De très nombreux sites de e-commerce font accepter leurs conditions contractuelles (CGU et/ou CGV) en faisant cocher une case face à un lien hypertexte renvoyant vers la page web correspondante. Cette pratique, qui était juridiquement acceptée jusqu’à maintenant, vient d’être invalidée par la Cour de Justice de l’Union européenne (CJUE) dans un arrêt du 5 juillet 2012, qui l’estime contraire à la directive 97/7 concernant la protection des consommateurs en matière de contrats à distance. (1)
En l’espèce, la société Content Services Ltd proposait des services en ligne, dont le téléchargement de logiciels gratuits et payants et des abonnements en ligne. L’acceptation des conditions contractuelles se faisait via une case à cocher, avec un lien hypertexte vers la page des CGV du site. En cochant la case, l’internaute acceptait donc les CGV, qui mentionnaient notamment leur renonciation au droit de rétractation. Un organisme autrichien de protection des consommateurs a poursuivi Content Services devant les tribunaux autrichiens, considérant que cette société ne respectait pas les règles européennes en matière de protection des consommateurs et de conclusion des contrats à distance, notamment l’article 5 par.1 de la directive 97/7. Le tribunal autrichien a décidé de porter la demande devant la CJUE afin d’obtenir une décision préjudicielle.
En résumé, il était demandé à la CJUE de trancher la question de savoir si le fait, pour le e-commerçant, de communiquer au e-consommateur un lien hypertexte renvoyant aux conditions contractuelles consultables sur son site web, était ou non conforme aux exigences d’information du consommateur, posées par l’article 5 par. 1 de la directive.
1. La communication d’un lien hypertexte renvoyant vers une page du site web du vendeur répond-elle à l’exigence de “fourniture des informations” au sens de la directive ?
La directive 97/7/CE concerne la protection des consommateurs en matière de contrats à distance. (2) L’article 5 “Confirmation écrite des informations” dispose, au paragraphe 1 que “le consommateur doit recevoir, par écrit ou sur un autre support durable à sa disposition et auquel il a accès, confirmation des informations mentionnées à l’article 4 par. 1(…), en temps utile lors de l’exécution du contrat et au plus tard au moment de la livraison (…), à moins que ces informations n’aient déjà été fournies au consommateur préalablement à la conclusion du contrat par écrit ou sur un autre support durable à sa disposition et auquel il a accès.(…)”. (3)
Les informations devant être fournies comprennent notamment les conditions et modalités d’exercice du droit de rétractation, l’adresse géographique du fournisseur où le consommateur peut présenter ses réclamations, les informations relatives au SAV et aux garanties commerciales, les conditions de résiliation du contrat lorsque celui-ci est à durée indéterminée ou d’une durée supérieure à un an.
La directive 97/7 a été transposée en droit français, l’article 5 étant transposé à l’article L.121-19 du Code de la consommation. (4)
La première partie de la question posée à la CJUE portait sur la notion de “fourniture” des informations pertinentes au consommateur ou de “réception” de celles-ci, au sens de la directive.
En d’autres termes, le fait pour l’exploitant d’un site de e-commerce, de communiquer au consommateur un lien hypertexte qui renvoie vers les pages du site relatives aux CGV est-il suffisant et conforme aux exigences d’information de la directive ?
La réponse de la CJUE est négative. Selon les juges européens, la directive a pour objet la protection du consommateur, cette protection devant être renforcée en matière d’achat à distance. La protection du e-consommateur inclut la fourniture d’une information complète par le e-commerçant. A ce titre, le e-consommateur dispose notamment du droit de se rétracter postérieurement à son achat, sans avoir à se justifier.
La directive impose, à l’article 5, la “fourniture” des informations pertinentes au e-consommateur, ou sa “réception” de celles-ci. Les juges estiment que le consommateur ne doit pas avoir à faire d’efforts pour avoir accès à ces informations, par exemple, en devant cliquer sur un lien pour rechercher et accéder aux conditions contractuelles sur le site web, a fortiori dans la mesure où la grande majorité des utilisateurs acceptent les CGU/CGV des sites marchands quasiment automatiquement avant leur achat et ne les lisent jamais. Selon la Cour, un comportement passif des consommateurs doit suffire pour prendre effectivement connaissance des informations, sans même avoir à cliquer sur un lien pour se rendre sur une page web.
