02
septembre
2022
Prospection commerciale et protection des données : la CNIL condamne ACCOR à une amende de 600 000 euros
Author:
admingih092115
Dans une délibération datée du 3 août 2022, la formation restreinte de la CNIL a prononcé la condamnation de la société ACCOR SA à une amende de 600.000 euros et à la publicité de la décision sur le site de la CNIL et de Légifrance pour non-conformité dans le cadre de la prospection.
Le combo interdit : case consentement pré-cochée par défaut, offres commerciales de partenaires, impossibilité d’exercer le droit d’opposition.
La société ACCOR est un groupe hôtelier qui réalise des traitements de données transfrontaliers.
On lui reproche son traitement des données de prospection, en effet, lorsqu’une personne procédait à une réservation auprès du personnel d’un hôtel ou via le site d’une des marques du groupe ACCOR, la case relative au consentement à recevoir la newsletter était pré-cochée par défaut et elle recevait automatiquement une newsletter comportant des offres commerciales de partenaires.
On lui reproche aussi des anomalies techniques, qui se sont reproduites pendant plusieurs semaines, qui ont empêché un nombre significatif de personnes de s’opposer efficacement à la réception des messages de prospection.
Comme souvent ce sont des plaintes de consommateurs mécontents qui sont à l’origine du contrôle de la CNIL.
La CNIL a reçu des plaintes, s’est posée chef de file et a collecté les plaintes reçues par les autorités de contrôle qui se sont manifestées dans le cadre de la procédure prévue à cet effet par le RGPD.
La CNIL a ensuite commencé le contrôle de la société ACCOR en février 2019 par des échanges de courriers, puis par un contrôle sur place, suivi d’un rapport détaillant les manquements à corriger.
Les manquements retenus sont relatifs aux règles de consentement, information, et exercice des droits dans le cadre de la prospection
La CNIL a retenu à l’encontre de la société ACCOR les manquements aux obligations suivantes :
l’obligation de recueillir le consentement de la personne concernée pour traiter ses données à des fins de prospection commerciale (article L. 34-5 du Code des postes et des communications électroniques).
l’obligation d’informer les personnes (art. 12 et 13 du RGPD) : la société ne fournissait pas aux personnes concernées, de manière accessible, les informations nécessaires lors de la création d’un compte client ou lors de l’adhésion au programme de fidélité du groupe ACCOR. La société ne mentionnait pas non plus le consentement comme base légale du traitement, pour la prospection tendant à promouvoir les produits ou services de tiers.
l’obligation de respecter le droit d’accès des personnes aux données les concernant (art. 12 et 15 du RGPD), puisque la société n’a pas donné suite aux demandes formulées par une plaignante dans les délais.
l’obligation de respecter le droit d’opposition des personnes concernées (art. 12 et 21 du RGPD), la société n’ayant pas pris en compte les demandes des plaignants visant à ce que plus aucun message de prospection commerciale ne leur soit adressé, en raison de dysfonctionnements.
l’obligation d’assurer la sécurité des données personnelles (art. 32 du RGPD), car la société permettait l’utilisation des mots de passe insuffisamment robustes. La CNIL reproche également à la société d’avoir invité une personne à transmettre sa pièce d’identité par courriel, sans que les données en cause ne soient chiffrées.
Comment éviter cela ?
=> Appliquer 2 règles en matière de prospection commerciale et attention à la portée de l’exception à la règle1.
1. Information préalable des personnes concernées
Mention d’information sur le traitement et sur les droits de la personne
Moyen simple de s’opposer (lien de désinscription – contact)
2. Consentement préalable des personnes concernées
Consentement libre, spécifique, éclairé et univoque
Interdiction des cases pré-cochées par défaut : il faut une action positive de la part de la personne concernée
case à cocher (décochée)
Exception si la situation remplit 2 conditions cumulatives :
La personne prospectée est déjà cliente* de la société
+
La prospection concerne des produits/services similaires fournis par la même entreprise
* Attention, cette exception s’applique uniquement si une vente ou prestation de service a été effectuée. Ainsi la création d’un compte ne s’entend pas comme une vente ou une prestation de service.
=> Mettre en œuvre une procédure d’exercice de droit bien comprise et applicable dans l’organisation
2 choses à savoir :
Les consommateurs sont sur-sollicités et agacés par la prospection et l’utilisation de leurs données
La plupart des contrôles de la CNIL sont suscités par des plaintes de personnes.
Partant de là, on ne dira jamais assez l’importance de permettre aux personnes d’exercer leurs droits d’une manière rapide et claire, ce qui leur permet d’être entendues et respectées et de désamorcer immédiatement un éventuel conflit.
Cela suppose d’avoir mis en place en interne une procédure de réponse aux demandes des personnes concernées qui soit claire, bien comprise et appliquée.
Donc… sensibilisez vos équipes!
La team TAoMA Data protection
Consultez-nous pour vous mettre en conformité ou pour organiser des ateliers de formation ou sensibilisation
Pour lire la décision de la CNIL c’est par ici.
10
février
2022
Biens, services et contenus numériques : satisfaits ou remboursés ?
Author:
teamtaomanews
Bonne nouvelle pour les geeks ! L’Ordonnance n°2021-1247 du 29 septembre 2021, entrée en vigueur le 1er janvier 2022, étend le domaine de la garantie légale de conformité aux biens contenant des éléments numériques ainsi qu’aux services et contenus numériques.
En parallèle, le vendeur professionnel serre les dents : cette extension s’accompagne d’un renforcement de ses obligations à l’égard du consommateur, notamment son obligation précontractuelle d’information.
