Messages les plus consultés

vendredi 4 mai 2018

RGPD : pendant quelle durée conserver les données personnelles ?


L’un des sujets d’achoppement entre l’Union européenne et les “GAFA” concerne la durée de conservation des données personnelles collectées. Pour ces sociétés, lorsque les traitements sont soumis au droit américain (droit de l’état de Californie notamment), la question de la durée de conservation des données personnelles ne se pose pas, celles-ci pouvant généralement être conservées sans limitation. Il n’en est pas de même en Europe.

Le RGPD impose non seulement de minimiser les données collectées, c’est-à-dire de limiter les catégories et les volumes de données personnelles collectées, mais également, de limiter leur durée de conservation. (1)

La question n’est pas nouvelle puisque le principe de durée limitée de conservation des données figure déjà à l’article 6 de la loi Informatique et Libertés de janvier 1978. (2)

Mais que signifie le fait de conserver les données pour une durée limitée ? Et comment définir cette durée ? La réponse à ces questions est relativement complexe. En effet, il n’existe pas une durée unique de conservation des données personnelles, mais des durées variables suivant la finalité des traitements.

Certaines données n’ont pas besoin d’être conservées pendant une durée supérieure à leur utilisation effective (quelques minutes à quelques jours). En revanche, d’autres catégories de données personnelles doivent être conservées pendant une durée fixée par la loi, afin par exemple, de permettre aux parties d’exercer leurs droits ou de prouver un acte juridique ou l’exécution d’une obligation. Les données personnelles concernées ne seront effacées qu’à l’expiration de ce délai.

En matière de durée de conservation des données personnelles, la distinction peut s’opérer ainsi : celles pour lesquelles il existe des règles relatives à la durée de conservation (délai de prescription), et celles non couvertes par un délai de prescription.


1. Les données devant être conservées pendant un délai légal

Certaines catégories de données doivent être conservées pendant une durée déterminée par le délai de prescription. (3) En effet, chacune des parties concernées doit pouvoir rapporter la preuve d’un acte juridique (achat / vente, paiement d’une prestation, paiement de la TVA, etc.) pendant un délai raisonnable, fixé par la loi.

Il existe de multiples délais de prescription légale, que ce soit en droit civil, commercial, fiscal ou pénal par exemple.

En règle générale :
    - en matière civile, le délai de prescription applicable aux biens et services fournis par un vendeur ou prestataire professionnel à un consommateur est de 2 ans. En matière de salaires, la prescription est de 3 ans ;
    - en matière commerciale, le délai de prescription est fixé à 5 ans pour les obligations entre commerçants et entre commerçants et non-commerçants (consommateurs) ;
    - enfin, en matière fiscale, le délai de prescription est fixé à 3 ans (fin de la troisième année qui suit celle au titre de laquelle l'imposition est due). (4)

Comment appliquer ces délais à la durée de conservation des données personnelles collectées ? Il convient d’identifier la finalité du fichier afin de déterminer la durée de conservation applicable aux données collectées.

Exemple de données collectées dans le cadre de la relation entre l’entreprise et ses clients :
    - Contrat de vente ou de prestation de services : les données devant être conservées concernant les contrat comprennent, outre le contrat, les coordonnées du client (nom, prénom, adresse, etc.). Ces données doivent être conservées pendant 5 ans.
    - Facturation et paiement : les données devant être conservées comprennent les coordonnées du client (nom, prénom, adresse, etc.) et les données de facturation. Ces données doivent être conservées pendant 3 ans.
    - Obligations fiscales (TVA, IS) : les données devant être conservées comprennent les données de facturation. Ces données doivent être conservées pendant 3 ans.

Exemple de données collectées dans le cadre de la relation entre l’entreprise et ses salariés :
    - Gestion de la paie : les données devant être conservées comprennent les coordonnées du salarié (nom, prénom, adresse, etc.) et les données de salaire. Ces données doivent être conservées pendant 3 ans.

Comme on peut le voir par les quelques exemples ci-dessus, certaines catégories de données sont utilisées pour plusieurs actes (inscription sur un site de e-commerce, achats en ligne, commandes de prestations, etc.) eux-mêmes couverts par des délais de prescription différents. Il conviendra d’identifier l’objectif poursuivi par la collecte de données et appliquer la durée correspondant à cette finalité.

Afin de s’assurer que l’on ne conserve que les données nécessaires pendant la durée légale applicable, il conviendra de les cartographier en identifiant les traitements pour lesquels ces données sont utilisées et déterminer la durée de prescription légale la plus longue. Les autres données seront supprimées.


