Protection des données personnelles : analyse comparative entre le RGPD (UE) et les CBPR (APEC)

 

Suite à notre précédent article présentant le système des CBPR (Cross-Border Privacy Rules) permettant les transferts de données personnelles entre sociétés situées dans la région Asie-Pacifique (APEC) (1), nous faisons ici une brève analyse comparative entre le RGPD (2) et le système des CBPR afin d’aider à comprendre les objectifs de ces deux systèmes de protection des données personnelles, ce qui les rapproche, mais aussi ce qui les différencie.

1. Principes fondamentaux et fonctionnement : RGPD vs CBPR

Même si les objectifs du RGPD et des CBPR sont similaires, c’est-à-dire permettre le transfert de données personnelles à l’international dans des conditions juridiques sécurisée, les fondamentaux et leur fonctionnement diffèrent.

    1.1 Le RGPD : une application homogène dans l’Union européenne

Le RGPD est entré en application le 25 mai 2018. Ce texte a vocation à s’appliquer de manière homogène dans les Etats-membres de l’Union européenne. (3) Le règlement est venu abroger la directive sur la protection des données personnelles datant d’octobre 1995, qui était devenue obsolète puisqu’elle avait été adoptée avant l’essor des services sur internet (Big data, Cloud computing, …) et l’expansion des GAFAM.

L’objectif principal du RGPD est la protection des consommateurs, et par le biais de règles de consentement renforcées, de leur redonner du pouvoir sur leur données personnelles.

Le RGPD s’applique à tout organisme, privé et public, responsable de traitement ou sous-traitant, situé dans l’Union européenne, qui traite des données personnelles. Le règlement s’applique également aux organismes situés en dehors de l’UE qui ciblent tout ou partie du marché européen et à ce titre, traitent des données personnelles de résidents européens. (4)

Tout organisme situé au sein de l’UE doit donc être en conformité avec le RGPD. Les transferts de données personnelles au sein de l’UE sont réalisés librement, de même que les transferts de données personnelles entre une organisme situé dans l’UE et un organisme situé dans un pays offrant un niveau de protection adéquat. (5) Les transferts vers les pays tiers sont interdits, sauf adoption par les deux parties de clauses contractuelles types (CCT) validées par la commission européenne, un contrat ad hoc validé par une autorité de contrôle (CNIL par exemple), ou en vertu de règles d’entreprise contraignantes (Binding corporate rules ou BCR) pour les transferts de données personnelles intra-groupe.

    1.2 Les CBPR : un système flexible applicable sur la base du volontariat

Le système des CBPR est établi sur la base du Privacy Framework de l’APEC (Asia-Pacific Economic Cooperation). Ce système date de 2005 et a été mis à jour en 2015. Contrairement au RGPD, les CBPR ne s’appliquent pas automatiquement dans les pays membres de l’APEC. A ce jour, seuls 9 pays, sur les 21 pays membres de l’APEC, on adhéré au système des CBPR. (6)

L’objectif des CBPR est avant tout économique, c’est-à-dire, de fluidifier les transferts de données personnelles entre les organismes situés dans des pays membres, de manière juridiquement sécurisée, aux fins de développer les flux économiques, et notamment le commerce électronique. (7)

Les CBPR fonctionnent sur les principes de flexibilité et de volontariat. “Flexibilité” : les CBPR ne remplacent pas la réglementation sur la protection des données des pays participant au système CBPR et leur application est soumise à un certain degré de flexibilité. Les pays dont la réglementation sur la protection des données personnelles est plus stricte conservent le “bénéfice” de leur réglementation. Certaines dispositions du cadre de protection des données peuvent également être adaptées compte tenu des différences aux niveaux social, culturel, économique et juridique des pays participants. “Volontariat” : seuls les organismes situés dans les pays adhérant aux CBPR peuvent décider de se faire certifier conformes aux CBPR.adhérent,

Par ailleurs, les CBPR ne s’appliquent qu’aux responsables de traitement (“controllers”). Les sous-traitants (“data processors”) peuvent, quant à eux, se faire certifier conformes aux PRP (Privacy Recognition for Processors), qui viennent compléter les CBPR. Il est donc nécessaire, pour une société responsable de traitement, de s’assurer que son co-contractant, situé dans un pays est effectivement certifié CBPR et/ou PRP avant de lui transférer des données personnelles.

Les sociétés certifiées CBPR / PRP des pays de l’APEC participants peuvent ainsi librement transférer des données personnelles entre elles. Les transferts vers des sociétés non certifiées, des pays de l’APEC non participants, et vers les pays tiers sont en principe interdits, sauf dispositions figurant dans les lois nationales de protection des données personnelles.

Enfin, on notera que l’UE compte environ 400 millions d’habitants, et est composée de pays relativement homogènes en terme de développement économique. Les pays de l’APEC participant au système CBPR en comptent le double, soit environ 817 millions d’habitants. Toutefois ces pays sont plus disparates économiquement.

2. Les principes et dispositions caractéristiques aux deux systèmes

Dans la mesure où le RGPD et le Privacy Framework de l’APEC, sur lequel repose le système des CBPR, s’inspirent des lignes directrices de l’OCDE sur la protection de la vie privée, on retrouve plusieurs principes fondamentaux communs aux deux systèmes. (8) Toutefois, leur mise en oeuvre est différente. (9) Nous abordons ci-après les principales similarités et différences entre les deux systèmes.

    2.1 Principales similarités entre les deux systèmes

Comme mentionné plus haut, dans la mesure où les deux systèmes, RGPD et CBPR sont issus des lignes directrices de l’OCDE sur la protection de la vie privée, on retrouve des similarités entre eux, même si les termes utilisés ne sont pas nécessairement identiques. Nous reprenons les principaux concepts par équivalence. Les références aux CBPR se rapportent au Privacy Framework (PF) de l’APEC.

    - Champ d’application matériel
Le RGPD s'applique aux traitements de données à caractère personnel, automatisés en tout ou en partie, ainsi qu'aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans un fichier. (RGPD art. 2) Comme mentionné plus haut, contrairement aux CBPR, le règlement s’applique aux responsables de traitement et aux sous-traitants.

Le système CBPR s’applique aux personnes physiques ou morales, privées ou publiques qui contrôlent la collecte, détiennent, traitent, utilisent ou transfèrent des données personnelles. Les CBPR ne s’appliquent qu’aux responsables de traitement et sont complétés par les PRP, applicables aux sous-traitants. Il s’agit toutefois d’un système flexible, adaptable aux différences sociales, culturelles, économiques et juridiques des pays participants. (par. 17 PF)

    - Définitions
“Donnée personnelle” : selon le RGPD, une donnée à caractère personnel signifie “toute information se rapportant à une personne physique identifiée ou identifiable” (la personne concernée). (Art 4.1 RGPD) La définition des CBPR est sensiblement la même. (par. 9 PF)

“Responsable du traitement” (data controller ou personal information controller) : selon le RGPD, le responsable du traitement est la personne physique ou morale, qui détermine les finalités et les moyens du traitement. Il peut y avoir des responsables du traitement conjoints. (art. 4.7 RGPD) Les CBPR définissent le responsable du traitement comme la personne physique ou morale qui contrôle la collecte, le traitement, l’utilisation et le fait de détenir des données personnelles. (par.10 PF)

    - Principes relatifs au traitement des données à caractère personnel
Le RGPD reprend et enrichit les principes applicables aux traitements de données par rapport à la directive d’octobre 1995, à savoir, les notions de licéité, loyauté, transparence du traitement, de finalités déterminées, explicites et légitimes, de minimisation (traitement limité aux données nécessaires au regard des finalités), données exactes et à jour, conservées pendant une durée limitée, de manière sécurisée et confidentielle. (art. 5.1 RGPD)

