Messages les plus consultés

jeudi 4 mars 2021

Formaliser son projet informatique pour limiter les contentieux


Trop de projets informatiques ignorent encore le formalisme de la contractualisation et de la documentation des différentes étapes du projet, qu’il s’agisse d’un projet de développement “classique” ou d’un projet de développement “agile”.


Deux récents jugements viennent ainsi rappeler que l’absence d’expression des besoins et l’absence de contestation des dysfonctionnements avant la réception du projet lèsent le client, malgré l’obligation de conseil incombant au prestataire.


1. L’absence d’expression des besoins par le client dans le cadre d’un projet agile

Dans une première affaire, jugée le 7 octobre 2020, la société Oopet, une startup dans le domaine des animaux de compagnie, avait commandé le développement de deux applications mobiles et d’un site web à la société Dual Media Communication, prestataire informatique. Le client a par la suite reproché au prestataire d’avoir notamment manqué à son obligation de conseil pour ne pas lui avoir recommandé de réaliser un cahier des charges, et d’avoir livré des prestations défectueuses. (1)

Le projet était mené selon la méthode agile. Plus pragmatique et évolutif qu’un développement selon les méthodes classiques en cascade ou en V, un projet agile suit une construction au fur et à mesure sur la base d’itérations, d’intégrations ou de tests en continu (suivant les méthodes agiles “scrum”, “extreme programming” ou “lean software development”).

Quelle que soit la méthode de développement utilisée, un projet agile repose sur une très forte implication des parties - prestataire et client, dans le suivi du projet, nécessitant de nombreux échanges entre les parties et la prise en compte des besoins du client par le prestataire tout au long de la phase de développement informatique.

En l’espèce, le client n’avait pas produit de cahier des charges. Les juges n’ont pourtant pas considéré que le prestataire avait manqué à son obligation de conseil et de mise en garde. Les juges ont en effet pris en compte les particularités d’un projet agile, en soulignant que les difficultés rencontrées pendant la phase de développement, notamment “les erreurs relevées, les réponses quelque fois tardives, la difficulté de s’accorder sur des prestations qui apparaissent entre les cocontractants, ne dérogent pas à la norme de ce type de construction en l’absence de cahier des charges et ne présentent pas de caractère anormal.”

Même s’il n’existe pas de cahier des charges exhaustif au commencement d’un projet agile, ce qui est l’essence même de la flexibilité requise, il est important que le client détaille a minima la finalité du projet et ses attentes (exigences formelles par exemple) afin que le prestataire comprenne ses besoins. Les juges rappellent ainsi que si l’obligation de conseil à la charge du prestataire dépend des besoins et objectifs du client, celui-ci doit les exprimer précisément. Cette obligation ne pourra être exécutée si le client ne fournit pas les informations nécessaires au prestataire afin de lui permettre de répondre au plus près aux besoins du client.

Bien qu’il existe peu de décisions judiciaires relatives à l’exécution de projets agiles - les litiges étant souvent résolus à l’amiable, l’un des problèmes récurrents de ces projets est une défaillance de formalisme : contrats mal rédigés ou inadaptés à ce type de prestation, absence de définition des besoins, coût du projet mal anticipé… Or, même si agilité rime avec souplesse et adaptabilité, les parties se doivent de prendre soin d’encadrer le projet en amont et de respecter les procédures prévues pour chaque phase afin d’éviter les contentieux en bout de course.


2. Les conséquences juridiques de la signature du procès-verbal de recette

L’absence de formalisme dans la relation contractuelle se constate également après la livraison de la prestation, qu’il s’agisse d’un projet développé selon une méthode classique ou agile.

Contrepartie de l’obligation de délivrance par le prestataire, l’obligation de réception incombe au client. Or, la mise en production d’un logiciel ou d’un site web par le client, sans avoir signé de procès-verbal de recette et sans avoir relevé de dysfonctionnements, équivaut à l’acceptation de la prestation.

La phase de réception doit permettre d’identifier par le biais de tests, les dysfonctionnements pouvant subsister dans le logiciel livré. La recette définitive actée emporte l’obligation pour le client de payer le solde de la prestation et, le cas échéant, le départ de la période de garantie contractuelle.

La mise en production ou la signature du procès-verbal de recette sans réserves met un terme au projet informatique. Sauf exception, le client ne peut alors plus contester la délivrance conforme du projet informatique.

Deux décisions récentes rappellent l’importance des phases de livraison et de recette d’un projet informatique.

Dans une affaire opposant la société My Taylor is Free, qui réalise et vend des costumes sur mesure et prêt à porter, à ses prestataires, le client avait conclu un contrat de développement de site e-commerce avec la société Antadis. Par ailleurs, en avril 2017, My Taylor is Free a accepté le devis proposé par la société Exalt3D pour une prestation de “scan, modélisation et texturage”. Plusieurs factures étant restées impayées à Exalt3D, celle-ci a assigné My Taylor is Free en paiement devant le tribunal de commerce d’Aix-en-Provence. (2)

Le tribunal a retenu que les devis ainsi que l’échéancier de paiement avaient été acceptés par My Taylor is Free. Selon les emails échangés entre les trois sociétés, il apparaît notamment que la société Antadis a bien livré le site internet et que celui-ci a été recetté. L’absence de courrier de réclamation à Antadis sur la livraison du site web indique que My Taylor is Free l’a accepté en l’état. De même, My Taylor is Free n’a émis aucune réclamation écrite à la société Exalt3D sur sa prestation. Le tribunal en conclut que les prestations ont été exécutées et livrées par les deux sociétés prestataires et que les factures doivent être réglées par My Taylor is Free.

Dans l’affaire, opposant Oopet à Dual Media Communication, la société Oopet avait signé le procès-verbal de recette sans réserves. Or, la signature du procès-verbal de recette n’est pas une simple formalité. Comme l’a rappelé le tribunal, “il était de la responsabilité de SAS Oopet de vérifier par test les concordances des fonctions des applications à ses attentes, donc que la signature de ces procès-verbaux de recette montre son acceptation en toute connaissance quand il écrit “le client Oopet reconnaît avoir conduit les vérifications nécessaires et estime le produit livré conforme au devis initial”.


    Il existe une abondante jurisprudence sur l’obligation de conseil et de mise en garde incombant au prestataire professionnel. Or cette obligation doit être examinée en parallèle avec l’obligation de collaboration du client. Ces deux affaires illustrent bien cette obligation qui incombe au client pour tout projet de développement informatique. En effet, le client ne peut rester passif. Il doit communiquer ses besoins au prestataire, se manifester et interagir pendant la durée du projet, l’interroger si nécessaire et remonter les dysfonctionnements éventuels. Un certain formalisme doit donc être respecté, depuis un contrat reflétant les prestations à réaliser et précisant, le cas échéant, la méthode de développement, en passant par un suivi de projet rigoureux, une phase de livraison, une ou plusieurs phases de tests, et enfin la recette définitive du projet, cela pour limiter les risques de litiges pouvant survenir.

