Actualités
Les transferts de données personnelles vers les USA à nouveau autorisés
10 juillet 2023 | Droit des nouvelles technologies
🏖️🇺🇸 Les USA, à nouveau destination touristique à la mode pour vos données personnelles !
🤔 Depuis le 16 juillet 2020, les transferts de données personnelles à destination des USA (entreprises ou serveurs basés aux USA) étaient interdits depuis l’invalidation d’une décision UE 2016/1250 d’adéquation nommée « Privacy Shield ». Depuis lors, il était juridiquement devenu impossible de justifier, dans la plupart des cas, le recours à un sous-traitant ou destinataire de données américain.
➡️ Cette situation intenable est à présent révolue (du moins jusqu’à la possible prochaine invalidation du nouvel accord…).
En effet, la Commission Européenne a adopté ce jour une décision d’ #adéquation au bénéfice des entreprises américaines, le #DataPrivacyFramework.
⚠️ ATTENTION ! Cette autorisation n’est pas générale, puisqu’elle bénéficiera uniquement aux entreprises qui figureront sur une liste publiée par le Ministère Américain du Commerce.
Cette liste n’est pas encore publiée à l’heure où nous écrivons ces lignes, mais ce lien vous permettra de vérifier l’adéquation de votre fournisseur américain à la réglementation : https://www.dataprivacyframework.gov/s/participant-search
🤌D’accord, mais qu’est-ce que cela change ?🤌
Si la société US à laquelle vous souhaitez #transférer des données est dans cette liste :
➡️ Cela ne sera plus interdit ;
➡️ Vous n’aurez pas à encadrer le transfert par un outil juridique supplémentaire : c’est comme si votre partenaire était en Union Européenne !
🤔 Si votre fournisseur #américain est dans cette liste, quelles sont vos obligations réglementaires ? 🤔
Et bien vos autres obligations légales ne changent pas et que vous devrez toujours :
➡️ Au plus tard lors de la collecte des données transférées, informer les personnes concernées de l’existence et des conditions de ce transfert ;
➡️ Conclure par un écrit un contrat de sous-traitance #RGPD pour encadrer le transfert lorsqu’il s’agit d’une sous-traitance.
La CNIL annonce à court terme un certain nombre de précisions et communications de sa part sur le sujet. Nous vous tiendrons naturellement informés au fil du temps sur notre page LinkedIn !
Régulation de l’Intelligence Artificielle en UE : cela se précise…
24 juin 2023 | Droit des nouvelles technologies
Les députés du Parlement européen ont donné leur accord préliminaire au projet de régulation de l’intelligence artificielle (« IA Act ») de l’Union européenne.
L’objectif de l’UE est de devenir le premier acteur à adopter un cadre juridique complet pour encadrer l’utilisation de l’IA, en limitant les abus potentiels tout en favorisant l’innovation sécurisée.
Ce sujet complexe a suscité de longs débats, en particulier concernant les risques posés par les systèmes d’IA générative capables de créer des textes et des images.
Ce règlement ne sera pas mis en application avant 2026, mais en anticiper les grands apports permettra à ceux qui mènent actuellement un projet basé sur un système d’I.A. de s’adapter aux contraintes légales et réglementaires à venir.
Les IA interdites concerneront les applications contraires aux valeurs européennes, à savoir :
- les systèmes d’identification biométriques à distance en « temps réel » dans les espaces accessibles au public;
- les systèmes d’identification biométrique à distance « a posteriori », à la seule exception des forces de l’ordre pour la poursuite de crimes graves, et seulement après autorisation judiciaire;
- les systèmes d’identification biométrique utilisant des caractéristiques sensibles (par exemple, le genre, la race, l’origine ethnique, le statut de citoyen, la religion, l’orientation politique);
- les systèmes de police prédictive (fondés sur le profilage, la localisation ou le comportement criminel passé);
- les systèmes de reconnaissance des émotions utilisés dans les services répressifs, la gestion des frontières, le lieu de travail et les établissements d’enseignement;
- la saisie non ciblée d’images faciales provenant d’internet ou de séquences de vidéosurveillance en vue de créer des bases de données de reconnaissance faciale (ce qui constitue une violation des droits humains et du droit au respect de la vie privée).
Les IA soumises à autorisation préalable, qualifiées d’IA à haut risque, seront celles qui portent gravement atteinte à la santé, à la sécurité et aux droits fondamentaux des personnes ou à l’environnement. Les systèmes d’IA utilisés pour influencer les électeurs et le résultat des élections, ainsi que les systèmes d’IA utilisés dans les systèmes de recommandation exploités par les plateformes de médias sociaux font partie de cette catégorie.
Les autres systèmes d’IA seront soumis à des obligations de transparence, de documentation, de gestion des risques et de sécurité dépendant de leur niveau de risque pour la population, sans pour autant relever d’un régime d’autorisation préalable.
Un mot sur les IA génératives (type ChatGPT, ou celles créant des deepfakes) : toute production réalisée par une IA générative devra explicitement mentionner au public qu’il l’a été par un système d’IA.