On retrouve ces principes dans le système CBPR, à savoir, les principes d’information et de consentement de la personne concernée (“notice, consent and choice”) (par. 21 à 23 et 26 PF), de limitation des données collectées (par. 24) et de finalité (par. 25), ainsi que les notions d’intégrité et de données à jour. (par. 27)

    - Principe de responsabilité (“accountability”)
Le principe de responsabilité a été renforcé avec le RGPD, le responsable du traitement devant être en mesure de démontrer être en conformité avec le règlement. (Considérant 85 et art. 5 2 RGPD)

Le système des CBPR reconnaît ce principe de responsabilité en matière de conformité du responsable du traitement. (par. 32 PF)

    - Principe de sécurité des données
Les responsables du traitement et leurs sous-traitants sont responsables de la sécurité (physique et logique) des données qu’ils traitent, compte tenu notamment de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques et du coût des mesures de sécurité par rapport au niveau de sensibilité des données traitées. (art. 32-1 RGPD)

Le principe de sécurité des données contre la perte, les accès non autorisés aux données ou la destruction, l’utilisation, la modification ou la divulgation non autorisées des données, est également reconnu par les CBPR. (par. 28 PF)

    2.2 Principales différences entre les deux systèmes

Il existe toutefois de nombreuses différences entre les deux systèmes, en commençant par les objectifs poursuivis par le RGPD et par les CBPR respectivement.

    - Objectifs
Le RGPD a pour objectif de permettre la libre circulation des données personnelles au sein de l’Union européenne, ainsi que d’assurer la protection des personnes concernant leurs données personnelles. Le RGPD définit la protection des personnes physiques concernant le traitement des données personnelles comme un droit fondamental. (1er considérant et art. 1er RGPD)

Les CBPR fournissent un système de protection des données personnelles permettant de lever les barrières aux transferts de données, en assurant le développement du commerce et des relations économiques dans la région APEC. Le Privacy Framework reconnaît le droit des personnes concernées à une attente légitime en matière de protection des données, et contre une utilisation abusive de ces données. (par. 20 PF)

    - Champ d’application territoriale
Le RGPD s'applique aux traitements de données personnelles effectués sur le territoire de l’Union européenne, que les traitements aient effectivement lieu ou non dans l’UE. Le règlement produit également des effets extra-territoriaux, puisqu’il s’applique aussi aux traitements de données concernant des personnes résidant dans l’UE par des organismes situés hors de l’UE. (art. 3 RGPD)

Les CBPR ne définissent pas de champ d’application territoriale puisque le système ne s’applique qu’aux pays de l’APEC ayant adhéré aux CBPR et uniquement aux organismes certifiés CBPR (et/ou PRP pour les sous-traitants). Toutefois, les autorités de contrôle des pays participants sont encouragées à coopérer entre elles pour assurer l’application effective des CBPR (par. 62 s. PF).

    - Sous-traitant (data processor)
Le RGPD définit le sous-traitant comme la personne physique ou morale qui traite des données à caractère personnel pour le compte du responsable du traitement. (art. 4.8 RGPD)

Le Privacy Framework de l’APEC et les CBPR ne s’appliquent pas aux sous-traitants.

    - Données accessibles au public
D’une manière générale, le RGPD s’applique aux données personnelles, qu’elles soient accessibles publiquement (données accessibles sur les réseaux sociaux par exemple : nom, prénom, photos, etc.), ou non.

Le Privacy Framework de l’APEC et les CBPR s’appliquent de manière très limitée aux données personnelles accessibles publiquement. Dans la mesure où la personne concernée a en principe rendu ses données publiques, et que ses données ne sont pas collectées directement auprès d’elle, on considère que les principes d’information et de choix ne sont pas applicables. (par. 11 PF)

    - Adaptations par les Etats-membres / pays participants
Même s’il s’agit d’un règlement européen, applicable directement par les Etats-membres, le RGPD prévoit quelques domaines résiduels sur lesquels les Etats-membres peuvent légiférer. Ainsi, en France, la loi Informatique et Libertés a été modifiée par ordonnance le 12 décembre 2018 pour intégrer ces dispositions aménagées. (10)

Les pays qui adhèrent au système des CBPR peuvent appliquer des exceptions au champ d’application du système correspondant à leur situation spécifique.

    - Violations de données personnelles, notification et correction
Le RGPD définit la violation de données à caractère personnel comme une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données. (Art. 4.12 RGPD) Alors que précédemment l’obligation de notifier les violations de données aux autorités de contrôle ne s’appliquait en France qu’aux seuls opérateurs télécom, le RGPD a étendu cette obligation à tous les organismes. En cas de violation de données personnelles, la procédure de notification et de correction est décrite à l’article 33 du RGPD.

Les CBPR ne comprennent pas de définition de violation de données personnelles. Toutefois, les  pays participants doivent prévoir des procédures de notification aux autorités de contrôle ou aux personnes concernées en cas de violation de données.

    - Durée de conservation des données personnelles
Le RGPD limite la durée de conservation des données à caractère personnel. Les données personnel sont conservées sous une forme permettant l'identification des personnes concernées pendant la durée nécessaire aux finalités pour lesquelles elles sont traitées. Elles sont ensuite supprimées. Elles peuvent cependant être conservées pour des durées plus longues, sous une forme anonymisée, en cas de traitement à des fins archivistiques, de recherche scientifique ou historique ou à des fins statistiques. (art. 5.1 RGPD)

En revanche, le Privacy Framework ne prévoit pas d’obligation de limitation de durée de conservation des données.

    - Données des enfants
Enfin, l’article 8 du RGPD prévoit des règles spécifiques pour la protection des données personnelles des mineurs, avec la possibilité pour chaque Etat-membre de fixer le seuil de l’âge de cette protection spécifique entre 13 et 16 ans (fixé à 15 ans en France).

Le Privacy Framework ne prévoit pas de protection spécifique pour les données des mineurs.


    Le système des CBPR, complété par les PRP, n’est pas reconnu par la Commission européenne comme offrant un niveau de protection adéquate. Parmi les pays membres de l’APEC, seuls le Canada et le Japon sont actuellement reconnus par la Commission européenne comme des pays offrant un niveau de protection adéquate. En conséquence, pour les autres pays de l’APEC, participant ou non au système des CBPR, les transferts de données entre un organisme situé dans l’Union européenne et une société certifiée située dans un pays de l’APEC doivent respecter les règles européennes de transfert à l’international (adoption de CCT, signature d’un contrat approuvé par une autorité de contrôle ou transfert couvert par des BCR).

* * * * * * * * * * *

(1) Site de l’APEC L'APEC compte parmi ses membres une grande partie des pays de l’Asie du sud et de l’est. A noter que l’Inde n’est pas membre de l’APEC.

(2) Règlement général pour la protection des données n° 2016-679, ou RGPD

(3) Le RGPD ne s’applique pas de manière identique dans toute l’Union. Le règlement permet aux Etats-membres d’adopter des dispositions spécifiques dans quelques domaines identifiés.

(4) Article 3 - RGPD

(5) Les pays membres de l’APEC offrant un niveau de protection adéquate sont le Canada, le Japon, et la Nouvelle-Zélande (hors système CBPR). Des pourparlers sont en cours entre la Commission européenne et la République de Corée pour ajouter ce pays à la liste des pays offrant un niveau de protection adéquate. Le Privacy Shield (Bouclier de protection), en place entre l’Union européenne et les Etats-Unis (membre de l’APEC), a été invalidé par un arrêt de la Cour de justice de l’Union européenne (CJUE) le 16 juillet 2020.