* * * * * * * * * * *


(1) T com. Paris, 8é ch., 7 oct. 2020, Oopet c/ Dual Media Communication

(2) T com. Aix-en-Provence, 16 nov. 2020, Exalt3D c/ My Taylor is Free et Antadis


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mars 2021

mardi 24 novembre 2020

Données numériques post-mortem : comment gérer les données d’un proche décédé ?

 


La plupart d’entre nous avons créé et utilisons plusieurs comptes en ligne, que ce soit à des fins personnelles ou professionnelles, sans oublier la messagerie électronique… Toutefois, lors du décès du titulaire de comptes en ligne se pose la question de la gestion de ses données. En effet, la mort physique n’entraîne pas automatiquement la mort numérique et les comptes personnels, même inactifs, peuvent rester en ligne pendant des période plus ou moins longues. La question de la gestion des données numériques d’une personne décédée est essentielle lorsque l’on sait que chaque jour, 8.000 personnes en moyenne, inscrites sur Facebook, décèdent dans le monde. (1)


1. Les données personnelles numériques sont, par définition, personnelles

Les données à caractère personnel sont définies comme toute information se rapportant à une personne physique identifiée ou identifiable, c’est-à-dire la personne concernée. Toute autre personne, y compris ses héritiers, est dès lors considérée comme un tiers. (2)

Les droits de la personne concernée (notamment les droits d’accès, de rectification et de suppression des données) sont attachés à cette personne et ne peuvent être exercés que par elle. Ce principe a ainsi été rappelé par les juges du Conseil d’Etat par deux arrêts en 2011 et 2017. (3) Les comptes de messagerie électronique sont, eux, couverts par le secret des correspondances.

Les droits de la personne concernée s’éteignent à son décès. Les tiers, héritiers et proches du défunt, n’ont donc pas automatiquement accès à ses comptes ouverts sur les plateformes et réseaux sociaux.

Que deviennent alors ses données numériques, ses comptes ouverts sur Facebook, Instagram, Twitter, LinkedIn, YouTube, ses comptes de messagerie ?

Jusqu’à l’entrée en vigueur de la Loi pour une république numérique, (4) les ayants droit d’une personne décédée ne pouvaient avoir accès à ses données numériques que dans des cas limités, aux fins d’exercer leurs droits en qualité d’héritiers (accès aux données de comptes bancaires par exemple).

De nombreux sites web, plateformes et réseaux sociaux clôturent automatiquement les comptes inactifs au bout d’une certaine période (1 an, 2 ans, voire plus). Cependant, les exploitants des sites n’ont pas connaissance du décès de leurs utilisateurs et ne peuvent intervenir pour supprimer leurs comptes à leur décès. D’autres plateformes n’ont pas de procédure particulière pour les comptes inactifs. Il existe donc de nombreux comptes inactifs pour cause de décès de leurs titulaires qui restent en ligne, la mort physique n’entraînant pas automatiquement la mort numérique.


2. Les conditions de la mise à jour des données numériques après la mort d’un proche

La Loi pour une république numérique a prévu une procédure assez complète aux fins de gérer la mort numérique d’un proche, en respectant le “testament numérique” du défunt. Ces dispositions figurent désormais à l’article 85 de la loi Informatique et Libertés, modifiée.

Deux options peuvent se présenter : soit la personne a défini des directives relatives à ses données personnelles après son décès, soit elle n’a pas prévu de directives.

    a) La personne a défini des directives relatives à ses données personnelles après son décès

Les directives définissent les conditions d’accès et de traitement de ses données personnelles après son décès. La personne concernée peut modifier ou révoquer ses directives à tout moment, au même titre qu’un testament.

Au cas où la personne concernée a défini des directives relatives à ses données personnelles après son décès, celles-ci peuvent être générales ou particulières.

Les directives générales portent sur l’ensemble des données personnelles de la personne concernée. Elles peuvent désigner la personne qui sera chargée de leur exécution. A défaut de désignation d’une personne spécifique, et sauf directive contraire, ses héritiers seront habilités à en prendre connaissance au décès de leur proche et à demander leur mise en oeuvre. Ces directives peuvent être enregistrées auprès d’un tiers de confiance numérique, certifié par la CNIL. L’existence de directives générales et le tiers de confiance sont inscrits dans un registre unique.

Les directives particulières portent sur les traitements de données identifiés dans ces directives, qui sont ensuite enregistrées auprès des responsables de traitement concernés, à savoir les plateformes et réseaux sociaux. A cette fin, les conditions d’utilisation des plateformes et/ou politiques de protection de la vie privée doivent mentionner cette possibilité. Toutefois, ce traitement doit faire l’objet d’un consentement spécifique, distinct de l’acceptation des conditions d’utilisation.

    b) La personne n’a pas prévu de directives relatives à ses données personnelles après son décès

Dans ce cas, ses héritiers ne peuvent exercer leurs droits qu’aux fins d’une part, d’organiser et de régler la succession du défunt en accédant aux informations utiles à la liquidation et au partage de la succession et d’autre part, de faire prendre en compte le décès par le responsable du traitement (clôture du compte utilisateur, mise à jour du compte, etc.).

Les principaux réseaux sociaux ont prévu des fonctionnalités de suppression de comptes inactifs suite au décès de leur titulaire (sauf mention contraire du défunt dans ses directives) ou de passage en mode “mémorial” (cf. Facebook) pour que les proches et amis puissent échanger et laisser des messages à sa mémoire. La CNIL publie sur son site une liste de réseaux sociaux ayant mis en place ce type de fonctionnalité, avec les liens vers les pages permettant de signaler le décès d’un proche.

En cas de désaccord entre les héritiers, ou si l’un d’eux estime notamment que l’utilisation des données personnelles d’une personne décédée porte atteinte à sa mémoire, sa réputation ou son honneur, ceux-ci peuvent saisir le tribunal judiciaire compétent.


* * * * * * * * * * *

(1) Source : CNIL “Mort numérique : peut-on demander l’effacement des informations d’une personne décédée ?”

(2) Voir définitions à l’article 4 du Règlement général pour la protection des données (RGPD)

(3) Arrêt CE du 29 juin 2011, req. n°339147 ; Arrêt CE du 7 juin 2017, req. n°399446

(4) Loi n°2016-1321 pour une république numérique du 7 octobre 2016



Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Novembre 2020

mercredi 18 novembre 2020

Protection des données personnelles : analyse comparative entre le RGPD (UE) et les CBPR (APEC)

 


Suite à notre précédent article présentant le système des CBPR (Cross-Border Privacy Rules) permettant les transferts de données personnelles entre sociétés situées dans la région Asie-Pacifique (APEC) (1), nous faisons ici une brève analyse comparative entre le RGPD (2) et le système des CBPR afin d’aider à comprendre les objectifs de ces deux systèmes de protection des données personnelles, ce qui les rapproche, mais aussi ce qui les différencie.

