Actualités

AI Act : la première réglementation mondiale sur l’IA a été votée

13 mars 2024 |  Droit des nouvelles technologies

Les eurodéputés ont adopté aujourd’hui à une large majorité un texte historique sur l’intelligence artificielle, un règlement qui avait fait l’objet d’un lobbying intense de la part des grandes entreprises du secteur au cours des dernières années.

523 eurodéputés ont voté en faveur du texte, 46 eurodéputés seulement s’y étant opposés et 49 s’étant abstenus.

Présenté en 2021 par la Commission, le texte constituera la première législation au monde visant à règlementer l’IA.

Le règlement doit encore être peaufiné — ce qui devrait être terminé d’ici la fin de la législature — et il doit également encore recevoir le feu vert du Conseil.

Ce règlement prévoit une approche à deux niveaux de la règlementation en fonction du degré de risques que présentent les applications de la technologie et fixe des délais différents pour la mise en œuvre des diverses exigences.

Les modèles d’IA à usage général devront respecter des obligations de transparence ainsi que les règles européennes en matière de droits d’auteur.

Quant aux systèmes considérés à « haut risque » utilisés par exemple dans les infrastructures critiques ou pour le maintien de l’ordre, ils seront soumis à des exigences plus strictes. Ils devront par exemple prévoir la mise en place d’une analyse d’impact obligatoire sur les droits fondamentaux.

Certaines utilisations de l’IA, telles que le système de notation sociale basé sur des algorithmes ou l’identification biométrique à distance des personnes dans les lieux publics, seront interdites d’ici à la fin de l’année 2024.

Sur ce dernier point, les États ont toutefois obtenu des exemptions pour certaines missions des forces de l’ordre comme la prévention d’une menace terroriste ou la recherche ciblée de victimes.

En outre, les images, textes ou vidéos générés artificiellement (les « deep fakes ») devront être clairement identifiés comme tels.

La législation européenne sera dotée de moyens de surveillance et d’un mécanisme de sanctions.

Selon le calendrier actuel, la mise en œuvre complète de la législation est prévue pour 2026.

RGPD : impossibilité pour un prestataire de santé de produire des données personnelles de patients pour obtenir une mesure d’instruction civile

03 mars 2024 |  Droit des nouvelles technologies

Un prestataire de santé (la société iDS) soupçonnant un concurrent direct (la société Diabsanté) d’avoir détourné sa patientèle, avait produit en justice une liste de patients afin d’obtenir une mesure d’instruction.

Le concurrent visé contestait la licéité de cette mesure d’instruction, considérant que l’utilisation sans leur consentement des données personnelles des patients violait le RGPD.

En revanche, la production de la liste était indispensable au succès de la mesure d’instruction, qui en outre été circonscrite à la recherche d’informations portant sur la prétendue concurrence déloyale.

Plus précisément, la société IDS prétend avoir collecté les données de l’ensemble de ses patients dans le respect des conditions de sa politique de confidentialité qui prévoit que, de façon générale, les demandes de renseignements sur ses patients ne peuvent être satisfaites que pour des autorités publiques qui disposent dans le cadre de l’exercice de leur mission, de prérogatives particulières pour se voir communiquer des informations.

Ce n’est pas l’analyse de la cour nîmoise pour qui « (elle) n’a pas informé, de manière transparente, ses patients que les informations personnelles collectées pourraient être transmises à l’autorité judiciaire et surtout à son concurrent, la société Diabsanté. Les patients concernés n’ont pas donné leur consentement éclairé à l’utilisation de ces données en vue spécifiquement d’une action en justice intentée par la société IDS à l’encontre de son concurrent ».

Droit à l’image d’un mineur : la loi sur l’autorité parentale se renforce

20 février 2024 |  Droit des nouvelles technologies

La loi n°2024-120 du 19 février 2024 fait suite à des constatations alarmantes sur l’exposition croissante des mineurs sur internet, en particulier à travers la diffusion de leurs images sur les réseaux sociaux par les parents, les tiers, ou les mineurs eux-mêmes.

Elle modifie l’article 371-1 du Code civil, dédié aux charges pesant sur les titulaires de l’autorité parentale, pour y inclure explicitement la protection de la vie privée, de la sécurité, de la santé, et de la moralité de l’enfant comme objectif de l’autorité parentale.

Cette modification souligne l’importance de l’intérêt de l’enfant et de son droit au respect de sa personne dans l’exercice de l’autorité parentale, notamment en ce qui concerne la publication de son image sur les réseaux sociaux. Le texte législatif introduit une distinction entre les actes usuels, pour lesquels l’accord d’un seul parent suffit, et les actes non usuels liés à l’image de l’enfant qui nécessitent l’accord des deux parents, conformément à la jurisprudence existante.

A ce titre, l’article 372-1 du Code civil est également amendé pour affirmer que les parents doivent désormais protéger conjointement le droit à l’image de leur enfant mineur. Cette disposition vise à prévenir les utilisations abusives de l’image des mineurs susceptibles de porter atteinte à leur dignité ou intégrité morale, notamment dans des contextes pédopornographiques.

Pour garantir cette protection, la loi institue désormais un contrôle judiciaire permettant d’interdire à un parent de diffuser toute image de l’enfant sans l’accord de l’autre. Cette mesure peut être sollicitée en cas de désaccord parental sur l’utilisation de l’image de l’enfant, soulignant ainsi l’importance de l’accord mutuel dans la protection de l’image des mineurs.

La loi introduit également un mécanisme de délégation de l’exercice de l’autorité parentale en cas de diffusion d’images portant gravement atteinte à la dignité ou à l’intégrité morale de l’enfant. Cette mesure extrême peut être demandée par divers acteurs, y compris des membres de la famille ou des institutions s’occupant de l’enfant, soulignant la gravité des situations qu’elle vise à adresser.

Note à l’attention de nos nombreux clients dans le secteur de l’éducation ou de la protection de l’enfance : il convient dès à présent d’adapter vos process et de prévoir un accord systématiquement conjoint des parents concernant le droit à l’image des enfants.

Durées de conservation et sécurité des données : la CNIL prononce une amende de 100 000 euros à l’encontre de la société PAP

31 janvier 2024 |  Droit des nouvelles technologies

En mars et avril 2022, deux contrôles de la société PAP ont été réalisés par la CNIL. Cette dernière a ainsi relevé plusieurs manquements au RGPD.

Parmi les manquements sanctionnés, il y a :

• Un manquement à l’obligation de conserver les données pour une durée limitée à l’objectif recherché (article 5.1.e) : La société avait défini une durée de conservation de cinq ans pour les données des utilisateurs ayant recours à des services gratuits du site, alors qu’elle conservait les données plus longtemps. S’agissant des données des utilisateurs ayant recours à des prestations payantes du site, une durée de dix ans avait été définie, sans que cette durée ne puisse être justifiée par les dispositions du code de la consommation dont la société se prévalait.
• Un manquement à l’obligation d’information des personnes (article 13) : La société informait les personnes sur son site web au moyen d’une politique de confidentialité incomplète et imprécise.
• Un manquement à l’obligation d’encadrer, par un acte juridique, les traitements effectués pour le compte du responsable de traitement (article 28) : Un contrat conclu entre la société PAP et un sous-traitant ne comportait pas les mentions requises par le RGPD.
• Un manquement à l’obligation d’assurer la sécurité des données personnelles (article 32) : Les règles de complexité des mots de passe des comptes utilisateurs du site étaient insuffisamment robustes. De plus, la sécurité des données n’était pas garantie dès lors que les mots de passe des utilisateurs et les références confidentielles étaient conservés en clair. Enfin, l’ensemble des données relatives à des comptes utilisateurs inactifs était conservé sans tri.