Enfin, un régime de dépôt de plainte pénale à l’égard des systèmes d’IA est en cours d’élaboration.
Entreprises cyber-assurées : pas d’indemnisation sans plainte dans les 72 heures !
10 mars 2023 | Droit des nouvelles technologies
A partir du 25 avril 2023, l’indemnisation par les assurances des pertes et dommages d’une entreprise subis à raison de cyberattaques sera conditionnée au dépôt de plainte réalisé dans les 72 heures de la découverte de l’attaque !
Le 24 janvier 2023, la loi d’orientation et de programmation du ministère de l’intérieur (aussi appelée « LOPMI ») a été adoptée et publiée au Journal Officiel le lendemain.
Cette loi comporte un « cavalier législatif », c’est-à-dire une disposition sans lien avec le sujet traité par la loi, qui concernera toutes les entreprises et tous les entrepreneurs individuels dès le 25 avril 2023 !
Cette loi intègre un nouveau chapitre X dans le code des assurances et un nouvel article L12-10-1 qui prévoit :
« Chapitre X
« L’assurance des risques de cyberattaques
« Art. L. 12-10-1.-Le versement d’une somme en application de la clause d’un contrat d’assurance visant à indemniser un assuré des pertes et dommages causés par une atteinte à un système de traitement automatisé de données mentionnée aux articles 323-1 à 323-3-1 du code pénal est subordonné au dépôt d’une plainte de la victime auprès des autorités compétentes au plus tard soixante-douze heures après la connaissance de l’atteinte par la victime.
« Le présent article s’applique uniquement aux personnes morales et aux personnes physiques dans le cadre de leur activité professionnelle. »
II.-Le I entre en vigueur trois mois après la promulgation de la présente loi ».
Cette disposition concerne toute personne morale et personne physique dans le cadre de ses activités professionnelles !
Concrètement, cet article prévoit que l’indemnisation des préjudices résultant d’une cyberattaque sera conditionnée à la plainte de la victime auprès des autorités compétentes, dans les 72h de la découverte de l’attaque.
En l’absence de plainte, aucune indemnisation ne sera versée à la victime.
Cette règle, qui entrera en application au 25 avril 2023, sera applicable à tous les contrats en cours, y compris ceux prévoyant expressément une protection sans condition ou sans condition similaire de ces risques.
Cette condition légale inédite a été pensée comme d’ordre public, ce qui signifie qu’il ne sera pas possible pour les assurés de renégocier leurs contrats ou de négocier leurs contrats à venir pour obtenir des conditions plus favorables ! Aucune stipulation plus avantageuse ne permettra d’écarter cette condition de plainte dans les 72h.
La meilleure solution reste donc encore de se prémunir contre les cyberattaques en renforçant son système d’information ! D’autant que les activités cybercriminelles sont loin d’être en voie d’extinction…
Un nouveau guide publié par la CNIL à destination des recruteurs
10 mars 2023 | Droit des nouvelles technologies
Dans la Lex-Part infos de décembre 2022 nous vous informions qu’il était désormais possible pour les entreprises de faire certifier certains de leurs traitements de données par un organisme certificateur.
Les articles 24 et 42 du RGPD prévoient que les responsables de traitement et/ou les sous-traitants puissent obtenir une certification d’une durée de 3 ans, renouvelable, qui fera foi de conformité en cas de contrôle.
Cette certification ne peut être délivrée que par les autorités de contrôle (la CNIL) ou des organismes tiers préalablement agréés par la CNIL ou par le Comité français d’accréditation (qui a conclu une convention de coopération avec la CNIL qui lui délègue notamment son pouvoir d’agrément)
Afin d’éviter la prolifération d’organismes qui ne suivraient pas scrupuleusement le référentiel approuvé par elle et de limiter le nombre de demandes d’agrément, la CNIL a établi un référentiel déterminant des critères auxquels devront répondre les organismes aspirant à l’obtention de l’agrément.
La CNIL pose des exigences générales, les organismes doivent notamment être transparents sur les financements qu’ils reçoivent et ne pas entretenir de liens significatifs avec les clients qu’ils certifient.
Ils doivent également pouvoir démontrer qu’ils disposent de procédures et mesures conformes au RGPD en matière de traitement des données personnelles de leurs clients et que leurs salariés sont formés à la protection des données à caractère personnel et disposent de connaissances et d’une expérience appropriée.
Ce référentiel prévoit une liste d’éléments qui devront être transmis par le candidat à la certification à l’organisme certificateur :
- Description de la structure et de ses liens avec d’autres organisations,
- Liste des transferts de données à des organismes situées dans un pays tiers de l’Union Européenne,
- Liste des sous-traitants et responsables de traitements conjoints,
- Caractéristiques générales des traitements (dont les catégories de données traitées)
La copie d’une signature apposée sur un PDF vaut signature
03 mars 2023 | Droit des nouvelles technologies
L’apposition d’une signature sous forme d’une image numérisée (photocopie) sur un PDF, lorsqu’il n’est pas contesté que cette signature est celle du cocontractant et qu’elle permet d’identifier son auteur, vaut signature au sens de l’article 1367 du code civil.
