Messages les plus consultés

mardi 19 octobre 2021

Sites pornographiques : le renforcement de la protection des mineurs


La problématique de l’accès des mineurs aux contenus pornographiques s’est accentuée ces dernières années avec notamment un accès à internet et l’utilisation des smartphones de plus en plus jeune. Une étude menée par l’Ifop en 2017 révèle ainsi que 82% des jeunes de moins de 18 ans déclarent avoir été exposés à du contenu pornographique, dont 30% des moins de 12 ans ! (1)

Face aux risques psychologiques et comportementaux que pose l’accès des enfants à des contenus pour adultes, le législateur tente de renforcer la réglementation sur les conditions d’accès aux sites pornographique, avec des obligations plus strictes de contrôle de l’âge des internautes.

Nous examinons ci-après les principales dispositions concernant les services en ligne et les mesures actuellement disponibles pour bloquer l’accès des mineurs aux sites pornographiques ainsi que les défis en matière de protection des données à caractère personnel et les solutions techniques disponibles.


1. La loi du 30 juillet 2020 visant à protéger les victimes de violences conjugales et le décret d’application du 7 octobre 2021

    a) La protection des mineurs contre les contenus pornographiques en ligne et le pouvoir de régulation du CSA

L’une des missions du CSA (Conseil supérieur de l’audiovisuel) est la protection de la jeunesse et des mineurs. Le rôle du Conseil, en tant que régulateur dans ce domaine est affirmé avec l’article 23 de la loi du 30 juillet 2020, qui dispose que :

Lorsqu'il constate qu'une personne dont l'activité est d'éditer un service de communication au public en ligne permet à des mineurs d'avoir accès à un contenu pornographique en violation de l'article 227-24 du code pénal, le président du Conseil supérieur de l'audiovisuel adresse à cette personne (…) une mise en demeure lui enjoignant de prendre toute mesure de nature à empêcher l'accès des mineurs au contenu incriminé. La personne destinataire de l'injonction dispose d'un délai de quinze jours pour présenter ses observations. (…)” (2)

Si le contenu incriminé reste accessible aux mineurs à l’expiration de ce délai, le président du CSA peut saisir le président du tribunal judiciaire de Paris aux fins d’ordonner aux fournisseurs d’accès le blocage de l’accès au site en cause. Le président du CSA peut agir d’office ou sur saisine du ministère public ou de toute personne ayant intérêt à agir, telles que les associations de protection de l’enfance.

Pour être pleinement applicables, ces dispositions devaient être complétées par un décret. C’est chose faite avec la publication, le 7 octobre 2021, du décret relatif aux modalités de mise en oeuvre des mesures visant à protéger les mineurs contre l’accès aux sites pornographiques. (3)

Ce décret dispose notamment que pour apprécier si l’éditeur du site en cause permet à des mineurs d’avoir accès à un contenu pornographique en violation de l’article 227-24 du code pénal, le président du CSA tient compte du niveau de fiabilité du procédé technique mis en place pour s’assurer que les utilisateurs souhaitant accéder au service sont majeurs (article 3).

A cette fin, le CSA peut adopter des lignes directrices concernant la fiabilité de ces procédés techniques de blocage ou de filtration des utilisateurs.

Le décret précise que la suspension du site en cause pourra être réalisée par tout moyen approprié, notamment par le blocage par nom de domaine (DNS).

    b) L’avis de l’Arcep sur le projet de décret : attention à ne pas imposer de nouvelles obligations aux FAI

L’Arcep (Autorité de régulation des communications électroniques, des postes et de la distribution de la presse) avait été saisie par le gouvernement pour avis sur le projet de décret.

Dans son avis, rendu le 11 mai 2021, l’Arcep notait que la technique de blocage DNS est déjà utilisée par les fournisseurs d’accès à internet pour bloquer des sites suite à une injonction des tribunaux (sites illicites, contrefaisants, etc.). (4)

Pour l’Arcep, les mesures de blocage doivent rester proportionnées. Or, le fait d’imposer aux FAI d’empêcher l’accès aux sites en cause “par tout moyen approprié” risque de faire peser sur les FAI une obligation allant au-delà des moyens de blocage habituels et la garantie que les internautes ne puissent recourir à des méthodes de contournement pour accéder aux sites concernés (VPN par exemple). Une telle obligation serait en contradiction avec l’article 6 7° de la Loi pour la confiance dans l’économie numérique du 21 juin 2004 (LCEN) qui dispose que les FAI “ne sont pas soumis à une obligation générale de surveiller les informations qu’ils transmettent ou stockent (…).”

Par ailleurs, selon l’Arcep, le projet de décret ne précisait pas la nature des informations transmises par le CSA aux FAI (noms de domaine, adresses emails?), ni des modalités de mise en oeuvre des mesures de blocage (délai de mise en oeuvre, processus et délai de déblocage éventuel, etc.). Ces informations ne figurent toujours pas dans le décret du 7 octobre.


2. La loi du 21 avril 2021 visant à protéger les mineurs des crimes et délits sexuels et de l’inceste

L’article 23 de la loi du 30 juillet 2020 a été complétée par la loi du 21 avril 2021 visant à protéger les mineurs des crimes et délits sexuels et de l’inceste. Les articles de cette loi ont modifié le code pénal (articles 227-21-1 à 227-28-3).

Ces articles concernent les actes d’adultes envers des mineurs (favoriser ou tenter de favoriser la corruption d’un mineur ; faire des propositions sexuelles à un mineur ; inciter un mineur à commettre un acte de nature sexuelle), en utilisant un moyen de communication électronique. Les peines s’échelonnent entre deux ans et sept ans d’emprisonnement et de 30.000€ à 100.000€ d’amende, suivant le type d’infraction commise (art. 227-22 à 227-22-2).

L’article 227-23 du code pénal dispose que le fait de fixer, d’enregistrer ou de transmettre l’image ou la représentation d’un mineur lorsque l’image ou la représentation présentent un caractère pornographique est puni de cinq ans d’emprisonnement et de 75.000€ d’amende. Les peines sont portées à sept ans d’emprisonnement et 100.000€ d’amende lorsqu’un réseau de communication électronique a été utilisé pour la diffusion de ces images.

Les peines sont généralement majorées lorsqu’il s’agit d’un jeune de moins de 15 ans.

Enfin, l’article 227-24, auquel il est fait référence à l’article 23 de la loi du 30 juillet 2020 et dans le décret du 7 octobre 2021, prévoit que le fait de diffuser (notamment) par quelque moyen que ce soit et quel qu’en soit le support un message à caractère (notamment) violent, pornographique ou de nature à porter gravement atteinte à la dignité humaine, ou encore de faire commerce d‘un tel message est puni de trois ans d’emprisonnement et de 75.000€ d’amende lorsque ce message est susceptible d’être vu par un mineur.

Les infractions sont constituées même si l’accès du mineur aux messages en cause résulte d’une simple déclaration de celui-ci indiquant qu’il est âgé d’au moins dix-huit ans. Or de nombreux sites pornographiques sont d’accès libre ou n’affichent qu’un message demandant au visiteur de confirmer s’il est majeur.


3. Le défi de la mise en oeuvre de solutions efficaces de blocage de l’accès des mineurs aux sites pornographiques

L’objectif de la réglementation n’est évidemment pas la moralisation ou la censure d’internet, mais la mise en place de mesures effectives de protection des mineurs contre des contenus non adaptés à leur âge.

Ces dispositions renforcent désormais l’obligation, pour les sites pornographiques, de contrôler de façon effective l’âge des utilisateurs dès leur connexion, pour bloquer les mineurs. Or, le texte de loi ne donne pas d’indication technique aux sites pour se mettre en conformité. Comme mentionné plus haut, le CSA pourra adopter des lignes directrices relatives à la fiabilité des procédés techniques de blocage ou de filtration des utilisateurs.

La réglementation et les tribunaux prennent généralement en compte l’état de l’art, à savoir les solutions disponibles, à un moment donné, sachant que celles-ci devraient évoluer et être de plus en plus largement utilisées dans les années à venir.

L’obligation de filtrage des visiteurs s’impose aux éditeurs de sites pornographiques. Ceux-ci peuvent toutefois dans un premier temps rappeler l’utilité pour les parents d’installer une solution de contrôle parental sur les appareils utilisés par leurs enfants. Cette solution est cependant imparfaite puisque ce système n’empêche pas les enfants de consulter des sites pour adultes sur les appareils de tiers (famille, amis) qui n’auraient pas installé ce type de logiciel.

Concernant le blocage des mineurs, nous pouvons identifier les solutions suivantes, chacune ayant ses contraintes et ses limites :

    a) La demande de la date de naissance de l’utilisateur
Ce système, un peu plus bloquant que la simple déclaration de majorité, notamment chez les très jeunes, ne paraît pas assez efficace pour bloquer effectivement les mineurs, si elle n’est accompagnée d’aucun contrôle pour confirmer que la date de naissance de l’utilisateur est correcte.