La formation restreinte de la CNIL a ainsi prononcé, dans le cadre du guichet unique et en coopération avec les autorités de contrôle européennes concernées (Belgique, Espagne, Portugal, Allemagne, Italie, Pays-Bas, Irlande, Grèce, Suède, Autriche, Finlande, Danemark, Pologne et Norvège), une amende de 100 000 euros au regard des manquements au RGPD énoncés Supra.

Durées de conservation et sécurité des données : la CNIL prononce une amende de 100 000 euros à l’encontre de la société PAP

31 janvier 2024 |  Droit des nouvelles technologies

En mars et avril 2022, deux contrôles de la société PAP ont été réalisés par la CNIL. Cette dernière a ainsi relevé plusieurs manquements au RGPD.

Parmi les manquements sanctionnés, il y a :

• Un manquement à l’obligation de conserver les données pour une durée limitée à l’objectif recherché (article 5.1.e) : La société avait défini une durée de conservation de cinq ans pour les données des utilisateurs ayant recours à des services gratuits du site, alors qu’elle conservait les données plus longtemps. S’agissant des données des utilisateurs ayant recours à des prestations payantes du site, une durée de dix ans avait été définie, sans que cette durée ne puisse être justifiée par les dispositions du code de la consommation dont la société se prévalait.
• Un manquement à l’obligation d’information des personnes (article 13) : La société informait les personnes sur son site web au moyen d’une politique de confidentialité incomplète et imprécise.
• Un manquement à l’obligation d’encadrer, par un acte juridique, les traitements effectués pour le compte du responsable de traitement (article 28) : Un contrat conclu entre la société PAP et un sous-traitant ne comportait pas les mentions requises par le RGPD.
• Un manquement à l’obligation d’assurer la sécurité des données personnelles (article 32) : Les règles de complexité des mots de passe des comptes utilisateurs du site étaient insuffisamment robustes. De plus, la sécurité des données n’était pas garantie dès lors que les mots de passe des utilisateurs et les références confidentielles étaient conservés en clair. Enfin, l’ensemble des données relatives à des comptes utilisateurs inactifs était conservé sans tri.

La formation restreinte de la CNIL a ainsi prononcé, dans le cadre du guichet unique et en coopération avec les autorités de contrôle européennes concernées (Belgique, Espagne, Portugal, Allemagne, Italie, Pays-Bas, Irlande, Grèce, Suède, Autriche, Finlande, Danemark, Pologne et Norvège), une amende de 100 000 euros au regard des manquements au RGPD énoncés Supra.

Migration d’un site web e-commerce pour un coût modique : le client responsable de l’échec

03 janvier 2024 |  Droit des nouvelles technologies

Une société (CBM) avait confié à un prestataire (Yatéo) la migration d’un site d’e-commerce mutualisé vers un site dédié ainsi que son référencement payant.

A la recette de la prestation, il est constaté :

• L’absence d’amélioration des performances du site (les lenteurs sont toujours là) ;
• Une détérioration du référencement naturel, qui résulte de l’endommagement du module e-commerce.

Le tribunal de commerce de Paris a conclu que la lenteur du système n’était pas imputable à Yatéo dont le contrat d’un faible montant ne couvrait pas cet aspect et qui avait proposé à son client, avant la prestation mais sans convaincre ledit client, un « audit de lenteur du front ».

Concernant l’endommagement du module et la détérioration du référencement, le Tribunal a estimé que ces dysfonctionnements n’étaient pas davantage imputables au prestataire dans la mesure où il n’avait pas été investi d’une mission portant sur le référencement naturel. De plus le client avait refusé la proposition d’assistance du prestataire sur ce point.

Aussi, pour le tribunal, le prestataire a respecté ses engagements et n’a pas manqué à son obligation d’information et de conseil.

Plus précisément, concernant la lenteur du système, le tribunal relève :

• premièrement que le contrat, qui est la loi des parties et doit être exécuté de bonne foi, couvre un champ très réduit de prestations, et en tout cas pas cet aspect, ce dont atteste le montant faible (6 550 € HT) du budget ;
• deuxièmement, que ce problème avait été certainement évoqué entre CBM et Yateo, puisque comme indiqué plus haut, Yateo avait proposé sans succès une prestation « audit de lenteur du front», la proposition mentionnant notamment « vous avez constaté des lenteurs au niveau du front. En conséquence, Yateo sera en charge de mener un audit technique du site afin de détecter la provenance des lenteurs sur le front end».

Cet audit, qui donc n’a pas été effectué, était composé d’une vérification des modules, et de la conformité du code, ainsi que d’une optimisation du code et/ou des modules ».

Il en résulte que la lenteur persistante du système ne peut pas être imputée à Yateo.

Concernant l’endommagement du module, et la perte de données ayant entraîné une détérioration du référencement naturel de CBM, le tribunal a recherché l’existence d’un lien de causalité entre cet endommagement du module, et les problèmes rencontrés. « Or, (il ) n’a pas été informé des conditions dans lesquelles ce module fonctionnait et était maintenu. De plus, il a été précisé que CBM avait mandaté une société « i-communication » pour faire un audit technique ».

A le suivre, « Yateo n’était pas investie d’une quelconque mission en ce qui concerne le référencement SEO, et CBM ayant refusé une proposition d’assistance formulée par Yateo à cet égard, ne peut valablement reprocher à cette dernière de ne pas avoir respecté ses engagements, ni d’avoir manqué à son obligation d’information et de conseil ».

Il en conclut que « Yateo ne peut être tenue pour responsable ni de l’endommagement du module, ni des conséquences en résultant sur le référencement naturel de CBM ».

Le tribunal rejette donc les demandes de la société CBM qui est condamnée à payer la somme de 5 000 € au titre de l’article 700 du CPC à la société YATEO.

Apparence trompeuse de formulaires de jeux concours : sanction de 75 000 euros à l’encontre du courtier en données TAGADAMEDIA

29 décembre 2023 |  Droit des nouvelles technologies

En 2022, la CNIL avait placé la prospection commerciale comme thématique particulière de contrôle. La commission s’est ainsi intéressée aux professionnels du secteur, et notamment à ceux qui procèdent à la revente de données, comprenant ainsi les courtiers en données (data brokers en anglais).

Une procédure de contrôle a ainsi été engagée à l’encontre de la société TAGADAMEDIA, qui exploite principalement des sites en ligne de jeux-concours et de tests de produits par lesquels elle collecte des données de prospects.

