Messages les plus consultés

vendredi 4 mai 2018

RGPD : pendant quelle durée conserver les données personnelles ?


L’un des sujets d’achoppement entre l’Union européenne et les “GAFA” concerne la durée de conservation des données personnelles collectées. Pour ces sociétés, lorsque les traitements sont soumis au droit américain (droit de l’état de Californie notamment), la question de la durée de conservation des données personnelles ne se pose pas, celles-ci pouvant généralement être conservées sans limitation. Il n’en est pas de même en Europe.

Le RGPD impose non seulement de minimiser les données collectées, c’est-à-dire de limiter les catégories et les volumes de données personnelles collectées, mais également, de limiter leur durée de conservation. (1)

La question n’est pas nouvelle puisque le principe de durée limitée de conservation des données figure déjà à l’article 6 de la loi Informatique et Libertés de janvier 1978. (2)

Mais que signifie le fait de conserver les données pour une durée limitée ? Et comment définir cette durée ? La réponse à ces questions est relativement complexe. En effet, il n’existe pas une durée unique de conservation des données personnelles, mais des durées variables suivant la finalité des traitements.

Certaines données n’ont pas besoin d’être conservées pendant une durée supérieure à leur utilisation effective (quelques minutes à quelques jours). En revanche, d’autres catégories de données personnelles doivent être conservées pendant une durée fixée par la loi, afin par exemple, de permettre aux parties d’exercer leurs droits ou de prouver un acte juridique ou l’exécution d’une obligation. Les données personnelles concernées ne seront effacées qu’à l’expiration de ce délai.

En matière de durée de conservation des données personnelles, la distinction peut s’opérer ainsi : celles pour lesquelles il existe des règles relatives à la durée de conservation (délai de prescription), et celles non couvertes par un délai de prescription.


1. Les données devant être conservées pendant un délai légal

Certaines catégories de données doivent être conservées pendant une durée déterminée par le délai de prescription. (3) En effet, chacune des parties concernées doit pouvoir rapporter la preuve d’un acte juridique (achat / vente, paiement d’une prestation, paiement de la TVA, etc.) pendant un délai raisonnable, fixé par la loi.

Il existe de multiples délais de prescription légale, que ce soit en droit civil, commercial, fiscal ou pénal par exemple.

En règle générale :
    - en matière civile, le délai de prescription applicable aux biens et services fournis par un vendeur ou prestataire professionnel à un consommateur est de 2 ans. En matière de salaires, la prescription est de 3 ans ;
    - en matière commerciale, le délai de prescription est fixé à 5 ans pour les obligations entre commerçants et entre commerçants et non-commerçants (consommateurs) ;
    - enfin, en matière fiscale, le délai de prescription est fixé à 3 ans (fin de la troisième année qui suit celle au titre de laquelle l'imposition est due). (4)

Comment appliquer ces délais à la durée de conservation des données personnelles collectées ? Il convient d’identifier la finalité du fichier afin de déterminer la durée de conservation applicable aux données collectées.

Exemple de données collectées dans le cadre de la relation entre l’entreprise et ses clients :
    - Contrat de vente ou de prestation de services : les données devant être conservées concernant les contrat comprennent, outre le contrat, les coordonnées du client (nom, prénom, adresse, etc.). Ces données doivent être conservées pendant 5 ans.
    - Facturation et paiement : les données devant être conservées comprennent les coordonnées du client (nom, prénom, adresse, etc.) et les données de facturation. Ces données doivent être conservées pendant 3 ans.
    - Obligations fiscales (TVA, IS) : les données devant être conservées comprennent les données de facturation. Ces données doivent être conservées pendant 3 ans.

Exemple de données collectées dans le cadre de la relation entre l’entreprise et ses salariés :
    - Gestion de la paie : les données devant être conservées comprennent les coordonnées du salarié (nom, prénom, adresse, etc.) et les données de salaire. Ces données doivent être conservées pendant 3 ans.

Comme on peut le voir par les quelques exemples ci-dessus, certaines catégories de données sont utilisées pour plusieurs actes (inscription sur un site de e-commerce, achats en ligne, commandes de prestations, etc.) eux-mêmes couverts par des délais de prescription différents. Il conviendra d’identifier l’objectif poursuivi par la collecte de données et appliquer la durée correspondant à cette finalité.

Afin de s’assurer que l’on ne conserve que les données nécessaires pendant la durée légale applicable, il conviendra de les cartographier en identifiant les traitements pour lesquels ces données sont utilisées et déterminer la durée de prescription légale la plus longue. Les autres données seront supprimées.


