Hébergement de données de santé : les modifications apportées par la loi du 26 janvier 2016

Le Code de la santé publique dispose que toute personne prise en charge par un professionnel ou un établissement de santé a droit au respect de sa vie privée et au secret des informations la concernant. Les professionnels de santé, ainsi que ceux intervenant dans le système de santé, sont soumis au secret médical (art. L.1110-4 CSP).

Les professionnels de santé sont également tenus de respecter les obligations relatives aux traitements de données à caractère personnel, en leur qualité de responsable du traitement. Parmi ces obligations, la sécurité des données de santé constitue un impératif.

Les données de santé à caractère personnel sont considérées comme des informations sensibles, soumises à un haut niveau de sécurité, physique et technique, a fortiori en cas d’hébergement par un prestataire tiers.

Depuis l’entrée en vigueur de la loi “Kouchner” de 2002, les prestataires hébergeurs de données de santé doivent être agréés. La loi du 26 janvier 2016 de modernisation de notre système de santé a apporté un certain nombre de modifications à l’article L.1111-8 du Code de la santé publique relatif à l’hébergement de données de santé. Le périmètre des données, et les catégories de personnes concernées par l’hébergement agréé, ont été élargies. L’obligation d’agrément est maintenue et renforcée. (1)


1. L’élargissement des catégories de données et des parties concernées

Les données de santé hébergées par un prestataire tiers, doivent l’être chez un hébergeur agréé. La loi santé du 26 janvier 2016 a modifié le périmètre des catégories de données de santé concernées par cette obligation.

Qu’entend-on par “donnée de santé” ?
On entend généralement par “donnée de santé” les informations relatives à l'état de santé (tant physique que psychique) d'un patient, recueillies ou produites à l'occasion des activités de prévention, de diagnostic ou de soins du patient. Il s’agit de données à caractère personnel, dont la collecte et le traitement sont régis par les dispositions de la loi Informatique et Libertés, complétée en l’espèce par le Code de la santé publique (CSP).(2)

Bien que la collecte et le traitement de données de santé à caractère personnel soit interdit par principe, il existe en pratique de nombreuses exceptions, notamment pour les cas de collecte par les professionnels et établissements de santé, les services médico-sociaux, mais également la collecte et le traitement par des organismes tiers, tels les compagnies d’assurance et sociétés mutuelles.

Les catégories de données concernées par l’hébergement agréé :
Dans son ancienne rédaction, l’article L.1111-8 al.1 du CSP disposait que les données de santé à caractère personnel “recueillies ou produites à l’occasion des activités de prévention, de diagnostique ou de soins” étaient concernées par cette obligation d’hébergement agréé. Or, si la question était claire pour les données de santé recueillies par les professionnels et les établissement de santé (médecins, infirmiers, hôpitaux et cliniques), la situation était plus confuse pour les autres acteurs pouvant intervenir, même à titre accessoire, dans le domaine de la santé.

Cette ambigüité est levée avec la nouvelle rédaction de l’article L.1111-8 qui étend les catégories de données concernées et inclut désormais les données recueillies à l’occasion du “suivi social et médico-social”.

Les parties concernées par l’hébergement agréé :
Selon l’ancien article L.1111-8 al.1 du CSP les professionnels de santé, les établissements de santé et la personne concernée étaient les seules parties explicitement visées par cette obligation.  Une question se posait pour les autres organismes amenés à collecter des données de santé.

Le nouvel article ne précise plus les personnes concernées par la collecte et le traitement, et suit la doctrine de la CNIL et du Comité d'agrément des hébergeurs de donnés de santé (CAH). Ceci signifie qu’en pratique, toute personne physique ou morale qui collecte et/ou traite des données de santé à caractère personnel et souhaite les faire héberger par un tiers, est soumise à l’obligation d’avoir recours à un hébergeur agréé.

Ainsi, non seulement les médecins et autres professionnels de santé (professions para-médicales), les établissements de santé (hôpitaux et cliniques) restent concernés mais également le cas échéant, les compagnies d’assurance et les mutuelles (collecte et traitement de données de santé dans le cadre de leur procédure d’octroi de prêts, assurance-vie, contrats de prévoyance, remboursement de frais de santé, etc.), les maisons de retraite (EHPAD - suivi de l’état de santé des résidents), les services de santé au travail (état de santé des salariés), les fédérations sportives (aptitude physique des licenciés à la pratique du sport).

Le stockage de données en interne et le stockage mutualisé :
Il convient de noter que les parties qui collectent et traitent des données de santé sans hébergement tiers ne sont pas soumises à l’agrément. Ainsi, un établissement hospitalier qui stockerait les données de ses patients sur ses propres serveurs en interne n’est pas concerné par l’obligation d’agrément. En revanche, si cet établissement stockait non seulement ses propres données de santé, mais également celles d’établissements ou de médecins tiers, il s’agira pour ces données, d’une prestation d’hébergement tiers soumise à l’agrément. De même, les établissements de coopération sanitaire (Groupements de coopération sanitaire, Communautés hospitalières, etc.) qui mettent leur système d’hébergement à la disposition de leurs membres sont soumis à la procédure d’agrément. (3)

L’information de la personne prise en charge :
Par ailleurs, le consentement exprès de la personne concernée (patient, personne prise en charge) pour l’hébergement externalisé de ses données n’est plus requis. Répondant à une contrainte pratique, la personne prise en charge doit être “dûment informée” et ne pourra s’opposer à l’hébergement externalisé de ses données “que pour un motif légitime”.


2. L’agrément de l’hébergeur de données de santé : une obligation maintenue et renforcée

On soulignera que l’ancienne rédaction de l’article L.1111-8 al.1 du CSP faisait peser l’obligation du dépôt de données de santé chez un hébergeur agréé sur les déposants (professionnels et établissements de santé), en qualité de responsables de traitement. Or, la nouvelle rédaction met désormais l’accent non plus sur les déposants, mais sur le prestataire, précisant que la personne qui héberge des données de santé doit être agréée à ce effet. Il en ressort donc un infléchissement de la responsabilité vers le prestataire d’hébergement.

Les conditions de l’agrément :
Seuls les prestataires hébergeurs agréés sont habilité à héberger des données de santé à caractère personnel. L’agrément est délivré après une évaluation des capacités des prestataires candidats, portant sur les aspects financiers, éthiques et de sécurité de leur activité.

Les conditions de l’agrément n’ont pas changé avec la loi du 26 janvier 2016. Celles-ci ont été fixées par deux décrets de 2006 et 2011, codifiés aux articles R.1111-9 et suivants du CSP, et précisées par l’ASIP-Santé.

Le délai de traitement de la demande d’agrément est de cinq à huit mois. L’agrément est prononcé par le ministre chargé de la santé, après avis de la CNIL et du Comité d'agrément des hébergeurs de donnés de santé. L’agrément est délivré pour une durée de trois ans. Il peut être retiré en cas de non-conformité de l’hébergeur aux obligations légales, réglementaires ou aux prescriptions fixées par l’agrément. (4)

Il existe actuellement 92 hébergeurs agréés, dont la liste à jour figure sur le site de l’ASIP-Santé. (5)

Le contrat d’hébergement de données de santé :
L’hébergement de données de santé à caractère personnel doit faire l’objet d’un contrat, conclu entre l’hébergeur et le déposant des données (professionnel ou établissement de santé, etc.). Le modèle de contrat est communiqué par le prestataire avec son dossier de demande d’agrément. Ce contrat doit comprendre, a minima, les conditions listées à l’article R.1111-13.

A l’issue de la prestation d’hébergement des données de santé, l’hébergeur restitue les données à la personne qui les lui a confiées sans en garder de copie. Le contrat d’hébergement prévoit les “prestations à la fin de l’hébergement”, à savoir, les conditions de la réversibilité de la base de données à la personne qui les lui a confiées ou au nouveau prestataire d’hébergement.

L’hébergement en dehors du territoire français :
L’obligation de recourir à un hébergeur agréé pour l’hébergement de données de santé recueillies en France peut produire des effets extra-territoriaux. En effet, selon l’ASIP-Santé, rien ne s’oppose à ce qu’une base de données de santé à caractère personnel soit hébergée en dehors du territoire français. Cependant, l’hébergeur étranger est tenu de respecter les conditions légales et réglementaires applicables en France, notamment en matière d’agrément.

De même, les hébergeurs étrangers qui seraient amenés à proposer une prestation d’hébergement de données de santé en France devront s’assurer que leur activité est conforme à la réglementation française.

En outre, en cas de transfert des données de santé à caractère personnel en dehors de l’Union européenne, les parties devront par ailleurs respecter dispositions de la loi Informatique et Libertés applicables. Il conviendra notamment d’être vigilant en cas d’hébergement des données en mode Cloud. (6)


                                                           * * * * * * * * * * * *

(1) Loi n°2016-41 du 26 janvier 2016 de modernisation de notre système de santé et plus particulièrement, voir article 96, codifié sous l’article L.1111-8 du Code de la santé publique

(2) Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée, et concernant les données de santé, l’article 8 ; Loi n°2002-303 du 4 mars 2002 relative aux droits des malades et à la qualité du système de soins (dite “Loi Kouchner”) ; Articles L.1110-4, L.1111-7, L.1111-8, R.1110-1, R.1111-1 et suivants du Code de la santé publique; Articles 226-16 et suivants du Code pénal.

(3) FAQ Asip-Santé

(4) Décret n°2006-6 du 4 janvier 2006 relatif à l'hébergement de données de santé à caractère personnel et modifiant le code de la santé publique (dispositions réglementaires) ; Décret n°2011-246 du 4 mars 2011 relatif à l'hébergement de données de santé à caractère personnel sur support papier et modifiant le code de la santé publique et articles R. 1111-9 et suivants du CSP.

