La CNIL intensifie les sanctions pour manquements au RGPD grâce à la procédure simplifiée

Ce qu’il faut retenir

En 2024, la CNIL a prononcé 69 nouvelles sanctions dans le cadre de la procédure simplifiée. Ces sanctions, qui portent sur divers manquements au RGPD, représentent un montant total de 715.500 euros.

 

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-la-cnil-intensifie-les-sanctions-pour-manquements-au-rgpd-grace-a-la-procedure-simplifiee

Orange condamnée à 50M € pour prospection commerciale en l’absence de consentement de ses abonnés

 

Ce qu’il faut retenir

Le consentement de l’utilisateur est au coeur de la protection des données. C’est au nom de ce principe que la CNIL a condamné Orange à une amende de 50 millions d’euros pour avoir envoyé des messages publicitaires à ses abonnés sans leur consentement.

 

 Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-orange-condamnee-a-50m-pour-prospection-commerciale-en-l-absence-de-consentement-de-ses-abonnes

Données numériques post-mortem : comment gérer les données d’un proche décédé ?

 

La plupart d’entre nous avons créé et utilisons plusieurs comptes en ligne, que ce soit à des fins personnelles ou professionnelles, sans oublier la messagerie électronique… Toutefois, lors du décès du titulaire de comptes en ligne se pose la question de la gestion de ses données. En effet, la mort physique n’entraîne pas automatiquement la mort numérique et les comptes personnels, même inactifs, peuvent rester en ligne pendant des période plus ou moins longues. La question de la gestion des données numériques d’une personne décédée est essentielle lorsque l’on sait que chaque jour, 8.000 personnes en moyenne, inscrites sur Facebook, décèdent dans le monde. (1)


1. Les données personnelles numériques sont, par définition, personnelles

Les données à caractère personnel sont définies comme toute information se rapportant à une personne physique identifiée ou identifiable, c’est-à-dire la personne concernée. Toute autre personne, y compris ses héritiers, est dès lors considérée comme un tiers. (2)

Les droits de la personne concernée (notamment les droits d’accès, de rectification et de suppression des données) sont attachés à cette personne et ne peuvent être exercés que par elle. Ce principe a ainsi été rappelé par les juges du Conseil d’Etat par deux arrêts en 2011 et 2017. (3) Les comptes de messagerie électronique sont, eux, couverts par le secret des correspondances.

Les droits de la personne concernée s’éteignent à son décès. Les tiers, héritiers et proches du défunt, n’ont donc pas automatiquement accès à ses comptes ouverts sur les plateformes et réseaux sociaux.

Que deviennent alors ses données numériques, ses comptes ouverts sur Facebook, Instagram, Twitter, LinkedIn, YouTube, ses comptes de messagerie ?

Jusqu’à l’entrée en vigueur de la Loi pour une république numérique, (4) les ayants droit d’une personne décédée ne pouvaient avoir accès à ses données numériques que dans des cas limités, aux fins d’exercer leurs droits en qualité d’héritiers (accès aux données de comptes bancaires par exemple).

De nombreux sites web, plateformes et réseaux sociaux clôturent automatiquement les comptes inactifs au bout d’une certaine période (1 an, 2 ans, voire plus). Cependant, les exploitants des sites n’ont pas connaissance du décès de leurs utilisateurs et ne peuvent intervenir pour supprimer leurs comptes à leur décès. D’autres plateformes n’ont pas de procédure particulière pour les comptes inactifs. Il existe donc de nombreux comptes inactifs pour cause de décès de leurs titulaires qui restent en ligne, la mort physique n’entraînant pas automatiquement la mort numérique.


2. Les conditions de la mise à jour des données numériques après la mort d’un proche

La Loi pour une république numérique a prévu une procédure assez complète aux fins de gérer la mort numérique d’un proche, en respectant le “testament numérique” du défunt. Ces dispositions figurent désormais à l’article 85 de la loi Informatique et Libertés, modifiée.

Deux options peuvent se présenter : soit la personne a défini des directives relatives à ses données personnelles après son décès, soit elle n’a pas prévu de directives.

    a) La personne a défini des directives relatives à ses données personnelles après son décès

Les directives définissent les conditions d’accès et de traitement de ses données personnelles après son décès. La personne concernée peut modifier ou révoquer ses directives à tout moment, au même titre qu’un testament.

Au cas où la personne concernée a défini des directives relatives à ses données personnelles après son décès, celles-ci peuvent être générales ou particulières.

Les directives générales portent sur l’ensemble des données personnelles de la personne concernée. Elles peuvent désigner la personne qui sera chargée de leur exécution. A défaut de désignation d’une personne spécifique, et sauf directive contraire, ses héritiers seront habilités à en prendre connaissance au décès de leur proche et à demander leur mise en oeuvre. Ces directives peuvent être enregistrées auprès d’un tiers de confiance numérique, certifié par la CNIL. L’existence de directives générales et le tiers de confiance sont inscrits dans un registre unique.

Les directives particulières portent sur les traitements de données identifiés dans ces directives, qui sont ensuite enregistrées auprès des responsables de traitement concernés, à savoir les plateformes et réseaux sociaux. A cette fin, les conditions d’utilisation des plateformes et/ou politiques de protection de la vie privée doivent mentionner cette possibilité. Toutefois, ce traitement doit faire l’objet d’un consentement spécifique, distinct de l’acceptation des conditions d’utilisation.

    b) La personne n’a pas prévu de directives relatives à ses données personnelles après son décès

Dans ce cas, ses héritiers ne peuvent exercer leurs droits qu’aux fins d’une part, d’organiser et de régler la succession du défunt en accédant aux informations utiles à la liquidation et au partage de la succession et d’autre part, de faire prendre en compte le décès par le responsable du traitement (clôture du compte utilisateur, mise à jour du compte, etc.).

Les principaux réseaux sociaux ont prévu des fonctionnalités de suppression de comptes inactifs suite au décès de leur titulaire (sauf mention contraire du défunt dans ses directives) ou de passage en mode “mémorial” (cf. Facebook) pour que les proches et amis puissent échanger et laisser des messages à sa mémoire. La CNIL publie sur son site une liste de réseaux sociaux ayant mis en place ce type de fonctionnalité, avec les liens vers les pages permettant de signaler le décès d’un proche.

En cas de désaccord entre les héritiers, ou si l’un d’eux estime notamment que l’utilisation des données personnelles d’une personne décédée porte atteinte à sa mémoire, sa réputation ou son honneur, ceux-ci peuvent saisir le tribunal judiciaire compétent.

* * * * * * * * * * *

(1) Source : CNIL “Mort numérique : peut-on demander l’effacement des informations d’une personne décédée ?”

(2) Voir définitions à l’article 4 du Règlement général pour la protection des données (RGPD)

(3) Arrêt CE du 29 juin 2011, req. n°339147 ; Arrêt CE du 7 juin 2017, req. n°399446

(4) Loi n°2016-1321 pour une république numérique du 7 octobre 2016


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Novembre 2020

RGPD : pendant quelle durée conserver les données personnelles ?

L’un des sujets d’achoppement entre l’Union européenne et les “GAFA” concerne la durée de conservation des données personnelles collectées. Pour ces sociétés, lorsque les traitements sont soumis au droit américain (droit de l’état de Californie notamment), la question de la durée de conservation des données personnelles ne se pose pas, celles-ci pouvant généralement être conservées sans limitation. Il n’en est pas de même en Europe.

Le RGPD impose non seulement de minimiser les données collectées, c’est-à-dire de limiter les catégories et les volumes de données personnelles collectées, mais également, de limiter leur durée de conservation. (1)

La question n’est pas nouvelle puisque le principe de durée limitée de conservation des données figure déjà à l’article 6 de la loi Informatique et Libertés de janvier 1978. (2)

Mais que signifie le fait de conserver les données pour une durée limitée ? Et comment définir cette durée ? La réponse à ces questions est relativement complexe. En effet, il n’existe pas une durée unique de conservation des données personnelles, mais des durées variables suivant la finalité des traitements.

Certaines données n’ont pas besoin d’être conservées pendant une durée supérieure à leur utilisation effective (quelques minutes à quelques jours). En revanche, d’autres catégories de données personnelles doivent être conservées pendant une durée fixée par la loi, afin par exemple, de permettre aux parties d’exercer leurs droits ou de prouver un acte juridique ou l’exécution d’une obligation. Les données personnelles concernées ne seront effacées qu’à l’expiration de ce délai.

En matière de durée de conservation des données personnelles, la distinction peut s’opérer ainsi : celles pour lesquelles il existe des règles relatives à la durée de conservation (délai de prescription), et celles non couvertes par un délai de prescription.


1. Les données devant être conservées pendant un délai légal

Certaines catégories de données doivent être conservées pendant une durée déterminée par le délai de prescription. (3) En effet, chacune des parties concernées doit pouvoir rapporter la preuve d’un acte juridique (achat / vente, paiement d’une prestation, paiement de la TVA, etc.) pendant un délai raisonnable, fixé par la loi.

Il existe de multiples délais de prescription légale, que ce soit en droit civil, commercial, fiscal ou pénal par exemple.

En règle générale :
    - en matière civile, le délai de prescription applicable aux biens et services fournis par un vendeur ou prestataire professionnel à un consommateur est de 2 ans. En matière de salaires, la prescription est de 3 ans ;
    - en matière commerciale, le délai de prescription est fixé à 5 ans pour les obligations entre commerçants et entre commerçants et non-commerçants (consommateurs) ;
    - enfin, en matière fiscale, le délai de prescription est fixé à 3 ans (fin de la troisième année qui suit celle au titre de laquelle l'imposition est due). (4)

Comment appliquer ces délais à la durée de conservation des données personnelles collectées ? Il convient d’identifier la finalité du fichier afin de déterminer la durée de conservation applicable aux données collectées.