2. Les données non couvertes par un délai de conservation légal


La durée de conservation des données collectées pour certains traitements n’est pas soumise à un délai de conservation légal. Il conviendra alors d’appliquer strictement le principe de conservation uniquement pour le temps nécessaire à l’accomplissement de la finalité poursuivie lors de la collecte.

Par exemple :
    - en matière de vidéosurveillance sur le lieu de travail, la CNIL recommande une durée de conservation des données de quelques jours à un mois maximum ;
    - les coordonnées de la carte bancaire du client lors d’un achat en ligne ne doivent être conservées que pendant la durée de réalisation de l’opération de paiement, éventuellement augmentée du délai de rétractation ;
    - les coordonnées d’un prospect inactif doivent être supprimées au bout d’un délai maximum de trois ans. (5)


Enfin, certaines données personnelles peuvent faire l’objet d’un archivage. Il convient de déterminer les règles d’archivage dans une procédure interne. La CNIL a défini trois types d’archives : la base active (ou archives courantes), les archives intermédiaires et les archives définitives. L’obligation de sécurité applicable en matière de traitement de données personnelles s’applique également aux données archivées (sécurité technique et physique) et sera adaptée à la nature des données archivées.

    En conclusion, il est vivement recommandé de prévoir une procédure spécifique relative à la détermination de la durée de conservation des données personnelles collectées. Cette procédure définira les objectifs poursuivis par la collecte, les catégories de données personnelles collectées, l’existence ou non de durées de conservation légale, la nécessité ou non d’archiver certaines données, etc. Par ailleurs, la loi n’est pas statique, même en matière de délais de prescription ou de conservation. Il conviendra de mettre cette procédure à jour en tenant compte de l’évolution de la loi et de la jurisprudence.

                                                                         * * * * * * * * * * * *

(1) Article 5 1. e) du RGPD “1. Les données à caractère personnel doivent être: (…) e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l'article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation).

(2) Article 6 5° de la loi Informatique et Libertés: “[Les données] sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.

(3) Il s’agit de la prescription extinctive. A l’issue du délai de prescription, le droit (ex. créance) s’éteint du fait de l’inaction de son titulaire. Par exemple, si le créancier d’une dette ne réclame pas le règlement d’une facture impayée, la créance s’éteint à l’issue du délai de prescription. Une fois le délai de prescription dépassé, le titulaire du droit ne peut plus l’exercer en cas d’inaction. (c.civ. art. 2219)

(4) Liste non exhaustive

(5) Voir la norme simplifiée n°48 (NS-048) de la CNIL relative à la gestion de clients et de prospects



Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mai 2018

mercredi 18 avril 2018

Des experts européens contre la création d'un statut juridique de personne électronique pour les robots

 
 
Alors que les applications d’intelligence artificielle se déploient à grande échelle, la Commission européenne travaille actuellement à l'élaboration d'un nouveau droit pour les robots. Or, des centaines de membres de la société civile s'opposent à la création d'une “personnalité électronique” qui pourrait attribuer une responsabilité à la machine.

Dans ce sens, deux cents experts européens viennent de signer une lettre ouverte contre “la création d'un statut juridique de personne électronique pour les robots”. Cette lettre, adressée à la Commission européenne, s’oppose plus spécifiquement au point de la résolution du Parlement européen du 16 février 2017 concernant des règles de droit civil sur la robotique (2015/2103 (INL)) relatif à “la création, à terme, d'une personnalité juridique spécifique aux robots, pour qu'au moins les robots autonomes les plus sophistiqués puissent être considérés comme des personnes électroniques responsables, tenues de réparer tout dommage causé à un tiers (…).”

Les signataires de la lettre ouverte critiquent cette notion de « personnalité électronique », que celle-ci repose sur le modèle de la personnalité physique, de la personnalité morale, ou sur le modèle du trust. Le débat reste à suivre…

                                                                        * * * * * * * * * * * *

(1) Robotics-openletter.eu, Open letter to the European Commission – Artificial intelligence and Robotics


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Avril 2018

mardi 6 mars 2018

Sécurité des réseaux : la directive NIS a été transposée en droit français


La directive concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union (Directive « NIS » 2016/1148) a été transposée en droit français le 26 février 2018.

En résumé, la loi de transposition prévoit des obligations accrues en matière de sécurité informatique.

