Actualités
Attention aux allégations environnementales
22 novembre 2024 | Droit des affaires
Une nouvelle directive (UE) 2024/825, dite « Transition », entrée en vigueur le 26 mars dernier, a pour objectif d’encadrer encore plus strictement l’utilisation des allégations environnementales par les entreprises.
Dès la transposition de ces dispositions en droit national, au plus tard le 27 mars 2026, seront considérées comme des pratiques commerciales trompeuses réputées déloyales, le fait de :
- afficher un label de développement durable qui n’est pas fondé sur un système de certification ou qui n’a pas été mis en place par des autorités publiques,
- présenter une allégation environnementale générique, telle que «respectueux de l’environnement», «respectueux de la nature», «vert», «ami de la nature», «écologique», «bon pour l’environnement», «bon pour le climat», «favorable à l’environnement», «à faible intensité de carbone», «économe en énergie», «biodégradable», au sujet de laquelle le professionnel n’est pas en mesure de démontrer l’excellente performance environnementale, conformément conforme au règlement (CE) 66/2010, ou aux systèmes de label écologique EN ISO 14024,
- présenter une allégation environnementale comme concernant l’ensemble du produit ou de l’entreprise du professionnel, alors qu’elle ne concerne qu’un des aspects du produit ou qu’une activité spécifique de l’entreprise du professionnel,
- utiliser des allégations environnementales climatiques, tels que «neutre pour le climat», «certifié neutre en CO2», «bilan carbone positif», «zéro net pour le climat», «climatiquement compensé», «impact réduit sur le climat» et «empreinte CO2 limitée», reposant exclusivement sur des systèmes de compensation des émissions de gaz à effet de serre (exemple : des crédits carbone).
De plus, sera également qualifiée de pratique commercial trompeuse, l’utilisation de toute allégation environnementale relative aux performances environnementales futures sans engagements clairs, objectifs, accessibles au public et vérifiables inscrits dans un plan de mise en œuvre détaillé et réaliste qui inclut des objectifs mesurables et assortis d’échéances ainsi que d’autres éléments pertinents requis à l’appui de sa réalisation, tels que l’affectation de ressources, et qui est régulièrement vérifié par un tiers expert indépendant, dont les conclusions sont mises à la disposition des consommateurs.
Ces pratiques commerciales trompeuses sont punies :
- d’un emprisonnement de deux ans
- d’une amende de 300 000 euros, dont le montant de l’amende peut être porté à 10 % du chiffre d’affaires moyen annuel, ou à 80 % des dépenses engagées pour la réalisation de la publicité ou de la pratique constituant ce délit.
Obligations nouvelles d’information du consommateur dans le cadre des contrats Cloud
08 octobre 2024 | Droit des affaires
La loi n°2024-449 du 21 mai 2024 prescrit aux fournisseurs de services d’informatique en nuage (Cloud) de communiquer à leurs clients et prospects de nouvelles informations obligatoires sur les frais de transfert de données et les frais de changement de fournisseur.
Notons que cette obligation est à exécution successive, ce qui signifie que les fournisseurs doivent informer leurs clients de toute évolution relative à ces informations pendant la durée du contrat.
La loi précise que, pour les contrats conclus à compter de sa promulgation, la nature et le montant de ces frais éventuels doivent être mentionnés dans le contrat. Pour les contrats en cours, les fournisseurs informent expressément leurs clients de la nature et du montant des frais de transfert de données et de changement de fournisseur qui leur sont imputables dans le cadre du contrat
Cette obligation nouvelle concerne les rapports entre le fournisseur Cloud et le consommateur.
Elle s’applique à tous les contrats conclus ou renouvelés à compter de la promulgation de la loi.
AI Act : la première réglementation mondiale sur l’IA a été votée
13 mars 2024 | Droit des nouvelles technologies
Les eurodéputés ont adopté aujourd’hui à une large majorité un texte historique sur l’intelligence artificielle, un règlement qui avait fait l’objet d’un lobbying intense de la part des grandes entreprises du secteur au cours des dernières années.
523 eurodéputés ont voté en faveur du texte, 46 eurodéputés seulement s’y étant opposés et 49 s’étant abstenus.
Présenté en 2021 par la Commission, le texte constituera la première législation au monde visant à règlementer l’IA.
Le règlement doit encore être peaufiné — ce qui devrait être terminé d’ici la fin de la législature — et il doit également encore recevoir le feu vert du Conseil.
Ce règlement prévoit une approche à deux niveaux de la règlementation en fonction du degré de risques que présentent les applications de la technologie et fixe des délais différents pour la mise en œuvre des diverses exigences.
Les modèles d’IA à usage général devront respecter des obligations de transparence ainsi que les règles européennes en matière de droits d’auteur.
Quant aux systèmes considérés à « haut risque » utilisés par exemple dans les infrastructures critiques ou pour le maintien de l’ordre, ils seront soumis à des exigences plus strictes. Ils devront par exemple prévoir la mise en place d’une analyse d’impact obligatoire sur les droits fondamentaux.
Certaines utilisations de l’IA, telles que le système de notation sociale basé sur des algorithmes ou l’identification biométrique à distance des personnes dans les lieux publics, seront interdites d’ici à la fin de l’année 2024.
Sur ce dernier point, les États ont toutefois obtenu des exemptions pour certaines missions des forces de l’ordre comme la prévention d’une menace terroriste ou la recherche ciblée de victimes.
En outre, les images, textes ou vidéos générés artificiellement (les « deep fakes ») devront être clairement identifiés comme tels.
La législation européenne sera dotée de moyens de surveillance et d’un mécanisme de sanctions.
Selon le calendrier actuel, la mise en œuvre complète de la législation est prévue pour 2026.
Prononcé de quinze nouvelles sanctions dans le cadre de la procédure simplifiée de la CNIL depuis janvier 2024
12 mars 2024 | Droit des nouvelles technologies
Depuis ce début d’année, la CNIL a prononcé pas moins de quinze sanctions via sa procédure simplifiée pour un montant total de 98 500 euros. Cette procédure se caractérise par le fait de viser des petites entreprises et/ou des non-conformités « simples à identifier ». Elle permet ainsi à la CNIL d’agir rapidement en prononçant des mesures pour des dossiers qui ne présentent pas de difficulté particulière.
Les principaux manquements retenus sont les suivants :
- Manquement relatif aux missions et ressources du délégué à la protection des données: Un organisme avait désigné un DPO, mais en pratique celui-ci n’était pas associé aux réunions concernant la protection des données et la sécurité des systèmes d’information, ses coordonnées et missions n’avaient fait l’objet d’aucune communication auprès des employés et ce DPO n’avait pas accès à la messagerie « RGPD » du site internet. En raison de tous ces éléments, la CNIL a considéré que ce DPO n’était pas en mesure d’accomplir correctement ses missions ;
- Défaut de coopération avec la CNIL;
- Défaut de sécurité des données (utilisation du protocole TLS et suites cryptographiques) : Des amendes ont été prononcées par la CNIL à l’égard d’organismes qui continuaient d’utiliser :
- Le protocole TLS 1.0 ou 1.1 alors que ces deux versions sont à proscrire selon le guide relatif au protocole TLS de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Informations) ;
- La fonction de hachage SHA-1 qui n’est plus considérée comme sûre, dès lors qu’elle ne permet pas de garantir l’intégrité et la confidentialité des données lors de leur transmission entre le serveur et le navigateur de l’utilisateur.
- Non-respect des droits des personnes (exercice des droits d’effacement et d’opposition et du droit d’accès à un dossier médical) ;
- Manquement à l’information en matière de prospection politique: L’information prévue par les articles 12, 13 et 14 du RGPD et qui doit figurer sur les différents sites de communication politique édités par une association n’était pas transparente en l’espèce. En effet, celle-ci était soit incomplète, soit absente dans la plupart des cas. De plus, les opérations de prospection commerciale réalisées par l’association ne contenaient pas systématiquement l’information relative à l’exercice des droits des personnes ;
- Manquement aux obligations du sous-traitant.
En prononçant autant de sanctions en ce début d’année, la CNIL entend bien avoir, de plus en plus, recours à cette procédure simplifiée.
En guise de comparaison, « seules » 24 décisions de ce type avaient été prononcées par la CNIL en 2023.
RGPD : impossibilité pour un prestataire de santé de produire des données personnelles de patients pour obtenir une mesure d’instruction civile
03 mars 2024 | Droit des nouvelles technologies
Un prestataire de santé (la société iDS) soupçonnant un concurrent direct (la société Diabsanté) d’avoir détourné sa patientèle, avait produit en justice une liste de patients afin d’obtenir une mesure d’instruction.
Le concurrent visé contestait la licéité de cette mesure d’instruction, considérant que l’utilisation sans leur consentement des données personnelles des patients violait le RGPD.
En revanche, la production de la liste était indispensable au succès de la mesure d’instruction, qui en outre été circonscrite à la recherche d’informations portant sur la prétendue concurrence déloyale.
Plus précisément, la société IDS prétend avoir collecté les données de l’ensemble de ses patients dans le respect des conditions de sa politique de confidentialité qui prévoit que, de façon générale, les demandes de renseignements sur ses patients ne peuvent être satisfaites que pour des autorités publiques qui disposent dans le cadre de l’exercice de leur mission, de prérogatives particulières pour se voir communiquer des informations.
Ce n’est pas l’analyse de la cour nîmoise pour qui « (elle) n’a pas informé, de manière transparente, ses patients que les informations personnelles collectées pourraient être transmises à l’autorité judiciaire et surtout à son concurrent, la société Diabsanté. Les patients concernés n’ont pas donné leur consentement éclairé à l’utilisation de ces données en vue spécifiquement d’une action en justice intentée par la société IDS à l’encontre de son concurrent ».
Un fichier clients peut-il faire l’objet d’une vente judiciaire forcée dans le cadre d’une procédure civile d’exécution ?
22 février 2024 | Droit des nouvelles technologies
C’est la question actuellement posée à la Cour de Justice de l’UE, dans un procès opposant le Gouvernement polonais à une société polonaise.
Dans ses conclusions du 22 février 2024, l’avocat général de la Cour de justice de l’Union européenne estime qu’une base de données contenant des données à caractère personnel peut être vendue dans le cadre d’une procédure d’exécution forcée, même sans le consentement des personnes concernées.
L’avocat général considère que les actions de l’huissier, telles que l’extraction et l’utilisation des données pour évaluer les bases, constituent un traitement de données personnelles. En tant qu’autorité publique exécutant la procédure, l’huissier est vu comme le responsable de ce traitement. Malgré l’absence de consentement des utilisateurs pour partager leurs données en dehors de la plateforme, ce traitement est jugé légitime, car il est nécessaire à l’accomplissement d’une mission d’autorité publique.
Pour que la revente de ces bases de données soit conforme au Règlement Général sur la Protection des Données (RGPD), l’avocat général souligne qu’elle doit être considérée comme une mesure nécessaire et proportionnée, justifiée par la finalité de l’exécution d’une créance civile. Selon l’avocat général, l’impact sur le droit à la protection des données personnelles des utilisateurs est proportionné au droit de propriété de la société créancière, faisant ainsi de la vente forcée une option viable dans le cadre de l’exécution forcée.
Droit à l’image d’un mineur : la loi sur l’autorité parentale se renforce
20 février 2024 | Droit des nouvelles technologies
La loi n°2024-120 du 19 février 2024 fait suite à des constatations alarmantes sur l’exposition croissante des mineurs sur internet, en particulier à travers la diffusion de leurs images sur les réseaux sociaux par les parents, les tiers, ou les mineurs eux-mêmes.
Elle modifie l’article 371-1 du Code civil, dédié aux charges pesant sur les titulaires de l’autorité parentale, pour y inclure explicitement la protection de la vie privée, de la sécurité, de la santé, et de la moralité de l’enfant comme objectif de l’autorité parentale.
Cette modification souligne l’importance de l’intérêt de l’enfant et de son droit au respect de sa personne dans l’exercice de l’autorité parentale, notamment en ce qui concerne la publication de son image sur les réseaux sociaux. Le texte législatif introduit une distinction entre les actes usuels, pour lesquels l’accord d’un seul parent suffit, et les actes non usuels liés à l’image de l’enfant qui nécessitent l’accord des deux parents, conformément à la jurisprudence existante.
A ce titre, l’article 372-1 du Code civil est également amendé pour affirmer que les parents doivent désormais protéger conjointement le droit à l’image de leur enfant mineur. Cette disposition vise à prévenir les utilisations abusives de l’image des mineurs susceptibles de porter atteinte à leur dignité ou intégrité morale, notamment dans des contextes pédopornographiques.
Pour garantir cette protection, la loi institue désormais un contrôle judiciaire permettant d’interdire à un parent de diffuser toute image de l’enfant sans l’accord de l’autre. Cette mesure peut être sollicitée en cas de désaccord parental sur l’utilisation de l’image de l’enfant, soulignant ainsi l’importance de l’accord mutuel dans la protection de l’image des mineurs.
La loi introduit également un mécanisme de délégation de l’exercice de l’autorité parentale en cas de diffusion d’images portant gravement atteinte à la dignité ou à l’intégrité morale de l’enfant. Cette mesure extrême peut être demandée par divers acteurs, y compris des membres de la famille ou des institutions s’occupant de l’enfant, soulignant la gravité des situations qu’elle vise à adresser.
Note à l’attention de nos nombreux clients dans le secteur de l’éducation ou de la protection de l’enfance : il convient dès à présent d’adapter vos process et de prévoir un accord systématiquement conjoint des parents concernant le droit à l’image des enfants.
Prononcé d’une saction de 310 000 € d’amende à l’encontre de FORIOU
31 janvier 2024 | Droit des nouvelles technologies
FORIOU est une société de prospection commerciale qui procède à des campagnes de démarchage par téléphone pour promouvoir les programmes et cartes de fidélité qu’elle commercialise. Les données des prospects démarchés par FORIOU sont achetées par la société auprès de courtiers en données.
Lors de contrôles effectués par la CNIL, il a été considéré qu’aucun consentement valide des personnes concernées n’était recueilli en raison de l’apparence trompeuse des formulaires de collecte mis en œuvre par les courtiers à l’origine de la collecte.
Par conséquent, la société FORIOU ne disposait d’aucune base légale lui permettant d’utiliser ces données à des fins de prospection, violant ainsi les dispositions de l’article 6 du RGPD.