2. Les données non couvertes par un délai de conservation légal


La durée de conservation des données collectées pour certains traitements n’est pas soumise à un délai de conservation légal. Il conviendra alors d’appliquer strictement le principe de conservation uniquement pour le temps nécessaire à l’accomplissement de la finalité poursuivie lors de la collecte.

Par exemple :
    - en matière de vidéosurveillance sur le lieu de travail, la CNIL recommande une durée de conservation des données de quelques jours à un mois maximum ;
    - les coordonnées de la carte bancaire du client lors d’un achat en ligne ne doivent être conservées que pendant la durée de réalisation de l’opération de paiement, éventuellement augmentée du délai de rétractation ;
    - les coordonnées d’un prospect inactif doivent être supprimées au bout d’un délai maximum de trois ans. (5)


Enfin, certaines données personnelles peuvent faire l’objet d’un archivage. Il convient de déterminer les règles d’archivage dans une procédure interne. La CNIL a défini trois types d’archives : la base active (ou archives courantes), les archives intermédiaires et les archives définitives. L’obligation de sécurité applicable en matière de traitement de données personnelles s’applique également aux données archivées (sécurité technique et physique) et sera adaptée à la nature des données archivées.

    En conclusion, il est vivement recommandé de prévoir une procédure spécifique relative à la détermination de la durée de conservation des données personnelles collectées. Cette procédure définira les objectifs poursuivis par la collecte, les catégories de données personnelles collectées, l’existence ou non de durées de conservation légale, la nécessité ou non d’archiver certaines données, etc. Par ailleurs, la loi n’est pas statique, même en matière de délais de prescription ou de conservation. Il conviendra de mettre cette procédure à jour en tenant compte de l’évolution de la loi et de la jurisprudence.

                                                                         * * * * * * * * * * * *

(1) Article 5 1. e) du RGPD “1. Les données à caractère personnel doivent être: (…) e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l'article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation).

(2) Article 6 5° de la loi Informatique et Libertés: “[Les données] sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.

(3) Il s’agit de la prescription extinctive. A l’issue du délai de prescription, le droit (ex. créance) s’éteint du fait de l’inaction de son titulaire. Par exemple, si le créancier d’une dette ne réclame pas le règlement d’une facture impayée, la créance s’éteint à l’issue du délai de prescription. Une fois le délai de prescription dépassé, le titulaire du droit ne peut plus l’exercer en cas d’inaction. (c.civ. art. 2219)

(4) Liste non exhaustive

(5) Voir la norme simplifiée n°48 (NS-048) de la CNIL relative à la gestion de clients et de prospects



Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mai 2018

mercredi 18 avril 2018

Des experts européens contre la création d'un statut juridique de personne électronique pour les robots

 
 
Alors que les applications d’intelligence artificielle se déploient à grande échelle, la Commission européenne travaille actuellement à l'élaboration d'un nouveau droit pour les robots. Or, des centaines de membres de la société civile s'opposent à la création d'une “personnalité électronique” qui pourrait attribuer une responsabilité à la machine.


Dans ce sens, deux cents experts européens viennent de signer une lettre ouverte contre “la création d'un statut juridique de personne électronique pour les robots”. Cette lettre, adressée à la Commission européenne, s’oppose plus spécifiquement au point de la résolution du Parlement européen du 16 février 2017 concernant des règles de droit civil sur la robotique (2015/2103 (INL)) relatif à “la création, à terme, d'une personnalité juridique spécifique aux robots, pour qu'au moins les robots autonomes les plus sophistiqués puissent être considérés comme des personnes électroniques responsables, tenues de réparer tout dommage causé à un tiers (…).”

Les signataires de la lettre ouverte critiquent cette notion de « personnalité électronique », que celle-ci repose sur le modèle de la personnalité physique, de la personnalité morale, ou sur le modèle du trust. Le débat reste à suivre…

                                                                        * * * * * * * * * * * *

(1) Robotics-openletter.eu, Open letter to the European Commission – Artificial intelligence and Robotics 

Photo © ClaudeAI.uk (https://claudeai.uk/ai-blog/ )

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Avril 2018

mardi 6 mars 2018

Sécurité des réseaux : la directive NIS a été transposée en droit français


La directive concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union (Directive « NIS » 2016/1148) a été transposée en droit français le 26 février 2018.

En résumé, la loi de transposition prévoit des obligations accrues en matière de sécurité informatique.

