Géolocalisation : quel cadre légal pour les véhicules des salariés ?

Face au développement du recours à la géolocalisation en entreprise, la Commission nationale de l’informatique et des libertés a publié, en juin dernier, une nouvelle délibération portant norme simplifiée. (1) Ce texte vise à préciser l’encadrement juridique de la mise en œuvre des dispositifs de géolocalisation sur les véhicules utilisés par les salariés. Il remplace une norme de 2006 qui, compte tenu de l’évolution des technologies et des usages, était devenue en partie inadaptée. (2) Nous faisons ci-après un bref rappel des règles applicables en la matière.


1. Les conditions d’installation à respecter par l’employeur

Le caractère particulièrement intrusif de la géolocalisation dans le cadre du travail a conduit la Cnil à définir plus en détail les conditions de recours à ce dispositif.

     - Les cas de recours autorisés à un dispositif de géolocalisation
 

L’utilisation d’un système de géolocalisation par GPS des véhicules mis à disposition des salariés est strictement limitée aux finalités suivantes :
(i) respecter une réglementation imposant l’installation d’un tel dispositif en raison du type de transport ou de la nature des biens transportés ;
(ii) besoins du suivi et de la facturation d’une prestation de transport de personnes ou de marchandises, ou d’une prestation de services liée à l’utilisation d’un véhicule et la justification d’une prestation auprès d’un client ou d’un donneur d’ordre ;
(iii) garantir la sûreté ou la sécurité des employés et/ou des marchandises transportées ;
(iv) améliorer l’allocation des moyens pour des prestations à accomplir dans des lieux éloignés (pour des interventions d’urgence par exemple) ;
(v) s’assurer du respect, par les salariés, des règles d’utilisation du véhicule prédéterminée par l’employeur.

Il est enfin précisé, à titre de finalité accessoire du traitement, que le dispositif peut être utilisé pour le suivi du temps de travail des salariés, sous réserve que ce suivi ne puisse être réalisé par un autre moyen, et uniquement pendant le temps de travail.

     - Les informations pouvant être collectées et traitées

Seules les données limitativement énumérées par la Commission peuvent faire l’objet d’un traitement, à savoir : les informations d’identification des salariés (nom, prénom, numéro de plaque d’immatriculation, etc.), aux déplacements des salariés (historique des déplacements effectués, etc.), à l’utilisation du véhicule (vitesse de circulation, nombre de kilomètre, temps de conduite, etc.), ainsi que les dates et heures d’activation / désactivation du dispositif.

     - Les points spécifiques à retenir
 

En toute hypothèse, la mise en œuvre d’un dispositif de géolocalisation ne peut induire la collecte et le traitement des données de localisation en dehors du temps de travail du conducteur, en particulier lors des trajets entre le domicile et le lieu de travail ou encore pendant les temps de pause. De même, le traitement de la vitesse maximale n’est pas autorisé, sauf disposition légale contraire ; seul celui de la vitesse moyenne est envisageable.

Par ailleurs, il ressort de la délibération Cnil que le salarié doit pouvoir désactiver le système GPS, l’employeur pouvant demander des explications en cas de désactivations répétées ou d’une durée excessive. Enfin, les salariés investis d’un mandat électif ou syndical ne doivent en aucun cas faire l’objet d’une opération de géolocalisation lorsqu’ils se déplacent dans le cadre de l’exercice de leur mandat.


2. Les obligations inhérentes à la mise en oeuvre d’un dispositif de géolocalisation

L’installation d’un système de géolocalisation implique pour l’employeur le respect de plusieurs obligations légales.

     - Les formalités préalables auprès de la Cnil
 

Un dispositif de géolocalisation installé dans les véhicules mis à disposition des salariés doit faire l’objet d’une déclaration à la Cnil préalablement à sa mise en oeuvre, au moyen d’une déclaration simplifiée de conformité.

Les entreprises ayant déjà effectué une déclaration simplifiée en référence à la norme de 2006 ont jusqu’au 17 juin 2016 pour se mettre en conformité avec les nouvelles conditions posées par la Cnil. Seuls peuvent bénéficier de cette procédure les traitements de géolocalisation des véhicules répondant exactement aux conditions définies par la Cnil. Si l’un des critères n’est pas rempli, d’autres formalités préalables seront requises.

     - La consultation et l’information des représentants du personnel et des salariés
 

La mise en œuvre d’un dispositif de géolocalisation sur les véhicules utilisés par les employés implique l’information et la consultation préalable des représentants du personnel.

Par ailleurs, le salarié concerné doit également être informé, individuellement et préalablement à la mise en œuvre du traitement. Les mentions devant être portées à sa connaissance sont notamment les finalités poursuivies, les données traitées, la durée de conservation, etc. (3)

     - Les obligations relatives au traitement des données
 

Comme pour tout traitement de données personnelles, le responsable de traitement doit respecter des obligations quant à la durée de conservation des données et à leur sécurité mais également concernant l’information et les droits des salariés concernés (droit d’accès, de rectification, d’opposition, etc.).

Les données de localisation doivent ainsi être conservées uniquement pour une durée dite « pertinente » au regard de l’objectif du traitement. Une durée de deux mois est considérée adéquate par la Cnil.

Toutefois, la délibération Cnil mentionne plusieurs cas dans lesquels la durée de conservation peut aller au-delà de deux mois, notamment si la conservation de l’historique des déplacements a pour but l’optimisation des tournées.