L’article 227-24 al.3 prévoit que les infractions sont constituées même si le mineur a déclaré qu’il était âgé d’au moins 18 ans. Cette disposition pourrait être interprétée comme applicable tant à la simple confirmation du statut de majeur qu’à la saisie d’une fausse date de naissance par un mineur.

    b) La demande des coordonnées de carte bancaire
Une solution envisagée pour bloquer l’accès aux mineurs de manière plus efficace est de demander de saisir un numéro de carte bancaire lors de l’accès au site (sans débit, avec débit nominal afin de valider la carte, ou pour un accès payant au site). Même si certains jeunes de moins de 18 ans disposent d’une carte bancaire, et que d’autres pourraient utiliser la carte d’un adulte (sous réserve de connaître le code PIN de la carte …), ce système permet en principe de bloquer une plus grande partie des mineurs qui tentent d’accéder à un site pornographique.

    c) La demande de la copie d’une pièce d’identité
Enfin, il est possible de demander à chaque nouveau visiteur d’envoyer une copie de sa pièce d’identité à l’éditeur du site (ou à un service tiers), pour contrôler sa date de naissance.

Pour le moment, ce système semble le plus fiable mais est particulièrement contraignant : l’utilisateur doit scanner une pièce d’identité ; le contrôle doit être traité manuellement (il existe toutefois des services de contrôle numérique de pièces d’identité françaises) ; ce système aurait vraisemblablement un impact sur le nombre de visiteurs d’âge adulte. En cas d’utilisation d’un service tiers par l’éditeur du site, celui-ci n’aurait pas directement accès aux données personnelles du visiteur (hormis en cas d’inscription de l’utilisateur au site). Dans le cas contraire, il est recommandé de détruire la copie de la pièce d’identité dès le contrôle de la date de naissance réalisé.

    d) L’utilisation d’un service d’identité numérique
Les principales critiques relatives à la mise en place de solutions de blocage des mineurs concernent l’atteinte potentielle à la vie privée des utilisateurs, l’objectif étant de trouver l’équilibre entre un contrôle efficace de l’âge des visiteurs souhaitant accéder aux sites pornographiques et un système le moins invasif possible en matière de collecte de données personnelles, a priori sensibles (données relatives à l’orientation ou aux pratiques sexuelles).

Des services d’identité numérique proposés par des sociétés privées se développent, principalement pour sécuriser l’accès aux services en ligne, et garantir l’identité des individus en bout de chaîne (accès, signature, etc.).

On peut citer par exemple, Identité Numérique, service proposé par la société Docapost, filiale de La Poste. Ce service est utilisé notamment pour vérifier l’identité de l’utilisateur. Identité Numérique est principalement utilisé dans la banque (ouverture de compte, souscription de prêt, …) et dans le cadre d’achats immobiliers. Un autre exemple est My18Pass. Ce service se présente comme une solution de vérification simple et sécurisée de l’âge des utilisateurs.


4. La décision de rejet du blocage de sites pornographiques par le TJ de Paris


Dans un jugement du 8 octobre 2021, le tribunal judiciaire (TJ) de Paris a rejeté la demande de blocage de 9 sites pornographiques, intentée par les associations E-Enfance et La Voix de l’Enfant à l’encontre de 6 fournisseurs d’accès (dont Orange, SFR, Bouygues Telecom, et Free). (5)

En effet, ces sites n’avaient pas mis en place de solution de filtrage des utilisateurs, sachant que les mineurs pouvaient accéder aux contenus pornographiques soit directement, soit en confirmant simplement, sur la fenêtre s’affichant sur la page d’accueil des sites, qu’ils avaient plus de 18 ans.

La décision du tribunal de rejeter la demande des associations est fondée sur un problème procédural et non sur une question de fond.

En l’espèce, le tribunal a reconnu que l’accès des mineurs aux contenus de nature pornographique de ces sites constituait bien un trouble manifestement illicite, conformément à l’article 835 du code de procédure civile. Toutefois, en application des dispositions de l’article 6 de la LCEN, les demandeurs auraient dû contacter les éditeurs des sites hébergeant les contenus en cause avant de poursuivre les fournisseurs d’accès, d’autant que les coordonnées des éditeurs des sites étaient identifiées.

Il est vraisemblable que ces associations vont introduire une nouvelle action, soit par l’intermédiaire du CSA, soit en direct, à l’encontre de ces sites web, si ces derniers n’ont toujours pas mis en place de système de filtration des utilisateurs lors de l’accès à leurs sites.


       Ce phénomène, et les mesures de protection des mineurs, n’est évidemment pas limité à la France. Ainsi, en 2017, le Royaume-Uni a tenté d’imposer la vérification de l’âge des visiteurs de sites pornographiques accessibles sur son territoire. (6) Toutefois, face à l’impossibilité de trouver une mesure efficace et satisfaisante, cette mesure qui devait entrer en application en avril 2018, a finalement été abandonnée en octobre 2019. (7)

* * * * * * * * * * *

(1) Etude Ifop et Observatoire de la Parentalité et de l’Education Numérique, “Les adolescents et le porno : vers une “génération YouPorn” ?”, 15 mars 2017

(2) Loi n°2020-936 du 30 juillet 2020 visant à protéger les victimes de violences conjugales

(3) Décret n°2021-1306 du 7 octobre 2021 relatif aux modalités de mise en oeuvre des mesures visant à protéger les mineurs contre l’accès à des sites diffusant un contenu pornographique

(4) Avis n°2021-0898 de l’Arcep du 11 mai 2021 concernant le projet de décret relatif aux modalités de mise en oeuvre des mesures visant à protéger les mineurs contre l’accès à un site diffusant un contenu pornographique

(5) Tribunal juridiciaire de Paris, 8 oct. 2021, associations E-Enfance et La Voix de l’Enfant c. Orange, SFR, et autres, n°RG 21/56149

(6) Digital Economy Act 2017 - Part 3

(7) BBC News, “UK’s controversial ‘Porn Blocker’ plan dropped”, 16/10/2019


Bénédicte DELEPORTE
Avocat

Octobre 2021


jeudi 30 septembre 2021

La Chine adopte sa loi sur la protection des données personnelles


Avec l’essor des services numériques, la protection des données personnelles est devenue un sujet phare du droit des personnes. Outre l’Union européenne, de plus en plus de pays à travers le monde ont adopté leur propre réglementation sur la protection des données personnelles, souvent inspirées des lignes directrices de l’OCDE sur la protection de la vie privée, voire de la réglementation européenne. Certains pays, tels que les Etats-Unis, ont opté pour une approche sectorielle de la protection des données avec par exemple des lois spécifiques aux services financiers, aux consommateurs, aux enfants, etc., alors que d’autres tels que le Canada, le Japon ou Singapour, ont opté pour une approche globale.

Après avoir adopté une loi sur la cybersécurité en juin 2017, suivie d’une loi sur la sécurité des données en juin dernier, la République Populaire de Chine vient de renforcer sa réglementation sur la protection des données avec l’adoption d’une nouvelle loi, de portée globale, sur la protection des données personnelles (Personal Information Protection Law - PIPL) le 20 août 2021. Bien que comportant de nombreuses ressemblances avec le RGPD, la PIPL n’est pas exactement une loi-miroir du règlement européen.

Nous étudions ci-après les principales règles de la PIPL du point de vue des droits des personnes, puis des obligations des responsables de traitements, l’application territoriale de la loi et enfin, les sanctions applicables.


1. Les principales dispositions de la PIPL relatives aux  droits des personnes concernées

Les droits des personnes concernées, tels que définis dans la PIPL, sont généralement très similaires au RGPD, ainsi que les définitions de “données personnelles” et de “traitement de données personnelles” notamment.

    a) “Données personnelles” et “traitement de données personnelles” dans la PIPL
Les données personnelles sont définies comme tout type de données concernant des personnes identifiées ou identifiables, enregistrées de manière électronique ou autre. Les données anonymisées ne sont pas considérées comme des données personnelles.

Les traitements de données personnelles comprennent notamment les opérations de collecte, stockage, utilisation, transmission, suppression de données personnelles. Comme le RGPD, la PIPL impose que les traitements de données personnelles reposent sur les principes de licéité, loyauté, et transparence de la collecte (droit à l’information).

    b) Le consentement
Le consentement de la personne concernée constitue la base de la licéité d’un traitement de données personnelles. Il doit être informé, libre, et résulter d’un acte clair de la personne. Le consentement doit être révocable, sans remettre en cause le traitement réalisé jusqu’à la date de sa révocation.

Un consentement spécifique est requis dans les cas suivants : transfert de données par le responsable de traitement à un tiers, publication de données personnelles, collecte de données personnelles par des équipements de sécurité dans des espaces publics, traitement de données sensibles et transferts de données à l’international.

