Cybersurveillance des salariés : les SMS échangés depuis un téléphone mobile professionnel sont présumés professionnels

La Cour de cassation vient de rendre une décision précisant les conditions dans lesquelles l’employeur peut consulter les SMS de ses salariés. Avant d’exposer les faits de l’espèce et la décision de la Cour, nous rappelons brièvement les règles applicables en matière de cybersurveillance des salariés.


1. Rappel des règles applicables en matière de cybersurveillance des salariés

Il appartient à l’employeur, dans le cadre de son pouvoir directionnel et disciplinaire, de s’assurer de la bonne exécution du travail de ses salariés. Le droit pour l’employeur de contrôler l’activité de son personnel durant le temps de travail découle du lien de subordination existant entre l’employeur et le salarié. La surveillance et le contrôle de l’activité des salariés paraît donc légitime.

Avec le développement des technologies de l’information, les dispositifs techniques de surveillance sont venus compléter le contrôle humain des salariés, exercé par l’employeur. Les moyens utilisés sont variés : vidéosurveillance, biométrie et badges électroniques d’accès aux locaux, géolocalisation, dispositifs de contrôle de la messagerie électronique, systèmes de filtrage de sites internet, etc. Le contrôle peut avoir pour objectif d’assurer la sécurité des réseaux contre les attaques informatiques ou de limiter les risques d’abus liés à l’utilisation d’internet ou de la messagerie à des fins personnelles.

Toutefois, le contrôle de l’activité des salariés doit respecter quelques principes et conditions posés par la réglementation (Code du travail et loi informatique et libertés) et la jurisprudence.

Ainsi, l’employeur ne peut apporter de restrictions aux libertés individuelles et collectives si elles ne sont pas “justifiées par la nature de la tâche à accomplir ni proportionnées ou au but recherché” (art. L.1121-1 du code du travail). La jurisprudence a notamment affirmé que le salarié a droit au respect de sa vie privée sur son lieu de travail et pendant son temps de travail.

Par ailleurs, en cas de contrôle, l’employeur doit respecter les principes de transparence, de loyauté et de proportionnalité. Ces principes impliquent notamment pour l’employeur l’obligation d’informer les salariés sur la possibilité et l’étendue du contrôle, mais également d’informer ou de consulter les instances représentatives du personnel. A ce titre, il est vivement recommandé de mettre en place une charte informatique au sein de l’entreprise. (1)

Enfin, si le moyen de contrôle utilisé implique la collecte et le traitement de données à caractère personnel, il incombera à l’employeur d’effectuer des démarches déclaratives auprès de la Commission nationale de l’informatique et des libertés (CNIL).

Plusieurs décisions ont été rendues dans ce domaine depuis le début des années 2000, venant préciser les droits et limites de l’employeur en matière de cybersurveillance de ses salariés. Ainsi, les fichiers et emails, envoyés et reçus par un salarié, à l’aide des équipements informatiques mis à disposition par l’employeur, sont présumés avoir un caractère professionnel et peuvent être consultés par ce dernier. Ce principe connaît cependant une exception si le salarié a clairement identifié les fichiers ou emails comme étant personnels.

La jurisprudence évolue et se précise avec l’apparition de “nouveaux” outils et pratiques. Ainsi, la Cour de cassation a jugé en 2013 que la clé USB personnelle d’un salarié connectée à l’ordinateur mis à la disposition de ce dernier par son employeur était présumée être utilisée à des fins professionnelles. L’employeur pouvait donc avoir accès aux fichiers non identifiés comme personnels contenus sur la clé, et ce même hors de la présence du salarié. (2)


2. Le cas des SMS : la décision GFI Securities Ltd c/ Newedge Group

Cette affaire opposait deux sociétés de courtage d’instruments financiers, la société Newedge Group (Newedge) et la société GFI Securities (GFI). La société Newedge reprochait à GFI d’avoir procédé au débauchage massif de ses salariés avec pour conséquence la désorganisation interne de Newedge.

La société Newedge a donc décidé de faire constater les agissements de la société GFI et obtenu, pour ce faire, une ordonnance sur requête autorisant un huissier à procéder au constat des informations issues des outils de communication mis à la disposition de ses salariés. Suite à ce constat, la société Newedge a utilisé les SMS “compromettants” extraits des smartphones de ses salariés pour poursuivre GFI en justice.

La société GFI a demandé la rétractation de cette ordonnance, estimant que l'utilisation de tels messages par l'employeur, effectuée à l'insu de l'auteur des propos invoqués, constituait un procédé déloyal rendant irrecevable en justice la preuve ainsi obtenue. Déboutée en appel, la société GFI s’est alors pourvue en cassation.

La société GFI invoquait notamment le fait que :

- le règlement intérieur et la charte informatique de la société Newedge ne prévoyaient pas que les SMS envoyés ou reçus par les salariés sur le téléphone mobile mis à leur disposition par l’entreprise étaient présumés avoir un caractère professionnel, de sorte que l'employeur pouvait y avoir accès hors de la présence du salarié, dès lors qu'ils n'étaient pas marqués comme “personnels”. Ces documents ne faisaient mention que des emails et des conversations téléphoniques ;

- il est impossible d'identifier comme “personnel” un SMS envoyé par un téléphone mobile, de tels messages ne comportant pas de champ “objet”.

Dans un arrêt du 10 février 2015, la Cour de cassation a confirmé la décision de la Cour d’appel et a débouté la société GFI de ses demandes. La Cour a jugé que : “les SMS envoyés ou reçus par le salarié au moyen du téléphone mis à sa disposition par l'employeur pour les besoins de son travail sont présumés avoir un caractère professionnel, de sorte que l'employeur est en droit de les consulter en dehors de la présence de l'intéressé, sauf s'ils sont identifiés comme étant personnels”. Or, en l’espèce, ces messages n’avaient pas été identifiés comme personnels par les salariés. Dès lors, selon la Cour, la recherche de ces messages et leur consultation “pour des motifs légitimes” par l’employeur, puis leur utilisation en justice constituent un procédé loyal. (3)


Il ressort donc de cette décision que l’employeur a la possibilité de consulter les SMS de ses salariés aux conditions suivantes : les SMS sont envoyés et reçus au moyen du téléphone portable mis à leur disposition par l’employeur ; les messages ne doivent pas être identifiés comme “personnel” ou “privé” ; et la consultation doit être justifiée par un “motif légitime” (soupçons de fraude, violation d’une clause de confidentialité, etc.).