À quoi s’applique cette garantie ?
Jusqu’alors, seuls les biens physiques et les contrats de vente bénéficiaient de la garantie légale de conformité. Désormais, sont susceptibles d’en bénéficier les contrats conclus entre un vendeur professionnel et un consommateur ayant pour objet la fourniture :
d’un bien comportant des éléments numériques comme un objet connecté telle qu’une montre intelligente.
d’un service numérique comme une application de réseau social ou une plateforme VOD.
d’un contenu numérique comme le téléchargement d’un fichier vidéo, d’un enregistrement audio ou un jeu numérique.
Comment appliquer la notion de conformité au e-commerce B2C ?
La garantie légale de conformité permet de s’assurer que le vendeur professionnel délivre un bien conforme au contrat ainsi qu’à l’usage qui en est attendu par le consommateur.
Le Code de la consommation liste les principaux critères de la conformité au contrat en matière de biens, services et contenus numériques[1] lesquels doivent notamment :
correspondre avec la description, au type, à la quantité et à la qualité notamment en ce qui concerne la fonctionnalité, la compatibilité, l’interopérabilité ou toute autre caractéristique prévue au contrat.
être propres à tout usage spécial recherché par le consommateur.
être délivrés avec tous les accessoires et les instructions d’installation.
être mis à jour conformément au contrat.
Attention aux données personnelles ! Professionnels responsables de traitement, soyez vigilants. Tout manquement dans le traitement des données personnelles peut être considéré comme un défaut de conformité du bien, du contenu ou du service fourni s’il entraîne le non-respect d’un ou de plusieurs critères de conformité[2].
Quelles sont les conséquences du défaut de conformité ?
En cas de non-conformité, le consommateur a le choix de la sentence à l’égard du professionnel :
Il peut faire procéder à une exécution forcée en nature et a le droit à la mise en conformité du bien par réparation ou remplacement ou, à défaut, à la réduction du prix ou à la résolution du contrat.
ou se prévaloir d’une exception d’inexécution c’est-à-dire qu’il a le droit de suspendre le paiement de tout ou partie du prix ou la remise de l’avantage prévu au contrat jusqu’à ce que le vendeur ait satisfait aux obligations qui lui incombe.
Quelle est la durée de la garantie légale de conformité ?
Les délais de la garantie légale de conformité étendue sont différents selon que le défaut de conformité affecte :
un bien comportant des éléments numériques pour lequel le délai de garantie est de 2 ans suivant l’achat, la réparation ou le remplacement du produit.
un contenu ou un service numérique pour lequel la durée de la garantie est de 2 ans pour une fourniture unique de contenus numériques, de la durée de l’abonnement pour les services continus.
Attention à la preuve ! Il existe un régime de présomption de défaut de conformité au bénéfice du consommateur. Pour l’objet connecté, les défauts de conformité qui apparaissent dans le délai de 2 ans sont présumés exister au moment de la délivrance du bien sauf incompatibilité avec la nature du bien. Pour les contenus ou services numériques cette présomption est fixée à 1 an.
Un renforcement des obligations du vendeur professionnel
Une obligation de motiver le refus
Le professionnel n’est pas dans l’obligation de se plier à la volonté du consommateur insatisfait, si la modalité choisie par ce dernier est impossible à réaliser ou qu’elle entraîne des coûts disproportionnés[3].
Mais alors le vendeur professionnel devra être en mesure de justifier les raisons de son refus par écrit, sur un support durable adressé au consommateur.
Une obligation précontractuelle d’information renforcée
Outre cette obligation de motivation, l’extension du régime de conformité légale renforce l’obligation précontractuelle d’information qui pèse sur tout professionnel.
Ainsi, lorsque le bien comporte un contenu ou un service numérique, le vendeur est tenu d’informer le consommateur de la disponibilité des mises à jour de sécurité nécessaires au maintien de la conformité du bien, du service ou contenu numérique et des conséquences liées à la non-installation.
Décharge de responsabilité en cas de défaut d’installation des mises à jour
En revanche, le professionnel ne sera pas responsable des défauts résultant de l’absence d’installation de mises à jour par le consommateur, à condition toutefois que ce dernier ait été dûment informé de leur disponibilité et des conséquences liées à la non-installation.
Le vendeur professionnel de biens, contenus ou services numériques doit donc rédiger ses Conditions Générales de Vente (CGV) avec précision et penser à y inclure une information sur la garantie légale de conformité, sa mise en œuvre et son contenu.
TAoMA Partners demeure à votre disposition pour vous accompagner dans la conformité de vos sites e-commerce et dans la rédaction et l’actualisation de vos Conditions Générales de Vente.
Ludovic de Carné
Avocat à la Cour
Delphine Monfront
Élève-Avocate
Abonnez-vous à la newsletter de TAoMA !
Cet article ne remplace pas une consultation auprès d’un CPI ou d’un avocat, indispensable à la bonne évaluation de vos besoins.
[1] Article L. 217-4 du Code de la consommation Ces critères de conformité au contrat sont complétés par une série de critères énumérés à l’article L. 217-5 du Code de la consommation : il est (i) propre à l’usage habituellement attendu d’un bien de même type, (ii) possède les qualités que le vendeur a présentées au consommateur sous forme d’échantillons ou de modèles, (iii) les éléments numériques qu’il comporte sont fournis selon la version la plus récente au moment de la conclusion du contrat, (iv) délivré avec tous les accessoires, (vi) fourni avec les mises à jour que le consommateur peut légitimement attendre, (vii) correspond à la quantité, à la qualité et aux autres caractéristiques que le consommateur peut légitimement attendre le pour des biens de même type.