Cette affaire est à rapprocher de celle évoquée Supra s’agissant de TAGADAMEDIA dès lors que la société FORIOU achète des données de prospects auprès de courtiers en données, tels que TAGADAMEDIA. Or, comme présenté Supra, la plupart de ces formulaires ne permettent pas de recueillir un consentement libre et univoque et ne contiennent pas une information suffisante à l’égard des utilisateurs. La collecte de données étant effectuée par ces courtiers via des formulaires, il appartient néanmoins à la société FORIOU, en tant qu’utilisatrice des données recueillies, de s’assurer que les personnes concernées ont exprimé un consentement valide.
La formation restreinte de la CNIL a ainsi relevé que malgré certaines exigences contractuelles imposées par la société à ses fournisseurs en amont, aucun contrôle effectif de ces exigences n’était effectué en aval. De plus, la société FORIOU n’était pas systématiquement mentionnée dans la liste des partenaires susceptibles de démarcher les personnes concernées figurant dans les formulaires de jeux-concours.
La CNIL a ainsi prononcé une amende de 310 000 euros à l’encontre de la société FORIOU. Cette amende représente environ 1% du chiffre d’affaires de la société, en raison notamment de la gravité du manquement retenu et de la responsabilité endossée par l’organisme utilisant les données collectées.
Durées de conservation et sécurité des données : la CNIL prononce une amende de 100 000 euros à l’encontre de la société PAP
31 janvier 2024 | Droit des nouvelles technologies
En mars et avril 2022, deux contrôles de la société PAP ont été réalisés par la CNIL. Cette dernière a ainsi relevé plusieurs manquements au RGPD.
Parmi les manquements sanctionnés, il y a :
- Un manquement à l’obligation de conserver les données pour une durée limitée à l’objectif recherché (article 5.1.e) : La société avait défini une durée de conservation de cinq ans pour les données des utilisateurs ayant recours à des services gratuits du site, alors qu’elle conservait les données plus longtemps. S’agissant des données des utilisateurs ayant recours à des prestations payantes du site, une durée de dix ans avait été définie, sans que cette durée ne puisse être justifiée par les dispositions du code de la consommation dont la société se prévalait.
- Un manquement à l’obligation d’information des personnes (article 13) : La société informait les personnes sur son site web au moyen d’une politique de confidentialité incomplète et imprécise.
- Un manquement à l’obligation d’encadrer, par un acte juridique, les traitements effectués pour le compte du responsable de traitement (article 28) : Un contrat conclu entre la société PAP et un sous-traitant ne comportait pas les mentions requises par le RGPD.
- Un manquement à l’obligation d’assurer la sécurité des données personnelles (article 32) : Les règles de complexité des mots de passe des comptes utilisateurs du site étaient insuffisamment robustes. De plus, la sécurité des données n’était pas garantie dès lors que les mots de passe des utilisateurs et les références confidentielles étaient conservés en clair. Enfin, l’ensemble des données relatives à des comptes utilisateurs inactifs était conservé sans tri.
La formation restreinte de la CNIL a ainsi prononcé, dans le cadre du guichet unique et en coopération avec les autorités de contrôle européennes concernées (Belgique, Espagne, Portugal, Allemagne, Italie, Pays-Bas, Irlande, Grèce, Suède, Autriche, Finlande, Danemark, Pologne et Norvège), une amende de 100 000 euros au regard des manquements au RGPD énoncés Supra.
La CNIL sanctionne AMAZON FRANCE LOGITIQUE d’une amende de 32 millions d’euros
23 janvier 2024 | Droit des nouvelles technologies
La société AMAZON FRANCE LOGISTIQUE gère les entrepôts de grande taille du groupe AMAZON en France, dans lesquels elle reçoit et stocke les articles, puis prépare les colis à livrer aux clients. Chaque salarié des entrepôts est muni d’un scanner afin de documenter en temps réel l’exécution des tâches qui lui sont assignées.
La CNIL a procédé à plusieurs missions de contrôles à la suite d’articles de presse visant certaines pratiques mises en œuvre par la société dans ses entrepôts, ainsi qu’à la réception de plusieurs plaintes de salariés.
Ces missions ont abouti au constat que le système de suivi de l’activité et des performances des salariés était excessif, notamment par rapport aux motifs suivants :
- Des indicateurs mesurant les temps d’inactivité des scanners des salariés étaient mis en place: La CNIL a jugé illégale la mise en place d’un système mesurant aussi précisément les interruptions d’activité et conduisant le salarié à devoir potentiellement justifier de chaque pause ou interruption.
- La CNIL a, en outre, jugé que le système de mesure de la vitesse d’utilisation du scanner lors du rangement des articles était excessif: En effet, partant du principe que des articles scannés très vite augmentaient le risque d’erreur, un indicateur mesurait si un objet avait été scanné en moins de 1,25 seconde après le précédent.
- De façon plus générale, la CNIL a estimé excessif de conserver toutes les données recueillies par le dispositif, ainsi que les indicateurs statistiques en découlant, pour tous les salariés et intérimaires, en les conservant durant 31 jours.
Plusieurs manquements au RGPD ont ainsi été sanctionnés :
- Par rapport à l’activité des salariés à l’aide des scanners :
- Manquement au principe de minimisation des données (article 5.1.c) : La société réalisait un suivi trop intrusif de l’activité et des performances des salariés via la collecte des données de leur scanner ;
- Manquement à la licéité du traitement (article 6) : Trois indicateurs traités par la société étaient illégaux;
- Manquement à l’obligation d’information et de transparence (articles 12 et 13) : Les intérimaires travaillant pour la société n’étaient pas correctement informés puisque la société ne s’assurait pas que la politique de confidentialité leur avait été remise avant la collecte de leurs données via leur scanner.
- Manquements liés aux traitements de vidéosurveillance :
- Manquement à l’obligation d’information et de transparence(articles 12 et 13) : Les salariés et les visiteurs extérieurs n’étaient pas correctement informés des systèmes de vidéosurveillance ;
- Manquement à l’obligation de sécurité (article 32) : L’accès au logiciel de vidéosurveillance n’était pas suffisamment sécurisé dès lors que le mot de passe d’accès n’était pas suffisamment robuste et que le compte d’accès était partagé entre plusieurs utilisateurs.
Par conséquent, la formation restreinte de la CNIL a prononcé une amende de 32 millions d’euros à l’encontre d’AMAZON FRANCE LOGISTIQUE.
Durées de conservation et sécurité des données : la CNIL prononce une amende de 100 000 euros à l’encontre de la société PAP
31 janvier 2024 | Droit des nouvelles technologies
En mars et avril 2022, deux contrôles de la société PAP ont été réalisés par la CNIL. Cette dernière a ainsi relevé plusieurs manquements au RGPD.
Parmi les manquements sanctionnés, il y a :
- Un manquement à l’obligation de conserver les données pour une durée limitée à l’objectif recherché (article 5.1.e) : La société avait défini une durée de conservation de cinq ans pour les données des utilisateurs ayant recours à des services gratuits du site, alors qu’elle conservait les données plus longtemps. S’agissant des données des utilisateurs ayant recours à des prestations payantes du site, une durée de dix ans avait été définie, sans que cette durée ne puisse être justifiée par les dispositions du code de la consommation dont la société se prévalait.
- Un manquement à l’obligation d’information des personnes (article 13) : La société informait les personnes sur son site web au moyen d’une politique de confidentialité incomplète et imprécise.
- Un manquement à l’obligation d’encadrer, par un acte juridique, les traitements effectués pour le compte du responsable de traitement (article 28) : Un contrat conclu entre la société PAP et un sous-traitant ne comportait pas les mentions requises par le RGPD.
- Un manquement à l’obligation d’assurer la sécurité des données personnelles (article 32) : Les règles de complexité des mots de passe des comptes utilisateurs du site étaient insuffisamment robustes. De plus, la sécurité des données n’était pas garantie dès lors que les mots de passe des utilisateurs et les références confidentielles étaient conservés en clair. Enfin, l’ensemble des données relatives à des comptes utilisateurs inactifs était conservé sans tri.
La formation restreinte de la CNIL a ainsi prononcé, dans le cadre du guichet unique et en coopération avec les autorités de contrôle européennes concernées (Belgique, Espagne, Portugal, Allemagne, Italie, Pays-Bas, Irlande, Grèce, Suède, Autriche, Finlande, Danemark, Pologne et Norvège), une amende de 100 000 euros au regard des manquements au RGPD énoncés Supra.
La CNIL sanctionne AMAZON FRANCE LOGITIQUE d’une amende de 32 millions d’euros
23 janvier 2024 | Droit des nouvelles technologies
La société AMAZON FRANCE LOGISTIQUE gère les entrepôts de grande taille du groupe AMAZON en France, dans lesquels elle reçoit et stocke les articles, puis prépare les colis à livrer aux clients. Chaque salarié des entrepôts est muni d’un scanner afin de documenter en temps réel l’exécution des tâches qui lui sont assignées.
La CNIL a procédé à plusieurs missions de contrôles à la suite d’articles de presse visant certaines pratiques mises en œuvre par la société dans ses entrepôts, ainsi qu’à la réception de plusieurs plaintes de salariés.
Ces missions ont abouti au constat que le système de suivi de l’activité et des performances des salariés était excessif, notamment par rapport aux motifs suivants :
- Des indicateurs mesurant les temps d’inactivité des scanners des salariés étaient mis en place: La CNIL a jugé illégale la mise en place d’un système mesurant aussi précisément les interruptions d’activité et conduisant le salarié à devoir potentiellement justifier de chaque pause ou interruption.
- La CNIL a, en outre, jugé que le système de mesure de la vitesse d’utilisation du scanner lors du rangement des articles était excessif: En effet, partant du principe que des articles scannés très vite augmentaient le risque d’erreur, un indicateur mesurait si un objet avait été scanné en moins de 1,25 seconde après le précédent.
- De façon plus générale, la CNIL a estimé excessif de conserver toutes les données recueillies par le dispositif, ainsi que les indicateurs statistiques en découlant, pour tous les salariés et intérimaires, en les conservant durant 31 jours.
Plusieurs manquements au RGPD ont ainsi été sanctionnés :
- Par rapport à l’activité des salariés à l’aide des scanners :
- Manquement au principe de minimisation des données (article 5.1.c) : La société réalisait un suivi trop intrusif de l’activité et des performances des salariés via la collecte des données de leur scanner ;
- Manquement à la licéité du traitement (article 6) : Trois indicateurs traités par la société étaient illégaux;
- Manquement à l’obligation d’information et de transparence (articles 12 et 13) : Les intérimaires travaillant pour la société n’étaient pas correctement informés puisque la société ne s’assurait pas que la politique de confidentialité leur avait été remise avant la collecte de leurs données via leur scanner.
- Manquements liés aux traitements de vidéosurveillance :
- Manquement à l’obligation d’information et de transparence(articles 12 et 13) : Les salariés et les visiteurs extérieurs n’étaient pas correctement informés des systèmes de vidéosurveillance ;
- Manquement à l’obligation de sécurité (article 32) : L’accès au logiciel de vidéosurveillance n’était pas suffisamment sécurisé dès lors que le mot de passe d’accès n’était pas suffisamment robuste et que le compte d’accès était partagé entre plusieurs utilisateurs.
Par conséquent, la formation restreinte de la CNIL a prononcé une amende de 32 millions d’euros à l’encontre d’AMAZON FRANCE LOGISTIQUE.
Migration d’un site web e-commerce pour un coût modique : le client responsable de l’échec
03 janvier 2024 | Droit des nouvelles technologies
Une société (CBM) avait confié à un prestataire (Yatéo) la migration d’un site d’e-commerce mutualisé vers un site dédié ainsi que son référencement payant.
A la recette de la prestation, il est constaté :
- L’absence d’amélioration des performances du site (les lenteurs sont toujours là) ;
- Une détérioration du référencement naturel, qui résulte de l’endommagement du module e-commerce.
Le tribunal de commerce de Paris a conclu que la lenteur du système n’était pas imputable à Yatéo dont le contrat d’un faible montant ne couvrait pas cet aspect et qui avait proposé à son client, avant la prestation mais sans convaincre ledit client, un « audit de lenteur du front ».
Concernant l’endommagement du module et la détérioration du référencement, le Tribunal a estimé que ces dysfonctionnements n’étaient pas davantage imputables au prestataire dans la mesure où il n’avait pas été investi d’une mission portant sur le référencement naturel. De plus le client avait refusé la proposition d’assistance du prestataire sur ce point.
Aussi, pour le tribunal, le prestataire a respecté ses engagements et n’a pas manqué à son obligation d’information et de conseil.
Plus précisément, concernant la lenteur du système, le tribunal relève :
- premièrement que le contrat, qui est la loi des parties et doit être exécuté de bonne foi, couvre un champ très réduit de prestations, et en tout cas pas cet aspect, ce dont atteste le montant faible (6 550 € HT) du budget ;
- deuxièmement, que ce problème avait été certainement évoqué entre CBM et Yateo, puisque comme indiqué plus haut, Yateo avait proposé sans succès une prestation « audit de lenteur du front», la proposition mentionnant notamment « vous avez constaté des lenteurs au niveau du front. En conséquence, Yateo sera en charge de mener un audit technique du site afin de détecter la provenance des lenteurs sur le front end».
Cet audit, qui donc n’a pas été effectué, était composé d’une vérification des modules, et de la conformité du code, ainsi que d’une optimisation du code et/ou des modules ».
Il en résulte que la lenteur persistante du système ne peut pas être imputée à Yateo.
Concernant l’endommagement du module, et la perte de données ayant entraîné une détérioration du référencement naturel de CBM, le tribunal a recherché l’existence d’un lien de causalité entre cet endommagement du module, et les problèmes rencontrés. « Or, (il ) n’a pas été informé des conditions dans lesquelles ce module fonctionnait et était maintenu. De plus, il a été précisé que CBM avait mandaté une société « i-communication » pour faire un audit technique ».
A le suivre, « Yateo n’était pas investie d’une quelconque mission en ce qui concerne le référencement SEO, et CBM ayant refusé une proposition d’assistance formulée par Yateo à cet égard, ne peut valablement reprocher à cette dernière de ne pas avoir respecté ses engagements, ni d’avoir manqué à son obligation d’information et de conseil ».
Il en conclut que « Yateo ne peut être tenue pour responsable ni de l’endommagement du module, ni des conséquences en résultant sur le référencement naturel de CBM ».
Le tribunal rejette donc les demandes de la société CBM qui est condamnée à payer la somme de 5 000 € au titre de l’article 700 du CPC à la société YATEO.