La formation restreinte de la CNIL a ainsi relevé que la société avait manqué à plusieurs obligations prévues par le RGPD, à savoir :

• Un manquement à l’obligation de disposer d’une base légale pour les traitements mis en œuvre (article 6) : TAGADAMEDIA collecte des données de prospects par le biais de formulaires mis en œuvre sur ses sites de participation à des jeux-concours ou de tests de produits. Les données sont ensuite transmises à ses partenaires pour de la prospection commerciale. Selon la société, le traitement est fondé sur le recueil du consentement. Or, les formulaires utilisés ne permettaient pas de recueillir un consentement libre, éclairé et univoque dès lors que la mise en valeur du bouton permettant de donner son consentement et le texte incomplet et en taille réduite incitaient fortement les utilisateurs à accepter la transmission de leurs données aux partenaires de la société.
• Un manquement à l’obligation de mettre en œuvre un registre des activités de traitement (article 30) : La CNIL a pu observer que le registre des activités de traitement de TAGADAMEDIA (qui était partagé avec une seconde société) ne précisait pas laquelle des deux sociétés agissait en qualité de responsable de traitement.

En raison de ces différents manquements, la CNIL a prononcé une amende de 75 000 euros, le 29 décembre dernier, à l’encontre de la société. Cette dernière a également été enjoint de mettre en œuvre un formulaire de collecte conforme aux exigences du RGPD dans un délai d’un mois à compter de la prononciation de la sanction, sous peine de 1000 euros par jour de retard.

105 000 euros d’amende prononcé par la CNIL à l’encontre de NS CARDS FRANCE

27 décembre 2023 |  Droit des nouvelles technologies

A la suite de deux contrôles de la société réalisés fin 2021, la CNIL a constaté des manquements au RGPD et à la Loi Informatique et Liberté.

La formation restreinte de la CNIL a ainsi prononcé le 23 décembre 2023, deux amendes à l’encontre de la société NS CARDS France :

• L’une, d’un montant de 90 000 euros, pour des manquements au RGPD. Cette amende a été prononcée en coopération avec 17 homologues européens de la CNIL dans le cadre du guichet unique, puisque le site web a des visiteurs dans plusieurs Etats d’Europe ;

• L’autre, d’un montant de 15 000 euros, pour un manquement relatif à l’utilisation des cookies et traceurs. Cette amende a été prononcée par la CNIL uniquement.

S’agissant plus précisément des manquements sanctionnés :

1. S’agissant des manquements au RGPD:

La CNIL a retenu en tout trois manquements, à savoir :

• Un manquement à l’obligation de conserver les données pour une durée limitée à l’objectif recherché (article 5.1.e) : La société avait défini une durée de conservation de dix ans à l’issue de laquelle les comptes utilisateurs étaient désactivés, mais non supprimés. Les données des comptes étaient donc conservées pour une durée indéterminée.
• Un manquement à l’obligation d’informer les personnes (articles 12 et 13) : NS CARDS FRANCE informait les personnes via une politique de confidentialité incomplète et obsolète. En outre, l’information était fournie en anglais, alors que le public visé par la société est majoritairement francophone.
• Un manquement à l’obligation d’assurer la sécurité des données personnelles (article 32) : Ici les règles de complexité des mots de passe des comptes utilisateurs étaient insuffisamment robustes. De plus, près de 50 000 mots de passe étaient conservés en clair dans la base de données de la société et associés à l’adresse électronique et l’identifiant des utilisateurs. Enfin, s’agissant des mots de passe qui étaient stockés sous une forme hachée et salée, la fonction de hachage utilisée était obsolète (SHA-1).

2. S’agissant des manquements à la loi Informatique et Liberté (notamment à l’article 82) :

La CNIL a constaté le dépôt de cookies Google Analytics sur le terminal de l’utilisateur sans son accord. Or, dans la mesure où ces cookies peuvent comporter des fonctionnalités publicitaires et qu’ils permettent, en tout état de cause, de collecter des données pouvant être utilisées pour maintenir et protéger le service Analytics, ils ne peuvent être déposés sur le terminal de l’utilisateur sans son accord.

En outre, la société avait recours à un mécanisme de reCAPTCHA, fourni par la société GOOGLE, lors de la création du compte et lors de la connexion sur le site web et l’application mobile. Ce mécanisme fonctionne avec une collecte d’informations matérielles et logicielles (telles que les données sur les appareils et les applications). Alors que les données collectées étaient transmises à GOOGLE pour analyse, la société ne fournissait aucune information à l’utilisateur et ne recueillait pas son accord préalable, que ce soit pour accéder aux informations stockées sur son équipement ou pour écrire des informations sur celui-ci.

AI Act : le Parlement de l’UE et le Conseil de l’UE parviennent à un accord sur le règlement IA

09 décembre 2023 |  Droit des nouvelles technologies

Le 9 décembre 2023, après d’intenses négociations, un accord provisoire a été atteint sur la législation européenne relative à l’intelligence artificielle (IA), mettant l’accent sur la régulation des systèmes d’IA à haut risque. Cet accord marque une étape importante dans la régulation de l’IA, avec pour objectif principal de garantir la sécurité et le respect des droits fondamentaux sans étouffer l’innovation.

Les nouvelles règles imposent des exigences strictes pour les systèmes d’IA jugés à haut risque. Ces systèmes, qui incluent une vaste gamme d’applications potentiellement impactantes, devront se conformer à des standards rigoureux pour assurer leur conformité aux principes éthiques et de sécurité. La classification des systèmes à haut risque est conçue pour cibler ceux susceptibles de violer les droits fondamentaux ou de présenter d’autres risques significatifs. Pour les systèmes à risque limité, des obligations de transparence moins contraignantes sont prévues, permettant aux utilisateurs de prendre des décisions éclairées.

Cette législation a des implications majeures pour les entreprises, notamment les petites et moyennes entreprises (PME). Des adaptations spécifiques ont été apportées pour rendre la conformité plus faisable techniquement et moins contraignante, notamment en termes de qualité des données et de documentation technique. En outre, l’accord prévoit des sanctions substantielles pour les violations, avec des plafonds plus proportionnés pour les PME et les jeunes pousses, soulignant l’importance d’une conformité rigoureuse.

Pour les utilisateurs, ces mesures renforcent la confiance dans les systèmes d’IA, garantissant que leur déploiement dans l’UE respecte les normes élevées en matière de droits et de sécurité. Une analyse d’impact sur les droits fondamentaux avant la mise sur le marché des systèmes d’IA à haut risque est une avancée notable, assurant une protection accrue des droits individuels.

En résumé, cet accord provisoire représente un équilibre entre la promotion de l’innovation dans le domaine de l’IA et la protection des citoyens et des entreprises européennes contre les risques potentiels associés à ces technologies. Il établit un cadre législatif qui pourrait servir de référence pour les futurs développements réglementaires dans le domaine de l’IA.

À la suite de l’accord provisoire intervenu le 9 décembre, les travaux se poursuivront au niveau technique dans les semaines à venir, afin de mettre au point les détails du nouveau règlement. La présidence présentera le texte de compromis aux représentants des États membres (Coreper) pour approbation une fois ces travaux terminés.

Le texte intégral devra être confirmé par les deux institutions et faire l’objet d’une mise au point par les juristes-linguistes avant son adoption formelle par les colégislateurs.