[2] Article L. 217-6 du Code de la consommation.
[3] Article L. 217-12 du Code de la consommation.
20
mai
2021
GendNotes : halte aux transferts de données vers d’autres fichiers via le carnet virtuel de la gendarmerie !
Author:
teamtaomanews
Par décision du 13 avril 2021, le Conseil d’Etat annule partiellement le décret autorisant la mise en œuvre de l’application de collecte de données destinée à la gendarmerie dénommée GendNotes, en supprimant la possibilité de transferts des données recueillies dans le cadre de l’application vers d’autres fichiers.
Une application avec une zone de commentaires libres sujette à critiques
Afin de faciliter le travail des gendarmes sur le terrain et notamment le recueil et la conservation de données collectées lors de leurs interventions, le décret n°2020-151 du 20 février 2020 est venu implémenter chez la gendarmerie nationale une application dénommée GendNotes, permettant la prise de note dématérialisée.
Les données susceptibles d’être collectées via cette application concernent notamment l’identité des personnes et les données de procédure destinées à l’autorité judiciaire.
A priori, la collecte de ces données reste somme toute relativement classique : elle se borne aux nécessités de la procédure et ne paraît pas heurter de manière démesurée les droits et libertés de l’individu. Ce n’est donc pas sur ce point que la polémique autour de GendNotes a émergé, mais sur une partie du décret bien spécifique : la « zone de commentaires libres ».
Cette zone permet notamment aux gendarmes de renseigner des données relatives à la santé de la personne, à son origine raciale ou ethnique, à ses opinions politiques, philosophiques ou religieuses, à son appartenance syndicale ou encore à sa vie et son orientation sexuelle, soit des données particulièrement sensibles.
Un outil facilitant la transmission de comptes rendus aux autorités judiciaires et encadré par décret
Alors que ces cinquante dernières années ont été émaillées de controverses sur la question du fichage de la population – on se souvient par exemple des oppositions déclenchées par le projet SAFARI en 1974 ou encore par le fichier Edvige en 2008 – Gendnotes s’est également heurté à l’action de nombreuses associations voyant dans cette application un outil de « fichage politique ».
Le décret prévoyait pourtant un encadrement de la collecte des données, en précisant que « ne peuvent être enregistrées dans les zones de commentaires libres que les données et informations strictement nécessaires,adéquates et non excessives au regard des finalités poursuivies ».
A savoir :
La facilitation du recueil et de la conservation, en vue de leur exploitation dans d’autres traitements de données, notamment par le biais d’un système de pré-renseignement, des informations collectéespar les militaires de la gendarmerie nationale à l’occasion d’actions de prévention, d’investigations ou d’interventions nécessaires à l’exercice des missions de polices judiciaire et administrative.
La facilitation de la transmission de comptes rendus aux autorités judiciaires.
Le décret pose, par ailleurs, une protection supplémentaire en ne permettant la collecte des données personnelles visées par la loi de 1978 qu’en cas de « nécessité absolue » et « dans les limites des nécessités de la mission au titre de laquelle elles sont collectées ».
Enfin, la protection des données personnelles est renforcée par l’impossibilité de sélectionner une catégorie particulière de personnes à partir des informations tirées de la zone de commentaires libres. Impossible donc d’effectuer une recherche sur des critères de religion ou d’orientation sexuelle.
Des risques liés au transfert de données et à la durée de conservation pointés par plusieurs associations de défense des droits et libertés et la CNIL
Le cadre posé par le décret ne parvenait cependant pas à convaincre les représentants d’associations de défense des droits et libertés parmi lesquelles figurent, entre autres, la ligue des droits de l’homme, le syndicat de la magistrature, le conseil national de barreaux ou encore la quadrature du net, qui continuaient de pointer du doigt les dangers liés à GendNotes. Leurs principales critiques portaient sur le risque de transfert des données vers d’autres fichiers non énumérés par le décret et sur la question du délai maximal de conservation des données dans ces autres fichiers. En effet, si le décret prévoyait un temps de conservation sur GendNotes de 3 mois (porté jusqu’à un an maximum), rien n’était dit du délai de conservation sur les autres fichiers.
La question de l’alimentation par GendNotes d’autres fichiers avait déjà retenu l’attention de la CNIL (Commission Nationale de l’Informatique et des Libertés) dans son avis du 3 octobre 2019, alors qu’elle se prononçait sur le décret instituant GendNotes, encore à l’état de projet.
Elle avait considéré que les traitements pouvant être mis en relation ou faisant l’objet d’interconnexions avec GendNotes devraient être mentionnés explicitement par le décret.
Son avis, simplement consultatif, n’avait pas été suivi sur ce point par le gouvernement.
L’annulation par le Conseil d’Etat de la possibilité de transfert des données recueillies sur GendNotes vers d’autres fichiers
Dans une décision du 13 avril 2021, le Conseil d’Etat se prononce sur la légalité du décret à l’origine de GendNotes.
Il conclut à la conformité générale du texte à la loi informatique et libertés du 6 janvier 1978 (transposant au sein de son titre III la directive européenne 2016/680 du 27 avril 2016), mais annule toutefois la possibilité de diffusion des données collectées vers d’autres fichiers.