La Cour en conclut donc que lorsque ces informations ne sont accessibles que via un lien communiqué au consommateur, lesdites informations ne sont ni fournies au consommateur, ni reçues par celui-ci au sens de l’article 5 par. 1 de la directive.
2. La fourniture des informations via un lien hypertexte renvoyant vers une page du site web du vendeur répond-elle à l’exigence de “support durable” ?
L’article 5 par. 1 de la directive pose une deuxième condition en matière de fourniture des informations pertinentes au e-consommateur : celles-ci doivent être fournies par écrit ou sur un “support durable”.
Après avoir répondu à la question relative à la fourniture des informations, la Cour examine la notion de support durable. Ainsi, pour être considéré comme durable, un support doit répondre aux trois critères suivants : 1) permettre au consommateur de stocker les informations qui lui ont été adressées personnellement, 2) garantir l’absence d’altération de leur contenu ainsi que leur accessibilité pendant une durée appropriée, et 3) offrir aux consommateurs la possibilité de les reproduire telles quelles. En effet, le consommateur doit pouvoir conserver durablement les conditions contractuelles applicables à son achat afin de pouvoir y faire référence en cas de litige éventuel.
Or, selon les juges, le seul fait de renvoyer vers une page web, à partir d’un lien communiqué au consommateur, ne permet pas à celui-ci de stocker les informations dans les conditions rappelées ci-dessus. En outre, le contenu des pages web peut être modifié à tout moment par le e-commerçant. (5)
La CJUE estime donc que les informations qui sont uniquement disponibles sur un site internet, en passant par un lien hypertexte présenté par le vendeur, ne peuvent être considérées comme fournies sur un support durable, au sens de l’article 5 par. 1 de la directive.
3. Les conséquences pratiques de l’arrêt de la CJUE du 5 juillet 2012 pour les sites de e-commerce européens
L’intérêt de cette décision est qu’elle s’applique à l’ensemble des sites de e-commerce de l’Union. Or, à ce jour, de très nombreux sites de vente en ligne font accepter leurs conditions contractuelles (CGU et/ou CGV) en faisant cocher une case face à un lien hypertexte renvoyant vers la page correspondante. Les conditions peuvent parfois être téléchargées en format pdf et/ou être imprimées. D’autres sites ne prennent même pas la peine de faire accepter leurs conditions contractuelles par ce moyen, les CGV indiquant uniquement que le fait de commander un bien ou un service entraîne automatiquement l’accord des conditions contractuelles du marchand par le consommateur.
La décision de la CJUE du 5 juillet 2012 a pour effet de lever toute ambigüité sur l’opposabilité des conditions contractuelles (ou “informations pertinentes”) des e-commerçants aux e-consommateurs. Cet arrêt a pour effet de pousser la protection du e-consommateur vers un nouveau pallier, quitte à le déresponsabiliser un peu plus. Il contredit la pratique communément admise de l’acceptation des conditions contractuelles par opt-in et lien hypertexte, validée notamment par les tribunaux français. (6)
En conséquence, nombre de sites de e-commerce français et européens vont devoir adapter le mode de communication de leurs conditions contractuelles à leurs clients s’ils veulent s’assurer que ces conditions sont considérées comme effectivement acceptées par les consommateurs et qu’elles leurs sont donc opposables.
Cette adaptation s’articule autour de deux éléments : la “fourniture” effective des informations au consommateur, sur un “support durable”.
Ainsi, jusqu’à présent, les e-marchands adressaient un email de confirmation de commande au client, au contenu souvent générique. La mise en conformité aux dispositions de la directive passera, par exemple, par l’intégration en toutes lettres dans l’email de confirmation de commande des informations prévues à l’article 5 par.1 de la directive (article L.121-19 du Code de la consommation). Il est recommandé par ailleurs de faire en sorte que les CGU/CGV puissent être aisément imprimables et/ou disponibles sous format électronique non modifiable (support durable) et comprennent a minima une date d’effet, un numéro de version et/ou une empreinte d’horodatage.