Droit d’accès : la CJUE estime que le RGPD implique la communication « gratuite », « intégrale », « fidèle » et « intelligible » de la première copie du dossier médical

27 octobre 2023 |  Droit des nouvelles technologies

Saisie d’un litige entre un ressortissant Allemand et son chirurgien-dentiste qui refusait de lui fournir gratuitement une copie de son dossier médical, la Cour de Justice de l’Union Européenne (CJUE) s’est prononcée 26 octobre 2023 sur l’interprétation des article 12§5 et 15§3 du RGPD sur le droit d’accès accordé aux personnes.

L’article 12§5 du RGPD prévoit que le responsable de traitement n’exige aucun paiement de la personne qui demande une copie de ses données, sauf en cas de demandes manifestement infondées ou excessives.

L’article 15§3 du RGPD prévoit quant à lui que le responsable de traitement peut exiger le paiement de frais raisonnables en cas de demande de copies supplémentaires.

La cour d’appel Allemande a considéré que le chirurgien devant effectivement fournir à son patient une première copie de son dossier médical à titre gratuit.

Saisie d’un recours par le chirurgien-dentiste, la Cour fédérale Allemande a saisi la CJUE de trois questions différentes.

L’une de ces questions portait sur l’interprétation de l’article 15§3 du RGPD, pour savoir s’il fallait en comprendre que, dans une relation médecin/patient, le droit d’obtenir une copie des données à caractère personnel impliquait la remise au patient d’une copie intégrale du dossier médical (et donc de documents tels que des diagnostics, résultats…) ou seulement d’une copie des données à caractère personnel en tant que tel.  

La question peut paraître anodine, mais la réponse est essentielle : 1) Dans le premier cas le praticien est tenu de fournir l’intégralité des données (documents) en sa possession, y compris les synthèses ou les diagnostics qu’il aurait pu réaliser (et qui n’appartiennent en soi pas au patient), alors que 2) dans le second cas il n’est tenu de fournir que les données (informations) qu’il détient et traite sur son patient.

Pour répondre à cette question, la CJUE rappelle que :

• L’article 15§3 confère aux personnes un droit d’accès leur permettant d’obtenir unereproduction fidèle de leurs données ;

• Le terme « copie » utilisé dans cet article se rapporte aux données (informations) et non pas à un document en tant que tel, mais que cette copie doit contenir toutes les données à caractère personnel faisant l’objet d’un traitement;

• Le droit d’accès a pour objectif de permettre à la personne de s’assurer que les données la concernant sont exactes et qu’elles sont traitées de manière licite ce qui implique que la copie doit reproduire intégralement et fidèlement les données traitées, qui doivent être faciles à comprendre.

Surtout, la CJUE explique que, même hors relation patient/médecin, le droit d’obtenir de la part du responsable du traitement une copie des données personnelles implique qu’il soit remis à la personne une reproduction fidèle et intelligible de l’ensemble de ces données, ce qui suppose le droit d’obtenir la copie d’extraits de documents, voire de documents entiers qui contiennent lesdites données, mais aussi d’autres, si la fourniture d’une telle copie est indispensable pour permettre à la personne de vérifier l’exactitude des informations ou leur intelligibilité.

Délimitation du droit de rétractation des consommateurs par la Cour de justice de l’Union Européenne

05 octobre 2023 |  Droit des nouvelles technologies

Dans une décision récente (CJUE, 5 oct. 2023, C-565/22), la Cour de Justice de l’Union européenne (CJUE) a clarifié une question importante concernant les droits des consommateurs dans le cadre de l’abonnement à des services en ligne. La directive 2011/83/UE relative aux droits des consommateurs établit que, lorsqu’un consommateur s’abonne à une plateforme d’apprentissage en ligne, comme c’était le cas avec Sofatutor GmbH, il bénéficie d’un droit de rétractation. Ce droit est applicable lors de la première souscription, y compris durant une période d’essai gratuit.

Toutefois, la CJUE a statué que ce droit de rétractation n’est pas renouvelé automatiquement au terme de la période d’essai gratuit si le service devient payant. Ce point est crucial pour les entreprises qui offrent des abonnements en ligne. Elles doivent s’assurer de communiquer clairement et de manière transparente sur le passage d’une offre gratuite à une offre payante, ainsi que sur les modalités de résiliation et de reconduction de l’abonnement.

Pour les entreprises, cette décision souligne l’importance d’une communication claire et conforme aux réglementations sur les droits des consommateurs. Les conditions de l’abonnement, y compris les changements de tarifs après une période d’essai, doivent être explicitement indiquées. Cela permet non seulement de respecter la législation, mais aussi de maintenir une relation de confiance avec les consommateurs.

Cette décision de la CJUE rappelle aux entreprises opérant en ligne la nécessité de revoir leurs pratiques contractuelles, en particulier dans la manière dont elles informent les consommateurs sur les conditions de leurs services. Une transparence accrue et une communication efficace sont des éléments clés pour se conformer aux réglementations européennes et éviter les litiges.

200 000 € d’amende CNIL pour SAF Logistics

25 septembre 2023 |  Droit des nouvelles technologies

Le 18 septembre 2023 la société SAF LOGISTICS, exerçant une activité de transport de fret aérien de la Chine vers l’Europe, a été sanctionnée par la CNIL.

Cette sanction, une amende de 200 000 €, a été prononcée à la suite de deux plaintes déposées par des salariés de l’entreprise auprès de la CNIL.

Les plaintes rapportaient que SAF LOGISTICS avait demandé à l’ensemble de son personnel de renseigner, via un formulaire, de nombreuses informations sur leur vie privée : ethnie, affiliation à parti politique, situation familiale et informations sur les parents et éventuels frères, sœurs et enfants.

Certaines de ces données sont classées comme « sensibles » par l’article 9 de réglementation sur les données à caractère personnel, leur traitement est donc par principe interdit.

La CNIL retient à l’encontre de la société SAF LOGISTICS :

1. Une violation du principe de minimisation des données traitées (article 5, §1, c)):

Selon SAF LOGISTICS, les données collectées sur la famille des salariés devaient servir à les contacter en cas d’urgence.

La CNIL considère que cette finalité ne justifiait pas la collecte de certains renseignements : date et lieu de naissance, sexe, employeur, fonctions et situation maritale… et que dès lors la collecte ne respectait pas le principe de minimisation.

Il est à noter que lors de ces contrôles la CNIL prend soin de vérifier la cohérence des renseignements et explications fournis par une entreprise et ne se contente pas de constater, par exemple, l’existence d’une finalité.

2. Une violation de l’interdiction de traiter des données sensibles (article 9) :

La CNIL retient que le formulaire diffusé dans l’entreprise rendait obligatoire le remplissage des champs relatifs à l’ethnie et à l’affiliation à un parti politique pour les salariés de l’entreprise souhaitant postuler en Chine.

Elle en déduit que le « consentement » qui avait pu être donné n’était pas libre (puisque le refus de remplir ces champs aurait conduit à une « sanction » de refus d’étude du dossier pour un poste en Chine) et que le traitement de ces données était donc illicite.

3. Violation de l’interdiction de collecter des données relatives aux infractions (article 10 du RGPD) :

La société SAF LOGISTICS conservait les extraits de casier judiciaire (bulletin n°3) de ses salariés dans leurs dossiers individuels.