Deux nouvelles catégories d’entreprises sont identifiées :
   - les opérateurs de services essentiels (OSE) (correspondant globalement aux OIV – opérateurs d’importance vitale) qui regroupent les entreprises opérant dans les domaines de l'énergie, des transports, de la banque, des infrastructures de marchés financiers, de la santé, de la fourniture et distribution d'eau potable et les fournisseurs d'infrastructures numériques, et
   - les fournisseurs de services numériques (FSN) qui regroupent notamment les entreprises fournissant des services de cloud computing, les places de marché, et les moteurs de recherche.

Ces entreprises devront mettre en œuvre les règles de cybersécurité élaborées par l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Ces opérateurs devront informer l’ANSSI en cas d’incidents de sécurité susceptibles d’avoir un impact significatif sur la continuité des services qu’ils assurent. Tout manquement à ces obligations de sécurisation des réseaux, d’absence de déclaration d’incident ou de blocage aux opérations de contrôle sera passible d’amendes de 75.000€ à 125.000€ pour les OSE selon le type d’infraction, et de 50.000€ à 100.000€ pour les FSE.
 
Un décret d’application précisant la liste des OSE et des FSN opérant sur le territoire français devrait venir compléter la loi avant le 9 novembre 2018.

                                                                      * * * * * * * * * * *

(1) Loi  n°2018-133 du 26 février 2018 portant diversesd ispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité


Bénédicte DELEPORTE
Avocat
Deleporte Wentz Avocat

Mars 2018


mardi 20 février 2018

Plateformes internet - Trois nouveaux décrets “pour favoriser la transparence des plateformes numériques”


Afin d’améliorer la confiance des utilisateurs dans les services numériques, et pour faire suite à la loi pour une République numérique (1), trois décrets d’application “pour favoriser la transparence des plateformes numériques” ont été publiés le 29 septembre 2017. (2) Ces décrets concernent les moteurs de recherche, les réseaux sociaux et les sites comparateurs ainsi que les places de marchés et les sites d'économie collaborative.

1. A compter du 1er janvier 2018, les plateformes qui valorisent des contenus, des biens ou des services proposés par des tiers, à savoir les moteurs de recherche et les sites comparatifs notamment, devront préciser les critères de référencement et de déréférencement ainsi que les critères de classement de leurs résultats. Ces sites devront également indiquer dans quelle mesure le montant de leur rémunération entre en compte dans l'ordre de présentation des contenus.

Les plateformes de mise en relation doivent prévoir une rubrique accessible depuis toutes les pages du site comprenant notamment les informations relatives à la qualité des personnes pouvant proposer la vente de biens ou de services (consommateurs ou professionnels), la description de la mise en relation entre vendeurs et acheteurs, la commission due à la plateforme pour la mise en relation, etc. A noter que ces informations figurent en principe dans les conditions générales de la plateforme.

Enfin, les plateformes B-to-C doivent mettre à la disposition des vendeurs professionnels un espace permettant la communication des informations prévues aux articles L.221-5 et L.221-6 du code de la consommation (description du bien ou du service proposé, prix, délais de livraison, coordonnées du professionnel, garantie légale, existence d’un droit de rétractation, modalités de règlement des litiges, etc.).

Par ailleurs, les sites web publiant des avis de consommateurs devront préciser si ces avis ont été vérifiés et, le cas échéant, de quelle manière cette vérification a été effectuée. Lorsque les avis sont vérifiés, l’opérateur du site doit veiller à ce que les données personnelles des contributeurs soient traitées conformément aux obligations de la loi Informatique et Libertés.

2. A compter du 1er janvier 2019, les plateformes qui comptabilisent en moyenne plus de 5 millions de visiteurs uniques mensuels devront “appliquer des bonnes pratiques en matière de clarté, de transparence et de loyauté.” Ces règles, qui devront être consultables en ligne, correspondent aux obligations générales d’information précontractuelle définies aux articles L.111-1 et suivants du code de la consommation.