Prononcé de six nouvelles sanctions dans le cadre de la procédure simplifiée de la CNIL pour un montant de 44 000 euros
03 janvier 2024 | Droit des nouvelles technologies
Entre novembre et décembre 2023, la CNIL a eu l’occasion de prononcer six nouvelles sanctions dans le cadre de sa procédure simplifiée pour un montant total de 44 000 euros.
Les principaux manquements retenus sont les suivants :
- Défaut de coopération avec la CNIL: Ce manque de coopération peut être caractérisé par le fait de ne pas fournir les pièces que la CNIL vous demande, de ne pas répondre aux courriers de la commission, de ne pas donner un accès efficace à la CNIL lorsqu’elle effectue un contrôle. En clair, même en l’absence de conformité, il vaut mieux coopérer ! ;
- Collecte excessive de données d’un candidat à l’embauche: Une société collectait les lieux, pays de naissance et numéros de sécurité sociale des candidats à l’embauche. Or, la collecte de ces données ne présentait aucun lien direct et nécessaire avec l’emploi proposé (à savoir un emploi de figurant ou d’hôte pour des évènements télévisés), ni avec l’évaluation des aptitudes professionnelles. De ce fait, la CNIL a considéré qu’il y avait un manquement à l’article 5.1.b du RGPD, c’est-à-dire au principe de collecte des données pour des finalités déterminées, explicites et légitimes ;
- Non-respect des droits des personnes: En juin 2022, un candidat aux élections législatives avait adressé à une personne des courriers électroniques de prospection politique. Cette dernière s’est opposée, en vain, à la réception de ces messages auprès du candidat. La CNIL a ainsi prononcé une amende à l’encontre de ce candidat qui n’avait pas apporté de réponse à la personne concernée par les courriels et qui ne l’avait pas informé des mesures prises à la suite de sa demande d’opposition ;
- Non-respect du droit d’accès au dossier médical: Selon l’article 64 de la loi Informatique et Liberté, les professionnels de santé doivent faire droit aux demandes de communication des données de santé qu’ils reçoivent. La non-communication de dossier porte ainsi atteinte aux droits des personnes et peut notamment nuire à la prise en charge médicale de la personne ;
- Défaut de sécurité des données: Une commune n’avait pas mis en œuvre toutes les mesures nécessaires pour assurer la sécurité des données personnelles sensibles de ses administrés. En effet, les mesures mises en œuvre par la commune ne respectaient pas les précautions minimales en matière de robustage et de stockage des mots de passe. La CNIL a ainsi prononcé une sanction à l’égard de cette commune, qui se doit de faire preuve d’exemplarité en matière de sécurité des données.
Apparence trompeuse de formulaires de jeux concours : sanction de 75 000 euros à l’encontre du courtier en données TAGADAMEDIA
29 décembre 2023 | Droit des nouvelles technologies
En 2022, la CNIL avait placé la prospection commerciale comme thématique particulière de contrôle. La commission s’est ainsi intéressée aux professionnels du secteur, et notamment à ceux qui procèdent à la revente de données, comprenant ainsi les courtiers en données (data brokers en anglais).
Une procédure de contrôle a ainsi été engagée à l’encontre de la société TAGADAMEDIA, qui exploite principalement des sites en ligne de jeux-concours et de tests de produits par lesquels elle collecte des données de prospects.
La formation restreinte de la CNIL a ainsi relevé que la société avait manqué à plusieurs obligations prévues par le RGPD, à savoir :
- Un manquement à l’obligation de disposer d’une base légale pour les traitements mis en œuvre (article 6) : TAGADAMEDIA collecte des données de prospects par le biais de formulaires mis en œuvre sur ses sites de participation à des jeux-concours ou de tests de produits. Les données sont ensuite transmises à ses partenaires pour de la prospection commerciale. Selon la société, le traitement est fondé sur le recueil du consentement. Or, les formulaires utilisés ne permettaient pas de recueillir un consentement libre, éclairé et univoque dès lors que la mise en valeur du bouton permettant de donner son consentement et le texte incomplet et en taille réduite incitaient fortement les utilisateurs à accepter la transmission de leurs données aux partenaires de la société.
- Un manquement à l’obligation de mettre en œuvre un registre des activités de traitement (article 30) : La CNIL a pu observer que le registre des activités de traitement de TAGADAMEDIA (qui était partagé avec une seconde société) ne précisait pas laquelle des deux sociétés agissait en qualité de responsable de traitement.
En raison de ces différents manquements, la CNIL a prononcé une amende de 75 000 euros, le 29 décembre dernier, à l’encontre de la société. Cette dernière a également été enjoint de mettre en œuvre un formulaire de collecte conforme aux exigences du RGPD dans un délai d’un mois à compter de la prononciation de la sanction, sous peine de 1000 euros par jour de retard.
La société YAHOO EMEA LIMITED écope d’une amende de 10 millions d’euros pour manquements en matière de cookies
29 décembre 2023 | Droit des nouvelles technologies
Entre juin 2019 et octobre 2020, 27 plaintes dénonçant la non-prise en compte du refus des cookies et les obstacles rencontrés pour retirer le consentement au dépôt de cookies, ont été déposées auprès de la CNIL.
En réponse à ces plaintes, la CNIL a effectué plusieurs contrôles en ligne sur le site web « Yahoo.com », ainsi que sur la messagerie électronique « Yahoo! Mail », entre octobre 2020 et juin 2021.
A la suite de ces contrôles, la formation restreinte de la CNIL a considéré que la société YAHOO EMEA LIMITED avait manqué aux obligations prévues par l’article 82 de la loi Informatique et Libertés.
Parmi les manquements sanctionnés, on retrouve :
- Le dépôt de cookies sans l’accord de l’internaute : Lorsqu’un internaute se rendait sur le site « Yahoo.com », le bandeau cookies affiché donnait accès à une page composée de nombreux boutons destinés à recueillir le consentement au dépôt de cookies. Or, la CNIL a relevé que, malgré l’absence de tout consentement exprimé, une vingtaine de cookies poursuivant des finalités publicitaires étaient tout de même déposés sur le terminal de l’internaute. Pour rappel, les cookies à vocation publicitaire ne peuvent être déposés que lorsqu’un consentement a été donné explicitement par l’internaute.
- Une incitation à ne pas retirer son consentement : La CNIL a, en outre, relevé que lorsqu’un utilisateur de la messagerie « Yahoo! Mail » souhaitait retirer le consentement qu’il avait donné au dépôt de cookies, la société l’informait que son action aurait pour conséquences qu’il ne pourrait plus accéder aux services proposés par la société et qu’il perdrait l’accès à sa messagerie. Or, cette pratique n’est pas légale dès lors qu’elle ne permet pas aux utilisateurs de pouvoir retirer librement leur consentement.
Face à ces manquements, la CNIL a prononcé une amende de 10 millions d’euros à l’encontre de la société YAHOO EMEA LIMITED.
105 000 euros d’amende prononcé par la CNIL à l’encontre de NS CARDS FRANCE
27 décembre 2023 | Droit des nouvelles technologies
A la suite de deux contrôles de la société réalisés fin 2021, la CNIL a constaté des manquements au RGPD et à la Loi Informatique et Liberté.
La formation restreinte de la CNIL a ainsi prononcé le 23 décembre 2023, deux amendes à l’encontre de la société NS CARDS France :
- L’une, d’un montant de 90 000 euros, pour des manquements au RGPD. Cette amende a été prononcée en coopération avec 17 homologues européens de la CNIL dans le cadre du guichet unique, puisque le site web a des visiteurs dans plusieurs Etats d’Europe ;
- L’autre, d’un montant de 15 000 euros, pour un manquement relatif à l’utilisation des cookies et traceurs. Cette amende a été prononcée par la CNIL uniquement.
S’agissant plus précisément des manquements sanctionnés :
- S’agissant des manquements au RGPD:
La CNIL a retenu en tout trois manquements, à savoir :
- Un manquement à l’obligation de conserver les données pour une durée limitée à l’objectif recherché (article 5.1.e) : La société avait défini une durée de conservation de dix ans à l’issue de laquelle les comptes utilisateurs étaient désactivés, mais non supprimés. Les données des comptes étaient donc conservées pour une durée indéterminée.
- Un manquement à l’obligation d’informer les personnes (articles 12 et 13) : NS CARDS FRANCE informait les personnes via une politique de confidentialité incomplète et obsolète. En outre, l’information était fournie en anglais, alors que le public visé par la société est majoritairement francophone.
- Un manquement à l’obligation d’assurer la sécurité des données personnelles (article 32) : Ici les règles de complexité des mots de passe des comptes utilisateurs étaient insuffisamment robustes. De plus, près de 50 000 mots de passe étaient conservés en clair dans la base de données de la société et associés à l’adresse électronique et l’identifiant des utilisateurs. Enfin, s’agissant des mots de passe qui étaient stockés sous une forme hachée et salée, la fonction de hachage utilisée était obsolète (SHA-1).
- S’agissant des manquements à la loi Informatique et Liberté (notamment à l’article 82) :
La CNIL a constaté le dépôt de cookies Google Analytics sur le terminal de l’utilisateur sans son accord. Or, dans la mesure où ces cookies peuvent comporter des fonctionnalités publicitaires et qu’ils permettent, en tout état de cause, de collecter des données pouvant être utilisées pour maintenir et protéger le service Analytics, ils ne peuvent être déposés sur le terminal de l’utilisateur sans son accord.
En outre, la société avait recours à un mécanisme de reCAPTCHA, fourni par la société GOOGLE, lors de la création du compte et lors de la connexion sur le site web et l’application mobile. Ce mécanisme fonctionne avec une collecte d’informations matérielles et logicielles (telles que les données sur les appareils et les applications). Alors que les données collectées étaient transmises à GOOGLE pour analyse, la société ne fournissait aucune information à l’utilisateur et ne recueillait pas son accord préalable, que ce soit pour accéder aux informations stockées sur son équipement ou pour écrire des informations sur celui-ci.
PayPal contrainte à la mise en conformité par l’Union Européenne
21 décembre 2023 | Droit des nouvelles technologies
PayPal a accepté de mettre en œuvre un certain nombre de modifications et de clarifications de plusieurs clauses de ses conditions d’utilisation destinées aux consommateurs.
Paypal va notamment préciser que les consommateurs ne sont pas responsables des dommages qui ne sont pas causés par leur faute ou qui n’étaient pas prévisibles et supprimer les dispositions imposant aux consommateurs l’obligation de vérifier eux-mêmes les informations.
Commission UE, communiqué, 20 déc. 2023 : https://ec.europa.eu/commission/presscorner/detail/en/ip_23_6587
AI Act : le Parlement de l’UE et le Conseil de l’UE parviennent à un accord sur le règlement IA
09 décembre 2023 | Droit des nouvelles technologies
Le 9 décembre 2023, après d’intenses négociations, un accord provisoire a été atteint sur la législation européenne relative à l’intelligence artificielle (IA), mettant l’accent sur la régulation des systèmes d’IA à haut risque. Cet accord marque une étape importante dans la régulation de l’IA, avec pour objectif principal de garantir la sécurité et le respect des droits fondamentaux sans étouffer l’innovation.
Les nouvelles règles imposent des exigences strictes pour les systèmes d’IA jugés à haut risque. Ces systèmes, qui incluent une vaste gamme d’applications potentiellement impactantes, devront se conformer à des standards rigoureux pour assurer leur conformité aux principes éthiques et de sécurité. La classification des systèmes à haut risque est conçue pour cibler ceux susceptibles de violer les droits fondamentaux ou de présenter d’autres risques significatifs. Pour les systèmes à risque limité, des obligations de transparence moins contraignantes sont prévues, permettant aux utilisateurs de prendre des décisions éclairées.
Cette législation a des implications majeures pour les entreprises, notamment les petites et moyennes entreprises (PME). Des adaptations spécifiques ont été apportées pour rendre la conformité plus faisable techniquement et moins contraignante, notamment en termes de qualité des données et de documentation technique. En outre, l’accord prévoit des sanctions substantielles pour les violations, avec des plafonds plus proportionnés pour les PME et les jeunes pousses, soulignant l’importance d’une conformité rigoureuse.
Pour les utilisateurs, ces mesures renforcent la confiance dans les systèmes d’IA, garantissant que leur déploiement dans l’UE respecte les normes élevées en matière de droits et de sécurité. Une analyse d’impact sur les droits fondamentaux avant la mise sur le marché des systèmes d’IA à haut risque est une avancée notable, assurant une protection accrue des droits individuels.
En résumé, cet accord provisoire représente un équilibre entre la promotion de l’innovation dans le domaine de l’IA et la protection des citoyens et des entreprises européennes contre les risques potentiels associés à ces technologies. Il établit un cadre législatif qui pourrait servir de référence pour les futurs développements réglementaires dans le domaine de l’IA.
À la suite de l’accord provisoire intervenu le 9 décembre, les travaux se poursuivront au niveau technique dans les semaines à venir, afin de mettre au point les détails du nouveau règlement. La présidence présentera le texte de compromis aux représentants des États membres (Coreper) pour approbation une fois ces travaux terminés.
Le texte intégral devra être confirmé par les deux institutions et faire l’objet d’une mise au point par les juristes-linguistes avant son adoption formelle par les colégislateurs.
9 nouvelles sanctions prononcées par la formation restreintes de la CNIL pour un montant total de 117 000 €
30 novembre 2023 | Droit des nouvelles technologies
Entre septembre et novembre 2023, la formation restreinte de la CNIL a rendu 9 nouvelles décisions de sanction dont les amendes vont de 2 000 € à 20 000 € pour un montant total de 117 000 €.