A défaut de prendre ces précautions, le e-commerçant, sur qui repose la charge de la preuve de la fourniture des informations pertinentes et de la bonne exécution de ses obligations, pourra se voir imposer un droit de rétractation porté de 7 jours à 3 mois, des conditions contractuelles non opposables à ses clients, ainsi qu’une amende de 1500€ (3000€ en cas de récidive) en application de l’article R.121-1-1 du Code de la consommation.
Cette décision suscite une certaine perplexité : d’une part, rien n’obligera le consommateur à lire effectivement les conditions contractuelles lors d’un achat en ligne, quel que soit le mode de communication de ces conditions, via un lien hypertexte ou in extenso dans l’email de confirmation de commande par exemple ; d’autre part, à l’ère du m-commerce, encore moins d’acheteurs auront la volonté de lire les conditions contractuelles applicables à un achat, le plus souvent d’impulsion, sur un écran de smartphone... Le consommateur doit, certes pouvoir bénéficier d’une certaine protection contractuelle, il n’en doit pas moins prendre ses responsabilités d’acheteur, en lisant le contrat.
* * * * * * * * * * * *
(1) Arrêt CJUE 3é ch. du 5 juillet 2012, Content Services Ltd c/ Bundesarbeitskammer, aff. C-49/11
(2) Directive 97/7/CE du Parlement européen et du Conseil du 20 mai 1997 concernant la protection des consommateurs en matière de contrats à distance. Cette directive doit être remplacée par la directive 2011/83 relative aux droits des consommateurs, à compter du 13 juin 2014. La directive 2011/83 reprend, à l’article 6, des dispositions relatives à l’obligation d’information concernant les contrats à distance.
(3) A noter que les dispositions de l’article 5 par. 1 ne s’appliquent pas aux services fournis en une seule fois et dont la facturation est effectuée par l’opérateur de la technique de communication.
(4) L’article L.121-19 du Code de la consommation dispose “I.-Le consommateur doit recevoir, par écrit ou sur un autre support durable à sa disposition, en temps utile et au plus tard au moment de la livraison :
1° Confirmation des informations mentionnées aux 1° à 4° de l'article L. 121-18 et de celles qui figurent en outre aux articles L. 111-1, L. 111-2 et L. 113-3 ainsi que de celles prévues pour l'application de l'article L. 214-1, à moins que le professionnel n'ait satisfait à cette obligation avant la conclusion du contrat ;
2° Une information sur les conditions et les modalités d'exercice du droit de rétractation ;
3° L'adresse de l'établissement du fournisseur où le consommateur peut présenter ses réclamations ;
4° Les informations relatives au service après vente et aux garanties commerciales ;
5° Les conditions de résiliation du contrat lorsque celui-ci est d'une durée indéterminée ou supérieure à un an.
II.-Les dispositions du présent article ne sont pas applicables aux services fournis en une seule fois au moyen d'une technique de communication à distance et facturés par l'opérateur de cette technique à l'exception du 3°.III.-Les moyens de communication permettant au consommateur de suivre l'exécution de sa commande, d'exercer son droit de rétractation ou de faire jouer la garantie ne supportent que des coûts de communication, à l'exclusion de tout coût complémentaire spécifique.”
(5) L’arrêt fait référence à un rapport du European Securities Markets Expert Group (ESME) de 2007 qui distinguait entre les “sites ordinaires” et les “sites sophistiqués”, considérant que certains sites sophistiqués pouvaient constituer un support durable. Ce point n’a pas été étudié plus avant par les juges dans la mesure où le site de la société Content Services n’entrait pas dans la catégorie des sites sophistiqués.
(6) Voir par exemple : CA Paris du 25 novembre 2010, SAS Karavel c/ epx Challet. Dans cette affaire, les utilisateurs contestaient, entre autre, l’opposabilité des CGV de l’exploitant du site. La Cour a estimé que le fait d’avoir coché une case mentionnant leur acceptation des CGV, celles-ci étant accessibles via un lien hypertexte, les engageait contractuellement. Ils ne pouvaient donc prétendre ne pas connaître les conditions contractuelles du site.