(6) Les 9 pays de l’APEC participant au système des CBPR à la date du présent article sont : l’Australie, le Canada, la Corée du Sud, les Etats-Unis, le Japon, le Mexique, les Philippines, Singapour, et Taiwan.

(7) “GDPR and CBPR: Reconciling Personal Data Protection and Trade”, APEC policy support unit, Policy Brief No.23, October 2018

(8) Lignes directrices de l’OCDE

(9) Les CBPR reposent sur 9 principes fondamentaux, définis dans le Privacy Framework de l’APEC. Il s’agit des principes de : responsabilité (accountability), information des personnes (notice), choix (choice), limitation des données collectées (collection limitation), intégrité des données personnelles (integrity of personal information), règles d’utilisation des données personnelles (uses of personal information), règles de sécurité des données (security safeguards), règles relatives aux droits d’accès et de rectification (access and correction), et règles relatives à la prévention des dommages comprenant l’obligation de notification en cas de violation de données (preventing harm). En revanche, les CBPR ne prévoient pas le principe de la limitation de la durée de conservation des données.

(10) Ordonnance n°2018-1125 du 12 décembre 2018 prise en application de l'article 32 de la loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles et portant modification de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et diverses dispositions concernant la protection des données à caractère personnel.


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Novembre 2020

CBPR et PRP : Singapour modifie la loi sur le transfert des données personnelles

Singapour a rejoint le système des CBPR (Cross-Border Privacy Rules - règles transfrontières de protection des données) de l’APEC en avril 2018. Il aura fallu un peu plus de deux ans pour que la loi singapourienne sur la protection des données personnelles soit modifiée pour admettre les transferts de données personnelles dans le cadre des CBPR. (1)

La Loi sur la protection des données personnelles de 2012 (PDPA) est entrée en application en trois phases entre le 2 janvier 2013 et le 2 juillet 2014. (2) Cette loi est complétée par les Règlements sur la protection des données personnelles de 2014, dont le titre III concerne les transferts de données vers l’étranger (ci-après, les “Règlements”). (3)

En règle générale, les données personnelles ne peuvent être librement transférées depuis Singapour vers un pays étranger, sauf dans les cas prévus par les Règlements.

Avant de transférer les données vers un organisme situé à l’étranger, l’organisme singapourien doit notamment s’assurer que l’organisme destinataire est soumis à des engagements opposables accordant aux données transférées un niveau de protection au moins équivalent à la protection accordée par la loi singapourienne sur la protection des données personnelles. Ce niveau d’engagement peut figurer dans la loi du pays du destinataire, dans un contrat conclu entre l’organisme singapourien et l’organisme destinataire, ou dans des règles d’entreprise contraignantes (Binding corporate rules - BCR) pour les transferts intra-groupe.

Les Règlements ont été modifiés le 4 juin dernier pour ajouter les transferts de données à l’étranger vers des organismes certifiés dans le cadre du système des CBPR pour les responsables de traitements, ou des PRP (Privacy Recognition for Processors - ou système de reconnaissance de la vie privée pour les sous-traitants). Pour rappel, seuls les organismes situés dans des pays de l’APEC ayant adhéré au système des CBPR et PRP peuvent bénéficier de ces mesures de transfert. A ce jour, 9 pays, sur les 21 membres de l’APEC, ont rejoint le système CBPR : les Etats-Unis, le Canada, le Mexique, le Japon, la Corée du Sud, Taiwan, les Philippines, Singapour et l’Australie. (4)

La Commission pour la protection des données personnelles (PDPC) a publié des clauses types pouvant être intégrées aux contrats comprenant des transferts de données vers des organismes certifiés CBPR ou PRP. (5)


                                                                  * * * * * * * * * * *


(1) Site des CBPR

(2) Personal Data Protection Act 2012 (“PDPA”)

(3) Personal Data Protection Regulations 2014

(4) Pour plus de détails sur le fonctionnement du système, voir notre article “Flux transfrontières de données personnelles en Asie-Pacifique : le système CBPR”

(5) https://www.pdpc.gov.sg/help-and-resources/2020/06/sample-clause-for-data-transfers-to-apec-cbpr-and-prp-certified-organisations


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Juillet 2020

Flux transfrontières de données personnelles en Asie-Pacifique : le système CBPR

Les règles transfrontières de protection des données (Cross-Border Privacy Rules ou CBPR) ont été développées par l’APEC en 2011, pour permettre aux entreprises de ses pays membres de transférer des données personnelles selon des règles sûres et reconnues.

Fondé en 1989, l’APEC (Asia-Pacific Economic Cooperation ou Coopération Economique pour l’Asie-Pacifique) est un forum économique régional intergouvernemental regroupant 21 pays bordant le Pacifique. L’APEC a pour mission de faciliter la croissance économique et la coopération entre ses 21 membres. Outre les Etats-Unis, le Canada, le Mexique, le Chili et la Russie, l’APEC compte également parmi ses membres la Chine, l’Australie, le Japon, la Corée, Singapour, l’Indonésie et la Malaisie notamment. (1)

1. Qu’est-ce que le système CBPR ?

    1.1 Un système de transfert de données personnelles, basé sur le volontariat

A l’instar du RGPD européen, le système CBPR a pour objet de fluidifier les transferts de données personnelles entre les pays adhérents dans la région Asie-Pacifique. Mais alors que le RGPD s’impose à tous les organismes situés dans l’Union européenne et aux entreprises non-européennes qui ciblent le marché européen, les CBPR s’appliquent aux seules entreprises, responsables de traitement, qui choisissent, de manière volontaire, de se faire certifier conformes aux CBPR, et qui sont situées dans les pays membres de l’APEC appliquant les CBPR. (2)

Contrairement à l’Union européenne, dont les Etats membres partagent un certain nombre de valeurs sociétales, économiques, juridiques et politiques en application des traités d’adhésion européens, la région Asie-Pacifique ne dispose pas de traité d’union similaire, même s’il existe une volonté d’aller vers une plus grande intégration économique à l’échelle régionale.

Alors que les Etats membres de l’UE ont une même vision des principes relatifs à la protection de la vie privée et des consommateurs, il n’en est pas de même dans la région Asie-Pacifique, qui englobe des sociétés diverses, culturellement et économiquement notamment. Ne disposant pas de l’équivalent des règlements ou directives au niveau régional, les législations des différents pays membres de l’APEC sont diverses. Par exemple, certains pays ont adopté une loi sur la protection des données personnelles, plus ou moins protectrice, d’autres pas encore.

Forts de ce constat, les membres de l’APEC ont reconnu l’importance de la mise en oeuvre de principes de protection des données personnelles efficaces aux fins de fluidifier les flux de données entre leurs entreprises.

La philosophie des CBPR est donc différente de celle du RGPD.