Nous vous présentons ces nouvelles décisions (par ordre décroissant du montant de l’amende) :
- 20 000 € d’amende pour une société de fabrication de produits de consommation en plastique pour absence de minimisation des données traitées, défaut d’information des personnes et défaut de sécurité des données;
- 20 000 € d’amende pour un commerce inter-entreprise de produits surgelés pour absence de minimisation des données, manquements liés aux durées de conservation, violation à l’interdiction de traiter des données relatives aux infractions et condamnations, manquement à l’obligation d’information des personnes, défaut de registre de traitements et défaut de sécurité des données ;
- 20 000 € d’amende pour une société faisant commerce de détail d’optique pour défaut de coopération avec la CNIL uniquement;
- 20 000 € d’amende pour une société de conseils en systèmes et logiciels informatiques pour défaut de coopération avec la CNIL uniquement;
- 20 000 € d’amende pour une société développant et mettant en place des logiciels de surveillance des employés pour défaut de coopération avec la CNIL uniquement;
- 10 000 € d’amende pour une revue littéraire française pour manquement à l’obligation d’information des personnes et défaut de coopération avec la CNIL ;
- 5 000 € d’amende pour un éditeur de site web dédié à la presse pour des manquements en lien avec l’exercice du droit d’opposition des personnes et défaut de coopération avec la CNIL ;
- 2 000 € d’amende pour un éditeur de blog en ligne dédié à la lutte contre la pédo-criminalité pour défaut de coopération avec la CNIL uniquement ;
- 2 000 € d’amende pour une société ayant une activité dans l’évènementiel pour absence de minimisation des données traitées, défaut d’information des personnes, défaut de registre de traitements et défaut de sécurité des données.
On note encore une fois que le défaut de coopération avec les services de la CNIL coûte cher et peut être l’unique fondement d’une sanction.
Sur toutes les décisions rendues entre septembre et novembre, 4 décisions ont prononcé une amende pour cette seule raison, dont 3 avec un montant de 20 000 € !
On note aussi que deux décisions concernent des personnes physiques et non des personnes morales : un éditeur de site web et un éditeur de blog en ligne, sanctionné respectivement à hauteur de 2 000 € et 5 000 €.
Droit d’accès : la CJUE estime que le RGPD implique la communication « gratuite », « intégrale », « fidèle » et « intelligible » de la première copie du dossier médical
27 octobre 2023 | Droit des nouvelles technologies
Saisie d’un litige entre un ressortissant Allemand et son chirurgien-dentiste qui refusait de lui fournir gratuitement une copie de son dossier médical, la Cour de Justice de l’Union Européenne (CJUE) s’est prononcée 26 octobre 2023 sur l’interprétation des article 12§5 et 15§3 du RGPD sur le droit d’accès accordé aux personnes.
L’article 12§5 du RGPD prévoit que le responsable de traitement n’exige aucun paiement de la personne qui demande une copie de ses données, sauf en cas de demandes manifestement infondées ou excessives.
L’article 15§3 du RGPD prévoit quant à lui que le responsable de traitement peut exiger le paiement de frais raisonnables en cas de demande de copies supplémentaires.
La cour d’appel Allemande a considéré que le chirurgien devant effectivement fournir à son patient une première copie de son dossier médical à titre gratuit.
Saisie d’un recours par le chirurgien-dentiste, la Cour fédérale Allemande a saisi la CJUE de trois questions différentes.
L’une de ces questions portait sur l’interprétation de l’article 15§3 du RGPD, pour savoir s’il fallait en comprendre que, dans une relation médecin/patient, le droit d’obtenir une copie des données à caractère personnel impliquait la remise au patient d’une copie intégrale du dossier médical (et donc de documents tels que des diagnostics, résultats…) ou seulement d’une copie des données à caractère personnel en tant que tel.
La question peut paraître anodine, mais la réponse est essentielle : 1) Dans le premier cas le praticien est tenu de fournir l’intégralité des données (documents) en sa possession, y compris les synthèses ou les diagnostics qu’il aurait pu réaliser (et qui n’appartiennent en soi pas au patient), alors que 2) dans le second cas il n’est tenu de fournir que les données (informations) qu’il détient et traite sur son patient.
Pour répondre à cette question, la CJUE rappelle que :
- L’article 15§3 confère aux personnes un droit d’accès leur permettant d’obtenir unereproduction fidèle de leurs données ;
- Le terme « copie » utilisé dans cet article se rapporte aux données (informations) et non pas à un document en tant que tel, mais que cette copie doit contenir toutes les données à caractère personnel faisant l’objet d’un traitement;
- Le droit d’accès a pour objectif de permettre à la personne de s’assurer que les données la concernant sont exactes et qu’elles sont traitées de manière licite ce qui implique que la copie doit reproduire intégralement et fidèlement les données traitées, qui doivent être faciles à comprendre.
Surtout, la CJUE explique que, même hors relation patient/médecin, le droit d’obtenir de la part du responsable du traitement une copie des données personnelles implique qu’il soit remis à la personne une reproduction fidèle et intelligible de l’ensemble de ces données, ce qui suppose le droit d’obtenir la copie d’extraits de documents, voire de documents entiers qui contiennent lesdites données, mais aussi d’autres, si la fourniture d’une telle copie est indispensable pour permettre à la personne de vérifier l’exactitude des informations ou leur intelligibilité.
Annulation du Data Privacy Framework : ce n’est pas pour tout de suite
12 octobre 2023 | Droit des nouvelles technologies
La demande en référé de sursis à exécution concernant le Privacy Data Framework (Comm. UE, déc. d’exécution (UE) 2023/1795, 10 juill. 2023, constatant le niveau de protection adéquat assuré par le cadre de protection des données UE – États-Unis) est rejetée car le requérant (Philippe Latombe, député français) n’est pas en mesure d’établir que la condition relative à l’urgence est remplie (préjudice grave non prouvé).
Trib. UE, ord. réf., 12 oct. 2023, aff. T-553/23 R, P. Latombe c/ Comm. UE
Délimitation du droit de rétractation des consommateurs par la Cour de justice de l’Union Européenne
05 octobre 2023 | Droit des nouvelles technologies
Dans une décision récente (CJUE, 5 oct. 2023, C-565/22), la Cour de Justice de l’Union européenne (CJUE) a clarifié une question importante concernant les droits des consommateurs dans le cadre de l’abonnement à des services en ligne. La directive 2011/83/UE relative aux droits des consommateurs établit que, lorsqu’un consommateur s’abonne à une plateforme d’apprentissage en ligne, comme c’était le cas avec Sofatutor GmbH, il bénéficie d’un droit de rétractation. Ce droit est applicable lors de la première souscription, y compris durant une période d’essai gratuit.
Toutefois, la CJUE a statué que ce droit de rétractation n’est pas renouvelé automatiquement au terme de la période d’essai gratuit si le service devient payant. Ce point est crucial pour les entreprises qui offrent des abonnements en ligne. Elles doivent s’assurer de communiquer clairement et de manière transparente sur le passage d’une offre gratuite à une offre payante, ainsi que sur les modalités de résiliation et de reconduction de l’abonnement.
Pour les entreprises, cette décision souligne l’importance d’une communication claire et conforme aux réglementations sur les droits des consommateurs. Les conditions de l’abonnement, y compris les changements de tarifs après une période d’essai, doivent être explicitement indiquées. Cela permet non seulement de respecter la législation, mais aussi de maintenir une relation de confiance avec les consommateurs.
Cette décision de la CJUE rappelle aux entreprises opérant en ligne la nécessité de revoir leurs pratiques contractuelles, en particulier dans la manière dont elles informent les consommateurs sur les conditions de leurs services. Une transparence accrue et une communication efficace sont des éléments clés pour se conformer aux réglementations européennes et éviter les litiges.
Position favorable de la CNIL sur l’Intelligence Artificielle
11 octobre 2023 | Droit des nouvelles technologies
Dans une publication du 11 octobre 2023, la CNIL émet une position permettant de conjuguer IA et RGPD.
La CNIL identifie quatre axes principaux pour une IA respectueuse des données personnelles.
Premièrement, en matière d’IA, la CNIL admet qu’un opérateur ne puisse pas définir au stade de l’entraînement de l’algorithme l’ensemble de ses applications futures, à condition que le type de système et les principales fonctionnalités envisageables aient été bien définies.
Ensuite, la CNIL précise que le principe de minimisation des données n’empêche pas l’utilisation de larges bases de données ainsi qu’une durée de conservation longue des données d’entraînement si cela est justifié.
Enfin, la CNIL estime que la réutilisation de bases de données est possible sous réserve de vérifier que les données n’ont pas été collectées de manière manifestement illicites et que la finalité de réutilisation est compatible avec la collecte initiale. A cet égard, la CNIL estime que les dispositions relatives à la recherche et à l’innovation dans le RGPD permettent un régime aménagé pour les acteurs innovants
200 000 € d’amende CNIL pour SAF Logistics
25 septembre 2023 | Droit des nouvelles technologies
Le 18 septembre 2023 la société SAF LOGISTICS, exerçant une activité de transport de fret aérien de la Chine vers l’Europe, a été sanctionnée par la CNIL.
Cette sanction, une amende de 200 000 €, a été prononcée à la suite de deux plaintes déposées par des salariés de l’entreprise auprès de la CNIL.
Les plaintes rapportaient que SAF LOGISTICS avait demandé à l’ensemble de son personnel de renseigner, via un formulaire, de nombreuses informations sur leur vie privée : ethnie, affiliation à parti politique, situation familiale et informations sur les parents et éventuels frères, sœurs et enfants.
Certaines de ces données sont classées comme « sensibles » par l’article 9 de réglementation sur les données à caractère personnel, leur traitement est donc par principe interdit.
La CNIL retient à l’encontre de la société SAF LOGISTICS :
- Une violation du principe de minimisation des données traitées (article 5, §1, c)):
Selon SAF LOGISTICS, les données collectées sur la famille des salariés devaient servir à les contacter en cas d’urgence.
La CNIL considère que cette finalité ne justifiait pas la collecte de certains renseignements : date et lieu de naissance, sexe, employeur, fonctions et situation maritale… et que dès lors la collecte ne respectait pas le principe de minimisation.
Il est à noter que lors de ces contrôles la CNIL prend soin de vérifier la cohérence des renseignements et explications fournis par une entreprise et ne se contente pas de constater, par exemple, l’existence d’une finalité.
- Une violation de l’interdiction de traiter des données sensibles (article 9) :
La CNIL retient que le formulaire diffusé dans l’entreprise rendait obligatoire le remplissage des champs relatifs à l’ethnie et à l’affiliation à un parti politique pour les salariés de l’entreprise souhaitant postuler en Chine.
Elle en déduit que le « consentement » qui avait pu être donné n’était pas libre (puisque le refus de remplir ces champs aurait conduit à une « sanction » de refus d’étude du dossier pour un poste en Chine) et que le traitement de ces données était donc illicite.
- Violation de l’interdiction de collecter des données relatives aux infractions (article 10 du RGPD) :
La société SAF LOGISTICS conservait les extraits de casier judiciaire (bulletin n°3) de ses salariés dans leurs dossiers individuels.
Or, selon les dispositions légales, un employeur ne peut que consulter le casier judiciaire des candidats, et non en conserver une copie.
- Refus de coopérer avec la CNIL
Comme nous le soulignons régulièrement dans notre Lex-Part infos, le refus de coopérer avec les services de la CNIL (volontairement ou non) conduit bien souvent à alourdir le montant des sanctions.
En l’occurrence, la société SAF LOGISTICS a tenté de duper la CNIL en fournissant par deux fois des traductions incomplètes du formulaire ayant permis la collecte des données (dont la CNIL avait demandé la traduction puisqu’il était rédigé en chinois).
Le groupe CANAL+ écope d’une amende de 600 000 € pour divers manquements au RGPD
12 octobre 2023 | Droit des nouvelles technologies
31 plaintes contre le groupe CANAL + avaient été déposées auprès de la CNIL entre le mois de novembre 2019 et le mois de janvier 2021, portant notamment sur les méthodes de prospection téléphonique, la transmission de données bancaires et l’exercice des droits.
S’agissant de la prospection, qu’elle soit téléphonique ou électronique, le RGPD impose que le responsable de traitement recueille le consentement des personnes.
Lors de son enquête, la CNIL s’est rendue compte que le groupe CANAL + n’était pas capable d’apporter la preuve de ce consentement (aucun recueil de consentement n’était effectué par CANAL +, ni par les prestataires par lesquels il récupérait les données de sa base de prospection).
Elle retient que près de 4 millions de personnes ont fait l’objet d’une prospection par voie électronique durant l’année 2021 et que leur consentement n’a pas ou mal été recueilli.
La CNIL reproche également au groupe CANAL + de n’avoir pas correctement informé les personnes concernées des traitements de leurs données.
Elle retient notamment que :
- La page « Données personnelles et confidentialité » ne développe pas de manière suffisamment préciser les durées de conservation des données ;
- L’information fournie aux personnes lors des appels téléphoniques (encadrée par l’article 14 du RGPD) était incomplète, voire absente.
La CNIL retient encore contre le groupe CANAL + des manquements en lien avec :
- L’exercice des droits des personnes, dont le droit d’accès ;
- L’encadrement par un acte juridique des traitements effectués pour le groupe par d’autres entités (conclusion de contrats de co-traitance ou de sous-traitance RGPD) ;
- Son obligation de sécurité des données, le groupe CANAL + utilisant un algorithme de stockage des mots de passe obsolète depuis 2014 et insuffisamment robuste
Enfin, la CNIL retient que le 5 février 2020 le groupe CANAL + a été informée par des abonnées de la survenance d’une violation de données, les abonnés pouvant visualiser les informations relatives à d’autres abonnés.
Elle retient que le groupe CANAL + n’a pas notifié cette violation à la CNIL et que dès lors, il a manqué à ses obligations fondées sur l’article 33 du RGPD.
Tous ces manquements ont conduit la CNIL à sanctionner le groupe CANAL + à hauteur de 600 000 €.
Droit d’accès des personnes concernées valable même lorsque les faits sont antérieurs à l’entrée en vigueur de la réglementation sur les données personnelles mais limité par la CJUE
24 septembre 2023 | Droit des nouvelles technologies
Dans les faits : Un salarié et client d’une banque finlandaise ayant appris que ses données personnelles de client avaient été consultées à plusieurs reprises par des membres du personnel, en 2013, il requiert de la banque la transmission de plusieurs informations au titre du droit d’accès : identité des personnes ayant consulté ses données, dates de consultation et finalités du traitement de ces données.
La banque ayant refusé, la CJUE a été saisie par les instances nationales, entres autres pour savoir si le droit d’accès accordé par l’article 15 du RGPD était applicable à des faits, et informations liées, antérieurs à la date d’entrée en vigueur du RGPD.
Pour la CJUE, le droit d’accès conféré par l’article 15 du RGPD s’applique aux demandes d’information portant sur des opérations de traitement effectuées avant l’entrée en vigueur du RGPD, tant que la demande a été effectuée après.
Toutefois, s’agissant plus spécifiquement des informations demandées par le client, la CJUE rappelle que les informations visées par l’article 15 du RGPD lui permette d’obtenir les dates de consultations et les finalités, mais pas l’identité des salariés concernés, sauf à ce que ces informations soient indispensables pour lui permettre d’exercer ses droits, dont une éventuelle action judiciaire.