1. Principes fondamentaux et fonctionnement : RGPD vs CBPR

Même si les objectifs du RGPD et des CBPR sont similaires, c’est-à-dire permettre le transfert de données personnelles à l’international dans des conditions juridiques sécurisée, les fondamentaux et leur fonctionnement diffèrent.

    1.1 Le RGPD : une application homogène dans l’Union européenne

Le RGPD est entré en application le 25 mai 2018. Ce texte a vocation à s’appliquer de manière homogène dans les Etats-membres de l’Union européenne. (3) Le règlement est venu abroger la directive sur la protection des données personnelles datant d’octobre 1995, qui était devenue obsolète puisqu’elle avait été adoptée avant l’essor des services sur internet (Big data, Cloud computing, …) et l’expansion des GAFAM.

L’objectif principal du RGPD est la protection des consommateurs, et par le biais de règles de consentement renforcées, de leur redonner du pouvoir sur leur données personnelles.

Le RGPD s’applique à tout organisme, privé et public, responsable de traitement ou sous-traitant, situé dans l’Union européenne, qui traite des données personnelles. Le règlement s’applique également aux organismes situés en dehors de l’UE qui ciblent tout ou partie du marché européen et à ce titre, traitent des données personnelles de résidents européens. (4)

Tout organisme situé au sein de l’UE doit donc être en conformité avec le RGPD. Les transferts de données personnelles au sein de l’UE sont réalisés librement, de même que les transferts de données personnelles entre une organisme situé dans l’UE et un organisme situé dans un pays offrant un niveau de protection adéquat. (5) Les transferts vers les pays tiers sont interdits, sauf adoption par les deux parties de clauses contractuelles types (CCT) validées par la commission européenne, un contrat ad hoc validé par une autorité de contrôle (CNIL par exemple), ou en vertu de règles d’entreprise contraignantes (Binding corporate rules ou BCR) pour les transferts de données personnelles intra-groupe.

    1.2 Les CBPR : un système flexible applicable sur la base du volontariat

Le système des CBPR est établi sur la base du Privacy Framework de l’APEC (Asia-Pacific Economic Cooperation). Ce système date de 2005 et a été mis à jour en 2015. Contrairement au RGPD, les CBPR ne s’appliquent pas automatiquement dans les pays membres de l’APEC. A ce jour, seuls 9 pays, sur les 21 pays membres de l’APEC, on adhéré au système des CBPR. (6)

L’objectif des CBPR est avant tout économique, c’est-à-dire, de fluidifier les transferts de données personnelles entre les organismes situés dans des pays membres, de manière juridiquement sécurisée, aux fins de développer les flux économiques, et notamment le commerce électronique. (7)

Les CBPR fonctionnent sur les principes de flexibilité et de volontariat. “Flexibilité” : les CBPR ne remplacent pas la réglementation sur la protection des données des pays participant au système CBPR et leur application est soumise à un certain degré de flexibilité. Les pays dont la réglementation sur la protection des données personnelles est plus stricte conservent le “bénéfice” de leur réglementation. Certaines dispositions du cadre de protection des données peuvent également être adaptées compte tenu des différences aux niveaux social, culturel, économique et juridique des pays participants. “Volontariat” : seuls les organismes situés dans les pays adhérant aux CBPR peuvent décider de se faire certifier conformes aux CBPR.adhérent,

Par ailleurs, les CBPR ne s’appliquent qu’aux responsables de traitement (“controllers”). Les sous-traitants (“data processors”) peuvent, quant à eux, se faire certifier conformes aux PRP (Privacy Recognition for Processors), qui viennent compléter les CBPR. Il est donc nécessaire, pour une société responsable de traitement, de s’assurer que son co-contractant, situé dans un pays est effectivement certifié CBPR et/ou PRP avant de lui transférer des données personnelles.

Les sociétés certifiées CBPR / PRP des pays de l’APEC participants peuvent ainsi librement transférer des données personnelles entre elles. Les transferts vers des sociétés non certifiées, des pays de l’APEC non participants, et vers les pays tiers sont en principe interdits, sauf dispositions figurant dans les lois nationales de protection des données personnelles.

Enfin, on notera que l’UE compte environ 400 millions d’habitants, et est composée de pays relativement homogènes en terme de développement économique. Les pays de l’APEC participant au système CBPR en comptent le double, soit environ 817 millions d’habitants. Toutefois ces pays sont plus disparates économiquement.

2. Les principes et dispositions caractéristiques aux deux systèmes

Dans la mesure où le RGPD et le Privacy Framework de l’APEC, sur lequel repose le système des CBPR, s’inspirent des lignes directrices de l’OCDE sur la protection de la vie privée, on retrouve plusieurs principes fondamentaux communs aux deux systèmes. (8) Toutefois, leur mise en oeuvre est différente. (9) Nous abordons ci-après les principales similarités et différences entre les deux systèmes.

    2.1 Principales similarités entre les deux systèmes

Comme mentionné plus haut, dans la mesure où les deux systèmes, RGPD et CBPR sont issus des lignes directrices de l’OCDE sur la protection de la vie privée, on retrouve des similarités entre eux, même si les termes utilisés ne sont pas nécessairement identiques. Nous reprenons les principaux concepts par équivalence. Les références aux CBPR se rapportent au Privacy Framework (PF) de l’APEC.

    - Champ d’application matériel
Le RGPD s'applique aux traitements de données à caractère personnel, automatisés en tout ou en partie, ainsi qu'aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans un fichier. (RGPD art. 2) Comme mentionné plus haut, contrairement aux CBPR, le règlement s’applique aux responsables de traitement et aux sous-traitants.

Le système CBPR s’applique aux personnes physiques ou morales, privées ou publiques qui contrôlent la collecte, détiennent, traitent, utilisent ou transfèrent des données personnelles. Les CBPR ne s’appliquent qu’aux responsables de traitement et sont complétés par les PRP, applicables aux sous-traitants. Il s’agit toutefois d’un système flexible, adaptable aux différences sociales, culturelles, économiques et juridiques des pays participants. (par. 17 PF)

    - Définitions
“Donnée personnelle” : selon le RGPD, une donnée à caractère personnel signifie “toute information se rapportant à une personne physique identifiée ou identifiable” (la personne concernée). (Art 4.1 RGPD) La définition des CBPR est sensiblement la même. (par. 9 PF)

“Responsable du traitement” (data controller ou personal information controller) : selon le RGPD, le responsable du traitement est la personne physique ou morale, qui détermine les finalités et les moyens du traitement. Il peut y avoir des responsables du traitement conjoints. (art. 4.7 RGPD) Les CBPR définissent le responsable du traitement comme la personne physique ou morale qui contrôle la collecte, le traitement, l’utilisation et le fait de détenir des données personnelles. (par.10 PF)

    - Principes relatifs au traitement des données à caractère personnel
Le RGPD reprend et enrichit les principes applicables aux traitements de données par rapport à la directive d’octobre 1995, à savoir, les notions de licéité, loyauté, transparence du traitement, de finalités déterminées, explicites et légitimes, de minimisation (traitement limité aux données nécessaires au regard des finalités), données exactes et à jour, conservées pendant une durée limitée, de manière sécurisée et confidentielle. (art. 5.1 RGPD)