Bénédicte DELEPORTE
Avocat
août 2012
DELEPORTE WENTZ AVOCAT est une société d’avocats spécialisée en droit des technologies de l’information - informatique, internet, données personnelles, inscrite au Barreau de Paris. Nous publions régulièrement des articles concernant des thématiques juridiques diverses relevant du domaine des technologies : actualité juridique, présentation d'une nouvelle loi ou analyse d'une jurisprudence récente. Pour consulter notre site web: www.dwavocat.com
Messages les plus consultés
-
Ce qu’il faut retenir Il existe une multitude d’applications licites des deepfakes, sous réserve de respecter les droits des personnes. Malh...
-
Ce qu’il faut retenir La loi Sécurité et Régulation de l’Espace Numérique (“loi SREN”) a été adoptée le 21 mai 2024. L’un des objectifs ...
-
Le 21 janvier 2019, la formation restreinte de la CNIL a prononcé une sanction pour un montant de 50 millions d’euros, à l’encontre de la...
-
Les professionnels de santé (médecins exerçant en cabinet, en clinique ou dans un établissement de santé publique, pharmaciens, etc.) colle...
-
L'achat d'espace publicitaire est un contrat conclu entre un annonceur et un intermédiaire (agence médias), déterminant les conditio...
vendredi 24 août 2012
lundi 20 août 2012
Géolocalisation et protection de la vie privée : la réglementation applicable aux données collectées
La géolocalisation, fonctionnalité présente sur la plupart des smartphones, offre des possibilités d’action de marketing ciblé intéressantes pour les entreprises (commerces, services, rencontres) et pour les utilisateurs. Toutefois, cette technologie rendant possible la surveillance des déplacements d'un individu, dans le temps et dans l’espace, peut donner lieu à certaines dérives et nuire à la vie privée des mobinautes. L'exploitation de services de géolocalisation est de ce fait, encadrée par la loi. Il appartient donc aux sociétés éditrices d'applications mobiles de géolocalisation et aux sociétés utilisant ces applications d'être vigilantes lors de la mise à disposition de ce service au public. Dès que l’exploitation d’un service de géolocalisation implique la collecte et le traitement de données à caractère personnel, ce service est soumis à la réglementation sur la protection de la vie privée.
Le présent article a pour objet de rappeler brièvement le cadre juridique applicable à l’utilisation de services de géolocalisation et le rôle de la CNIL dans ce domaine.
1. Le cadre juridique de la géolocalisation
La géolocalisation consiste notamment à communiquer des informations sur une personne en fonction de sa position géographique. Aussi, dès lors qu’une application mobile implique la collecte et l’exploitation d’informations relatives à la géolocalisation des mobinautes, le traitement de ces informations, considérées comme des données à caractère personnel, doit être conforme aux règles de respect de la vie privée. Les sociétés françaises éditrices et fournisseurs d'applications mobiles de géolocalisation et les sociétés souhaitant utiliser la géolocalisation relèvent de la loi Informatique et Libertés du 6 janvier 1978, en qualité de responsable de traitement. (1)
Un certain nombre d’obligations légales s’imposent aux sociétés exploitant ou utilisant un service de géolocalisation :
1.1 Les obligations relatives aux traitements de données de géolocalisation
La géolocalisation a le plus souvent pour finalité la collecte de données à caractère personnel. Il s’agit donc d’un traitement de données devant être déclaré à la CNIL préalablement à la mise en exploitation du service. (2)
Concernant les traitements de données de géolocalisation, les sociétés exploitant ce type de service doivent :
- respecter la finalité du traitement, qui doit être déterminée, explicite et légitime ;
- obtenir l’autorisation préalable de l’utilisateur de l'application mobile pour : (i) la collecte de ses données de localisation, cette autorisation pouvant être recueillie par l'intermédiaire d'une case à cocher (opt-in) au moment du téléchargement de l’application, ou éventuellement à tout moment pour activer ou désactiver l’application ou l’option de géolocalisation, et (ii) la conservation des informations liées à ses déplacements (historique des déplacements). En outre, l’utilisateur doit pouvoir revenir sur son consentement par un moyen simple et gratuit et pouvoir supprimer les données de localisation qui le concernent ;
- informer l'utilisateur du type de données collectées, de la durée de leur conservation, de la finalité du traitement, le cas échéant, des personnes à qui les données seront transmises (par exemples, commerçants ou gestionnaire de base cartographique) et de ses droits relatifs à ses données (droits d'accès, de rectification, de contestation et d'opposition (suppression/désinscription) au traitement des données).