Cette décision rejoint la jurisprudence visant à préciser les conditions dans lesquelles l’employeur peut contrôler l’utilisation par ses salariés des équipements informatiques de l’entreprise. Il appartient donc aux salariés d’être vigilants quant à l’utilisation de leurs smartphones professionnels fournis par l’employeur. En revanche, pour le moment, la question du contrôle reste posée pour les équipements informatiques du salarié (ordinateur, tablette, smartphone) utilisés dans l’entreprise à des fins professionnelles (BYOD). A ce titre, la charte informatique sera le document de référence pour définir les droits et les devoirs de chacun, salarié et employeur, en matière du bon usage des ressources informatiques.

                                                         * * * * * * * * * * *


(1) Voir notamment notre article intitulé “La charte informatique face à l’évolution des technologies : l'outil indispensable pour définir les règles du jeu"

(2) Cass., ch. soc., 12 février 2013, n°11-28.649.

(3) Cass, ch. comm., 10 février 2015, n°13-14779

Bénédicte DELEPORTE
Betty SFEZ
Avocats

Deleporte Wentz Avocat
www.dwavocat.com

Février 2015

Pour ou contre la pratique du BYOD : quelques réponses juridiques

La pratique du BYOD (Bring Your Own Device) ou le fait d’apporter et d’utiliser ses propres appareils numériques (smartphone, ordinateur, tablette) au travail tend à se répandre. Certains prônent la flexibilité, la mobilité et la facilité d’utilisation d’appareils auxquels les collaborateurs sont déjà habitués. D’autres rappellent les inégalités entre les collaborateurs qui peuvent (ou doivent) utiliser leurs propres appareils et les autres. Au-delà de ces prises de position se posent de réelles questions, en termes de sécurité, mais également en termes juridiques.

Nous aborderons le sujet du BYOD selon trois axes : celui de la sécurité informatique, celui relatif à la nécessaire distinction entre les données professionnelles et les données privées, et enfin, l’axe “pédagogique” de la charte informatique.


1. BYOD et sécurité

La question de la sécurité concerne non seulement la sécurité des systèmes informatiques de l’entreprise, mais également, la sécurité de l’information.

La sécurité des systèmes informatiques de l’entreprise est, à juste titre, au coeur de la préoccupation des Directions informatiques.

L’entreprise qui tolère l’utilisation par ses collaborateurs de leurs propres équipements numériques à des fins professionnelles, sans mettre en place les procédures de sécurité appropriées pour assurer la fiabilité de ces supports (logiciels devant être utilisés, anti-virus à installer, etc.), se met en situation de précarité. Hormis les coûts engendrés en cas d’atteinte au système informatique, un système mal sécurisé et vulnérable aux intrusions peut engager la responsabilité de l’entreprise, ou au moins, si l’on se réfère aux dernières jurisprudences dans ce domaine, entraîner un allègement de la responsabilité de la personne coupable de l’atteinte au STAD. (1)

Les risques liés au BYOD concernent également les accès à distance aux serveurs et données, particulièrement si l’entreprise n’a pas déployé une politique de gestion des équipements BYOD, avec des pré-requis techniques avant d’autoriser l’accès à son système informatique, que ce système soit géré en interne, hébergé par un tiers ou exploité en mode Cloud.

En outre, en matière de traitements de données à caractère personnel, les entreprises sont responsables en cas d’atteinte à la sécurité des systèmes, en leur qualité de responsable de traitement. La loi Informatique et Libertés impose en effet au responsable de traitement de prendre toutes précautions utiles (mesures de sécurité technique et physique) pour empêcher que les données personnelles de leurs salariés et clients ne soient erronées, modifiées, effacées par erreur, ou que des tiers non autorisés y aient accès. (2)

Enfin, le BYOD requiert de mettre en place une politique spécifique relative au traitement des documents de l’entreprise et à leur confidentialité, afin d’éviter que d’autres personnes n’y aient accès, notamment si l’ordinateur personnel ou la tablette sont utilisés par ailleurs par d’autres membres de la famille.


2. BYOD et distinction entre données professionnelles et données privées

La frontière entre vie privée et vie professionnelle tend à se brouiller pour certaines catégories de salariés (télétravail, et mobilité notamment).

La jurisprudence relative aux droits de l’employeur à accéder aux documents et emails sur l’ordinateur du salarié est désormais relativement bien établie. Ainsi, l'employeur peut avoir accès aux fichiers informatiques créés, reçus et envoyés par les salariés, que ce soit dans le cadre de la réalisation normale de leur mission, ou dans une finalité de contrôle pour protéger les intérêts de l'entreprise ou sauvegarder les preuves en cas de faute disciplinaire du salarié.

Jusqu’à présent, la jurisprudence concernait les accès aux fichiers et emails sur les ordinateurs professionnels mis à la disposition des salariés par l’employeur. En résumé, l’employeur peut accéder aux fichiers numériques et emails du collaborateur, même en son absence, à l’exception des fichiers et emails identifiés comme “personnel” ou “privé”. La jurisprudence a récemment étendu cette faculté d’accès par l’employeur pour les documents se trouvant sur une clé USB appartenant au salarié, mais connectée à l’ordinateur professionnel. (3)

Alors qu’un appareil fourni par l’entreprise a pour finalité première d’être utilisé à des fins professionnelles et que l’utilisation à des fins privées est tolérée à la marge, un appareil personnel est censé être utilisé d’abord à des fins personnelles.

La jurisprudence relative à l’accès par l’employeur au contenu de l’ordinateur professionnel du salarié nous paraît difficilement transposable, telle quelle, au BYOD. En effet, le salarié a droit au respect de l'intimité de sa vie privée. Son employeur ne saurait librement accéder à ses équipements pour en contrôler le contenu. Afin de rétablir un équilibre entre données privées et données professionnelles, il est donc indispensable de définir les “règles du jeu” par la mise en oeuvre d’une charte technologique au sein de l’entreprise.


3. BYOD et charte technologique

Chaque entreprise devrait avoir déployé une charte informatique (également dénommée charte technologique ou charte utilisateur). (4) Cependant, même lorsqu’une charte est en vigueur dans l’entreprise, celle-ci doit être régulièrement revue et mise à jour pour tenir compte de l’évolution des usages et des technologies.

La charte informatique a une dimension pédagogique, à la fois pour les responsables informatique et sécurité qui doivent faire l’effort de poser les bonnes questions pour l’entreprise, la sécurité des systèmes et des données afin de rédiger une charte pertinente, et pour les collaborateurs qui auront à leur disposition les lignes de conduite à suivre dans ce domaine.

Ainsi, l’objet de la charte n’est pas nécessairement d’interdire mais de tracer les limites entre ce qui est autorisé et ce qui ne l’est pas : les collaborateurs sont-ils autorisés à utiliser la messagerie électronique pour échanger des emails privés, peuvent-ils consulter et utiliser les réseaux sociaux pendant leurs heures de travail, enfin sont-ils autorisés à utiliser leurs propres équipements pour l’exécution de leur travail, etc.