On retrouve ces principes dans le système CBPR, à savoir, les principes d’information et de consentement de la personne concernée (“notice, consent and choice”) (par. 21 à 23 et 26 PF), de limitation des données collectées (par. 24) et de finalité (par. 25), ainsi que les notions d’intégrité et de données à jour. (par. 27)

    - Principe de responsabilité (“accountability”)
Le principe de responsabilité a été renforcé avec le RGPD, le responsable du traitement devant être en mesure de démontrer être en conformité avec le règlement. (Considérant 85 et art. 5 2 RGPD)

Le système des CBPR reconnaît ce principe de responsabilité en matière de conformité du responsable du traitement. (par. 32 PF)

    - Principe de sécurité des données
Les responsables du traitement et leurs sous-traitants sont responsables de la sécurité (physique et logique) des données qu’ils traitent, compte tenu notamment de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques et du coût des mesures de sécurité par rapport au niveau de sensibilité des données traitées. (art. 32-1 RGPD)

Le principe de sécurité des données contre la perte, les accès non autorisés aux données ou la destruction, l’utilisation, la modification ou la divulgation non autorisées des données, est également reconnu par les CBPR. (par. 28 PF)

    2.2 Principales différences entre les deux systèmes

Il existe toutefois de nombreuses différences entre les deux systèmes, en commençant par les objectifs poursuivis par le RGPD et par les CBPR respectivement.

    - Objectifs
Le RGPD a pour objectif de permettre la libre circulation des données personnelles au sein de l’Union européenne, ainsi que d’assurer la protection des personnes concernant leurs données personnelles. Le RGPD définit la protection des personnes physiques concernant le traitement des données personnelles comme un droit fondamental. (1er considérant et art. 1er RGPD)

Les CBPR fournissent un système de protection des données personnelles permettant de lever les barrières aux transferts de données, en assurant le développement du commerce et des relations économiques dans la région APEC. Le Privacy Framework reconnaît le droit des personnes concernées à une attente légitime en matière de protection des données, et contre une utilisation abusive de ces données. (par. 20 PF)

    - Champ d’application territoriale
Le RGPD s'applique aux traitements de données personnelles effectués sur le territoire de l’Union européenne, que les traitements aient effectivement lieu ou non dans l’UE. Le règlement produit également des effets extra-territoriaux, puisqu’il s’applique aussi aux traitements de données concernant des personnes résidant dans l’UE par des organismes situés hors de l’UE. (art. 3 RGPD)

Les CBPR ne définissent pas de champ d’application territoriale puisque le système ne s’applique qu’aux pays de l’APEC ayant adhéré aux CBPR et uniquement aux organismes certifiés CBPR (et/ou PRP pour les sous-traitants). Toutefois, les autorités de contrôle des pays participants sont encouragées à coopérer entre elles pour assurer l’application effective des CBPR (par. 62 s. PF).

    - Sous-traitant (data processor)
Le RGPD définit le sous-traitant comme la personne physique ou morale qui traite des données à caractère personnel pour le compte du responsable du traitement. (art. 4.8 RGPD)

Le Privacy Framework de l’APEC et les CBPR ne s’appliquent pas aux sous-traitants.

    - Données accessibles au public
D’une manière générale, le RGPD s’applique aux données personnelles, qu’elles soient accessibles publiquement (données accessibles sur les réseaux sociaux par exemple : nom, prénom, photos, etc.), ou non.

Le Privacy Framework de l’APEC et les CBPR s’appliquent de manière très limitée aux données personnelles accessibles publiquement. Dans la mesure où la personne concernée a en principe rendu ses données publiques, et que ses données ne sont pas collectées directement auprès d’elle, on considère que les principes d’information et de choix ne sont pas applicables. (par. 11 PF)

    - Adaptations par les Etats-membres / pays participants
Même s’il s’agit d’un règlement européen, applicable directement par les Etats-membres, le RGPD prévoit quelques domaines résiduels sur lesquels les Etats-membres peuvent légiférer. Ainsi, en France, la loi Informatique et Libertés a été modifiée par ordonnance le 12 décembre 2018 pour intégrer ces dispositions aménagées. (10)

Les pays qui adhèrent au système des CBPR peuvent appliquer des exceptions au champ d’application du système correspondant à leur situation spécifique.

    - Violations de données personnelles, notification et correction
Le RGPD définit la violation de données à caractère personnel comme une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données. (Art. 4.12 RGPD) Alors que précédemment l’obligation de notifier les violations de données aux autorités de contrôle ne s’appliquait en France qu’aux seuls opérateurs télécom, le RGPD a étendu cette obligation à tous les organismes. En cas de violation de données personnelles, la procédure de notification et de correction est décrite à l’article 33 du RGPD.

Les CBPR ne comprennent pas de définition de violation de données personnelles. Toutefois, les  pays participants doivent prévoir des procédures de notification aux autorités de contrôle ou aux personnes concernées en cas de violation de données.

    - Durée de conservation des données personnelles
Le RGPD limite la durée de conservation des données à caractère personnel. Les données personnel sont conservées sous une forme permettant l'identification des personnes concernées pendant la durée nécessaire aux finalités pour lesquelles elles sont traitées. Elles sont ensuite supprimées. Elles peuvent cependant être conservées pour des durées plus longues, sous une forme anonymisée, en cas de traitement à des fins archivistiques, de recherche scientifique ou historique ou à des fins statistiques. (art. 5.1 RGPD)

En revanche, le Privacy Framework ne prévoit pas d’obligation de limitation de durée de conservation des données.

    - Données des enfants
Enfin, l’article 8 du RGPD prévoit des règles spécifiques pour la protection des données personnelles des mineurs, avec la possibilité pour chaque Etat-membre de fixer le seuil de l’âge de cette protection spécifique entre 13 et 16 ans (fixé à 15 ans en France).

Le Privacy Framework ne prévoit pas de protection spécifique pour les données des mineurs.


    Le système des CBPR, complété par les PRP, n’est pas reconnu par la Commission européenne comme offrant un niveau de protection adéquate. Parmi les pays membres de l’APEC, seuls le Canada et le Japon sont actuellement reconnus par la Commission européenne comme des pays offrant un niveau de protection adéquate. En conséquence, pour les autres pays de l’APEC, participant ou non au système des CBPR, les transferts de données entre un organisme situé dans l’Union européenne et une société certifiée située dans un pays de l’APEC doivent respecter les règles européennes de transfert à l’international (adoption de CCT, signature d’un contrat approuvé par une autorité de contrôle ou transfert couvert par des BCR).

* * * * * * * * * * *

(1) Site de l’APEC L'APEC compte parmi ses membres une grande partie des pays de l’Asie du sud et de l’est. A noter que l’Inde n’est pas membre de l’APEC.

(2) Règlement général pour la protection des données n° 2016-679, ou RGPD

(3) Le RGPD ne s’applique pas de manière identique dans toute l’Union. Le règlement permet aux Etats-membres d’adopter des dispositions spécifiques dans quelques domaines identifiés.