C’est le sens de la décision rendue par la Cour de cassation le 14 décembre 2022 à propos d’un contrat de travail à durée déterminée comportant la signature photocopiée de l’employeur, et non sa signature manuscrite.
A la rupture du contrat, le salarié a saisi la juridiction prud’homale pour faire requalifier son contrat en contrat de travail à durée indéterminée, et donc faire condamner son employeur au paiement d’une indemnité de requalification, en prenant justement prétexte de ce qu’il estime être une « absence de signature ».
Selon lui, la signature présente sur le contrat étant une image numérique, elle ne correspond ni à une signature manuscrite, ni à une signature électronique au sens de l’article 1367 du code civil et n’a donc aucune valeur juridique.
La cour d’appel et la Cour de cassation rejettent cette argumentation.
Si en effet la signature numérisée n’est pas une signature électronique au sens du code civil, il n’était dans les faits pas contesté que cette signature était bien celle du dirigeant de la société (habilité à signer ce type de contrat) et qu’elle permettait de l’identifier.
Partant, la Cour de cassation considère que la signature manuscrite numérisée du gérant ne vaut pas absence de signature et ne permet pas la requalification du contrat de travail à durée déterminée en contrat de travail à durée indéterminée.
Cette décision traduit le refus d’instrumentalisation des dispositions relatives au formalisme contractuel pour obtenir un avantage quelconque.
Le chargeur universel désormais obligatoire en UE
10 janvier 2023 | Droit des nouvelles technologies
Une nouvelle directive de l’Union européenne rend obligatoire la présence d’un port de recharge de type USB-C pour une grande variété d’appareils électroniques mis sur le marché : téléphones mobiles portatifs, tablettes, caméras numériques, ordinateurs portables…
En outre, il sera possible, pour les utilisateurs de ces appareils électroniques, d’acheter un nouvel équipement, au choix, avec ou sans dispositif de charge.
Enfin, le texte impose aux entreprises d’intégrer, aux fins d’informer clairement les utilisateurs :
- Un pictogramme indiquant si un dispositif de charge est ou non fourni avec l’appareil ;
- Une étiquette indiquant les capacités de chargement de l’appareil.
Entrée en vigueur de la règlementation :
- La règlementation sera applicable à partir du 28 décembre 2024,
- Sauf pour les ordinateurs portables pour lesquels elle ne s’appliquera qu’à compter du 28 avril 2026.
Les conditions matérielles de mise en œuvre de cette règlementation ne sont pas encore précisées et le seront en droit interne avant fin 2023 !
L’enjeu du nouveau référentiel CNIL sur le RGPD en pharmacie
29 juillet 2022 | Droit des nouvelles technologies
Par délibération du 02 juin 2022, un référentiel CNIL spécifiquement applicable aux officines de pharmacie et à leurs prestataires est entré en vigueur, commenté ici le 22 juillet par l’ordre des pharmaciens.
Quatre ans après l’entrée en vigueur du RGPD, la CNIL cible donc à présent les pharmacies, et il faut désormais s’attendre à un renforcement des contrôles et sanctions dans ce secteur.
Notre département IT/Data accompagne les pharmacies dans leur mise en conformité et dans leur maintien des bonnes pratiques, afin de limiter leurs risques de sanction et de mauvaise publicité.
Notre auto-évaluation en ligne peut vous permettre de faire le point sur votre conformité et vos risques RGPD : http://lexpart-rgpd.eu/index.php/128932?lang=fr.
La CNIL met en demeure 22 communes de désigner un délégué à la protection des données
26 juillet 2022 | Droit des nouvelles technologies
Les caméras dites « augmentées » ou « intelligentes » sont en plein développement et suscitent de nombreuses questions sur lesquelles la CNIL est régulièrement saisie.
Après avoir organisé une consultation publique, la CNIL publiait le 19 juillet 2022 sa position sur cette technologie et le cadre juridique applicable pour fixer des lignes rouges et apporter de la sécurité juridique aux acteurs.
Si à ce stade, leur utilisation par la force publique n’est pas autorisée par la loi française, elle ne peut non plus être envisagée pour vérifier la présence de salariés à leur poste.
Boutique en ligne : quell formule utiliser sur le bouton de validation du panier ?
29 juin 2022 | Droit des nouvelles technologies
Dans un arrêt du 7 avril 2022, la Cour de Justice de l’Union Européenne rappelle les principes applicables en la matière.
Le professionnel doit veiller à ce que le consommateur, lorsqu’il passe sa commande, reconnaisse explicitement que celle-ci implique une obligation de payer.
Ainsi, à défaut de l’emploi de la formule « commande avec obligation de paiement », l’existence d’une formule analogue dépend du sens des termes utilisés qui doit être dégagé, in abstracto, de leur emploi dans le langage commun par référence au standard du consommateur moyen.