La CJUE opère ainsi une mise en balance des droits et libertés fondamentaux de la personne concernée (droit d’accès) et des salariés du responsable de traitement (droit au respect de la vie privée) et estime que le respect de la vie privée prévaut sur le droit d’accès à moins d’une nécessité pour l’exercice d’un droit.
Encadrement par la CNIL de la télésurveillances d’examens en ligne
23 septembre 2023 | Droit des nouvelles technologies
Le recours au passage d’examen à distance sous forme numérique par les établissements d’enseignement supérieur publics et privés est de plus en plus répandu. Les dispositifs de télésurveillance utilisés dans ce cadre étant par nature intrusifs, la CNIL rappelle les obligations du RGPD et incite au respect de bonnes pratiques.
Voici une liste mise à jour des principales recommandations de la CNIL en la matière :
- Les établissements et organismes organisant des examens, ainsi que leurs éventuels sous-traitants (par exemple les fournisseurs de solution de télésurveillance), devraient garantir aux candidats que leurs données ne seront pas utilisées pour un autre objectif que le passage et la surveillance d’un examen à distance.
- Les modalités d’examens permettant une validation à distance des compétences sans recours à des dispositifs de télésurveillance devraient être privilégiées lorsque cela est possible.
- De façon générale, le passage d’examens surveillés à distance devrait être une possibilité offerte aux étudiants et non une obligation. Dans ce cas, une alternative en présentiel devrait être proposée aux candidats (sauf cas spécifiques, tels qu’une crise sanitaire ou pour les établissements qui ont fait du distanciel l’essence même de leur organisation).
- Les étudiants devraient être informés le plus tôt possible des conditions de mise en œuvre de la télésurveillance, afin qu’ils puissent faire leur choix en toute connaissance de cause.
- Les établissements et organismes devraient s’assurer que les dispositifs utilisés pour la télésurveillance sont compatibles avec les équipements dont disposent les étudiants, qu’ils n’entraînent pas de risques de sécurité pour ces derniers et que les logiciels nécessaires peuvent être facilement installés et désinstallés.
- L’établissement devrait être particulièrement attentif à la proportionnalité des dispositifs de télésurveillance mis en œuvre. Si un juste équilibre ne peut être trouvé entre efficacité et intrusivité du dispositif employé, l’établissement ou l’organisme organisateur devrait envisager une épreuve en présentiel ou privilégier une autre forme d’examen.
- Par ailleurs, le choix des outils de télésurveillance devrait prendre en compte le contexte et l’enjeu de l’épreuve. Par exemple, une surveillance renforcée pourrait être appropriée pour le passage d’un concours, mais un examen présentant un enjeu faible dans le processus de validation de la formation d’un étudiant (par ex. un examen blanc) devrait être effectué sous une télésurveillance peu intrusive.
Le recours à des systèmes d’analyse automatique devrait se limiter à l’environnement des candidats, et à des circonstances justifiant l’utilisation de tels systèmes. Toute analyse automatique du comportement des candidats devrait être exclue.
La CNIL publie une recommandation relative au partage de données via API
17 septembre 2023 | Droit des nouvelles technologies
Les API ou « interfaces de programmation d’application » sont des interfaces logicielles permettant de lier un logiciel ou un service à un autre logiciel ou service pour permettre l’échange de fonctionnalités et de données, notamment à caractère personnel.
La CNIL souhaite promouvoir l’usage des API, mais pas au détriment de la protection des données à caractère personnel.
Pour cette raison, la CNIL a émis une recommandation identifiant les situations dans lesquelles l’utilisation d’API peut être recommandée, ainsi que les facteurs de risque à prendre en considération pour alimenter une analyse de risque.
Cette recommandation s’intéresse à plusieurs thématiques générales : coordination fonctionnelle des organismes, information des personnes, sélection des données, gestion des accès, gestion interne des API….
Et se prononce également sur des thématiques plus spécifiques, en lien avec l’intention des détenteurs de données, des gestionnaires d’API et des réutilisateurs de données : information, minimisation des données, sécurité des données…
Vous retrouverez l’intégralité de cette recommandation sur le site de la CNIL.
Droit à l’effacement et retrait du consentement : une décision éclairante de la CJUE
17 septembre 2023 | Droit des nouvelles technologies
Dans un litige opposant un abonné à un service téléphonique et un fournisseur d’annuaires belge, la Cour de justice de l’Union Européenne s’est prononcée sur deux thèmes centraux du RGPD : le retrait du consentement et le droit à demander l’effacement des données à caractère personnel.
Dans les faits : le fournisseur d’annuaire avait reçu une demande d’un abonné qui ne souhaitait plus que son numéro de téléphone apparaisse dans les annuaires.
Le fournisseur a bien modifié le statut de cet abonné, mais, par la suite, a reçu d’un opérateur téléphonique une mise à jour du fichier abonnés où apparaissait le numéro de l’abonné qui avait fait sa demande de retrait.
L’abonne a porté plainte auprès de l’autorité de contrôle belge qui a saisi la CJUE de plusieurs questions préjudicielles.
- La demande de suppression de données d’un abonné constitue-t-elle un droit à l’effacement au sens du RGPD ?
Oui, selon la CJUE la demande d’un abonné tendant à la suppression de ses données des annuaires constitue un recours au droit à l’effacement au sens de l’article 17 du RGPD, ce qui signifie que le responsable de traitement doit, a minima, répondre à la demande formulée.
- Le responsable de traitement est-il tenu de répercuter l’information auprès des autres responsables de traitement pour rendre effectif le retrait du consentement d’une personne concernée ?
Oui ! La CJUE considère que le fait qu’il y ait un consentement « unique » donné par la personne concernée pour tous les responsables de traitement créait une chaîne de responsables de traitement traitant, de manière indépendante, les mêmes données pour la même finalité.
Elle en déduit que la personne concernée peut s’adresser à n’importe quel responsable de traitement de la chaîne pour retirer son consentement, à charge pour ce dernier d’en informer les autres.
Si cette solution renforce l’effectivité du droit de retirer son consentement au traitement des données personnelles, elle a pour inconvénient notable de mettre à la charge du responsable de traitement concerné par la demande une nouvelle obligation en lien avec le RGPD.
E-commerçants B2C : une nouvelle règle applicable pour vos sites web !
24 juillet 2023 | Droit des nouvelles technologies
Depuis le 1er juin 2023, tout professionnel qui propose au consommateur de conclure un contrat en ligne doit désormais également proposer au consommateur un moyen d’y mettre fin en ligne.
Cela s’applique donc aux contrats à exécution successive (c’est-à-dire aux contrats dont l’exécution s’échelonne et se renouvelle dans le temps),
comme les abonnements à un service (numérique ou non) ou à la réception récurrente de produits (par exemple des box).
Désormais, pour tous ces contrats, la fonctionnalité de résiliation du contrat prévue à l’article L. 215-1-1 est présentée au consommateur sous la mention : “résilier votre contrat” ou une formule analogue dénuée d’ambiguïté, affichée en caractères lisibles, directement et facilement accessible à partir de l’interface en ligne depuis laquelle le consommateur peut conclure des contrats par voie électronique.
S’il s’agit d’un client qui avait passé commande comme « invité » sans créer de compte, le professionnel ne peut pas lui imposer de créer un compte pour résilier en ligne.
La rubrique ou le formulaire par lequel le consommateur peut procéder à la résiliation en ligne doit afficher au minimum :
- Les nom et prénom du consommateur, ou si le contrat a été conclu avec une personne morale, sa raison ou dénomination sociale ;
- L’adresse électronique ou à défaut l’adresse postale permettant au professionnel de confirmer la réception de la notification de la résiliation ;
- Toute référence préalablement communiquée par le professionnel au titulaire du contrat pour identifier ce titulaire et le contrat concerné, tel que par exemple un numéro de client ou de contrat ;
- La date de résiliation souhaitée sous réserve des dispositions légales ou contractuelles en vigueur. Pour les services de communications électroniques, le numéro de téléphone correspondant à la ligne ou les lignes concernée(s) par la résiliation ;
- si la résiliation requiert un motif légitime, un champ ou une liste de choix permettant d’énoncer ce motif.
Une page récapitulative de la résiliation doit s’afficher avant la validation par le consommateur de la résiliation.
La validation doit se faire par un bouton ou lien « Notification de la résiliation » ou une formule analogue dénuée d’ambiguïté, affichée en caractères lisibles.
Un hébergeur condamné à payer 442 750 € à Nintendo pour défaut de retrait de copies illicites de jeux vidéo sur son site
31 août 2023 | Droit des nouvelles technologies
Nous l’évoquions déjà dans notre Lex-Part info du mois de mars 2023 : la responsabilité des hébergeurs est un sujet épineux dans le monde numérique, notamment en cas d’atteinte à des droits de propriété intellectuelle (droit d’auteur, marques…).
Principe : l’article 6 I-2 de la loi pour la confiance dans l’économie numérique (LCEN) prévoit que les hébergeurs ne sont pas responsables des contenus mis en ligne sur leur plateforme par des tiers, même si ces contenus sont illicites.
Exception : ce même article tempère son principe et prévoit la responsabilité de l’hébergeur si :
- Il avait connaissance du caractère manifestement illicite du contenu,
- Il n’a pas « promptement » réagi pour retirer un contenu illicite ayant fait l’objet d’une notification.
C’est sur cette seconde hypothèse que la cour d’appel de Paris a rendu un arrêt intéressant le 12 avril 2023.
Dans les faits, un hébergeur a été notifié par Nintendo de la présence, sur la plateforme qu’il mettait à disposition, de copies illicites de jeux vidéo (portant donc atteinte aux droits de propriété intellectuelles de l’entreprise).
L’hébergeur a refusé de retirer les liens de téléchargements litigieux et a proposé deux solutions à Nintendo :
- Engager une procédure judiciaire pour faire constater le caractère manifestement illicite de ces jeux,
- Se plier à la procédure contractuelle proposée par lui pour signaler le contenu.
Or, pour les titulaires de droit, l’enjeu de ces notifications est d’obtenir un retrait rapide des contenus illicites, et une cessation tout aussi rapide de l’atteinte à leurs droits de propriété intellectuelle, ce que ne permettent pas les procédures judiciaire ou amiable.
Si l’on peut comprendre qu’un hébergeur soit frileux à l’idée de retirer des contenus sur « simple notification », puisqu’il prend le risque de retirer un contenu licite et d’entrer en litige avec l’auteur du contenu, la loi dispose qu’en l’absence de prompt retrait du contenu, sa responsabilité peut être engagée.
C’est donc ce qu’a fait Nintendo qui a refusé les deux options proposées et qui a assigné l’hébergeur en responsabilité pour obtenir un dédommagement pour défaut de prompt retrait.
La solution rendue par la cour d’appel de Paris est intéressante à plusieurs égards.
1er point : la cour d’appel confirme que la procédure contractuelle proposée par l’hébergeur ne pouvait être qu’optionnelle et que le fait d’en proposer une ne pouvait pas exonérer l’hébergeur de sa responsabilité pour absence de prompt retrait.
2e point : la cour en profite pour rappeler qu’en matière d’atteinte aux droits de propriété intellectuelle la jurisprudence européenne considère que ces atteintes sont manifestement illicites et qu’il suffit que l’hébergeur en ait pris connaissance, d’une façon ou d’une autre, pour agir.
3e point : la cour d’appel détaille également les éléments dont elle a tenu compte pour calculer le montant des dommages et intérêts :
- La marge moyenne réalisée sur les jeux concernés, soit 8,05 € par unité ;
- La période considérée de 4 mois entre la notification faite à l’hébergeur (et non la date de mise en ligne des liens sur la plateforme) et la date de l’assignation ;
- Les ventes manquées par Nintendo, et non le nombre de téléchargements réalisés sur la période (ce qu’avait retenu le Tribunal judiciaire). La cour considère en effet que parmi les utilisateurs ayant téléchargé les copies illicites, tous n’auraient pas acquis le jeu sur la boutique en ligne.
Elle estime à 55 000 le nombre de ventes manquées.
Le montant de la condamnation correspond donc au nombre de ventes manquées x la marge brute = 442 750 €. L’hébergeur a également été condamné au retrait des copies, sous astreinte de 1 000 € par jour de retard.
Les transferts de données personnelles vers les USA à nouveau autorisés
10 juillet 2023 | Droit des nouvelles technologies
🏖️🇺🇸 Les USA, à nouveau destination touristique à la mode pour vos données personnelles !
🤔 Depuis le 16 juillet 2020, les transferts de données personnelles à destination des USA (entreprises ou serveurs basés aux USA) étaient interdits depuis l’invalidation d’une décision UE 2016/1250 d’adéquation nommée « Privacy Shield ». Depuis lors, il était juridiquement devenu impossible de justifier, dans la plupart des cas, le recours à un sous-traitant ou destinataire de données américain.
➡️ Cette situation intenable est à présent révolue (du moins jusqu’à la possible prochaine invalidation du nouvel accord…).
En effet, la Commission Européenne a adopté ce jour une décision d’ #adéquation au bénéfice des entreprises américaines, le #DataPrivacyFramework.
⚠️ ATTENTION ! Cette autorisation n’est pas générale, puisqu’elle bénéficiera uniquement aux entreprises qui figureront sur une liste publiée par le Ministère Américain du Commerce.
Cette liste n’est pas encore publiée à l’heure où nous écrivons ces lignes, mais ce lien vous permettra de vérifier l’adéquation de votre fournisseur américain à la réglementation : https://www.dataprivacyframework.gov/s/participant-search
🤌D’accord, mais qu’est-ce que cela change ?🤌
Si la société US à laquelle vous souhaitez #transférer des données est dans cette liste :
➡️ Cela ne sera plus interdit ;
➡️ Vous n’aurez pas à encadrer le transfert par un outil juridique supplémentaire : c’est comme si votre partenaire était en Union Européenne !
🤔 Si votre fournisseur #américain est dans cette liste, quelles sont vos obligations réglementaires ? 🤔
Et bien vos autres obligations légales ne changent pas et que vous devrez toujours :
➡️ Au plus tard lors de la collecte des données transférées, informer les personnes concernées de l’existence et des conditions de ce transfert ;
➡️ Conclure par un écrit un contrat de sous-traitance #RGPD pour encadrer le transfert lorsqu’il s’agit d’une sous-traitance.