L’entreprise devra prendre une position claire sur le fait d’autoriser ou d’interdire l’utilisation par les collaborateurs de leurs propres équipements à des fins professionnelles. Si l’entreprise décide d’autoriser la pratique du BYOD, les règles d’utilisation devront alors être clairement définies afin de pallier les risques identifiés ci-dessus.

En cas d’autorisation du BYOD, la charte devra déterminer les types d’équipements autorisés, les logiciels et mesures de sécurité qui doivent être adoptés par les collaborateurs concernés, les règles de distinction ou de partition entre sphère privée numérique et sphère professionnelle numérique sur les équipements, et les règles d’accès aux données professionnelles par l’employeur.

Enfin, il conviendra de gérer rigoureusement le départ du collaborateur de l’entreprise. En principe, les équipements sont restitués à l’entreprise au moment du départ du collaborateur. Dans le cas du BYOD, il conviendra de prévoir une procédure d’effacement des données professionnelles, avec un engagement de confidentialité renforcé de la part du salarié sur le départ, sans oublier de fermer ses accès à distance au système informatique de l’entreprise (blocage des identifiants et mots de passe).


La question du BYOD ne laisse pas indifférent, à tel point que certains détournent cet acronyme en “buy your own device” (achetez votre propre appareil) ou “bring your own disaster” (apportez votre catastrophe) ! Il n’en demeure pas moins que le BYOD est source de risques en matière de sécurité informatique et juridique. Toute entreprise, quelle que soit sa taille, doit prendre position sur le fait d’interdire ou d’autoriser à ses collaborateurs l’utilisation de leurs équipements numériques. L’interdiction a le mérite d’écarter ces risques, a fortiori si l’entreprise intervient sur des domaines sensibles. Elle permet de conserver le contrôle et de rationaliser le parc informatique et les budgets y afférents ainsi que de gérer les risques de sécurité, compte tenu des composantes matérielles et logicielles. En revanche, l’autorisation du BYOD doit être accompagnée par le déploiement d’une politique de sécurité renforcée et d’une charte informatique adaptée, comprises par les collaborateurs et régulièrement contrôlées et mises à jour.

                                                     * * * * * * * * * *

(1) Voir notamment : CA Paris, 12é ch., 30 oct. 2002 Antoine C. / Ministère public et société Tati ; TGI Paris, 12é ch., 17 déc. 2010, Blogmusik / Anthony C, et TGI Créteil, 11e ch. correctionnelle, 23 avril 2013, Ministère public / Olivier L. (à noter que le Ministère public a interjeté appel de ce jugement).

(2) Art. 34 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée; et voir notre article “Protection des données personnelles : qui est responsable en cas de manquement à la loi ?” publié en mai 2013 sur notre blog à : http://dwavocat.blogspot.fr/2013/05/protection-des-donnees-personnelles-qui.html

(3) Voir les dernières jurisprudences de la Cour de cassation : C. cass., ch. soc., 16 mai 2013, N°12-11866 ; C. cass., ch. soc., 19 juin 2013, N°12-12138 ; C. cass., ch. soc.,12 février 2013, No 11-28.649 ; C. cass., ch. soc.,10 mai 2012, N°11-13.884 et notre article “Principes et limites à l’accès aux emails des salariés par l’employeur : les dernières décisions jurisprudentielles” publié en septembre 2013 sur notre blog à http://dwavocat.blogspot.fr/2013/09/principes-et-limites-lacces-aux-emails.html

(4) A ce sujet, nous renvoyons à nos articles relatifs à la mise en place d’une charte informatique  : http://dwavocat.blogspot.fr/2011/12/la-charte-informatique-face-levolution.html et http://dwavocat.blogspot.fr/2013/10/la-protection-du-patrimoine.html


Bénédicte DELEPORTE

Deleporte Wentz Avocat
www.dwavocat.com
Novembre 2013

Les nouvelles règles de la DME2 relatives aux établissements de monnaie électronique bientôt transposées en droit français

La monnaie électronique, équivalent numérique de l'argent liquide, se définit comme une valeur monétaire stockée sous forme électronique, y compris magnétique, tel le porte-monnaie électronique de type Monéo.

Le statut d'établissement de monnaie électronique ("EME") a été clarifié par la Directive du Parlement européen et du Conseil du 16 septembre 2009 (dite "DME2"). Cette directive abroge la directive du 18 septembre 2000 ("DME1"), qui aurait freiné le développement du marché de la monnaie électronique en posant des exigences en capital minimum particulièrement élevées, en interdisant aux EME d’exercer d'autres activités commerciales et en imposant des règles prudentielles relativement lourdes. (1)

Bien qu'elle ait instauré un régime juridique plus attractif pour les EME, la directive de 2009 n'a toujours pas été transposée par la France. Aussi, sous la pression de la Commission européenne, la France a entamé les travaux de transposition. Un projet de loi est actuellement en cours de discussion devant le Parlement. Ce projet fixe de nouvelles règles juridiques concernant l'accès à l'activité des établissements de monnaie électronique et son exercice.

Nous étudions ci-après les principales dispositions de la Directive DME2 puis celles du projet de loi français.

1. Un nouveau régime juridique européen pour les EME qui tarde à être transposé en droit français

La directive DME2 a pour objectifs de promouvoir la mise en place d'un véritable marché unique des services de monnaie électronique en Europe, de permettre à des services de monnaie électronique innovants de voir le jour et à de nouvelles sociétés d'accéder au marché et enfin de favoriser une concurrence effective entre tous les acteurs de ce marché. (2) En dépit des assouplissements apportés au régime juridique des EME par cette Directive, la France tarde à transposer ce texte en droit interne.

    1.1 Les principales dispositions de la directive DME2 du 16 septembre 2009
Le changement majeur instauré par la directive DME2 est la création d'un régime juridique spécifique pour les établissements de monnaie électronique. Le régime prudentiel des EME sera désormais plus proche de celui des établissements de paiement que des établissements de crédit. Les principales dispositions de la directive à retenir portent sur les points suivants :

    - La nécessité d'un agrément : l'établissement de monnaie électronique est une personne morale dont l’activité est soumise à l’obtention d’un agrément de l’autorité compétente de l’Etat membre l'autorisant à émettre de la monnaie électronique.

    - La réduction du capital initial minimal : l'exigence d'un capital initial d'un million d'euros pour les EME, sous le régime de la Directive DME1, a été abandonnée. Désormais, les établissements de monnaie électronique doivent détenir, au moment de l’agrément, un capital initial minimal de 350.000€.

    - Les fonds propres à détenir : les EME ont l'obligation de satisfaire à tout moment à une exigence minimale de fonds propres prudentiels. Ces fonds ne peuvent être inférieurs au plus élevé des montants suivants : le montant du capital initial minimal, soit 350.000€, ou le montant imposé par la directive 2007/64/CE sur les services de paiements (déterminé selon un calcul complexe) (3). En outre, l’EME doit disposer à tout moment de fonds propres prudentiels d’un montant au moins égal à 2% de la moyenne de la monnaie électronique en circulation.