Exemple de données collectées dans le cadre de la relation entre l’entreprise et ses clients :
    - Contrat de vente ou de prestation de services : les données devant être conservées concernant les contrat comprennent, outre le contrat, les coordonnées du client (nom, prénom, adresse, etc.). Ces données doivent être conservées pendant 5 ans.
    - Facturation et paiement : les données devant être conservées comprennent les coordonnées du client (nom, prénom, adresse, etc.) et les données de facturation. Ces données doivent être conservées pendant 3 ans.
    - Obligations fiscales (TVA, IS) : les données devant être conservées comprennent les données de facturation. Ces données doivent être conservées pendant 3 ans.

Exemple de données collectées dans le cadre de la relation entre l’entreprise et ses salariés :
    - Gestion de la paie : les données devant être conservées comprennent les coordonnées du salarié (nom, prénom, adresse, etc.) et les données de salaire. Ces données doivent être conservées pendant 3 ans.

Comme on peut le voir par les quelques exemples ci-dessus, certaines catégories de données sont utilisées pour plusieurs actes (inscription sur un site de e-commerce, achats en ligne, commandes de prestations, etc.) eux-mêmes couverts par des délais de prescription différents. Il conviendra d’identifier l’objectif poursuivi par la collecte de données et appliquer la durée correspondant à cette finalité.

Afin de s’assurer que l’on ne conserve que les données nécessaires pendant la durée légale applicable, il conviendra de les cartographier en identifiant les traitements pour lesquels ces données sont utilisées et déterminer la durée de prescription légale la plus longue. Les autres données seront supprimées.


2. Les données non couvertes par un délai de conservation légal

La durée de conservation des données collectées pour certains traitements n’est pas soumise à un délai de conservation légal. Il conviendra alors d’appliquer strictement le principe de conservation uniquement pour le temps nécessaire à l’accomplissement de la finalité poursuivie lors de la collecte.

Par exemple :
    - en matière de vidéosurveillance sur le lieu de travail, la CNIL recommande une durée de conservation des données de quelques jours à un mois maximum ;
    - les coordonnées de la carte bancaire du client lors d’un achat en ligne ne doivent être conservées que pendant la durée de réalisation de l’opération de paiement, éventuellement augmentée du délai de rétractation ;
    - les coordonnées d’un prospect inactif doivent être supprimées au bout d’un délai maximum de trois ans. (5)


Enfin, certaines données personnelles peuvent faire l’objet d’un archivage. Il convient de déterminer les règles d’archivage dans une procédure interne. La CNIL a défini trois types d’archives : la base active (ou archives courantes), les archives intermédiaires et les archives définitives. L’obligation de sécurité applicable en matière de traitement de données personnelles s’applique également aux données archivées (sécurité technique et physique) et sera adaptée à la nature des données archivées.

    En conclusion, il est vivement recommandé de prévoir une procédure spécifique relative à la détermination de la durée de conservation des données personnelles collectées. Cette procédure définira les objectifs poursuivis par la collecte, les catégories de données personnelles collectées, l’existence ou non de durées de conservation légale, la nécessité ou non d’archiver certaines données, etc. Par ailleurs, la loi n’est pas statique, même en matière de délais de prescription ou de conservation. Il conviendra de mettre cette procédure à jour en tenant compte de l’évolution de la loi et de la jurisprudence.

                                                                         * * * * * * * * * * * *

(1) Article 5 1. e) du RGPD “1. Les données à caractère personnel doivent être: (…) e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l'article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation).”

(2) Article 6 5° de la loi Informatique et Libertés: “[Les données] sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.”

(3) Il s’agit de la prescription extinctive. A l’issue du délai de prescription, le droit (ex. créance) s’éteint du fait de l’inaction de son titulaire. Par exemple, si le créancier d’une dette ne réclame pas le règlement d’une facture impayée, la créance s’éteint à l’issue du délai de prescription. Une fois le délai de prescription dépassé, le titulaire du droit ne peut plus l’exercer en cas d’inaction. (c.civ. art. 2219)

(4) Liste non exhaustive

(5) Voir la norme simplifiée n°48 (NS-048) de la CNIL relative à la gestion de clients et de prospects


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mai 2018

Sécurité des données personnelles : vers la généralisation de la procédure de notification des incidents de sécurité

La loi Informatique et Libertés impose une obligation générale de sécurité au responsable de traitement, qui “est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.” (1)

En cas d’incident de sécurité, l’obligation de notification des violations de données personnelles est actuellement limitée à certaines catégories d’organismes, en vertu de plusieurs textes nationaux ou européens (notamment le règlement e-Privacy, le règlement eIDAS, la directive NIS, la directive Paquet Télécom, la loi visant les systèmes d’information d’importance vitale, la loi de modernisation du système de santé). (2)

Par exemple, la loi Informatique et Libertés (art. 34 bis) prévoit une obligation de notification des violations de données personnelles uniquement aux fournisseurs de services de communications électroniques accessibles au public, à savoir, les opérateurs déclarés auprès de l’ARCEP (fournisseurs de téléphonie fixe et mobile et FAI). Par ailleurs, le Code de la défense impose à certains organismes publics et privés de notifier des incidents de sécurité à l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). (3) Cette obligation de notification est cependant limitée aux opérateurs d’importance vitale (OIV).

Le règlement général sur la protection des données (RGPD), qui doit entrer en application le 25 mai 2018, comprend des dispositions renforçant cette obligation de sécurité. Ainsi, l’article 32 “Sécurité du traitement” dispose : (2)

“1. Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques (…), le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:
    a) la pseudonymisation et le chiffrement des données à caractère personnel ;
    b) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
    c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ;    d) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement. (…)”

L’article 33 du RGPD impose une nouvelle obligation de notification à l'autorité de contrôle d'une violation de données à caractère personnel. Cette obligation s’appliquera désormais à tout organisme, et ne sera plus limitée à certaines catégories d’activités.

Le 26 juillet 2017, la CNIL a publié des recommandations relatives à la procédure de notification d’incidents de sécurité aux autorités. (4)

Les organismes doivent donc s’assurer de la conformité de leurs procédures internes à la loi, notamment en matière de sécurité de leurs systèmes informatiques et désormais, en matière de notification d’incidents de sécurité aux autorités. Pour ce faire, les organismes peuvent s’appuyer sur les textes mais également sur le processus de gestion des incidents défini par la norme ISO/IEC 27035.

Ainsi, la procédure de gestion des incidents peut être découpée en cinq étapes, comme suit :

    1. Créer un annuaire et des procédures de gestion des incidents afin :
    . d’identifier l’ensemble du personnel interne impliqué dans la gestion des incidents, de formaliser cette liste et de la tenir à jour ;
    . d’identifier les parties prenantes externes, de formaliser cette liste et de la tenir à jour (prestataires de service impliqués, autorités destinataires des notifications, liens vers les formulaires de notification, etc) ;
    . de formaliser et de tester les procédures internes de gestion des incidents.
    2. Mener une veille (sources internes ou externes (fournisseurs, ANSSI, ASIP, autres IRT (Incident Response Team)/CERT (Computer Emergency Response Team), fils RSS) et mettre en œuvre des outils de détection des incidents et de remontée d’alertes permettant de détecter les activités anormales, suspectes, voire malveillantes, et des outils de détection des événements de sécurité, dans le respect des droits des utilisateurs;
    3. Qualifier l’incident notamment dans le but de déterminer la(les) autorité(s) destinataires de la notification, le cas échéant ;
    4. Résoudre et notifier l’incident à(aux) autorité(s) de régulation ;
    5. Faire un bilan de l’incident et mettre en oeuvre les actions correctives nécessaires afin d’empêcher la reproduction de l’incident.

En cas de violation de données personnelles, l’organisme doit documenter l’incident dans un registre interne reprenant les faits concernant l’incident de sécurité, ses effets et les mesures prises pour y remédier.

Concernant plus particulièrement le RGPD, la CNIL émet les recommandations suivantes pour gérer au mieux la procédure de notification des violations de données à caractère personnel. En cas d'une violation de données, l’organisme devra porter à la connaissance de la CNIL, via un téléservice opérationnel en mai 2018, les éléments suivants :
    - la description de la nature de la violation de données à caractère personnel ;
    - les catégories de données concernées ;
    - le nombre approximatif de personnes concernées par la violation ;
    - les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ;
    - le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues, et décrire les conséquences probables de la violation de données et préciser les mesures prises ou à prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

Par ailleurs, en cas de risque élevé pour les personnes concernées, le responsable de traitement devra informer, en termes clairs et simples, les utilisateurs touchés par l’incident, sauf si le responsable a pris, préalablement ou postérieurement à la violation, des mesures techniques ou organisationnelles appropriées. Dans le cas où la communication aux personnes concernées exigerait des efforts disproportionnés, une communication publique ou autre mesure similaire pourra être réalisée. La CNIL pourra demander au responsable de traitement ne l’ayant pas fait, d’effectuer cette communication.

Dès lors que de nouveaux éléments sont découverts par l’organisme, ceux-ci devront être communiqués à la CNIL.


Jusqu’à présent, l’obligation de notification des incidents de sécurité n’incombait qu’à certaines catégories d’organismes. Le nombre de cas de violation rendu public reste donc limité. Cependant, avec la multiplication des obligations de notification des incidents de sécurité aux autorités de régulation et de contrôle, mais également aux personnes concernées, de plus en plus d’incidents seront rendus publics. Il sera donc nécessaire, pour les organismes victimes d’une violation de données, de gérer leur réputation auprès des marchés, en parallèle de la notification d’incident et des actions correctives. Dans ce domaine, la transparence et l’information des personnes concernées et du public sur les mesures correctives mises en oeuvre sont des éléments clés.