Quant à la sécurité des données, l’employeur est tenu de prendre toutes les précautions nécessaires (mise en place de mesures à la fois physique et technique). A ce titre, la Cnil recommande notamment la réalisation d’une étude des risques, la mise en place d’un mécanisme de gestion des habilitations régulièrement mis à jour, le chiffrement des données, etc.


   A défaut, pour l’employeur de respecter la réglementation précitée, le dispositif de géolocalisation mis en oeuvre au sein de l’entreprise sera jugé illégal et ne pourrait être opposé aux salariés, notamment à des fins disciplinaires ou pour justifier un licenciement. En outre, le manquement aux obligations légales est puni de sévères sanctions financières et pénales. Dans ce contexte, il est recommandé aux entreprises de s’assurer, au moyen d’un audit par exemple, de la conformité de leur dispositif de géolocalisation à ces nouvelles règles et à défaut, de prendre toutes mesures nécessaires de mise en conformité.


                                                          * * * * * * * * * * *

(1) Délibération n°2015-165 du 4 juin 2015 portant adoption d’une norme simplifiée concernant les traitements automatisés de données à caractère personnel mis en œuvre par les organismes publics ou privés destinés à géolocaliser les véhicules utilisés par leurs employés (norme simplifiée n°51). Cette délibération vient remplacer la précédente recommandation CNIL sur le même sujet en date du 16 mai 2015.

(2) A noter que cette délibération ne concerne pas les dispositifs de contrôle des transports routiers (chronotachygraphes), dispensés de déclaration à la Cnil - voir délibération Cnil n°2014-235 du 27 mai 2014.

(3) Voir notamment les articles L.1121-1, L.1222-3, L.1222-4 et L.2323-32 du Code du travail.

Betty SFEZ 

Avocat
 

Deleporte Wentz Avocat

www.dwavocat.com

Septembre 2015

L’essor de l’utilisation des drones à usage civil et la réglementation

 Fin janvier 2014, un jeune entrepreneur de 18 ans a survolé et filmé la ville de Nancy grâce à un drone équipé d’une caméra GoPro, puis a posté sa vidéo sur internet. Ce film a été visionné plus 400 000 fois ! Le jeune homme ignorait apparemment que l’utilisation d’un drone muni d’une caméra, a fortiori pour survoler une zone peuplée, est réglementée.

La vidéo a notamment été remarquée par les autorités qui n’ont pas manqué de contacter son auteur : dans un premier temps, la Direction régionale de l’aviation civile (DRAC) a rappelé au jeune homme les règles en vigueur en matière d’utilisation de drones et enjoint ce dernier de se mettre en conformité ; dans un second temps, le jeune entrepreneur a été informé par la gendarmerie qu’il était convoqué devant le tribunal correctionnel pour mise en danger de la vie d’autrui. (1)

Bien que le marché des drones soit en plein essor, leur utilisation est réglementée, suivant la catégorie d’appareil, leur type d’utilisation, etc. Nul n’étant censé ignorer la loi, l’affaire de la video de Nancy nous donne l’occasion de faire un point sur la réglementation en vigueur et  sur les questions juridiques que soulève l’utilisation des drones.


1. Les questions de sécurité et de protection de la vie privée soulevées par l’essor du marché des drones civils

Les drones sont définis comme des aéronefs télépilotés ou des aéronefs sans pilote à bord, dirigés à distance, avec une télécommande ou un smartphone.

Il existe de multiples catégories de drones, depuis des appareils de quelques centaines de grammes ayant un rayon et une durée de vol limités, généralement destinés aux loisirs, jusqu’à des appareils de plusieurs dizaines (voire de centaines) de kilos, pouvant parcourir de longues distances et voler à plusieurs centaines de mètres d’altitude. Ces appareils sont généralement utilisés à des fins professionnelles. Les drones peuvent par ailleurs être équipés d’appareils photo, de caméras, mais également de capteurs de température ou de composition de l’air, ou encore être utilisés pour larguer des pesticides ou autres charges.

Ces “aéronefs télépilotés” sont utilisés depuis plusieurs années dans des domaines divers :  sécurité publique (surveillance de manifestations sur la voie publique, lutte anti-incendie, sécurité de zones touchées par des accidents industriels, comme à Fukushima par exemple), surveillance de l’état des d’infrastructures ou de bâtiments, tournages de reportages d’information (inondations), sportifs (Tour de France), ou culturels, mais également dans les loisirs (aéromodélisme).

Malgré le fort potentiel économique lié à l’essor du marché des drones civils, leur utilisation suscite de nombreuses questions juridiques, particulièrement en matière de sécurité publique et de respect de la vie privée. (2)

    - En matière de sécurité, d’une part : l’utilisation incontrôlée de drones peut interférer avec d’autres types d’aéronefs (ULM, hélicoptères et avions en phases de décollage ou d’atterrissage), l’utilisation d’un drone en zone fortement peuplée dont le pilote aurait perdu le contrôle peut tomber sur la foule ; enfin, on ne peut écarter les risques d’utilisation à des fins terroristes. Bien qu’aucun accident de ce type n’ait été reporté à ce jour, ces risques doivent néanmoins être pris en compte avec le développement de l’utilisation des drones.

    - En matière de respect de la vie privée, d’autre part : un drone peut être employé à des fins intrusives. Certains modèles peuvent être équipés de caméras aux performances assez précises pour permettre d’identifier des personnes physiques à leur insu par exemple.

L’utilisation des drones n’est pas interdite, mais commence à être réglementée.