    1.2 Sur quels principes fonctionnent les CBPR ?

Le système des CBPR est établi sur la base du Privacy Framework de l’APEC datant de 2005, et mis à jour en 2015. (3) Ce “cadre de la vie privée” constitue un modèle pour les lois nationales de protection de la vie privée des membres de l’APEC, et un socle de règles minimum pour les pays n’ayant pas encore légiféré dans ce domaine et souhaitant adhérer au système. On y retrouve notamment les principes fondamentaux de la protection des données personnelles, issus des lignes directrices de l’OCDE sur la protection de la vie privée. (4)

Ainsi, les CBPR reposent sur 9 principes fondamentaux, à savoir : les principes de responsabilité (accountability), d’information des personnes (notice), de choix (choice), de limitation des données collectées (collection limitation), d’intégrité des données personnelles (integrity of personal information), règles d’utilisation des données personnelles (uses of personal information), règles de sécurité des données (security safeguards), règles relatives aux droits d’accès et de rectification (access and correction), et règles relatives à la prévention des dommages comprenant l’obligation de notification en cas de violation de données (preventing harm). En revanche, les CBPR ne prévoient pas le principe de la limitation de la durée de conservation des données. (5)

    1.3 CBPR et Privacy Framework - un système de certification qui ne concerne que les responsables de traitement

Le système CBPR fonctionne sur le volontariat des Etats qui souhaitent, ou non, y adhérer, et parmi les Etats adhérents, des sociétés qui souhaitent se faire certifier. Grâce à ce système, les gouvernements et les entreprises certifiées s’assurent que, lors des mouvements de données personnelles transfrontières, celles-ci sont protégées selon les règles du système CBPR applicable dans les pays adhérents.

Les pays membres de l’APEC souhaitant rejoindre le système CBPR doivent suivre une procédure de demande d’adhésion, identifier un organe gouvernemental en charge de l’application des règles de protection des données personnelles (équivalent des autorités de contrôle telles que la CNIL), et au moins un organisme tiers certificateur. Pour les Etats-Unis, l’organe gouvernemental est la Federal Trade Commission et l’organisme tiers certificateur est la société TRUSTe.

Les entreprises souhaitant être certifiées CBPR doivent soumettre un dossier à un agent certificateur accrédité dans leur pays d’origine. Ce dossier comprend notamment leur politique sur la protection des données personnelles, dont les droits d’accès et de correction de leurs données  par les consommateurs, la nomination d’un délégué à la protection des données (DPO) et les règles de sécurité appliquées par l’entreprise. Celui-ci doit ensuite certifier que la politique de protection de la vie privée de la société est conforme au Privacy Framework. La certification est valable un an, renouvelable.

La certification CBPR est en principe un engagement de respect de leurs données personnelles par l’entreprise envers les consommateurs, conformément au Privacy Framework. La conformité au Privacy Framework est cependant un minima. Si la loi locale sur la protection des données personnelles est plus exigeante, l’entreprise devra évidemment se conformer à sa loi locale.

L’agent certificateur est également l’organisme en charge de la résolution des litiges entre les entreprises certifiées CBPR et les consommateurs.

En résumé, seules les entreprises certifiées CBPR, situées dans l’un des pays membres de l’APEC ayant adhéré au système CBPR peuvent bénéficier de ce système. A ce jour, 9 pays, sur les 21 membres de l’APEC, ont rejoint le système CBPR : les Etats-Unis, le Canada, le Mexique, le Japon, la Corée du Sud, Taiwan, les Philippines, Singapour et l’Australie.


2. Le système de PRP, le nécessaire complément aux CBPR, applicable aux sous-traitants

Contrairement au RGPD qui est applicable aux responsables de traitement (“controllers”) et aux sous-traitants (“data processors”), le système des CBPR ne s’applique qu’aux responsables de traitement.

Afin de permettre aux responsables de traitement d’identifier plus facilement des sous-traitants (hébergeurs, développeurs, etc.) dans la région Asie-Pacifique, respectueux des règles de protection des données personnelles, le système des CBPR a été complété par le système de PRP (Privacy Recognition for Processors - ou système de reconnaissance de la vie privée pour les sous-traitants).

Le système de PRP constitue le socle d’engagements en matière de respect des données personnelles qu’un sous-traitant doit respecter pour être certifié. Toutefois, même si les PRP n’intègrent pas le Privacy Framework, qui ne concerne que les responsables de traitement, ce système de règles doit permettre aux sous-traitant certifiés de démontrer leur capacité à traiter les données personnelles qui leur sont confiées, conformément aux règles édictées par les CBPR.

Comme pour les entreprises certifiées CBPR, l’adhésion aux PRP par les sous-traitants passe par une procédure de certification par un organisme tiers certificateur. La conformité des sous-traitants certifiés PRP est également assurée par les organismes certificateurs.

Toutefois, les responsables de traitement certifiés CBPR n’ont pas l’obligation de contracter avec des sous-traitant certifiés PRP.


    De grands groupes tels que Apple, Cisco Systems, General Electric, IBM et leurs filiales ont adopté les CBPR et/ou les PRP. Cependant, bien que les systèmes des CBPR et PRP couvrent une population et un PIB cumulés plus larges que toute l’Union européenne, peu de sociétés les ont encore adoptés. Ceci peut être la conséquence de plusieurs facteurs. La liste des membres de l’APEC participant au système CBPR (9 pays à ce jour) reste limitée. Certains pays n’ont rejoint le système CBPR que récemment : Singapour a rejoint le CBPR en avril 2018 et l’Australie et Taiwan en novembre 2018. De nombreuses entreprises locales ne connaissent pas encore l’existence du système des CBPR et des PRP dans la région. Il n’existe à ce jour que 3 agents certificateurs (Etats-Unis, Japon et Singapour). Enfin, certains pays, tels la Chine, ont mis en oeuvre une politique de non-transfert de données à l’international, ralentissant le mouvement d’adhésion aux CBPR.

Enfin, on précisera que l'adhésion des pays membres de l'APEC au système des CBPR ne modifie pas les règles de transfert de données entre l'Union européenne et ces pays. Hormis le Canada, le Japon, et les Etats-Unis (Privacy Shield) considérés par l'UE comme offrant un niveau de protextion adéquate, les transferts de données personnelles vers les autres pays ayant adhéré au système CBPR (Mexique, Corée du Sud, Taiwan, Philippines, Singapour et Australie) restent soumis aux règles de transfert à l'international, à savoir, soumis aux clauses contractuelles types, à un contrat ad hoc validé par une autorité de contrôle, ou pour les groupes de sociétés, à des BCR.

                                                                 * * * * * * * * * * *

(1) Site de l’APEC : L'APEC compte parmi ses membres une grande partie des pays de l’Asie du sud et de l’est. A noter que l’Inde n’est pas membre de l’APEC.

(2) Site des CBPR

(3) Privacy Framework de l’APEC

(4) Lignes directrices de l’OCDE 

(5) “GDPR and CBPR: Reconciling Personal Data Protection and Trade”, APEC policy support unit, Policy Brief No.23, October 2018

 

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Juin 2020

Covid-19 – La CNIL rappelle les conditions de collecte de données de santé par les employeurs

La CNIL a rappelé aux employeurs les règles applicables à la collecte de données de santé dans le contexte du déconfinement et du retour des salariés sur leurs lieux de travail, dans une communication du 7 mai dernier. (1)

Les données concernant la santé sont définies à l’article 4 du Règlement général sur la protection des données (RGPD) comme “les données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne.”

Les données de santé sont en principe interdites de traitement (art 9 RGPD), sauf dans le cadre des exceptions prévues au RGPD, et notamment lorsque le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l'appréciation de la capacité de travail du travailleur, de diagnostics médicaux, et sous réserve que ces données soient traitées par un professionnel de la santé soumis à l’obligation de secret professionnel. (2)

La collecte de données de santé des employés par les employeurs est donc interdite, car susceptible de porter une atteinte disproportionnée à la vie privée des personnes concernées. Les employeurs souhaitant mettre en place des procédures visant à s’assurer de l’état de santé de leurs employés à leur retour sur leur lieux de travail doivent se conformer au RGPD et au droit du travail. Il leur est conseillé de suivre les conseils des services de santé au travail (SST), particulièrement pendant la durée de la crise sanitaire. (3)

• L’obligation de sécurité des employeurs

Les employeurs sont soumis à une obligation de sécurité de leurs employés (art. L.4121-1 et R.4422-1 code du travail). Ils doivent notamment mettre en œuvre des actions de prévention des risques professionnels, mais également informer et former les salariés. Enfin l’organisation et les conditions de travail doivent être adaptés. Ainsi, il leur est demandé de mettre à leur disposition du gel hydroalcoolique et des masques pour permettre de limiter les risques de contamination, mas également réaménager les postes de travail dans le respect des règles de distanciation sociale.