(5) http://esante.gouv.fr/services/referentiels/securite/hebergeurs-agrees

(6) Voir également nos précédents articles sur ce sujet publiés sur le blog du Cabinet: “L’hébergement de données de santé en Cloud soumis à des contraintes particulières” et “Données de santé : des obligations de sécurité spécifiques pour les professionnels de santé”

Bénédicte DELEPORTE – Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mai 2016

Transferts de données personnelles vers les Etats-Unis : un bouclier de protection des données pour remplacer la sphère de sécurité

Dans un arrêt rendu le 6 octobre 2015, la Cour de justice de l’Union européenne (CJUE) décidait d’invalider les règles du Safe Harbor, en vigueur depuis juillet 2000, permettant aux entreprises européennes travaillant avec des entreprises américaines ayant adhéré aux principes du Safe Harbor de transférer légalement des données personnelles vers les Etats-Unis. (1) Ces transferts de données peuvent concerner par exemple les transferts de fichiers entre les sociétés d’un même groupe situées de part et d’autre de l’Atlantique, ou les transferts entre une société européenne et un prestataire situé aux Etats-Unis (hébergeur ou service cloud par exemple).

Pour rappel, les transferts de données personnelles en dehors de l’Union européenne restent par principe interdits, sauf quelques exceptions, alors que depuis la directive du 24 octobre 1995 sur la protection des données personnelles, les entreprises peuvent librement transférer les données personnelles d’un Etat membre à un autre sans formalités particulières. (2)

Depuis cet arrêt du 6 octobre 2015, la Commission européenne et les Etats-Unis ont négocié en vue d'établir un nouveau cadre pour mieux protéger les transferts de données à caractère personnel de citoyens européens vers les Etats-Unis. L'objectif de la Commission était de conclure ces discussions avant fin janvier 2016. (3) Un accord de principe a été conclu début février 2016 et le 29 février, le texte de l’accord, dénommé “Privacy Shield” (ou “Bouclier de protection des données”) a été publié.

Nous faisons un point ci-dessous sur les principes applicables au nouvel accord Privacy Shield puis revoyons les autres “outils” juridiques à la disposition des entreprises européennes qui doivent transférer des données personnelles vers les Etats-Unis.


1. Les principes régissant l’accord Privacy Shield

Le texte du nouvel accord Privacy Shield (“Bouclier de protection des données UE-US” ou “EU-US Privacy Shield arrangement”), relatif aux transferts de données personnelles entre les Etats-membres de l’Union et les Etats-Unis a été publié le 29 février dernier. (4)

L’objectif des principes constitutifs du Privacy Shield est de fournir des normes de protection pour les données de citoyens européens transférées aux Etats-Unis, équivalentes aux normes en vigueur au sein de l’Union européenne. Notamment, avec le nouvel accord Privacy Shield, les autorités ont voulu pallier les carences relevées dans les principes de Safe Harbor et mettre un terme à la pratique de surveillance de masse par les services de sécurité américains, révélée au cours de l’affaire Snowden.

Les principales dispositions de l’accord Privacy Shield, qui diffèrent des principes de Safe Harbor,  peuvent être résumées ainsi :

- Les entreprises qui adhéreront au Privacy Shield seront soumises à des obligations strictes accompagnées de mécanismes de surveillance, afin de garantir le respect de leurs engagements ;

- L’accès aux données personnelles par les autorités américaines sera encadré et transparent. L’accès généralisé aux données est expressément interdit ;

- Plusieurs mécanismes de recours sont mis en place. En effet, l’un des problèmes soulevés avec les principes de Safe Harbor était l’absence de possibilité pour les citoyens européens de s’adresser à une instance aux Etats-Unis en cas de non-respect de ses engagements de protection des données par l’entreprise concernée. Désormais, les citoyens européens disposeront des moyens de recours suivants :
    (i) un mécanisme de médiation au sein du Département d’Etat (State Department). Ce service de médiation sera notamment indépendant des services de sécurité américains ;
    (ii) la possibilité de s’adresser aux entreprises américaines concernées adhérentes au Privacy Shield, en cas de contestation ou de problème sur leurs données personnelles. Celles-ci devront apporter une réponse dans un délai de 45 jours ;
    (iii) un mécanisme de règlement extrajudiciaire des litiges sera disponible, sans frais ;
    (iv) la possibilité de s'adresser à leur autorité de protection des données (telle que la CNIL). Chaque autorité de protection communiquera avec la Federal Trade Commission (FTC ou Commission fédérale du commerce) pour que les plaintes déposées soient examinées et réglées.     (v) Enfin, un mécanisme d’arbitrage sera disponible en dernier ressort.
Par ailleurs, les entreprises américaines pourront volontairement s’engager à se conformer aux conseils émis par les autorités de protection des données. En revanche, il s’agira d’une obligation pour les entreprises traitant des données de ressources humaines.

- Enfin, l’accord de Privacy Shield comprend un mécanisme de réexamen annuel conjoint entre la Commission européenne et le ministère américain du commerce, ainsi que des experts nationaux du renseignement travaillant au sein des autorités américaines et européennes de protection des données. Ce réexamen annuel aura pour objet de contrôler le fonctionnement du Privacy Shield, et notamment le respect des engagements concernant l'accès aux données à des fins d'ordre public et de sécurité nationale.

Pour autant, ce nouvel accord n’est pas encore applicable. La Commission européenne doit donner son avis sur la décision d’adéquation de cet accord, conformément à l’article 31 de la directive de 1995 sur la protection des données personnelles. (5) En effet, sans cette décision d’adéquation - qui signifie que la Commission estime que les données transférées en vertu du Privacy Shield sont considérées comme bénéficiant d’un niveau de protection adéquat au regard du droit européen, les entreprises européennes ne peuvent pas encore transférer de données personnelles à des entreprises américaines qui prétendraient se conformer à ces principes.

L’évaluation de l’accord de Privacy Shield sera réalisé par les membres du G29, au regard non seulement de la directive de 1995 sur la protection des données personnelles, mais également de la décision Schrems de la CJUE du 6 octobre 2015 (ayant invalidé le Safe Harbor), de la lettre du G29 à la Commission européenne sur le Safe Harbor du 10 Avril 2014, et plus généralement de la jurisprudence européenne sur les droits fondamentaux et du document de travail du G29 sur les transferts de données à caractère personnel vers des états tiers.

En attendant, les entreprises devant mettre en place des procédures de transfert de données vers les Etats-Unis peuvent utiliser d’autres moyens à leur disposition.


2. Les autres “outils” juridiques permettant le transfert de données personnelles vers les Etats-Unis

En attendant la publication de la décision d’adéquation du Privacy Shield de la Commission européenne, les entreprises européennes qui doivent transférer des données vers les Etats-Unis peuvent mettre en place des solutions juridiques alternatives. Pour rappel, trois solutions peuvent être mises en oeuvre : les Clauses contractuelles types (CCT), le contrat privé et les Binding corporate rules (BCR) au sein d’un groupe multinational.

Les Clauses contractuelles types sont relativement simples à mettre en oeuvre, sous réserve d’identifier le modèle de contrat applicable et le faire signer, en l’état, par chacune des parties. Toutefois, en cas de modification des Clauses contractuelles, le document devra alors être envoyé à l’autorité de protection des données pour validation.

La solution du contrat, rédigé par les parties et adapté aux transferts de données envisagés, peut être favorisée. Solution plus flexible et adaptée que les Clauses contractuelles types, il est cependant nécessaire de prendre en compte leur coût, et le fait que ces contrats sont soumis à une demande d’autorisation à l’autorité de protection. Cette solution peut être utilisée entre deux partenaires commerciaux ou entre les sociétés d’un même groupe (alternative aux BCR).

Enfin, la solution des Binding corporate rules - BCR (ou “règles d’entreprise contraignantes”) ne peut être déployée que dans le cadre d’un groupe multinational et n’est pas une alternative pour les relations avec des partenaires commerciaux ou prestataires de services tiers. Les BCR sont assez lourdes à mettre en place : plusieurs mois de travail pour leur élaboration, puis leur approbation par une autorité de protection des données, avant de pouvoir être déployées dans le groupe. Cependant, une fois la procédure autorisée et déployée, ce système a le mérite de la stabilité.

Il convient de rappeler qu’en cas de transferts non autorisés de données vers un pays tiers, les sanctions encourues en cas de non respect de la réglementation sur la protection des données personnelles peuvent atteindre 300.000 euros d’amende et 5 ans d’emprisonnement.


                                                               * * * * * * * * * * * *

(1) CJUE, grande ch., 6 octobre 2015, Maximillian S. / Data Protection Commissioner

(2) voir notre article “Quelles mesures pour le transfert de données personnelles vers les Etats-Unis après l’invalidation des règles du Safe Harbor par la CJUE ?” publié en novembre 2015

(3) Communiqué de la Commission européenne du 6 novembre 2015, “La Commission publie des orientations sur les transferts transatlantiques de données et appelle à définir rapidement un nouveau cadre à la suite de l'arrêt rendu dans l'affaire Schrems”.

(4) Communiqué de la Commission européenne du 29 février 2016 “La Commission européenne présente le paquet «bouclier de protection des données UE-États-Unis»: des garanties solides pour restaurer la confiance dans les transferts transatlantiques de données”

(5) Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mars 2016

Drones et concurrence déloyale : illustration d’un conflit entre un nom commercial, des noms de domaine et une marque

Dans un jugement du 13 novembre 2015, le Tribunal de grande instance de Paris s’est prononcé sur une affaire opposant deux sociétés concurrentes sur le marché des drones civils. Le litige portait sur l’utilisation du terme « Droneshop ».