La durée de conservation des données collectées doit être raisonnable, en fonction de l’objectif du traitement. Enfin l'entreprise devra assurer la sécurité des informations traitées en adoptant des mesures de sécurité physiques et techniques adaptées à la nature des données et aux risques présentés. (3)
1.2 Les obligations spécifiques à la réutilisation des données à des fins marketing, ou le “géo-marketing”
Les données de géolocalisation sont parfois utilisées pour envoyer de la publicité géo-ciblée sur le téléphone du mobinaute. Ainsi, grâce à cette technologie, des sociétés envoient aux mobinautes des publicités géo-ciblées, non seulement en fonction de qui ils sont (identité, goûts, habitudes), mais également en fonction de l'endroit où ils se trouvent. Le marketing ciblé basé sur de la géolocalisation n’est pas interdit par la loi. Cependant, les utilisateurs doivent être informés de la possible réutilisation de leurs données par des annonceurs tiers à des fins commerciales, et doivent avoir donné leur consentement (opt-in) pour recevoir ces messages. (4)
1.3 Les bonnes pratiques dans la mise en oeuvre d’un service de géolocalisation
Le Groupe de travail de l'article 29 a édité un Avis en mai 2011 regroupant des bonnes pratiques pour les éditeurs d'applications mobiles de géolocalisation.
Le Groupe de l’article 29 recommande ainsi aux sociétés souhaitant déployer un service de géolocalisation (i) d’informer clairement les mobinautes des raisons (finalités) pour lesquelles elles souhaitent utiliser leurs données, et d’obtenir leur consentement pour chacune de ces raisons ; (ii) d’offrir la possibilité aux mobinautes de choisir le niveau de géolocalisation (par exemple à l’échelle d’un pays, d’une ville, d’un code postal, ou d’un quartier) ; (iii) une fois que le service de localisation est activé, de mettre en place une icône, visible en permanence sur chaque écran, indiquant que les services de localisation sont activés et (iv) d’offrir la possibilité aux mobinautes de revenir sur leur consentement à tout moment, sans avoir à quitter l’application et d'être en mesure de supprimer facilement et de manière définitive toute donnée de localisation stockée sur le dispositif. (5)
2. Les pouvoirs de la CNIL et les sanctions encourues en cas de non-conformité aux obligations légales
2.1 La mission de la CNIL
La Commission est vigilante quant aux risques pouvant résulter d'un développement généralisé et banalisé de la géolocalisation. A ce titre, la CNIL a lancé plusieurs opérations de sensibilisation à l’attention de l’ensemble des citoyens et des dirigeants d’entreprises, notamment par l’intermédiaire de son site internet, afin de rappeler les règles applicables en matière de géolocalisation.
La CNIL s'est également prononcée contre de nouveaux dispositifs de géolocalisation qui lui paraissaient contrevenir aux droits des personnes car de nature trop intrusive. Par exemple, en 2009, la CNIL a demandé à la société Google de mettre son nouveau service de géolocalisation dénommé - Google Latitude - en conformité à la loi Informatique et Libertés. En 2010, la CNIL a mis en garde les membres Facebook contre le nouveau service Facebook Lieux, permettant d'indiquer sa position géographique à tout moment à un autre internaute. Le service permettait notamment de dévoiler des informations de nature privée et protégeable, pouvant être interceptées et réutilisées par des tiers malintentionnés. (6)
2.2 Les contrôles de la CNIL et les sanctions applicables en cas de non-conformité aux obligations légales
La Commission a par ailleurs renforcé les contrôles dans les entreprises proposant des services basés sur cette technologie, afin de s’assurer du respect de la vie privée des mobinautes. En effet, la CNIL dispose de la possibilité d'effectuer des contrôles sur place (dans les locaux de l’entreprise), au cours desquels les agents de la CNIL peuvent demander communication de tout document, recueillir tout renseignement utile et accéder aux serveurs, aux programmes informatiques et aux données afin de vérifier la conformité des traitements mis en oeuvre à la loi Informatique et Libertés.