La CNIL annonce à court terme un certain nombre de précisions et communications de sa part sur le sujet. Nous vous tiendrons naturellement informés au fil du temps sur notre page LinkedIn !
Régulation de l’Intelligence Artificielle en UE : cela se précise…
24 juin 2023 | Droit des nouvelles technologies
Les députés du Parlement européen ont donné leur accord préliminaire au projet de régulation de l’intelligence artificielle (« IA Act ») de l’Union européenne.
L’objectif de l’UE est de devenir le premier acteur à adopter un cadre juridique complet pour encadrer l’utilisation de l’IA, en limitant les abus potentiels tout en favorisant l’innovation sécurisée.
Ce sujet complexe a suscité de longs débats, en particulier concernant les risques posés par les systèmes d’IA générative capables de créer des textes et des images.
Ce règlement ne sera pas mis en application avant 2026, mais en anticiper les grands apports permettra à ceux qui mènent actuellement un projet basé sur un système d’I.A. de s’adapter aux contraintes légales et réglementaires à venir.
Les IA interdites concerneront les applications contraires aux valeurs européennes, à savoir :
- les systèmes d’identification biométriques à distance en « temps réel » dans les espaces accessibles au public;
- les systèmes d’identification biométrique à distance « a posteriori », à la seule exception des forces de l’ordre pour la poursuite de crimes graves, et seulement après autorisation judiciaire;
- les systèmes d’identification biométrique utilisant des caractéristiques sensibles (par exemple, le genre, la race, l’origine ethnique, le statut de citoyen, la religion, l’orientation politique);
- les systèmes de police prédictive (fondés sur le profilage, la localisation ou le comportement criminel passé);
- les systèmes de reconnaissance des émotions utilisés dans les services répressifs, la gestion des frontières, le lieu de travail et les établissements d’enseignement;
- la saisie non ciblée d’images faciales provenant d’internet ou de séquences de vidéosurveillance en vue de créer des bases de données de reconnaissance faciale (ce qui constitue une violation des droits humains et du droit au respect de la vie privée).
Les IA soumises à autorisation préalable, qualifiées d’IA à haut risque, seront celles qui portent gravement atteinte à la santé, à la sécurité et aux droits fondamentaux des personnes ou à l’environnement. Les systèmes d’IA utilisés pour influencer les électeurs et le résultat des élections, ainsi que les systèmes d’IA utilisés dans les systèmes de recommandation exploités par les plateformes de médias sociaux font partie de cette catégorie.
Les autres systèmes d’IA seront soumis à des obligations de transparence, de documentation, de gestion des risques et de sécurité dépendant de leur niveau de risque pour la population, sans pour autant relever d’un régime d’autorisation préalable.
Un mot sur les IA génératives (type ChatGPT, ou celles créant des deepfakes) : toute production réalisée par une IA générative devra explicitement mentionner au public qu’il l’a été par un système d’IA.
Enfin, un régime de dépôt de plainte pénale à l’égard des systèmes d’IA est en cours d’élaboration.
Condamnation de CRITEO par la CNIL à 40 M€ d’amende
16 juin 2023 | Droit des nouvelles technologies
Le 15 juin 2023, la CNIL a sanctionné la société CRITEO, spécialisée dans la publicité en ligne, d’une amende de 40 millions d’euros, notamment pour ne pas avoir vérifié que les personnes dont elle traite les données avaient donné leur consentement.
La société CRITEO est spécialisée dans le « reciblage publicitaire », qui consiste à suivre la navigation des internautes afin de leur afficher des publicités personnalisées. Pour cela, la société collecte les données de navigation des internautes grâce au traceur (cookie) CRITEO qui est déposé dans leurs terminaux lorsqu’ils se rendent sur certains sites web partenaires de CRITEO. Via ce traceur, cette société analyse les habitudes de navigation afin de déterminer pour quel annonceur et pour quel produit, il serait le plus pertinent d’afficher une publicité à un internaute en particulier. Elle participe ensuite à une enchère en temps réel (real time bidding) puis, si elle remporte l’enchère, affiche la publicité personnalisée.
La CNIL a retenu cinq manquements au RGPD à l’encontre de la société CRITEO.
- Un manquement à l’obligation de démontrer que la personne a donné son consentement (article 7.1 du RGPD)
D’après la loi, le traceur (cookie) CRITEO utilisé pour cibler les publicités ne peut être déposé sur le terminal de l’internaute sans son consentement. Le recueil de ce consentement incombe aux partenaires de la société, qui sont en contact direct avec les internautes.
Cependant, cela ne dispense pas la société CRITEO de son obligation de vérifier et de pouvoir démontrer que les internautes ont donné leur consentement. Or, il a été constaté que le traceur (cookie) CRITEO était déposé par plusieurs partenaires de la société dans le terminal des internautes sans le consentement de ces derniers.
La formation restreinte a également relevé qu’au moment des investigations, la société n’avait mis en place aucune mesure lui permettant de s’assurer que ses partenaires recueillaient valablement le consentement des internautes dont elle traite ensuite les données. En ce sens, elle a notamment relevé que les contrats passés avec les partenaires ne contenaient aucune clause les obligeant à fournir la preuve du consentement des internautes à CRITEO. En outre, la société n’avait entrepris aucune campagne d’audit de ses partenaires avant l’engagement de la procédure par la CNIL.
- Un manquement à l’obligation d’information et de transparence (articles 12 et 13 du RGPD)
La politique de confidentialité de la société n’était pas complète puisqu’elle ne comportait pas l’ensemble des finalités poursuivies par le traitement. Par ailleurs, certaines des finalités étaient exprimées dans des termes vagues et larges, qui ne permettaient pas à l’utilisateur de comprendre précisément quelles données personnelles sont utilisées et pour quels objectifs.
- Un manquement au respect du droit d’accès (article 15.1 du RGPD)
Lorsqu’une personne exerçait auprès d’elle son droit d’accès, la société lui transmettait, sous forme de tableaux, les données extraites de 3 des 6 tables composant sa base de données. La formation restreinte a pourtant relevé que les données personnelles contenues dans 2 des 3 autres tables devaient être communiquées aux personnes. En outre, lorsque la société transmettait ces tableaux, elle ne leur fournissait pas d’informations suffisantes pour leur permettre de comprendre leur contenu.
- Un manquement au respect du droit de retrait du consentement et de l’effacement de ses données (articles 7.3 et 17.1 du RGPD)
Lorsqu’une personne exerçait son droit au retrait du consentement ou à l’effacement de ses données, le processus mis en œuvre par la société avait seulement pour effet d’arrêter l’affichage de publicités personnalisées à l’utilisateur. Pour autant, la société ne procédait ni à la suppression de l’identifiant attribué à la personne, ni à l’effacement des évènements de navigation liés à cet identifiant.
- Un manquement à l’obligation de prévoir un accord entre responsables conjoints de traitement (article 26 du RGPD)
L’accord conclu par la société avec ses partenaires ne précisait pas certaines des obligations respectives des responsables de traitements vis-à-vis d’exigences contenues dans le RGPD, telles que l’exercice par les personnes concernées de leurs droits, l’obligation de notification d’une violation de données à l’autorité de contrôle et aux personnes concernées ou bien, si nécessaire, la réalisation d’une étude d’impact au titre de l’article 35 du RGPD.
Pêle-mêle de condamnations RGPD au sein de l’Union Européenne
26 juillet 2023 | Droit des nouvelles technologies
26.07.23 – Espagne – Un gardien de sécurité a été condamné à 10 000 € d’amende pour avoir capturé des images de vidéosurveillance et les avoir ensuite transmises par Whatsapp à ses collègues à des fins professionnelles.
12.06.23 – Grèce – L’autorité grecque de protection des données a infligé une amende de 100 000 euros à une banque pour avoir inclus par erreur les données personnelles de ses clients dans une liste de débiteurs et pour n’avoir pas répondu correctement à une demande d’accès.
L’autorité de protection des données a également conclu que le responsable du traitement n’avait pas mis en œuvre des mesures organisationnelles et techniques suffisantes conformément à l’article 25 du règlement RGPD.
16.06.23 – Allemagne – Un tribunal allemand a jugé qu’un responsable du traitement peut refuser de donner suite à des demandes d’accès au titre de l’article 15 du RGPD, conformément à l’article 12, paragraphe 5, point b), du RGPD, si ces demandes visent exclusivement à atteindre des objectifs qui ne sont pas liés à la protection des données.
En l’occurrence ici, un salarié souhaitait instrumentaliser le droit d’accès pour utiliser les éléments reçus à l’encontre de son employeur.
04.07.23 – Espagne – Une mère a exercé un droit d’accès auprès de la banque de son fils mineur pour connaître le détail de ses relevés bancaires. La banque y a répondu favorablement. A tort, selon la CNIL espagnole.
L’autorité espagnole de protection des données a en effet infligé une amende de 25 000 euros à Caixabank pour n’avoir pas pris les mesures techniques et organisationnelles appropriées pour vérifier l’identité du client avant de lui donner accès à des données à caractère personnel, en violation de l’article 32, paragraphe 1, du règlement général sur la protection des données (RGPD).
19.06.23 – Espagne – L’autorité espagnole de protection des données a infligé une amende de 50 000 euros à une entreprise de logistique pour avoir installé des caméras vidéo dans la zone de repos des employés, en violation de l’article 6 du règlement RGPD.
Entreprises cyber-assurées : pas d’indemnisation sans plainte dans les 72 heures !
10 mars 2023 | Droit des nouvelles technologies
A partir du 25 avril 2023, l’indemnisation par les assurances des pertes et dommages d’une entreprise subis à raison de cyberattaques sera conditionnée au dépôt de plainte réalisé dans les 72 heures de la découverte de l’attaque !
Le 24 janvier 2023, la loi d’orientation et de programmation du ministère de l’intérieur (aussi appelée « LOPMI ») a été adoptée et publiée au Journal Officiel le lendemain.
Cette loi comporte un « cavalier législatif », c’est-à-dire une disposition sans lien avec le sujet traité par la loi, qui concernera toutes les entreprises et tous les entrepreneurs individuels dès le 25 avril 2023 !
Cette loi intègre un nouveau chapitre X dans le code des assurances et un nouvel article L12-10-1 qui prévoit :
« Chapitre X
« L’assurance des risques de cyberattaques
« Art. L. 12-10-1.-Le versement d’une somme en application de la clause d’un contrat d’assurance visant à indemniser un assuré des pertes et dommages causés par une atteinte à un système de traitement automatisé de données mentionnée aux articles 323-1 à 323-3-1 du code pénal est subordonné au dépôt d’une plainte de la victime auprès des autorités compétentes au plus tard soixante-douze heures après la connaissance de l’atteinte par la victime.
« Le présent article s’applique uniquement aux personnes morales et aux personnes physiques dans le cadre de leur activité professionnelle. »
II.-Le I entre en vigueur trois mois après la promulgation de la présente loi ».
Cette disposition concerne toute personne morale et personne physique dans le cadre de ses activités professionnelles !
Concrètement, cet article prévoit que l’indemnisation des préjudices résultant d’une cyberattaque sera conditionnée à la plainte de la victime auprès des autorités compétentes, dans les 72h de la découverte de l’attaque.
En l’absence de plainte, aucune indemnisation ne sera versée à la victime.
Cette règle, qui entrera en application au 25 avril 2023, sera applicable à tous les contrats en cours, y compris ceux prévoyant expressément une protection sans condition ou sans condition similaire de ces risques.
Cette condition légale inédite a été pensée comme d’ordre public, ce qui signifie qu’il ne sera pas possible pour les assurés de renégocier leurs contrats ou de négocier leurs contrats à venir pour obtenir des conditions plus favorables ! Aucune stipulation plus avantageuse ne permettra d’écarter cette condition de plainte dans les 72h.
La meilleure solution reste donc encore de se prémunir contre les cyberattaques en renforçant son système d’information ! D’autant que les activités cybercriminelles sont loin d’être en voie d’extinction…
Un nouveau guide publié par la CNIL à destination des recruteurs
10 mars 2023 | Droit des nouvelles technologies
Dans la Lex-Part infos de décembre 2022 nous vous informions qu’il était désormais possible pour les entreprises de faire certifier certains de leurs traitements de données par un organisme certificateur.
Les articles 24 et 42 du RGPD prévoient que les responsables de traitement et/ou les sous-traitants puissent obtenir une certification d’une durée de 3 ans, renouvelable, qui fera foi de conformité en cas de contrôle.
Cette certification ne peut être délivrée que par les autorités de contrôle (la CNIL) ou des organismes tiers préalablement agréés par la CNIL ou par le Comité français d’accréditation (qui a conclu une convention de coopération avec la CNIL qui lui délègue notamment son pouvoir d’agrément)
Afin d’éviter la prolifération d’organismes qui ne suivraient pas scrupuleusement le référentiel approuvé par elle et de limiter le nombre de demandes d’agrément, la CNIL a établi un référentiel déterminant des critères auxquels devront répondre les organismes aspirant à l’obtention de l’agrément.
La CNIL pose des exigences générales, les organismes doivent notamment être transparents sur les financements qu’ils reçoivent et ne pas entretenir de liens significatifs avec les clients qu’ils certifient.
Ils doivent également pouvoir démontrer qu’ils disposent de procédures et mesures conformes au RGPD en matière de traitement des données personnelles de leurs clients et que leurs salariés sont formés à la protection des données à caractère personnel et disposent de connaissances et d’une expérience appropriée.
Ce référentiel prévoit une liste d’éléments qui devront être transmis par le candidat à la certification à l’organisme certificateur :
- Description de la structure et de ses liens avec d’autres organisations,
- Liste des transferts de données à des organismes situées dans un pays tiers de l’Union Européenne,
- Liste des sous-traitants et responsables de traitements conjoints,
- Caractéristiques générales des traitements (dont les catégories de données traitées)
La copie d’une signature apposée sur un PDF vaut signature
03 mars 2023 | Droit des nouvelles technologies
L’apposition d’une signature sous forme d’une image numérisée (photocopie) sur un PDF, lorsqu’il n’est pas contesté que cette signature est celle du cocontractant et qu’elle permet d’identifier son auteur, vaut signature au sens de l’article 1367 du code civil.
C’est le sens de la décision rendue par la Cour de cassation le 14 décembre 2022 à propos d’un contrat de travail à durée déterminée comportant la signature photocopiée de l’employeur, et non sa signature manuscrite.