Or, selon les dispositions légales, un employeur ne peut que consulter le casier judiciaire des candidats, et non en conserver une copie.

4. Refus de coopérer avec la CNIL

Comme nous le soulignons régulièrement dans notre Lex-Part infos, le refus de coopérer avec les services de la CNIL (volontairement ou non) conduit bien souvent à alourdir le montant des sanctions.

En l’occurrence, la société SAF LOGISTICS a tenté de duper la CNIL en fournissant par deux fois des traductions incomplètes du formulaire ayant permis la collecte des données (dont la CNIL avait demandé la traduction puisqu’il était rédigé en chinois).

Droit d’accès des personnes concernées valable même lorsque les faits sont antérieurs à l’entrée en vigueur de la réglementation sur les données personnelles mais limité par la CJUE

24 septembre 2023 |  Droit des nouvelles technologies

Dans les faits : Un salarié et client d’une banque finlandaise ayant appris que ses données personnelles de client avaient été consultées à plusieurs reprises par des membres du personnel, en 2013, il requiert de la banque la transmission de plusieurs informations au titre du droit d’accès : identité des personnes ayant consulté ses données, dates de consultation et finalités du traitement de ces données.

La banque ayant refusé, la CJUE a été saisie par les instances nationales, entres autres pour savoir si le droit d’accès accordé par l’article 15 du RGPD était applicable à des faits, et informations liées, antérieurs à la date d’entrée en vigueur du RGPD. 

Pour la CJUE, le droit d’accès conféré par l’article 15 du RGPD s’applique aux demandes d’information portant sur des opérations de traitement effectuées avant l’entrée en vigueur du RGPD, tant que la demande a été effectuée après.

Toutefois, s’agissant plus spécifiquement des informations demandées par le client, la CJUE rappelle que les informations visées par l’article 15 du RGPD lui permette d’obtenir les dates de consultations et les finalités, mais pas l’identité des salariés concernés, sauf à ce que ces informations soient indispensables pour lui permettre d’exercer ses droits, dont une éventuelle action judiciaire.

La CJUE opère ainsi une mise en balance des droits et libertés fondamentaux de la personne concernée (droit d’accès) et des salariés du responsable de traitement (droit au respect de la vie privée) et estime que le respect de la vie privée prévaut sur le droit d’accès à moins d’une nécessité pour l’exercice d’un droit.

La CNIL publie une recommandation relative au partage de données via API

17 septembre 2023 |  Droit des nouvelles technologies

Les API ou « interfaces de programmation d’application » sont des interfaces logicielles permettant de lier un logiciel ou un service à un autre logiciel ou service pour permettre l’échange de fonctionnalités et de données, notamment à caractère personnel.

La CNIL souhaite promouvoir l’usage des API, mais pas au détriment de la protection des données à caractère personnel.

Pour cette raison, la CNIL a émis une recommandation identifiant les situations dans lesquelles l’utilisation d’API peut être recommandée, ainsi que les facteurs de risque à prendre en considération pour alimenter une analyse de risque.

Cette recommandation s’intéresse à plusieurs thématiques générales : coordination fonctionnelle des organismes, information des personnes, sélection des données, gestion des accès, gestion interne des API….

Et se prononce également sur des thématiques plus spécifiques, en lien avec l’intention des détenteurs de données, des gestionnaires d’API et des réutilisateurs de données : information, minimisation des données, sécurité des données…

Vous retrouverez l’intégralité de cette recommandation sur le site de la CNIL.

E-commerçants B2C : une nouvelle règle applicable pour vos sites web !

24 juillet 2023 |  Droit des nouvelles technologies

Depuis le 1er juin 2023, tout professionnel qui propose au consommateur de conclure un contrat en ligne doit désormais également proposer au consommateur un moyen d’y mettre fin en ligne.

Cela s’applique donc aux contrats à exécution successive (c’est-à-dire aux contrats dont l’exécution s’échelonne et se renouvelle dans le temps),
comme les abonnements à un service (numérique ou non) ou à la réception récurrente de produits (par exemple des box).

Désormais, pour tous ces contrats, la fonctionnalité de résiliation du contrat prévue à l’article L. 215-1-1 est présentée au consommateur sous la mention : “résilier votre contrat” ou une formule analogue dénuée d’ambiguïté, affichée en caractères lisibles, directement et facilement accessible à partir de l’interface en ligne depuis laquelle le consommateur peut conclure des contrats par voie électronique.

S’il s’agit d’un client qui avait passé commande comme « invité » sans créer de compte, le professionnel ne peut pas lui imposer de créer un compte pour résilier en ligne.

La rubrique ou le formulaire par lequel le consommateur peut procéder à la résiliation en ligne doit afficher au minimum :

• Les nom et prénom du consommateur, ou si le contrat a été conclu avec une personne morale, sa raison ou dénomination sociale ;
• L’adresse électronique ou à défaut l’adresse postale permettant au professionnel de confirmer la réception de la notification de la résiliation ;
• Toute référence préalablement communiquée par le professionnel au titulaire du contrat pour identifier ce titulaire et le contrat concerné, tel que par exemple un numéro de client ou de contrat ;
• La date de résiliation souhaitée sous réserve des dispositions légales ou contractuelles en vigueur. Pour les services de communications électroniques, le numéro de téléphone correspondant à la ligne ou les lignes concernée(s) par la résiliation ;
• si la résiliation requiert un motif légitime, un champ ou une liste de choix permettant d’énoncer ce motif.

Une page récapitulative de la résiliation doit s’afficher avant la validation par le consommateur de la résiliation.

La validation doit se faire par un bouton ou lien « Notification de la résiliation » ou une formule analogue dénuée d’ambiguïté, affichée en caractères lisibles.

Les transferts de données personnelles vers les USA à nouveau autorisés

10 juillet 2023 |  Droit des nouvelles technologies

🏖️🇺🇸 Les USA, à nouveau destination touristique à la mode pour vos données personnelles !

🤔 Depuis le 16 juillet 2020, les transferts de données personnelles à destination des USA (entreprises ou serveurs basés aux USA) étaient interdits depuis l’invalidation d’une décision UE 2016/1250 d’adéquation nommée « Privacy Shield ». Depuis lors, il était juridiquement devenu impossible de justifier, dans la plupart des cas, le recours à un sous-traitant ou destinataire de données américain.

➡️ Cette situation intenable est à présent révolue (du moins jusqu’à la possible prochaine invalidation du nouvel accord…).

En effet, la Commission Européenne a adopté ce jour une décision d’ #adéquation au bénéfice des entreprises américaines, le #DataPrivacyFramework.

⚠️ ATTENTION ! Cette autorisation n’est pas générale, puisqu’elle bénéficiera uniquement aux entreprises qui figureront sur une liste publiée par le Ministère Américain du Commerce.

Cette liste n’est pas encore publiée à l’heure où nous écrivons ces lignes, mais ce lien vous permettra de vérifier l’adéquation de votre fournisseur américain à la réglementation : https://www.dataprivacyframework.gov/s/participant-search

🤌D’accord, mais qu’est-ce que cela change ?🤌

Si la société US à laquelle vous souhaitez #transférer des données est dans cette liste :
➡️ Cela ne sera plus interdit ;
➡️ Vous n’aurez pas à encadrer le transfert par un outil juridique supplémentaire : c’est comme si votre partenaire était en Union Européenne !