2. L’encadrement réglementaire de l’utilisation des drones civils dans l’espace aérien

La France est le premier pays à avoir instauré une réglementation spécifique en matière de drones, avec la publication de deux arrêtés du 11 avril 2012 relatifs d’une part, à la conception, l’utilisation et aux capacités requises pour faire voler de tels engins, et d’autre part, à l’utilisation de l’espace aérien par ces aéronefs. (3)

Ces deux textes complémentaires, visant à garantir la sécurité publique, ont respectivement pour objet de déterminer les différentes catégories d’aéronefs télépilotés et la nature des activités concernées, et d’encadrer l’utilisation de l’espace aérien compte tenu des différents modes d’utilisation des drones civils (activités d’aéromodélisme, activités particulières et vols expérimentaux).

Ce dispositif réglementaire a mis fin à un vide juridique. Même s’il ne résout pas toutes les questions juridiques posées par les différents modes d’utilisation des drones, ce cadre permet aux industriels de développer leurs offres en matière d’équipement et aux opérateurs de les utiliser légalement.

Les drones civils sont classés selon plusieurs catégories, de A à G. Ce classement dépend de leur masse, de leur type de propulsion et limitation et de la nature des activités concernées. Les obligations qui en découlent dépendent du mode d’utilisation de l’aéronef : vitesse, hauteur de vol (vol en vue de jour ou vol hors vue), type de zone survolée (peuplée ou non) et de la finalité (ou “scénario”).

Seuls, les aéromodèles de catégorie A (moins de 25 kgs, comportant un seul type de propulsion et sans caméra), ne pouvant circuler qu’en vue directe de leur télépilote, sont dispensés de document de navigabilité et sont autorisés à voler sans condition particulière concernant les capacités requises de leur utilisateur.

En revanche, l’utilisation des autres catégories de drones (notamment ceux équipés de caméra) est soumise, suivant la catégorie de l’aéronef concerné et le type d’activité, à l’obtention d’une autorisation délivrée par le ministre chargé de l’aviation civile ainsi qu’à l’installation de dispositifs spécifiques (capteur barométrique permettant au télépilote de connaître l’altitude ou dispositif “fail-crash” permettant de forcer un atterrissage), un niveau de compétence minimum du télépilote et la détention de documents spécifiques (manuels d’utilisation et d’entretien, document de navigabilité, manuel d’activités particulières (MAP).

L’exploitant d’un aéronef est responsable de la mise en œuvre de toutes les mesures de sécurité nécessaires pour assurer la sécurité des tiers et du respect des exigences applicables au drone qu’il exploite et au télépilote qu’il emploie.

Hormis les considérations relatives à la sécurité se posent des questions relatives au respect de la vie privée pour l’utilisation des drones embarquant appareils photo ou caméras.


3. La protection de la vie privée en question

La commercialisation et l’utilisation des drones civils soulèvent des enjeux importants, notamment en matière de libertés individuelles et de respect de la vie privée.

Les drones peuvent être équipés d’appareils photo, de caméras ou de capteurs sonores. Ces engins peuvent ainsi collecter, stocker, transmettre ou analyser une masse d’informations, et surveiller nos comportements et nos déplacements en toute discrétion et à notre insu.

En effet, en fonction des caractéristiques techniques de ces appareils, les photos et les vidéos prises peuvent permettre de distinguer et d’identifier des personnes physiques ou des véhicules (et plaques d’immatriculation).

    3.1  La question du droit à l’image
Dès lors qu’un drone capte et fixe l’image d’une personne physique, on peut s’interroger sur  le respect du droit à l’image de cette personne.

Le Code civil (notamment l’article 9) et la jurisprudence affirment que toute personne a sur son image et sur l’utilisation qui en est faite un droit exclusif et peut s’opposer à sa diffusion sans son autorisation.

Si un drone à usage professionnel ou un drone de loisir venait à capter l’image d’une personne (photographie ou video), la publication de cette image serait autorisée sous réserve d’avoir obtenu le consentement de la personne concernée. Or, l’obtention de ce consentement n’est généralement pas réalisable en pratique.

Toutefois, l’exigence de l’autorisation de la personne concernée connaît une exception lorsque celle-ci se trouve dans un lieu public. Selon la jurisprudence applicable, la publication de photographies prises dans des lieux publics (telles que des images de groupes de personnes ou un reportage sur une manifestation publique) n’est pas subordonnée à l’accord de toutes les personnes apparaissant sur ces images. Il s’agit là d’une approche pragmatique : si l’autorisation devait être systématique, toute publication de photographies de foules ou de manifestations publiques pour illustrer un reportage serait impossible.

Les tribunaux ont cependant émis quelques réserves : (i) la photographie ne doit pas permettre d’individualiser une personne en particulier, c’est-à-dire faire de cette personne le sujet principal de l’image et la rendre reconnaissable ; (ii) l’image ne doit pas porter atteinte à la dignité humaine ; et (iii) dans le cas d’événements d’actualité, la publication de l’image ne doit pas dépasser les limites du droit à l’information (répondre au besoin d’information de la société, une image en relation directe avec l’événement d’actualité et une image non détournée de son objet).

Ainsi, la captation d’images par un drone muni d’un appareil photo ou d’une caméra, lors de manifestations publiques (concerts, manifestations sportives, rassemblements politiques, etc.) doit respecter ces grands principes. A défaut, l’utilisateur de l’appareil pourrait faire l’objet de poursuites judiciaires pour atteinte au droit à l’image de la personne photographiée ou filmée à son insu.

    3.2  La question de la protection des données personnelles
Par ailleurs, la captation de l’image d’une personne physique par un drone équipé d’un appareil photo ou d’une caméra correspond à un enregistrement de données personnelles. Or, la diffusion de ces données peut porter atteinte à la vie privée des personnes filmées.