Les cas dans lesquels le consentement n’est pas requis sont limités : pour l’exécution d’un contrat avec la personne concernée, pour la gestion des ressources humaines conformément à la réglementation et aux conventions collectives, aux fins de conformité à la loi, pour répondre à des problèmes de santé publique et pour protéger la santé ou la vie de la personne, pour des reportages journalistiques “dans des limites raisonnables”, etc. On notera par ailleurs que la PIPL n’intègre pas la notion d’intérêt légitime.

    c) Les droits de la personne sur ses données
La personne concernée dispose de droits sur ses données similaires à ceux applicables en Europe, tels que les droits d’accès, de rectification et de suppression des données, ainsi que le droit de recevoir une copie des données collectées. Le droit à la portabilité est également prévu, sous réserve de précisions sur les modalités d’exercice de ce droit, devant être apportées par la CAC (Cyberspace Administration of China - l’autorité de contrôle équivalente de la CNIL).

    d) Les données sensibles
Une protection renforcée est prévue pour les données sensibles. La notion de “donnée sensible” couvre les données personnelles qui, en cas de divulgation non autorisée, porteraient atteinte à la dignité ou à la sécurité de la personne concernée ou de ses biens. Par exemple, les données biométriques, la religion, la santé, la situation financière, la géolocalisation ainsi que les données personnelles des enfants de moins de 14 ans sont considérées comme des données sensibles. Contrairement au RGPD, il ne s’agit pas d’une liste exhaustive.

Les données sensibles peuvent faire l’objet d’un traitement sous certaines conditions, telles que : la réalisation d’une analyse d’impact par le responsable du traitement préalablement à sa mise en oeuvre, une finalité spécifique et nécessaire, et sous réserve de mesures de sécurité adaptées, l’information de la personne concernée sur la nécessité du traitement de données et ses conséquences, le consentement spécifique de la personne concernée.

    e) Les données des défunts
Enfin, contrairement au RGPD, la PIPL prend en compte la possibilité pour les proches d’une personne décédée de gérer ses données personnelles (accès aux données, mise à jour, suppression). La France prévoit cette possibilité avec la Loi pour une république numérique de 2016. (voir notre article sur ce sujet)

2. Les obligations des responsables du traitement

    a) La mise en oeuvre de la PIPL
Le responsable du traitement est responsable de la mise en oeuvre de la PIPL (identification des traitements de données, mise en place de procédures adaptées, assurer la sécurité des données, former les salariés, mener régulièrement des audits de conformité, etc.), et du respect des droits des personnes concernées. Les entreprises traitant de larges volumes de données personnelles devront désigner un délégué à la protection des données (DPO). Le seuil entraînant cette obligation doit encore être fixé.

    b) Les analyses d’impact
Le responsable du traitement doit réaliser une analyse d’impact avant la mise en oeuvre de certains types de traitements :
    - nouveau traitement de données sensibles,
    - traitement de données faisant l’objet d’une décision automatisée,
    - partage de données personnelles avec d’autres organismes ou divulgation publique de données,
    - transfert de données à l’international,
    - traitement ayant un impact significatif sur les droits des personnes.
Ces types de traitements doivent par ailleurs être réalisés pour une finalité spécifique et nécessaire, et sous réserve de mesures de sécurité adaptées et du consentement spécifique de la personne concernée après avoir été informée sur la nécessité du traitement de données et ses conséquences.

    c) Les violations de données
Enfin, en cas de violation de données (fuites de données, intrusion frauduleuse dans le système informatique de l’opérateur, etc.), le responsable du traitement doit immédiatement prendre des mesures correctives et notifier la violation aux autorités et aux personnes concernées.


3. L’application territoriale de la PIPL

    a) La localisation des données personnelles de citoyens chinois
La loi sur la cybersécurité de 2017 imposait le stockage des données personnelles et des données “importantes” (à savoir les données sensibles, de sécurité nationale ou stratégiques) collectées par les opérateurs d’infrastructures d’information critiques, sur le territoire chinois. Toutefois, cette disposition était considérée comme trop imprécise. Une incertitude demeurait notamment pour les données des opérateurs de réseaux et des grandes entreprises du numérique.

La PIPL apporte des précisions sur l’obligation de localisation des données personnelles.

Les opérateurs d’infrastructures d’information critiques restent tenus de stocker les données personnelles sur le territoire chinois, sauf lorsqu’un transfert international est nécessaire, et sous réserve notamment du consentement spécifique de la personne concernée, d’avoir passé un test de sécurité des données organisé par la CAC, et de la signature de clauses contractuelles types entre l’organisme chinois et l’entreprise étrangère. Les conditions du test et les clauses contractuelles types doivent être publiées par la CAC.

    b) Les dispositions d’application extra territoriale
Comme le RGPD, la PIPL comporte des dispositions d’application extra territoriale.

La PIPL est en effet applicable notamment :
    - aux traitements réalisés en dehors de la Chine mais dont la finalité est de proposer des produits ou des services aux résidents situés en Chine, et
    - aux traitements dont la finalité est d’analyser et évaluer les activités des Chinois.

Les organismes réalisant ces types de traitements de données depuis l’étranger devront soit créer un bureau dédié en Chine, soit désigner un représentant en Chine pour s’assurer de l’application de la loi - obligation similaire au RGPD, qui prévoit la nomination d’un représentant dans l’UE.


4. Les sanctions prévues en cas de non-conformité à la PIPL

    a) Les sanctions
Deux types de sanctions sont prévus par la PIPL :
    - une amende maximum de 50 millions de RMB (environ 6,6 millions €) ou 5% des revenus de  l’année précédente, applicable à l’organisme fautif ;
    - une amende fixée entre 100.000 RMB (environ 13.000€) et 1 million de RMB (environ 130.000€), applicable aux personnes physiques responsables d’un manquement à la PIPL et l’interdiction de poursuivre leurs activités de directeur, superviseur, responsable ou DPO de l’organisme en cause.

    b) Le contrôle de la conformité
La conformité à la PIPL est assurée par la Cyberspace Administration of China (CAC), l’autorité de contrôle au niveau global, mais également par les ministères et services concernés du Conseil d’Etat et les services concernés des gouvernements locaux.

Il convient de noter que la PIPL n’est pas applicable aux services du gouvernement.


   La PIPL doit entrer en application le 1er novembre 2021 - laissant très peu de temps aux organismes concernés (les entreprises présentes sur le territoire chinois et les entreprises à l’international traitant des données personnelles de résidents chinois) pour se mettre en conformité. Après la phase de mise en conformité au RGPD en 2018-2019, les entreprises européennes présentes en Chine et celles traitant de données personnelles de résidents chinois doivent engager un projet similaire de mise en conformité à la PIPL, couvrant notamment des audits internes pour identifier les traitements éventuellement concernés par la loi, l’adaptation des politiques de protection des données personnelles et des procédures internes, le cas échéant, la nomination d’un représentant local.

Dans la mesure où certaines dispositions manquent encore de précision ou doivent être complétées, il sera nécessaire de suivre les conditions d’application et d’interprétation de la PIPL par les autorités chinoises concernées, dont la CAC.

* * * * * * * * * * *

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Septembre 2021

vendredi 16 juillet 2021

Transferts de données personnelles : le Royaume-Uni reconnu comme offrant un niveau de protection adéquat par la Commission européenne


 

Parmi les multiples conséquences du Brexit figure le problème des transferts de données personnelles entre le continent européen et le Royaume-Uni. En effet, bien que le Royaume-Uni ait été soumis au RGPD jusqu’au 1er janvier 2021, la sortie de l’UE signifie que le Royaume-Uni est désormais considéré comme un pays tiers. Afin de laisser le temps aux parties de mettre en oeuvre une reconnaissance d’adéquation, et ne pas suspendre brusquement les transferts de données avec le Royaume-Uni, la Commission avait accordé une période “tampon” de 6 mois, arrivant à échéance le 30 juin 2021. Le 28 juin 2021, la Commission a annoncé l’adoption de deux décisions d’adéquation, permettant ainsi de poursuivre les flux de données entre les pays-membres et le Royaume-Uni. (1)


1. Les conséquences du Brexit sur les transferts de données entre l’UE et le Royaume-Uni

La décision du Royaume-Uni de sortir de l’Union européenne, entrée en application le 1er janvier 2021, a eu pour conséquence de considérer désormais le Royaume-Uni comme un pays tiers à l’Union. D’une manière générale, le Royaume-Uni n’est donc plus tenu de respecter les règlements européens - dont le RGPD, ni de transposer les futures directives européennes dans son droit interne.

En tant que pays tiers à l’UE (et à l’Espace économique européen), il devient donc en principe interdit de transférer des données à caractère personnel entre des organismes situés au sein de l’UE vers des organismes britanniques.

Toutefois, en application des articles 44 et s. du RGPD, les transferts de données vers des pays tiers à l’Union restent autorisés, sous réserve, soit :

- de la mise en place de clauses contractuelles types entre les organismes, responsable de traitement et sous-traitant,
- de la conclusion de clauses contractuelles “ad hoc” entre le responsable de traitement et le sous-traitant ; ces clauses devant comporter des “garanties appropriées” et assurer que les personnes concernées disposent de droits opposables et de voies de recours effectives,
- pour les sociétés multinationales, de l’adoption de règles d’entreprise contraignantes (“BCR”),
ou encore,
- que le pays tiers soit reconnu par la Commission européenne comme offrant un niveau de protection adéquat en matière de données personnelles.