🤔 Si votre fournisseur #américain est dans cette liste, quelles sont vos obligations réglementaires ? 🤔

Et bien vos autres obligations légales ne changent pas et que vous devrez toujours :
➡️ Au plus tard lors de la collecte des données transférées, informer les personnes concernées de l’existence et des conditions de ce transfert ;
➡️ Conclure par un écrit un contrat de sous-traitance #RGPD pour encadrer le transfert lorsqu’il s’agit d’une sous-traitance.

La CNIL annonce à court terme un certain nombre de précisions et communications de sa part sur le sujet. Nous vous tiendrons naturellement informés au fil du temps sur notre page LinkedIn !

Condamnation de CRITEO par la CNIL à 40 M€ d’amende

16 juin 2023 |  Droit des nouvelles technologies

Le 15 juin 2023, la CNIL a sanctionné la société CRITEO, spécialisée dans la publicité en ligne, d’une amende de 40 millions d’euros, notamment pour ne pas avoir vérifié que les personnes dont elle traite les données avaient donné leur consentement.

La société CRITEO est spécialisée dans le « reciblage publicitaire », qui consiste à suivre la navigation des internautes afin de leur afficher des publicités personnalisées. Pour cela, la société collecte les données de navigation des internautes grâce au traceur (cookie) CRITEO qui est déposé dans leurs terminaux lorsqu’ils se rendent sur certains sites web partenaires de CRITEO. Via ce traceur, cette société analyse les habitudes de navigation afin de déterminer pour quel annonceur et pour quel produit, il serait le plus pertinent d’afficher une publicité à un internaute en particulier. Elle participe ensuite à une enchère en temps réel (real time bidding) puis, si elle remporte l’enchère, affiche la publicité personnalisée.

La CNIL a retenu cinq manquements au RGPD à l’encontre de la société CRITEO.

1. Un manquement à l’obligation de démontrer que la personne a donné son consentement (article 7.1 du RGPD)

D’après la loi, le traceur (cookie) CRITEO utilisé pour cibler les publicités ne peut être déposé sur le terminal de l’internaute sans son consentement. Le recueil de ce consentement incombe aux partenaires de la société, qui sont en contact direct avec les internautes.

Cependant, cela ne dispense pas la société CRITEO de son obligation de vérifier et de pouvoir démontrer que les internautes ont donné leur consentement. Or, il a été constaté que le traceur (cookie) CRITEO était déposé par plusieurs partenaires de la société dans le terminal des internautes sans le consentement de ces derniers.

La formation restreinte a également relevé qu’au moment des investigations, la société n’avait mis en place aucune mesure lui permettant de s’assurer que ses partenaires recueillaient valablement le consentement des internautes dont elle traite ensuite les données. En ce sens, elle a notamment relevé que les contrats passés avec les partenaires ne contenaient aucune clause les obligeant à fournir la preuve du consentement des internautes à CRITEO. En outre, la société n’avait entrepris aucune campagne d’audit de ses partenaires avant l’engagement de la procédure par la CNIL.

2. Un manquement à l’obligation d’information et de transparence (articles 12 et 13 du RGPD)

La politique de confidentialité de la société n’était pas complète puisqu’elle ne comportait pas l’ensemble des finalités poursuivies par le traitement. Par ailleurs, certaines des finalités étaient exprimées dans des termes vagues et larges, qui ne permettaient pas à l’utilisateur de comprendre précisément quelles données personnelles sont utilisées et pour quels objectifs.

3. Un manquement au respect du droit d’accès (article 15.1 du RGPD)

Lorsqu’une personne exerçait auprès d’elle son droit d’accès, la société lui transmettait, sous forme de tableaux, les données extraites de 3 des 6 tables composant sa base de données. La formation restreinte a pourtant relevé que les données personnelles contenues dans 2 des 3 autres tables devaient être communiquées aux personnes. En outre, lorsque la société transmettait ces tableaux, elle ne leur fournissait pas d’informations suffisantes pour leur permettre de comprendre leur contenu.

4. Un manquement au respect du droit de retrait du consentement et de l’effacement de ses données (articles 7.3 et 17.1 du RGPD)

Lorsqu’une personne exerçait son droit au retrait du consentement ou à l’effacement de ses données, le processus mis en œuvre par la société avait seulement pour effet d’arrêter l’affichage de publicités personnalisées à l’utilisateur. Pour autant, la société ne procédait ni à la suppression de l’identifiant attribué à la personne, ni à l’effacement des évènements de navigation liés à cet identifiant.

5. Un manquement à l’obligation de prévoir un accord entre responsables conjoints de traitement (article 26 du RGPD)

L’accord conclu par la société avec ses partenaires ne précisait pas certaines des obligations respectives des responsables de traitements vis-à-vis d’exigences contenues dans le RGPD, telles que l’exercice par les personnes concernées de leurs droits, l’obligation de notification d’une violation de données à l’autorité de contrôle et aux personnes concernées ou bien, si nécessaire, la réalisation d’une étude d’impact au titre de l’article 35 du RGPD.

Entreprises cyber-assurées : pas d’indemnisation sans plainte dans les 72 heures !

10 mars 2023 |  Droit des nouvelles technologies

A partir du 25 avril 2023, l’indemnisation par les assurances des pertes et dommages d’une entreprise subis à raison de cyberattaques sera conditionnée au dépôt de plainte réalisé dans les 72 heures de la découverte de l’attaque !

Le 24 janvier 2023, la loi d’orientation et de programmation du ministère de l’intérieur (aussi appelée « LOPMI ») a été adoptée et publiée au Journal Officiel le lendemain.

Cette loi comporte un « cavalier législatif », c’est-à-dire une disposition sans lien avec le sujet traité par la loi, qui concernera toutes les entreprises et tous les entrepreneurs individuels dès le 25 avril 2023 !

Cette loi intègre un nouveau chapitre X dans le code des assurances et un nouvel article L12-10-1 qui prévoit :

« Chapitre X

« L’assurance des risques de cyberattaques

« Art. L. 12-10-1.-Le versement d’une somme en application de la clause d’un contrat d’assurance visant à indemniser un assuré des pertes et dommages causés par une atteinte à un système de traitement automatisé de données mentionnée aux articles 323-1 à 323-3-1 du code pénal est subordonné au dépôt d’une plainte de la victime auprès des autorités compétentes au plus tard soixante-douze heures après la connaissance de l’atteinte par la victime.

« Le présent article s’applique uniquement aux personnes morales et aux personnes physiques dans le cadre de leur activité professionnelle. »

II.-Le I entre en vigueur trois mois après la promulgation de la présente loi ».

Cette disposition concerne toute personne morale et personne physique dans le cadre de ses activités professionnelles !

Concrètement, cet article prévoit que l’indemnisation des préjudices résultant d’une cyberattaque sera conditionnée à la plainte de la victime auprès des autorités compétentes, dans les 72h de la découverte de l’attaque.