    - La diversité des activités autorisées : outre l’émission de monnaie électronique, les EME sont désormais habilités à fournir des services additionnels, tels que des services de paiement, des services connexes à l’émission de monnaie électronique ou aux services de paiement, des services de gestion de systèmes de paiement, mais également des activités commerciales autres que l’émission de monnaie électronique.

  - Les conditions de remboursement de la monnaie électronique : désormais, les émetteurs de monnaie électronique doivent rembourser la valeur monétaire de la monnaie électronique détenue, à la demande du détenteur de monnaie électronique, à tout moment et à sa valeur nominale. Le contrat conclu entre l’émetteur de monnaie électronique et le détenteur de monnaie électronique établit clairement et de façon visible les conditions de remboursement, y compris les frais éventuels y afférents. Le détenteur de monnaie électronique est informé de ces conditions préalablement à la conclusion du contrat.

    - Le régime dérogatoire pour les petits EME (ou "PEME") : ces établissements peuvent être exemptés d'une partie des dispositions de la directive relatives aux règles prudentielles, au capital initial et aux fonds propres. Ils sont autorisés à être inscrits dans le registre des EME, sous réserve que :
a) leurs activités commerciales dans leur ensemble génèrent un montant moyen de monnaie électronique en circulation qui ne dépasse pas un plafond fixé par l’État membre mais qui, en tout état de cause, n’est pas supérieur à 5 millions d'euros; et
b) aucune des personnes physiques responsables de la gestion ou de l’exercice de l’activité n’a été condamnée pour des infractions liées au blanchiment de capitaux, au financement du terrorisme ou à d’autres délits financiers.

La directive DME2 étant d’harmonisation maximale (et non minimale comme la DME1), les Etats membres bénéficient d'une faible marge de manoeuvre dans sa transposition en droit interne. La France a donc l'obligation de reprendre en droit national les dispositions instaurées au niveau européen.

    1.2 Une transposition tardive en droit français et ses conséquences
Les Etats membres avaient jusqu'au 30 avril 2011 pour transposer la Directive DME2 dans leur droit interne. Le gouvernement français a tenté, à trois reprises et en vain, de transposer la Directive par la voie d'ordonnance. Cette transposition en droit français a échoué pour diverses raisons : dépassement des délais, abandon d'habilitation en cours de débat puis censure du Conseil constitutionnel.

Ayant largement dépassé le délai maximal de transposition, la Commission européenne a ouvert,  le 26 avril 2012, une procédure d'infraction à l'encontre de la France et des autres pays retardataires (la Belgique, Chypre, l'Espagne, la Pologne et le Portugal). Par un avis motivé, la Commission a "invité" la France à l'informer, dans un délai de deux mois, des mesures prises pour mettre sa législation nationale en conformité avec la Directive DME2. Passé ce délai, la Commission avait la possibilité de saisir la Cour de Justice de l'Union européenne et demander d'imposer des sanctions financières aux Etats membres. (4)

Suite aux pressions exercées par la Commission, c'est finalement par voie de projet de loi, déposé au Sénat le 1er août 2012, que la France a pris l'initiative de transposer la Directive. Ce projet est actuellement en cours de discussion au Parlement. La loi de transposition n’est toujours pas votée au 1er décembre 2012.


2. L'adoption du nouveau régime juridique pour les EME en débat au Parlement français

Actuellement, en France, les services de monnaie électronique ne peuvent être proposés que par des banques ou des établissements de crédit. Ainsi, les entreprises françaises souhaitant offrir ces services doivent aujourd'hui nécessairement obtenir un agrément en tant qu'établissement de crédit, nécessitant une mise en conformité avec un régime très strict. La transposition de la Directive DME2 en droit français, permettant un assouplissement du régime actuel, est donc attendue par des entrepreneurs n’appartenant pas au domaine bancaire, souhaitant se lancer dans l’activité de fourniture de service de monnaie électronique.

Le projet de loi a été adopté par le Sénat et présenté en première lecture à l'Assemblée Nationale, le 27 septembre 2012. (5) Ce projet comprend une trentaine d'articles relatifs à la monnaie électronique (Titre I du projet de loi) qui viendront compléter ou modifier les dispositions du Code monétaire et financier ("CMF").

Les dispositions essentielles du projet de loi concernent d’une part les conditions d’accès à l’activité d’EME, d’autre part les conditions d’exercice de cette activité.

    2.1 Les conditions d'accès à l'activité d’EME
Le projet de loi prévoit que les établissements de monnaie électronique sont des personnes morales, autres que les établissements de crédit, qui émettent et gèrent à titre de profession habituelle de la monnaie électronique (nouvel article L. 526-1 et s. CMF).

    - La nécessité d'un agrément : préalablement à l’émission et à la gestion de monnaie électronique, les EME doivent obtenir un agrément délivré par l’Autorité de contrôle prudentiel, ("ACP") après avis de la Banque de France. Pour délivrer l’agrément, l’ACP s’assure de l’aptitude de l’entreprise requérante à garantir une gestion saine et prudente de l’établissement de monnaie électronique et apprécie la qualité des actionnaires ou associés qui détiennent une participation qualifiée.

    - Un capital minimum obligatoire : pour délivrer l’agrément à un établissement de monnaie électronique, l’ACP vérifie si celui-ci dispose, au moment de la délivrance de l’agrément, d’un capital libéré d’un montant au moins égal à une somme qui sera fixée par voie réglementaire, étant précisé que le montant de 350.000€ fixé par la Directive DME2 est un seuil minimal.

    2.2 Les conditions d'exercice de l'activité d’EME
    - Des dispositions prudentielles particulières : les EME sont tenus de respecter des normes de gestion destinées à garantir leur solvabilité ainsi que l’équilibre de leur structure financière. Ils disposent également d’un dispositif approprié de contrôle interne leur permettant notamment de mesurer les risques et la rentabilité de leurs activités. Ils respectent un niveau de fonds propres adéquat. Comme pour le capital initial, le montant minimum des fonds propres et les modalités de calcul y afférentes seront fixées par voie réglementaire.

    - Un éventail d'activités autorisées : en sus de l’émission, la gestion et la mise à disposition de monnaie électronique, les EME peuvent : (i) fournir des services de paiement, (ii) fournir des services connexes à la prestation de services de paiement ou étroitement liés à l’émission et la gestion de monnaie électronique (ex: des services de change et de garde et l’enregistrement et le traitement des données), et (iii) exercer une activité commerciale autre que les activités mentionnées ci-dessus. Toutefois, ces activités commerciales ne doivent pas être incompatibles avec les exigences de la profession, notamment le maintien de la réputation de l’établissement de monnaie électronique, la primauté des intérêts des clients et le jeu de la concurrence sur le marché considéré.