Après plusieurs mois d’évaluation des règles relatives à la protection des données personnelles et institutions en place au Royaume-Uni, la Commission européenne a publié deux décisions d’adéquation le 28 juin 2021. Bien que l’on ait pu penser que cette décision serait intervenue plus rapidement, la réglementation en vigueur au Royaume-Uni étant conforme au RGPD au moins jusqu’à la date effective du Brexit, les institutions européennes (notamment le Parlement et le CEPD) craignaient que des divergences apparaissent dans l’application de la réglementation entre les Etats-membres et le Royaume-Uni.


2. Les conséquences des décisions d’adéquation sur les transferts de données entre l’UE et le Royaume-Uni


La Commission a reconnu que le Royaume-Uni avait entièrement intégré les principes, à savoir les droits et obligations, issus du RGPD après le Brexit et conclu que la réglementation britannique sur la protection des données continuait à être appliquée selon les mêmes principes applicables préalablement au Brexit.

La décision d’adéquation est capitale pour les relations économiques en assurant la liberté de circulation des données personnelles entre le continent et le Royaume-Uni. Elle permet notamment aux organismes qui étaient déjà en relation de poursuivre leurs activités sans interruption, et aux nouveaux contrats, d’être mis en place sans formalités supplémentaires pour gérer les transferts de données personnelles.

Une deuxième décision d’adéquation a été adoptée le même jour, dans le domaine des enquêtes et infractions pénales, aux fins de garantir la fluidité des échanges dans le cadre de la lutte contre la criminalité. Cette décision, prise en application de la directive du 27 avril 2016 reconnaît l’existence de mesures de sauvegarde fortes en matière d’accès aux données personnelles par les forces de l’ordre et le système judiciaire britanniques.

On notera que, pour la première fois, ces décisions d’adéquation ont été accordées pour une durée limitée de quatre ans. Selon une clause de “suppression automatique”, ces décisions doivent expirer au bout de cette période. Le renouvellement des décisions d’adéquation ne sera pas automatique. Le niveau de protection adéquat par le Royaume-Uni ne sera reconnu par la Commission que si le Royaume-Uni continue d’appliquer un niveau élevé de protection des données.

Enfin, ces décisions d’adéquation permettent au Royaume-Uni d’être en conformité avec l’Accord de commerce et de coopération (ACC) entre l’Union européenne et le Royaume-Uni, qui prévoir notamment le respect de normes élevées en matière de protection des données personnelles.


   A ce jour, seuls une dizaine de pays et territoires tiers ont été reconnus par la Commission européenne comme disposant d’une réglementation relative à la protection des données personnelles offrant un niveau de protection adéquat. Et seul le Japon avait obtenu ce “passeport” après l’entrée en application du RGPD, en janvier 2019. La République de Corée sera le prochain pays devant bénéficier d’une décision d’adéquation. Le projet de décision d’adéquation a en effet été transmis par la Commission au Comité européen de la protection des données (CEPD) courant juin dernier.


                                                     * * * * * * * * * * *

(1) Commission Implementing Decision of 28.06.2021 pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council on the adequate protection of personal data by the United Kingdom ; Commission Implementing Decision of 28.06.2021 pursuant to Directive (EU) 2016/680 of the European Parliament and of the Council on the adequate protection of personal data by the United Kingdom


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Juillet 2021

jeudi 4 mars 2021

Formaliser son projet informatique pour limiter les contentieux


Trop de projets informatiques ignorent encore le formalisme de la contractualisation et de la documentation des différentes étapes du projet, qu’il s’agisse d’un projet de développement “classique” ou d’un projet de développement “agile”.


Deux récents jugements viennent ainsi rappeler que l’absence d’expression des besoins et l’absence de contestation des dysfonctionnements avant la réception du projet lèsent le client, malgré l’obligation de conseil incombant au prestataire.


1. L’absence d’expression des besoins par le client dans le cadre d’un projet agile

Dans une première affaire, jugée le 7 octobre 2020, la société Oopet, une startup dans le domaine des animaux de compagnie, avait commandé le développement de deux applications mobiles et d’un site web à la société Dual Media Communication, prestataire informatique. Le client a par la suite reproché au prestataire d’avoir notamment manqué à son obligation de conseil pour ne pas lui avoir recommandé de réaliser un cahier des charges, et d’avoir livré des prestations défectueuses. (1)

Le projet était mené selon la méthode agile. Plus pragmatique et évolutif qu’un développement selon les méthodes classiques en cascade ou en V, un projet agile suit une construction au fur et à mesure sur la base d’itérations, d’intégrations ou de tests en continu (suivant les méthodes agiles “scrum”, “extreme programming” ou “lean software development”).

Quelle que soit la méthode de développement utilisée, un projet agile repose sur une très forte implication des parties - prestataire et client, dans le suivi du projet, nécessitant de nombreux échanges entre les parties et la prise en compte des besoins du client par le prestataire tout au long de la phase de développement informatique.

En l’espèce, le client n’avait pas produit de cahier des charges. Les juges n’ont pourtant pas considéré que le prestataire avait manqué à son obligation de conseil et de mise en garde. Les juges ont en effet pris en compte les particularités d’un projet agile, en soulignant que les difficultés rencontrées pendant la phase de développement, notamment “les erreurs relevées, les réponses quelque fois tardives, la difficulté de s’accorder sur des prestations qui apparaissent entre les cocontractants, ne dérogent pas à la norme de ce type de construction en l’absence de cahier des charges et ne présentent pas de caractère anormal.”

Même s’il n’existe pas de cahier des charges exhaustif au commencement d’un projet agile, ce qui est l’essence même de la flexibilité requise, il est important que le client détaille a minima la finalité du projet et ses attentes (exigences formelles par exemple) afin que le prestataire comprenne ses besoins. Les juges rappellent ainsi que si l’obligation de conseil à la charge du prestataire dépend des besoins et objectifs du client, celui-ci doit les exprimer précisément. Cette obligation ne pourra être exécutée si le client ne fournit pas les informations nécessaires au prestataire afin de lui permettre de répondre au plus près aux besoins du client.

Bien qu’il existe peu de décisions judiciaires relatives à l’exécution de projets agiles - les litiges étant souvent résolus à l’amiable, l’un des problèmes récurrents de ces projets est une défaillance de formalisme : contrats mal rédigés ou inadaptés à ce type de prestation, absence de définition des besoins, coût du projet mal anticipé… Or, même si agilité rime avec souplesse et adaptabilité, les parties se doivent de prendre soin d’encadrer le projet en amont et de respecter les procédures prévues pour chaque phase afin d’éviter les contentieux en bout de course.


2. Les conséquences juridiques de la signature du procès-verbal de recette

L’absence de formalisme dans la relation contractuelle se constate également après la livraison de la prestation, qu’il s’agisse d’un projet développé selon une méthode classique ou agile.

Contrepartie de l’obligation de délivrance par le prestataire, l’obligation de réception incombe au client. Or, la mise en production d’un logiciel ou d’un site web par le client, sans avoir signé de procès-verbal de recette et sans avoir relevé de dysfonctionnements, équivaut à l’acceptation de la prestation.

La phase de réception doit permettre d’identifier par le biais de tests, les dysfonctionnements pouvant subsister dans le logiciel livré. La recette définitive actée emporte l’obligation pour le client de payer le solde de la prestation et, le cas échéant, le départ de la période de garantie contractuelle.

La mise en production ou la signature du procès-verbal de recette sans réserves met un terme au projet informatique. Sauf exception, le client ne peut alors plus contester la délivrance conforme du projet informatique.

Deux décisions récentes rappellent l’importance des phases de livraison et de recette d’un projet informatique.

Dans une affaire opposant la société My Taylor is Free, qui réalise et vend des costumes sur mesure et prêt à porter, à ses prestataires, le client avait conclu un contrat de développement de site e-commerce avec la société Antadis. Par ailleurs, en avril 2017, My Taylor is Free a accepté le devis proposé par la société Exalt3D pour une prestation de “scan, modélisation et texturage”. Plusieurs factures étant restées impayées à Exalt3D, celle-ci a assigné My Taylor is Free en paiement devant le tribunal de commerce d’Aix-en-Provence. (2)

Le tribunal a retenu que les devis ainsi que l’échéancier de paiement avaient été acceptés par My Taylor is Free. Selon les emails échangés entre les trois sociétés, il apparaît notamment que la société Antadis a bien livré le site internet et que celui-ci a été recetté. L’absence de courrier de réclamation à Antadis sur la livraison du site web indique que My Taylor is Free l’a accepté en l’état. De même, My Taylor is Free n’a émis aucune réclamation écrite à la société Exalt3D sur sa prestation. Le tribunal en conclut que les prestations ont été exécutées et livrées par les deux sociétés prestataires et que les factures doivent être réglées par My Taylor is Free.

Dans l’affaire, opposant Oopet à Dual Media Communication, la société Oopet avait signé le procès-verbal de recette sans réserves. Or, la signature du procès-verbal de recette n’est pas une simple formalité. Comme l’a rappelé le tribunal, “il était de la responsabilité de SAS Oopet de vérifier par test les concordances des fonctions des applications à ses attentes, donc que la signature de ces procès-verbaux de recette montre son acceptation en toute connaissance quand il écrit “le client Oopet reconnaît avoir conduit les vérifications nécessaires et estime le produit livré conforme au devis initial”.