                                                                      * * * * * * * * * * * *


(1) Article 34, loi Informatique et Libertés du 6 janvier 1978, modifiée

(2) Règlement (UE) n°611/2013 de la Commission du 24 juin 2013 concernant les mesures relatives à la notification des violations de données à caractère personnel en vertu de la directive 2002/58/CE du Parlement européen et du Conseil sur la vie privée et les communications électroniques ; Règlement (UE) n°910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE ; Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l’Union ; Directive 2009/140/CE du Parlement européen et du Conseil du 25 novembre 2009 modifiant les directives 2002/21/CE relative à un cadre réglementaire commun pour les réseaux et services de communications électroniques, 2002/19/CE relative à l’accès aux réseaux de communications électroniques et aux ressources associées, ainsi qu’à leur interconnexion, et 2002/20/CE relative à l’autorisation des réseaux et services de communications électroniques ; Décret n°2016-1214 du 12 septembre 2016 relatif aux conditions selon lesquelles sont signalés les incidents graves de sécurité des systèmes d'information

(3) Loi n°2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale ; Décrets n°2015-351 et n°2015-350 du 27 mars 2015 relatifs à la sécurité des systèmes d’information des opérateurs d’importance vitale et à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité nationale.

(4) Site de la CNIL


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Août 2017

Les apports de la loi pour une République numérique dans le domaine de la protection des données personnelles

Le droit de la protection des données évolue. Après la publication du règlement européen sur la protection des données (RGPD) le 27 avril dernier, (1) la loi pour une République numérique, adoptée le 7 octobre 2016 comporte plusieurs dispositions qui viennent modifier la loi Informatique et Libertés.(2) Certaines dispositions anticipent d’ailleurs l’entrée en vigueur du RGPD.

Nous faisons une synthèse ci-après des principales dispositions relatives aux données personnelles. Ces dispositions s’articulent sur deux axes : un renforcement des droits des personnes sur leurs données et un élargissement des pouvoirs et des compétences de la Commission nationale de l’informatique et des libertés (CNIL).


1. Les droits des personnes sur leurs données

    - Le principe de la maîtrise de ses données
La loi affirme le principe de la maîtrise par chaque individu de ses données. L’article 1er de la loi Informatique et Libertés comporte un nouvel alinéa qui dispose que “Toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant, dans les conditions fixées par la présente loi.” Ce droit se retrouve dans plusieurs dispositions de la loi Informatique et Libertés qui évoluent dans ce sens.

    - Un droit à l’oubli pour les mineurs est désormais prévu, à l’article 40 II de la loi Informatique et libertés.
Ce droit est soumis à une procédure accélérée. Ainsi, lorsque la personne concernée était mineure au moment de la collecte des données, elle peut obtenir auprès des plateformes l’effacement de ses données dans les meilleurs délais, ou un délai maximum d’un mois. En l’absence de réponse de la plateforme, ou de réponse négative, dans un délai d’un mois, la personne peut saisir la CNIL qui dispose alors d’un délai de 3 semaines pour répondre.

    - Le sort des données personnelles après la mort de la personne concernée figure à l’article 40-1 de la loi Informatique et libertés.

Dans une décision du 8 juin 2016, le Conseil d’Etat a confirmé la position de la CNIL refusant de donner accès aux données à caractère personnel d’une employée décédée, à ses ayants droit. En l’espèce, les ayants droit d’une personne décédée en 2012 avaient demandé à son employeur de leur communiquer le relevé des appels téléphoniques passés par la défunte pendant le mois de juillet 2012, depuis sa ligne professionnelle, afin de connaître le nombre et la durée des échanges qu’elle avait eus avec le corps médical avant son décès. Suite au refus de l’employeur, ils avaient porté plainte auprès de la CNIL qui avait refusé de donner suite à leur demande. Selon l’article 2 de la loi Informatique et Libertés, la personne concernée par un traitement est celle à laquelle se rapportent les données. L’ayant droit d’une personne décédée ne peut donc pas être considéré comme la personne concernée, au sens de la loi Informatique et Libertés. (3)

La loi Informatique et Libertés a été modifiée afin que désormais chaque personne puisse donner des directives relatives à la conservation, à l'effacement et à la communication de ses données après son décès. Une personne peut être désignée pour exécuter ces directives. Celle-ci aura alors qualité, lorsque la personne concernée est décédée, pour prendre connaissance des directives et demander leur mise en œuvre aux responsables de traitement concernés.
Ces directives peuvent être générales, lorsqu’elles portent sur l’ensemble des données concernant une personne et peuvent être confiées à un tiers de confiance certifié par la CNIL.
Les directives peuvent être particulières, lorsqu’elles ne concernent que certains traitements de données. Elles peuvent alors être confiées aux responsables de traitement (réseaux sociaux, services ou site de commerce en ligne) qui les mettront en oeuvre lors du décès. La seule acceptation des conditions d’utilisation du site est insuffisante. Les modalités de mise en oeuvre sont soumises au consentement spécifique de la personne concernée.
En l'absence de directives données de son vivant par la personne concernée, ses héritiers pourront exercer certains droits, en particulier le droit d'accès, s'il est nécessaire pour le règlement de la succession du défunt et le droit d'opposition pour procéder à la clôture des comptes utilisateurs du défunt et s'opposer au traitement des données.

    - La possibilité d'exercer ses droits par voie électronique est prévue à l’article 43 bis de la loi Informatique et Libertés qui impose, "lorsque cela est possible", de permettre à toute personne l’exercice des droits d'accès, de rectification ou d'opposition par voie électronique, si le responsable du traitement des données les a collectées par ce vecteur.

    - Enfin, l’information des personnes sur la durée de conservation de leurs données est prévue par l’article 32 de la loi Informatique et Libertés.
Les responsables de traitements doivent désormais informer les personnes de la durée de conservation des données traitées ou, en cas d'impossibilité, des critères utilisés permettant de déterminer cette durée.


2. L’élargissement des pouvoirs et des compétences de la CNIL

    - Le renforcement des pouvoirs de sanction de la CNIL
Le montant maximal des sanctions pouvant être imposées par la CNIL est revu à la hausse et passe de 150.000 € à 3 millions €. Ce nouveau plafond reste cependant en deçà des dispositions du RGPD qui prévoit un plafond pouvant aller jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, 4% du chiffre d’affaires mondial.

La formation restreinte de la CNIL pourra désormais ordonner que les organismes sanctionnés informent individuellement chacune des personnes concernées de la sanction, à leur frais.

La CNIL pourra également prononcer des sanctions financières sans mise en demeure préalable des organismes lorsque le manquement constaté ne peut faire l'objet d'une mise en conformité.

    - Un rôle consultatif plus systématique
La CNIL sera saisie pour avis sur tout projet de loi ou de décret relatifs à la protection ou au traitement des données à caractère personnel. L’objectif de cette disposition est de permettre à la CNIL d’apporter son expertise aux pouvoirs publics de manière plus systématique.

Les avis de la CNIL sur les projets de loi seront automatiquement publiés, dans un but de transparence.

    - Des compétences étendues pour la CNIL
Elle hérite ainsi de nouvelles missions, à savoir :
- la promotion de l’utilisation des technologies protectrices de la vie privée, notamment les technologies de chiffrement des données ;
- la certification de la conformité des processus d’anonymisation des données personnelles dans la perspective de leur mise en ligne et de leur réutilisation (ouverture des données publiques - open data). L’anonymisation des bases de données est en effet une condition essentielle à leur ouverture ou à leur partage ;
- la conduite d’une réflexion sur les problèmes éthiques et les questions de société soulevés par l’évolution des technologies numériques.


                                                  * * * * * * * * * * * *

(1) Pour rappel, le RGPD deviendra applicable dans l’Union européenne à partir du 25 mai 2018

(2) Loi n°2016-1321 du 7 octobre 2016 pour une République numérique

(3) CE, 9é et 10é ch. réunies, décision du 8 juin 2016, M.-Mme D c/ Banque de France

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Décembre 2016

Adoption du Règlement européen sur la protection des données personnelles : le compte à rebours de la mise en conformité a commencé

Après plus de quatre ans de discussions au niveau européen, le règlement général sur la protection des données (ou RGPD) a enfin été promulgué le 27 avril 2016. Le règlement sera applicable dans tous les Etats membres dans deux ans, à partir du 25 mai 2018. (1) Le compte à rebours de la mise en conformité a donc commencé à courir pour tous les organismes en charge de traitements de données à caractère personnel.

Il convient de noter que ce règlement fait partie d’une réforme globale de la législation européenne sur la protection des données (le “paquet sur la protection des données”) comprenant également une directive sur les données traitées par les autorités policières et judiciaires européennes.


1. Le RGPD, socle du droit européen des données personnelles

Le RGPD a pour effet d’abroger la directive 95/46 CE du 24 octobre 1995 sur la protection des données personnelles. Ce texte, qui s’appliquera uniformément dans l’Union européenne,  constituera le socle de base en matière de réglementation des données personnelles en Europe, avec un ensemble unique de règles (à quelques exceptions près).

Le RGPD s’appuie sur le droit existant de la protection des données personnelles. Ainsi, les principes relatifs aux traitements de données à caractère personnel, notamment les principes de licéité, de loyauté et transparence des traitements, les principes de finalité déterminée, d’adéquation des traitements, de conservation pour une durée limitée et de sécurité des données sont rappelés à l’article 5.

Toutefois, compte tenu des évolutions techniques et comportementales intervenues depuis la directive d’octobre 1995, il était important d’adapter la réglementation et de mettre en place des règles plus homogènes au sein de l’Union européenne. Il s’agit cependant d’un texte complexe, comprenant 173 considérants et 99 articles, quand la directive ne comprenait que 34 articles.

Nous faisons un point ci-dessous sur les principales dispositions du RGPD, concernant les droits des personnes d’une part, puis les droits des entreprises d’autre part.