En conséquence, si cette stricte objectivité est en pratique peu réaliste, les juridictions internes peuvent être guidées par l’exigence que la formule utilisée soit nécessairement et systématiquement associée à la naissance d’une obligation de paiement.
Il est donc conseillé aux éditeurs de sites e-commerce de veiller à utiliser une terminologie suffisamment explicite, comme par exemple ; « Valider et payer », « Valider et passer au paiement », « Passer au paiement », « Finaliser la réservation », ou encore d’écrire en caractères lisibles, sous le bouton ou au-dessus de celui-ci : « cliquer vous engage à régler votre commande ».
La CNIL met en demeure 22 communes de désigner un délégué à la protection des données
14 juin 2022 | Droit des nouvelles technologies
La CNIL, dans une publication 31 mai 2022, a indiqué avoir mis en demeure 22 collectivités territoriales de désigner un DPO.
En juin 2021, la CNIL, qui avait concentré son action de contrôle sur les communes de plus de 20 000 habitants, a alerté celles qui n’avaient pas désigné de délégué à la protection des données. Près d’un an après cette mise en garde, elle a cependant constaté que certaines de ces communes n’avaient pas encore accompli cette démarche. En conséquence, la présidente de la CNIL les a mises en demeure de procéder à cette désignation.
Cette actualité est l’occasion de rappeler que toute entreptrise, toute association, toute personne morale de droit privé doit désigner un DPO :
- Lorsque les activités de base du responsable de traitement ou du sous-traitant sont des opérations de traitement qui, du fait de leur nature, impliquent un contrôle régulier et systématique des personnes concernées à grande échelle ; ou
- Lorsque les activités de base du responsable de traitement ou du sous-traitant consistent à traiter à grande échelle des données sensibles.
Relations B2B : si vous n’y renvoyez pas dans vos contrats, vos CGV n’ont aucune valeur !
13 Mai 2022 | Droit des nouvelles technologies
C’est ce que rappelle la Cour de cassation dans un arrêt de sa chambre commerciale du 16 mars 2022 (n°20-22.269).
La Cour confirme l’arrêt d’une cour d’appel qui avait jugé que les conditions générales du vendeur n’étaient pas opposables à l’acheteur aux motifs que le contrat ne renvoie pas à celles-ci et que la preuve de leur acceptation expresse n’était pas rapportée.
A noter que la Cour a jugé que l’acheteur n’a pas accepté tacitement les conditions générales « en dépit de relations d’affaires suivies, dès lors que [l’acheteur]contest [ait]les livraisons dont le règlement lui est demandé », peu importe que les CGV figurent au dos des factures.
Il s’agit d’une application des solutions dégagées par la jurisprudence et désormais reprises dans le Code civil (C. civ., art. 1119).
Peut-on prouver l’existence d’un contrat par un enregistrement téléphonique ?
13 Mai 2022 | Droit des nouvelles technologies
La CNIL, dans une publication du 25 avril 2022, répond à cette question.
L’enregistrement de conversations téléphoniques à des fins de preuve de la formation du contrat est autorisé, sous réserve d’être nécessaire. Ainsi, l’entreprise devra démontrer qu’elle ne dispose pas d’autres moyens pour prouver qu’un contrat a été conclu avec la personne concernée.
Il convient de distinguer les contrats qui peuvent être conclus à l’oral de ceux pour lesquels l’accord doit nécessairement se matérialiser par un acte écrit. Pour les contrats écrits, l’enregistrement n’est pas nécessaire afin d’établir sa conclusion, celle-ci pouvant reposer sur la production des documents imposés par la loi.
Pour les contrats pouvant être souscrits à l’oral :
- si l’enregistrement de conversations semble possible, le principe de minimisation des données doit, en tout état de cause, être respecté.
- les enregistrements ne peuvent être ni permanents ni systématiques.
- seules les conversations portant sur la conclusion d’un contrat par voie téléphonique peuvent être enregistrées.
- la conversation ne peut être enregistrée qu’à partir du moment où son objet porte clairement sur la conclusion d’un contrat.
- le client doit préalablement être informé de l’enregistrement téléphonique et de ses droits.
CNIL : 3 entreprises mises en demeure pour non-respect des règles de prospection commerciale
08 Avril 2022 | Droit des nouvelles technologies
Si certains doutaient encore des risques d’amende ou d’injonction en cas de non-respect des règles relatives à la prospection commerciale, tout doute est définitivement levé depuis hier.
Le 7 avril 2022, la CNIL a adressé à 3 entreprises des mises en demeure préliminaires à toute sanction pour avoir adopté des comportements contraires aux règles en vigueur :
- Un des 3 organismes a transmis des données personnelles à des partenaires souhaitant réaliser de la prospection commerciale sans en informer les personnes sur le support de collecte des données ;
- Les 3 organismes visés par les mises en demeure collectent puis transmettent des données personnelles à des partenaires souhaitant réaliser de la prospection commerciale par courrier électronique et SMS mais ne recueillent pas le consentement des personnes pour le faire. Cette transmission de données est donc dépourvue de base légale (article 6 du RGPD).