    Il existe une abondante jurisprudence sur l’obligation de conseil et de mise en garde incombant au prestataire professionnel. Or cette obligation doit être examinée en parallèle avec l’obligation de collaboration du client. Ces deux affaires illustrent bien cette obligation qui incombe au client pour tout projet de développement informatique. En effet, le client ne peut rester passif. Il doit communiquer ses besoins au prestataire, se manifester et interagir pendant la durée du projet, l’interroger si nécessaire et remonter les dysfonctionnements éventuels. Un certain formalisme doit donc être respecté, depuis un contrat reflétant les prestations à réaliser et précisant, le cas échéant, la méthode de développement, en passant par un suivi de projet rigoureux, une phase de livraison, une ou plusieurs phases de tests, et enfin la recette définitive du projet, cela pour limiter les risques de litiges pouvant survenir.

* * * * * * * * * * *


(1) T com. Paris, 8é ch., 7 oct. 2020, Oopet c/ Dual Media Communication

(2) T com. Aix-en-Provence, 16 nov. 2020, Exalt3D c/ My Taylor is Free et Antadis


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mars 2021

mardi 24 novembre 2020

Données numériques post-mortem : comment gérer les données d’un proche décédé ?

 


La plupart d’entre nous avons créé et utilisons plusieurs comptes en ligne, que ce soit à des fins personnelles ou professionnelles, sans oublier la messagerie électronique… Toutefois, lors du décès du titulaire de comptes en ligne se pose la question de la gestion de ses données. En effet, la mort physique n’entraîne pas automatiquement la mort numérique et les comptes personnels, même inactifs, peuvent rester en ligne pendant des période plus ou moins longues. La question de la gestion des données numériques d’une personne décédée est essentielle lorsque l’on sait que chaque jour, 8.000 personnes en moyenne, inscrites sur Facebook, décèdent dans le monde. (1)


1. Les données personnelles numériques sont, par définition, personnelles

Les données à caractère personnel sont définies comme toute information se rapportant à une personne physique identifiée ou identifiable, c’est-à-dire la personne concernée. Toute autre personne, y compris ses héritiers, est dès lors considérée comme un tiers. (2)

Les droits de la personne concernée (notamment les droits d’accès, de rectification et de suppression des données) sont attachés à cette personne et ne peuvent être exercés que par elle. Ce principe a ainsi été rappelé par les juges du Conseil d’Etat par deux arrêts en 2011 et 2017. (3) Les comptes de messagerie électronique sont, eux, couverts par le secret des correspondances.

Les droits de la personne concernée s’éteignent à son décès. Les tiers, héritiers et proches du défunt, n’ont donc pas automatiquement accès à ses comptes ouverts sur les plateformes et réseaux sociaux.

Que deviennent alors ses données numériques, ses comptes ouverts sur Facebook, Instagram, Twitter, LinkedIn, YouTube, ses comptes de messagerie ?

Jusqu’à l’entrée en vigueur de la Loi pour une république numérique, (4) les ayants droit d’une personne décédée ne pouvaient avoir accès à ses données numériques que dans des cas limités, aux fins d’exercer leurs droits en qualité d’héritiers (accès aux données de comptes bancaires par exemple).

De nombreux sites web, plateformes et réseaux sociaux clôturent automatiquement les comptes inactifs au bout d’une certaine période (1 an, 2 ans, voire plus). Cependant, les exploitants des sites n’ont pas connaissance du décès de leurs utilisateurs et ne peuvent intervenir pour supprimer leurs comptes à leur décès. D’autres plateformes n’ont pas de procédure particulière pour les comptes inactifs. Il existe donc de nombreux comptes inactifs pour cause de décès de leurs titulaires qui restent en ligne, la mort physique n’entraînant pas automatiquement la mort numérique.


2. Les conditions de la mise à jour des données numériques après la mort d’un proche

La Loi pour une république numérique a prévu une procédure assez complète aux fins de gérer la mort numérique d’un proche, en respectant le “testament numérique” du défunt. Ces dispositions figurent désormais à l’article 85 de la loi Informatique et Libertés, modifiée.

Deux options peuvent se présenter : soit la personne a défini des directives relatives à ses données personnelles après son décès, soit elle n’a pas prévu de directives.

    a) La personne a défini des directives relatives à ses données personnelles après son décès

Les directives définissent les conditions d’accès et de traitement de ses données personnelles après son décès. La personne concernée peut modifier ou révoquer ses directives à tout moment, au même titre qu’un testament.

Au cas où la personne concernée a défini des directives relatives à ses données personnelles après son décès, celles-ci peuvent être générales ou particulières.

Les directives générales portent sur l’ensemble des données personnelles de la personne concernée. Elles peuvent désigner la personne qui sera chargée de leur exécution. A défaut de désignation d’une personne spécifique, et sauf directive contraire, ses héritiers seront habilités à en prendre connaissance au décès de leur proche et à demander leur mise en oeuvre. Ces directives peuvent être enregistrées auprès d’un tiers de confiance numérique, certifié par la CNIL. L’existence de directives générales et le tiers de confiance sont inscrits dans un registre unique.

Les directives particulières portent sur les traitements de données identifiés dans ces directives, qui sont ensuite enregistrées auprès des responsables de traitement concernés, à savoir les plateformes et réseaux sociaux. A cette fin, les conditions d’utilisation des plateformes et/ou politiques de protection de la vie privée doivent mentionner cette possibilité. Toutefois, ce traitement doit faire l’objet d’un consentement spécifique, distinct de l’acceptation des conditions d’utilisation.

    b) La personne n’a pas prévu de directives relatives à ses données personnelles après son décès

Dans ce cas, ses héritiers ne peuvent exercer leurs droits qu’aux fins d’une part, d’organiser et de régler la succession du défunt en accédant aux informations utiles à la liquidation et au partage de la succession et d’autre part, de faire prendre en compte le décès par le responsable du traitement (clôture du compte utilisateur, mise à jour du compte, etc.).

Les principaux réseaux sociaux ont prévu des fonctionnalités de suppression de comptes inactifs suite au décès de leur titulaire (sauf mention contraire du défunt dans ses directives) ou de passage en mode “mémorial” (cf. Facebook) pour que les proches et amis puissent échanger et laisser des messages à sa mémoire. La CNIL publie sur son site une liste de réseaux sociaux ayant mis en place ce type de fonctionnalité, avec les liens vers les pages permettant de signaler le décès d’un proche.

En cas de désaccord entre les héritiers, ou si l’un d’eux estime notamment que l’utilisation des données personnelles d’une personne décédée porte atteinte à sa mémoire, sa réputation ou son honneur, ceux-ci peuvent saisir le tribunal judiciaire compétent.


* * * * * * * * * * *

(1) Source : CNIL “Mort numérique : peut-on demander l’effacement des informations d’une personne décédée ?”

(2) Voir définitions à l’article 4 du Règlement général pour la protection des données (RGPD)

(3) Arrêt CE du 29 juin 2011, req. n°339147 ; Arrêt CE du 7 juin 2017, req. n°399446

(4) Loi n°2016-1321 pour une république numérique du 7 octobre 2016



Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Novembre 2020

mercredi 18 novembre 2020

Protection des données personnelles : analyse comparative entre le RGPD (UE) et les CBPR (APEC)

 


Suite à notre précédent article présentant le système des CBPR (Cross-Border Privacy Rules) permettant les transferts de données personnelles entre sociétés situées dans la région Asie-Pacifique (APEC) (1), nous faisons ici une brève analyse comparative entre le RGPD (2) et le système des CBPR afin d’aider à comprendre les objectifs de ces deux systèmes de protection des données personnelles, ce qui les rapproche, mais aussi ce qui les différencie.

1. Principes fondamentaux et fonctionnement : RGPD vs CBPR

Même si les objectifs du RGPD et des CBPR sont similaires, c’est-à-dire permettre le transfert de données personnelles à l’international dans des conditions juridiques sécurisée, les fondamentaux et leur fonctionnement diffèrent.

    1.1 Le RGPD : une application homogène dans l’Union européenne

Le RGPD est entré en application le 25 mai 2018. Ce texte a vocation à s’appliquer de manière homogène dans les Etats-membres de l’Union européenne. (3) Le règlement est venu abroger la directive sur la protection des données personnelles datant d’octobre 1995, qui était devenue obsolète puisqu’elle avait été adoptée avant l’essor des services sur internet (Big data, Cloud computing, …) et l’expansion des GAFAM.

L’objectif principal du RGPD est la protection des consommateurs, et par le biais de règles de consentement renforcées, de leur redonner du pouvoir sur leur données personnelles.