Le Conseil d’Etat juge que le décret n’indique pas avec suffisamment de précision les fichiers concernés par ces transferts, pas plus que le procédé selon lequel les données y seraient traitées, ainsi que l’objectif visé par ces fichiers dans le traitement des données.
La finalité du transfert n’étant pas « déterminée, explicite et légitime » selon les exigences de la loi informatique et libertés, le Conseil d’Etat supprime toute possibilité de transfert de données à partir de GendNotes.
Les autres dispositions du décret sont validées, notamment celles relatives à l’étendue des données collectées, à leur durée de conservation, aux personnes y ayant accès. De même le droit d’opposition limité des personnes dont les données sont entrées sur l’application, la collecte des données de personnes mineures ou encore la question de la sécurisation générale des données ne soulèvent pas de difficultés aux yeux du juge administratif.
Anne-Cécile Pasquet
Auditrice de justice
Anne Laporte
Avocate à la Cour
Abonnez-vous à la newsletter de TAoMA !
04
mars
2021
Éditeurs de sites => Mars 2021 : priorité cookies !
Author:
teamtaomanews
En octobre 2020, la Commission nationale de l’Informatique et des Libertés (CNIL) a publié de nouvelles lignes directrices ainsi qu’une recommandation concernant les obligations des entités déposant ou lisant des cookies sur les terminaux des internautes. Consciente des importants changements engendrés, elle a prévu une période d’adaptation de 6 mois pour permettre aux acteurs concernés de se mettre en conformité.
Cette période transitoire s’achèvera donc le 31 mars 2021, date à laquelle tous les sites devront être en conformité avec les nouvelles règles, sachant que la CNIL a déjà annoncé que leur respect ferait partie (avec la cybersécurité et la sécurité des données de santé) de ses thématiques prioritaires de contrôle pour l’année !
Concrètement, qu’est-ce que cela implique ?
La CNIL vérifiera, dès le mois d’avril, par le biais de contrôles qui pourront être réalisés en ligne, si les nouvelles règles concernant l’utilisation des cookies, y compris les nouvelles modalités de recueil du consentement, sont bien appliquées.
Quels sont les grands principes posés par la CNIL concernant les cookies ?
=> Une information claire et complète doit être fournie aux internautes concernant l’identité du ou des responsables de traitement des opérations de lecture ou écriture, les finalités des traceurs et les conséquences de leur refus ou acceptation ;
=> À part quelques exceptions (cookies destinés à garder en mémoire un panier d’achat, cookies permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu, etc.) le dépôt et la lecture de cookies sont soumis au consentement des internautes ;
=> Le consentement doit être recueilli par un acte clair comme une case à cocher sur une bannière (la poursuite de la navigation sur un site web ou le paramétrage du navigateur web ne valent pas, à ce jour, consentement) ;
=> Le consentement doit être aussi simple à retirer qu’à accorder ;
=> Les sites Internet utilisant des traceurs doivent être en mesure de fournir la preuve du recueillement du consentement à tout moment.
Avis aux retardataires : il n’est pas trop tard pour mettre en œuvre ces mesures d’ici la fin du mois !
Thibault FELIX
Stagiaire Pôle Avocat
Anita DELAAGE
Avocate à la Cour
Lire les communiqués de la CNIL :
https://www.cnil.fr/fr/cookies-la-cnil-incite-les-organismes-prives-et-publics-auditer-leurs-sites-web-et-applications
https://www.cnil.fr/fr/cybersecurite-donnees-de-sante-cookies-les-thematiques-prioritaires-de-controle-en-2021
15
février
2021
Le Brexit, quel impact sur les transferts de données par les entreprises françaises ?
Author:
teamtaomanews
Alors que le Royaume-Uni est définitivement sorti de l’Union européenne le 1er janvier 2021, les entreprises françaises ayant pour activité le transfert de données vers d’autres États, font face à certaines incertitudes, voire inquiétudes.
Dans la pratique pourtant, et contrairement à d’autres secteurs tels que le milieu commercial, le Brexit n’aura probablement pas d’impact considérable sur les transferts de données personnelles par nos entreprises françaises.
En effet, dans la majorité des cas, la législation applicable demeurera inchangée :
Il en ira ainsi notamment dans le cas où les entreprises françaises transféreront des données personnelles depuis la France vers d’autres États membres. Ces transferts demeureront soumis au principe de la liberté de circulation. De même, tout transfert de données personnelles depuis la France vers des pays tiers, restera interdit en application des articles 44 [1] et suivants du RGPD, sauf décision d’adéquation de la Commission ou encadrement.
Dans les deux cas précités, le Brexit n’impactera pas les transferts de données de nos entreprises françaises.
Il en ira probablement également ainsi dans le cas d’une entreprise française établie en France et traitant des données de ressortissants britanniques dans le cadre de ses activités. En effet, l’article 3 du RGPD [2] dispose que le texte a vocation à s’appliquer aux traitements de données personnelles effectuées dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union, de sorte qu’une fois ces conditions établies, le Brexit ne devrait pas avoir d’impact.
La vraie question se pose concernant les entreprises françaises transférant des données à caractère personnel vers le Royaume-Uni.
Depuis le 1er janvier et jusqu’au 1er juillet 2021, le Royaume-Uni est entré dans une période dite « transitoire ». En effet, dans le cadre de l’accord de commerce et de coopération conclu le 24 décembre 2020, le Royaume-Uni et l’Union européenne sont convenus que le RGPD resterait applicable de manière transitoire pour une durée supplémentaire maximale de 6 mois. Ainsi, toute communication de données faite par une société française vers le Royaume-Uni continue de se faire dans le cadre actuel et ne doit pas être pas considérée comme un transfert de données vers un pays tiers.