L’employeur peut rappeler à ses employés travaillant au contact d’autres personnes, de remonter toute information en cas de contamination éventuelle ou avérée, auprès de lui ou des autorités sanitaires compétentes pour adapter les conditions de travail, faciliter la transmission de ces informations par la mise en place de canaux dédiés et sécurisés, favoriser les modes de travail à distance et encourager le recours à la médecine du travail. En tout état de cause, il est recommandé aux employeurs d’informer les employés sur la mise en oeuvre de dispositifs ou de traitements liés à la santé pendant la période de crise sanitaire.

• L’obligation de sécurité des employés

Les employés sont également soumis à une obligation de sécurité en matière de santé. En application de l’article L.4122-1 du code du travail, chaque employé doit veiller à préserver sa propre santé et sécurité, ainsi que celles des personnes avec qui il peut être en contact à l’occasion de son activité professionnelle.

Pendant la pandémie, tout employé en contact avec des tiers (collègues ou public) doit informer l’employeur en cas de contamination avérée ou éventuelle. Par contre, les employés en télétravail qui seraient contaminés ne sont pas tenus d’informer leur employeur. L’arrêt de travail n’aura pas à mentionner la cause.

Seules les données de date, d’identité de la personne, de contamination suspecte ou avérée, et de mesures organisationnelles prises peuvent être traitées par l’employeur. Par contre, l’identité de la/des personne(s) infectée(s) ne doit pas être communiquée aux autres employés.

• Les différentes pratiques pendant la crise sanitaire

- Relevés de température des employés et clients à l’entrée des locaux : les employeurs ne peuvent constituer des fichiers conservant les données de température des salariés et clients. De même, il est interdit de déployer des outils de captation automatique de température. En revanche, l’utilisation d’un thermomètre manuel (type infrarouge sans contact), sans conservation des résultats, ni autre traitement, est autorisée.

- Tests sérologiques et questionnaires de santé : selon la Direction générale du travail, les campagnes de dépistage organisées par les entreprises pour leurs salariés ne sont pas autorisées. Seuls les personnels de santé compétents, soumis au secret médical, peuvent collecter ces données.

Les autorités sanitaires peuvent collecter des données de santé, dans les limites de leurs compétences, y compris “l’évaluation et la collecte des informations relatives aux symptômes du coronavirus et des informations sur les mouvements récents de certaines personnes.”


                                                                             * * * * * * * * * * *

(1) CNIL, « Coronavirus(Covid-19) : les rappels de la CNIL sur la collecte de données personnelles par les employeurs »

(2) Règlement 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD, et plus particulièrement les considérants 35, 52 à 54 et l’article 9

(3) Ordonnance n°2020-386 du 1er avril 2020 adaptant les conditions d'exercice des missions des services de santé au travail à l'urgence sanitaire et modifiant le régime des demandes préalables d'autorisation d'activité partielle


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Juin 2020

Renforcement des mesures de lutte contre la fraude à la TVA sur les plateformes en ligne

Suite aux contrôles réalisés par la Direction nationale des enquêtes fiscales (DNEF) courant 2019, 98% des vendeurs étrangers sur internet ne sont pas immatriculés à la TVA en France. Cette situation crée une distorsion de concurrence importante avec les vendeurs français. Pour y remédier, la loi de finance pour 2020 prévoit une série de mesures issues notamment de la transposition de la directive du 5 décembre 2017 relative au régime de TVA en matière de vente à distance. (1)

Les mesures entrant en application à compter du 1^er janvier 2021 :

-        Assujettissement à la TVA des opérateurs de plateformes en ligne (places de marché ou autre) ayant facilité la vente à distance de biens importés de moins de 150€ entre un vendeur et un acheteur. Cette obligation s’appliquera également aux opérateurs qui facilitent la livraison de biens dans l’Union européenne par un vendeur établi en dehors de l’UE, sans seuil de valeur minimum.

-        Obligation pour les plateformes de tenir un registre permettant aux Etats-membres de contrôler l’acquittement de la TVA. Ce registre devra être conservé par l’opérateur pendant 10 ans et mis à disposition de l’Administration fiscale par voie électronique en cas de demande.

De même, les exploitants des entrepôts et plateformes logistiques de stockage doivent conserver les informations permettant la traçabilité des biens vendus (propriétaires, provenance, destination, volumes, etc.).

Les mesures entrées en application à compter du 1^er janvier 2020 :

-        Assujettissement à la TVA du fournisseur intervenant indirectement dans le transport ou l’expédition des biens. De nouvelles obligations s’imposent aux opérateurs de plateformes en ligne dont l’activité est supérieure à 5 millions de visiteurs uniques par mois : lorsqu’il apparaît qu’un vendeur assujetti à la TVA se soustrait à ses obligations fiscales et que l’Administration le signale à l’opérateur, celui-ci est tenu de prendre les mesures permettant au vendeur de régulariser la situation. Ces mesures doivent être notifiées à l’Administration. Si les présomptions persistent au bout d’un mois, l’Administration peut mettre l’opérateur en demeure de prendre des mesures supplémentaires ou d’exclure le vendeur de la plateforme et de lui notifier les mesures prises. Enfin, en cas de non-respect de ces mesures par l’opérateur, celui-ci sera tenu solidairement redevable de la TVA due par le vendeur.

-        Création d’une liste noire des opérateurs de plateforme « non coopératifs ».

                                                             * * * * * * * * * * 

(1) Loi n°2019-1479 du 28 décembre 2019 de finance pour 2020, articles 149 et s. ; articles 256, 283 bis 293 A ter du code général des impôts ; et Directive (UE) 2017/2455 du 5 décembre 2017 (…) en ce qui concerne certaines obligations en matière de taxe sur la valeur ajoutée applicables aux prestations de services et aux ventes à distance de biens 

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mars 2020

 

Lignes directrices de la CNIL en matière de cookies : l’accent est mis sur le consentement de l’utilisateur

Le 4 juillet dernier, la CNIL a adopté de nouvelles lignes directrices relatives aux cookies, et autres traceurs. (1) L’objet de ces lignes directrices, qui abrogent la recommandation du 5 décembre 2013, est de donner un cadre réglementaire à l’utilisation des cookies, conforme au Règlement général sur la protection des données (RGPD), entré en application le 25 mai 2018, à l’article 82 de la loi Informatique et Libertés modifiée, et à la directive Vie privée et communications électroniques de 2002 (directive e-privacy). Les opérateurs restent en effet dans l’attente d’un nouveau règlement e-privacy. Annoncé pour entrer en application à la même date que le RGPD, ce règlement fait l’objet d’âpres débats au niveau communautaire et n’entrera pas en application à court terme. 

 

1. Un périmètre d’application très large

Pour rappel, un cookie est un petit fichier texte, enregistré par le navigateur de l’utilisateur (Google Chrome, Firefox, Safari) sur un ordinateur ou autre dispositif connecté à internet, lorsque l’utilisateur visite un site web.

Les cookies sont utilisés pour des finalités très diverses, telles que l’enregistrement des identifiants de l’utilisateur pour le reconnaître et le connecter automatiquement lors d’une prochaine visite sur le site, l’affichage de publicités ciblées, l’enregistrement du nombre d’affichage d’une publicité ou l’enregistrement des informations pour un service de web analytique par exemple.