Le RGPD s’applique à tout organisme, privé et public, responsable de traitement ou sous-traitant, situé dans l’Union européenne, qui traite des données personnelles. Le règlement s’applique également aux organismes situés en dehors de l’UE qui ciblent tout ou partie du marché européen et à ce titre, traitent des données personnelles de résidents européens. (4)

Tout organisme situé au sein de l’UE doit donc être en conformité avec le RGPD. Les transferts de données personnelles au sein de l’UE sont réalisés librement, de même que les transferts de données personnelles entre une organisme situé dans l’UE et un organisme situé dans un pays offrant un niveau de protection adéquat. (5) Les transferts vers les pays tiers sont interdits, sauf adoption par les deux parties de clauses contractuelles types (CCT) validées par la commission européenne, un contrat ad hoc validé par une autorité de contrôle (CNIL par exemple), ou en vertu de règles d’entreprise contraignantes (Binding corporate rules ou BCR) pour les transferts de données personnelles intra-groupe.

    1.2 Les CBPR : un système flexible applicable sur la base du volontariat

Le système des CBPR est établi sur la base du Privacy Framework de l’APEC (Asia-Pacific Economic Cooperation). Ce système date de 2005 et a été mis à jour en 2015. Contrairement au RGPD, les CBPR ne s’appliquent pas automatiquement dans les pays membres de l’APEC. A ce jour, seuls 9 pays, sur les 21 pays membres de l’APEC, on adhéré au système des CBPR. (6)

L’objectif des CBPR est avant tout économique, c’est-à-dire, de fluidifier les transferts de données personnelles entre les organismes situés dans des pays membres, de manière juridiquement sécurisée, aux fins de développer les flux économiques, et notamment le commerce électronique. (7)

Les CBPR fonctionnent sur les principes de flexibilité et de volontariat. “Flexibilité” : les CBPR ne remplacent pas la réglementation sur la protection des données des pays participant au système CBPR et leur application est soumise à un certain degré de flexibilité. Les pays dont la réglementation sur la protection des données personnelles est plus stricte conservent le “bénéfice” de leur réglementation. Certaines dispositions du cadre de protection des données peuvent également être adaptées compte tenu des différences aux niveaux social, culturel, économique et juridique des pays participants. “Volontariat” : seuls les organismes situés dans les pays adhérant aux CBPR peuvent décider de se faire certifier conformes aux CBPR.adhérent,

Par ailleurs, les CBPR ne s’appliquent qu’aux responsables de traitement (“controllers”). Les sous-traitants (“data processors”) peuvent, quant à eux, se faire certifier conformes aux PRP (Privacy Recognition for Processors), qui viennent compléter les CBPR. Il est donc nécessaire, pour une société responsable de traitement, de s’assurer que son co-contractant, situé dans un pays est effectivement certifié CBPR et/ou PRP avant de lui transférer des données personnelles.

Les sociétés certifiées CBPR / PRP des pays de l’APEC participants peuvent ainsi librement transférer des données personnelles entre elles. Les transferts vers des sociétés non certifiées, des pays de l’APEC non participants, et vers les pays tiers sont en principe interdits, sauf dispositions figurant dans les lois nationales de protection des données personnelles.

Enfin, on notera que l’UE compte environ 400 millions d’habitants, et est composée de pays relativement homogènes en terme de développement économique. Les pays de l’APEC participant au système CBPR en comptent le double, soit environ 817 millions d’habitants. Toutefois ces pays sont plus disparates économiquement.

2. Les principes et dispositions caractéristiques aux deux systèmes

Dans la mesure où le RGPD et le Privacy Framework de l’APEC, sur lequel repose le système des CBPR, s’inspirent des lignes directrices de l’OCDE sur la protection de la vie privée, on retrouve plusieurs principes fondamentaux communs aux deux systèmes. (8) Toutefois, leur mise en oeuvre est différente. (9) Nous abordons ci-après les principales similarités et différences entre les deux systèmes.

    2.1 Principales similarités entre les deux systèmes

Comme mentionné plus haut, dans la mesure où les deux systèmes, RGPD et CBPR sont issus des lignes directrices de l’OCDE sur la protection de la vie privée, on retrouve des similarités entre eux, même si les termes utilisés ne sont pas nécessairement identiques. Nous reprenons les principaux concepts par équivalence. Les références aux CBPR se rapportent au Privacy Framework (PF) de l’APEC.

    - Champ d’application matériel
Le RGPD s'applique aux traitements de données à caractère personnel, automatisés en tout ou en partie, ainsi qu'aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans un fichier. (RGPD art. 2) Comme mentionné plus haut, contrairement aux CBPR, le règlement s’applique aux responsables de traitement et aux sous-traitants.

Le système CBPR s’applique aux personnes physiques ou morales, privées ou publiques qui contrôlent la collecte, détiennent, traitent, utilisent ou transfèrent des données personnelles. Les CBPR ne s’appliquent qu’aux responsables de traitement et sont complétés par les PRP, applicables aux sous-traitants. Il s’agit toutefois d’un système flexible, adaptable aux différences sociales, culturelles, économiques et juridiques des pays participants. (par. 17 PF)

    - Définitions
“Donnée personnelle” : selon le RGPD, une donnée à caractère personnel signifie “toute information se rapportant à une personne physique identifiée ou identifiable” (la personne concernée). (Art 4.1 RGPD) La définition des CBPR est sensiblement la même. (par. 9 PF)

“Responsable du traitement” (data controller ou personal information controller) : selon le RGPD, le responsable du traitement est la personne physique ou morale, qui détermine les finalités et les moyens du traitement. Il peut y avoir des responsables du traitement conjoints. (art. 4.7 RGPD) Les CBPR définissent le responsable du traitement comme la personne physique ou morale qui contrôle la collecte, le traitement, l’utilisation et le fait de détenir des données personnelles. (par.10 PF)

    - Principes relatifs au traitement des données à caractère personnel
Le RGPD reprend et enrichit les principes applicables aux traitements de données par rapport à la directive d’octobre 1995, à savoir, les notions de licéité, loyauté, transparence du traitement, de finalités déterminées, explicites et légitimes, de minimisation (traitement limité aux données nécessaires au regard des finalités), données exactes et à jour, conservées pendant une durée limitée, de manière sécurisée et confidentielle. (art. 5.1 RGPD)

On retrouve ces principes dans le système CBPR, à savoir, les principes d’information et de consentement de la personne concernée (“notice, consent and choice”) (par. 21 à 23 et 26 PF), de limitation des données collectées (par. 24) et de finalité (par. 25), ainsi que les notions d’intégrité et de données à jour. (par. 27)

    - Principe de responsabilité (“accountability”)
Le principe de responsabilité a été renforcé avec le RGPD, le responsable du traitement devant être en mesure de démontrer être en conformité avec le règlement. (Considérant 85 et art. 5 2 RGPD)

Le système des CBPR reconnaît ce principe de responsabilité en matière de conformité du responsable du traitement. (par. 32 PF)

    - Principe de sécurité des données
Les responsables du traitement et leurs sous-traitants sont responsables de la sécurité (physique et logique) des données qu’ils traitent, compte tenu notamment de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques et du coût des mesures de sécurité par rapport au niveau de sensibilité des données traitées. (art. 32-1 RGPD)

Le principe de sécurité des données contre la perte, les accès non autorisés aux données ou la destruction, l’utilisation, la modification ou la divulgation non autorisées des données, est également reconnu par les CBPR. (par. 28 PF)

    2.2 Principales différences entre les deux systèmes

Il existe toutefois de nombreuses différences entre les deux systèmes, en commençant par les objectifs poursuivis par le RGPD et par les CBPR respectivement.

    - Objectifs
Le RGPD a pour objectif de permettre la libre circulation des données personnelles au sein de l’Union européenne, ainsi que d’assurer la protection des personnes concernant leurs données personnelles. Le RGPD définit la protection des personnes physiques concernant le traitement des données personnelles comme un droit fondamental. (1er considérant et art. 1er RGPD)

Les CBPR fournissent un système de protection des données personnelles permettant de lever les barrières aux transferts de données, en assurant le développement du commerce et des relations économiques dans la région APEC. Le Privacy Framework reconnaît le droit des personnes concernées à une attente légitime en matière de protection des données, et contre une utilisation abusive de ces données. (par. 20 PF)

    - Champ d’application territoriale
Le RGPD s'applique aux traitements de données personnelles effectués sur le territoire de l’Union européenne, que les traitements aient effectivement lieu ou non dans l’UE. Le règlement produit également des effets extra-territoriaux, puisqu’il s’applique aussi aux traitements de données concernant des personnes résidant dans l’UE par des organismes situés hors de l’UE. (art. 3 RGPD)

Les CBPR ne définissent pas de champ d’application territoriale puisque le système ne s’applique qu’aux pays de l’APEC ayant adhéré aux CBPR et uniquement aux organismes certifiés CBPR (et/ou PRP pour les sous-traitants). Toutefois, les autorités de contrôle des pays participants sont encouragées à coopérer entre elles pour assurer l’application effective des CBPR (par. 62 s. PF).

    - Sous-traitant (data processor)
Le RGPD définit le sous-traitant comme la personne physique ou morale qui traite des données à caractère personnel pour le compte du responsable du traitement. (art. 4.8 RGPD)

Le Privacy Framework de l’APEC et les CBPR ne s’appliquent pas aux sous-traitants.