2. RGPD et droits des personnes

Concernant les droits des personnes, plusieurs dispositions du RGPD ont pour effet de renforcer les droits existants sur leurs données personnelles. Les principales évolutions concernent notamment :

    - Le renforcement des conditions de l’obtention du consentement des personnes (art. 7): les termes relatifs au consentement doivent être rédigés de manière claire et explicite. La personne concernée pourra à tout moment revenir sur son consentement. La charge de la preuve de l’obtention du consentement repose sur le responsable de traitement qui devra être en mesure de démontrer que la personne concernée a donné son consentement au traitement de données la concernant.

    - La modification du droit à l’information dans le sens de la transparence et de la simplification (art. 12, 13 et 14) : l’information doit être concise, claire, compréhensible et facilement accessible. Elle doit être rédigée en termes clairs et simples, en particulier lorsqu’elle est destinée aux enfants.

    - Le règlement consacre le “droit à l’oubli numérique” (ou droit à l’effacement), comme défini par la Cour de justice de l’Union européenne dans son arrêt “Google Spain” du 13 mai 2014. (art. 17) La personne concernée a le droit de demander au responsable de traitement la suppression de ses données personnelles dans les meilleurs délais. La suppression est cependant soumise à un certain nombre de conditions (notamment concernant le droit à l’information) et n’est pas automatique. Ces conditions et limites au droit à l’oubli sont définies par la jurisprudence depuis 2014.

    - Le droit à la portabilité des données est un nouveau droit pour les personnes (art. 20). Sauf conditions particulières, celles-ci pourront demander au responsable de traitement de récupérer ou transmettre leurs données personnelles collectées pour transfert à un nouveau responsable de traitement (par exemple, transferts entre services similaires proposés par des concurrents). Afin d’éviter les blocages ou le contournement de cette obligation, le responsable de traitement doit communiquer les données dans un format structuré, couramment utilisé et lisible par la machine.

    - Enfin, le règlement consacre le principe d’une protection spécifique des données personnelles des mineurs de moins de 16 ans (art. 8). Les enfants utilisent de plus en plus les services internet pour communiquer (réseaux sociaux, tchat, SMS, MMS). Le RGPD reconnaît la nécessité d’accorder une protection particulière à leurs données. Le 38é considérant dispose que les enfants doivent bénéficier d’une protection spécifique dans le cadre de l’utilisation de leurs données personnelles à des fins de marketing ou de création de profils utilisateurs. Lorsque des services en ligne sont destinés aux enfants, les traitements de données de mineurs de moins de 16 ans (ou 13 ans dans les Etats membres qui ont fixé cette limite d’âge) seront soumis à l’accord ou l’autorisation de la personne exerçant l’autorité parentale. Le responsable de traitement devra mettre en oeuvre des moyens “raisonnables”, prenant en compte les technologies disponibles, pour s’assurer du caractère effectif de l’accord parental.


3. RGPD et droits des responsables de traitement

Concernant les droits des responsables de traitement (entreprises et autres organismes traitant des données personnelles), on notera une simplification des formalités, mais des obligations plus strictes à leur égard. Par ailleurs, le plafond des sanctions est nettement plus élevé que dans la réglementation actuelle. Les principales évolutions concernent notamment :

    - Le recours aux traitements automatisés et aux techniques de profilage - qui prennent un nouvel essor avec le déploiement des techniques liées au Big data notamment, sera encadré (art. 22). Ces traitements seront autorisés sous certaines conditions et si la personne a donné son consentement.

    - Le responsable de traitement devra déployer des règles internes claires et facilement accessibles afin de garantir et démontrer le respect de la réglementation en matière de recensement des traitements, de sécurité, et le cas échéant d’accomplissement des formalités préalables et de désignation d’un délégué à la protection des données (notion d’“accountability”) (art. 5 et 24).

    - Lors du développement de nouveaux produits ou services, les responsables de traitement devront intégrer par défaut la protection des données personnelles dans la définition des moyens de traitement et dans le traitement lui-même (principe de “protection de la vie privée dès la conception” ou “privacy by design”) (art. 5 et 25).

    - Le règlement crée la notion de co-responsables de traitement (art. 26) afin de prendre en compte l’évolution des techniques, et notamment l’essor des services de Cloud computing, pour lesquels l’entité qui collecte les données ne contrôle plus nécessairement les moyens de traitement de ces données. Deux responsables de traitement peuvent donc co-exister, à savoir, d’une part l’entité qui collecte et utilise les données, et d’autre part, l’entité qui détermine les moyens techniques du traitement (souvent, l’hébergeur ou le prestataire de services Cloud, sous-traitant de l’entité qui collecte les données). En cas de co-responsabilité, les co-responsables de traitement devront déterminer les périmètres respectifs de leur responsabilité dans le cadre de la mise en oeuvre de leurs obligations, notamment vis-à-vis des personnes. Les sous-traitants voient donc leur responsabilité reconnue au même titre que celle de leur client. Il s’agit d’un régime de responsabilité conjointe.

    - Le règlement supprime l’obligation de déclaration préalable d’un traitement de données,  (art. 30) sauf en cas de transfert de données hors de l’Union européenne pour lequel un régime spécifique a été instauré. En contrepartie, le responsable de traitement est tenu (i) soit de tenir un registre interne recensant les traitements mis en œuvre, (ii) soit de se conformer à une consultation préalable de l’autorité de supervision pour les cas où la mise en place des traitements a nécessité une étude d’impact et comporte des risques particuliers.

    - Le règlement prévoit des règles de sécurité accrues pour la protection des données à caractère personnel, en étendant l’obligation de notification des failles de sécurité à tous les responsables de traitement (art. 5, et 32 à 34). Actuellement, cette obligation ne s’impose qu’aux opérateurs de communications électroniques et aux opérateurs d’importance vitale (OIV).

    - Un délégué à la protection des données devra être désigné dans les entreprises ayant pour “activité de base” la gestion de données personnelles “à grande échelle” ou le contrôle et suivi du comportement des personnes (art. 37, 38 et 39). Le délégué à la protection des données (qui remplacera le correspondant informatique et libertés - CIL en France) devra être compétent en droit et en matière de protection des données personnelles. Il pourra être salarié du responsable de traitement ou du sous-traitant ou être externe à l’entreprise.

    - Les règles de transfert des données hors Union européenne évoluent peu (art. 44 à 50). Le principe reste l’interdiction de transférer des données personnelles en dehors de l’Union européenne, vers des pays n’offrant pas un niveau de protection adéquat, sauf si l’un des outils permettant de protéger les données est mis en place entre le responsable de traitement européen et son sous-traitant ou sa filiale (clauses contractuelles-types définies par la Commission européenne, règles d’entreprise contraignantes (“Binding corporate rules” - BCR), ou code de conduite).

    - Les entreprises présentes dans plusieurs Etats membres désigneront une autorité de contrôle comme autorité principale compétente, notamment en cas de litige (art. 56). Cette autorité de contrôle principale sera compétente sur la base du critère de l’établissement principal, entendu comme le lieu où sont prises les principales décisions quant aux finalités, conditions et moyens de traitement de données à caractère personnel.

    - Le règlement prévoit un pouvoir de sanction par les autorités de contrôle plus large et dissuasif (art. 83). Selon le type de violation retenu, les autorités de contrôle pourront prononcer des amendes administratives pouvant s’élever soit à 10 millions d’euros ou 2% du chiffre d’affaires total mondial de l’entreprise pour l’exercice précédent, le montant le plus élevé étant retenu, soit à 20 millions d’euros ou 4% du chiffre d’affaires total mondial de l’entreprise pour l’exercice précédent.

Enfin, il convient de noter que le RGPD a vocation à s’appliquer non seulement au sein de l’Union européenne, mais qu’il produira également des effets extra-territoriaux (art. 3 et 27). Ainsi, le règlement s’appliquera :
    - aux responsables de traitement situés dans l’Union, que le traitement soit réalisé ou non sur le territoire de l’Union européenne, et
    - aux traitements de données personnelles de citoyens et résidents d’un pays membre, réalisés par un responsable de traitement ou un sous-traitant non situé dans l’UE, dès lors que l’offre de produits ou de services cible le marché européen. Certaines entreprises non-européennes risquent donc de devoir se conformer au RGPD.


Les entreprises disposent de cette période de transition de deux ans pour préparer leur mise en conformité juridique et opérationnelle. Cette mise en conformité implique une mise à niveau des conditions d’utilisation et des politiques de protection des données des services proposés ainsi que ses politiques internes de protection des données applicables aux salariés. Certaines obligations demandent une mise à niveau opérationnelle. Enfin, certains types de traitements nécessiteront une mise à niveau technique (preuve du recueil du consentement, notamment pour les traitements de données de mineurs).

En France, la loi Informatique et Libertés ne disparaîtra pas pour autant, mais son périmètre d’application sera réduit aux traitements des autorités publiques et à certains traitements de santé.


                                                              * * * * * * * * * * * *

(1) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données)


Bénédicte DELEPORTE – Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mai 2016

Quel cadre légal pour le traitement des données personnelles des mineurs sur internet ?

Selon une étude Ipsos Connect menée en 2014, en France, les enfants de 7 à 12 ans passent en moyenne 5 heures par semaine sur internet, cette durée dépassant 11 heures par semaine pour les adolescents de 13 à 19 ans. (1) Pour autant, les enfants ne connaissent pas les règles de protection de la vie privée et peuvent être amenés à s’inscrire sur des sites et à communiquer des données sans comprendre les conséquences de tels actes.

En mai 2015, 29 autorités nationales de protection des données, regroupées au sein du GPEN (Global Privacy Enforcement Network), ont réalisé une opération d’audit en ligne conjointe sur près de 1.500 services web destinés aux mineurs (sites de jeux, réseaux sociaux et services éducatifs ou de soutien scolaire).