La captation et l’enregistrement d’images relatives aux personnes physiques relèvent de la loi Informatique et Libertés. (4) Cette loi encadre la collecte et le traitement des données à caractère personnel, à savoir toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, y compris par la captation de son image, mais également de la plaque d’immatriculation de son véhicule par exemple.

Les obligations pesant sur le responsable du traitement comprennent l’accomplissement de formalités préalables auprès de la CNIL (déclaration ou autorisation du traitement), le respect d’exigences en matière de durée de conservation et de sécurité des données personnelles, et le respect des droits des personnes concernées par le traitement de leurs données (informations concernant le traitement et leurs droits d’accès, de rectification et d’opposition).

Dès lors, on doit s’interroger sur la façon de transposer ces obligations à l’utilisation d’un drone civil.

Il paraît difficile de “flouter” systématiquement les visages des personnes filmées par un drone avant diffusion du film.

La loi Informatique et Libertés prévoit des règles spécifiques pour certains types de traitements tels que la géolocalisation ou la vidéosurveillance.

La vidéosurveillance est soumise à des règles distinctes selon le lieu d’installation du dispositif : dans un lieu ouvert au public et sur la voie publique, dans un lieu non ouvert au public ou à domicile.

Pour les dispositifs de vidéosurveillance mis en œuvre sur la voie publique, seules les autorités publiques sont habilitées à filmer la zone, et uniquement pour prévenir des atteintes à la sécurité des personnes et des biens ou des actes de terrorisme. Les personnes autorisées à consulter les images issues de ce dispositif doivent être habilitées par autorisation préfectorale.

Si l’on considère que les drones équipés de caméras peuvent s’apparenter à des systèmes de surveillance, on peut dès lors s’interroger sur l’application du régime de la vidéosurveillance à ce type d’utilisation. Toutefois, la transposition de ces règles à l’utilisation des drones peut s’avérer complexe : qui peut utiliser un drone filmant la voie publique et qui est habilité à visionner les images captées par le drone ? Dés lors qu’un drone filme la voie publique, comment en pratique les personnes filmées peuvent être informées qu’un tel système a été mis en place, et s’opposer à la captation de leur image ?

La Commission nationale de l’informatique et des libertés (CNIL) a engagé une réflexion prospective depuis 2012 au sujet de l’utilisation des drones et du respect de la vie privée. (5) L’un des axes de réflexion est de s’assurer que ces nouveaux usages n’entraînent pas de dérives en matière de surveillance. Parallèlement à ces travaux prospectifs, la CNIL est engagée dans des échanges internationaux sur ce sujet qui est à l’ordre du jour du G29 (organisme regroupant l’ensemble des CNIL européennes). Des recommandations en la matière sont donc attendues.


   Il n’existe à ce jour aucun texte européen relatif à la conception et à l’utilisation des drones. L’Europe compterait pourtant actuellement 400 sites de production de drones civils et de plus en plus d’utilisateurs.

Consciente du potentiel économique de ce marché, la Commission s’est récemment saisie de la question en créant un groupe de travail qui a eu pour mission d’éditer une feuille de route sur l’intégration sécurisée dès 2016 des drones civils dans le système d’aviation européen. (6) Ce rapport reprend les questions liées à l’utilisation de ces appareils : la sécurité, d’une part, et le respect de la vie privée, d’autre part.

Toutefois, il semble qu’aucun texte sur le sujet ne soit en cours discussion devant les instances européennes. Le projet de règlement européen sur la protection des données personnelles devant être adopté dans les mois à venir, vise à réformer les règles en matière de collecte et traitement des données, mais ne contient pas de dispositions spécifiques aux aéronefs télépilotés.

La France a pris les devants avec les deux arrêtés d’avril 2012. Même s’ils ne règlent pas toutes les questions posées, ces textes ont le mérite de poser un cadre de référence. Le défi sera de conserver l’équilibre entre un cadre réglementaire peu contraignant et stable et la protection des libertés fondamentales (sécurité civile et respect de la vie privée).

                                                             * * * * * * * * * * * *

(1) “Poursuivi en justice pour avoir filmé Nancy avec un drone”, article publié le 13 février 2014 dans le Figaro (http://etudiant.lefigaro.fr)

(2) Voir à ce sujet le rapport de Roland Courteau “Sur les perspectives d'évolution de l'aviation civile à l'horizon 2040 : préserver l'avance de la France et de l’Europe”, rapport n°658 (2012-2013), déposé au Sénat le 12 juin 2013 (http://www.senat.fr/rap/r12-658/r12-65811.html#toc134)

(3) Arrêté du 11 avril 2012 relatif à l’utilisation de l’espace aérien par les aéronefs qui circulent sans personne à bord ; Arrêté du 11 avril 2012 relatif à la conception des aéronefs civils qui circulent sans aucune personne à bord, aux conditions de leur emploi et sur les capacités requises des personnes qui les utilisent ; Articles R.133-1-2 et D.131-1 à D.133-10 du Code de l’aviation civile.

(4) Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée.

(5) Actualités CNIL “Usages des drones et protection des données personnelles” et “Drones : quelle vision prospective, quels enjeu pour les libertés ?” des 30 oct. 2012 et 6 déc. 2013.

(6) Communiqué de la Commission européenne du 19 juin 2013 intitulé “Les drones stimulent l’Innovation et créent des emplois”.