                                                                      * * * * * * * * * * * *

(1) Loi n°2016-1321 du 7 octobre 2016 pour une république numérique

(2) Décret n°2017-1434 du 29 septembre 2017 relatif aux obligations d'information des opérateurs de plateformes numériques ; Décret n°2017-1435 du 29 septembre 2017 relatif à la fixation d'un seuil de connexions à partir duquel les opérateurs de plateformes en ligne élaborent et diffusent des bonnes pratiques pour renforcer la loyauté, la clarté et la transparence des informations transmises aux consommateurs ; Décret n°2017-1436 du 29 septembre 2017 relatif aux obligations d'information relatives aux avis en ligne de consommateurs



Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Février 2018

vendredi 29 décembre 2017

Cybermalveillance - lancement d’une plateforme d’accompagnement des victimes


La cybermalveillance recouvre les actes de cybercriminalité tels que le hameçonnage (phishing - faux emails comprenant des liens vers des sites frauduleux pour collecter mots de passe et autres données confidentielles des utilisateurs), la diffusion de virus par messagerie ou SMS (logiciel contenant du code malveillant), ou la diffusion de rançongiciels (ransomware - logiciels qui forcent l'utilisateur au versement d'une rançon pour récupérer des données bloquées), infractions punies pénalement.

Ces activités ne cessent de se développer depuis plusieurs années et ciblent tous les acteurs de la société : particuliers, entreprises de toutes tailles et de tous secteurs d’activités et administrations. Malgré les conseils régulièrement diffusés concernant les mots de passe à adopter, la nécessité des mises à jour logicielles, etc., le nombre de victimes explose.

Fin mai 2017 en France, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a lancé un projet de plateforme d’aide aux victimes d'actes de cybermalveillance. Cette première phase d’expérimentation était limitée à la région Hauts de France.

La plateforme Cybermalveillance.gouv.fr a été lancée sur l’ensemble du territoire français le 17 octobre 2017.

Les objectifs de cette plateforme, à finalité à la fois pédagogique et curative, sont triples :
    1 - la mise en place de campagnes de prévention et de sensibilisation à la sécurité du numérique ;
    2 - pour les victimes d’un acte de cybermalveillance, la mise en relation des victimes via la plateforme avec des prestataires de proximité susceptibles de restaurer leurs systèmes ;
    3 - la création d’un observatoire du risque numérique permettant de l’anticiper.

La plateforme cybermalveillance.gouv.fr est conçue comme un guichet unique. Après l’établissement d’un diagnostic de la situation de la victime (particulier, entreprise (PME/TPE) ou collectivité territoriale - hors OIV), la plateforme permet sa mise en relation avec des prestataires de proximité, compétents et présents sur l’ensemble du territoire français, des administrations de I‘État (Gendarmerie, Police, représentants locaux de I’ANSSI) ou des collectivités et acteurs locaux (chambres consulaires, fédérations professionnelles, réseaux “transition numérique”, etc.).

Les victimes sont guidées, lors de leur déclaration d’acte de cybermalveillance, pour l’identification du problème : virus, blocage informatique suite à l’activation d’un rançongiciel, piratage (réseau social, compte bancaire, messagerie, etc.). À la fin de la déclaration, les victimes sont informées sur les étapes suivantes de la procédure : déposer une plainte, prévenir sa banque, faire appel à un expert informatique…

L’un des objectifs de la plateforme étant la prévention et la sensibilisation aux cyber risques, plusieurs outils et démarches de sensibilisation sont proposés : principes de base à respecter pour assurer sa cyber sécurité, guides de bonnes pratiques en matière de cyber sécurité.

Enfin, la plateforme doit permettre de collecter et centraliser l’information sur les actes de cybermalveillance : types d’atteintes cyber, nombre et profil des victimes.

Ce dispositif est incubé par l’ANSSI et copiloté avec le ministère de l’Intérieur.


                                                                             * * * * * * * * * * *

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Décembre 2017

vendredi 22 décembre 2017

Publication d’une ordonnance sur le transfert de titres par blockchain


Après une consultation lancée entre mars et mi-mai 2017 sur la transmission de certains titres financiers via la blockchain, dont la synthèse a été publiée courant septembre, un projet d’ordonnance avait été proposé au Gouvernement par la Direction du Trésor. L’objet de cette consultation était de recueillir l’avis des parties prenantes -banques, sociétés de gestion, acteurs de la blockchain, fintechs, sociétés de conseils, sur la réglementation à mettre en place.

L’ordonnance permettant légalement le transfert de propriété de titres financiers par blockchain vient d’être publiée le 8 décembre. (1) Ce texte a été pris en application de l’article 120 de la loi Sapin II du 9 décembre 2016, dont les dispositions permettent notamment d’adapter le droit applicable à certains titres financiers au moyen d’un dispositif d’enregistrement électronique partagé, ou “technologie de registre distribué” (distributed ledger technology ou DLT). (2)

Bien qu’il soit déjà possible d’utiliser une technologie de registre distribué pour la transmission de titres, de nombreuses zones d’insécurité juridique persistent, y compris concernant le droit applicable en matière de propriété du titre et les modalités de règlement.