Jusqu’au 1er juillet 2021 au plus tard, date butoir, le Brexit n’impacte pas les transferts de données vers le Royaume-Uni par les entreprises françaises, celles-ci devant continuer à appliquer la législation antérieure.
A compter du 1er juillet 2021, soit à la fin de la période transitoire, le Royaume-Uni devrait en principe être considéré comme un État tiers. Les entreprises françaises souhaitant continuer d’y exporter des données personnelles devront se plier à la réglementation en vigueur en matière de données personnelles vers un État tiers.
Cependant, il ne s’agit là que d’un principe, puisqu’en pratique, la Commission européenne rendra très probablement une « décision d’adéquation » en vertu de laquelle elle devrait estimer que le Royaume-Uni présente un niveau de protection suffisant justifiant la poursuite des transferts. Le Royaume-Uni assurant jusque lors, un niveau de protection des données très élevé et proche de celui de l’Union européenne, il serait surprenant qu’il ne soit pas statué en ce sens ; d’autant plus que d’autres États bénéficient d’ores-et-déjà de cette position privilégiée, tels que l’Argentine, l’Uruguay et la Suisse.
Cette décision permettrait d’assurer la continuité des transferts des données entre les entreprises françaises et les entreprises britanniques, par le biais de standards relativement proches de ceux préalablement établis par le RGPD.
Enfin, dans le cas surprenant où la Commission refuserait d’admettre ce nouveau statut au Royaume-Uni, un accord pourrait être conclu avec l’Union européenne, répliquant les dispositions du RGPD, de sorte à ce que la protection soit identique à celle prévue par le texte.
Ainsi, plus de quatre ans après le vote du Brexit, l’horizon commence à se dessiner en matière de transferts de données.
Si les frontières physiques ont été rétablies entre le Royaume-Uni et l’Union européenne, les conséquences n’en sont que relatives sur la majorité des transferts de données auxquels procèdent les entreprises françaises.
Espérons que le « divorce » entre les deux territoires soit rendu définitif par la décision d’adéquation de la Commission européenne, assurant ainsi la pérennité et sécurité des transferts à venir.
Mathilde Geneste
Elève-avocate
Anne Messas
Associée et Avocat à la Cour
[1] Article 44 – Principe général applicable aux transferts
« Un transfert, vers un pays tiers ou à une organisation internationale, de données à caractère personnel qui font ou sont destinées à faire l’objet d’un traitement après ce transfert ne peut avoir lieu que si, sous réserve des autres dispositions du présent règlement, les conditions définies dans le présent chapitre sont respectées par le responsable du traitement et le sous-traitant, y compris pour les transferts ultérieurs de données à caractère personnel au départ du pays tiers ou de l’organisation internationale vers un autre pays tiers ou à une autre organisation internationale. Toutes les dispositions du présent chapitre sont appliquées de manière à ce que le niveau de protection des personnes physiques garanti par le présent règlement ne soit pas compromis. »
[2] Article 3 – Champ d’application territorial
« Le présent règlement s’applique au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union.
Le présent règlement s’applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées :
a) à l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes; ou
b) au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union.
Le présent règlement s’applique au traitement de données à caractère personnel par un responsable du traitement qui n’est pas établi dans l’Union mais dans un lieu où le droit d’un État membre s’applique en vertu du droit international public.»
03
juillet
2020
« Cookiegate » : après la décision du Conseil d’État, où en sommes-nous ?
Author:
teamtaomanews
Edit : La CNIL a, suite à cette décision, modifié ses lignes directrices, précisant que la licéité des « cookie walls » doit s’apprécier au cas par cas et qu’en tout état de cause, l’information fournie à l’utilisateur devra clairement lui indiquer les conséquences de ses choix et notamment l’impossibilité d’accéder au contenu ou au service en l’absence de consentement
Cookies – « Cookie walls » – « Cookiegate » : De quoi parle-t-on ?
Il s’agit des cookies que la plupart d’entre nous acceptons mécaniquement parce que le bandeau barre la vue du site Internet. Ils sont destinés à suivre la navigation de l’internaute et à lui faciliter la visite mais, surtout, ils permettent aux éditeurs de proposer des publicités ciblées.
Le dépôt de cookies est un traitement de données personnelles pour lequel les éditeurs de sites doivent recueillir un consentement de l’internaute, clair, informé, spécifique et… libre.
Les éditeurs, en particulier de sites gratuits, considèrent les cookies comme indispensables à leur modèle économique, alors que l’association La Quadrature du Net les dénonce comme étant de la « surveillance publicitaire ».
L’expression « cookie walls » désigne le fait, pour un site internet ou une application mobile, de refuser d’afficher son contenu quand l’internaute n’accepte pas le dépôt de cookies.
C’est cette pratique que la CNIL a condamnée dans ses lignes directrices de juillet 2019 (ici) en se fondant sur l’avis du CEPD (Comité européen de la Protection des Données). L’idée est que si la conséquence du refus de cookies par l’internaute est le refus d’accès au contenu du site, le consentement donné manque singulièrement de liberté.
Enfin, le « Cookiegate », c’est la fronde que les éditeurs de sites Internet et professionnels des médias, de la publicité et du commerce en ligne, opposent à l’interdiction des cookie walls, au point d’avoir saisi le Conseil d’État aux fins d’annulation des lignes directrices de la CNIL.
Que dit le Conseil d’État dans sa décision du 19 juin 2020 ?