L’objectif de ces audits était de vérifier si les sites et applications internet consultés par les enfants et adolescents respectaient les règles de protection de la vie privée. Les points de contrôle portaient sur le type de données collectées, le niveau d’information et son adaptation aux jeunes utilisateurs ainsi que l’existence de mesures particulières de vigilance ou de contrôle parental pour les plus jeunes.

Les résultats de cette opération, dénommée “Internet Sweep Day”, viennent d’être publiés par la CNIL. (2) Selon ces autorités de protection des données, la protection de la vie privée des mineurs, sur les différents services examinés, est globalement insuffisante.

Après avoir brièvement rappelé le cadre légal de la protection des données personnelles, nous examinons ci-après les initiatives en cours vers un renforcement de la protection de la vie privée des mineurs et les règles de traitement qui devront être déployées par les exploitants de services numériques à destination des mineurs.


1. Le cadre légal de la protection des données personnelles : des règles générales qui s’appliquent à tous, sans distinction d’âge

La loi Informatique et Libertés du 6 janvier 1978 a été modifiée en 2004 pour transposer la directive européenne sur la protection des données personnelles du 24 octobre 1995. (3) Ces textes ne contiennent pas de dispositions relatives aux données personnelles des mineurs. Les dispositions légales s’appliquent donc à tous (adultes et enfants), sans distinction d’âge.

Les principales règles en matière de collecte et de traitement de données à caractère personnelle peuvent être résumées ainsi :

- Une collecte de données loyale et licite ;
- Une obligation de déclaration à la CNIL préalablement à la mise en oeuvre du traitement, ou éventuellement l’obligation de faire une demande d’autorisation pour certains types de traitements ;
- Un traitement de données conforme à la finalité déclarée (ou autorisée) ;
- Le consentement de la personne concernée à la collecte de ses données, accompagné d’une obligation d’information de la personne sur ses droits d’accès, de correction et d’opposition (désinscription / suppression) ;
- La conservation des données pour une durée raisonnable. A l’expiration du délai nécessaire au traitement, y compris les obligations légales de conservation (durées de prescription légale), les données doivent être supprimées ;
- Une obligation de sécurité des données. Le responsable de traitement doit mettre en oeuvre des mesures de sécurité physiques et techniques afin d’éviter tout accès non autorisé aux serveurs d’hébergement afin que les données ne soient modifiées, effacées, voire divulguées au public.

Les sanctions encourues en cas de non-respect à la loi Informatique et Libertés sont sévères : amendes administratives prononcées par la CNIL d'un montant maximum de 300.000€, et condamnations pénales allant jusqu’à 5 ans d’emprisonnement et 300.000€ d’amende.


2. Vers la reconnaissance d’une protection renforcée de la vie privée des mineurs

En Europe, l’absence de régime spécifique aux mineurs ne signifie pas que les organismes, publics ou privés, ne réfléchissent pas à cette problématique, et ce depuis une dizaine d’années. De plus en plus de personnalités, issues tant du monde politique et réglementaire que du monde du numérique et des médias, reconnaissent le besoin de faire évoluer la réglementation sur la protection de la vie privée des mineurs. En effet, les éditeurs de sites pour enfants et adolescents sont aujourd’hui fortement incités à faire preuve d’une vigilance accrue dès lors qu’ils traitent des informations sur leurs jeunes utilisateurs et clients.

Des initiatives publiques et privées
De nombreux textes, recommandations, avis, chartes, définissant les mesures à déployer pour assurer un niveau de protection renforcée aux données des mineurs, ont été adoptés par des organismes publics et privés.

On citera par exemple les recommandations et actions de sensibilisation de la CNIL (rapport "Internet et la collecte de données personnelles auprès de mineurs”, site Jeunes.cnil.fr, organisation du Safer Internet Day en France, animation du collectif pour l’éducation au numérique, etc.), ou encore les avis publiés par le Groupe de l’article 29 (ou “G29”), réunissant les autorités européennes de contrôle de la protection des données (avis portant sur "la protection des données à caractère personnel de l'enfant" et "les réseaux sociaux en ligne”). (4)

Plusieurs organisations professionnelles ont également souhaité apporter des garanties de protection renforcée aux mineurs. Ces initiatives figurent dans les chartes et codes édités par l'Union Française du Marketing Direct (UFMD), l’Autorité de régulation professionnelle de la publicité (ARPP) ou la Chambre de commerce internationale (ICC) par exemple. (5)

Même si ces textes doivent être interprétés comme de la “soft law”, et ne sont pas obligatoires, ils servent néanmoins de repères et permettent de faire évoluer le droit. Ces recommandations et engagements divers peuvent être mis en oeuvre par les acteurs du numérique afin de démontrer leur engagement citoyen pour une meilleure protection de la vie privée des jeunes.

Le futur règlement européen sur la protection des données personnelles
En janvier 2012, le Parlement européen et le Conseil de l’Union européenne ont publié une proposition de règlement visant à réformer le cadre juridique de la protection des données personnelles dans l’Union européenne. (6) Ce texte, qui devrait en principe être adopté fin 2015/début 2016, a fait l'objet de nombreux débats. Ce règlement européen, une fois le texte définitif adopté, sera d’application immédiate et uniforme dans l’ensemble de l’Union européenne et viendra remplacer la Directive de 1995 et les différentes lois nationales de protection des données personnelles, y compris la loi Informatique et Libertés de 1978.

La proposition de règlement européen sur la protection des données à caractère personnel marque une évolution importante concernant la protection de la vie privée des enfants. Plusieurs dispositions spécifiques les concernent.

Le règlement proposé définit expressément l'enfant comme une personne de moins de 18 ans, même si une distinction est parfois faite entre les enfants de moins de 13 ans et les adolescents entre 13 et 18 ans.

Le texte affirme ainsi que :
- “les données à caractère personnel relatives aux enfants nécessitent une protection spécifique car ceux-ci peuvent être moins conscients des risques, des conséquences, des garanties et de leurs droits en matière de traitement des données” ;
- Les enfants seraient exclus des opérations de profilage par traitement automatisé ;
- Des formulaires types relatifs au traitement de données à caractère personnel des enfants seraient définis par la Commission pour garantir des conditions uniformes de mise en oeuvre du règlement à travers l’Union ;
- Enfin, les traitements de données personnelles des enfants de moins de 13 ans ne seraient licites que sous réserve que le consentement soit donné par un parent ou la personne qui en a la garde. (7)

Le montant des sanctions prévues en cas de non conformité aux obligations édictées par le règlement est particulièrement dissuasif : 500 000 euros ou, dans le cas d'une entreprise, 1% de son chiffre d’affaires annuel mondial. Bien que ces chiffres ne soient pas encore définitifs, les montants seront plus élevés que sous la législation actuelle.


3. Quelques recommandations et bonnes pratiques à adopter par les éditeurs de services web et mobiles pour mineurs

Bien qu’il n’existe pas encore en Europe d’obligation spécifique relative à la collecte et au traitement de données personnelles de mineurs, il est fortement recommandé aux services numériques destinés aux enfants, d’anticiper l’évolution de la réglementation.

Plusieurs séries de mesures peuvent d’ores et déjà être déployées ou planifiées, et ce même si le règlement européen n’entrera en vigueur que deux ans après son adoption.

Outre les obligations applicables à toute collecte de données à caractère personnel, les mesures suivantes peuvent ainsi être mises en place :

- Consentement parental : la proposition de règlement soumet le caractère licite des traitements de données personnelles des enfants de moins de 13 ans à l’autorisation des parents. Le consentement parental est incontournable en cas de collecte de données sensibles (données relatives à la santé, aux convictions religieuses ou à l’origine raciale), des photographies de mineur, et de cession des données à des tiers à des fins de prospection commerciale ;

- Mesures techniques : l’éditeur d’un service web ou mobile devra déployer des moyens techniques permettant de s'assurer de l'effectivité du consentement de l'enfant et de l'autorisation des parents, ainsi que des technologies protectrices de la vie privée, telles que des paramètres par défaut ;

- Information et transparence : l’exploitant d’un site ou d’une application mobile devra fournir des informations et communiquer dans des termes adaptés, facilement compréhensibles par un enfant ;

- Droit à l'oubli numérique : enfin, les mineurs devront pouvoir obtenir du responsable du traitement l’effacement et la cessation de la diffusion des données les concernant.


     Les résultats de l’Internet Sweep Day ont fait apparaître des niveaux de protection et d’information insuffisants sur les sites destinés aux jeunes : défaut de sensibilisation spécifique auprès des jeunes sur la collecte de leurs données, redirections vers des sites tiers (dont des sites marchands), dépôt de cookies sans information. Compte tenu de la volonté affirmée par les autorités européennes de renforcer les règles de protection de la vie privée des mineurs, il est recommandé aux éditeurs de services numériques à destination des jeunes de préparer la mise en conformité de leurs services.

On notera enfin que les Etats-Unis, qui ne disposent toujours pas de loi globale au niveau fédéral sur la protection des données personnelles, ont légiféré dès 1998 sur la protection des données des enfants collectées sur internet, avec la loi COPPA (Children’s Online Privacy Protection Act - 1998). (8) La loi COPPA ne s’applique cependant qu’aux données des enfants de moins de 13 ans collectées par des sites web qui leur sont destinés ou qui savent que des enfants utilisent leurs services. Cette loi s’applique aux sites américains, et aux sites étrangers qui ciblent le marché américain (sites de e-commerce, services en ligne ou réseaux sociaux non-américains utilisés par des jeunes américains).