A la rupture du contrat, le salarié a saisi la juridiction prud’homale pour faire requalifier son contrat en contrat de travail à durée indéterminée, et donc faire condamner son employeur au paiement d’une indemnité de requalification, en prenant justement prétexte de ce qu’il estime être une « absence de signature ».
Selon lui, la signature présente sur le contrat étant une image numérique, elle ne correspond ni à une signature manuscrite, ni à une signature électronique au sens de l’article 1367 du code civil et n’a donc aucune valeur juridique.
La cour d’appel et la Cour de cassation rejettent cette argumentation.
Si en effet la signature numérisée n’est pas une signature électronique au sens du code civil, il n’était dans les faits pas contesté que cette signature était bien celle du dirigeant de la société (habilité à signer ce type de contrat) et qu’elle permettait de l’identifier.
Partant, la Cour de cassation considère que la signature manuscrite numérisée du gérant ne vaut pas absence de signature et ne permet pas la requalification du contrat de travail à durée déterminée en contrat de travail à durée indéterminée.
Cette décision traduit le refus d’instrumentalisation des dispositions relatives au formalisme contractuel pour obtenir un avantage quelconque.
Le chargeur universel désormais obligatoire en UE
10 janvier 2023 | Droit des nouvelles technologies
Une nouvelle directive de l’Union européenne rend obligatoire la présence d’un port de recharge de type USB-C pour une grande variété d’appareils électroniques mis sur le marché : téléphones mobiles portatifs, tablettes, caméras numériques, ordinateurs portables…
En outre, il sera possible, pour les utilisateurs de ces appareils électroniques, d’acheter un nouvel équipement, au choix, avec ou sans dispositif de charge.
Enfin, le texte impose aux entreprises d’intégrer, aux fins d’informer clairement les utilisateurs :
- Un pictogramme indiquant si un dispositif de charge est ou non fourni avec l’appareil ;
- Une étiquette indiquant les capacités de chargement de l’appareil.
Entrée en vigueur de la règlementation :
- La règlementation sera applicable à partir du 28 décembre 2024,
- Sauf pour les ordinateurs portables pour lesquels elle ne s’appliquera qu’à compter du 28 avril 2026.
Les conditions matérielles de mise en œuvre de cette règlementation ne sont pas encore précisées et le seront en droit interne avant fin 2023 !
L’enjeu du nouveau référentiel CNIL sur le RGPD en pharmacie
29 juillet 2022 | Droit des nouvelles technologies
Par délibération du 02 juin 2022, un référentiel CNIL spécifiquement applicable aux officines de pharmacie et à leurs prestataires est entré en vigueur, commenté ici le 22 juillet par l’ordre des pharmaciens.
Quatre ans après l’entrée en vigueur du RGPD, la CNIL cible donc à présent les pharmacies, et il faut désormais s’attendre à un renforcement des contrôles et sanctions dans ce secteur.
Notre département IT/Data accompagne les pharmacies dans leur mise en conformité et dans leur maintien des bonnes pratiques, afin de limiter leurs risques de sanction et de mauvaise publicité.
Notre auto-évaluation en ligne peut vous permettre de faire le point sur votre conformité et vos risques RGPD : http://lexpart-rgpd.eu/index.php/128932?lang=fr.
La CNIL met en demeure 22 communes de désigner un délégué à la protection des données
26 juillet 2022 | Droit des nouvelles technologies
Les caméras dites « augmentées » ou « intelligentes » sont en plein développement et suscitent de nombreuses questions sur lesquelles la CNIL est régulièrement saisie.
Après avoir organisé une consultation publique, la CNIL publiait le 19 juillet 2022 sa position sur cette technologie et le cadre juridique applicable pour fixer des lignes rouges et apporter de la sécurité juridique aux acteurs.
Si à ce stade, leur utilisation par la force publique n’est pas autorisée par la loi française, elle ne peut non plus être envisagée pour vérifier la présence de salariés à leur poste.
Boutique en ligne : quell formule utiliser sur le bouton de validation du panier ?
29 juin 2022 | Droit des nouvelles technologies
Dans un arrêt du 7 avril 2022, la Cour de Justice de l’Union Européenne rappelle les principes applicables en la matière.
Le professionnel doit veiller à ce que le consommateur, lorsqu’il passe sa commande, reconnaisse explicitement que celle-ci implique une obligation de payer.
Ainsi, à défaut de l’emploi de la formule « commande avec obligation de paiement », l’existence d’une formule analogue dépend du sens des termes utilisés qui doit être dégagé, in abstracto, de leur emploi dans le langage commun par référence au standard du consommateur moyen.
En conséquence, si cette stricte objectivité est en pratique peu réaliste, les juridictions internes peuvent être guidées par l’exigence que la formule utilisée soit nécessairement et systématiquement associée à la naissance d’une obligation de paiement.
Il est donc conseillé aux éditeurs de sites e-commerce de veiller à utiliser une terminologie suffisamment explicite, comme par exemple ; « Valider et payer », « Valider et passer au paiement », « Passer au paiement », « Finaliser la réservation », ou encore d’écrire en caractères lisibles, sous le bouton ou au-dessus de celui-ci : « cliquer vous engage à régler votre commande ».
La CNIL met en demeure 22 communes de désigner un délégué à la protection des données
14 juin 2022 | Droit des nouvelles technologies
La CNIL, dans une publication 31 mai 2022, a indiqué avoir mis en demeure 22 collectivités territoriales de désigner un DPO.
En juin 2021, la CNIL, qui avait concentré son action de contrôle sur les communes de plus de 20 000 habitants, a alerté celles qui n’avaient pas désigné de délégué à la protection des données. Près d’un an après cette mise en garde, elle a cependant constaté que certaines de ces communes n’avaient pas encore accompli cette démarche. En conséquence, la présidente de la CNIL les a mises en demeure de procéder à cette désignation.
Cette actualité est l’occasion de rappeler que toute entreptrise, toute association, toute personne morale de droit privé doit désigner un DPO :
- Lorsque les activités de base du responsable de traitement ou du sous-traitant sont des opérations de traitement qui, du fait de leur nature, impliquent un contrôle régulier et systématique des personnes concernées à grande échelle ; ou
- Lorsque les activités de base du responsable de traitement ou du sous-traitant consistent à traiter à grande échelle des données sensibles.
Relations B2B : si vous n’y renvoyez pas dans vos contrats, vos CGV n’ont aucune valeur !
13 Mai 2022 | Droit des nouvelles technologies
C’est ce que rappelle la Cour de cassation dans un arrêt de sa chambre commerciale du 16 mars 2022 (n°20-22.269).
La Cour confirme l’arrêt d’une cour d’appel qui avait jugé que les conditions générales du vendeur n’étaient pas opposables à l’acheteur aux motifs que le contrat ne renvoie pas à celles-ci et que la preuve de leur acceptation expresse n’était pas rapportée.
A noter que la Cour a jugé que l’acheteur n’a pas accepté tacitement les conditions générales « en dépit de relations d’affaires suivies, dès lors que [l’acheteur]contest [ait]les livraisons dont le règlement lui est demandé », peu importe que les CGV figurent au dos des factures.
Il s’agit d’une application des solutions dégagées par la jurisprudence et désormais reprises dans le Code civil (C. civ., art. 1119).
Peut-on prouver l’existence d’un contrat par un enregistrement téléphonique ?
13 Mai 2022 | Droit des nouvelles technologies
La CNIL, dans une publication du 25 avril 2022, répond à cette question.
L’enregistrement de conversations téléphoniques à des fins de preuve de la formation du contrat est autorisé, sous réserve d’être nécessaire. Ainsi, l’entreprise devra démontrer qu’elle ne dispose pas d’autres moyens pour prouver qu’un contrat a été conclu avec la personne concernée.
Il convient de distinguer les contrats qui peuvent être conclus à l’oral de ceux pour lesquels l’accord doit nécessairement se matérialiser par un acte écrit. Pour les contrats écrits, l’enregistrement n’est pas nécessaire afin d’établir sa conclusion, celle-ci pouvant reposer sur la production des documents imposés par la loi.
Pour les contrats pouvant être souscrits à l’oral :
- si l’enregistrement de conversations semble possible, le principe de minimisation des données doit, en tout état de cause, être respecté.
- les enregistrements ne peuvent être ni permanents ni systématiques.
- seules les conversations portant sur la conclusion d’un contrat par voie téléphonique peuvent être enregistrées.
- la conversation ne peut être enregistrée qu’à partir du moment où son objet porte clairement sur la conclusion d’un contrat.
- le client doit préalablement être informé de l’enregistrement téléphonique et de ses droits.
CNIL : 3 entreprises mises en demeure pour non-respect des règles de prospection commerciale
08 Avril 2022 | Droit des nouvelles technologies
Si certains doutaient encore des risques d’amende ou d’injonction en cas de non-respect des règles relatives à la prospection commerciale, tout doute est définitivement levé depuis hier.
Le 7 avril 2022, la CNIL a adressé à 3 entreprises des mises en demeure préliminaires à toute sanction pour avoir adopté des comportements contraires aux règles en vigueur :
- Un des 3 organismes a transmis des données personnelles à des partenaires souhaitant réaliser de la prospection commerciale sans en informer les personnes sur le support de collecte des données ;
- Les 3 organismes visés par les mises en demeure collectent puis transmettent des données personnelles à des partenaires souhaitant réaliser de la prospection commerciale par courrier électronique et SMS mais ne recueillent pas le consentement des personnes pour le faire. Cette transmission de données est donc dépourvue de base légale (article 6 du RGPD).
Cette actualité nous rappelle la nécessité pour toute entreprise de :
- S’assurer que seules les personnes ayant consenti (ou reconsenti) depuis moins de 3 ans sont dans les listes de mailings ou de campagnes SMS ;
- Vérifier quelles traces et preuves informatiques démontrent que la personne concernée a bien consenti ;
- Journaliser et démontrer sur simple demande de la CNIL la date de consentement de tout prospect à tout moment dans le système d’information.
Prestataires informatiques : de l’art de bien cadrer sa responsabilité…
01 Avril 2022 | Droit des nouvelles technologies
La lecture d’un arrêt de la Cour d’appel de Rennes du 4 janvier 2022 nous rappelle l’importance de bien déterminer contractuellement, dans tous les contrats informatiques, les responsabilités de chacun.
En l’espèce, un prestataire informatique assurait l’assistance et la maintenance d’un logiciel métier RH pour le compte d’une entreprise. Cela comprenait notamment la sauvegarde des données de cette dernière.
A l’occasion d’une migration de logiciel, le prestataire a mal migré les bases de données SQL (ce que les tests par le prestataire et le client n’avaient pas permis de déceler).
Une attaque informatique subie par le client plusieurs années pus tard a révélé ce manquement… et toutes les données étaient perdues. Le client n’a eu d’autre choix que de procéder à la réintégration de toutes les données…à la main !
Pour ne pas être sanctionné, le prestataire a objecté en justice que le dommage subi par le client résultait d’une attaque informatique dont il n’était pas responsable.
Les juges ont rejeté cette argumentation en indiquant que le client, qui n’a pas de compétence particulière experte sur le sujet, n’a pas à s’assurer de la compatibilité des données avec les logiciels utilisés pour la sauvegarde qu’il réalise chaque jour : c’est au prestataire chargé de la sauvegarde d’avertir le client en cas d’obsolescence du système de sauvegarde, qu’il l’ait décelée ou soit passé à côté du sujet…
Une fois encore, les contrats informatiques sont aujourd’hui au coeur des risques des entreprises : veillez à sécuriser leur négociation et leur rédaction !
Une nouvelle procédure simplifiée de sanction pour la CNIL
23 Février 2022 | Droit des nouvelles technologies
Depuis l’entrée en vigueur du RGPD, les sanctions de la CNIL étaient systématiquement rendues par la formation restreinet composée de 6 membres.
La loi n°2022-52 du 24 janvier 2022 instaure une procédure alternative : désormais, pour certaines affaires, la décision sera prise par un seul membre de la formation restreinte.
La procédure ne s’exerce que sous deux conditions cumulatives :
– lorsque le président de la CNIL estime que l’une des sanctions suivantes est adaptée : rappel à l’ordre, injonction de mise en conformité, le cas échéant sous astreinte (100€ par jour de retard maximum), ou amende n’excédant pas 20 000 € ;
– lorsque l’affaire ne présente pas de difficulté particulière en fait ou en droit.
Un décret d’application est attendu prochainement pour encadrer cette nouvelle procédure simplifiée.
Google Analytics « interdit » par la CNIL : que faire ?
14 Février 2022 | Droit des nouvelles technologies
Par lusieurs mises en demeure du 11 février 2022, la CNIL a enjoint plusieurs sites web français de cesser d’utiliser Google Analytics pour réaliser leur mesure d’audience web.
? Que faire 4 jours après la décision de la CNIL « d’interdire » aux sites français d’utiliser Google analytics ❓
1️⃣ Vérifiez que vous avez bien configuré Google Analytics
Cela ne rendra pas son utilisation légalement acceptable, mais moins risquée. Il convient que vous vérifiez que vous minimisez tous les traitements de données, en ne collectant que ce qui est strictement nécessaire pour vous permettre de remplir les finalités visées par ladite collecte.
2️⃣ Attendre la réaction de Google
Google a annoncé qu’elle communiquera en réaction à cette décision et à celle prise dans le même sens par son homologue autrichien. Google Analytics pèse environ 65-70% du marché de la mesure d’audience en Europe.
3️⃣ Envisager la mise en place d’une solution alternative
Les solutions alternatives existent. Seulement, les GAFAM nous ont (mal) habitués en créant des solutions à la fois gratuites et d’une simplicité d’usage à toute épreuve. La contrepartie cachée, tout le monde la connaît : c’est de renoncer à sa vie privée et à celle de ses clients, fournisseurs ou autres partenaires.
??La CNIL a listé sur son site web la liste des alternatives conformes au RGPD. Pour les découvrir, cliquez sur la croix ci-dessous !
Utilisateur d’un logiciel, puis-je le décompiler pour résoudre un bug ?
02 février 2022 | Droit des nouvelles technologies
Rappelons d’abord qu’en principe, le fait de décompiler un logiciel sur lequel on dispose d’une licence est susceptible de constituer une atteinte au droit d’auteur.
S’il faut donc absolument s’abstenir de recourir à un tel procédé, la Cour de Justice de l’UE a rendu le 06 octobre 2021 un arrêt tranchant la question de savoir si un utilisateur est en droit ou non de décompiler un logiciel pour résoudre un bug.