    - La protection du consommateur : le projet de loi prévoit des obligations contractuelles particulières relatives à l’information préalable du consommateur. Les conditions contractuelles doivent être communiquées dans des termes clairs et aisément compréhensibles au détenteur de monnaie électronique avant tout contrat ou offre liant les parties. Le remboursement des unités de monnaie électronique doit, sauf exceptions, être effectué sans frais pour le détenteur. Le contrat doit établir clairement les conditions et le délai de remboursement des unités de monnaie électronique. Le remboursement devra être effectué, au choix du détenteur de monnaie électronique, en pièces, en billets de banque ou par virement (nouveaux articles L.133-29. et s. L.315-5 et s. CMF).

    - Un régime allégé pour les petits EME : Le projet de loi prévoit un régime allégé pour les petits EME. Ces établissements pourront être exemptés de l'essentiel du dispositif prudentiel, si leurs activités commerciales dans leur ensemble génèrent une moyenne de la monnaie électronique en circulation inférieure à un montant qui sera fixé par décret (nouvel article L.526-19 du CMF). Le montant de 5 millions d'euros prévu par la Directive est un seuil maximal.

    2.3 Des sanctions lourdes en cas d’infraction à la loi
Le projet de loi prévoit plusieurs sanctions qui varient en fonction de la gravité de l'infraction. Ainsi, sont notamment punis de 3 ans d'emprisonnement et 375.000€ d'amende (1.875.000€ pour les personnes morales), toute personne ou entreprise, autre que les EME : (i) émettant et gérant de la monnaie électronique à titre de profession habituelle, ou (ii) utilisant une dénomination, une raison sociale, une publicité ou, d’une façon générale, des expressions faisant croire qu’elle est agréée en tant qu’établissement de monnaie électronique (nouvel article 572-13 et s. CMF).

Ces peines principales peuvent être accompagnées de peines complémentaires telles que : l'interdiction d'exercer l'activité professionnelle dans l'exercice ou à l'occasion de laquelle l'infraction a été commise, ou la fermeture des établissements de l’entreprise ayant servi à commettre les faits incriminés, pour une durée de 5 ans au plus.


    La directive et la future loi française créent ainsi un véritable régime juridique autonome pour les établissements de monnaie électronique. Avec ce nouveau régime, le paysage de la réglementation financière devient plus complexe : il faudra distinguer entre les banques, les établissements financiers, les établissements de monnaie électronique et les prestataires de services de paiement.

Il conviendra de suivre avec attention les prochains débats parlementaires, certaines dispositions du projet de loi étant susceptibles d'évoluer d'ici l'adoption de la loi. En effet, bien que la DME2 impose une harmonisation maximale, certaines de ses dispositions fixent un seuil ou un montant minimum ou maximum, laissant une certaine marge à chaque Etat membre pour sa transposition.

En toute hypothèse, il appartient à la France de ne plus tarder à transposer cette directive si elle ne veut pas être soumise à des contraintes financières. La Commission européenne a ainsi demandé le 21 novembre dernier à la Cour de justice de l’Union européenne d’imposer une astreinte journalière d'environ 60.000€ à la Belgique, faute de transposition. Cette décision de la Commission est intervenue alors que le projet de loi de transposition est actuellement en cours de débat au Parlement belge. 

* * * * * * * * * *

(1) Directive 2000/46/CE du Parlement européen et du Conseil 18 septembre 2000 concernant l'accès à l'activité des établissements de monnaie électronique et son exercice ainsi que la surveillance prudentielle de ces établissements (DME1).

(2) Directive 2009/110/CE du Parlement européen et du Conseil du 16 septembre 2009 concernant l’accès à l’activité des établissements de monnaie électronique et son exercice ainsi que la surveillance prudentielle de ces établissements, modifiant les directives 2005/60/CE et 2006/48/CE et abrogeant la directive 2000/46/CE (DME2)

(3) Directive 2007/64/CE du Parlement européen et du Conseil du 13 novembre 2007 concernant les services de paiement dans le marché intérieur, modifiant les directives 97/7/CE, 2002/65/CE, 2005/60/CE ainsi que 2006/48/CE et abrogeant la directive 97/5/CE. Voir notamment l'article 8 décrivant les méthodes de calcul des fonds propres.

(4) Communiqué de presse de la Commission européenne du 26 avril 2012 "Marché intérieur: la Commission prend des mesures pour faire appliquer les règles européennes en matière de monnaie électronique", Référence: IP/12/418, accessible sur le site : http://europa.eu/.

(5) Projet de loi n°737 portant diverses dispositions d'adaptation de la législation au droit de l'Union européenne en matière économique et financière, déposé le 1er août 2012 et Projet de loi n°232, adopté par le Sénat, portant diverses dispositions d'adaptation de la législation au droit de l'Union européenne en matière économique et financière, déposé le 27 septembre 2012.

Betty SFEZ – Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Décembre 2012

Géolocalisation et protection de la vie privée : la réglementation applicable aux données collectées

La géolocalisation, fonctionnalité présente sur la plupart des smartphones, offre des possibilités d’action de marketing ciblé intéressantes pour les entreprises (commerces, services, rencontres) et pour les utilisateurs. Toutefois, cette technologie rendant possible la surveillance des déplacements d'un individu, dans le temps et dans l’espace, peut donner lieu à certaines dérives et nuire à la vie privée des mobinautes. L'exploitation de services de géolocalisation est de ce fait, encadrée par la loi. Il appartient donc aux sociétés éditrices d'applications mobiles de géolocalisation et aux sociétés utilisant ces applications d'être vigilantes lors de la mise à disposition de ce service au public. Dès que l’exploitation d’un service de géolocalisation implique la collecte et le traitement de données à caractère personnel, ce service est soumis à la réglementation sur la protection de la vie privée.

Le présent article a pour objet de rappeler brièvement le cadre juridique applicable à l’utilisation de services de géolocalisation et le rôle de la CNIL dans ce domaine.