1. Le contexte

Dans cette affaire, un professionnel avait enregistré le nom de domaine Vizionair.fr en mai 2010, puis avait lancé son site e-commerce en octobre 2010, proposant à la vente des drones professionnels sous le nom commercial « Droneshop ». L’exploitant du site web avait ensuite déposé le nom de domaine Ladroneshop.com en octobre 2012, et avait fait immatriculer sa société sous la dénomination Vizion’Air en janvier 2013.

Parallèlement, un autre professionnel avait enregistré les noms de domaine Droneshop.fr et Droneshop.com en 2011. Le site e-commerce Droneshop.com proposait notamment à la vente des drones professionnels et de loisirs. Le professionnel a ensuite fait immatriculer sa société sous la dénomination Minigroup en octobre 2012, puis a enregistré deux marques composées du terme Droneshop en juillet et novembre 2013.

La première société, Vizion’Air, a alors pris la décision d’engager une action en justice à l’encontre de la société Minigroup, sur le fondement de la concurrence déloyale. Elle estimait, en effet, que son concurrent avait usurpé le nom commercial Droneshop, qui était utilisé par la demanderesse depuis 2010, soit antérieurement au dépôt et à l’enregistrement des noms de domaine et des marques Droneshop par la société Minigroup.

La société Vizion’Air estimait en outre que l’exploitation du site Droneshop.com, par la société Minigroup, était de nature à générer un risque de confusion dans l’esprit du public, dès lors que les consommateurs pouvaient croire que les produits étaient vendus par la même société, les activités des sociétés Vizion’Air et Minigroup étant similaires.

A ce titre, la société Vizion’Air réclamait le paiement de 100.000€ de dommages et intérêts pour préjudice d’image ; l’interdiction faite à la société Minigroup - sous astreinte – d’utiliser de quelque manière que ce soit le terme droneshop et d’exploiter le nom de domaine Droneshop.com ; l’annulation des marques Droneshop et enfin, le transfert du nom de domaine Droneshop.com à son profit.

2. Le jugement du Tribunal de grande instance de Paris

Le TGI de Paris a débouté la société Vizion’Air de toutes ses demandes.

Dans un premier temps, la juridiction a rappelé que « les signes distinctifs d’une société (une raison sociale ou un nom commercial) autres que ceux auxquels sont attachés des droits de propriété intellectuelle (ex : une marque), constituent des antériorités opposables à ceux, identiques ou similaires, déposés postérieurement pour des produits identiques ou similaires, qui génèrent un risque de confusion dans l’esprit du public ».

Dès lors, selon les juges, l’absence d’enregistrement d’une marque par la société Vizion’Air (contrairement à son concurrent) ne pose pas a priori de difficulté si elle peut démontrer l’antériorité de l’utilisation de son nom commercial Droneshop.

Or, le Tribunal a constaté que la société Vizion’Air utilisait de manière effective, pour les besoins de son activité, le nom commercial Droneshop et ce depuis octobre 2010. Ainsi, la société Vizion’Air semblait légitime à s’opposer à l’usage des noms de domaine Droneshop.fr et Droneshop.com, déposés postérieurement à l’utilisation de son nom commercial. De même, elle semblait légitime à s’opposer à l’usage des marques Droneshop, enregistrées postérieurement à son nom commercial Droneshop et son nom de domaine Ladroneshop.com.

Toutefois, le Tribunal ne fera pas droit aux demandes de la société Vizion’Air. En effet, les juges rappellent que les signes distinctifs d’une société, en l’espèce le nom commercial et le nom de domaine de la société Vizion’Air, doivent pour constituer une antériorité opposable, être distinctifs à l’égard des produits et services exploités.

Le caractère distinctif signifie que le signe doit être arbitraire et indépendant des produits ou services qu’il représente, et non descriptif. Par exemple, sont dépourvus de caractère distinctif : les signes ou dénominations qui, dans le langage courant, sont exclusivement la désignation nécessaire, générique ou usuelle du produit ou du service.

Selon le Tribunal, le signe litigieux (Droneshop) est constitué de deux termes accolés : “drone” qui désigne en français, un petit aéronef sans pilote, télécommandé ou pourvu d’un pilotage automatique, et “shop” signifiant magasin en anglais, terme largement compris par le consommateur français. Le premier terme désigne ainsi la nature des produits offerts à la vente, et le second fait référence au lieu de commercialisation. Aussi, « bien que n’étant pas un mot usuel ou générique, puisque composé d’un mot français et d’un mot anglais, la juxtaposition de ces deux termes est purement descriptive de l’activité exploitée et ne permet pas une identification de l’entreprise concernée afin de la distinguer des autres entreprises du même secteur ». Il en va de même du nom de domaine Ladroneshop.com.

Le Tribunal en conclut que ces deux signes ne constituent pas des antériorités opposables ; ils ne peuvent ainsi faire l’objet d’une quelconque appropriation et donc d’aucune revendication de la part de la société Vizion’Air.

En conclusion, cette décision rappelle que même sans titre de propriété intellectuelle (telle qu’une marque enregistrée), une entreprise a la possibilité de revendiquer des droits sur un signe distinctif (ex : dénomination ou nom commercial). Toutefois, il ne suffit pas de prouver l’antériorité de ce signe, il convient également de démontrer son caractère distinctif.

                                                     * * * * * * * * * * *

(1) Tribunal de grande instance de Paris, 3ème chambre, 3ème section, 13 novembre 2015, Société Vizion’Air c/ Société Minigroup.


Betty SFEZ 
Avocat

Deleporte Wentz Avocat
http://www.deleporte-wentz-avocat.com

Février 2016

Un accord de confidentialité aux termes trop généraux peut être privé d’effet

Nombre de sociétés font signer des accords de confidentialité avant d’entrer en pourparlers commerciaux avec des prospects. Ces accords sont le plus souvent rédigés dans des termes standards, et généraux, et peuvent n’engager que l’une des parties, ou les deux parties de manière réciproque.

Il existe peu de jurisprudence sur l’application des contrats de confidentialité. En effet, il est souvent très difficile, voire impossible de rapporter la preuve de la violation d’un engagement de confidentialité par un co-contractant. C’est la raison pour laquelle, les poursuites judiciaires sont parfois engagées sur le fondement de la concurrence déloyale ou de la contrefaçon.

Une récente décision de la Cour d’appel de Versailles vient de préciser la condition de l’application de l’obligation de confidentialité et en l’espèce a refusé de reconnaître la violation de l’accord signé par le défendeur. (1)


1. Les faits

La société Digitre (précédemment dénommée Drimki), exploitait un site internet dans le domaine de l’immobilier. Ce site permettait la mise en relation entre des vendeurs de biens immobiliers et des acheteurs, la mise en ligne d’annonces immobilières et l’estimation de la valeur des immeubles proposés à la vente.

En février 2011, la société Digitre a entamé des pourparlers avec la société A vendre A louer concernant un partenariat commercial. Digitre a alors signé un engagement de confidentialité avec le directeur commercial de la société A vendre A louer.

Cet accord stipulait notamment :

“(…) Compte tenu de la nature confidentielle des documents et informations que vous serez amenés à me communiquer dans le cadre de nos échanges, je vous confirme mon engagement :
    • de ne pas divulguer l’existence et l’objet de nos discussions,
    • de garder confidentielles toutes informations ayant un caractère confidentiel, c’est-à-dire toutes informations, de quelque nature qu’elles soient, qui me seraient communiquées, sous quelque forme que ce soit, et qui n’auraient pas été diffusées auprès du public. (…)

En conséquence, je m’engage à garder ces informations pour strictement confidentielles et à ne les divulguer à quiconque.
Je m’engage par ailleurs à ne pas utiliser directement ou indirectement lesdites informations, à des fins personnelles ou pour le compte d’une société autre que celle portant le projet Drimki.
Ces engagements pris à l’égard de Drimki SA prendront effet à la date de la présente et resteront en vigueur pendant une durée d’un an à compter de cette date. (…)”

Les pourparlers n’ont pas abouti et les discussions ont cessé fin avril 2011. En janvier 2012, l’ancien directeur commercial de la société A vendre A louer faisait immatriculer la société Neo Avenue au registre du commerce et lançait un nouveau site de vente immobilière dénommé neo-avenue.fr.

La société Digitre, estimant que Monsieur J-B N (ex-directeur commercial de la société A vendre A louer) avait violé l’engagement de confidentialité et que la société Neo Avenue avait commis des actes de concurrence déloyale à son égard les a fait assigner le 10 octobre 2012 devant le tribunal de grande instance de Nanterre.

Dans son jugement du 2 octobre 2014, le TGI de Nanterre a débouté la société Digitre, au motif que celle-ci n’indique pas quelles seraient les informations confidentielles qui auraient été dévoilées et utilisées fautivement par Monsieur N. et la société Néo Avenue. La société Digitre a alors fait appel du jugement.


2. La décision de la Cour d’appel de Versailles

La Cour d’appel a interprété le contrat conformément aux stipulations qui y figuraient. Ainsi, les juges ont retenu qu’en l’espèce, l’accord de confidentialité conclu par Monsieur J-B N pour la société A vendre A louer engageait son signataire à titre personnel (“(…) Je m’engage par ailleurs à ne pas utiliser directement ou indirectement lesdites informations, à des fins personnelles ou pour le compte d’une société autre que celle portant le projet Drimki. (…)”).