                                                          * * * * * * * * * * *

(1) Voir citation sur le site de la CNIL à http://www.cnil.fr/les-themes/internet-telephonie/actualite/article/internet-sweep-day-les-sites-pour-enfants-sont-ils-respectueux-de-la-vie-privee/

(2) Communiqué CNIL du 2 septembre 2015, Vie privée des enfants : une protection insuffisante sur les sites Internet.

(3) Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ; Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée.

(4) Rapport CNIL intitulé "Internet et la collecte de données personnelles auprès de mineurs", publié le 12 juin 2001 ; Avis 2/2009 du G29 sur la protection des données à caractère personnel de l'enfant, adopté le 11 février 2009, WP160 et Avis 5/2009 sur les réseaux sociaux en ligne, adopté le 12 juin 2009, WP163.

(5) Voir la Charte de l’emailing adoptée par l’UFMD en mars 2005, la recommandation “Enfant” de l’ARPP de juin 2004 et le Code ICC consolidé sur les pratiques de publicité et de communication commerciale de 2006, révisé en avril 2015

(6) Proposition de Règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, COM(2012) 11 final, le 25 janvier 2012.

(7) Considérants 29, 58, et 130 et article 8 de la proposition de règlement.

(8) Children’s Online Privacy Protection Act - 1998 (COPPA). Voir par exemple les FAQs sur le site de la Federal Trade Commission https://www.ftc.gov/tips-advice/business-center/guidance/complying-coppa-frequently-asked-questions


Bénédicte DELEPORTE
Betty SFEZ
Avocats

Deleporte Wentz Avocat
www.dwavocat.com


Septembre 2015

Géolocalisation : quel cadre légal pour les véhicules des salariés ?

Face au développement du recours à la géolocalisation en entreprise, la Commission nationale de l’informatique et des libertés a publié, en juin dernier, une nouvelle délibération portant norme simplifiée. (1) Ce texte vise à préciser l’encadrement juridique de la mise en œuvre des dispositifs de géolocalisation sur les véhicules utilisés par les salariés. Il remplace une norme de 2006 qui, compte tenu de l’évolution des technologies et des usages, était devenue en partie inadaptée. (2) Nous faisons ci-après un bref rappel des règles applicables en la matière.


1. Les conditions d’installation à respecter par l’employeur

Le caractère particulièrement intrusif de la géolocalisation dans le cadre du travail a conduit la Cnil à définir plus en détail les conditions de recours à ce dispositif.

     - Les cas de recours autorisés à un dispositif de géolocalisation
 

L’utilisation d’un système de géolocalisation par GPS des véhicules mis à disposition des salariés est strictement limitée aux finalités suivantes :
(i) respecter une réglementation imposant l’installation d’un tel dispositif en raison du type de transport ou de la nature des biens transportés ;
(ii) besoins du suivi et de la facturation d’une prestation de transport de personnes ou de marchandises, ou d’une prestation de services liée à l’utilisation d’un véhicule et la justification d’une prestation auprès d’un client ou d’un donneur d’ordre ;
(iii) garantir la sûreté ou la sécurité des employés et/ou des marchandises transportées ;
(iv) améliorer l’allocation des moyens pour des prestations à accomplir dans des lieux éloignés (pour des interventions d’urgence par exemple) ;
(v) s’assurer du respect, par les salariés, des règles d’utilisation du véhicule prédéterminée par l’employeur.

Il est enfin précisé, à titre de finalité accessoire du traitement, que le dispositif peut être utilisé pour le suivi du temps de travail des salariés, sous réserve que ce suivi ne puisse être réalisé par un autre moyen, et uniquement pendant le temps de travail.

     - Les informations pouvant être collectées et traitées

Seules les données limitativement énumérées par la Commission peuvent faire l’objet d’un traitement, à savoir : les informations d’identification des salariés (nom, prénom, numéro de plaque d’immatriculation, etc.), aux déplacements des salariés (historique des déplacements effectués, etc.), à l’utilisation du véhicule (vitesse de circulation, nombre de kilomètre, temps de conduite, etc.), ainsi que les dates et heures d’activation / désactivation du dispositif.

     - Les points spécifiques à retenir
 

En toute hypothèse, la mise en œuvre d’un dispositif de géolocalisation ne peut induire la collecte et le traitement des données de localisation en dehors du temps de travail du conducteur, en particulier lors des trajets entre le domicile et le lieu de travail ou encore pendant les temps de pause. De même, le traitement de la vitesse maximale n’est pas autorisé, sauf disposition légale contraire ; seul celui de la vitesse moyenne est envisageable.

Par ailleurs, il ressort de la délibération Cnil que le salarié doit pouvoir désactiver le système GPS, l’employeur pouvant demander des explications en cas de désactivations répétées ou d’une durée excessive. Enfin, les salariés investis d’un mandat électif ou syndical ne doivent en aucun cas faire l’objet d’une opération de géolocalisation lorsqu’ils se déplacent dans le cadre de l’exercice de leur mandat.


2. Les obligations inhérentes à la mise en oeuvre d’un dispositif de géolocalisation

L’installation d’un système de géolocalisation implique pour l’employeur le respect de plusieurs obligations légales.

     - Les formalités préalables auprès de la Cnil
 

Un dispositif de géolocalisation installé dans les véhicules mis à disposition des salariés doit faire l’objet d’une déclaration à la Cnil préalablement à sa mise en oeuvre, au moyen d’une déclaration simplifiée de conformité.

Les entreprises ayant déjà effectué une déclaration simplifiée en référence à la norme de 2006 ont jusqu’au 17 juin 2016 pour se mettre en conformité avec les nouvelles conditions posées par la Cnil. Seuls peuvent bénéficier de cette procédure les traitements de géolocalisation des véhicules répondant exactement aux conditions définies par la Cnil. Si l’un des critères n’est pas rempli, d’autres formalités préalables seront requises.

     - La consultation et l’information des représentants du personnel et des salariés
 

La mise en œuvre d’un dispositif de géolocalisation sur les véhicules utilisés par les employés implique l’information et la consultation préalable des représentants du personnel.

Par ailleurs, le salarié concerné doit également être informé, individuellement et préalablement à la mise en œuvre du traitement. Les mentions devant être portées à sa connaissance sont notamment les finalités poursuivies, les données traitées, la durée de conservation, etc. (3)

     - Les obligations relatives au traitement des données
 

Comme pour tout traitement de données personnelles, le responsable de traitement doit respecter des obligations quant à la durée de conservation des données et à leur sécurité mais également concernant l’information et les droits des salariés concernés (droit d’accès, de rectification, d’opposition, etc.).

Les données de localisation doivent ainsi être conservées uniquement pour une durée dite « pertinente » au regard de l’objectif du traitement. Une durée de deux mois est considérée adéquate par la Cnil.

Toutefois, la délibération Cnil mentionne plusieurs cas dans lesquels la durée de conservation peut aller au-delà de deux mois, notamment si la conservation de l’historique des déplacements a pour but l’optimisation des tournées.

Quant à la sécurité des données, l’employeur est tenu de prendre toutes les précautions nécessaires (mise en place de mesures à la fois physique et technique). A ce titre, la Cnil recommande notamment la réalisation d’une étude des risques, la mise en place d’un mécanisme de gestion des habilitations régulièrement mis à jour, le chiffrement des données, etc.


   A défaut, pour l’employeur de respecter la réglementation précitée, le dispositif de géolocalisation mis en oeuvre au sein de l’entreprise sera jugé illégal et ne pourrait être opposé aux salariés, notamment à des fins disciplinaires ou pour justifier un licenciement. En outre, le manquement aux obligations légales est puni de sévères sanctions financières et pénales. Dans ce contexte, il est recommandé aux entreprises de s’assurer, au moyen d’un audit par exemple, de la conformité de leur dispositif de géolocalisation à ces nouvelles règles et à défaut, de prendre toutes mesures nécessaires de mise en conformité.


                                                          * * * * * * * * * * *

(1) Délibération n°2015-165 du 4 juin 2015 portant adoption d’une norme simplifiée concernant les traitements automatisés de données à caractère personnel mis en œuvre par les organismes publics ou privés destinés à géolocaliser les véhicules utilisés par leurs employés (norme simplifiée n°51). Cette délibération vient remplacer la précédente recommandation CNIL sur le même sujet en date du 16 mai 2015.

(2) A noter que cette délibération ne concerne pas les dispositifs de contrôle des transports routiers (chronotachygraphes), dispensés de déclaration à la Cnil - voir délibération Cnil n°2014-235 du 27 mai 2014.

(3) Voir notamment les articles L.1121-1, L.1222-3, L.1222-4 et L.2323-32 du Code du travail.

Betty SFEZ 

Avocat
 

Deleporte Wentz Avocat

www.dwavocat.com

Septembre 2015

Drones : les recommandations du G29 en matière de protection de la vie privée

   Le marché européen des drones est en plein essor. Ces “aéronefs télépilotés” sont utilisés dans de multiples domaines : sécurité publique (surveillance de manifestations sur la voie publique, lutte anti-incendie, sécurité de zones touchées par des accidents industriels, comme à Fukushima par exemple), surveillance de l’état des infrastructures ou de bâtiments, tournages de reportages d’information (inondations), sportifs (Tour de France), ou culturels, mais également dans les loisirs (aéromodélisme).

Toutefois, leur commercialisation et leur utilisation soulèvent des enjeux importants, notamment en matière de respect de la vie privée. Les drones peuvent en effet être équipés d’appareils photo, de caméras ou de capteurs sonores. Ces engins peuvent ainsi collecter, stocker, transmettre ou analyser une masse d’informations, et surveiller nos comportements et nos déplacements en toute discrétion et à notre insu.