Bénédicte DELEPORTE
Betty SFEZ
Avocats

Deleporte Wentz Avocat

www.dwavocat.com

Février 2014

Géolocalisation et protection de la vie privée : la réglementation applicable aux données collectées

La géolocalisation, fonctionnalité présente sur la plupart des smartphones, offre des possibilités d’action de marketing ciblé intéressantes pour les entreprises (commerces, services, rencontres) et pour les utilisateurs. Toutefois, cette technologie rendant possible la surveillance des déplacements d'un individu, dans le temps et dans l’espace, peut donner lieu à certaines dérives et nuire à la vie privée des mobinautes. L'exploitation de services de géolocalisation est de ce fait, encadrée par la loi. Il appartient donc aux sociétés éditrices d'applications mobiles de géolocalisation et aux sociétés utilisant ces applications d'être vigilantes lors de la mise à disposition de ce service au public. Dès que l’exploitation d’un service de géolocalisation implique la collecte et le traitement de données à caractère personnel, ce service est soumis à la réglementation sur la protection de la vie privée.

Le présent article a pour objet de rappeler brièvement le cadre juridique applicable à l’utilisation de services de géolocalisation et le rôle de la CNIL dans ce domaine.


1. Le cadre juridique de la géolocalisation

La géolocalisation consiste notamment à communiquer des informations sur une personne en fonction de sa position géographique. Aussi, dès lors qu’une application mobile implique la collecte et l’exploitation d’informations relatives à la géolocalisation des mobinautes, le traitement de ces informations, considérées comme des données à caractère personnel, doit être conforme aux règles de respect de la vie privée. Les sociétés françaises éditrices et fournisseurs d'applications mobiles de géolocalisation et les sociétés souhaitant utiliser la géolocalisation relèvent de la loi Informatique et Libertés du 6 janvier 1978, en qualité de responsable de traitement. (1)

Un certain nombre d’obligations légales s’imposent aux sociétés exploitant ou utilisant un service de géolocalisation :

    1.1 Les obligations relatives aux traitements de données de géolocalisation
La géolocalisation a le plus souvent pour finalité la collecte de données à caractère personnel. Il s’agit donc d’un traitement de données devant être déclaré à la CNIL préalablement à la mise en exploitation du service. (2)

Concernant les traitements de données de géolocalisation, les sociétés exploitant ce type de service doivent :
    - respecter la finalité du traitement, qui doit être déterminée, explicite et légitime ;
    - obtenir l’autorisation préalable de l’utilisateur de l'application mobile pour : (i) la collecte de ses données de localisation, cette autorisation pouvant être recueillie par l'intermédiaire d'une case à cocher (opt-in) au moment du téléchargement de l’application, ou éventuellement à tout moment pour activer ou désactiver l’application ou l’option de géolocalisation, et (ii) la conservation des informations liées à ses déplacements (historique des déplacements). En outre, l’utilisateur doit pouvoir revenir sur son consentement par un moyen simple et gratuit et pouvoir supprimer les données de localisation qui le concernent ;
    - informer l'utilisateur du type de données collectées, de la durée de leur conservation, de la finalité du traitement, le cas échéant, des personnes à qui les données seront transmises (par exemples, commerçants ou gestionnaire de base cartographique) et de ses droits relatifs à ses données (droits d'accès, de rectification, de contestation et d'opposition (suppression/désinscription) au traitement des données).

La durée de conservation des données collectées doit être raisonnable, en fonction de l’objectif du traitement. Enfin l'entreprise devra assurer la sécurité des informations traitées en adoptant des mesures de sécurité physiques et techniques adaptées à la nature des données et aux risques présentés. (3)

    1.2 Les obligations spécifiques à la réutilisation des données à des fins marketing, ou le “géo-marketing”
Les données de géolocalisation sont parfois utilisées pour envoyer de la publicité géo-ciblée sur le téléphone du mobinaute. Ainsi, grâce à cette technologie, des sociétés envoient aux mobinautes des publicités géo-ciblées, non seulement en fonction de qui ils sont (identité, goûts, habitudes), mais également en fonction de l'endroit où ils se trouvent. Le marketing ciblé basé sur de la géolocalisation n’est pas interdit par la loi. Cependant, les utilisateurs doivent être informés de la possible réutilisation de leurs données par des annonceurs tiers à des fins commerciales, et doivent avoir donné leur consentement (opt-in) pour recevoir ces messages. (4)

    1.3 Les bonnes pratiques dans la mise en oeuvre d’un service de géolocalisation 
Le Groupe de travail de l'article 29 a édité un Avis en mai 2011 regroupant des bonnes pratiques pour les éditeurs d'applications mobiles de géolocalisation.

Le Groupe de l’article 29 recommande ainsi aux sociétés souhaitant déployer un service de géolocalisation (i) d’informer clairement les mobinautes des raisons (finalités) pour lesquelles elles souhaitent utiliser leurs données, et d’obtenir leur consentement pour chacune de ces raisons ; (ii) d’offrir la possibilité aux mobinautes de choisir le niveau de géolocalisation (par exemple à l’échelle d’un pays, d’une ville, d’un code postal, ou d’un quartier) ; (iii) une fois que le service de localisation est activé, de mettre en place une icône, visible en permanence sur chaque écran, indiquant que les services de localisation sont activés et (iv) d’offrir la possibilité aux mobinautes de revenir sur leur consentement à tout moment, sans avoir à quitter l’application et d'être en mesure de supprimer facilement et de manière définitive toute donnée de localisation stockée sur le dispositif. (5)


2. Les pouvoirs de la CNIL et les sanctions encourues en cas de non-conformité aux obligations légales

    2.1 La mission de la CNIL
La Commission est vigilante quant aux risques pouvant résulter d'un développement généralisé et banalisé de la géolocalisation. A ce titre, la CNIL a lancé plusieurs opérations de sensibilisation à l’attention de l’ensemble des citoyens et des dirigeants d’entreprises, notamment par l’intermédiaire de son site internet, afin de rappeler les règles applicables en matière de géolocalisation.