(4) Article 3 - RGPD

(5) Les pays membres de l’APEC offrant un niveau de protection adéquate sont le Canada, le Japon, et la Nouvelle-Zélande (hors système CBPR). Des pourparlers sont en cours entre la Commission européenne et la République de Corée pour ajouter ce pays à la liste des pays offrant un niveau de protection adéquate. Le Privacy Shield (Bouclier de protection), en place entre l’Union européenne et les Etats-Unis (membre de l’APEC), a été invalidé par un arrêt de la Cour de justice de l’Union européenne (CJUE) le 16 juillet 2020.

(6) Les 9 pays de l’APEC participant au système des CBPR à la date du présent article sont : l’Australie, le Canada, la Corée du Sud, les Etats-Unis, le Japon, le Mexique, les Philippines, Singapour, et Taiwan.

(7) “GDPR and CBPR: Reconciling Personal Data Protection and Trade”, APEC policy support unit, Policy Brief No.23, October 2018

(8) Lignes directrices de l’OCDE

(9) Les CBPR reposent sur 9 principes fondamentaux, définis dans le Privacy Framework de l’APEC. Il s’agit des principes de : responsabilité (accountability), information des personnes (notice), choix (choice), limitation des données collectées (collection limitation), intégrité des données personnelles (integrity of personal information), règles d’utilisation des données personnelles (uses of personal information), règles de sécurité des données (security safeguards), règles relatives aux droits d’accès et de rectification (access and correction), et règles relatives à la prévention des dommages comprenant l’obligation de notification en cas de violation de données (preventing harm). En revanche, les CBPR ne prévoient pas le principe de la limitation de la durée de conservation des données.

(10) Ordonnance n°2018-1125 du 12 décembre 2018 prise en application de l'article 32 de la loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles et portant modification de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et diverses dispositions concernant la protection des données à caractère personnel.



Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Novembre 2020

samedi 11 juillet 2020

CBPR et PRP : Singapour modifie la loi sur le transfert des données personnelles


Singapour a rejoint le système des CBPR (Cross-Border Privacy Rules - règles transfrontières de protection des données) de l’APEC en avril 2018. Il aura fallu un peu plus de deux ans pour que la loi singapourienne sur la protection des données personnelles soit modifiée pour admettre les transferts de données personnelles dans le cadre des CBPR. (1)

La Loi sur la protection des données personnelles de 2012 (PDPA) est entrée en application en trois phases entre le 2 janvier 2013 et le 2 juillet 2014. (2) Cette loi est complétée par les Règlements sur la protection des données personnelles de 2014, dont le titre III concerne les transferts de données vers l’étranger (ci-après, les “Règlements”). (3)

En règle générale, les données personnelles ne peuvent être librement transférées depuis Singapour vers un pays étranger, sauf dans les cas prévus par les Règlements.

Avant de transférer les données vers un organisme situé à l’étranger, l’organisme singapourien doit notamment s’assurer que l’organisme destinataire est soumis à des engagements opposables accordant aux données transférées un niveau de protection au moins équivalent à la protection accordée par la loi singapourienne sur la protection des données personnelles. Ce niveau d’engagement peut figurer dans la loi du pays du destinataire, dans un contrat conclu entre l’organisme singapourien et l’organisme destinataire, ou dans des règles d’entreprise contraignantes (Binding corporate rules - BCR) pour les transferts intra-groupe.

Les Règlements ont été modifiés le 4 juin dernier pour ajouter les transferts de données à l’étranger vers des organismes certifiés dans le cadre du système des CBPR pour les responsables de traitements, ou des PRP (Privacy Recognition for Processors - ou système de reconnaissance de la vie privée pour les sous-traitants). Pour rappel, seuls les organismes situés dans des pays de l’APEC ayant adhéré au système des CBPR et PRP peuvent bénéficier de ces mesures de transfert. A ce jour, 9 pays, sur les 21 membres de l’APEC, ont rejoint le système CBPR : les Etats-Unis, le Canada, le Mexique, le Japon, la Corée du Sud, Taiwan, les Philippines, Singapour et l’Australie. (4)

La Commission pour la protection des données personnelles (PDPC) a publié des clauses types pouvant être intégrées aux contrats comprenant des transferts de données vers des organismes certifiés CBPR ou PRP. (5)


                                                                  * * * * * * * * * * *


(1) Site des CBPR

(2) Personal Data Protection Act 2012 (“PDPA”)

(3) Personal Data Protection Regulations 2014

(4) Pour plus de détails sur le fonctionnement du système, voir notre article “Flux transfrontières de données personnelles en Asie-Pacifique : le système CBPR

(5) https://www.pdpc.gov.sg/help-and-resources/2020/06/sample-clause-for-data-transfers-to-apec-cbpr-and-prp-certified-organisations


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Juillet 2020

mercredi 24 juin 2020

Flux transfrontières de données personnelles en Asie-Pacifique : le système CBPR


Les règles transfrontières de protection des données (Cross-Border Privacy Rules ou CBPR) ont été développées par l’APEC en 2011, pour permettre aux entreprises de ses pays membres de transférer des données personnelles selon des règles sûres et reconnues.

Fondé en 1989, l’APEC (Asia-Pacific Economic Cooperation ou Coopération Economique pour l’Asie-Pacifique) est un forum économique régional intergouvernemental regroupant 21 pays bordant le Pacifique. L’APEC a pour mission de faciliter la croissance économique et la coopération entre ses 21 membres. Outre les Etats-Unis, le Canada, le Mexique, le Chili et la Russie, l’APEC compte également parmi ses membres la Chine, l’Australie, le Japon, la Corée, Singapour, l’Indonésie et la Malaisie notamment. (1)

1. Qu’est-ce que le système CBPR ?

    1.1 Un système de transfert de données personnelles, basé sur le volontariat

A l’instar du RGPD européen, le système CBPR a pour objet de fluidifier les transferts de données personnelles entre les pays adhérents dans la région Asie-Pacifique. Mais alors que le RGPD s’impose à tous les organismes situés dans l’Union européenne et aux entreprises non-européennes qui ciblent le marché européen, les CBPR s’appliquent aux seules entreprises, responsables de traitement, qui choisissent, de manière volontaire, de se faire certifier conformes aux CBPR, et qui sont situées dans les pays membres de l’APEC appliquant les CBPR. (2)

Contrairement à l’Union européenne, dont les Etats membres partagent un certain nombre de valeurs sociétales, économiques, juridiques et politiques en application des traités d’adhésion européens, la région Asie-Pacifique ne dispose pas de traité d’union similaire, même s’il existe une volonté d’aller vers une plus grande intégration économique à l’échelle régionale.

Alors que les Etats membres de l’UE ont une même vision des principes relatifs à la protection de la vie privée et des consommateurs, il n’en est pas de même dans la région Asie-Pacifique, qui englobe des sociétés diverses, culturellement et économiquement notamment. Ne disposant pas de l’équivalent des règlements ou directives au niveau régional, les législations des différents pays membres de l’APEC sont diverses. Par exemple, certains pays ont adopté une loi sur la protection des données personnelles, plus ou moins protectrice, d’autres pas encore.