Cette actualité nous rappelle la nécessité pour toute entreprise de :
- S’assurer que seules les personnes ayant consenti (ou reconsenti) depuis moins de 3 ans sont dans les listes de mailings ou de campagnes SMS ;
- Vérifier quelles traces et preuves informatiques démontrent que la personne concernée a bien consenti ;
- Journaliser et démontrer sur simple demande de la CNIL la date de consentement de tout prospect à tout moment dans le système d’information.
Prestataires informatiques : de l’art de bien cadrer sa responsabilité…
01 Avril 2022 | Droit des nouvelles technologies
La lecture d’un arrêt de la Cour d’appel de Rennes du 4 janvier 2022 nous rappelle l’importance de bien déterminer contractuellement, dans tous les contrats informatiques, les responsabilités de chacun.
En l’espèce, un prestataire informatique assurait l’assistance et la maintenance d’un logiciel métier RH pour le compte d’une entreprise. Cela comprenait notamment la sauvegarde des données de cette dernière.
A l’occasion d’une migration de logiciel, le prestataire a mal migré les bases de données SQL (ce que les tests par le prestataire et le client n’avaient pas permis de déceler).
Une attaque informatique subie par le client plusieurs années pus tard a révélé ce manquement… et toutes les données étaient perdues. Le client n’a eu d’autre choix que de procéder à la réintégration de toutes les données…à la main !
Pour ne pas être sanctionné, le prestataire a objecté en justice que le dommage subi par le client résultait d’une attaque informatique dont il n’était pas responsable.
Les juges ont rejeté cette argumentation en indiquant que le client, qui n’a pas de compétence particulière experte sur le sujet, n’a pas à s’assurer de la compatibilité des données avec les logiciels utilisés pour la sauvegarde qu’il réalise chaque jour : c’est au prestataire chargé de la sauvegarde d’avertir le client en cas d’obsolescence du système de sauvegarde, qu’il l’ait décelée ou soit passé à côté du sujet…
Une fois encore, les contrats informatiques sont aujourd’hui au coeur des risques des entreprises : veillez à sécuriser leur négociation et leur rédaction !
Une nouvelle procédure simplifiée de sanction pour la CNIL
23 Février 2022 | Droit des nouvelles technologies
Depuis l’entrée en vigueur du RGPD, les sanctions de la CNIL étaient systématiquement rendues par la formation restreinet composée de 6 membres.
La loi n°2022-52 du 24 janvier 2022 instaure une procédure alternative : désormais, pour certaines affaires, la décision sera prise par un seul membre de la formation restreinte.
La procédure ne s’exerce que sous deux conditions cumulatives :
– lorsque le président de la CNIL estime que l’une des sanctions suivantes est adaptée : rappel à l’ordre, injonction de mise en conformité, le cas échéant sous astreinte (100€ par jour de retard maximum), ou amende n’excédant pas 20 000 € ;
– lorsque l’affaire ne présente pas de difficulté particulière en fait ou en droit.
Un décret d’application est attendu prochainement pour encadrer cette nouvelle procédure simplifiée.
Google Analytics « interdit » par la CNIL : que faire ?
14 Février 2022 | Droit des nouvelles technologies
Par lusieurs mises en demeure du 11 février 2022, la CNIL a enjoint plusieurs sites web français de cesser d’utiliser Google Analytics pour réaliser leur mesure d’audience web.
? Que faire 4 jours après la décision de la CNIL « d’interdire » aux sites français d’utiliser Google analytics ❓
1️⃣ Vérifiez que vous avez bien configuré Google Analytics
Cela ne rendra pas son utilisation légalement acceptable, mais moins risquée. Il convient que vous vérifiez que vous minimisez tous les traitements de données, en ne collectant que ce qui est strictement nécessaire pour vous permettre de remplir les finalités visées par ladite collecte.
2️⃣ Attendre la réaction de Google
Google a annoncé qu’elle communiquera en réaction à cette décision et à celle prise dans le même sens par son homologue autrichien. Google Analytics pèse environ 65-70% du marché de la mesure d’audience en Europe.
3️⃣ Envisager la mise en place d’une solution alternative
Les solutions alternatives existent. Seulement, les GAFAM nous ont (mal) habitués en créant des solutions à la fois gratuites et d’une simplicité d’usage à toute épreuve. La contrepartie cachée, tout le monde la connaît : c’est de renoncer à sa vie privée et à celle de ses clients, fournisseurs ou autres partenaires.
??La CNIL a listé sur son site web la liste des alternatives conformes au RGPD. Pour les découvrir, cliquez sur la croix ci-dessous !
Utilisateur d’un logiciel, puis-je le décompiler pour résoudre un bug ?
02 février 2022 | Droit des nouvelles technologies
Rappelons d’abord qu’en principe, le fait de décompiler un logiciel sur lequel on dispose d’une licence est susceptible de constituer une atteinte au droit d’auteur.