1. Le cadre juridique de la géolocalisation

La géolocalisation consiste notamment à communiquer des informations sur une personne en fonction de sa position géographique. Aussi, dès lors qu’une application mobile implique la collecte et l’exploitation d’informations relatives à la géolocalisation des mobinautes, le traitement de ces informations, considérées comme des données à caractère personnel, doit être conforme aux règles de respect de la vie privée. Les sociétés françaises éditrices et fournisseurs d'applications mobiles de géolocalisation et les sociétés souhaitant utiliser la géolocalisation relèvent de la loi Informatique et Libertés du 6 janvier 1978, en qualité de responsable de traitement. (1)

Un certain nombre d’obligations légales s’imposent aux sociétés exploitant ou utilisant un service de géolocalisation :

    1.1 Les obligations relatives aux traitements de données de géolocalisation
La géolocalisation a le plus souvent pour finalité la collecte de données à caractère personnel. Il s’agit donc d’un traitement de données devant être déclaré à la CNIL préalablement à la mise en exploitation du service. (2)

Concernant les traitements de données de géolocalisation, les sociétés exploitant ce type de service doivent :
    - respecter la finalité du traitement, qui doit être déterminée, explicite et légitime ;
    - obtenir l’autorisation préalable de l’utilisateur de l'application mobile pour : (i) la collecte de ses données de localisation, cette autorisation pouvant être recueillie par l'intermédiaire d'une case à cocher (opt-in) au moment du téléchargement de l’application, ou éventuellement à tout moment pour activer ou désactiver l’application ou l’option de géolocalisation, et (ii) la conservation des informations liées à ses déplacements (historique des déplacements). En outre, l’utilisateur doit pouvoir revenir sur son consentement par un moyen simple et gratuit et pouvoir supprimer les données de localisation qui le concernent ;
    - informer l'utilisateur du type de données collectées, de la durée de leur conservation, de la finalité du traitement, le cas échéant, des personnes à qui les données seront transmises (par exemples, commerçants ou gestionnaire de base cartographique) et de ses droits relatifs à ses données (droits d'accès, de rectification, de contestation et d'opposition (suppression/désinscription) au traitement des données).

La durée de conservation des données collectées doit être raisonnable, en fonction de l’objectif du traitement. Enfin l'entreprise devra assurer la sécurité des informations traitées en adoptant des mesures de sécurité physiques et techniques adaptées à la nature des données et aux risques présentés. (3)

    1.2 Les obligations spécifiques à la réutilisation des données à des fins marketing, ou le “géo-marketing”
Les données de géolocalisation sont parfois utilisées pour envoyer de la publicité géo-ciblée sur le téléphone du mobinaute. Ainsi, grâce à cette technologie, des sociétés envoient aux mobinautes des publicités géo-ciblées, non seulement en fonction de qui ils sont (identité, goûts, habitudes), mais également en fonction de l'endroit où ils se trouvent. Le marketing ciblé basé sur de la géolocalisation n’est pas interdit par la loi. Cependant, les utilisateurs doivent être informés de la possible réutilisation de leurs données par des annonceurs tiers à des fins commerciales, et doivent avoir donné leur consentement (opt-in) pour recevoir ces messages. (4)

    1.3 Les bonnes pratiques dans la mise en oeuvre d’un service de géolocalisation 
Le Groupe de travail de l'article 29 a édité un Avis en mai 2011 regroupant des bonnes pratiques pour les éditeurs d'applications mobiles de géolocalisation.

Le Groupe de l’article 29 recommande ainsi aux sociétés souhaitant déployer un service de géolocalisation (i) d’informer clairement les mobinautes des raisons (finalités) pour lesquelles elles souhaitent utiliser leurs données, et d’obtenir leur consentement pour chacune de ces raisons ; (ii) d’offrir la possibilité aux mobinautes de choisir le niveau de géolocalisation (par exemple à l’échelle d’un pays, d’une ville, d’un code postal, ou d’un quartier) ; (iii) une fois que le service de localisation est activé, de mettre en place une icône, visible en permanence sur chaque écran, indiquant que les services de localisation sont activés et (iv) d’offrir la possibilité aux mobinautes de revenir sur leur consentement à tout moment, sans avoir à quitter l’application et d'être en mesure de supprimer facilement et de manière définitive toute donnée de localisation stockée sur le dispositif. (5)


2. Les pouvoirs de la CNIL et les sanctions encourues en cas de non-conformité aux obligations légales

    2.1 La mission de la CNIL
La Commission est vigilante quant aux risques pouvant résulter d'un développement généralisé et banalisé de la géolocalisation. A ce titre, la CNIL a lancé plusieurs opérations de sensibilisation à l’attention de l’ensemble des citoyens et des dirigeants d’entreprises, notamment par l’intermédiaire de son site internet, afin de rappeler les règles applicables en matière de géolocalisation.

La CNIL s'est également prononcée contre de nouveaux dispositifs de géolocalisation qui lui paraissaient contrevenir aux droits des personnes car de nature trop intrusive. Par exemple, en 2009, la CNIL a demandé à la société Google de mettre son nouveau service de géolocalisation dénommé - Google Latitude - en conformité à la loi Informatique et Libertés. En 2010, la CNIL a mis en garde les membres Facebook contre le nouveau service Facebook Lieux, permettant d'indiquer sa position géographique à tout moment à un autre internaute. Le service permettait  notamment de dévoiler des informations de nature privée et protégeable, pouvant être interceptées et réutilisées par des tiers malintentionnés. (6)

    2.2 Les contrôles de la CNIL et les sanctions applicables en cas de non-conformité aux obligations légales 
La Commission a par ailleurs renforcé les contrôles dans les entreprises proposant des services basés sur cette technologie, afin de s’assurer du respect de la vie privée des mobinautes. En effet, la CNIL dispose de la possibilité d'effectuer des contrôles sur place (dans les locaux de l’entreprise), au cours desquels les agents de la CNIL peuvent demander communication de tout document, recueillir tout renseignement utile et accéder aux serveurs, aux programmes informatiques et aux données afin de vérifier la conformité des traitements mis en oeuvre à la loi Informatique et Libertés.

La mise en place d'un dispositif de géolocalisation en violation des règles précitées peut conduire la CNIL à prononcer, à l’égard du chef d’entreprise qui méconnaît ses obligations, un avertissement, une mise en demeure, une sanction pécuniaire d’un montant maximum de 150.000€ (300.000€ en cas de récidive) et une injonction de cesser le traitement. La CNIL peut également décider de dénoncer les infractions à la loi au procureur de la République. Les manquements à la loi Informatique et Libertés sont punis jusqu'à 5 ans d’emprisonnement et 300.000€ d’amende.


La géolocalisation offre ainsi de nouvelles opportunités pour les professionnels souhaitant développer leurs actions de marketing. Toutefois, dès que des données personnelles sont collectées, cette technologie présente des risques liés à la protection de la vie privée en raison de son caractère particulièrement intrusif. En effet, ce type de technologie peut conduire, à défaut de paramétrage du téléphone ou en cas de piratage, à la surveillance constante des mobinautes, ignorant qu’ils transmettent leur position géographique et à qui ils la transmettent. C'est à ce titre que la loi impose des obligations aux sociétés exploitant un service de géolocalisation. 

En conséquence, il est recommandé aux sociétés exploitant ce type de service de s’assurer de la conformité de leurs traitements au droit de la protection des données à caractère personnel et à défaut, de prendre toutes mesures nécessaires de mise en conformité.