La durée de vie d’un cookie est différente suivant sa finalité. Certains cookies disparaissent dès la fin de la session ou de la fermeture du navigateur, d’autres cookies peuvent être conservés pendant plusieurs mois, s’ils n’ont pas été supprimés par l’utilisateur.

Les « lignes directrices cookies » de la CNIL sont d’application très large puisqu’elles s’appliquent à tous types d’opérations impliquant l’utilisation de cookies et autres traceurs (cookies sur tous dispositifs tels que smartphones, tablettes, ordinateurs, et autres objets connectés à internet (consoles de jeux, télévision, véhicule, assistant vocal).

2. La notion renforcée de consentement, conséquence de la mise en conformité au RGPD

Le RGPD, en renforçant les droits des utilisateurs, a renforcé la notion de consentement. La simple poursuite de la navigation sur un site ne peut plus être considérée comme l’expression valide du consentement de l’utilisateur au dépôt de cookies.

Le consentement de l’utilisateur doit être recueilli conformément aux dispositions du RGPD.

Celui-ci doit être manifesté de manière

-       libre : possibilité de donner ou retirer son consentement à tout moment, et de visiter un site web même en cas de refus des cookies. Le blocage au site en cas de refus des cookies  (« cookie walls ») n’est pas conforme au RGPD ;

-       spécifique : le consentement doit être donné de façon indépendante et spécifique pour chaque finalité distincte. L’acceptation des CGU ne vaut pas recueil du consentement pour les cookies ;

-       éclairée :l’utilisateur doit être informé dans des termes simples et compréhensibles pour tous. Le renvoi vers les CGU n’est pas suffisant ; et

-       univoque : le consentement doit se manifester par une action positive de l’utilisateur, préalablement informé.

En pratique, on s’éloigne donc de la pratique du consentement passif par la simple poursuite de la navigation sur un site web, et de la pratique binaire de l’opt-in (case à cocher)/opt-out (case pré-cochée). Désormais, le consentement doit être donné de manière informée et positive, en cochant une case.

On notera que certains types de cookies bénéficient d’une exemption au recueil du consentement, à savoir notamment, les opérations ayant pour finalité exclusive de permettre ou faciliter la communication par voie électronique, ou qui sont strictement nécessaires à la fourniture d’un service de communication en ligne, à la demande expresse de l’utilisateur.

3. La responsabilité des éditeurs de sites web et autres opérateurs

Les acteurs utilisant des cookies et traceurs concernant des données à caractère personnel sont tenus de se mettre en conformité avec le RGPD et les « lignes directrices cookies ». Il peut s’agir d’un seul opérateur (éditeur d’un site web), de plusieurs opérateurs (éditeur de site et régie publicitaire) ou d’opérateurs tiers. Il conviendra donc d’analyser le rôle de ces différents opérateurs afin de déterminer s’ils interviennent en qualité de responsable de traitement uniques, conjoints, sous-traitants, ou encore responsables indépendamment de l’éditeur du site.

Par ailleurs, les opérateurs qui exploitent des cookies et traceurs devront être en mesure de prouver le recueil du consentement des utilisateurs, conformément à l’article 7 du RGPD.

Ces « lignes directrices cookies » seront complétées par une nouvelle recommandation de la CNIL précisant les modalités pratiques du recueil du consentement, devant être publiée au premier trimestre 2020. Les opérateurs disposeront alors d’une période de six mois pour se mettre en conformité avec ces lignes directrices.

Les règles édictées par les « lignes directrices cookies » de la CNIL viennent d’être en partie confirmées par un arrêt de la CJUE du 1^er octobre 2019 dans lequel les juges communautaires ont considéré d’une part qu’en matière de consentement sur le stockage de cookies, une case pré-cochées ne constituait pas un consentement valable, d’autre part, que l’opérateur est tenu de donner des informations claires sur la durée des cookies et l’accès par des tiers. (2)

* * * * * * * * * *

(1) Délibération n°2019-093 du 4 juillet 2019 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture ou écriture dans le terminal d’un utilisateur (notamment aux cookies et autres traceurs)

(2) CJUE, grande chambre, 1^er octobre 2019, Bundesverband des Verbraucherzentralen und Verbraucherverbände contre Planet49 GmbH, aff. C-673/17

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Novembre 2019

---

Non-conformité et infractions au RGPD - quelles sont les actions répressives de la CNIL

Avec l’entrée en application du règlement général sur la protection des données (RGPD) le 25 mai 2018, le montant des sanctions pouvant être prononcées par les autorités de contrôle (dont la CNIL) a été décuplé. De 150.000 à 3 millions d’euros au maximum avec la loi Informatique et Libertés - version pré-RGPD, le montant des amendes administratives peut désormais atteindre 20 millions d’euros ou 4% du chiffre d’affaires mondial de l’entreprise. Cependant, un an après l’entrée en application du RGPD, 30% des entreprises européennes ne seraient toujours pas en conformité avec le règlement. (1)

La mise en conformité au RGPD est cependant une procédure souvent lourde et coûteuse pour les organismes. Elle implique la revue des process internes, depuis le développement des nouveaux produits ou services (application du principe de “privacy by design” et le cas échéant réalisation d’une analyse d’impact ou PIA), à la révision des produits et services existant et la création de documents de suivi de conformité (registre des traitements notamment).

Les risques de non-conformité à la réglementation sur la protection des données sont nombreux et les sanctions alourdies. L’action répressive de la CNIL comprend toutefois plusieurs étapes avant la prononciation éventuelle d’une sanction pécuniaire.


1. Non-conformité et infractions à la règlementation sur la protection des données personnelles

La règlementation sur la protection des données personnelles s’est considérablement étoffée avec l’entrée en application du RGPD.

    1.1 Les exemples de non-conformité

Les organismes ont disposé de deux ans, entre la date de publication du RGPD le 27 avril 2016 et son entrée en application le 25 mai 2018, pour mettre leurs activités de traitement de données personnelles en conformité. Les autorités de contrôle ont par la suite décidé d’appliquer une approche pédagogique pendant la première année d’application du RGPD. Un an après, les organismes doivent désormais être en conformité.

La liste des cas de non-conformité au RGPD est longue. On peut citer, entre autre :
- le défaut d’information des personnes concernées,
- la collecte frauduleuse, déloyale ou illicite de données personnelles,
- le détournement de finalité,
- la poursuite d’un traitement en dépit de l’opposition de la personne concernée,
- la conservation des données pour une durée non limitée,
- la conservation illicite de données sensibles,
- la poursuite d’un traitement interdit,
- le traitement illicite du NIR,
- le défaut de sécurité,
- le défaut de notification à l’autorité de contrôle en cas de violation de données,
- ou le transfert non autorisé de données en dehors de l’Union européenne.

    1.2 Le montant des sanctions alourdi

Le montant des sanctions pouvant être prononcées a été significativement alourdi, passant de 150.000 euros à 3 millions d’euros en octobre 2016, avec l’entrée en vigueur de la loi pour une république numérique (2), puis à 10 millions d’euros ou 2% du chiffre d’affaires mondial de l’entreprise ou 20 millions d’euros ou 4% du chiffre d’affaires mondial de l’entreprise avec le RGPD. (3)

Cette évolution du montant des sanctions pécuniaires est le reflet des risques croissants qui pèsent sur les personnes en cas de traitements illicites de leurs données, facilités par les développements des technologies (collecte à l’insu des personnes, détournement de finalité, etc.).