Concernant les informations confidentielles, l’accord était rédigé en termes très généraux (“(…) Compte tenu de la nature confidentielle des documents et informations que vous serez amenés à me communiquer dans le cadre de nos échanges (…)”) et ne précisait pas quels types d’informations devaient être considérées comme confidentielles, et donc, entrer dans le champ de l’engagement.

Par ailleurs, la société Digitre n’a pas indiqué quelles informations confidentielles auraient été dévoilées et utilisées fautivement par les défendeurs.

L’article 6 du code de procédure civile qui dispose : “A l'appui de leurs prétentions, les parties ont la charge d'alléguer les faits propres à les fonder”. En conséquence, faute pour la société Digitre d’alléguer de façon suffisamment précise les faits propres à fonder leurs prétentions, à savoir les informations confidentielles qui auraient effectivement été utilisées en violation de l’engagement de confidentialité de Monsieur J-B N., celles-ci ne peuvent être accueillies.

La Cour d’appel a donc décidé de confirmer le jugement du TGI de Nanterre en déboutant la société Digitre de ses demandes.


     En conclusion, il ressort de cette décision que la simple signature d’un accord de confidentialité dans des termes trop généraux est insuffisante pour garantir que les informations et documents échangés pendant des pourparlers ne seront pas divulgués ou réutilisés par le co-contractant.

Il est donc vivement recommandé d’une part, de rédiger les accords de confidentialité avec soin afin d’identifier les domaines couverts par la confidentialité, en indiquant que celle-ci peut couvrir tant des informations communiquées par oral pendant les réunions, que dans des documents écrits. D’autre part, afin de s’assurer du caractère effectif de cette confidentialité, il conviendra d’identifier les documents communiqués par la mention “confidentiel”, et mentionner lors des échanges verbaux, que ceux-ci sont également confidentiels. Enfin, il est possible d’intégrer une obligation de renvoi ou de destruction des documents confidentiels, en cas d’échec des pourparlers ou à l’issue des relations contractuelles. 


                                                     * * * * * * * * * * *

(1) CA Versailles, 12é ch., 24 novembre 2015 Digitre c. J-B N. et Neo Avenue


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Décembre 2015

Quelles mesures pour le transfert de données personnelles vers les Etats-Unis après l’invalidation des règles du Safe Harbor par la CJUE ?

Après le coup de tonnerre lancé par la décision de la Cour de justice de l’Union européenne (CJUE) du 6 octobre 2015 d’invalider les règles du Safe Harbor, les entreprises européennes qui travaillent avec des partenaires commerciaux aux Etats-Unis ayant adhéré aux principes du Safe Harbor (maisons-mères, filiales, sous-traitants, prestataires de services Cloud) doivent revoir les conditions de transfert de données personnelles vers ces entités. (1)

Dans cet article, nous faisons un point sur les règles de transfert de données personnelles à l’international et apportons quelques réponses aux mesures à prendre suite à la décision de la CJUE.


1. Le contexte : les règles relatives aux transferts de données personnelles hors de l’UE et l’invalidation des principes du Safe Harbor

Les règles européennes de protection de la vie privée sont d’application stricte. Alors que depuis la directive du 24 octobre 1995 sur la protection des données personnelles, les entreprises peuvent librement transférer les données personnelles d’un Etat membre à un autre sans formalités particulières, les transferts en dehors de l’Union européenne restent par principe interdits, sauf dans le cadre des exceptions que nous rappelons ci-après.

    1.1 L’encadrement des transferts de données personnelles hors Union européenne

Avec la globalisation des échanges commerciaux, la plupart des entreprises sont amenées à transférer des données personnelles dans des pays tiers, que ce soit vers d’autres sociétés de leur groupe, vers des partenaires commerciaux ou vers des prestataires de services. Or, les transferts de données personnelles en dehors de l’Union européenne sont en principe interdits. Il existe néanmoins plusieurs exceptions à ce principe. Sont ainsi autorisés :

    - les transferts de données réalisés vers un pays reconnu par la Commission européenne comme assurant un niveau de protection suffisant ou “adéquat”. Seuls quelques pays sont reconnus comme ayant une législation assurant un niveau de protection des données personnelles équivalent à celui en vigueur en Europe ; (2)
    - les transferts de données réalisés entre deux entités (exportatrice et importatrices de données) ayant signé les Clauses contractuelles types (“CCT”) adoptées par la Commission européenne. Les CCT sont des modèles de contrats de transferts de données. Cette solution contractuelle est applicable, soit entre deux responsables de traitement, soit entre un responsable de traitement et un sous-traitant ;
    - les transferts de données réalisés à l’intérieur d’un groupe multinational, entre deux ou plusieurs filiales du groupe, et sous réserve que l’entreprise multinationale ait mis en oeuvre des Règles internes d’entreprise (“Binding Corporate Rules” ou “BCR”) adoptées par l’ensemble des filiales et validées par l’une des autorités nationales de protection des données (ou “autorités de contrôle”, telle que la CNIL) ;
    - les transferts réalisés dans des situations exceptionnelles, sous réserve du consentement de la personne concernée par le traitement de données ;
    - enfin, les transferts de données réalisés vers les Etats-Unis, sous réserve que la société importatrice adhère aux principes du Safe Harbor.

Le système du Safe Harbor (ou “sphère de sécurité”) est un ensemble de règles de protection des données personnelles, négocié entre les autorités américaines (Department of Commerce) et la Commission européenne en 2000 et validé par une décision de la Commission du 26 juillet 2000. Le fonctionnement du Safe Harbor repose sur l’engagement des entreprises américaines qui décident d'y adhérer et l’auto-certification de celles-ci. L'adhésion au Safe Harbor est volontaire, mais ses règles sont alors contraignantes pour les entreprises adhérentes. La commission fédérale du commerce américaine (FTC) est chargée du contrôle de l'application des principes du Safe Harbor par les entreprises adhérentes.

Toutefois, les principes du Safe Harbor viennent d’être invalidés par la Cour de justice de l’Union européenne.

    1.2 La décision Schrems de la CJUE du 6 octobre 2015

Dans sa décision du 6 octobre 2015, la Cour de justice de l’Union européenne (CJUE) a remis en cause le système du Safe Harbor, en jugeant qu’une autorité de contrôle pouvait suspendre les transferts de données personnelles depuis l’Union européenne vers les Etats-Unis.

L’affaire en cause concernait un citoyen autrichien, Maximillian Schrems, utilisateur de Facebook depuis 2008. Les données fournies par les utilisateurs de Facebook transitent par sa filiale située en Irlande, avant d’être transférées vers le territoire américain. Monsieur Schrems a déposé plainte auprès de l’autorité irlandaise de protection des données (Data Protection Commissioner), considérant que suite aux révélations de 2013 concernant les activités de renseignement des Etats-Unis (affaire “Snowden”), ce pays n’offrait pas de réelle protection contre la surveillance des données de citoyens européens. L’autorité irlandaise a rejeté la plainte déposée en arguant que, dans sa décision du 26 juillet 2000, la Commission européenne avait considéré que les Etats-Unis assuraient un niveau adéquat de protection des données à caractère personnel transférées dans le cadre de règles de Safe Harbor. (3)

La High Court of Ireland (Haute cour de justice irlandaise), saisie de l’affaire, a alors posé deux questions préjudicielles à la CJUE, afin de savoir si la décision rendue par la Commission européenne en 2000 empêchait une autorité nationale de contrôle d’enquêter lorsqu’un plaignant soutient qu’un pays tiers à l’Union n’offre pas les protections adéquates concernant les données personnelles transférées. Le plaignant est-il ainsi lié, de manière absolue, par la décision rendue par la Commission, sans autre possibilité de recours ?

Dans sa décision du 6 octobre 2015, la CJUE a jugé que la Commission européenne devait apprécier si les Etats-Unis assuraient effectivement, par leur législation ou leurs engagements internationaux, “un niveau de protection des droits fondamentaux substantiellement équivalent à celui garanti au sein de l’Union en vertu de la directive lue à la lumière de la Charte des droits fondamentaux de l’Union européenne”.

En l’espèce, la CJUE a relevé que les autorités américaines pouvaient accéder, de manière massive et indifférenciée, aux données ainsi transférées, sans assurer de protection juridique efficace aux personnes concernées, notamment aux citoyens européens.

Au regard de la hiérarchie des normes, les entreprises américaines sont en effet tenues de se soumettre aux lois américaines d’ordre public et doivent ainsi écarter “sans limitation” l’application des clauses du Safe Harbor qui leur seraient contraires. Constatant que la Commission européenne n’a pas recherché si les Etats-Unis assuraient effectivement une protection adéquate des données personnelles, la Cour a prononcé l’invalidation de la décision d’adéquation.

La CJUE a par ailleurs jugé que, même en présence d’une décision de la Commission européenne reconnaissant le caractère adéquat de la protection des données à caractère personnel, les autorités nationales de contrôle doivent pouvoir examiner en toute indépendance si le transfert des données d’une personne vers un pays tiers respecte les exigences posées par la directive de 1995.

La Cour en a déduit qu’une autorité nationale devait pouvoir, en cas de doute sur la validité d’une décision d’adéquation de la Commission, saisir les juridictions nationales pour que celles-ci puissent, le cas échéant, renvoyer l’affaire devant la Cour de justice. A cet égard, la décision invalidée de la Commission européenne ne pouvait priver les autorités de contrôle d’une telle possibilité.