S’il faut donc absolument s’abstenir de recourir à un tel procédé, la Cour de Justice de l’UE a rendu le 06 octobre 2021 un arrêt tranchant la question de savoir si un utilisateur est en droit ou non de décompiler un logiciel pour résoudre un bug.
Selon la juridiction européenne : « l’acquéreur légitime d’un programme d’ordinateur est en droit de procéder à la décompilation de tout ou partie de celui-ci afin de corriger des erreurs affectant le fonctionnement de ce programme, y compris quand la correction consiste à désactiver une fonction qui affecte le bon fonctionnement de l’application dont fait partie ledit programme ».
Aussi faut-il se cantonner à décompiler pour corriger l’erreur et seulement dans la mesure du nécessaire, à défaut de quoi la responsabilité de celui qui décompile pourra être recherchée sur le terrain du droit d’auteur.
Interdiction de vendre un terminal connecté sans l’ouvrir aux applications tierces après 2 ans d’utilisation par le consommateur
02 février 2022 | Droit des nouvelles technologies
Depuis le 1er janvier 2022, « Toute technique, y compris logicielle, dont l’objet est de restreindre la liberté du consommateur d’installer les logiciels ou les systèmes d’exploitation de son choix sur son terminal, à l’issue du délai prévu à l’article L. 217-12, est interdite » selon l’article L.441-6 du code de la consommation.
En termes plus clairs, l’entreprise spécialisée dans la vente B2C de hardware (tablettes verrouillées par exemple) doit impérativement mettre en place un système permettant au consommateur de déverouiller l’installation et l’utilisation de toute autre application deux ans après la livraison de l’objet connecté.
Cette obligation vise à lutter pour la réduction de l’empreinte environnementale du numérique en France à l’heure où chaque français possède en moyenne 3 objets connectés.
Une première analyse de ce texte permet d’évacuer cette nouvelle obligation en cas de vente B2B, ou encore pour les business models basés sur une opération autre que la vente (ex : leasing…).
Cookies : pas à jour des nouvelles règles entrées en vigueur en mars 2021, FACEBOOK et GOOGLE condamnés à 150 et 60 millions d’euros d’amende
11 janvier 2022 | Droit des nouvelles technologies
La formation restreinte, organe de la CNIL chargée de prononcer les sanctions, a constaté, à la suite de contrôles, que les sites web facebook.com, google.fr et youtube.com proposent un bouton permettant d’accepter immédiatement les cookies. En revanche, ils ne mettent pas en place de solution équivalente (bouton ou autre) pour permettre à l’internaute de refuser facilement le dépôt de ces cookies. Plusieurs clics sont nécessaires pour refuser tous les cookies, contre un seul pour les accepter.
La formation restreinte a considéré que ce procédé porte atteinte à la liberté du consentement : dès lors que, sur internet, l’utilisateur s’attend à pouvoir rapidement consulter un site, le fait de ne pas pouvoir refuser les cookies aussi simplement qu’on peut les accepter biaise son choix en faveur du consentement. Cela constitue une violation de l’article 82 de la loi Informatique et Libertés.
Du fait de ce manquement, la formation restreinte de la CNIL a prononcé :
- deux amendes pour un total de 150 M€ contre GOOGLE (90 millions d’euros pour la société GOOGLE LLC et 60 millions d’euros pour la société GOOGLE IRELAND LIMITED) ;
- une amende de 60 M€ contre FACEBOOK IRELAND LIMITED.
En complément des amendes, la formation restreinte a enjoint aux sociétés de mettre à disposition des internautes situés en France, dans un délai de 3 mois, un moyen permettant de refuser les cookies aussi simplement que celui existant pour les accepter, afin de garantir la liberté de leur consentement. À défaut, les sociétés devront chacune payer une astreinte de 100 000 euros par jour de retard.
Il est donc temps, pour les sociétés n’ayant pas encore franchi le cap de mettre à jour leur outil de collecte et d’information sur les cookies de se pencher sur ce sujet…
Employeurs : des précisions sur ce qu’il faut transmettre au salarié qui fait valoir son droit d’accès (même en cas de naissance d’un contentieux)
11 janvier 2022 | Droit des nouvelles technologies
Il est toujours délicat pour l’employeur de savoir ce qu’il doit, peut, ne doit pas ou ne peut pas transmettre au salarié (ou ex-salarié) qui demande une copie de l’ensemble de ses données personnelles.
La CNIL, qui travaille actuellement sur un référentiel plus détaillé sur les sujets RH, apporte pour l’heure quelques premières indications sur la question spécifique suivante : faut-il transmettre une copie des courriels professionnels et/ou personnels du salarié ?
- S’agissant des mails professionnels envoyés ou reçus par le salarié, l’employeur doit envoyer une copie de ceux-ci au salarié, après s’il le souhaite les avoir anonymisés ou pseudonymisés. Exception : lorsque leur transmission est susceptible de porter atteinte aux droits de tiers comme un secret industriel. Dans ce cas, l’employeur devra indiquer au salarié pourquoi il refuse de transmettre copie des mails concernés.