Alors qu’avant le RGPD, les sanctions prononcées en France par la CNIL atteignaient rarement quelques dizaines de milliers d’euros, la première sanction pécuniaire prononcée par la formation restreinte de la CNIL en application du RGPD s’est élevée à 50 millions d’euros. Cette amende a été prononcée à l’encontre de la société Google en janvier 2019, pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité. (4) Plus récemment, la formation restreinte de la CNIL a condamné la société de gestion immobilière Sergic à 400.000€ d’amende pour atteinte à la sécurité des données et non respect des durées de conservation. (5) Enfin, la société Active Assurances vient d’être condamnée à une amende de 180.000€ pour atteinte à la sécurité des données de ses clients. (6)


2. L’action répressive de la CNIL

Les Etats-membres prennent toutes les mesures nécessaires pour la mise en oeuvre du respect du règlement. En cas de sanction, celle-ci doit être effective, proportionnée et dissuasive. (7)

L’action répressive de la CNIL est définie aux articles 20 et suivants de la loi Informatique et Libertés, modifiée. Celle-ci comprend trois étapes, que l’on peut synthétiser comme suit :

    1ère étape - Le signalement

La CNIL prend connaissance des potentiels manquements à la réglementation sur la protection des données par différents canaux d’information, à savoir :

    - Les plaintes reçues par la CNIL : toute personne, en qualité de consommateur, client, salarié, citoyen, etc. dont les données personnelles ont été collectées et ont fait l’objet d’un traitement, peut déposer une plainte à la CNIL, via le site de la Commission, en cas de violation du RGPD par un responsable de traitement (site e-commerce, banque, administration, association, etc.).

    - Les informations publiées dans la presse ou sur internet : les articles de presse ou posts sur les réseaux peuvent alerter la CNIL sur les pratiques de certaines sociétés ou sur des failles de sécurité par exemple.

    - L’auto-saisine par la CNIL : chaque année, la CNIL définit un programme de contrôles pour l’année en cours, avec des thèmes identifiés comme prioritaires. Par exemple, la CNIL a identifié le contrôle des relations entre les responsables de traitements et les sous-traitants (répartition des responsabilités) et les traitements de données de mineurs comme thèmes prioritaires de ses contrôles pour 2019. A ce titre, la CNIL peut ainsi effectuer des contrôle par auto-saisine sur des organismes mettant en oeuvre des traitements identifiés dans ses thèmes prioritaires.

    - La coopération entre les autorités de contrôle européennes : le RGPD prévoit une plus grande coordination entre les autorités de contrôle des Etats-membres. Par exemple, en cas de plainte de la part d’un ou plusieurs consommateurs ou salariés d’un pays à l’encontre d’une société présente dans plusieurs Etats membres, l’autorité de contrôle de ce pays peut désormais signaler ladite plainte à la CNIL si des consommateurs ou salariés sont concernés en France.

    2ème étape - Le contrôle

La procédure de contrôle peut se dérouler comme suit :
    - Le contrôle en ligne, si les manquements signalés sont visibles à distance ;
   - Le contrôle sur place, dans les locaux de l’organisme. Dans ce cas, le contrôleur demandera au responsable du traitement de contrôler les traitements de données mis en oeuvre. par l’organisme ;
    - La convocation, avec audition des personnes responsables des organismes concernés.

Ces trois procédures de contrôle font l’objet d’un procès-verbal identifiant les éléments contrôlés et les manquements éventuellement constatés.

    - Le contrôle sur pièces. Ce type de contrôle est réalisé suite à l’envoi de questions écrites et la demande de documents au responsable du traitement.

    3ème étape - Les suites du contrôle

Suite au contrôle effectué par les agents de la CNIL, deux issues sont possibles :
    - Le contrôle a donné lieu à pas ou peu d’observations. Le dossier est alors clôturé et l’organisme contrôlé reçoit la notification de ladite clôture.

    - Si des manquements sérieux à la règlementation sont avérés, deux cas de figure peuvent alors se présenter :
La présidente de la CNIL peut prononcer une mise en demeure. La mise en demeure peut être publique (par voie de communiqué), la publicité ayant un double effet - d’alerte et pédagogique, pour tout organisme qui serait dans une situation similaire. L’organisme en cause dispose alors d’un délai pour se mettre en conformité, auquel cas, le dossier est clôturé. (8)

Par exemple, le 25 septembre 2018, la présidente de la CNIL a mis en demeure cinq société des groupes Humanis et Malakoff-Médéric pour détournement de la finalité des traitements des assurés. Les sociétés s’étant mises en conformité (modification du système informatique, suppression des données acquises illégalement, formation interne à la protection des données personnelles), les procédures de mises en demeure ont été clôturées le 21 février 2019. (9)

Le 8 novembre 2018, la présidente de la CNIL a mis en demeure la société Vectaury pour absence de recueil du consentement des utilisateurs au traitement de leurs données de géolocalisation à des fins de ciblage publicitaire. Suite à cette mise en demeure, la société Vectaury s’étant mise en conformité (affichage d’une bannière informative lors de l’installation des applications mobiles pour recueillir le consentement des utilisateurs), la procédure de mise en demeure a été clôturée le 26 février 2019. (10)
 

La formation restreinte de la CNIL, exerçant une fonction juridictionnelle, peut prononcer une sanction si l’organisme ne se met pas en conformité suite à la mise en demeure de la présidente de la CNIL. La formation restreinte peut également prononcer directement une sanction contre l’organisme en cause, sans mise en demeure préalable. (11)

La sanction peut être de nature pécuniaire pour les manquements les plus graves (montants définis par le RGPD), ou non pécuniaire (rappel à l’ordre, injonction sous astreinte, etc.). Enfin, les sanctions peuvent être publiques (par voie de communiqué et par la publication de la résolution sur le site de la CNIL et sur Légifrance) ou non publiques.

Les sanctions prononcées par la CNIL peuvent faire l’objet d’un recours par l’organisme sanctionné devant le Conseil d’Etat dans un délai de deux mois.


                                                                * * * * * * * * * * *

(1) “RGPD : près d’un tiers des entreprises non conformes”, Le Monde Informatique, 26 juillet 2019

(2) Loi n°2016-1321 du 7 octobre 2016 pour une république numérique, ancien article 47 al.2 de la loi Informatique et Libertés

(3) Art. 83.5 et 6 du RGPD

(4) Délibération de la formation restreinte n°SAN-2019-001 du 21 janvier 2019 prononçant une sanction pécuniaire à l’encontre de la société Google LLC

(5) Délibération de la formation restreinte n°SAN-2019-005 du 28 mai 2019 prononçant une sanction pécuniaire à l’encontre de la société Sergic

(6) Délibération de la formation restreinte n°SAN-2019-007 du 18 juillet 2019 prononçant une sanction pécuniaire à l’encontre de la société Active Assurances

(7) RGPD, art. 84 (1)

(8) Le délai pour se mettre en conformité est fixé par la présidente. Il varie généralement entre 6 et 12 mois - mais ce délai peut être beaucoup plus court en cas d’urgence par exemple

(9) (Communication de la CNIL sur la clôture des mises en demeure à l’encontre des sociétés des groupes Humanis et Malakoff-Médéric, Site de la CNIL)

(10) (Communication de la CNIL sur la clôture de la mise en demeure à l’encontre de la société Vectaury, Site de la CNIL)

(11) La formation restreinte de la CNIL est un collège spécifique composé de 6 membres. Elle est chargée de mener les procédures de non-conformité au RGPD et à la loi Informatique et Libertés et, le cas échéant, de prononcer des sanctions pécuniaires.