La CNIL s'est également prononcée contre de nouveaux dispositifs de géolocalisation qui lui paraissaient contrevenir aux droits des personnes car de nature trop intrusive. Par exemple, en 2009, la CNIL a demandé à la société Google de mettre son nouveau service de géolocalisation dénommé - Google Latitude - en conformité à la loi Informatique et Libertés. En 2010, la CNIL a mis en garde les membres Facebook contre le nouveau service Facebook Lieux, permettant d'indiquer sa position géographique à tout moment à un autre internaute. Le service permettait  notamment de dévoiler des informations de nature privée et protégeable, pouvant être interceptées et réutilisées par des tiers malintentionnés. (6)

    2.2 Les contrôles de la CNIL et les sanctions applicables en cas de non-conformité aux obligations légales 
La Commission a par ailleurs renforcé les contrôles dans les entreprises proposant des services basés sur cette technologie, afin de s’assurer du respect de la vie privée des mobinautes. En effet, la CNIL dispose de la possibilité d'effectuer des contrôles sur place (dans les locaux de l’entreprise), au cours desquels les agents de la CNIL peuvent demander communication de tout document, recueillir tout renseignement utile et accéder aux serveurs, aux programmes informatiques et aux données afin de vérifier la conformité des traitements mis en oeuvre à la loi Informatique et Libertés.

La mise en place d'un dispositif de géolocalisation en violation des règles précitées peut conduire la CNIL à prononcer, à l’égard du chef d’entreprise qui méconnaît ses obligations, un avertissement, une mise en demeure, une sanction pécuniaire d’un montant maximum de 150.000€ (300.000€ en cas de récidive) et une injonction de cesser le traitement. La CNIL peut également décider de dénoncer les infractions à la loi au procureur de la République. Les manquements à la loi Informatique et Libertés sont punis jusqu'à 5 ans d’emprisonnement et 300.000€ d’amende.


La géolocalisation offre ainsi de nouvelles opportunités pour les professionnels souhaitant développer leurs actions de marketing. Toutefois, dès que des données personnelles sont collectées, cette technologie présente des risques liés à la protection de la vie privée en raison de son caractère particulièrement intrusif. En effet, ce type de technologie peut conduire, à défaut de paramétrage du téléphone ou en cas de piratage, à la surveillance constante des mobinautes, ignorant qu’ils transmettent leur position géographique et à qui ils la transmettent. C'est à ce titre que la loi impose des obligations aux sociétés exploitant un service de géolocalisation. 

En conséquence, il est recommandé aux sociétés exploitant ce type de service de s’assurer de la conformité de leurs traitements au droit de la protection des données à caractère personnel et à défaut, de prendre toutes mesures nécessaires de mise en conformité.

* * * * * * * * * *

(1) Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée, dite Loi Informatique et Libertés.
(2) Toutefois, cette déclaration n’est pas nécessaire en cas de désignation, par l’entreprise mettant en oeuvre ce traitement, d’un Correspondant Informatique et Libertés (CIL). Le CIL veille à la conformité à la loi des traitements mis en oeuvre par l'organisme qui l'a désigné. Voir à ce sujet notre article Le Correspondant Informatique et Libertés, garant de la conformité des traitements de données personnelles à la loi, publié en décembre 2011 (http://dwavocat.blogspot.fr/2011/12/le-correspondant-informatique-et.html)
(3) Voir notamment article L.34-1-V du Code des postes et des communications électroniques.
(4) Voir notamment article L.34-5 du Code des postes et des communications électroniques.
(5) Le groupe de travail, établi en vertu de l’article 29 de la directive 95/46/CE regroupe des représentant des commissions sur le respect de la vie privée de chaque Etat-membre. Concernant la géolocalisation, voir l’Avis 13/2011 sur les services de géolocalisation des dispositifs mobiles intelligents, adopté le 16 mai 2011.
(6) Communiqué CNIL, "Contrôler Latitude", du 11 juin 2009 et Avis CNIL, "Facebook Place en questions", du 15 octobre 2010, accessibles sur le site www.cnil.fr
Bénédicte DELEPORTE – Avocat
Betty SFEZ – Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Août 2012

Applications mobiles : du développement à la distribution, les droits et obligations du développeur

Le développement d’applications mobiles est soumis à des règles de droit, dont le droit de la propriété intellectuelle, et leur exploitation nécessite la mise en oeuvre de plusieurs contrats, suivant le type de distribution envisagé.

Le développement et l’exploitation d’applications recouvrent en effet des réalités variées et particulièrement complexes dans la mesure où l’on opère dans un environnement éminemment multi-national, et où plusieurs systèmes de droit peuvent être amenés à se superposer. En outre, il existe plusieurs cas de figure dans le mode de développement d’applications : le développeur peut réaliser une application pour son compte et mettre cette dernière à la disposition de l’utilisateur final (ou mobinaute), soit directement par le biais de son site web ou blog, soit via une plateforme de téléchargement. Le développeur peut également développer pour le compte d’un tiers, par exemple pour une société souhaitant distribuer une nouvelle application professionnelle. Enfin, le développeur peut réaliser une application pour le compte de son employeur dans le cadre de son contrat de travail.