2. Les conséquences de l’arrêt Schrems : une insécurité juridique nécessitant une mise à jour des conditions de transfert des données

Les transferts de données personnelles opérés vers les Etats-Unis dans le cadre des principes du Safe Harbor n’ont donc désormais plus de base légale. Ceci implique non seulement, que les transferts de données précédemment validés ne sont plus conformes à la loi, mais également qu’il n’est plus possible de réaliser de nouveaux transferts de données sur la base du dispositif Safe Harbor.

    2.1 Les suites de la décision Schrems

- Le Groupe de travail “article 29” (ou G29) : la CNIL examine actuellement, avec ses homologues du G29 (représentants des autorités de protection des données des Etats membres), les conséquences juridiques et opérationnelles de l’arrêt du 6 octobre 2015.

Entretemps, le G29 a demandé aux institutions européennes de mettre en place une solution visant à palier l’insécurité juridique du système Safe Harbor actuel. Dans un communiqué du 15 octobre dernier, le G29 a invité les institutions européennes à engager des discussions avec les autorités américaines, afin de trouver un dispositif permettant le transfert des données personnelles dans le respect des droits fondamentaux, et ce avant le 31 janvier 2016. (4)

En cas d’échec des négociations à l’échéance de ce délai de rigueur, les autorités européennes de contrôle pourraient “mettre en oeuvre toutes les actions nécessaires, y compris des actions répressives coordonnées”.

- Les autorités de contrôle : en réaction à la décision de la CJUE, plusieurs autorités de protection des données ont d’ores et déjà pris des mesures “préventives”.

Les autorités de régulation des différents Länder allemands et l’organe de supervision nationale ont annoncé qu’ils n’autoriseraient plus aucun transfert de données vers les États-Unis, y compris par le biais de Clauses contractuelles types ou des BCR.

L’autorité espagnole (Agencia Española de Protección de Datos - AEPD) a annoncé qu’elle adresserait aux organismes ayant déclaré procéder à des transferts dans le cadre du Safe Harbor, un courrier afin de savoir quelles solutions alternatives ils souhaitent mettre en place.

La décision Schrems a également produit des répercussions au-delà des frontières de l’Union européenne, notamment pour les pays assurant une protection adéquate, dans leurs propres transferts vers les Etats-Unis.

Ainsi, l’autorité israélienne de protection des données (Israeli Law, Information and Technology Agency - ILITA) a décidé de suspendre les transferts de données personnelles vers les Etats-Unis.

Enfin, l’autorité suisse a affirmé que, tant qu’un nouvel accord avec le gouvernement américain ne serait pas renégocié, le “U.S.-Swiss Safe Harbor Framework” ne constituerait plus une base légale suffisante pour une transmission de données personnelles aux États-Unis compatible avec la loi suisse sur la protection des données (LPD). 


Enfin, d’autres pays tiers à l’Union européenne réfléchissent actuellement aux conditions de transfert de données vers les Etats-Unis et à l’international.

- La Commission européenne : le 6 novembre dernier, la Commission a publié des orientations sur les possibilités de transferts transatlantiques de données, applicables jusqu'à la mise en place d'un nouveau cadre réglementaire.

La communication de la Commission analyse les répercussions de l'arrêt Schrems et propose des alternatives possibles pour transférer légalement des données à caractère personnel vers les États-Unis (CCT ou BCR notamment). (5)

- Vers un Safe Harbor 2.0 ? : enfin, la Commission européenne a décidé de procéder à un réexamen des principes de Safe Harbor à la suite des révélations d’Edward Snowden courant 2013 sur les opérations de surveillance opérées notamment par la NSA depuis l’entrée en vigueur des lois d’exception américaines votées après les attentats du 11 septembre 2001. Dès novembre 2013, la Commission a publié 13 recommandations en vue d’améliorer le système.

Depuis l'arrêt Schrems du 6 octobre 2015, la Commission accélère les négociations avec les États-Unis en vue d'établir un nouveau cadre pour mieux protéger les transferts de données à caractère personnel de citoyens européens vers les Etats-Unis. L'objectif de la Commission est de conclure ces discussions avant fin janvier 2016.

    2.2 Comment gérer les transferts de données pendant cette période transitoire ?

L’invalidation du dispositif Safe Harbor ouvre une période d’incertitude et soulève de nombreuses questions pour les entreprises opérant en vertu des principes du Safe Harbor.

Ainsi, les entreprises qui transfèrent des données personnelles vers les Etats-Unis peuvent-elles continuer leurs activités sans changer de cadre, en attendant la prise de position des institutions ? Est-il opportun de mettre en place des Clauses contractuelles types ou des BCR, sachant que cette procédure prend un certain temps pour sa mise en oeuvre (approbation des BCR par une autorité de protection ou signature des CCT par les entreprises concernées) ? Doit-on suspendre les transferts de données vers les Etats-Unis et les relocaliser en Europe, voire les transférer vers un pays “adéquat” ? Enfin, pour les transferts de données dans le cadre de l’exécution d’un contrat de service en cloud computing, que faire si le prestataire du service cloud américain refuse de modifier les conditions de transfert et que l’entreprise européenne est alors contrainte de résilier le contrat à ses frais ?

Le délai de trois mois pour arriver à un nouveau système Safe Harbor peut paraître “agressif” et rien ne garantit qu’il sera tenu.

En attendant que les autorités et les institutions prennent position et qu'un Safe Harbor 2.0 voie le jour, les entreprises doivent mettre en place des solutions juridiques et techniques pour limiter les risques juridiques liés à ces transferts. A ce titre, il convient de rappeler que les sanctions encourues en cas de non respect de la réglementation sur la protection des données personnelles, en matière de transferts non autorisés de données, peuvent atteindre 300.000 euros d’amende et 5 ans d’emprisonnement.

- Audits juridiques : dans un premier temps, il est recommandé de réaliser un audit juridique et technique des transferts de données en cours et des analyses de risques. Il convient d’identifier clairement les traitements et types de données concernés, le régime juridique sous lequel ces données sont transférées, puis d’étudier les impacts de l’invalidation du système Safe Harbor pour l’entreprise, à court et moyen terme.

- Solutions de mise en conformité : une fois l’audit réalisé et les transferts identifiés, il conviendra de réfléchir à l’adoption de solutions alternatives de mise en conformité plus protectrices. Trois solutions sont envisageables : les Clauses contractuelles types (CCT), le contrat privé et les Binding corporate rules (BCR) au sein d’un groupe multinational.

Les Clauses contractuelles types peuvent paraître comme la solution la plus simple à mettre en place à court terme. Il est cependant nécessaire d’identifier le modèle de contrat applicable et le faire signer, en l’état, par chacune des parties. En cas de modification des Clauses contractuelles, le document devra alors être envoyé à l’autorité de contrôle pour validation.

A défaut d’accord avec les prestataires américains tiers pour fonctionner sous le système des Clauses contractuelles types, et si les circonstances l’exigent et/ou le permettent, il conviendra d’envisager de rompre les relations commerciales existantes et d’opter pour des prestataires européens ou localisés dans un pays “adéquat”.

La solution du contrat, à savoir un contrat rédigé par les parties et adapté aux transferts envisagés, peut être favorisée. Solution plus flexible et adaptée que les Clauses contractuelles types, il est cependant nécessaire de prendre en compte leur coût, la procédure et les délais de demande d’autorisation à l’autorité de contrôle. Cette solution peut être utilisée entre deux partenaires commerciaux ou entre les sociétés d’un même groupe (alternative aux BCR).

Enfin, la solution des Binding corporate rules - BCR ne peut être déployée que dans le cadre d’un groupe multinational et n’est pas une alternative pour les relations avec des partenaires commerciaux ou prestataires de services tiers. En outre, les BCR nécessitent généralement plusieurs mois de travail pour leur élaboration, puis leur approbation par une autorité de régulation, avant de pouvoir être déployées dans le groupe.

Ces solutions de mise en conformité ont l'avantage de la stabilité. En effet, si les autorités se mettent d'accord sur un Safe Harbor 2.0, la décision Schrems rappelle que les autorités de contrôle de la protection des données pourront saisir les juridictions nationales, suite à la plainte d'une personne dont les droits auraient été violés par une société située aux Etats-Unis et adhérente aux principes du Safe Harbor. 
 
En toute hypothèse, il convient de s’adapter au cas par cas, en fonction de la taille de l’entreprise, du nombre de traitements concernés, et des risques identifiés. Le Cabinet peut vous accompagner dans cette démarche de mise en conformité.


                                                           * * * * * * * * * * * *


(1) CJUE, grande ch., 6 octobre 2015, Maximillian S. / Data Protection Commissioner

(2) Les pays assurant une protection adéquate, et donc, vers lesquels il est possible de transférer des données personnelles sans formalités supplémentaires sont : l’Argentine, le Canada, l’Islande, Israël, le Liechtenstein, la Norvège, la Nouvelle-Zélande, la Suisse, l’Uruguay

(3) Décision 2000/520/CE du 26 juillet 2000

(4) Communiqué du G29, Bruxelles le 15 octobre 2015 : “Statement of the Article 29 Working Party”.

(5) Communiqué de la Commission européenne du 6 novembre 2015, “La Commission publie des orientations sur les transferts transatlantiques de données et appelle à définir rapidement un nouveau cadre à la suite de l'arrêt rendu dans l'affaire Schrems”.


Bénédicte DELEPORTE
Betty SFEZ
Avocats

Deleporte Wentz Avocat
www.dwavocat.com

Novembre 2015

Utilisation de bases de données par un métamoteur de recherche externe : les conditions de licéité rappelées par la CJUE

Dans une décision du 19 décembre 2013, la Cour de justice de l’Union européenne (CJUE) a rappelé les conditions d’utilisation d’un métamoteur de recherche dédié pour que celui-ci ne soit pas considéré comme enfreignant les droits des exploitants des bases de données. (1)

Le litige opposait deux sociétés néerlandaises : la société Innoweb, qui exploite un métamoteur de recherche dédié dans le domaine de la vente automobile (gaspedaal.nl), à la société Wegener, qui exploite un site web d’annonces de vente de voitures d’occasion (autotrack.nl).