Forts de ce constat, les membres de l’APEC ont reconnu l’importance de la mise en oeuvre de principes de protection des données personnelles efficaces aux fins de fluidifier les flux de données entre leurs entreprises.

La philosophie des CBPR est donc différente de celle du RGPD.

    1.2 Sur quels principes fonctionnent les CBPR ?

Le système des CBPR est établi sur la base du Privacy Framework de l’APEC datant de 2005, et mis à jour en 2015. (3) Ce “cadre de la vie privée” constitue un modèle pour les lois nationales de protection de la vie privée des membres de l’APEC, et un socle de règles minimum pour les pays n’ayant pas encore légiféré dans ce domaine et souhaitant adhérer au système. On y retrouve notamment les principes fondamentaux de la protection des données personnelles, issus des lignes directrices de l’OCDE sur la protection de la vie privée. (4)

Ainsi, les CBPR reposent sur 9 principes fondamentaux, à savoir : les principes de responsabilité (accountability), d’information des personnes (notice), de choix (choice), de limitation des données collectées (collection limitation), d’intégrité des données personnelles (integrity of personal information), règles d’utilisation des données personnelles (uses of personal information), règles de sécurité des données (security safeguards), règles relatives aux droits d’accès et de rectification (access and correction), et règles relatives à la prévention des dommages comprenant l’obligation de notification en cas de violation de données (preventing harm). En revanche, les CBPR ne prévoient pas le principe de la limitation de la durée de conservation des données. (5)

    1.3 CBPR et Privacy Framework - un système de certification qui ne concerne que les responsables de traitement

Le système CBPR fonctionne sur le volontariat des Etats qui souhaitent, ou non, y adhérer, et parmi les Etats adhérents, des sociétés qui souhaitent se faire certifier. Grâce à ce système, les gouvernements et les entreprises certifiées s’assurent que, lors des mouvements de données personnelles transfrontières, celles-ci sont protégées selon les règles du système CBPR applicable dans les pays adhérents.

Les pays membres de l’APEC souhaitant rejoindre le système CBPR doivent suivre une procédure de demande d’adhésion, identifier un organe gouvernemental en charge de l’application des règles de protection des données personnelles (équivalent des autorités de contrôle telles que la CNIL), et au moins un organisme tiers certificateur. Pour les Etats-Unis, l’organe gouvernemental est la Federal Trade Commission et l’organisme tiers certificateur est la société TRUSTe.

Les entreprises souhaitant être certifiées CBPR doivent soumettre un dossier à un agent certificateur accrédité dans leur pays d’origine. Ce dossier comprend notamment leur politique sur la protection des données personnelles, dont les droits d’accès et de correction de leurs données  par les consommateurs, la nomination d’un délégué à la protection des données (DPO) et les règles de sécurité appliquées par l’entreprise. Celui-ci doit ensuite certifier que la politique de protection de la vie privée de la société est conforme au Privacy Framework. La certification est valable un an, renouvelable.

La certification CBPR est en principe un engagement de respect de leurs données personnelles par l’entreprise envers les consommateurs, conformément au Privacy Framework. La conformité au Privacy Framework est cependant un minima. Si la loi locale sur la protection des données personnelles est plus exigeante, l’entreprise devra évidemment se conformer à sa loi locale.

L’agent certificateur est également l’organisme en charge de la résolution des litiges entre les entreprises certifiées CBPR et les consommateurs.

En résumé, seules les entreprises certifiées CBPR, situées dans l’un des pays membres de l’APEC ayant adhéré au système CBPR peuvent bénéficier de ce système. A ce jour, 9 pays, sur les 21 membres de l’APEC, ont rejoint le système CBPR : les Etats-Unis, le Canada, le Mexique, le Japon, la Corée du Sud, Taiwan, les Philippines, Singapour et l’Australie.


2. Le système de PRP, le nécessaire complément aux CBPR, applicable aux sous-traitants

Contrairement au RGPD qui est applicable aux responsables de traitement (“controllers”) et aux sous-traitants (“data processors”), le système des CBPR ne s’applique qu’aux responsables de traitement.

Afin de permettre aux responsables de traitement d’identifier plus facilement des sous-traitants (hébergeurs, développeurs, etc.) dans la région Asie-Pacifique, respectueux des règles de protection des données personnelles, le système des CBPR a été complété par le système de PRP (Privacy Recognition for Processors - ou système de reconnaissance de la vie privée pour les sous-traitants).

Le système de PRP constitue le socle d’engagements en matière de respect des données personnelles qu’un sous-traitant doit respecter pour être certifié. Toutefois, même si les PRP n’intègrent pas le Privacy Framework, qui ne concerne que les responsables de traitement, ce système de règles doit permettre aux sous-traitant certifiés de démontrer leur capacité à traiter les données personnelles qui leur sont confiées, conformément aux règles édictées par les CBPR.

Comme pour les entreprises certifiées CBPR, l’adhésion aux PRP par les sous-traitants passe par une procédure de certification par un organisme tiers certificateur. La conformité des sous-traitants certifiés PRP est également assurée par les organismes certificateurs.

Toutefois, les responsables de traitement certifiés CBPR n’ont pas l’obligation de contracter avec des sous-traitant certifiés PRP.


    De grands groupes tels que Apple, Cisco Systems, General Electric, IBM et leurs filiales ont adopté les CBPR et/ou les PRP. Cependant, bien que les systèmes des CBPR et PRP couvrent une population et un PIB cumulés plus larges que toute l’Union européenne, peu de sociétés les ont encore adoptés. Ceci peut être la conséquence de plusieurs facteurs. La liste des membres de l’APEC participant au système CBPR (9 pays à ce jour) reste limitée. Certains pays n’ont rejoint le système CBPR que récemment : Singapour a rejoint le CBPR en avril 2018 et l’Australie et Taiwan en novembre 2018. De nombreuses entreprises locales ne connaissent pas encore l’existence du système des CBPR et des PRP dans la région. Il n’existe à ce jour que 3 agents certificateurs (Etats-Unis, Japon et Singapour). Enfin, certains pays, tels la Chine, ont mis en oeuvre une politique de non-transfert de données à l’international, ralentissant le mouvement d’adhésion aux CBPR.


Enfin, on précisera que l'adhésion des pays membres de l'APEC au système des CBPR ne modifie pas les règles de transfert de données entre l'Union européenne et ces pays. Hormis le Canada, le Japon, et les Etats-Unis (Privacy Shield) considérés par l'UE comme offrant un niveau de protextion adéquate, les transferts de données personnelles vers les autres pays ayant adhéré au système CBPR (Mexique, Corée du Sud, Taiwan, Philippines, Singapour et Australie) restent soumis aux règles de transfert à l'international, à savoir, soumis aux clauses contractuelles types, à un contrat ad hoc validé par une autorité de contrôle, ou pour les groupes de sociétés, à des BCR.