La mise en place d'un dispositif de géolocalisation en violation des règles précitées peut conduire la CNIL à prononcer, à l’égard du chef d’entreprise qui méconnaît ses obligations, un avertissement, une mise en demeure, une sanction pécuniaire d’un montant maximum de 150.000€ (300.000€ en cas de récidive) et une injonction de cesser le traitement. La CNIL peut également décider de dénoncer les infractions à la loi au procureur de la République. Les manquements à la loi Informatique et Libertés sont punis jusqu'à 5 ans d’emprisonnement et 300.000€ d’amende.
La géolocalisation offre ainsi de nouvelles opportunités pour les professionnels souhaitant développer leurs actions de marketing. Toutefois, dès que des données personnelles sont collectées, cette technologie présente des risques liés à la protection de la vie privée en raison de son caractère particulièrement intrusif. En effet, ce type de technologie peut conduire, à défaut de paramétrage du téléphone ou en cas de piratage, à la surveillance constante des mobinautes, ignorant qu’ils transmettent leur position géographique et à qui ils la transmettent. C'est à ce titre que la loi impose des obligations aux sociétés exploitant un service de géolocalisation.
En conséquence, il est recommandé aux sociétés exploitant ce type de service de s’assurer de la conformité de leurs traitements au droit de la protection des données à caractère personnel et à défaut, de prendre toutes mesures nécessaires de mise en conformité.
* * * * * * * * * *
(1) Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée, dite Loi Informatique et Libertés.
(2) Toutefois, cette déclaration n’est pas nécessaire en cas de désignation, par l’entreprise mettant en oeuvre ce traitement, d’un Correspondant Informatique et Libertés (CIL). Le CIL veille à la conformité à la loi des traitements mis en oeuvre par l'organisme qui l'a désigné. Voir à ce sujet notre article Le Correspondant Informatique et Libertés, garant de la conformité des traitements de données personnelles à la loi, publié en décembre 2011 (http://dwavocat.blogspot.fr/2011/12/le-correspondant-informatique-et.html)
(3) Voir notamment article L.34-1-V du Code des postes et des communications électroniques.
(4) Voir notamment article L.34-5 du Code des postes et des communications électroniques.
(5) Le groupe de travail, établi en vertu de l’article 29 de la directive 95/46/CE regroupe des représentant des commissions sur le respect de la vie privée de chaque Etat-membre. Concernant la géolocalisation, voir l’Avis 13/2011 sur les services de géolocalisation des dispositifs mobiles intelligents, adopté le 16 mai 2011.
(6) Communiqué CNIL, "Contrôler Latitude", du 11 juin 2009 et Avis CNIL, "Facebook Place en questions", du 15 octobre 2010, accessibles sur le site www.cnil.fr
Bénédicte DELEPORTE – Avocat
Betty SFEZ – Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Août 2012
Le présent article a pour objet de rappeler brièvement le cadre juridique applicable à l’utilisation de services de géolocalisation et le rôle de la CNIL dans ce domaine.