Il confirme l’essentiel des lignes directrices de la CNIL sur les points relatifs aux cookies et autres traceurs de connexion, mais il invalide spécifiquement la disposition prohibant de façon générale et absolue la pratique des « cookie walls ».
Cookies et traceurs : confirmation de la position de la CNIL
Dans les lignes directrices adoptées le 4 juillet 2019 – relatives à l’article 82 de la Loi « Informatiques et Libertés » qui transpose en droit français la directive 2002/58/CE « vie privée et communications électroniques » (dite « ePrivacy ») – la CNIL est venue renforcer les exigences en matière de validité du consentement et a formulé des recommandations qui sont confirmées par le Conseil d’État.
1/ Renforcement de l’exigence du consentement : acte positif, spécifique et indépendant pour chaque finalité
La simple poursuite de la navigation sur un site Internet ne peut plus être regardée comme une expression valide du consentement au dépôt de cookies. Il est nécessaire de mettre en place une action positive de l’internaute pour qu’il exprime son consentement.
Le consentement de l’utilisateur doit être précédé d’une information spécifique pour chacune des finalités poursuivies par le traitement de données. Cette information claire, complète et préalable, doit inclure notamment, l’identité du ou des responsables de traitement, ainsi que de la liste des destinataires ou des catégories de destinataires de ces données.
En ce sens, une liste exhaustive et régulièrement mise à jour des entités ayant recours à des traceurs, doit être mise à disposition de l’utilisateur directement lors du recueil de son consentement.
Dans cette lignée, le Conseil d’État, par une seconde décision du 19 juin 2020, rejette le recours dirigé contre la sanction de 50 millions d’euros infligée à Google par la CNIL (Conseil d’État, 19 juin 2020, Sanction infligée à Google par la CNIL). Le Conseil estime que le géant n’a pas délivré une information suffisamment claire et transparente aux utilisateurs du système d’exploitation Android et ne les a pas mis à même de donner un consentement libre et éclairé au traitement de leurs données personnelles aux fins de personnalisation des annonces publicitaires. Il juge par ailleurs que la sanction de 50 millions d’euros n’est pas disproportionnée.
2/ Preuve et retrait du consentement, durée des cookies
Le responsable de traitement doit être en mesure, à tout moment, de fournir la preuve du recueil valable du consentement de l’utilisateur.
Les utilisateurs doivent pouvoir aussi facilement refuser ou retirer leur consentement que le donner.
Les cookies et autres traceurs ne doivent pas avoir une durée de vie excédant 13 mois et les informations collectées par l’intermédiaire de ces traceurs ne doivent pas être conservées pendant une durée supérieure à 25 mois.
Les utilisateurs doivent être informés de l’existence et de la finalité des cookies et autres traceurs non soumis au consentement préalable.
L’annulation de la disposition relative aux « cookie walls »
Les requérantes ont reproché à la CNIL de faire une lecture erronée du RGPD. Pour elles, le visionnage d’annonces publicitaires est la contrepartie de l’accès à un contenu gratuit, ce qui doit autoriser les sites Internet à refuser d’afficher tout contenu en l’absence de consentement de l’internaute au dépôt de traceurs.
Qu’a répondu le Conseil d’État ?
Il importe d’être précis. Le Conseil d’État a reproché à la CNIL d’avoir tiré de la seule exigence d’un consentement libre, posée par le RGPD, une règle selon laquelle « la validité du consentement est soumise à la condition que la personne concernée ne subisse pas d’inconvénient majeur en cas d’absence ou de retrait de son consentement, un tel inconvénient majeur pouvant consister dans l’impossibilité d’accéder à un site Internet, en raison de la pratique des « cookie walls » :
« En déduisant pareille interdiction générale et absolue, la CNIL a excédé ce qu’elle peut légalement faire, dans le cadre d’un instrument de droit souple, édicté sur le fondement du 2° du I de l’article 8 de la loi du 6 janvier 1978 cité au point 3. Il s’ensuit que la délibération attaquée est, dans cette mesure, entachée d’illégalité. »
Le Conseil d’État condamne ainsi la CNIL à verser aux associations requérantes une somme globale de 3.000 euros.
Il est vrai qu’en théorie, les lignes directrices sont un instrument de droit souple, c’est-à-dire un acte ayant pour objectif d’influencer fortement les pratiques des opérateurs économiques, sans créer à leur charge ni droit ni obligation juridique.
S’il en résulte que la CNIL, dans des lignes directrices, ne peut interdire de manière générale et absolue la pratique des cookie walls, il n’est pas non plus dit que cette pratique est généralement autorisée. On peut, au contraire, envisager que les situations s’analyseront au cas par cas.
La CNIL a réagi par un communiqué (ici) précisant que « (…) le Conseil d’État a annulé la disposition des lignes directrices prohibant de façon générale et absolue la pratique des « cookie walls », en jugeant qu’une telle interdiction ne pouvait figurer dans un acte de droit souple. La CNIL prend acte de cette décision et ajustera en conséquence ses lignes directrices et sa future recommandation pour s’y conformer. »
Nous en saurons davantage à la rentrée car la CNIL envisage de faire connaître sa nouvelle recommandation en septembre 2020. Elle annonce aussi poursuivre le plan d’action cookies sur le ciblage publicitaire et maintient sa ligne de conduite tendant à « garantir aux internautes un plus haut degré de protection, le RGPD venant renforcer les exigences du consentement ».