Deux nouvelles catégories d’entreprises sont identifiées :
   - les opérateurs de services essentiels (OSE) (correspondant globalement aux OIV – opérateurs d’importance vitale) qui regroupent les entreprises opérant dans les domaines de l'énergie, des transports, de la banque, des infrastructures de marchés financiers, de la santé, de la fourniture et distribution d'eau potable et les fournisseurs d'infrastructures numériques, et
   - les fournisseurs de services numériques (FSN) qui regroupent notamment les entreprises fournissant des services de cloud computing, les places de marché, et les moteurs de recherche.

Ces entreprises devront mettre en œuvre les règles de cybersécurité élaborées par l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Ces opérateurs devront informer l’ANSSI en cas d’incidents de sécurité susceptibles d’avoir un impact significatif sur la continuité des services qu’ils assurent. Tout manquement à ces obligations de sécurisation des réseaux, d’absence de déclaration d’incident ou de blocage aux opérations de contrôle sera passible d’amendes de 75.000€ à 125.000€ pour les OSE selon le type d’infraction, et de 50.000€ à 100.000€ pour les FSE.
 
Un décret d’application précisant la liste des OSE et des FSN opérant sur le territoire français devrait venir compléter la loi avant le 9 novembre 2018.

                                                                      * * * * * * * * * * *

(1) Loi  n°2018-133 du 26 février 2018 portant diversesd ispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité


Bénédicte DELEPORTE
Avocat
Deleporte Wentz Avocat

Mars 2018


mardi 20 février 2018

Plateformes internet - Trois nouveaux décrets “pour favoriser la transparence des plateformes numériques”


Afin d’améliorer la confiance des utilisateurs dans les services numériques, et pour faire suite à la loi pour une République numérique (1), trois décrets d’application “pour favoriser la transparence des plateformes numériques” ont été publiés le 29 septembre 2017. (2) Ces décrets concernent les moteurs de recherche, les réseaux sociaux et les sites comparateurs ainsi que les places de marchés et les sites d'économie collaborative.

1. A compter du 1er janvier 2018, les plateformes qui valorisent des contenus, des biens ou des services proposés par des tiers, à savoir les moteurs de recherche et les sites comparatifs notamment, devront préciser les critères de référencement et de déréférencement ainsi que les critères de classement de leurs résultats. Ces sites devront également indiquer dans quelle mesure le montant de leur rémunération entre en compte dans l'ordre de présentation des contenus.

Les plateformes de mise en relation doivent prévoir une rubrique accessible depuis toutes les pages du site comprenant notamment les informations relatives à la qualité des personnes pouvant proposer la vente de biens ou de services (consommateurs ou professionnels), la description de la mise en relation entre vendeurs et acheteurs, la commission due à la plateforme pour la mise en relation, etc. A noter que ces informations figurent en principe dans les conditions générales de la plateforme.

Enfin, les plateformes B-to-C doivent mettre à la disposition des vendeurs professionnels un espace permettant la communication des informations prévues aux articles L.221-5 et L.221-6 du code de la consommation (description du bien ou du service proposé, prix, délais de livraison, coordonnées du professionnel, garantie légale, existence d’un droit de rétractation, modalités de règlement des litiges, etc.).

Par ailleurs, les sites web publiant des avis de consommateurs devront préciser si ces avis ont été vérifiés et, le cas échéant, de quelle manière cette vérification a été effectuée. Lorsque les avis sont vérifiés, l’opérateur du site doit veiller à ce que les données personnelles des contributeurs soient traitées conformément aux obligations de la loi Informatique et Libertés.

2. A compter du 1er janvier 2019, les plateformes qui comptabilisent en moyenne plus de 5 millions de visiteurs uniques mensuels devront “appliquer des bonnes pratiques en matière de clarté, de transparence et de loyauté.” Ces règles, qui devront être consultables en ligne, correspondent aux obligations générales d’information précontractuelle définies aux articles L.111-1 et suivants du code de la consommation.


                                                                      * * * * * * * * * * * *

(1) Loi n°2016-1321 du 7 octobre 2016 pour une république numérique

(2) Décret n°2017-1434 du 29 septembre 2017 relatif aux obligations d'information des opérateurs de plateformes numériques ; Décret n°2017-1435 du 29 septembre 2017 relatif à la fixation d'un seuil de connexions à partir duquel les opérateurs de plateformes en ligne élaborent et diffusent des bonnes pratiques pour renforcer la loyauté, la clarté et la transparence des informations transmises aux consommateurs ; Décret n°2017-1436 du 29 septembre 2017 relatif aux obligations d'information relatives aux avis en ligne de consommateurs



Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Février 2018