La société Wegener, considérant qu’Innoweb portait atteinte à ses droits d’exploitant de base de données par la mise à disposition d’un métamoteur de recherche, a assigné cette dernière afin de mettre fin à l’atteinte à ses droits. Wegener a obtenu gain de cause pour la plupart de ses demandes en première instance. La société Innoweb a fait appel. La cour a alors décidé de poser une série de questions préjudicielles à la Cour de justice de l’Union européenne portant sur l’étendue de la protection des bases de données dans le cadre d’une utilisation par un métamoteur de recherche dédié.

Après avoir rappelé les conditions de la protection juridique d’une base de données, nous verrons comment ces conditions ont été appliquées à l’utilisation d’un métamoteur de recherche dédié.


1. Les sites de petites annonces protégés par le droit des bases de données

Les sites de petites annonces constituent des bases de données, protégées juridiquement.

- La protection juridique des bases de données : un droit sui generis
La directive européenne du 11 mars 1996 a consacré un droit sui generis de la protection des bases des données, indépendant de la protection par le droit d’auteur, et essentiellement axé sur la protection des droits patrimoniaux du fabricant, ou producteur, de bases de données.

Considérant en effet que le développement d’une base de données implique généralement un investissement humain et financier conséquent, sa protection juridique permet au fabricant de limiter ou d’interdire toute extraction ou réutilisation non autorisée des données. L’utilisation de la base dans sa totalité ou une partie substantielle, ou de manière répétée et systématique (par exemple, liste d’abonnés aux pages jaunes, catalogue de produits d’un site de e-commerce ou liste de petites annonces), est soumise à l’autorisation (contrat de licence) de l’ayant-droit, accordée en principe contre rémunération.

En revanche, toutes les bases de données ne sont pas automatiquement protégées. Seules les bases de données dont la collecte de données, leur vérification ou la présentation du contenu attestent un investissement, qualitatif ou quantitatif, substantiel sont protégées juridiquement.

- Les notions d’extraction et de réutilisation des données
Concernant les bases de données protégées, la directive définit les notions d’extraction et de réutilisation comme suit :

“extraction” signifie “le transfert permanent ou temporaire de la totalité ou d'une partie substantielle du contenu d'une base de données sur un autre support par quelque moyen ou sous quelque forme que ce soit” ;

“réutilisation” signifie “toute forme de mise à la disposition du public de la totalité ou d'une partie substantielle du contenu de la base par distribution de copies, par location, par transmission en ligne ou sous d'autres formes (…)”

La directive précise ensuite que “l'extraction et/ou la réutilisation répétées et systématiques de parties non substantielles du contenu de la base de données qui supposeraient des actes contraires à une exploitation normale de cette base, ou qui causeraient un préjudice injustifié aux intérêts légitimes du fabricant de la base, ne sont pas autorisées.” (3)

A contrario, l’utilisation d’une base de donnés par un tiers à des fins de consultation ponctuelle par exemple, n’est pas considérée comme portant atteinte aux droits du producteur.


2. Les conditions d'une utilisation licite des bases de données par un métamoteur de recherche

- Les questions posées à la CJUE
Un site web proposant un métamoteur de recherche peut-il être utilisé, sans l’accord des fabricants des bases de données référencées, pour réutiliser du contenu d’une base de données accessible en ligne en procédant, en temps réel, à des recherches dans la totalité ou une partie substantielle du contenu de ces bases de données tierces ?

Si le métamoteur de recherche ne renvoie aux utilisateurs qu’une partie minime du contenu de la base de données tierce, ou la fait apparaître sur son site web selon sa propre présentation et que les actes de recherche sont répétés en permanence, une telle utilisation du métamoteur correspond-elle alors à une réutilisation répétée et systématique de parties non substantielles du contenu de la base de données, contraire aux intérêts du fabricant de la base ?

C’est en substance la problématique soulevée par la cour d’appel néerlandaise à la CJUE dans l’affaire opposant la société Innoweb à Wegener.

- Définition d’un métamoteur de recherche dédié
Dans un premier temps, la Cour définit en quoi consiste un métamoteur de recherche dédié, puis applique les critères établis par la directive afin de déterminer si l’utilisation des bases de données par ce type de métamoteur enfreint les droits des fabricants.

La Cour distingue entre les moteurs de recherche fonctionnant sur des algorithmes, tels que Google ou Yahoo et les métamoteurs de recherche dédiés. Concernant ce type de métamoteur, l’exploitant du service ne dispose pas d’un moteur de recherche propre mais a recours aux moteurs de recherche utilisés par les sites tiers, couverts par le service de recherche.

Le qualificatif “dédié” signifie que le métamoteur est spécialisé dans les recherches sur un ou plusieurs domaines déterminés (en l’espèce, la vente de voitures d’occasion), permettant, par une seule requête, d’étendre la recherche sur plusieurs sites tiers d’annonces. Le métamoteur de recherche dédié traduit “en temps réel” les requêtes des utilisateurs dans les différents moteurs de recherche des sites tiers, permettant de balayer les données de ces bases.

En l’espèce, le métamoteur du site gaspedaal.nl permet de procéder à des recherches dans les bases de données de vente de voitures selon plusieurs critères (marque, modèle, kilométrage, année et prix notamment). Les résultats obtenus sont agrégés, le site du métamoteur affichant les liens vers les annonces correspondant à la requête. En l’espèce, les données n’étaient pas extraites des bases couvertes par le métamoteur.

- Notion de réutilisation des contenus de la base de données
La Cour analyse ensuite la notion de réutilisation, au regard de la finalité définie dans la directive, en l’appliquant au métamoteur de recherche dédié.

Selon la Cour, la notion de réutilisation au sens de l’article 7 de la directive, “doit être interprétée comme se référant à tout acte consistant à mettre à la disposition du public, sans le consentement de la personne qui a constitué la base de données, les résultats de son investissement, privant ainsi cette dernière de revenus censés lui permettre d’amortir le coût de cet investissement”, peu importe la nature ou la forme du procédé utilisé.

L’activité de l’exploitant d’un métamoteur de recherche a pour objet de fournir aux internautes un dispositif permettant d’explorer toutes les données figurant dans des bases de données protégées, en accédant à l’intégralité du contenu des bases par d’autres voies que celles prévues par les fabricants de ces bases de données. Cette activité a notamment des conséquences financières pour les exploitants des bases de données. En effet, les internautes n’ont plus besoin de se rendre sur leurs sites pour faire leurs recherches, ni même pour accéder aux annonces (ou au moins, sans passer par la page d’accueil du site de petites annonces). Les revenus publicitaires des sites de petites annonces sont alors potentiellement affectés.

La Cour en conclut que l’exploitant d’un métamoteur de recherche dédié procède effectivement à une réutilisation du contenu d’une base de données, au sens de la directive. Cette réutilisation porte sur une partie substantielle, voire même sur la totalité, du contenu de la base concernée, dès lors que le métamoteur : i) fournit à l’utilisateur final un formulaire de recherche offrant les mêmes fonctionnalités que le formulaire de la base de données ; ii) traduit en temps réel les requêtes des utilisateurs finaux dans le moteur de recherche de la base de données, permettant ainsi d’explorer toutes les données de la base ; et iii) présente à l’utilisateur final les résultats sous l’apparence extérieure de son site internet en réunissant les doublons en un seul élément, mais dans un ordre fondé sur des critères comparables à ceux utilisés par le moteur de la base de données pour présenter ses résultats.


    En conséquence, un site qui mettrait à la disposition des internautes un métamoteur de recherche dédié, sans avoir au préalable obtenu l’accord des exploitants des sites couverts par ce métamoteur (et quelque soit le domaine couvert par le métamoteur) doit respecter les critères suivants pour ne pas enfreindre les droits des fabricants des bases de données concernées :
    - fournir un formulaire de recherche comprenant des fonctionnalités différentes de celles proposées par les formulaires des bases de données couvertes ;
    - ne pas traduire en temps réel les requêtes des utilisateurs dans le moteur de recherche de la base de données afin de ne pas explorer toutes les données de cette base ; et
    - ne pas présenter à l’utilisateur les résultats de recherche sous l’apparence extérieure de son site internet, en réunissant les doublons en un seul élément et dans un ordre fondé sur des critères comparables à ceux utilisés par le moteur de la base de données pour présenter ses résultats.

Ainsi, l’exploitant d’un métamoteur de recherche a deux solutions pour ne pas enfreindre les droits des fabricants des bases de données des sites couverts : soit obtenir l’accord de ces sites tiers pour interroger leurs bases de données et proposer les résultats obtenus en temps réel, selon un format similaire à celui utilisé par le/les sites d’annonces, soit exploiter le métamoteur sans l’accord des sites tiers, mais en respectant les critères définis par la CJUE, en acceptant le fait que ces contraintes techniques donneront des résultats certainement moins pertinents pour les utilisateurs.

                                                            * * * * * * * * * * *

(1) CJUE, 5ème chambre, décision du 19 décembre 2013, Innoweb BV, Wegener ICT Media BV, Wegener Mediaventions BV

(2) Directive 96/9/CE du Parlement européen et du Conseil du 11 mars 1996 concernant la protection juridique des bases de données, transposée en droit français aux articles L.341-1 et suivants du code de la propriété intellectuelle

(3) Article 7.2 et 7.3 de la directive


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Septembre 2015

Quel cadre légal pour le traitement des données personnelles des mineurs sur internet ?