- S’agissant des mails professionnels dans lesquels le salarié est uniquement mentionné, l’employeur doit trouver un équilibre entre la satisfaction du droit d’accès du salarié et le respect des droits et libertés des autres salariés, notamment le secret des correspondances. Exemple : un employeur pourra refuser de donner suite à une demande de communication de courriels portant sur une enquête disciplinaire et dont le contenu, même caviardé, pourrait permettre au demandeur l’identification de personnes dont il ne devrait pas avoir connaissance.
- S’agissant des mails personnels envoyés ou reçus par le salarié via sa boîte mail professionnelle : l’employeur ne pourra pas prendre connaissance du contenu même en vue d’occulter des informations et devra fournir au demandeur le courriel en l’état, à condition que ce dernier soit l’expéditeur ou le destinataire. Pour ce dernir cas, on voit mal comment l’employeur pourra, sans consulter le mail, en faire parvenir une copie au salarié. A suivre…
CNIL : 180 000 € d’amende pour SLIMPAY pour avoir manqué à son obligation de sécuriser les données personnelles (et ne pas avoir notifié la violation de données aux personnes concernées)
10 janvier 2022 | Droit des nouvelles technologies
Crée en 2013, la société SLIMPAY est un établissement de paiement agréé qui propose notamment des solutions de paiements récurrents à ses clients. Courant 2015, elle a effectué un projet de recherche interne, lors duquel elle a utilisé les données personnelles contenues dans ses bases de données. Lorsque le projet de recherche s’est terminé en juillet 2016, les données sont restées stockées sur un serveur, qui ne faisait pas l’objet d’une procédure de sécurité particulière et qui était librement accessible depuis Internet. Ce n’est qu’en février 2020 que la société SLIMPAY s’est aperçue de la violation de données, qui a concerné environ 12 millions de personnes.
La CNIL a effectué un contrôle auprès de la société SLIMPAY en 2020. Elle a constaté plusieurs manquements concernant le traitement de données personnelles des clients :
- Un manquement à l’obligation d’encadrer par un acte juridique formalisé, les traitements effectuées par un sous-traitant de données ;
- Un manquement à l’obligation d’assurer la sécurité des données personnelles ;
- Un manquement à l’obligation d’informer les personnes concernées d’une violation de leurs données personnelles.
La violation de données passée sous silence concernait tout de même 12 millions de personnes, et concernait : des données d’état civil (civilité, nom, prénom), les adresses postales et électroniques, les numéros de téléphone et des informations bancaires (BIC/IBAN)
À l’issue de ce processus, la formation restreinte a prononcé une amende de 180 000 euros et a décidé de rendre publique sa décision.
CNIL : 300 000 € d’amende pour FREE pour avoir omis de répondre aux demandes de clients (droit d’accès et d’opposition), et pour avoir insuffisamment sécurisé certaines données (dont les mots de passe des clients)
10 janvier 2022 | Droit des nouvelles technologies
Agissant sur la base de plaintes dde clients de FREE indiquant rencontrer des difficultés dans l’exercice de leurs demandes d’accès et d’opposition à recevoir des messages de prospection commerciale, la CNIL a diligenté un contrôle sur place et constaté divers manquements sans se cantonner au seul sujet des plaintes :
- un manquement à l’obligation de respecter le droit d’accès des personnes aux données les concernant (art. 12 et 15 du RGPD), puisque la société n’a pas donné suite aux demandes formulées par les plaignants dans les délais ;
- un manquement à l’obligation de respecter le droit d’opposition des personnes concernées (art. 12 et 21 du RGPD), puisque la société n’a pas pris en compte les demandes des plaignants visant à ce que plus aucun message de prospection commerciale ne leur soit adressé ;
- un manquement à l’obligation de protéger les données dès la conception (art. 25 du RGPD), puisque la société a continué d’envoyer à des plaignants des factures concernant des lignes téléphoniques dont l’abonnement avait pourtant été résilié ;
- un manquement à l’obligation d’assurer la sécurité des données personnelles (art. 32 du RGPD), puisque la société transmettait par courriel, en clair, les mots de passe des utilisateurs lors de leur souscription à une offre auprès de la société FREE MOBILE, sans que ces mots de passe soient temporaires et que la société impose d’en changer.
En conséquence, la formation restreinte – organe de la CNIL chargé des sanctions – a prononcé à l’encontre de la société FREE MOBILE une amende de 300 000 euros.
Logiciels et applis mobiles : obligations renforcées pour les éditeurs et vendeurs au 1er janvier 2022
07 Décembre 2021 | Droit des nouvelles technologies
A compter du 1er janvier 2022, la garantie légale de conformité sera étendue aux contenus et services numériques comme, par exemple, les applications mobiles.
Ainsi, le consommateur pourra demander, pendant 2 ans à compter de la délivrance du contenu numérique (ou 1 an pour les biens d’occasion), sa réparation ou son remplacement. Le vendeur aura 30 jours pour effectuer le remplacement ou la réparation (au choix du consommateur et sans frais pour ce dernier).