Nous faisons le point ci-après, d’une part, sur les droits du développeur relatifs au développement d’applications mobiles, d’autre part sur les droits relatifs à la distribution des applications mobiles.

1. Développement d’applications mobiles et droit de la propriété intellectuelle

Une application mobile est une oeuvre complexe, constituée d’un logiciel, et de tout ou partie des éléments suivants : base de données, contenu éditorial, graphisme, photo, musique, vidéo. Il s’agit d’un programme téléchargeable, gratuit ou payant, et exécutable sur un terminal mobile (smartphone, tablette internet). Les applications mobiles peuvent être pré-installées ou téléchargées par l'utilisateur par le biais d'une plateforme de téléchargement (telle l’App Store d’Apple, l’Android Market de Google, parmi les nombreuses plateformes ou places de marché disponibles).

    1.1 Développeur indépendant, ou entreprise de développement d’applis mobiles, et droit d’auteur

Les applications, en tant qu’oeuvres de l’esprit, sont protégées par le droit de la propriété intellectuelle, ou droit d’auteur (et si elle intègrent une ou plusieurs bases de données, celles-ci sont protégées par le droit sui generis des bases de données), à la condition d’être “originales”. La notion d’originalité, définie par la jurisprudence, consiste en “l’empreinte de l’auteur”, ce qui distingue cette oeuvre des autres. La protection d’une oeuvre par le droit d’auteur naît avec sa création (art L.111-1 du Code de la propriété intellectuelle ou CPI) et ne nécessite aucune formalité de dépôt particulière.

Le développeur d’applications détient sur celles-ci les droits de propriété intellectuelle qui y sont afférentes (droits patrimoniaux et droit moral). Ces créations ne pourront donc être utilisées par des tiers (exploitant ou utilisateur) qu’avec l’accord du développeur, soit en vertu d’une licence d’utilisation, soit à la suite de la cession de tout ou partie des droits du développeur.

En cas de développement pour le compte d’un tiers (le développeur étant un consultant indépendant ou une entreprise), un contrat de développement d’application devra être conclu, prévoyant outre les conditions de développement et de rémunération, les conditions de licence d’utilisation ou de cession des droits au client-donneur d’ordre et d’exploitation commerciale de l’application.

Il est rappelé que, dans le cas d’une commande de développement, le simple paiement de la prestation de développement par le client ayant commandé l’application, sans autre précision écrite sur la cession des droits, n’emporte pas la cession des droits de propriété intellectuelle au client. En effet, la cession des droits de propriété intellectuelle est strictement réglementée et n’est effective que si elle est constatée par écrit, dans les termes de l’article L.131-3 al.1 du CPI, étant précisé que les conditions de cession de droits de propriété intellectuelle sont interprétées de manière restrictive par les tribunaux.

Toute utilisation non autorisée d’une application mobile (reproduction ou distribution sans l’autorisation du développeur), comme de toute oeuvre protégée par le droit d’auteur, pourra être qualifiée de contrefaçon.

    1.2 Développeur salarié et droit d’auteur

Le développeur-salarié qui développe une application dans le cadre de son contrat de travail n’est pas, en principe, titulaire des droits patrimoniaux sur sa création. En effet, en cas de développement d’applications par un développeur salarié, les droits sur le développement de la partie logiciel de l’application seront dévolus automatiquement à l’employeur, en vertu des dispositions de l’article L.113-9 du CPI.

Par contre, il conviendra de prévoir des conditions de cession des droits de propriété intellectuelle à l’employeur pour les autres éléments, hors logiciel, de l’application (notamment contenu éditorial, éléments graphiques, musique, etc.) pour que celui-ci puisse ensuite légalement distribuer les applications développées.

Le cas des développements en mode open source
Le développeur utilisant un logiciel libre (ou open source) pour développer des applis mobiles devra se conformer à la licence open source régissant l’utilisation de ce logiciel, notamment, rendre les sources publiques en cas de modification du code ou en cas de développements supplémentaires.

Dans tous les cas de figure, il conviendra de s’assurer que les applications développées sont conformes au droit et aux règles d’ordre public. Ainsi, les applications ne devront pas inciter à la violence ou à la haine raciale, promouvoir l’utilisation ou la consommation de produits ou services illicites, etc. En cas de distribution d’une application dont l’objet serait illicite, la responsabilité du développeur, et éventuellement de la plateforme de téléchargement, pourrait être retenue.

2. Distribution d’applications mobiles, contrats et respect de la vie privée

    2.1 Application mobile et contractualisation des droits d’exploitation

Le développeur, personne physique ou morale, est libre d’exploiter son/ses application(s), soit  directement, soit en transférant ce droit d’exploitation à un tiers.

Plusieurs cas de figure peuvent se présenter. Le développeur peut développer une application : (i) pour son compte et la distribuer directement auprès des utilisateurs, par le biais de son site web ou de sa propre plateforme, (ii) pour son compte et distribuer cette application via une plateforme tierce de téléchargement, (iii) pour le compte d’un tiers (consultant développant pour une société, donneur d’ordre) qui se chargera de sa distribution auprès des utilisateurs et enfin (iv) si le développeur est salarié, pour le compte de son employeur dans le cadre de son contrat de travail.

Quel que soit le cas de figure, plusieurs types de contrats sont à envisager :

    - En cas de distribution par le développeur, directement auprès des utilisateurs, un contrat de licence d’utilisation devra figurer sur le site ou la plateforme de téléchargement. Ce contrat déterminera les droits d’utilisation accordés aux utilisateurs, et ce, que l’application soit distribuée à titre gratuit ou onéreux. Le contrat sera réputé conclu au moment de l’accord de l’utilisateur, suivi du téléchargement de l’application mobile.