Selon une étude Ipsos Connect menée en 2014, en France, les enfants de 7 à 12 ans passent en moyenne 5 heures par semaine sur internet, cette durée dépassant 11 heures par semaine pour les adolescents de 13 à 19 ans. (1) Pour autant, les enfants ne connaissent pas les règles de protection de la vie privée et peuvent être amenés à s’inscrire sur des sites et à communiquer des données sans comprendre les conséquences de tels actes.

En mai 2015, 29 autorités nationales de protection des données, regroupées au sein du GPEN (Global Privacy Enforcement Network), ont réalisé une opération d’audit en ligne conjointe sur près de 1.500 services web destinés aux mineurs (sites de jeux, réseaux sociaux et services éducatifs ou de soutien scolaire).

L’objectif de ces audits était de vérifier si les sites et applications internet consultés par les enfants et adolescents respectaient les règles de protection de la vie privée. Les points de contrôle portaient sur le type de données collectées, le niveau d’information et son adaptation aux jeunes utilisateurs ainsi que l’existence de mesures particulières de vigilance ou de contrôle parental pour les plus jeunes.

Les résultats de cette opération, dénommée “Internet Sweep Day”, viennent d’être publiés par la CNIL. (2) Selon ces autorités de protection des données, la protection de la vie privée des mineurs, sur les différents services examinés, est globalement insuffisante.

Après avoir brièvement rappelé le cadre légal de la protection des données personnelles, nous examinons ci-après les initiatives en cours vers un renforcement de la protection de la vie privée des mineurs et les règles de traitement qui devront être déployées par les exploitants de services numériques à destination des mineurs.


1. Le cadre légal de la protection des données personnelles : des règles générales qui s’appliquent à tous, sans distinction d’âge

La loi Informatique et Libertés du 6 janvier 1978 a été modifiée en 2004 pour transposer la directive européenne sur la protection des données personnelles du 24 octobre 1995. (3) Ces textes ne contiennent pas de dispositions relatives aux données personnelles des mineurs. Les dispositions légales s’appliquent donc à tous (adultes et enfants), sans distinction d’âge.

Les principales règles en matière de collecte et de traitement de données à caractère personnelle peuvent être résumées ainsi :

- Une collecte de données loyale et licite ;
- Une obligation de déclaration à la CNIL préalablement à la mise en oeuvre du traitement, ou éventuellement l’obligation de faire une demande d’autorisation pour certains types de traitements ;
- Un traitement de données conforme à la finalité déclarée (ou autorisée) ;
- Le consentement de la personne concernée à la collecte de ses données, accompagné d’une obligation d’information de la personne sur ses droits d’accès, de correction et d’opposition (désinscription / suppression) ;
- La conservation des données pour une durée raisonnable. A l’expiration du délai nécessaire au traitement, y compris les obligations légales de conservation (durées de prescription légale), les données doivent être supprimées ;
- Une obligation de sécurité des données. Le responsable de traitement doit mettre en oeuvre des mesures de sécurité physiques et techniques afin d’éviter tout accès non autorisé aux serveurs d’hébergement afin que les données ne soient modifiées, effacées, voire divulguées au public.

Les sanctions encourues en cas de non-respect à la loi Informatique et Libertés sont sévères : amendes administratives prononcées par la CNIL d'un montant maximum de 300.000€, et condamnations pénales allant jusqu’à 5 ans d’emprisonnement et 300.000€ d’amende.


2. Vers la reconnaissance d’une protection renforcée de la vie privée des mineurs

En Europe, l’absence de régime spécifique aux mineurs ne signifie pas que les organismes, publics ou privés, ne réfléchissent pas à cette problématique, et ce depuis une dizaine d’années. De plus en plus de personnalités, issues tant du monde politique et réglementaire que du monde du numérique et des médias, reconnaissent le besoin de faire évoluer la réglementation sur la protection de la vie privée des mineurs. En effet, les éditeurs de sites pour enfants et adolescents sont aujourd’hui fortement incités à faire preuve d’une vigilance accrue dès lors qu’ils traitent des informations sur leurs jeunes utilisateurs et clients.

Des initiatives publiques et privées
De nombreux textes, recommandations, avis, chartes, définissant les mesures à déployer pour assurer un niveau de protection renforcée aux données des mineurs, ont été adoptés par des organismes publics et privés.

On citera par exemple les recommandations et actions de sensibilisation de la CNIL (rapport "Internet et la collecte de données personnelles auprès de mineurs”, site Jeunes.cnil.fr, organisation du Safer Internet Day en France, animation du collectif pour l’éducation au numérique, etc.), ou encore les avis publiés par le Groupe de l’article 29 (ou “G29”), réunissant les autorités européennes de contrôle de la protection des données (avis portant sur "la protection des données à caractère personnel de l'enfant" et "les réseaux sociaux en ligne”). (4)

Plusieurs organisations professionnelles ont également souhaité apporter des garanties de protection renforcée aux mineurs. Ces initiatives figurent dans les chartes et codes édités par l'Union Française du Marketing Direct (UFMD), l’Autorité de régulation professionnelle de la publicité (ARPP) ou la Chambre de commerce internationale (ICC) par exemple. (5)

Même si ces textes doivent être interprétés comme de la “soft law”, et ne sont pas obligatoires, ils servent néanmoins de repères et permettent de faire évoluer le droit. Ces recommandations et engagements divers peuvent être mis en oeuvre par les acteurs du numérique afin de démontrer leur engagement citoyen pour une meilleure protection de la vie privée des jeunes.

Le futur règlement européen sur la protection des données personnelles
En janvier 2012, le Parlement européen et le Conseil de l’Union européenne ont publié une proposition de règlement visant à réformer le cadre juridique de la protection des données personnelles dans l’Union européenne. (6) Ce texte, qui devrait en principe être adopté fin 2015/début 2016, a fait l'objet de nombreux débats. Ce règlement européen, une fois le texte définitif adopté, sera d’application immédiate et uniforme dans l’ensemble de l’Union européenne et viendra remplacer la Directive de 1995 et les différentes lois nationales de protection des données personnelles, y compris la loi Informatique et Libertés de 1978.

La proposition de règlement européen sur la protection des données à caractère personnel marque une évolution importante concernant la protection de la vie privée des enfants. Plusieurs dispositions spécifiques les concernent.

Le règlement proposé définit expressément l'enfant comme une personne de moins de 18 ans, même si une distinction est parfois faite entre les enfants de moins de 13 ans et les adolescents entre 13 et 18 ans.

Le texte affirme ainsi que :
- “les données à caractère personnel relatives aux enfants nécessitent une protection spécifique car ceux-ci peuvent être moins conscients des risques, des conséquences, des garanties et de leurs droits en matière de traitement des données” ;
- Les enfants seraient exclus des opérations de profilage par traitement automatisé ;
- Des formulaires types relatifs au traitement de données à caractère personnel des enfants seraient définis par la Commission pour garantir des conditions uniformes de mise en oeuvre du règlement à travers l’Union ;
- Enfin, les traitements de données personnelles des enfants de moins de 13 ans ne seraient licites que sous réserve que le consentement soit donné par un parent ou la personne qui en a la garde. (7)

Le montant des sanctions prévues en cas de non conformité aux obligations édictées par le règlement est particulièrement dissuasif : 500 000 euros ou, dans le cas d'une entreprise, 1% de son chiffre d’affaires annuel mondial. Bien que ces chiffres ne soient pas encore définitifs, les montants seront plus élevés que sous la législation actuelle.


3. Quelques recommandations et bonnes pratiques à adopter par les éditeurs de services web et mobiles pour mineurs

Bien qu’il n’existe pas encore en Europe d’obligation spécifique relative à la collecte et au traitement de données personnelles de mineurs, il est fortement recommandé aux services numériques destinés aux enfants, d’anticiper l’évolution de la réglementation.

Plusieurs séries de mesures peuvent d’ores et déjà être déployées ou planifiées, et ce même si le règlement européen n’entrera en vigueur que deux ans après son adoption.

Outre les obligations applicables à toute collecte de données à caractère personnel, les mesures suivantes peuvent ainsi être mises en place :

- Consentement parental : la proposition de règlement soumet le caractère licite des traitements de données personnelles des enfants de moins de 13 ans à l’autorisation des parents. Le consentement parental est incontournable en cas de collecte de données sensibles (données relatives à la santé, aux convictions religieuses ou à l’origine raciale), des photographies de mineur, et de cession des données à des tiers à des fins de prospection commerciale ;

- Mesures techniques : l’éditeur d’un service web ou mobile devra déployer des moyens techniques permettant de s'assurer de l'effectivité du consentement de l'enfant et de l'autorisation des parents, ainsi que des technologies protectrices de la vie privée, telles que des paramètres par défaut ;

- Information et transparence : l’exploitant d’un site ou d’une application mobile devra fournir des informations et communiquer dans des termes adaptés, facilement compréhensibles par un enfant ;

- Droit à l'oubli numérique : enfin, les mineurs devront pouvoir obtenir du responsable du traitement l’effacement et la cessation de la diffusion des données les concernant.


     Les résultats de l’Internet Sweep Day ont fait apparaître des niveaux de protection et d’information insuffisants sur les sites destinés aux jeunes : défaut de sensibilisation spécifique auprès des jeunes sur la collecte de leurs données, redirections vers des sites tiers (dont des sites marchands), dépôt de cookies sans information. Compte tenu de la volonté affirmée par les autorités européennes de renforcer les règles de protection de la vie privée des mineurs, il est recommandé aux éditeurs de services numériques à destination des jeunes de préparer la mise en conformité de leurs services.