Anne MESSAS
Avocate associée
Synthia TIENTCHEU TCHEUKO
Élève-avocate
Date et référence : Conseil d’État, 19 juin 2020, Lignes directrices de la Cnil relatives aux cookies et autres traceurs de connexion
Lire la décision sur le site du Conseil d’État
21
avril
2020
Traitements de données personnelles et coronavirus : la CNIL et le CEPD se prononcent sur les bonnes pratiques
Author:
teamtaomanews
Dans le contexte de l’épidémie de Covid-19, le recours à de nouveaux traitements de données personnelles ayant pour objet de contrôler la diffusion du virus est observé de près. Certaines institutions ont d’emblée réagi en diffusant des conseils et en rappelant les bonnes pratiques à mettre en place pour protéger au mieux les données personnelles, sujet épidermique à l’heure actuelle.
À l’échelle européenne, le CEPD (Comité européen de la protection des données – entité regroupant les autorités de contrôle chargées de la protection des données personnelles au sein de l’UE, telles que la CNIL) a diffusé une annonce sur le traitement des données personnelles dans le contexte de l’épidémie, concentrée principalement sur quatre points :
Un rappel des principes fondamentaux assurant la licéité des traitements
Le CEPD rappelle notamment que, malgré le contexte actuel, les obligations incombant aux responsables de traitements (finalité déterminée, information transparente, claire et complète de la personne concernée, sécurité des données, etc.) restent d’actualité. En revanche, la licéité de ces traitements, y compris lorsqu’ils ont trait à des données « sensibles », peut reposer sur des bases juridiques autres que le consentement des personnes concernées.
Un focus sur les traitements effectués par les autorités publiques (ex: autorités sanitaires)
Du fait de leurs statuts, ces autorités devraient être en mesure d’opérer ces nouveaux traitements
Un focus sur les traitements réalisés par les employeurs
Les employeurs peuvent mettre en œuvre des traitements de données personnelles sur le fondement d’une obligation légale à laquelle ils sont soumis (ex : sécurité sur le lieu de travail) ou de l’intérêt public (ex : contrôle des maladies), et y inclure des données de santé pour cette dernière raison, ou si c’est justifié pour la sauvegarde des intérêts vitaux des personnes concernées.
Sur les modalités de traitement des données ainsi collectées, le CEPD s’en remet aux législations nationales, précisant toutefois que :
Seules les données nécessaires pour remplir leurs obligations et organiser le travail peuvent être collectées par les employeurs ;
La collecte d’informations relatives à la santé des employés ou des visiteurs ne peut être faite que dans le respect des principes de proportionnalité et de minimisation;
La possibilité de demander la réalisation de bilans de santé sur des employés n’est possible que dans la mesure où ils sont imposés par une obligation légale ;
La fourniture d’informations sur des cas de COVID-19 au sein de l’entreprise doit être limitée à ce qui est nécessaire. Dans les cas où il est nécessaire de révéler le nom de l’employé qui a contracté le virus (par exemple dans un contexte préventif), il doit être informé à l’avance et sa dignité et son intégrité doivent être protégées.
Un focus sur les traitements de données de géolocalisation des téléphones mobiles
Le CEPD rappelle que ces données ne peuvent en principe être utilisées qu’après anonymisation (ex : pour réaliser des cartographies) ou avec le consentement de la personne concernée.
À défaut, des dispositions législatives spécifiques pourront être adoptées pour permettre des traitements plus invasifs, tels que le « tracking », sous réserve de la mise en œuvre de garanties adéquates (notamment droit au recours auprès d’une juridiction nationale, caractère nécessaire, approprié, proportionné et limité dans le temps, respect la Charte des droits fondamentaux et la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales).
À l’échelle nationale, la CNIL a répondu aux sollicitations de professionnels et particuliers au sujet de la collecte et du traitement de données personnelles dans le but de de limiter la propagation du virus.
Elle dresse notamment une liste des comportements interdits et autorisés dans le cadre des relations de travail. Ainsi :
les employeurs doivent mettre en place des actions préventives, d’information et de formation afin de garantir la santé et la sécurité de leurs employés (ex : invitation à effectuer des remontées individuelles d’informations par les employés en cas d’éventuelle exposition au virus, possibilité de consigner la date et l’identité de l’employé qui signalerait une exposition).
Mais ils ne peuvent pas prendre des mesures susceptibles de porter atteinte au respect de la vie privée des personnes concernées, notamment par la collecte de données de santé qui iraient au-delà de la gestion des suspicions d’exposition au virus (ex: pas de relevés obligatoires quotidiens de température ou de questionnaires médicaux pour l’ensemble des employés).
Les employés doivent, quant à eux, informer leur employeur en cas de suspicion de contact avec le virus.
La CNIL a en outre donné des conseils sur la mise en place du télétravail et l’utilisation d’outils de visioconférence.
Parmi les mesures les plus significatives, on notera :
Pour les mesures de bases à prendre en cas de télétravail : la sécurisation des systèmes d’information (édition d’une charte de sécurité, installation de pares feux et d’antivirus, mise en place de VPN, utilisation de mécanismes d’authentification à double facteur, consultation des journaux d’accès, etc.) ;
Pour la visioconférence : privilégier les solutions qui protègent la vie privée, ne pas télécharger d’application de source inconnue, sécuriser le réseau wifi, limiter le nombre d’informations fournies lors de l’inscription, fermer l’application lorsqu’elle n’est pas utilisée.