    - En cas de distribution de l’application par le développeur via une plateforme tierce de téléchargement, la mise à disposition de l’application sur la plateforme sera généralement soumise à l’acceptation par le développeur des conditions d’utilisation et de distribution de cette plateforme. Certaines plateformes peuvent laisser la possibilité aux développeurs de distribuer leurs applications à partir de la plateforme, mais selon leurs propres conditions de licence ; d’autres plateformes imposent leur licence d’utilisation dans le cadre des conditions générales d’utilisation de la plateforme. Il conviendra de faire particulièrement attention aux conditions de distribution et de licence proposées par les plateformes, qui ne sont pas toujours rédigées de manière claire et/ou adaptée à la distribution d’applications mobiles, et aux conditions des plateformes étrangères, qui ne sont pas soumises au droit français.

    2.2 La collecte de données à caractère personnel par les applications mobiles

Certaines applications mobiles comprennent un traitement de données à caractère personnel des utilisateurs, des données étant collectées soit au moment du téléchargement de l’application, soit encore tout au long de son utilisation.

Le téléchargement d’une application peut nécessiter, pour les utilisateurs, de communiquer des données personnelles (nom, prénom, pseudo, identifiant, etc.). Dès lors que l’application mobile permet de traiter (collecter, enregistrer, conserver, diffuser, etc.) des données personnelles des utilisateurs, et pour autant que le développeur, personne physique ou morale, est localisé en France, les dispositions de la loi Informatique et Libertés du 6 janvier 1978 viennent à s’appliquer.

Le développeur d’applications mobiles devra déclarer le traitement à la CNIL préalablement à la mise en exploitation de la/des application(s) nécessitant une collecte de données à caractère personnel.(1)

En outre, le traitement des données devra être loyal et licite, la finalité du traitement devra être déterminée, explicite et légitime, les utilisateurs devront être informés et doivent pouvoir exercer leurs droits d’accès, de rectification des données les concernant et d’opposition au traitement de leurs données. La durée de conservation des informations devra être raisonnable, en fonction de l’objectif du traitement. Enfin, le développeur devra assurer la sécurité des informations traitées en adoptant des mesures de sécurité physiques et logiques adaptées à la nature des données et aux risques présentés.

Pour rappel, le non-respect des obligations précitées est puni de sanctions pénales, prévues aux articles 226-16 et s. du Code pénal. Les infractions les plus graves peuvent être punies de 5 ans d’emprisonnement et de 300.000 euros d’amende. 

 
    2.3 Géolocalisation et respect de la vie privée

L’autorisation de collecte des données de localisation
La géolocalisation permet de localiser un objet ou une personne par le biais d'un système GPS ou d'un téléphone mobile (ex: assistance à la navigation, mise en relation des personnes, etc). Elle consiste donc à communiquer des informations sur une personne ou un objet en fonction de la position géographique.

Dès lors qu’une application mobile implique la collecte et l’exploitation d’informations relatives à la géolocalisation des utilisateurs, le traitement de ces informations doit être conforme aux règles de respect de la vie privée, et pour les applications “françaises”, soumis aux dispositions de la loi Informatique et Libertés. Il incombe donc au développeur d’effectuer une déclaration de traitement des données personnelles collectées à la CNIL.

En matière de géolocalisation, l’article L.34-1-V du Code des postes et des communications électroniques pose le principe de l’autorisation préalable de l’utilisateur à la collecte de ses données de localisation, cette autorisation pouvant être recueillie par l'intermédiaire d'une case à cocher (opt-in) au moment du téléchargement de l’application, ou éventuellement à tout moment pour activer ou désactiver l’application ou l’option de géolocalisation.

En outre, l’accord exprès de l’utilisateur d’applications pour conserver les informations liées à ses déplacements (historique des déplacements) doit être recueilli. L’utilisateur doit également être informé des données collectées et de la durée et de la finalité du traitement. Il doit, en outre, être informé du fait que les données seront ou non transmises à des fournisseurs de services tiers (ex: gestionnaire de base cartographique). Ces informations seront indiquées dans la licence d’utilisation ou dans la politique “vie privée” applicable.

Enfin, l’utilisateur doit pouvoir revenir sur son consentement par un moyen simple et gratuit ; il doit ainsi avoir la possibilité de supprimer les données de localisation qui le concernent.

Il conviendra donc de s’assurer, en cas de distribution de l’application via une plateforme tierce de téléchargement, que ses conditions d’utilisation soient conformes au droit français de la protection des données à caractère personnel.

La réutilisation des données de localisation à des fins marketing
Les données de géolocalisation peuvent parfois être utilisées pour envoyer de la publicité géo-ciblée sur le terminal de l’utilisateur. Le marketing ciblé basé sur de la géolocalisation n’est pas interdit par la loi. Cependant, les utilisateurs d’applications fournissant des services de géolocalisation doivent être informés de la possible réutilisation de leurs données par des annonceurs tiers à des fins commerciales, et doivent avoir donné leur consentement (opt-in) pour recevoir ces messages.

(1) Les plateformes de téléchargement collectent également des données à caractère personnel. Suivant la localisation du responsable du traitement exploitant la plateforme, ce traitement sera régi par le droit français ou par le droit de son pays d’établissement. Voir à ce sujet les dispositions de l’article 5 de la loi Informatique et Libertés.


Bénédicte DELEPORTE – Avocat
Betty SFEZ – Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Septembre 2011