    - Données accessibles au public
D’une manière générale, le RGPD s’applique aux données personnelles, qu’elles soient accessibles publiquement (données accessibles sur les réseaux sociaux par exemple : nom, prénom, photos, etc.), ou non.

Le Privacy Framework de l’APEC et les CBPR s’appliquent de manière très limitée aux données personnelles accessibles publiquement. Dans la mesure où la personne concernée a en principe rendu ses données publiques, et que ses données ne sont pas collectées directement auprès d’elle, on considère que les principes d’information et de choix ne sont pas applicables. (par. 11 PF)

    - Adaptations par les Etats-membres / pays participants
Même s’il s’agit d’un règlement européen, applicable directement par les Etats-membres, le RGPD prévoit quelques domaines résiduels sur lesquels les Etats-membres peuvent légiférer. Ainsi, en France, la loi Informatique et Libertés a été modifiée par ordonnance le 12 décembre 2018 pour intégrer ces dispositions aménagées. (10)

Les pays qui adhèrent au système des CBPR peuvent appliquer des exceptions au champ d’application du système correspondant à leur situation spécifique.

    - Violations de données personnelles, notification et correction
Le RGPD définit la violation de données à caractère personnel comme une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données. (Art. 4.12 RGPD) Alors que précédemment l’obligation de notifier les violations de données aux autorités de contrôle ne s’appliquait en France qu’aux seuls opérateurs télécom, le RGPD a étendu cette obligation à tous les organismes. En cas de violation de données personnelles, la procédure de notification et de correction est décrite à l’article 33 du RGPD.

Les CBPR ne comprennent pas de définition de violation de données personnelles. Toutefois, les  pays participants doivent prévoir des procédures de notification aux autorités de contrôle ou aux personnes concernées en cas de violation de données.

    - Durée de conservation des données personnelles
Le RGPD limite la durée de conservation des données à caractère personnel. Les données personnel sont conservées sous une forme permettant l'identification des personnes concernées pendant la durée nécessaire aux finalités pour lesquelles elles sont traitées. Elles sont ensuite supprimées. Elles peuvent cependant être conservées pour des durées plus longues, sous une forme anonymisée, en cas de traitement à des fins archivistiques, de recherche scientifique ou historique ou à des fins statistiques. (art. 5.1 RGPD)

En revanche, le Privacy Framework ne prévoit pas d’obligation de limitation de durée de conservation des données.

    - Données des enfants
Enfin, l’article 8 du RGPD prévoit des règles spécifiques pour la protection des données personnelles des mineurs, avec la possibilité pour chaque Etat-membre de fixer le seuil de l’âge de cette protection spécifique entre 13 et 16 ans (fixé à 15 ans en France).

Le Privacy Framework ne prévoit pas de protection spécifique pour les données des mineurs.


    Le système des CBPR, complété par les PRP, n’est pas reconnu par la Commission européenne comme offrant un niveau de protection adéquate. Parmi les pays membres de l’APEC, seuls le Canada et le Japon sont actuellement reconnus par la Commission européenne comme des pays offrant un niveau de protection adéquate. En conséquence, pour les autres pays de l’APEC, participant ou non au système des CBPR, les transferts de données entre un organisme situé dans l’Union européenne et une société certifiée située dans un pays de l’APEC doivent respecter les règles européennes de transfert à l’international (adoption de CCT, signature d’un contrat approuvé par une autorité de contrôle ou transfert couvert par des BCR).

* * * * * * * * * * *

(1) Site de l’APEC L'APEC compte parmi ses membres une grande partie des pays de l’Asie du sud et de l’est. A noter que l’Inde n’est pas membre de l’APEC.

(2) Règlement général pour la protection des données n° 2016-679, ou RGPD

(3) Le RGPD ne s’applique pas de manière identique dans toute l’Union. Le règlement permet aux Etats-membres d’adopter des dispositions spécifiques dans quelques domaines identifiés.

(4) Article 3 - RGPD

(5) Les pays membres de l’APEC offrant un niveau de protection adéquate sont le Canada, le Japon, et la Nouvelle-Zélande (hors système CBPR). Des pourparlers sont en cours entre la Commission européenne et la République de Corée pour ajouter ce pays à la liste des pays offrant un niveau de protection adéquate. Le Privacy Shield (Bouclier de protection), en place entre l’Union européenne et les Etats-Unis (membre de l’APEC), a été invalidé par un arrêt de la Cour de justice de l’Union européenne (CJUE) le 16 juillet 2020.

(6) Les 9 pays de l’APEC participant au système des CBPR à la date du présent article sont : l’Australie, le Canada, la Corée du Sud, les Etats-Unis, le Japon, le Mexique, les Philippines, Singapour, et Taiwan.

(7) “GDPR and CBPR: Reconciling Personal Data Protection and Trade”, APEC policy support unit, Policy Brief No.23, October 2018

(8) Lignes directrices de l’OCDE

(9) Les CBPR reposent sur 9 principes fondamentaux, définis dans le Privacy Framework de l’APEC. Il s’agit des principes de : responsabilité (accountability), information des personnes (notice), choix (choice), limitation des données collectées (collection limitation), intégrité des données personnelles (integrity of personal information), règles d’utilisation des données personnelles (uses of personal information), règles de sécurité des données (security safeguards), règles relatives aux droits d’accès et de rectification (access and correction), et règles relatives à la prévention des dommages comprenant l’obligation de notification en cas de violation de données (preventing harm). En revanche, les CBPR ne prévoient pas le principe de la limitation de la durée de conservation des données.

(10) Ordonnance n°2018-1125 du 12 décembre 2018 prise en application de l'article 32 de la loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles et portant modification de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et diverses dispositions concernant la protection des données à caractère personnel.



Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Novembre 2020

samedi 11 juillet 2020

CBPR et PRP : Singapour modifie la loi sur le transfert des données personnelles


Singapour a rejoint le système des CBPR (Cross-Border Privacy Rules - règles transfrontières de protection des données) de l’APEC en avril 2018. Il aura fallu un peu plus de deux ans pour que la loi singapourienne sur la protection des données personnelles soit modifiée pour admettre les transferts de données personnelles dans le cadre des CBPR. (1)

La Loi sur la protection des données personnelles de 2012 (PDPA) est entrée en application en trois phases entre le 2 janvier 2013 et le 2 juillet 2014. (2) Cette loi est complétée par les Règlements sur la protection des données personnelles de 2014, dont le titre III concerne les transferts de données vers l’étranger (ci-après, les “Règlements”). (3)

En règle générale, les données personnelles ne peuvent être librement transférées depuis Singapour vers un pays étranger, sauf dans les cas prévus par les Règlements.

Avant de transférer les données vers un organisme situé à l’étranger, l’organisme singapourien doit notamment s’assurer que l’organisme destinataire est soumis à des engagements opposables accordant aux données transférées un niveau de protection au moins équivalent à la protection accordée par la loi singapourienne sur la protection des données personnelles. Ce niveau d’engagement peut figurer dans la loi du pays du destinataire, dans un contrat conclu entre l’organisme singapourien et l’organisme destinataire, ou dans des règles d’entreprise contraignantes (Binding corporate rules - BCR) pour les transferts intra-groupe.

Les Règlements ont été modifiés le 4 juin dernier pour ajouter les transferts de données à l’étranger vers des organismes certifiés dans le cadre du système des CBPR pour les responsables de traitements, ou des PRP (Privacy Recognition for Processors - ou système de reconnaissance de la vie privée pour les sous-traitants). Pour rappel, seuls les organismes situés dans des pays de l’APEC ayant adhéré au système des CBPR et PRP peuvent bénéficier de ces mesures de transfert. A ce jour, 9 pays, sur les 21 membres de l’APEC, ont rejoint le système CBPR : les Etats-Unis, le Canada, le Mexique, le Japon, la Corée du Sud, Taiwan, les Philippines, Singapour et l’Australie. (4)

La Commission pour la protection des données personnelles (PDPC) a publié des clauses types pouvant être intégrées aux contrats comprenant des transferts de données vers des organismes certifiés CBPR ou PRP. (5)


                                                                  * * * * * * * * * * *


(1) Site des CBPR

(2) Personal Data Protection Act 2012 (“PDPA”)

(3) Personal Data Protection Regulations 2014

(4) Pour plus de détails sur le fonctionnement du système, voir notre article “Flux transfrontières de données personnelles en Asie-Pacifique : le système CBPR

(5) https://www.pdpc.gov.sg/help-and-resources/2020/06/sample-clause-for-data-transfers-to-apec-cbpr-and-prp-certified-organisations


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Juillet 2020

mercredi 24 juin 2020

Flux transfrontières de données personnelles en Asie-Pacifique : le système CBPR


Les règles transfrontières de protection des données (Cross-Border Privacy Rules ou CBPR) ont été développées par l’APEC en 2011, pour permettre aux entreprises de ses pays membres de transférer des données personnelles selon des règles sûres et reconnues.