Selon la juridiction européenne : « l’acquéreur légitime d’un programme d’ordinateur est en droit de procéder à la décompilation de tout ou partie de celui-ci afin de corriger des erreurs affectant le fonctionnement de ce programme, y compris quand la correction consiste à désactiver une fonction qui affecte le bon fonctionnement de l’application dont fait partie ledit programme ».
Aussi faut-il se cantonner à décompiler pour corriger l’erreur et seulement dans la mesure du nécessaire, à défaut de quoi la responsabilité de celui qui décompile pourra être recherchée sur le terrain du droit d’auteur.
Interdiction de vendre un terminal connecté sans l’ouvrir aux applications tierces après 2 ans d’utilisation par le consommateur
02 février 2022 | Droit des nouvelles technologies
Depuis le 1er janvier 2022, « Toute technique, y compris logicielle, dont l’objet est de restreindre la liberté du consommateur d’installer les logiciels ou les systèmes d’exploitation de son choix sur son terminal, à l’issue du délai prévu à l’article L. 217-12, est interdite » selon l’article L.441-6 du code de la consommation.
En termes plus clairs, l’entreprise spécialisée dans la vente B2C de hardware (tablettes verrouillées par exemple) doit impérativement mettre en place un système permettant au consommateur de déverouiller l’installation et l’utilisation de toute autre application deux ans après la livraison de l’objet connecté.
Cette obligation vise à lutter pour la réduction de l’empreinte environnementale du numérique en France à l’heure où chaque français possède en moyenne 3 objets connectés.
Une première analyse de ce texte permet d’évacuer cette nouvelle obligation en cas de vente B2B, ou encore pour les business models basés sur une opération autre que la vente (ex : leasing…).
Cookies : pas à jour des nouvelles règles entrées en vigueur en mars 2021, FACEBOOK et GOOGLE condamnés à 150 et 60 millions d’euros d’amende
11 janvier 2022 | Droit des nouvelles technologies
La formation restreinte, organe de la CNIL chargée de prononcer les sanctions, a constaté, à la suite de contrôles, que les sites web facebook.com, google.fr et youtube.com proposent un bouton permettant d’accepter immédiatement les cookies. En revanche, ils ne mettent pas en place de solution équivalente (bouton ou autre) pour permettre à l’internaute de refuser facilement le dépôt de ces cookies. Plusieurs clics sont nécessaires pour refuser tous les cookies, contre un seul pour les accepter.
La formation restreinte a considéré que ce procédé porte atteinte à la liberté du consentement : dès lors que, sur internet, l’utilisateur s’attend à pouvoir rapidement consulter un site, le fait de ne pas pouvoir refuser les cookies aussi simplement qu’on peut les accepter biaise son choix en faveur du consentement. Cela constitue une violation de l’article 82 de la loi Informatique et Libertés.
Du fait de ce manquement, la formation restreinte de la CNIL a prononcé :
- deux amendes pour un total de 150 M€ contre GOOGLE (90 millions d’euros pour la société GOOGLE LLC et 60 millions d’euros pour la société GOOGLE IRELAND LIMITED) ;
- une amende de 60 M€ contre FACEBOOK IRELAND LIMITED.
En complément des amendes, la formation restreinte a enjoint aux sociétés de mettre à disposition des internautes situés en France, dans un délai de 3 mois, un moyen permettant de refuser les cookies aussi simplement que celui existant pour les accepter, afin de garantir la liberté de leur consentement. À défaut, les sociétés devront chacune payer une astreinte de 100 000 euros par jour de retard.
Il est donc temps, pour les sociétés n’ayant pas encore franchi le cap de mettre à jour leur outil de collecte et d’information sur les cookies de se pencher sur ce sujet…
Employeurs : des précisions sur ce qu’il faut transmettre au salarié qui fait valoir son droit d’accès (même en cas de naissance d’un contentieux)
11 janvier 2022 | Droit des nouvelles technologies
Il est toujours délicat pour l’employeur de savoir ce qu’il doit, peut, ne doit pas ou ne peut pas transmettre au salarié (ou ex-salarié) qui demande une copie de l’ensemble de ses données personnelles.
La CNIL, qui travaille actuellement sur un référentiel plus détaillé sur les sujets RH, apporte pour l’heure quelques premières indications sur la question spécifique suivante : faut-il transmettre une copie des courriels professionnels et/ou personnels du salarié ?
- S’agissant des mails professionnels envoyés ou reçus par le salarié, l’employeur doit envoyer une copie de ceux-ci au salarié, après s’il le souhaite les avoir anonymisés ou pseudonymisés. Exception : lorsque leur transmission est susceptible de porter atteinte aux droits de tiers comme un secret industriel. Dans ce cas, l’employeur devra indiquer au salarié pourquoi il refuse de transmettre copie des mails concernés.
- S’agissant des mails professionnels dans lesquels le salarié est uniquement mentionné, l’employeur doit trouver un équilibre entre la satisfaction du droit d’accès du salarié et le respect des droits et libertés des autres salariés, notamment le secret des correspondances. Exemple : un employeur pourra refuser de donner suite à une demande de communication de courriels portant sur une enquête disciplinaire et dont le contenu, même caviardé, pourrait permettre au demandeur l’identification de personnes dont il ne devrait pas avoir connaissance.
- S’agissant des mails personnels envoyés ou reçus par le salarié via sa boîte mail professionnelle : l’employeur ne pourra pas prendre connaissance du contenu même en vue d’occulter des informations et devra fournir au demandeur le courriel en l’état, à condition que ce dernier soit l’expéditeur ou le destinataire. Pour ce dernir cas, on voit mal comment l’employeur pourra, sans consulter le mail, en faire parvenir une copie au salarié. A suivre…
CNIL : 180 000 € d’amende pour SLIMPAY pour avoir manqué à son obligation de sécuriser les données personnelles (et ne pas avoir notifié la violation de données aux personnes concernées)
10 janvier 2022 | Droit des nouvelles technologies
Crée en 2013, la société SLIMPAY est un établissement de paiement agréé qui propose notamment des solutions de paiements récurrents à ses clients. Courant 2015, elle a effectué un projet de recherche interne, lors duquel elle a utilisé les données personnelles contenues dans ses bases de données. Lorsque le projet de recherche s’est terminé en juillet 2016, les données sont restées stockées sur un serveur, qui ne faisait pas l’objet d’une procédure de sécurité particulière et qui était librement accessible depuis Internet. Ce n’est qu’en février 2020 que la société SLIMPAY s’est aperçue de la violation de données, qui a concerné environ 12 millions de personnes.
La CNIL a effectué un contrôle auprès de la société SLIMPAY en 2020. Elle a constaté plusieurs manquements concernant le traitement de données personnelles des clients :
- Un manquement à l’obligation d’encadrer par un acte juridique formalisé, les traitements effectuées par un sous-traitant de données ;
- Un manquement à l’obligation d’assurer la sécurité des données personnelles ;
- Un manquement à l’obligation d’informer les personnes concernées d’une violation de leurs données personnelles.
La violation de données passée sous silence concernait tout de même 12 millions de personnes, et concernait : des données d’état civil (civilité, nom, prénom), les adresses postales et électroniques, les numéros de téléphone et des informations bancaires (BIC/IBAN)
À l’issue de ce processus, la formation restreinte a prononcé une amende de 180 000 euros et a décidé de rendre publique sa décision.
CNIL : 300 000 € d’amende pour FREE pour avoir omis de répondre aux demandes de clients (droit d’accès et d’opposition), et pour avoir insuffisamment sécurisé certaines données (dont les mots de passe des clients)
10 janvier 2022 | Droit des nouvelles technologies
Agissant sur la base de plaintes dde clients de FREE indiquant rencontrer des difficultés dans l’exercice de leurs demandes d’accès et d’opposition à recevoir des messages de prospection commerciale, la CNIL a diligenté un contrôle sur place et constaté divers manquements sans se cantonner au seul sujet des plaintes :
- un manquement à l’obligation de respecter le droit d’accès des personnes aux données les concernant (art. 12 et 15 du RGPD), puisque la société n’a pas donné suite aux demandes formulées par les plaignants dans les délais ;
- un manquement à l’obligation de respecter le droit d’opposition des personnes concernées (art. 12 et 21 du RGPD), puisque la société n’a pas pris en compte les demandes des plaignants visant à ce que plus aucun message de prospection commerciale ne leur soit adressé ;
- un manquement à l’obligation de protéger les données dès la conception (art. 25 du RGPD), puisque la société a continué d’envoyer à des plaignants des factures concernant des lignes téléphoniques dont l’abonnement avait pourtant été résilié ;
- un manquement à l’obligation d’assurer la sécurité des données personnelles (art. 32 du RGPD), puisque la société transmettait par courriel, en clair, les mots de passe des utilisateurs lors de leur souscription à une offre auprès de la société FREE MOBILE, sans que ces mots de passe soient temporaires et que la société impose d’en changer.
En conséquence, la formation restreinte – organe de la CNIL chargé des sanctions – a prononcé à l’encontre de la société FREE MOBILE une amende de 300 000 euros.
Logiciels et applis mobiles : obligations renforcées pour les éditeurs et vendeurs au 1er janvier 2022
07 Décembre 2021 | Droit des nouvelles technologies
A compter du 1er janvier 2022, la garantie légale de conformité sera étendue aux contenus et services numériques comme, par exemple, les applications mobiles.
Ainsi, le consommateur pourra demander, pendant 2 ans à compter de la délivrance du contenu numérique (ou 1 an pour les biens d’occasion), sa réparation ou son remplacement. Le vendeur aura 30 jours pour effectuer le remplacement ou la réparation (au choix du consommateur et sans frais pour ce dernier).
L’ordonnance du 29 septembre 2021 instaure d’autres nouveautés :
- une obligation de fourniture des mises à jour logicielles nécessaires au maintien de la conformité du bien (smartphone, objet connecté …) ;
- la possibilité pour le consommateur de refuser des modifications ultérieures des éléments numériques, par exemple les améliorations logicielles allant au-delà de ce qui est prévu au contrat et de ce qui est nécessaire pour assurer la conformité du bien (sécurité, maintenance…). Le consommateur pourra ainsi refuser une modification pour ne pas accroître son empreinte carbone ;
- la récupération des contenus utilisés en cas de résolution du contrat ;
- enfin, le vendeur devra informer le consommateur sur la durée pendant laquelle le fabricant s’engage à fournir des mises à jour.
Possibilité de résilier un contrat de création de site web en cas de non-transfert du nom de domaine
07 Décembre 2021 | Droit des nouvelles technologies
Une société A sollicite d’une société B qu’elle lui crée un nouveau site web, tout en demandant le transfert de l’ancien nom de domaine afin de conserver le référencement du site.
Le procès-verbal de livraison conforme est signé par le client (société A), sans que le transfert du nom de domaine précédent vers le nom de domaine actuel n’ait été opéré. C’est sur la signature du procès-verbal de conformité que la société B va se baser pour tenter de faire barrage aux demandes de la société A qui revendique un manquement de son prestataire à ses obligations contractuelles.
Ce n’est pas ce que retient la cour d’appel de Paris (CA Paris, pôle 5, ch. 10, 3 mai 2021, n° 19/16132) qui fait droit à la demande de résiliation du contrat pour manquement aux obligations de la société B. En effet, la cour retient que la société A était un client qui ne disposait d’aucune connaissance en la matière et qu’à ce titre : « il incombait à la société B d’informer clairement et loyalement son client profane, au moment de la formation du contrat, sur les difficultés de transfert du nom du domaine, qui dépendait de la bonne volonté de l’ancien prestataire ».
Par conséquent, la société A est en droit de demander la résiliation du contrat de création de site web pour faute, même postérieurement à la signature du procès-verbal de livraison conforme…
Vigilance, donc, à la signature d’un contrat de création de site web impliquant un transfert de nom de domaine !
Tenir un fichier de décompte des jours de grève du personnel, est-ce interdit ?
12 Novembre 2021 | Droit des nouvelles technologies
C’est en tout cas ce que l’on serait tenté de penser en lisant la décision de la CNIL du 29 octobre 2021, sanctionnant la RATP d’une amende de 400 000 € pour ne pas avoir empêché certains membres de son personnel de mettre en place un tel traitement.
La CNIL relève qu’un tel fichier constitue un manquement relatif à l’obligation de veiller à l’adéquation, à la pertinence et au caractère non excessif des données à caractère personnel traitées en application des articles 5.1.c et 5.2 du RGPD.
Peu importe qu’il s’agisse d’une initiative de certains employés, ajoute la CNIL, de tels faits auraient dû être empêchés par la mise en place d’une formation suffisante du personnel par l’employeur.
Plus sévère peut-être : peu importe également qu’une telle pratique ait été commise en méconnaissance des règles internes de l’entreprise, précise la décision de sanction.
Pour évaluer le montant de l’amende, la CNIL indique avoir tenu compte de :
- la nature, la gravité et la durée de la violation,
- les mesures prises par le responsable du traitement pour atténuer le dommage subi par les personnes concernées,
- le degré de coopération avec l’autorité de contrôle
- et les catégories de données à caractère personnel concernées par la violation.
Authentification multifacteur et mots de passe : mise à jour des recommandations de l’ANSSI
11 Novembre 2021 | Droit des nouvelles technologies
DSI, à vos claviers ! L’ANSSI a publié le 8 octobre 2021 ses recommandations mises à jour au sujet de l’authentification multifacteur et des mots de passe.
Ce guide traite de l’authentification pour tout type d’accès, c’est-à-dire du déverrouillage d’un terminal (poste Windows, Linux, etc.), de l’accès à des comptes à privilèges (par des administrateurs par exemple), de l’accès à des applications web (privées ou publiques), etc.
Ce guide a notamment pour objectif de constituer un support technique pour accompagner une analyse de risque sur l’authentification.
Il se focalise uniquement sur le cas de l’authentification de personnes vis-à-vis de machines.
Les principales recommandations qui sont mises en avant dans ce guide sont :
- Mener une analyse de risque lors de la mise en place de moyens d’authentification.
- Privilégier l’utilisation de l’authentification multifacteur.
- Privilégier l’utilisation de l’authentification reposant sur un facteur de possession.
- Adapter la robustesse d’un mot de passe à son contexte d’utilisation.
- Utiliser un coffre-fort de mots de passe.
Disponibilité et réactivité
Proximité et prestations sur mesure
Rigueur et pragmatisme
Secret professionnel
Clarté des honoraires