En l’absence de plainte, aucune indemnisation ne sera versée à la victime.

Cette règle, qui entrera en application au 25 avril 2023, sera applicable à tous les contrats en cours, y compris ceux prévoyant expressément une protection sans condition ou sans condition similaire de ces risques.

Cette condition légale inédite a été pensée comme d’ordre public, ce qui signifie qu’il ne sera pas possible pour les assurés de renégocier leurs contrats ou de négocier leurs contrats à venir pour obtenir des conditions plus favorables ! Aucune stipulation plus avantageuse ne permettra d’écarter cette condition de plainte dans les 72h.

La meilleure solution reste donc encore de se prémunir contre les cyberattaques en renforçant son système d’information ! D’autant que les activités cybercriminelles sont loin d’être en voie d’extinction…

La copie d’une signature apposée sur un PDF vaut signature

03 mars 2023 |  Droit des nouvelles technologies

L’apposition d’une signature sous forme d’une image numérisée (photocopie) sur un PDF, lorsqu’il n’est pas contesté que cette signature est celle du cocontractant et qu’elle permet d’identifier son auteur, vaut signature au sens de l’article 1367 du code civil.

C’est le sens de la décision rendue par la Cour de cassation le 14 décembre 2022 à propos d’un contrat de travail à durée déterminée comportant la signature photocopiée de l’employeur, et non sa signature manuscrite.

A la rupture du contrat, le salarié a saisi la juridiction prud’homale pour faire requalifier son contrat en contrat de travail à durée indéterminée, et donc faire condamner son employeur au paiement d’une indemnité de requalification, en prenant justement prétexte de ce qu’il estime être une « absence de signature ».

Selon lui, la signature présente sur le contrat étant une image numérique, elle ne correspond ni à une signature manuscrite, ni à une signature électronique au sens de l’article 1367 du code civil et n’a donc aucune valeur juridique.

La cour d’appel et la Cour de cassation rejettent cette argumentation.

Si en effet la signature numérisée n’est pas une signature électronique au sens du code civil, il n’était dans les faits pas contesté que cette signature était bien celle du dirigeant de la société (habilité à signer ce type de contrat) et qu’elle permettait de l’identifier.

Partant, la Cour de cassation considère que la signature manuscrite numérisée du gérant ne vaut pas absence de signature et ne permet pas la requalification du contrat de travail à durée déterminée en contrat de travail à durée indéterminée.

Cette décision traduit le refus d’instrumentalisation des dispositions relatives au formalisme contractuel pour obtenir un avantage quelconque.

L’enjeu du nouveau référentiel CNIL sur le RGPD en pharmacie

29 juillet 2022  |  Droit des nouvelles technologies

Par délibération du 02 juin 2022, un référentiel CNIL spécifiquement applicable aux officines de pharmacie et à leurs prestataires est entré en vigueur, commenté ici le 22 juillet par l’ordre des pharmaciens.

Quatre ans après l’entrée en vigueur du RGPD, la CNIL cible donc à présent les pharmacies, et il faut désormais s’attendre à un renforcement des contrôles et sanctions dans ce secteur.

Notre département IT/Data accompagne les pharmacies dans leur mise en conformité et dans leur maintien des bonnes pratiques, afin de limiter leurs risques de sanction et de mauvaise publicité.

Notre auto-évaluation en ligne peut vous permettre de faire le point sur votre conformité et vos risques RGPD : http://lexpart-rgpd.eu/index.php/128932?lang=fr.

Boutique en ligne : quell formule utiliser sur le bouton de validation du panier ?

29 juin 2022  |  Droit des nouvelles technologies

Dans un arrêt du 7 avril 2022, la Cour de Justice de l’Union Européenne rappelle les principes applicables en la matière.

Le professionnel doit veiller à ce que le consommateur, lorsqu’il passe sa commande, reconnaisse explicitement que celle-ci implique une obligation de payer.

Ainsi, à défaut de l’emploi de la formule « commande avec obligation de paiement », l’existence d’une formule analogue dépend du sens des termes utilisés qui doit être dégagé, in abstracto, de leur emploi dans le langage commun par référence au standard du consommateur moyen.

En conséquence, si cette stricte objectivité est en pratique peu réaliste, les juridictions internes peuvent être guidées par l’exigence que la formule utilisée soit nécessairement et systématiquement associée à la naissance d’une obligation de paiement.

Il est donc conseillé aux éditeurs de sites e-commerce de veiller à utiliser une terminologie suffisamment explicite, comme par exemple ; « Valider et payer », « Valider et passer au paiement », « Passer au paiement », « Finaliser la réservation », ou encore d’écrire en caractères lisibles, sous le bouton ou au-dessus de celui-ci : « cliquer vous engage à régler votre commande ».

Relations B2B : si vous n’y renvoyez pas dans vos contrats, vos CGV n’ont aucune valeur !

13 Mai 2022  |  Droit des nouvelles technologies

C’est ce que rappelle la Cour de cassation dans un arrêt de sa chambre commerciale du 16 mars 2022 (n°20-22.269).

La Cour confirme l’arrêt d’une cour d’appel qui avait jugé que les conditions générales du vendeur n’étaient pas opposables à l’acheteur aux motifs que le contrat ne renvoie pas à celles-ci et que la preuve de leur acceptation expresse n’était pas rapportée.

A noter que la Cour a jugé que l’acheteur n’a pas accepté tacitement les conditions générales « en dépit de relations d’affaires suivies, dès lors que [l’acheteur]contest [ait]les livraisons dont le règlement lui est demandé », peu importe que les CGV figurent au dos des factures.

Il s’agit d’une application des solutions dégagées par la jurisprudence et désormais reprises dans le Code civil (C. civ., art. 1119).

CNIL : 3 entreprises mises en demeure pour non-respect des règles de prospection commerciale

08 Avril 2022  |  Droit des nouvelles technologies

Si certains doutaient encore des risques d’amende ou d’injonction en cas de non-respect des règles relatives à la prospection commerciale, tout doute est définitivement levé depuis hier.

Le 7 avril 2022, la CNIL a adressé à 3 entreprises des mises en demeure préliminaires à toute sanction pour avoir adopté des comportements contraires aux règles en vigueur :

• Un des 3 organismes a transmis des données personnelles à des partenaires souhaitant réaliser de la prospection commerciale sans en informer les personnes sur le support de collecte des données ;
• Les 3 organismes visés par les mises en demeure collectent puis transmettent des données personnelles à des partenaires souhaitant réaliser de la prospection commerciale par courrier électronique et SMS mais ne recueillent pas le consentement des personnes pour le faire. Cette transmission de données est donc dépourvue de base légale (article 6 du RGPD).

Cette actualité nous rappelle la nécessité pour toute entreprise de :

• S’assurer que seules les personnes ayant consenti (ou reconsenti) depuis moins de 3 ans sont dans les listes de mailings ou de campagnes SMS ;
• Vérifier quelles traces et preuves informatiques démontrent que la personne concernée a bien consenti ;
• Journaliser et démontrer sur simple demande de la CNIL la date de consentement de tout prospect à tout moment dans le système d’information.