* * * * * * * * * *

(1) Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée, dite Loi Informatique et Libertés.
(2) Toutefois, cette déclaration n’est pas nécessaire en cas de désignation, par l’entreprise mettant en oeuvre ce traitement, d’un Correspondant Informatique et Libertés (CIL). Le CIL veille à la conformité à la loi des traitements mis en oeuvre par l'organisme qui l'a désigné. Voir à ce sujet notre article Le Correspondant Informatique et Libertés, garant de la conformité des traitements de données personnelles à la loi, publié en décembre 2011 (http://dwavocat.blogspot.fr/2011/12/le-correspondant-informatique-et.html)
(3) Voir notamment article L.34-1-V du Code des postes et des communications électroniques.
(4) Voir notamment article L.34-5 du Code des postes et des communications électroniques.
(5) Le groupe de travail, établi en vertu de l’article 29 de la directive 95/46/CE regroupe des représentant des commissions sur le respect de la vie privée de chaque Etat-membre. Concernant la géolocalisation, voir l’Avis 13/2011 sur les services de géolocalisation des dispositifs mobiles intelligents, adopté le 16 mai 2011.
(6) Communiqué CNIL, "Contrôler Latitude", du 11 juin 2009 et Avis CNIL, "Facebook Place en questions", du 15 octobre 2010, accessibles sur le site www.cnil.fr
Bénédicte DELEPORTE – Avocat
Betty SFEZ – Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Août 2012

Applications mobiles : du développement à la distribution, les droits et obligations du développeur

Le développement d’applications mobiles est soumis à des règles de droit, dont le droit de la propriété intellectuelle, et leur exploitation nécessite la mise en oeuvre de plusieurs contrats, suivant le type de distribution envisagé.

Le développement et l’exploitation d’applications recouvrent en effet des réalités variées et particulièrement complexes dans la mesure où l’on opère dans un environnement éminemment multi-national, et où plusieurs systèmes de droit peuvent être amenés à se superposer. En outre, il existe plusieurs cas de figure dans le mode de développement d’applications : le développeur peut réaliser une application pour son compte et mettre cette dernière à la disposition de l’utilisateur final (ou mobinaute), soit directement par le biais de son site web ou blog, soit via une plateforme de téléchargement. Le développeur peut également développer pour le compte d’un tiers, par exemple pour une société souhaitant distribuer une nouvelle application professionnelle. Enfin, le développeur peut réaliser une application pour le compte de son employeur dans le cadre de son contrat de travail.

Nous faisons le point ci-après, d’une part, sur les droits du développeur relatifs au développement d’applications mobiles, d’autre part sur les droits relatifs à la distribution des applications mobiles.

1. Développement d’applications mobiles et droit de la propriété intellectuelle

Une application mobile est une oeuvre complexe, constituée d’un logiciel, et de tout ou partie des éléments suivants : base de données, contenu éditorial, graphisme, photo, musique, vidéo. Il s’agit d’un programme téléchargeable, gratuit ou payant, et exécutable sur un terminal mobile (smartphone, tablette internet). Les applications mobiles peuvent être pré-installées ou téléchargées par l'utilisateur par le biais d'une plateforme de téléchargement (telle l’App Store d’Apple, l’Android Market de Google, parmi les nombreuses plateformes ou places de marché disponibles).

    1.1 Développeur indépendant, ou entreprise de développement d’applis mobiles, et droit d’auteur

Les applications, en tant qu’oeuvres de l’esprit, sont protégées par le droit de la propriété intellectuelle, ou droit d’auteur (et si elle intègrent une ou plusieurs bases de données, celles-ci sont protégées par le droit sui generis des bases de données), à la condition d’être “originales”. La notion d’originalité, définie par la jurisprudence, consiste en “l’empreinte de l’auteur”, ce qui distingue cette oeuvre des autres. La protection d’une oeuvre par le droit d’auteur naît avec sa création (art L.111-1 du Code de la propriété intellectuelle ou CPI) et ne nécessite aucune formalité de dépôt particulière.

Le développeur d’applications détient sur celles-ci les droits de propriété intellectuelle qui y sont afférentes (droits patrimoniaux et droit moral). Ces créations ne pourront donc être utilisées par des tiers (exploitant ou utilisateur) qu’avec l’accord du développeur, soit en vertu d’une licence d’utilisation, soit à la suite de la cession de tout ou partie des droits du développeur.

En cas de développement pour le compte d’un tiers (le développeur étant un consultant indépendant ou une entreprise), un contrat de développement d’application devra être conclu, prévoyant outre les conditions de développement et de rémunération, les conditions de licence d’utilisation ou de cession des droits au client-donneur d’ordre et d’exploitation commerciale de l’application.

Il est rappelé que, dans le cas d’une commande de développement, le simple paiement de la prestation de développement par le client ayant commandé l’application, sans autre précision écrite sur la cession des droits, n’emporte pas la cession des droits de propriété intellectuelle au client. En effet, la cession des droits de propriété intellectuelle est strictement réglementée et n’est effective que si elle est constatée par écrit, dans les termes de l’article L.131-3 al.1 du CPI, étant précisé que les conditions de cession de droits de propriété intellectuelle sont interprétées de manière restrictive par les tribunaux.

Toute utilisation non autorisée d’une application mobile (reproduction ou distribution sans l’autorisation du développeur), comme de toute oeuvre protégée par le droit d’auteur, pourra être qualifiée de contrefaçon.

    1.2 Développeur salarié et droit d’auteur

Le développeur-salarié qui développe une application dans le cadre de son contrat de travail n’est pas, en principe, titulaire des droits patrimoniaux sur sa création. En effet, en cas de développement d’applications par un développeur salarié, les droits sur le développement de la partie logiciel de l’application seront dévolus automatiquement à l’employeur, en vertu des dispositions de l’article L.113-9 du CPI.

Par contre, il conviendra de prévoir des conditions de cession des droits de propriété intellectuelle à l’employeur pour les autres éléments, hors logiciel, de l’application (notamment contenu éditorial, éléments graphiques, musique, etc.) pour que celui-ci puisse ensuite légalement distribuer les applications développées.

Le cas des développements en mode open source
Le développeur utilisant un logiciel libre (ou open source) pour développer des applis mobiles devra se conformer à la licence open source régissant l’utilisation de ce logiciel, notamment, rendre les sources publiques en cas de modification du code ou en cas de développements supplémentaires.

Dans tous les cas de figure, il conviendra de s’assurer que les applications développées sont conformes au droit et aux règles d’ordre public. Ainsi, les applications ne devront pas inciter à la violence ou à la haine raciale, promouvoir l’utilisation ou la consommation de produits ou services illicites, etc. En cas de distribution d’une application dont l’objet serait illicite, la responsabilité du développeur, et éventuellement de la plateforme de téléchargement, pourrait être retenue.

