, et rédigée en termes clairs et simples ;
    - Le droit à la portabilité des données (art. 20) permet aux personnes concernées de demander au responsable de traitement de récupérer ou transmettre leurs données personnelles collectées pour les transférer à un nouveau responsable de traitement ;
    - La protection spécifique des données personnelles des mineurs de moins de 16 ans (art. 8). Lorsque des services en ligne sont destinés aux enfants, les traitements de données de mineurs de moins de 16 ans (ou 13 ans dans les Etats membres qui ont fixé cette limite d’âge) seront soumis à l’accord ou l’autorisation de la personne exerçant l’autorité parentale.

b) Concernant les responsables de traitements et sous-traitants
    - Les traitements automatisés et les techniques de profilage sont encadrés (art. 22). Ces traitements seront autorisés sous certaines conditions et si la personne a donné son consentement ;
    - Le responsable de traitement devra déployer des règles internes claires et facilement accessibles afin de garantir et démontrer le respect de la réglementation (notion d’“accountability”) (art. 5 et 24) ;
    - Lors du développement de nouveaux produits ou services, les responsables de traitement devront intégrer par défaut la protection des données personnelles dans la définition des moyens de traitement et dans le traitement lui-même (principe de “protection de la vie privée dès la conception” ou “privacy by design”) (art. 5 et 25) ;
    - Le règlement prévoit des règles de sécurité accrues et une obligation de notification des failles de sécurité à tous les responsables de traitement (art. 5, et 32 à 34) ;
    - Un délégué à la protection des données devra être désigné dans les entreprises ayant pour “activité de base” la gestion de données personnelles “à grande échelle” ou le contrôle et suivi du comportement des personnes (art. 37, 38 et 39).

Enfin, le règlement prévoit un pouvoir de sanction par les autorités de contrôle plus large et dissuasif (art. 83). Selon le type de violation retenu, les autorités de contrôle pourront prononcer des amendes administratives pouvant s’élever soit à 10 millions d’euros ou 2% du chiffre d’affaires total mondial de l’entreprise pour l’exercice précédent, le montant le plus élevé étant retenu, soit à 20 millions d’euros ou 4% du chiffre d’affaires total mondial de l’entreprise pour l’exercice précédent.

                                                                   * * * * * * * * * * * *


(1) Voir l’article 4 “Droit national applicable” de la Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données

(2) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD)

(3) Par exemple, l’âge minimum pour un jeune pour donner son consentement pourra être compris entre 13 et 16 ans, le choix étant laissé à chaque Etat membre.

(4) Voir RGPD, considérants 22 à 24 et article 3 “Champ d’application territoriale”

(5) Considérant 24

(6) RGPD, article 27

(7) “UK Government announces proposals for a new Data Protection Bill”, in Technology Law Dispatch, 16 août 2017

(8) Pour une analyse plus détaillée des obligations relatives à la mise en conformité au RGPD, voir nos articles à ce sujet : “Adoption du Règlement européen sur la protection des données personnelles : le compte à rebours de la mise en conformité a commencé”, “Entrée en application du RGPD en mai 2018 : comment organiser votre mise en conformité au règlement européen ?”, “Sécurité des données personnelles : vers la généralisation de la procédure de notification des incidents de sécurité"



Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Septembre 2017