Eugénie Lebelle
Elève-avocate
Anita Delaage
Avocate
Lire la déclaration du CEPD ou accéder à la page de la CNIL sur la COVID-19
20
juin
2019
La CNIL confirme son pouvoir de sanction sans mise en demeure : condamnation de SERGIC à 400 000 euros pour violation grave de l’obligation de sécurité
Author:
teamtaomanews
Fin Avril, le Conseil d’État confirmait la capacité de la CNIL à sanctionner les violations des règles de sécurité des données personnelles sans forcément recourir à une préalable mise en demeure destinée à laisser la possibilité au contrevenant de corriger son comportement (note : voir notre news sur l’affaire OPTICAL CENTER).
Dans sa délibération du 28 mai 2019, l’autorité de contrôle confirme sa volonté d’exercer ce pouvoir.
L’entreprise ciblée est la société SERGIC, spécialisée dans le secteur immobilier qui avait fait l’objet d’une plainte par un utilisateur, étonné que la simple modification d’un nombre dans l’adresse URL du site web de la société lui permette d’accéder aux dossiers et pièces justificatives de candidats à la location.
Un contrôle en septembre 2018 met en lumière un manquement flagrant à la sécurité des données sur le plan du volume des données concernées et de la durée de la violation. Il est en effet question du téléchargement de plus de 9000 documents incluant « des copies de cartes d’identité, de cartes Vitale, d’avis d’imposition, d’actes de décès, d’actes de mariage, d’attestations d’affiliation à la sécurité sociale, d’attestations délivrées par la caisse d’allocations familiales, d’attestations de pension d’invalidité, de jugements de divorce, de relevés de compte, de relevés d’identité bancaire et de quittances de loyers ».
En outre malgré un signalement antérieur, le défaut de protection des données a persisté pendant une durée de plus de 6 mois avant que des mesures y mettent un terme.
Enfin la violation est aggravée par le fait que, de l’aveu de la société, les données des candidats à la location ne sont pas effacées une fois leur dossier classé et la candidature acceptée ou refusée.
Dans sa délibération du 28 mai, la CNIL constate donc un manquement à l’article 32(1) du RGPD, concernant les mesures raisonnables de protection des données. Elle insiste sur la durée du manquement, sur le grand nombre et l’aspect sensible et intime des données laissées sans protection.
En outre, la CNIL constate une violation des dispositions de l’article 5-1-e) du règlement relatif à la proportionnalité des délais de conservation des données ; pour l’autorité de contrôle, la société incriminée a aggravé son cas en conservant bien au-delà de la finalité originale les données relatives aux candidats n’ayant pas accédé à la location, qui auraient dû être supprimées dès la clôture de leur dossier.
Au vu de la gravité de ces manquements et du manque de diligence de la société dans leur gestion, la CNIL condamne cette dernière au paiement d’une amende de 400 000 euros, et à la publication de ladite sanction, sans mise en demeure préalable, et donc sans permettre à SERGIC de corriger les errements avant de décider de la sanction.
A ce sujet, la CNIL rappelle dans sa délibération qu’une mise en demeure n’est aucunement rendue obligatoire par les dispositions de la loi informatique et libertés de 1978 qui régit son action. Cette décision est ainsi à placer dans la continuité de l’affaire OPTICAL CENTER.
Le message de la CNIL est clair : pas de rattrapage pour les violations graves, la vigilance des responsables de traitement s’impose au plus fort.
Lire la délibération
14
juin
2019
Sanction de la CNIL : pas d’obligation de mise en demeure préalable confirmée par le Conseil d’Etat
Author:
teamtaomanews
Dans un arrêt du 17 avril 2019, l’autorité administrative suprême a refusé d’infirmer les sanctions prises par la CNIL contre la société OPTICAL CENTER, au motif que ces dernières n’auraient pas été précédées d’une mise en demeure permettant à la société de corriger les problèmes.
En 2017, une enquête de la CNIL initiée suite à plusieurs plaintes concernant OPTICAL CENTER a mis à jour le fait que la simple entrée d’URL dans un navigateur permettait l’accès à de nombreuses factures et bons de commande des clients de la société faute de restriction de l’accès aux données par la connexion à un espace personnel.
La CNIL a pris la décision de sanctionner d’une amende de 250.000 euros cette grave faille de sécurité, qui méconnaissait l’article 34 de la Loi Informatique et Libertés, sans mise en demeure permettant à la société de corriger les errements et alors que cette société avait déjà pris les mesures nécessaires à la correction du problème.
Cette décision a été portée devant le Conseil d’Etat qui, dans son arrêt du 17 avril 2019, a confirmé la décision et rappelé que la mise en demeure n’est pas une étape obligatoire préalable à la sanction et que l’article 45 de la loi du 6 janvier 1978 dispose que « Lorsque le manquement constaté ne peut faire l’objet d’une mise en conformité dans le cadre d’une mise en demeure, la formation restreinte peut prononcer, sans mise en demeure préalable et après une procédure contradictoire, les sanctions prévues ».
Le Conseil en déduit la possibilité pour la CNIL d’outrepasser l’étape de la mise en demeure lorsque cette dernière est clairement inutile ; soit que le manquement incriminé ne puisse être corrigé, soit, comme c’était le cas en l’espèce, qu’il y ait déjà été remédié.
Le Conseil d’État réduit toutefois la sanction d’OPTICAL CENTER, en jugeant que la CNIL, ne tenant pas compte de la promptitude de la société à réagir à ses demandes, a prononcé une sanction disproportionnée ; cette dernière sera donc ramenée à 200.000 euros.
Lire la décision complète
Load more
Loading...