L’ordonnance du 29 septembre 2021 instaure d’autres nouveautés :
- une obligation de fourniture des mises à jour logicielles nécessaires au maintien de la conformité du bien (smartphone, objet connecté …) ;
- la possibilité pour le consommateur de refuser des modifications ultérieures des éléments numériques, par exemple les améliorations logicielles allant au-delà de ce qui est prévu au contrat et de ce qui est nécessaire pour assurer la conformité du bien (sécurité, maintenance…). Le consommateur pourra ainsi refuser une modification pour ne pas accroître son empreinte carbone ;
- la récupération des contenus utilisés en cas de résolution du contrat ;
- enfin, le vendeur devra informer le consommateur sur la durée pendant laquelle le fabricant s’engage à fournir des mises à jour.
Possibilité de résilier un contrat de création de site web en cas de non-transfert du nom de domaine
07 Décembre 2021 | Droit des nouvelles technologies
Une société A sollicite d’une société B qu’elle lui crée un nouveau site web, tout en demandant le transfert de l’ancien nom de domaine afin de conserver le référencement du site.
Le procès-verbal de livraison conforme est signé par le client (société A), sans que le transfert du nom de domaine précédent vers le nom de domaine actuel n’ait été opéré. C’est sur la signature du procès-verbal de conformité que la société B va se baser pour tenter de faire barrage aux demandes de la société A qui revendique un manquement de son prestataire à ses obligations contractuelles.
Ce n’est pas ce que retient la cour d’appel de Paris (CA Paris, pôle 5, ch. 10, 3 mai 2021, n° 19/16132) qui fait droit à la demande de résiliation du contrat pour manquement aux obligations de la société B. En effet, la cour retient que la société A était un client qui ne disposait d’aucune connaissance en la matière et qu’à ce titre : « il incombait à la société B d’informer clairement et loyalement son client profane, au moment de la formation du contrat, sur les difficultés de transfert du nom du domaine, qui dépendait de la bonne volonté de l’ancien prestataire ».
Par conséquent, la société A est en droit de demander la résiliation du contrat de création de site web pour faute, même postérieurement à la signature du procès-verbal de livraison conforme…
Vigilance, donc, à la signature d’un contrat de création de site web impliquant un transfert de nom de domaine !
Tenir un fichier de décompte des jours de grève du personnel, est-ce interdit ?
12 Novembre 2021 | Droit des nouvelles technologies
C’est en tout cas ce que l’on serait tenté de penser en lisant la décision de la CNIL du 29 octobre 2021, sanctionnant la RATP d’une amende de 400 000 € pour ne pas avoir empêché certains membres de son personnel de mettre en place un tel traitement.
La CNIL relève qu’un tel fichier constitue un manquement relatif à l’obligation de veiller à l’adéquation, à la pertinence et au caractère non excessif des données à caractère personnel traitées en application des articles 5.1.c et 5.2 du RGPD.
Peu importe qu’il s’agisse d’une initiative de certains employés, ajoute la CNIL, de tels faits auraient dû être empêchés par la mise en place d’une formation suffisante du personnel par l’employeur.
Plus sévère peut-être : peu importe également qu’une telle pratique ait été commise en méconnaissance des règles internes de l’entreprise, précise la décision de sanction.
Pour évaluer le montant de l’amende, la CNIL indique avoir tenu compte de :
- la nature, la gravité et la durée de la violation,
- les mesures prises par le responsable du traitement pour atténuer le dommage subi par les personnes concernées,
- le degré de coopération avec l’autorité de contrôle
- et les catégories de données à caractère personnel concernées par la violation.
Authentification multifacteur et mots de passe : mise à jour des recommandations de l’ANSSI
11 Novembre 2021 | Droit des nouvelles technologies
DSI, à vos claviers ! L’ANSSI a publié le 8 octobre 2021 ses recommandations mises à jour au sujet de l’authentification multifacteur et des mots de passe.
Ce guide traite de l’authentification pour tout type d’accès, c’est-à-dire du déverrouillage d’un terminal (poste Windows, Linux, etc.), de l’accès à des comptes à privilèges (par des administrateurs par exemple), de l’accès à des applications web (privées ou publiques), etc.
Ce guide a notamment pour objectif de constituer un support technique pour accompagner une analyse de risque sur l’authentification.
Il se focalise uniquement sur le cas de l’authentification de personnes vis-à-vis de machines.
Les principales recommandations qui sont mises en avant dans ce guide sont :
- Mener une analyse de risque lors de la mise en place de moyens d’authentification.
- Privilégier l’utilisation de l’authentification multifacteur.
- Privilégier l’utilisation de l’authentification reposant sur un facteur de possession.
- Adapter la robustesse d’un mot de passe à son contexte d’utilisation.
- Utiliser un coffre-fort de mots de passe.

Disponibilité et réactivité

Proximité et prestations sur mesure

Rigueur et pragmatisme

Secret professionnel

Clarté des honoraires