1. Le cadre juridique de la géolocalisation
La géolocalisation consiste notamment à communiquer des informations sur une personne en fonction de sa position géographique. Aussi, dès lors qu’une application mobile implique la collecte et l’exploitation d’informations relatives à la géolocalisation des mobinautes, le traitement de ces informations, considérées comme des données à caractère personnel, doit être conforme aux règles de respect de la vie privée. Les sociétés françaises éditrices et fournisseurs d'applications mobiles de géolocalisation et les sociétés souhaitant utiliser la géolocalisation relèvent de la loi Informatique et Libertés du 6 janvier 1978, en qualité de responsable de traitement. (1)
Un certain nombre d’obligations légales s’imposent aux sociétés exploitant ou utilisant un service de géolocalisation :
1.1 Les obligations relatives aux traitements de données de géolocalisation
La géolocalisation a le plus souvent pour finalité la collecte de données à caractère personnel. Il s’agit donc d’un traitement de données devant être déclaré à la CNIL préalablement à la mise en exploitation du service. (2)
Concernant les traitements de données de géolocalisation, les sociétés exploitant ce type de service doivent :
- respecter la finalité du traitement, qui doit être déterminée, explicite et légitime ;
- obtenir l’autorisation préalable de l’utilisateur de l'application mobile pour : (i) la collecte de ses données de localisation, cette autorisation pouvant être recueillie par l'intermédiaire d'une case à cocher (opt-in) au moment du téléchargement de l’application, ou éventuellement à tout moment pour activer ou désactiver l’application ou l’option de géolocalisation, et (ii) la conservation des informations liées à ses déplacements (historique des déplacements). En outre, l’utilisateur doit pouvoir revenir sur son consentement par un moyen simple et gratuit et pouvoir supprimer les données de localisation qui le concernent ;
- informer l'utilisateur du type de données collectées, de la durée de leur conservation, de la finalité du traitement, le cas échéant, des personnes à qui les données seront transmises (par exemples, commerçants ou gestionnaire de base cartographique) et de ses droits relatifs à ses données (droits d'accès, de rectification, de contestation et d'opposition (suppression/désinscription) au traitement des données).
La durée de conservation des données collectées doit être raisonnable, en fonction de l’objectif du traitement. Enfin l'entreprise devra assurer la sécurité des informations traitées en adoptant des mesures de sécurité physiques et techniques adaptées à la nature des données et aux risques présentés. (3)
1.2 Les obligations spécifiques à la réutilisation des données à des fins marketing, ou le “géo-marketing”
Les données de géolocalisation sont parfois utilisées pour envoyer de la publicité géo-ciblée sur le téléphone du mobinaute. Ainsi, grâce à cette technologie, des sociétés envoient aux mobinautes des publicités géo-ciblées, non seulement en fonction de qui ils sont (identité, goûts, habitudes), mais également en fonction de l'endroit où ils se trouvent. Le marketing ciblé basé sur de la géolocalisation n’est pas interdit par la loi. Cependant, les utilisateurs doivent être informés de la possible réutilisation de leurs données par des annonceurs tiers à des fins commerciales, et doivent avoir donné leur consentement (opt-in) pour recevoir ces messages. (4)
1.3 Les bonnes pratiques dans la mise en oeuvre d’un service de géolocalisation
Le Groupe de travail de l'article 29 a édité un Avis en mai 2011 regroupant des bonnes pratiques pour les éditeurs d'applications mobiles de géolocalisation.
Le Groupe de l’article 29 recommande ainsi aux sociétés souhaitant déployer un service de géolocalisation (i) d’informer clairement les mobinautes des raisons (finalités) pour lesquelles elles souhaitent utiliser leurs données, et d’obtenir leur consentement pour chacune de ces raisons ; (ii) d’offrir la possibilité aux mobinautes de choisir le niveau de géolocalisation (par exemple à l’échelle d’un pays, d’une ville, d’un code postal, ou d’un quartier) ; (iii) une fois que le service de localisation est activé, de mettre en place une icône, visible en permanence sur chaque écran, indiquant que les services de localisation sont activés et (iv) d’offrir la possibilité aux mobinautes de revenir sur leur consentement à tout moment, sans avoir à quitter l’application et d'être en mesure de supprimer facilement et de manière définitive toute donnée de localisation stockée sur le dispositif. (5)
2. Les pouvoirs de la CNIL et les sanctions encourues en cas de non-conformité aux obligations légales
2.1 La mission de la CNIL
La Commission est vigilante quant aux risques pouvant résulter d'un développement généralisé et banalisé de la géolocalisation. A ce titre, la CNIL a lancé plusieurs opérations de sensibilisation à l’attention de l’ensemble des citoyens et des dirigeants d’entreprises, notamment par l’intermédiaire de son site internet, afin de rappeler les règles applicables en matière de géolocalisation.