Fondé en 1989, l’APEC (Asia-Pacific Economic Cooperation ou Coopération Economique pour l’Asie-Pacifique) est un forum économique régional intergouvernemental regroupant 21 pays bordant le Pacifique. L’APEC a pour mission de faciliter la croissance économique et la coopération entre ses 21 membres. Outre les Etats-Unis, le Canada, le Mexique, le Chili et la Russie, l’APEC compte également parmi ses membres la Chine, l’Australie, le Japon, la Corée, Singapour, l’Indonésie et la Malaisie notamment. (1)

1. Qu’est-ce que le système CBPR ?

    1.1 Un système de transfert de données personnelles, basé sur le volontariat

A l’instar du RGPD européen, le système CBPR a pour objet de fluidifier les transferts de données personnelles entre les pays adhérents dans la région Asie-Pacifique. Mais alors que le RGPD s’impose à tous les organismes situés dans l’Union européenne et aux entreprises non-européennes qui ciblent le marché européen, les CBPR s’appliquent aux seules entreprises, responsables de traitement, qui choisissent, de manière volontaire, de se faire certifier conformes aux CBPR, et qui sont situées dans les pays membres de l’APEC appliquant les CBPR. (2)

Contrairement à l’Union européenne, dont les Etats membres partagent un certain nombre de valeurs sociétales, économiques, juridiques et politiques en application des traités d’adhésion européens, la région Asie-Pacifique ne dispose pas de traité d’union similaire, même s’il existe une volonté d’aller vers une plus grande intégration économique à l’échelle régionale.

Alors que les Etats membres de l’UE ont une même vision des principes relatifs à la protection de la vie privée et des consommateurs, il n’en est pas de même dans la région Asie-Pacifique, qui englobe des sociétés diverses, culturellement et économiquement notamment. Ne disposant pas de l’équivalent des règlements ou directives au niveau régional, les législations des différents pays membres de l’APEC sont diverses. Par exemple, certains pays ont adopté une loi sur la protection des données personnelles, plus ou moins protectrice, d’autres pas encore.

Forts de ce constat, les membres de l’APEC ont reconnu l’importance de la mise en oeuvre de principes de protection des données personnelles efficaces aux fins de fluidifier les flux de données entre leurs entreprises.

La philosophie des CBPR est donc différente de celle du RGPD.

    1.2 Sur quels principes fonctionnent les CBPR ?

Le système des CBPR est établi sur la base du Privacy Framework de l’APEC datant de 2005, et mis à jour en 2015. (3) Ce “cadre de la vie privée” constitue un modèle pour les lois nationales de protection de la vie privée des membres de l’APEC, et un socle de règles minimum pour les pays n’ayant pas encore légiféré dans ce domaine et souhaitant adhérer au système. On y retrouve notamment les principes fondamentaux de la protection des données personnelles, issus des lignes directrices de l’OCDE sur la protection de la vie privée. (4)

Ainsi, les CBPR reposent sur 9 principes fondamentaux, à savoir : les principes de responsabilité (accountability), d’information des personnes (notice), de choix (choice), de limitation des données collectées (collection limitation), d’intégrité des données personnelles (integrity of personal information), règles d’utilisation des données personnelles (uses of personal information), règles de sécurité des données (security safeguards), règles relatives aux droits d’accès et de rectification (access and correction), et règles relatives à la prévention des dommages comprenant l’obligation de notification en cas de violation de données (preventing harm). En revanche, les CBPR ne prévoient pas le principe de la limitation de la durée de conservation des données. (5)

    1.3 CBPR et Privacy Framework - un système de certification qui ne concerne que les responsables de traitement

Le système CBPR fonctionne sur le volontariat des Etats qui souhaitent, ou non, y adhérer, et parmi les Etats adhérents, des sociétés qui souhaitent se faire certifier. Grâce à ce système, les gouvernements et les entreprises certifiées s’assurent que, lors des mouvements de données personnelles transfrontières, celles-ci sont protégées selon les règles du système CBPR applicable dans les pays adhérents.

Les pays membres de l’APEC souhaitant rejoindre le système CBPR doivent suivre une procédure de demande d’adhésion, identifier un organe gouvernemental en charge de l’application des règles de protection des données personnelles (équivalent des autorités de contrôle telles que la CNIL), et au moins un organisme tiers certificateur. Pour les Etats-Unis, l’organe gouvernemental est la Federal Trade Commission et l’organisme tiers certificateur est la société TRUSTe.

Les entreprises souhaitant être certifiées CBPR doivent soumettre un dossier à un agent certificateur accrédité dans leur pays d’origine. Ce dossier comprend notamment leur politique sur la protection des données personnelles, dont les droits d’accès et de correction de leurs données  par les consommateurs, la nomination d’un délégué à la protection des données (DPO) et les règles de sécurité appliquées par l’entreprise. Celui-ci doit ensuite certifier que la politique de protection de la vie privée de la société est conforme au Privacy Framework. La certification est valable un an, renouvelable.

La certification CBPR est en principe un engagement de respect de leurs données personnelles par l’entreprise envers les consommateurs, conformément au Privacy Framework. La conformité au Privacy Framework est cependant un minima. Si la loi locale sur la protection des données personnelles est plus exigeante, l’entreprise devra évidemment se conformer à sa loi locale.

L’agent certificateur est également l’organisme en charge de la résolution des litiges entre les entreprises certifiées CBPR et les consommateurs.

En résumé, seules les entreprises certifiées CBPR, situées dans l’un des pays membres de l’APEC ayant adhéré au système CBPR peuvent bénéficier de ce système. A ce jour, 9 pays, sur les 21 membres de l’APEC, ont rejoint le système CBPR : les Etats-Unis, le Canada, le Mexique, le Japon, la Corée du Sud, Taiwan, les Philippines, Singapour et l’Australie.


2. Le système de PRP, le nécessaire complément aux CBPR, applicable aux sous-traitants

Contrairement au RGPD qui est applicable aux responsables de traitement (“controllers”) et aux sous-traitants (“data processors”), le système des CBPR ne s’applique qu’aux responsables de traitement.

Afin de permettre aux responsables de traitement d’identifier plus facilement des sous-traitants (hébergeurs, développeurs, etc.) dans la région Asie-Pacifique, respectueux des règles de protection des données personnelles, le système des CBPR a été complété par le système de PRP (Privacy Recognition for Processors - ou système de reconnaissance de la vie privée pour les sous-traitants).

Le système de PRP constitue le socle d’engagements en matière de respect des données personnelles qu’un sous-traitant doit respecter pour être certifié. Toutefois, même si les PRP n’intègrent pas le Privacy Framework, qui ne concerne que les responsables de traitement, ce système de règles doit permettre aux sous-traitant certifiés de démontrer leur capacité à traiter les données personnelles qui leur sont confiées, conformément aux règles édictées par les CBPR.

Comme pour les entreprises certifiées CBPR, l’adhésion aux PRP par les sous-traitants passe par une procédure de certification par un organisme tiers certificateur. La conformité des sous-traitants certifiés PRP est également assurée par les organismes certificateurs.

Toutefois, les responsables de traitement certifiés CBPR n’ont pas l’obligation de contracter avec des sous-traitant certifiés PRP.


    De grands groupes tels que Apple, Cisco Systems, General Electric, IBM et leurs filiales ont adopté les CBPR et/ou les PRP. Cependant, bien que les systèmes des CBPR et PRP couvrent une population et un PIB cumulés plus larges que toute l’Union européenne, peu de sociétés les ont encore adoptés. Ceci peut être la conséquence de plusieurs facteurs. La liste des membres de l’APEC participant au système CBPR (9 pays à ce jour) reste limitée. Certains pays n’ont rejoint le système CBPR que récemment : Singapour a rejoint le CBPR en avril 2018 et l’Australie et Taiwan en novembre 2018. De nombreuses entreprises locales ne connaissent pas encore l’existence du système des CBPR et des PRP dans la région. Il n’existe à ce jour que 3 agents certificateurs (Etats-Unis, Japon et Singapour). Enfin, certains pays, tels la Chine, ont mis en oeuvre une politique de non-transfert de données à l’international, ralentissant le mouvement d’adhésion aux CBPR.


Enfin, on précisera que l'adhésion des pays membres de l'APEC au système des CBPR ne modifie pas les règles de transfert de données entre l'Union européenne et ces pays. Hormis le Canada, le Japon, et les Etats-Unis (Privacy Shield) considérés par l'UE comme offrant un niveau de protextion adéquate, les transferts de données personnelles vers les autres pays ayant adhéré au système CBPR (Mexique, Corée du Sud, Taiwan, Philippines, Singapour et Australie) restent soumis aux règles de transfert à l'international, à savoir, soumis aux clauses contractuelles types, à un contrat ad hoc validé par une autorité de contrôle, ou pour les groupes de sociétés, à des BCR.

                                                                 * * * * * * * * * * *

(1) Site de l’APEC : L'APEC compte parmi ses membres une grande partie des pays de l’Asie du sud et de l’est. A noter que l’Inde n’est pas membre de l’APEC.

(2) Site des CBPR

(3) Privacy Framework de l’APEC

(4) Lignes directrices de l’OCDE 


(5) “GDPR and CBPR: Reconciling Personal Data Protection and Trade”, APEC policy support unit, Policy Brief No.23, October 2018


 
Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Juin 2020