A ce jour, il n’existe pas de réglementations harmonisées en Europe en matière de drones. La Commission européenne a annoncé en avril 2014, son intention de se pencher sur une réglementation européenne pour encadrer l’usage des drones civils. (1) Une proposition de la Commission est attendue pour fin 2015, mais dès 2014 celle-ci avait affirmé que « Les données collectées par les drones devront être conformes aux règles applicables en matière de protection des données et les autorités chargées de la protection des données devront surveiller la collecte et le traitement ultérieur des données à caractère personnel ». La Commission précisait en outre, qu’elle examinerait comment garantir que les règles de protection des données s’appliquent pleinement aux aéronefs télépilotés et proposera des modifications ou des orientations spécifiques en tant que de besoin.

    Sans attendre la proposition de la Commission européenne, le G29 (groupe de travail rassemblant les représentants de chaque autorité de protection des données nationales) a publié en juin 2015 un avis sur les drones. (2)

Dans cet avis, le G29 identifie les risques d’atteinte à la vie privée et souligne notamment le manque de transparence quant aux types de traitements effectués, de données collectées et de finalités poursuivies, dès lors qu’un traitement de données est réalisé par le biais d’un drone. Pour contenir ces risques, le G29 fournit une liste de recommandations à destination des opérateurs, utilisateurs et fabricants de drones, ainsi qu’aux législateurs européens et nationaux.

- Les opérateurs ou les utilisateurs de drones sont ainsi invités à (i) se renseigner sur les formalités obligatoires à accomplir auprès de la Direction de l’aviation civile de leur pays, (ii) ne collecter que les données strictement nécessaires au traitement et à ce titre, installer sur leurs drones des technologies ne permettant pas de collecter plus de données que nécessaire, et (iii) informer par tous moyens les personnes concernées des conditions de la collecte et du traitement de leurs données (par exemple, par la distribution de prospectus aux participants d’un événement public au cours duquel des drones sont utilisés ou par la publication d’un message éditorial sur le site internet de l’opérateur).

- Les fabricants et les opérateurs sont notamment invités à (i) promouvoir et adopter un code de conduite, (ii) rendre leurs drones plus visibles, à l’aide de lumières clignotantes ou de couleurs vives par exemple, et (iii) insérer dans les emballages de drones de petites tailles une notice d’information sur la nature intrusive de la technologie et le nécessaire respect de la réglementation applicable.

- Les législateurs européens et nationaux sont invités à promouvoir un cadre légal (i) offrant des garanties en matière de sécurité et de respect des droits fondamentaux, (ii) imposant notamment le respect de la vie privée comme exigence pour l’obtention d’une qualification ou d’une licence en vue d’une utilisation commerciale du drone et (iii) instaurant un régime spécifique de responsabilité pour l’utilisation de drones.

Enfin, le G29 insiste sur le fait que le recours à cette technologie par les autorités policières (i) ne peut être généralisé et doit être expressément prévu et justifié par un texte, (ii) doit respecter les principes fondamentaux posés par la réglementation sur la protection des données personnelles (nécessité, proportionnalité, finalité déterminée, etc.), et en toute hypothèse, ne peut donner lieu à la surveillance constante d’un individu, sauf cas particuliers.


    Il est intéressant de souligner que quelques jours à peine après la publication de cet avis du G29, le Parlement européen a divulgué son projet de rapport sur l’utilisation des drones dans le domaine de l’aviation civile. (3) Dans ce texte, le Parlement précise que « la question de la protection des données et de la vie privée est essentielle en vue de faciliter le développement et l’intégration en toute sécurité des systèmes d’aéronefs télépilotés dans l’aviation civile ». Le Parlement estime que la législation sur la protection de la vie privée et les données personnelles, tout comme celle relative à la navigation aérienne, devrait figurer dans une notice d’information aux acquéreurs.

Néanmoins, le Parlement souligne qu’« une nouvelle législation spécifique pour la protection des données dans le domaine des systèmes d'aéronefs télépilotés ne devrait pas être nécessaire » et estime, à ce titre, que « les agences compétentes pour la protection des données dans les États membres devraient partager les orientations spécifiques en matière de protection des données pour les drones à caractère commercial, et invite les États membres à mettre en oeuvre rigoureusement la législation concernant la protection de données, de sorte que ces deux éléments répondent aux préoccupations des citoyens en matière de vie privée et que les exploitants des systèmes d'aéronefs télépilotés ne doivent pas faire face à une charge administrative disproportionnée ».

Il convient donc d’attendre la publication de la proposition de la Commission pour connaître l’ampleur des exigences européennes en matière de drones et de respect de la vie privée.

                                                                      * * * * * * * * * * *

(1) Communiqué de presse de la Commission européenne du 8 avril 2014, « La Commission européenne préconise des normes strictes pour réglementer l'utilisation des drones civils ».

(2) Article 29 Data Protection Working Party, Opinion 01/2015 on Privacy and Data Protection Issues relating to the Utilisation of Drones, June 16th 2015 (WP 231).

(3) Parlement européen, Commission des transports et du tourisme, projet de rapport sur l’utilisation d’aéronefs télépilotés (RPAS ou UAV), dans le domaine de l’aviation civile, du 19 juin 2015.


Betty SFEZ
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Juillet 2015

E-commerce : les nouvelles obligations légales nécessitant une mise en conformité des sites web

La loi relative à la consommation (dite loi “Hamon”), adoptée le 17 mars 2014, transpose notamment la Directive européenne de 2011 relative aux droits des consommateurs. Cette nouvelle loi comprend des dispositions de natures très diverses, portant sur les actions de groupe, l’information et le renforcement des droits contractuels des consommateurs, le crédit à la consommation et l'assurance, les indications géographiques et la protection du nom des collectivités territoriales, la vente en ligne de lunettes et lentilles de vue, le renforcement des moyens de contrôle de la DGCCRF, et des dispositions diverses telles les règles applicables aux VTC. (1)

Parmi ces nombreuses dispositions, nous nous intéressons à celles modifiant les règles applicables aux contrats de vente en ligne B-to-C et aux dispositions renforçant les pouvoirs de la CNIL en matière de respect à la loi Informatique et Libertés.

Ces nouvelles dispositions impliquent, pour la plupart d’entre elles, que les exploitants de sites de e-commerce (vente de biens et de prestations de services) mettent à jour leurs conditions générales de vente ou d’utilisation (CGV/CGU), ainsi que certaines catégories d’informations mentionnées sur leurs sites internet, et adaptent, le cas échéant, leur logistique et organisation interne (conditions de livraison et de retour de marchandise).

Cette mise en conformité doit intervenir rapidement, puisque la plupart des nouvelles dispositions entrent en vigueur le 13 juin 2014. Elles s’appliquent donc à tous les contrats conclus à compter du 14 juin.


1. Une obligation d’information renforcée vis-à-vis des consommateurs

La nouvelle réglementation vient renforcer l’obligation d’information et de transparence de la part des vendeurs professionnels. Cette information, qui doit être claire et compréhensible pour le consommateur, doit être fournie dès la période pré-contractuelle.

    1.1 L’information pré-contractuelle
Avant la conclusion du contrat, la réglementation exige que l’internaute soit informé sur plusieurs points. Ces informations sont les mêmes pour les vendeurs de biens et les prestataires de services, à savoir notamment : l’identité du e-commerçant, les caractéristiques essentielles des biens ou des services proposés, le prix ou son mode de calcul, les conditions de livraison, l’existence de garanties et leurs conditions, l’existence ou non d’un droit de rétractation et ses modalités d’exercice, l’existence de codes de bonne conduite, etc.

L’absence de certaines de ces mentions peut être lourde de conséquences pour le vendeur (tel le rallongement du délai de rétractation à 12 mois).

    1.2 L’information pendant la passation de la commande en ligne
Le professionnel doit accompagner et informer l’internaute tout au long du processus de passation de commande.

A ce titre, et même si cela peut paraître évident, le professionnel doit indiquer de manière très claire que la commande entraîne une obligation de paiement et que la sélection d’options supplémentaires - par le biais d’une case à cocher, par exemple - occasionne des frais additionnels.

    1.3 L’information après la conclusion du contrat
Enfin, l’obligation d’information se poursuit après la conclusion du contrat. Le professionnel doit adresser à l’internaute une confirmation de sa commande et joindre à cette confirmation une copie des CGV ou CGU ainsi qu’un formulaire de rétractation. Ces documents doivent être communiqués sur un support durable, par exemple en pièces jointes à un email de confirmation de commande, sous format .pdf. (2)

En cas de litige, la charge de la preuve du respect de cette obligation d’information incombe au professionnel.


2. Les nouvelles conditions d’exécution des contrats B-to-C

La nouvelle réglementation modifie certaines conditions d’exécution des contrats conclus en ligne telles que les conditions de livraison, et les conditions relatives au droit de rétractation.

    2.1 La livraison, le transfert des risques et les garanties
Les délais d’exécution du contrat : le professionnel doit livrer le bien ou fournir le service à la date ou dans le délai indiqué au consommateur. A défaut de délai stipulé, la livraison ou l’exécution de la prestation doit intervenir au plus tard 30 jours après la conclusion du contrat.

Les risques supportés par le professionnel : lorsque le vendeur se chargera de l’acheminement du bien vendu, le risque de perte ou de détérioration de ce bien ne sera transféré au consommateur qu’au moment où ce dernier en prendra physiquement possession. Le transfert des risques ne s’opère donc plus, comme précédemment, au moment de la conclusion du contrat de vente.

Toutefois, si le consommateur confie le transport à un prestataire autre que le transporteur proposé par le professionnel, le consommateur supporte alors le risque de perte du bien dès le transport.

Les garanties dues en cas de vente : le consommateur qui achète un bien bénéficie de trois types de garanties : la garantie légale de conformité, la garantie légale des vices cachés et la garantie commerciale, cette dernière garantie n’étant pas obligatoire. L’objet de ces garanties est d’obtenir,  dans certaines conditions, la réparation ou le remplacement du bien défectueux.