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Août 2019

ICO : des dispositions innovantes dans la loi PACTE pour développer la confiance

Les ICO (“Initial Coin Offering”) permettent aux start-ups et entreprises innovantes de collecter des fonds de manière dématérialisée à l’international.

La loi PACTE, définitivement promulguée le 22 mai 2019, prévoit des dispositions visant notamment à encadrer et sécuriser la procédure de levée de fonds en crypto-actifs, ou ICO. (1)


1. L’ICO, un moyen alternatif de financer le développement des start-ups

Une ICO consiste en une émission d’actifs numériques sous forme de jetons (ou “tokens”) au public, fonctionnant en principe sur la blockchain. Les investisseurs peuvent acheter des jetons en devise (euros, dollars, etc.) ou en crypto-monnaie (bitcoin, ether, etc.).

Un “actif numérique” est la représentation numérique d’une valeur non émise ni garantie par une banque centrale ou une autorité, et non nécessairement attachée à une monnaie ayant cours légal - émis en bitcoin par exemple. (2)

Les jetons sont définis à l’article L.552-2 du code monétaire et financier comme “tout bien incorporel représentant, sous forme numérique, un ou plusieurs droits pouvant être émis, inscrits, conservés ou transférés au moyen d'un dispositif d'enregistrement électronique partagé (blockchain) permettant d'identifier, directement ou indirectement, le propriétaire dudit bien”.

L’Autorité des marchés financiers (AMF) distingue trois grands types de jetons (tokens) :
    - les crypto-actifs comme monnaie d’échange et unité de valeur (par exemple, le bitcoin) ;
    - les crypto-actifs assimilés à des instruments financiers - “security tokens”, donnant des droits de participation à la gouvernance ou d’intéressement aux profits futurs de l’entreprise émettrice (droits de vote ou dividendes) ; et
    - les crypto-actifs utilitaires - “utility tokens”, donnant des droits d’utilisation de produits ou services futurs proposés par l’émetteur. Ces tokens constituent la plus grande partie des crypto-actifs émis à l’heure actuelle.
Certains tokens sont cependant hybrides ou issus de plusieurs catégories. (3)

Les start-ups qui auraient des difficultés à lever des fonds par les méthodes classiques peuvent envisager de recourir à une ICO. L’ICO présente en effet plusieurs avantages : le coût d’une ICO est moindre qu’une levée de fonds classique, car cette opération peut être réalisée sans intermédiaire financier ; en cas d’attribution de utility tokens, le capital n’est pas dilué puisque les tokens attribués n’offrent qu’un droit d’usage à l’investisseur (droit d’utilisation du bien ou du service produit par la société émettrice, ce bien ou ce service étant généralement à l’état d’idée ou de projet à la date de l’ICO).

Mais les risques (perte du capital investi, absence de marché pour la revente ou l’échange des tokens, etc.) ne doivent pas être sous-estimés : les opérations d’ICO restent peu, voire pas réglementées. Seuls quelques pays commencent à réglementer ces opérations, qui revêtent donc un niveau de risque supérieur à une opération de levée de fonds classique ; les ICO sont le plus souvent non documentées, contrairement à une levée de fonds classique, accompagnée d’un prospectus comprenant des informations détaillées sur la société et l’opération envisagée ; enfin, l’absence d’information sur les sociétés et sur les projets financés ne permet pas d’écarter les risques d’escroquerie (détournement des fonds à des fins personnelles ou autres) ou de blanchiment d’argent par exemple.

Même si les levées de fonds par ICO restent encore marginales dans le monde, ce mode de financement continue de se développer. Plusieurs pays ont ainsi décidé de commencer à réglementer les ICO pour donner plus de transparence à ces opérations et sécuriser la procédure. (4)


2. De nouvelles règles avec un objectif de transparence et de sécurisation de la procédure d’ICO

En France, la loi PACTE du 22 mai 2019 a introduit deux séries de dispositions pour donner plus de transparence et de sécurité aux opérations d’ICO. (5)

Les principales dispositions figurant dans la loi PACTE sont les suivantes :

- Création d’un visa optionnel pour les émetteurs d’ICO, délivré par l’AMF
Le visa pourra être demandé par les émetteurs d’ICO. L’objectif de ce visa est d’apporter une garantie de sérieux au projet. Le visa est principalement destiné aux start-ups innovantes ou développant une activité en France. Il concerne l’émission d’actifs numériques qui ne présentent pas les caractéristiques d’un titre financier ou bon de caisse, et sera délivré pour un projet et une durée déterminés.(6)

Les projets disposant du visa de l’AMF seront inscrits sur une liste blanche. En revanche, les projets ayant perdu le visa seront inscrits sur une liste noire.

La procédure de demande de visa a été publiée par l’AMF le 6 juin dernier (7). Elle repose sur trois conditions :
    1) la fourniture d’un document d’information présentant la société émettrice et décrivant le projet, et précisant notamment le nombre de jetons émis, leur prix, les droits associés, et le protocole de blockchain utilisé pour inscrire les jetons ;
    2) un dispositif garantissant la sécurité des fonds recueillis pendant la durée de l’offre ; et
    3) le respect des obligations en matière de lutte contre le blanchiment d’argent et le financement du terrorisme avec la mise en place d’un système KYC ("Know your customer"). L’émetteur doit être établi ou immatriculé en France.

Il est précisé que l’objet du visa est de valider la structuration du projet et non sa qualité ou son opportunité.

Le délai d’instruction du dossier par l’AMF est fixé à 20 jours ouvrés à compter de la réception du dossier complet.

 - Encadrement du marché secondaire
    Création d’un agrément pour les nouveaux prestataires de services sur actifs numériques (“PSAN”)
Une nouvelle procédure d’agrément volontaire est prévue pour les prestataires de services sur actifs numériques, tels que les plateformes d’échanges de crypto-actifs (bitcoins, ether, etc.) ou les services de conseils aux souscripteurs d’actifs numériques et de gestion de portefeuilles d’actifs numériques pour le compte de tiers. (art. L.54-10-5)

    Enregistrement des plateformes d’achat-vente de crypto-actifs
Enfin, les plateformes d’achat-vente de crypto-actifs en monnaie fiduciaire et les services de conservation de jetons seront soumis à un enregistrement obligatoire auprès de l’AMF, au titre du contrôle de la lutte anti-blanchiment. (art. L.54-10-3) Le non-respect de cette obligation pourra entraîner des sanctions pénales (30.000€ d’amende et deux ans d’emprisonnement).


                                                                  * * * * * * * * * *

(1) Loi n°2019-486 du 22 mai 2019 relative à la croissance et la transformation des entreprises (Loi PACTE)

(2) Article L.54-10-1 du Code monétaire et financier

(3) “ICO françaises : un nouveau mode de financement ?”, Caroline Le Moign, AMF, novembre 2018

(4) Les pays ayant commencé à réglementer les ICO comprennent notamment, outre la France, l’Australie, Singapour. Certains pays considèrent que les ICO avec émission de “security tokens” relèvent de la règlementation sur les valeurs mobilières.
Par ailleurs, certains pays, dont la Chine et la Corée du Sud, ont décidé pour l’instant d’interdire les ICO, considérant le risque de fraude trop élevé.

(5) Art. 85 et 86 de la loi PACTE, codifiés aux articles L.551-1 et s. (“Intermédiaires en biens divers et émetteurs de jetons”), et L. 54-10-1 et s. du code monétaire et financier

(6) Les bons de caisse et jetons correspondant à un instrument financier sont soumis à des règles spécifiques figurant aux articles L.223-1 et s. et L.232-1 du Code monétaire et financier

(7) Instruction AMF n°DOC-2019-06


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Juillet 2019