On notera enfin que les Etats-Unis, qui ne disposent toujours pas de loi globale au niveau fédéral sur la protection des données personnelles, ont légiféré dès 1998 sur la protection des données des enfants collectées sur internet, avec la loi COPPA (Children’s Online Privacy Protection Act - 1998). (8) La loi COPPA ne s’applique cependant qu’aux données des enfants de moins de 13 ans collectées par des sites web qui leur sont destinés ou qui savent que des enfants utilisent leurs services. Cette loi s’applique aux sites américains, et aux sites étrangers qui ciblent le marché américain (sites de e-commerce, services en ligne ou réseaux sociaux non-américains utilisés par des jeunes américains).


                                                          * * * * * * * * * * *

(1) Voir citation sur le site de la CNIL à http://www.cnil.fr/les-themes/internet-telephonie/actualite/article/internet-sweep-day-les-sites-pour-enfants-sont-ils-respectueux-de-la-vie-privee/

(2) Communiqué CNIL du 2 septembre 2015, Vie privée des enfants : une protection insuffisante sur les sites Internet.

(3) Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ; Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée.

(4) Rapport CNIL intitulé "Internet et la collecte de données personnelles auprès de mineurs", publié le 12 juin 2001 ; Avis 2/2009 du G29 sur la protection des données à caractère personnel de l'enfant, adopté le 11 février 2009, WP160 et Avis 5/2009 sur les réseaux sociaux en ligne, adopté le 12 juin 2009, WP163.

(5) Voir la Charte de l’emailing adoptée par l’UFMD en mars 2005, la recommandation “Enfant” de l’ARPP de juin 2004 et le Code ICC consolidé sur les pratiques de publicité et de communication commerciale de 2006, révisé en avril 2015

(6) Proposition de Règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, COM(2012) 11 final, le 25 janvier 2012.

(7) Considérants 29, 58, et 130 et article 8 de la proposition de règlement.

(8) Children’s Online Privacy Protection Act - 1998 (COPPA). Voir par exemple les FAQs sur le site de la Federal Trade Commission https://www.ftc.gov/tips-advice/business-center/guidance/complying-coppa-frequently-asked-questions


Bénédicte DELEPORTE
Betty SFEZ
Avocats

Deleporte Wentz Avocat
www.dwavocat.com


Septembre 2015

Géolocalisation : quel cadre légal pour les véhicules des salariés ?

Face au développement du recours à la géolocalisation en entreprise, la Commission nationale de l’informatique et des libertés a publié, en juin dernier, une nouvelle délibération portant norme simplifiée. (1) Ce texte vise à préciser l’encadrement juridique de la mise en œuvre des dispositifs de géolocalisation sur les véhicules utilisés par les salariés. Il remplace une norme de 2006 qui, compte tenu de l’évolution des technologies et des usages, était devenue en partie inadaptée. (2) Nous faisons ci-après un bref rappel des règles applicables en la matière.


1. Les conditions d’installation à respecter par l’employeur

Le caractère particulièrement intrusif de la géolocalisation dans le cadre du travail a conduit la Cnil à définir plus en détail les conditions de recours à ce dispositif.

     - Les cas de recours autorisés à un dispositif de géolocalisation
 

L’utilisation d’un système de géolocalisation par GPS des véhicules mis à disposition des salariés est strictement limitée aux finalités suivantes :
(i) respecter une réglementation imposant l’installation d’un tel dispositif en raison du type de transport ou de la nature des biens transportés ;
(ii) besoins du suivi et de la facturation d’une prestation de transport de personnes ou de marchandises, ou d’une prestation de services liée à l’utilisation d’un véhicule et la justification d’une prestation auprès d’un client ou d’un donneur d’ordre ;
(iii) garantir la sûreté ou la sécurité des employés et/ou des marchandises transportées ;
(iv) améliorer l’allocation des moyens pour des prestations à accomplir dans des lieux éloignés (pour des interventions d’urgence par exemple) ;
(v) s’assurer du respect, par les salariés, des règles d’utilisation du véhicule prédéterminée par l’employeur.

Il est enfin précisé, à titre de finalité accessoire du traitement, que le dispositif peut être utilisé pour le suivi du temps de travail des salariés, sous réserve que ce suivi ne puisse être réalisé par un autre moyen, et uniquement pendant le temps de travail.

     - Les informations pouvant être collectées et traitées

Seules les données limitativement énumérées par la Commission peuvent faire l’objet d’un traitement, à savoir : les informations d’identification des salariés (nom, prénom, numéro de plaque d’immatriculation, etc.), aux déplacements des salariés (historique des déplacements effectués, etc.), à l’utilisation du véhicule (vitesse de circulation, nombre de kilomètre, temps de conduite, etc.), ainsi que les dates et heures d’activation / désactivation du dispositif.

     - Les points spécifiques à retenir
 

En toute hypothèse, la mise en œuvre d’un dispositif de géolocalisation ne peut induire la collecte et le traitement des données de localisation en dehors du temps de travail du conducteur, en particulier lors des trajets entre le domicile et le lieu de travail ou encore pendant les temps de pause. De même, le traitement de la vitesse maximale n’est pas autorisé, sauf disposition légale contraire ; seul celui de la vitesse moyenne est envisageable.

Par ailleurs, il ressort de la délibération Cnil que le salarié doit pouvoir désactiver le système GPS, l’employeur pouvant demander des explications en cas de désactivations répétées ou d’une durée excessive. Enfin, les salariés investis d’un mandat électif ou syndical ne doivent en aucun cas faire l’objet d’une opération de géolocalisation lorsqu’ils se déplacent dans le cadre de l’exercice de leur mandat.


2. Les obligations inhérentes à la mise en oeuvre d’un dispositif de géolocalisation

L’installation d’un système de géolocalisation implique pour l’employeur le respect de plusieurs obligations légales.

     - Les formalités préalables auprès de la Cnil
 

Un dispositif de géolocalisation installé dans les véhicules mis à disposition des salariés doit faire l’objet d’une déclaration à la Cnil préalablement à sa mise en oeuvre, au moyen d’une déclaration simplifiée de conformité.

Les entreprises ayant déjà effectué une déclaration simplifiée en référence à la norme de 2006 ont jusqu’au 17 juin 2016 pour se mettre en conformité avec les nouvelles conditions posées par la Cnil. Seuls peuvent bénéficier de cette procédure les traitements de géolocalisation des véhicules répondant exactement aux conditions définies par la Cnil. Si l’un des critères n’est pas rempli, d’autres formalités préalables seront requises.

     - La consultation et l’information des représentants du personnel et des salariés
 

La mise en œuvre d’un dispositif de géolocalisation sur les véhicules utilisés par les employés implique l’information et la consultation préalable des représentants du personnel.

Par ailleurs, le salarié concerné doit également être informé, individuellement et préalablement à la mise en œuvre du traitement. Les mentions devant être portées à sa connaissance sont notamment les finalités poursuivies, les données traitées, la durée de conservation, etc. (3)

     - Les obligations relatives au traitement des données
 

Comme pour tout traitement de données personnelles, le responsable de traitement doit respecter des obligations quant à la durée de conservation des données et à leur sécurité mais également concernant l’information et les droits des salariés concernés (droit d’accès, de rectification, d’opposition, etc.).

Les données de localisation doivent ainsi être conservées uniquement pour une durée dite « pertinente » au regard de l’objectif du traitement. Une durée de deux mois est considérée adéquate par la Cnil.

Toutefois, la délibération Cnil mentionne plusieurs cas dans lesquels la durée de conservation peut aller au-delà de deux mois, notamment si la conservation de l’historique des déplacements a pour but l’optimisation des tournées.

Quant à la sécurité des données, l’employeur est tenu de prendre toutes les précautions nécessaires (mise en place de mesures à la fois physique et technique). A ce titre, la Cnil recommande notamment la réalisation d’une étude des risques, la mise en place d’un mécanisme de gestion des habilitations régulièrement mis à jour, le chiffrement des données, etc.


   A défaut, pour l’employeur de respecter la réglementation précitée, le dispositif de géolocalisation mis en oeuvre au sein de l’entreprise sera jugé illégal et ne pourrait être opposé aux salariés, notamment à des fins disciplinaires ou pour justifier un licenciement. En outre, le manquement aux obligations légales est puni de sévères sanctions financières et pénales. Dans ce contexte, il est recommandé aux entreprises de s’assurer, au moyen d’un audit par exemple, de la conformité de leur dispositif de géolocalisation à ces nouvelles règles et à défaut, de prendre toutes mesures nécessaires de mise en conformité.


                                                          * * * * * * * * * * *

(1) Délibération n°2015-165 du 4 juin 2015 portant adoption d’une norme simplifiée concernant les traitements automatisés de données à caractère personnel mis en œuvre par les organismes publics ou privés destinés à géolocaliser les véhicules utilisés par leurs employés (norme simplifiée n°51). Cette délibération vient remplacer la précédente recommandation CNIL sur le même sujet en date du 16 mai 2015.

(2) A noter que cette délibération ne concerne pas les dispositifs de contrôle des transports routiers (chronotachygraphes), dispensés de déclaration à la Cnil - voir délibération Cnil n°2014-235 du 27 mai 2014.

(3) Voir notamment les articles L.1121-1, L.1222-3, L.1222-4 et L.2323-32 du Code du travail.

Betty SFEZ 

Avocat
 

Deleporte Wentz Avocat

www.dwavocat.com

Septembre 2015