La nouvelle règlementation oblige le professionnel à informer le consommateur quant à ces garanties et notamment à préciser dans les CGV l’existence, les conditions de mise en oeuvre et le contenu des garanties légales et, le cas échéant, d’une garantie commerciale et d’un service après-vente. En outre, le Code de la consommation modifié dispose que la garantie commerciale doit faire l’objet d’un écrit, comportant certaines mentions obligatoires.

    2.2 La responsabilité de plein droit
Le professionnel est responsable de plein droit à l'égard du consommateur de la bonne exécution des obligations résultant du contrat conclu à distance, que ces obligations soient exécutées par le professionnel qui a conclu ce contrat ou par d'autres prestataires de services, sans préjudice de son droit de recours contre ceux-ci.

Le vendeur peut s'exonérer de tout ou partie de sa responsabilité vis-à-vis de l’acheteur en rapportant la preuve que l'inexécution ou la mauvaise exécution du contrat est imputable soit au consommateur, soit au fait, imprévisible et insurmontable, d'un tiers au contrat, soit à un cas de force majeure.

Ce régime de responsabilité n’est pas nouveau puisqu’il existe depuis l’entrée en vigueur de la loi pour la confiance dans l’économie numérique de 2004. Il est confirmé dans la loi de mars 2014.

    2.3 Le droit de rétractation
Le délai de rétractation : le professionnel a désormais l’obligation d’accorder au consommateur un délai 14 jours, et non plus 7 jours, pour faire jouer son droit de rétractation. Ce délai commence à courir, soit à compter de la conclusion du contrat - pour les prestations de services, soit à compter de la réception du bien par le consommateur ou un tiers désigné (hors transporteur) - pour la vente.

Ce droit doit pouvoir être exercé au moyen d’un formulaire de rétractation mis à disposition du consommateur par le commerçant, ou toute autre déclaration, dénuée d’ambiguïté, exprimant la volonté de se rétracter.

Le droit de rétractation ne s’applique pas à tous les achats sur internet. Certains contrats, par leur objet, n’ouvrent pas droit à la faculté de rétractation ; les cas d’exclusion du droit de rétractation étant plus nombreux qu’auparavant.

La restitution du bien : le consommateur doit restituer le bien au plus tard, dans les 14 jours suivant la communication de sa décision de se rétracter. La réglementation antérieure ne fixait pas de délai de restitution. 

Le délai de remboursement : en outre, le délai de remboursement par le professionnel au consommateur est réduit de 30 à 14 jours à compter de la date de rétractation, soit potentiellement avant même d'avoir reçu les biens en retour. Le vendeur risque donc d’être dans des situations où il aura remboursé le bien alors que celui-ci n’a pas été renvoyé, ou que le bien a été renvoyé mais dans un état ne permettant pas de le remettre en vente.


3. Le renforcement des contrôles de conformité à la loi Informatique et Libertés

Les sites de commerce électronique collectent des informations relatives à leurs clients (nom, prénom, adresse email, etc.) au moment de l’inscription sur le site ou de la passation de la commande. La loi Informatique et Libertés de 1978 encadre le traitement de ces données à caractère personnel. (3) Elle détaille en outre les missions et pouvoirs dévolus à la CNIL. La loi Hamon vient d’étendre ses pouvoirs de contrôle.

    3.1 Rappel des obligations issues de la loi Informatique et Libertés
Un traitement de données à caractère personnel comprend tous types d'opérations, quel que soit le procédé utilisé, et notamment, le fait de collecter, enregistrer, conserver, modifier, diffuser ou détruire des données personnelles. La collecte et le traitement des données personnelles doivent respecter les principes de loyauté et de proportionnalité définis par la loi Informatique et Libertés. 

De nombreuses obligations pèsent sur le responsable de ce traitement, telles que : (i) déclarer à la CNIL tout traitement ou fichier automatisé de données (déclarations ou demandes d'autorisation et d'avis selon les données concernées et les traitements envisagés), préalablement à sa mise en oeuvre, (ii) respecter la finalité du traitement, (iii) conserver les données pendant une durée raisonnable, (iv) assurer l’intégrité des données en adoptant des mesures de sécurité et (v) permettre aux personnes concernées par le traitement de leurs données, d’exercer leurs droits (droits d'accès, de contestation, de rectification et d’opposition).

    3.2 Les pouvoirs de contrôle de conformité étendus de la CNIL
Depuis 2004, les agents de la CNIL sont habilités à effectuer des contrôles de conformité sur place, c’est-à-dire dans les locaux des entreprises à partir desquels des traitements de données personnelles sont mis en oeuvre. Ces contrôles sont généralement réalisés à la suite de plaintes d’utilisateurs et de manière inopinée. Les agents de la CNIL peuvent demander communication de tout document, recueillir tout renseignement utile et accéder aux programmes informatiques et aux données afin de vérifier la conformité à la loi ou encore se faire assister par des experts.

La loi Hamon modifie la loi Informatique et Libertés en prévoyant désormais la possibilité pour la CNIL d’effectuer des contrôles de conformité à distance. Les agents de la CNIL seront habilités à : (i) procéder à toute constatation utile à partir d’un service de communication au public en ligne, (ii) consulter les données librement accessibles ou rendues accessibles, y compris par imprudence, par négligence ou par le fait d’un tiers, le cas échéant en accédant et en se maintenant dans des systèmes de traitement automatisé de données, le temps nécessaire aux constatations, et (iii) retranscrire les données par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle.

A la suite des investigations, un procès-verbal de contrôle sera dressé de façon unilatérale et notifié a posteriori à l’entreprise concernée, simplement pour observation. (4)


4. Les sanctions encourues en cas de manquement à la loi Hamon

Les manquements aux dispositions de la loi du 17 mars 2014 relatives notamment à l’obligation d’information des consommateurs, le droit de rétractation et la protection des données personnelles sont assortis de sanctions de nature pénale.

L’information des internautes : tout manquement à l’obligation d’information sera passible d’une amende administrative d’un montant maximal de 3.000€ pour une personne physique et 15.000€ pour une personne morale.

L’obligation de livraison : à défaut de livraison dans les délais, le consommateur peut demander la résolution du contrat de vente. Dans ce cas, le professionnel est tenu de rembourser le consommateur de la totalité des sommes versées, au plus tard dans les 14 jours suivant la date à laquelle le contrat a été dénoncé. La somme versée par le consommateur est de plein droit majorée de 10% si le remboursement intervient plus de 30 jours après ce délai, de 20% jusqu'à soixante jours et de 50% au-delà.

Le droit de rétractation : en cas d’absence d’information précontractuelle sur l’existence du droit de rétractation, le délai de rétractation de 14 jours passe à 12 mois.

Par ailleurs, le professionnel qui ne rembourse pas au consommateur "rétracté" la totalité des sommes versées dans le délai légal de 14 jours se voit - sauf exception - appliquer de plein droit des pénalités croissantes avec le retard de remboursement (taux d’intérêt légal et au-delà de 10 jours de retard, pénalités calculées en pourcentage du prix de vente du bien).

Enfin, les manquements aux conditions d’exercice du droit de rétractation, ainsi que ses effets, sont passibles d’une amende administrative s’élevant à 15.000€ pour une personne physique et 75.000€ pour une personne morale.

La protection des données personnelles : la nouvelle règlementation n’a pas modifié les sanctions en cas de non-respect de la loi Informatique et Libertés.

Pour rappel, à l’issue du contrôle et lorsque des manquements à loi Informatique et Libertés sont relevés, la CNIL peut prononcer un avertissement ou mettre le responsable du traitement en demeure de faire cesser le manquement constaté dans un délai qu’elle fixe. Si le responsable du traitement ne se conforme pas à la mise en demeure, la CNIL peut prononcer une sanction pécuniaire d’un montant maximal de 150.000€ (allant jusqu’à 300.000€ en cas de récidive), une injonction de cesser le traitement ou un retrait de l’autorisation éventuellement accordée par la CNIL.

La CNIL peut également rendre publiques les sanctions qu’elle prononce, en procédant à leur publication sur son site ou en ordonnant leur insertion dans la presse, aux frais de l’organisme sanctionné. Cette dernière sanction est, de toute évidence, susceptible de nuire à l’image de marque de l’entreprise concernée.

Indépendamment des sanctions administratives, l'entreprise qui n'a pas mis en place des mesures de sécurité suffisantes pour protéger les données personnelles est passible de sanctions pénales pouvant atteindre 300.000€ d’amende et cinq ans d'emprisonnement.


   Dans ce contexte, il est recommandé aux exploitants de sites de commerce électronique qui n’auraient pas encore fait cette mise à jour, de faire réaliser, dans les meilleurs délais, un audit de conformité juridique de leur site. Il convient également de porter une attention particulière au processus de passation de commande, à la procédure d’acceptation des CGV/CGU et à la communication effective des documents contractuels à l’acheteur. Enfin, il appartient aux responsables de traitement de données de s’assurer de la conformité des traitements réalisés et si nécessaire, de faire procéder à des audits de conformité à la loi Informatique et Libertés.

                                                      * * * * * * * * * *

(1) Loi n°2014-344 du 17 mars 2014 relative à la consommation et Directive européenne n° 2011/83 du 25 octobre 2011 relative aux droits des consommateurs.

(2) Au sujet de la validité et de l’opposabilité des CGV, voir notre article http://dwavocat.blogspot.fr/2012/10/e-commerce-les-conditions-de-validite.html

(3) Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée.

(4) Au sujet des nouveaux pouvoirs d’enquête de la CNIL, voir notre article http://dwavocat.blogspot.fr/2014/03/donnees-personnelles-vers-un.html



Bénédicte DELEPORTE – Avocat
Betty SFEZ – Avocat
Deleporte Wentz Avocat
www.dwavocat.com

Juin 2014