2. Distribution d’applications mobiles, contrats et respect de la vie privée

    2.1 Application mobile et contractualisation des droits d’exploitation

Le développeur, personne physique ou morale, est libre d’exploiter son/ses application(s), soit  directement, soit en transférant ce droit d’exploitation à un tiers.

Plusieurs cas de figure peuvent se présenter. Le développeur peut développer une application : (i) pour son compte et la distribuer directement auprès des utilisateurs, par le biais de son site web ou de sa propre plateforme, (ii) pour son compte et distribuer cette application via une plateforme tierce de téléchargement, (iii) pour le compte d’un tiers (consultant développant pour une société, donneur d’ordre) qui se chargera de sa distribution auprès des utilisateurs et enfin (iv) si le développeur est salarié, pour le compte de son employeur dans le cadre de son contrat de travail.

Quel que soit le cas de figure, plusieurs types de contrats sont à envisager :

    - En cas de distribution par le développeur, directement auprès des utilisateurs, un contrat de licence d’utilisation devra figurer sur le site ou la plateforme de téléchargement. Ce contrat déterminera les droits d’utilisation accordés aux utilisateurs, et ce, que l’application soit distribuée à titre gratuit ou onéreux. Le contrat sera réputé conclu au moment de l’accord de l’utilisateur, suivi du téléchargement de l’application mobile.

    - En cas de distribution de l’application par le développeur via une plateforme tierce de téléchargement, la mise à disposition de l’application sur la plateforme sera généralement soumise à l’acceptation par le développeur des conditions d’utilisation et de distribution de cette plateforme. Certaines plateformes peuvent laisser la possibilité aux développeurs de distribuer leurs applications à partir de la plateforme, mais selon leurs propres conditions de licence ; d’autres plateformes imposent leur licence d’utilisation dans le cadre des conditions générales d’utilisation de la plateforme. Il conviendra de faire particulièrement attention aux conditions de distribution et de licence proposées par les plateformes, qui ne sont pas toujours rédigées de manière claire et/ou adaptée à la distribution d’applications mobiles, et aux conditions des plateformes étrangères, qui ne sont pas soumises au droit français.

    2.2 La collecte de données à caractère personnel par les applications mobiles

Certaines applications mobiles comprennent un traitement de données à caractère personnel des utilisateurs, des données étant collectées soit au moment du téléchargement de l’application, soit encore tout au long de son utilisation.

Le téléchargement d’une application peut nécessiter, pour les utilisateurs, de communiquer des données personnelles (nom, prénom, pseudo, identifiant, etc.). Dès lors que l’application mobile permet de traiter (collecter, enregistrer, conserver, diffuser, etc.) des données personnelles des utilisateurs, et pour autant que le développeur, personne physique ou morale, est localisé en France, les dispositions de la loi Informatique et Libertés du 6 janvier 1978 viennent à s’appliquer.

Le développeur d’applications mobiles devra déclarer le traitement à la CNIL préalablement à la mise en exploitation de la/des application(s) nécessitant une collecte de données à caractère personnel.(1)

En outre, le traitement des données devra être loyal et licite, la finalité du traitement devra être déterminée, explicite et légitime, les utilisateurs devront être informés et doivent pouvoir exercer leurs droits d’accès, de rectification des données les concernant et d’opposition au traitement de leurs données. La durée de conservation des informations devra être raisonnable, en fonction de l’objectif du traitement. Enfin, le développeur devra assurer la sécurité des informations traitées en adoptant des mesures de sécurité physiques et logiques adaptées à la nature des données et aux risques présentés.

Pour rappel, le non-respect des obligations précitées est puni de sanctions pénales, prévues aux articles 226-16 et s. du Code pénal. Les infractions les plus graves peuvent être punies de 5 ans d’emprisonnement et de 300.000 euros d’amende. 

 
    2.3 Géolocalisation et respect de la vie privée

L’autorisation de collecte des données de localisation
La géolocalisation permet de localiser un objet ou une personne par le biais d'un système GPS ou d'un téléphone mobile (ex: assistance à la navigation, mise en relation des personnes, etc). Elle consiste donc à communiquer des informations sur une personne ou un objet en fonction de la position géographique.

Dès lors qu’une application mobile implique la collecte et l’exploitation d’informations relatives à la géolocalisation des utilisateurs, le traitement de ces informations doit être conforme aux règles de respect de la vie privée, et pour les applications “françaises”, soumis aux dispositions de la loi Informatique et Libertés. Il incombe donc au développeur d’effectuer une déclaration de traitement des données personnelles collectées à la CNIL.

En matière de géolocalisation, l’article L.34-1-V du Code des postes et des communications électroniques pose le principe de l’autorisation préalable de l’utilisateur à la collecte de ses données de localisation, cette autorisation pouvant être recueillie par l'intermédiaire d'une case à cocher (opt-in) au moment du téléchargement de l’application, ou éventuellement à tout moment pour activer ou désactiver l’application ou l’option de géolocalisation.

En outre, l’accord exprès de l’utilisateur d’applications pour conserver les informations liées à ses déplacements (historique des déplacements) doit être recueilli. L’utilisateur doit également être informé des données collectées et de la durée et de la finalité du traitement. Il doit, en outre, être informé du fait que les données seront ou non transmises à des fournisseurs de services tiers (ex: gestionnaire de base cartographique). Ces informations seront indiquées dans la licence d’utilisation ou dans la politique “vie privée” applicable.

Enfin, l’utilisateur doit pouvoir revenir sur son consentement par un moyen simple et gratuit ; il doit ainsi avoir la possibilité de supprimer les données de localisation qui le concernent.

Il conviendra donc de s’assurer, en cas de distribution de l’application via une plateforme tierce de téléchargement, que ses conditions d’utilisation soient conformes au droit français de la protection des données à caractère personnel.

La réutilisation des données de localisation à des fins marketing
Les données de géolocalisation peuvent parfois être utilisées pour envoyer de la publicité géo-ciblée sur le terminal de l’utilisateur. Le marketing ciblé basé sur de la géolocalisation n’est pas interdit par la loi. Cependant, les utilisateurs d’applications fournissant des services de géolocalisation doivent être informés de la possible réutilisation de leurs données par des annonceurs tiers à des fins commerciales, et doivent avoir donné leur consentement (opt-in) pour recevoir ces messages.

(1) Les plateformes de téléchargement collectent également des données à caractère personnel. Suivant la localisation du responsable du traitement exploitant la plateforme, ce traitement sera régi par le droit français ou par le droit de son pays d’établissement. Voir à ce sujet les dispositions de l’article 5 de la loi Informatique et Libertés.


Bénédicte DELEPORTE – Avocat
Betty SFEZ – Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Septembre 2011