                                                                 * * * * * * * * * * *

(1) Site de l’APEC : L'APEC compte parmi ses membres une grande partie des pays de l’Asie du sud et de l’est. A noter que l’Inde n’est pas membre de l’APEC.

(2) Site des CBPR

(3) Privacy Framework de l’APEC

(4) Lignes directrices de l’OCDE 


(5) “GDPR and CBPR: Reconciling Personal Data Protection and Trade”, APEC policy support unit, Policy Brief No.23, October 2018


 
Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Juin 2020

lundi 8 juin 2020

Covid-19 – La CNIL rappelle les conditions de collecte de données de santé par les employeurs


La CNIL a rappelé aux employeurs les règles applicables à la collecte de données de santé dans le contexte du déconfinement et du retour des salariés sur leurs lieux de travail, dans une communication du 7 mai dernier. (1)

Les données concernant la santé sont définies à l’article 4 du Règlement général sur la protection des données (RGPD) comme “les données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne.

Les données de santé sont en principe interdites de traitement (art 9 RGPD), sauf dans le cadre des exceptions prévues au RGPD, et notamment lorsque le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l'appréciation de la capacité de travail du travailleur, de diagnostics médicaux, et sous réserve que ces données soient traitées par un professionnel de la santé soumis à l’obligation de secret professionnel. (2)

La collecte de données de santé des employés par les employeurs est donc interdite, car susceptible de porter une atteinte disproportionnée à la vie privée des personnes concernées. Les employeurs souhaitant mettre en place des procédures visant à s’assurer de l’état de santé de leurs employés à leur retour sur leur lieux de travail doivent se conformer au RGPD et au droit du travail. Il leur est conseillé de suivre les conseils des services de santé au travail (SST), particulièrement pendant la durée de la crise sanitaire. (3)

  • L’obligation de sécurité des employeurs

Les employeurs sont soumis à une obligation de sécurité de leurs employés (art. L.4121-1 et R.4422-1 code du travail). Ils doivent notamment mettre en œuvre des actions de prévention des risques professionnels, mais également informer et former les salariés. Enfin l’organisation et les conditions de travail doivent être adaptés. Ainsi, il leur est demandé de mettre à leur disposition du gel hydroalcoolique et des masques pour permettre de limiter les risques de contamination, mas également réaménager les postes de travail dans le respect des règles de distanciation sociale.

L’employeur peut rappeler à ses employés travaillant au contact d’autres personnes, de remonter toute information en cas de contamination éventuelle ou avérée, auprès de lui ou des autorités sanitaires compétentes pour adapter les conditions de travail, faciliter la transmission de ces informations par la mise en place de canaux dédiés et sécurisés, favoriser les modes de travail à distance et encourager le recours à la médecine du travail. En tout état de cause, il est recommandé aux employeurs d’informer les employés sur la mise en oeuvre de dispositifs ou de traitements liés à la santé pendant la période de crise sanitaire.

  • L’obligation de sécurité des employés

Les employés sont également soumis à une obligation de sécurité en matière de santé. En application de l’article L.4122-1 du code du travail, chaque employé doit veiller à préserver sa propre santé et sécurité, ainsi que celles des personnes avec qui il peut être en contact à l’occasion de son activité professionnelle.

Pendant la pandémie, tout employé en contact avec des tiers (collègues ou public) doit informer l’employeur en cas de contamination avérée ou éventuelle. Par contre, les employés en télétravail qui seraient contaminés ne sont pas tenus d’informer leur employeur. L’arrêt de travail n’aura pas à mentionner la cause.

Seules les données de date, d’identité de la personne, de contamination suspecte ou avérée, et de mesures organisationnelles prises peuvent être traitées par l’employeur. Par contre, l’identité de la/des personne(s) infectée(s) ne doit pas être communiquée aux autres employés.

  • Les différentes pratiques pendant la crise sanitaire

- Relevés de température des employés et clients à l’entrée des locaux : les employeurs ne peuvent constituer des fichiers conservant les données de température des salariés et clients. De même, il est interdit de déployer des outils de captation automatique de température. En revanche, l’utilisation d’un thermomètre manuel (type infrarouge sans contact), sans conservation des résultats, ni autre traitement, est autorisée.

- Tests sérologiques et questionnaires de santé : selon la Direction générale du travail, les campagnes de dépistage organisées par les entreprises pour leurs salariés ne sont pas autorisées. Seuls les personnels de santé compétents, soumis au secret médical, peuvent collecter ces données.

Les autorités sanitaires peuvent collecter des données de santé, dans les limites de leurs compétences, y compris “l’évaluation et la collecte des informations relatives aux symptômes du coronavirus et des informations sur les mouvements récents de certaines personnes.”


                                                                             * * * * * * * * * * *

(1) CNIL, « Coronavirus(Covid-19) : les rappels de la CNIL sur la collecte de données personnelles par les employeurs »

(2) Règlement 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD, et plus particulièrement les considérants 35, 52 à 54 et l’article 9

(3) Ordonnance n°2020-386 du 1er avril 2020 adaptant les conditions d'exercice des missions des services de santé au travail à l'urgence sanitaire et modifiant le régime des demandes préalables d'autorisation d'activité partielle


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Juin 2020

mercredi 18 mars 2020

Renforcement des mesures de lutte contre la fraude à la TVA sur les plateformes en ligne




Suite aux contrôles réalisés par la Direction nationale des enquêtes fiscales (DNEF) courant 2019, 98% des vendeurs étrangers sur internet ne sont pas immatriculés à la TVA en France. Cette situation crée une distorsion de concurrence importante avec les vendeurs français. Pour y remédier, la loi de finance pour 2020 prévoit une série de mesures issues notamment de la transposition de la directive du 5 décembre 2017 relative au régime de TVA en matière de vente à distance. (1)

Les mesures entrant en application à compter du 1er janvier 2021 :
-        Assujettissement à la TVA des opérateurs de plateformes en ligne (places de marché ou autre) ayant facilité la vente à distance de biens importés de moins de 150€ entre un vendeur et un acheteur. Cette obligation s’appliquera également aux opérateurs qui facilitent la livraison de biens dans l’Union européenne par un vendeur établi en dehors de l’UE, sans seuil de valeur minimum.
-        Obligation pour les plateformes de tenir un registre permettant aux Etats-membres de contrôler l’acquittement de la TVA. Ce registre devra être conservé par l’opérateur pendant 10 ans et mis à disposition de l’Administration fiscale par voie électronique en cas de demande.
De même, les exploitants des entrepôts et plateformes logistiques de stockage doivent conserver les informations permettant la traçabilité des biens vendus (propriétaires, provenance, destination, volumes, etc.).