Une nouvelle procédure simplifiée de sanction pour la CNIL

23 Février 2022  |  Droit des nouvelles technologies

Depuis l’entrée en vigueur du RGPD, les sanctions de la CNIL étaient systématiquement rendues par la formation restreinet composée de 6 membres.

La loi n°2022-52 du 24 janvier 2022 instaure une procédure alternative : désormais, pour certaines affaires, la décision sera prise par un seul membre de la formation restreinte.

La procédure ne s’exerce que sous deux conditions cumulatives :

– lorsque le président de la CNIL estime que l’une des sanctions suivantes est adaptée : rappel à l’ordre, injonction de mise en conformité, le cas échéant sous astreinte (100€ par jour de retard maximum), ou amende n’excédant pas 20 000 € ;

– lorsque l’affaire ne présente pas de difficulté particulière en fait ou en droit.

Un décret d’application est attendu prochainement pour encadrer cette nouvelle procédure simplifiée.

Utilisateur d’un logiciel, puis-je le décompiler pour résoudre un bug ?

02 février 2022  |  Droit des nouvelles technologies

Rappelons d’abord qu’en principe, le fait de décompiler un logiciel sur lequel on dispose d’une licence est susceptible de constituer une atteinte au droit d’auteur.

S’il faut donc absolument s’abstenir de recourir à un tel procédé, la Cour de Justice de l’UE a rendu le 06 octobre 2021 un arrêt tranchant la question de savoir si un utilisateur est en droit ou non de décompiler un logiciel pour résoudre un bug.

Selon la juridiction européenne : « l’acquéreur légitime d’un programme d’ordinateur est en droit de procéder à la décompilation de tout ou partie de celui-ci afin de corriger des erreurs affectant le fonctionnement de ce programme, y compris quand la correction consiste à désactiver une fonction qui affecte le bon fonctionnement de l’application dont fait partie ledit programme ».

Aussi faut-il se cantonner à décompiler pour corriger l’erreur et seulement dans la mesure du nécessaire, à défaut de quoi la responsabilité de celui qui décompile pourra être recherchée sur le terrain du droit d’auteur.

Cookies : pas à jour des nouvelles règles entrées en vigueur en mars 2021, FACEBOOK et GOOGLE condamnés à 150 et 60 millions d’euros d’amende

11 janvier 2022  |  Droit des nouvelles technologies

La formation restreinte, organe de la CNIL chargée de prononcer les sanctions, a constaté, à la suite de contrôles, que les sites web facebook.com, google.fr et youtube.com proposent un bouton permettant d’accepter immédiatement les cookies. En revanche, ils ne mettent pas en place de solution équivalente (bouton ou autre) pour permettre à l’internaute de refuser facilement le dépôt de ces cookies. Plusieurs clics sont nécessaires pour refuser tous les cookies, contre un seul pour les accepter.

La formation restreinte a considéré que ce procédé porte atteinte à la liberté du consentement : dès lors que, sur internet, l’utilisateur s’attend à pouvoir rapidement consulter un site, le fait de ne pas pouvoir refuser les cookies aussi simplement qu’on peut les accepter biaise son choix en faveur du consentement. Cela constitue une violation de l’article 82 de la loi Informatique et Libertés. 

Du fait de ce manquement, la formation restreinte de la CNIL a prononcé :

• deux amendes pour un total de 150 M€ contre GOOGLE (90 millions d’euros pour la société GOOGLE LLC et 60 millions d’euros pour la société GOOGLE IRELAND LIMITED) ;
• une amende de 60 M€ contre FACEBOOK IRELAND LIMITED.

En complément des amendes, la formation restreinte a enjoint aux sociétés de mettre à disposition des internautes situés en France, dans un délai de 3 mois, un moyen permettant de refuser les cookies aussi simplement que celui existant pour les accepter, afin de garantir la liberté de leur consentement. À défaut, les sociétés devront chacune payer une astreinte de 100 000 euros par jour de retard.

Il est donc temps, pour les sociétés n’ayant pas encore franchi le cap de mettre à jour leur outil de collecte et d’information sur les cookies de se pencher sur ce sujet…

CNIL : 180 000 € d’amende pour SLIMPAY pour avoir manqué à son obligation de sécuriser les données personnelles (et ne pas avoir notifié la violation de données aux personnes concernées)

10 janvier 2022  |  Droit des nouvelles technologies

Crée en 2013, la société SLIMPAY est un établissement de paiement agréé qui propose notamment des solutions de paiements récurrents à ses clients. Courant 2015, elle a effectué un projet de recherche interne, lors duquel elle a utilisé les données personnelles contenues dans ses bases de données. Lorsque le projet de recherche s’est terminé en juillet 2016, les données sont restées stockées sur un serveur, qui ne faisait pas l’objet d’une procédure de sécurité particulière et qui était librement accessible depuis Internet. Ce n’est qu’en février 2020 que la société SLIMPAY s’est aperçue de la violation de données, qui a concerné environ 12 millions de personnes.

La CNIL a effectué un contrôle auprès de la société SLIMPAY en 2020. Elle a constaté plusieurs manquements concernant le traitement de données personnelles des clients :

• Un manquement à l’obligation d’encadrer par un acte juridique formalisé, les traitements effectuées par un sous-traitant de données ;
• Un manquement à l’obligation d’assurer la sécurité des données personnelles ;
• Un manquement à l’obligation d’informer les personnes concernées d’une violation de leurs données personnelles.

La violation de données passée sous silence concernait tout de même 12 millions de personnes, et concernait : des données d’état civil (civilité, nom, prénom), les adresses postales et électroniques, les numéros de téléphone et des informations bancaires (BIC/IBAN)

À l’issue de ce processus, la formation restreinte a prononcé une amende de 180 000 euros et a décidé de rendre publique sa décision.

Logiciels et applis mobiles : obligations renforcées pour les éditeurs et vendeurs au 1er janvier 2022

07 Décembre 2021  |  Droit des nouvelles technologies

Tenir un fichier de décompte des jours de grève du personnel, est-ce interdit ?

12 Novembre 2021  |  Droit des nouvelles technologies

C’est en tout cas ce que l’on serait tenté de penser en lisant la décision de la CNIL du 29 octobre 2021, sanctionnant la RATP d’une amende de 400 000 € pour ne pas avoir empêché certains membres de son personnel de mettre en place un tel traitement.

La CNIL relève qu’un tel fichier constitue un manquement relatif à l’obligation de veiller à l’adéquation, à la pertinence et au caractère non excessif des données à caractère personnel traitées en application des articles 5.1.c et 5.2 du RGPD.

Peu importe qu’il s’agisse d’une initiative de certains employés, ajoute la CNIL, de tels faits auraient dû être empêchés par la mise en place d’une formation suffisante du personnel par l’employeur.

Plus sévère peut-être : peu importe également qu’une telle pratique ait été commise en méconnaissance des règles internes de l’entreprise, précise la décision de sanction.

Pour évaluer le montant de l’amende, la CNIL indique avoir tenu compte de :

• la nature, la gravité et la durée de la violation,
• les mesures prises par le responsable du traitement pour atténuer le dommage subi par les personnes concernées,
• le degré de coopération avec l’autorité de contrôle
• et les catégories de données à caractère personnel concernées par la violation.