La CNIL s'est également prononcée contre de nouveaux dispositifs de géolocalisation qui lui paraissaient contrevenir aux droits des personnes car de nature trop intrusive. Par exemple, en 2009, la CNIL a demandé à la société Google de mettre son nouveau service de géolocalisation dénommé - Google Latitude - en conformité à la loi Informatique et Libertés. En 2010, la CNIL a mis en garde les membres Facebook contre le nouveau service Facebook Lieux, permettant d'indiquer sa position géographique à tout moment à un autre internaute. Le service permettait notamment de dévoiler des informations de nature privée et protégeable, pouvant être interceptées et réutilisées par des tiers malintentionnés. (6)
2.2 Les contrôles de la CNIL et les sanctions applicables en cas de non-conformité aux obligations légales
La Commission a par ailleurs renforcé les contrôles dans les entreprises proposant des services basés sur cette technologie, afin de s’assurer du respect de la vie privée des mobinautes. En effet, la CNIL dispose de la possibilité d'effectuer des contrôles sur place (dans les locaux de l’entreprise), au cours desquels les agents de la CNIL peuvent demander communication de tout document, recueillir tout renseignement utile et accéder aux serveurs, aux programmes informatiques et aux données afin de vérifier la conformité des traitements mis en oeuvre à la loi Informatique et Libertés.
La mise en place d'un dispositif de géolocalisation en violation des règles précitées peut conduire la CNIL à prononcer, à l’égard du chef d’entreprise qui méconnaît ses obligations, un avertissement, une mise en demeure, une sanction pécuniaire d’un montant maximum de 150.000€ (300.000€ en cas de récidive) et une injonction de cesser le traitement. La CNIL peut également décider de dénoncer les infractions à la loi au procureur de la République. Les manquements à la loi Informatique et Libertés sont punis jusqu'à 5 ans d’emprisonnement et 300.000€ d’amende.
La géolocalisation offre ainsi de nouvelles opportunités pour les professionnels souhaitant développer leurs actions de marketing. Toutefois, dès que des données personnelles sont collectées, cette technologie présente des risques liés à la protection de la vie privée en raison de son caractère particulièrement intrusif. En effet, ce type de technologie peut conduire, à défaut de paramétrage du téléphone ou en cas de piratage, à la surveillance constante des mobinautes, ignorant qu’ils transmettent leur position géographique et à qui ils la transmettent. C'est à ce titre que la loi impose des obligations aux sociétés exploitant un service de géolocalisation.
En conséquence, il est recommandé aux sociétés exploitant ce type de service de s’assurer de la conformité de leurs traitements au droit de la protection des données à caractère personnel et à défaut, de prendre toutes mesures nécessaires de mise en conformité.
* * * * * * * * * *
(1) Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée, dite Loi Informatique et Libertés.
(2) Toutefois, cette déclaration n’est pas nécessaire en cas de désignation, par l’entreprise mettant en oeuvre ce traitement, d’un Correspondant Informatique et Libertés (CIL). Le CIL veille à la conformité à la loi des traitements mis en oeuvre par l'organisme qui l'a désigné. Voir à ce sujet notre article Le Correspondant Informatique et Libertés, garant de la conformité des traitements de données personnelles à la loi, publié en décembre 2011 (http://dwavocat.blogspot.fr/2011/12/le-correspondant-informatique-et.html)
(3) Voir notamment article L.34-1-V du Code des postes et des communications électroniques.
(4) Voir notamment article L.34-5 du Code des postes et des communications électroniques.
(5) Le groupe de travail, établi en vertu de l’article 29 de la directive 95/46/CE regroupe des représentant des commissions sur le respect de la vie privée de chaque Etat-membre. Concernant la géolocalisation, voir l’Avis 13/2011 sur les services de géolocalisation des dispositifs mobiles intelligents, adopté le 16 mai 2011.
(6) Communiqué CNIL, "Contrôler Latitude", du 11 juin 2009 et Avis CNIL, "Facebook Place en questions", du 15 octobre 2010, accessibles sur le site www.cnil.fr
Bénédicte DELEPORTE – Avocat
Betty SFEZ – Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Août 2012
Inscription à :
Articles (Atom)