Les mesures entrées en application à compter du 1er janvier 2020 :
-        Assujettissement à la TVA du fournisseur intervenant indirectement dans le transport ou l’expédition des biens. De nouvelles obligations s’imposent aux opérateurs de plateformes en ligne dont l’activité est supérieure à 5 millions de visiteurs uniques par mois : lorsqu’il apparaît qu’un vendeur assujetti à la TVA se soustrait à ses obligations fiscales et que l’Administration le signale à l’opérateur, celui-ci est tenu de prendre les mesures permettant au vendeur de régulariser la situation. Ces mesures doivent être notifiées à l’Administration. Si les présomptions persistent au bout d’un mois, l’Administration peut mettre l’opérateur en demeure de prendre des mesures supplémentaires ou d’exclure le vendeur de la plateforme et de lui notifier les mesures prises. Enfin, en cas de non-respect de ces mesures par l’opérateur, celui-ci sera tenu solidairement redevable de la TVA due par le vendeur.
-        Création d’une liste noire des opérateurs de plateforme « non coopératifs ».

                                                             * * * * * * * * * * 

(1) Loi n°2019-1479 du 28 décembre 2019 de finance pour 2020, articles 149 et s. ; articles 256, 283 bis 293 A ter du code général des impôts ; et Directive (UE) 2017/2455 du 5 décembre 2017 (…) en ce qui concerne certaines obligations en matière de taxe sur la valeur ajoutée applicables aux prestations de services et aux ventes à distance de biens 

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mars 2020


 

vendredi 22 novembre 2019

Lignes directrices de la CNIL en matière de cookies : l’accent est mis sur le consentement de l’utilisateur



Le 4 juillet dernier, la CNIL a adopté de nouvelles lignes directrices relatives aux cookies, et autres traceurs. (1) L’objet de ces lignes directrices, qui abrogent la recommandation du 5 décembre 2013, est de donner un cadre réglementaire à l’utilisation des cookies, conforme au Règlement général sur la protection des données (RGPD), entré en application le 25 mai 2018, à l’article 82 de la loi Informatique et Libertés modifiée, et à la directive Vie privée et communications électroniques de 2002 (directive e-privacy). Les opérateurs restent en effet dans l’attente d’un nouveau règlement e-privacy. Annoncé pour entrer en application à la même date que le RGPD, ce règlement fait l’objet d’âpres débats au niveau communautaire et n’entrera pas en application à court terme.

1. Un périmètre d’application très large



Pour rappel, un cookie est un petit fichier texte, enregistré par le navigateur de l’utilisateur (Google Chrome, Firefox, Safari) sur un ordinateur ou autre dispositif connecté à internet, lorsque l’utilisateur visite un site web.



Les cookies sont utilisés pour des finalités très diverses, telles que l’enregistrement des identifiants de l’utilisateur pour le reconnaître et le connecter automatiquement lors d’une prochaine visite sur le site, l’affichage de publicités ciblées, l’enregistrement du nombre d’affichage d’une publicité ou l’enregistrement des informations pour un service de web analytique par exemple.



La durée de vie d’un cookie est différente suivant sa finalité. Certains cookies disparaissent dès la fin de la session ou de la fermeture du navigateur, d’autres cookies peuvent être conservés pendant plusieurs mois, s’ils n’ont pas été supprimés par l’utilisateur.



Les « lignes directrices cookies » de la CNIL sont d’application très large puisqu’elles s’appliquent à tous types d’opérations impliquant l’utilisation de cookies et autres traceurs (cookies sur tous dispositifs tels que smartphones, tablettes, ordinateurs, et autres objets connectés à internet (consoles de jeux, télévision, véhicule, assistant vocal).




2. La notion renforcée de consentement, conséquence de la mise en conformité au RGPD



Le RGPD, en renforçant les droits des utilisateurs, a renforcé la notion de consentement. La simple poursuite de la navigation sur un site ne peut plus être considérée comme l’expression valide du consentement de l’utilisateur au dépôt de cookies.



Le consentement de l’utilisateur doit être recueilli conformément aux dispositions du RGPD.

Celui-ci doit être manifesté de manière

-       libre : possibilité de donner ou retirer son consentement à tout moment, et de visiter un site web même en cas de refus des cookies. Le blocage au site en cas de refus des cookies  (« cookie walls ») n’est pas conforme au RGPD ;

-       spécifique : le consentement doit être donné de façon indépendante et spécifique pour chaque finalité distincte. L’acceptation des CGU ne vaut pas recueil du consentement pour les cookies ;

-       éclairée :l’utilisateur doit être informé dans des termes simples et compréhensibles pour tous. Le renvoi vers les CGU n’est pas suffisant ; et

-       univoque : le consentement doit se manifester par une action positive de l’utilisateur, préalablement informé.



En pratique, on s’éloigne donc de la pratique du consentement passif par la simple poursuite de la navigation sur un site web, et de la pratique binaire de l’opt-in (case à cocher)/opt-out (case pré-cochée). Désormais, le consentement doit être donné de manière informée et positive, en cochant une case.



On notera que certains types de cookies bénéficient d’une exemption au recueil du consentement, à savoir notamment, les opérations ayant pour finalité exclusive de permettre ou faciliter la communication par voie électronique, ou qui sont strictement nécessaires à la fourniture d’un service de communication en ligne, à la demande expresse de l’utilisateur.



3. La responsabilité des éditeurs de sites web et autres opérateurs



Les acteurs utilisant des cookies et traceurs concernant des données à caractère personnel sont tenus de se mettre en conformité avec le RGPD et les « lignes directrices cookies ». Il peut s’agir d’un seul opérateur (éditeur d’un site web), de plusieurs opérateurs (éditeur de site et régie publicitaire) ou d’opérateurs tiers. Il conviendra donc d’analyser le rôle de ces différents opérateurs afin de déterminer s’ils interviennent en qualité de responsable de traitement uniques, conjoints, sous-traitants, ou encore responsables indépendamment de l’éditeur du site.



Par ailleurs, les opérateurs qui exploitent des cookies et traceurs devront être en mesure de prouver le recueil du consentement des utilisateurs, conformément à l’article 7 du RGPD.



Ces « lignes directrices cookies » seront complétées par une nouvelle recommandation de la CNIL précisant les modalités pratiques du recueil du consentement, devant être publiée au premier trimestre 2020. Les opérateurs disposeront alors d’une période de six mois pour se mettre en conformité avec ces lignes directrices.





Les règles édictées par les « lignes directrices cookies » de la CNIL viennent d’être en partie confirmées par un arrêt de la CJUE du 1er octobre 2019 dans lequel les juges communautaires ont considéré d’une part qu’en matière de consentement sur le stockage de cookies, une case pré-cochées ne constituait pas un consentement valable, d’autre part, que l’opérateur est tenu de donner des informations claires sur la durée des cookies et l’accès par des tiers. (2)


* * * * * * * * * *


(1) Délibération n°2019-093 du 4 juillet 2019 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture ou écriture dans le terminal d’un utilisateur (notamment aux cookies et autres traceurs)

(2) CJUE, grande chambre, 1er octobre 2019, Bundesverband des Verbraucherzentralen und Verbraucherverbände contre Planet49 GmbH, aff. C-673/17

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Novembre 2019