La majorité des parties prenantes ayant répondu à la consultation estimait néanmoins qu’il était souhaitable de ne pas remettre en cause le cadre juridique actuel de la transmission de titres, même en cas de transfert de propriété via la blockchain. Elles estimaient par ailleurs nécessaire de prévoir un cadre juridique où “l’intervention du législateur se limiterait à assurer la neutralité technologique des exigences de fond pesant sur les acteurs existants”. Ainsi, la blockchain a besoin d’un cadre juridique, mais a minima.

Ce texte, devant entrer en vigueur au plus tard le 1er juillet 2018, viendra modifier le code de commerce et le code monétaire et financier. Cette réforme s'appliquera aux titres financiers pour lesquels le droit européen n’impose pas de passer par un dépositaire central de titres (parts de fonds, titres de créance négociables, actions et obligations non cotées). Un décret en Conseil d'Etat doit fixer les conditions dans lesquelles les titres financiers peuvent être inscrits dans un dispositif d'enregistrement électronique partagé présentant des garanties, notamment en matière d'authentification, au moins équivalentes à celles présentées par une inscription en compte-titres.


                                                                        * * * * * * * * * * *

(1) Ordonnance n°2017-1674 du 8 décembre 2017 relative à l'utilisation d'un dispositif d'enregistrement électronique partagé pour la représentation et la transmission de titres financiers

(2) art. 120 de la loi n°2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique (loi “Sapin II”)



Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Décembre 2017

lundi 4 septembre 2017

Pourquoi être concerné par le RGPD si votre entreprise n'est pas localisée dans l’UE ?


La directive du 24 octobre 1995 sur la protection des données s’appliquait aux traitements de données réalisés par des organismes, responsables de traitement, situés dans l’Union européenne. Les traitements de données réalisés par des responsables de traitement situés en dehors de l’UE n’étaient en principe pas soumis aux règles de la directive européenne, telles que transposées dans les lois nationales des Etats-membres. (1) Or, avec le développement des technologies et des services en ligne autour de la donnée, de nombreuses sociétés situées hors Union européenne, telles que Google, Amazon, Facebook ou Apple (les “GAFA”) notamment, collectent et traitent des données d’Européens et “échappent” à la réglementation européenne, même si les transferts de données vers ces sociétés américaines sont notamment soumis aux principes du Privacy Shield.

Désormais la donnée, et plus particulièrement la donnée personnelle, est au coeur de l’économie numérique. Il était donc nécessaire de mettre à jour la règlementation des données personnelles pour prendre en compte les évolutions technologiques intervenues depuis la directive de 1995 et assurer un niveau de protection élevé et homogène des données personnelles. C’est chose faite avec le règlement général sur la protection des données (RGPD). Ce texte, adopté le 27 avril 2016 après plus de quatre ans d’intenses discussions, doit entrer en application le 25 mai 2018. (2)

L’un des objectifs du RGPD est de prendre en compte, d’une part les cas dans lesquels plusieurs responsables de traitements et/ou sous-traitants, situés dans différentes régions du monde, sont impliqués dans un traitement de données, d’autre part les services de cloud computing et de big data (serveurs déployés et données collectées dans plusieurs régions), et enfin les activités des GAFA, ceci afin que les données personnelles des résidents européens restent protégées quel que soit le pays dans le monde où se trouve le responsable de traitement.

Le champ d’application du règlement couvre donc non seulement le territoire de l’Union européenne, mais aussi les entreprises situées hors Union européenne qui visent le marché européen. Ces entreprises sont donc concernées par le RGPD et doivent se mettre en conformité avec ces nouvelles règles.


1. Le RGPD, un texte applicable en Europe et au-delà

La directive de 1995 devait être transposée dans les lois nationales des Etats membres. Ces lois nationales sur la protection des données personnelles comportaient cependant des différences entre les Etats membres, certains états ayant choisi une application stricte de la directive, alors que d’autres ont opté pour une application plus souple.

Le règlement général sera d’application directe dans les Etats membres. Ses règles s’appliqueront de manière quasiment uniforme dans tous les Etats membres, hormis quelques dispositions qui pourront différer d’un pays à l’autre. (3)

Mais alors que la directive n’avait que peu d’impact en dehors de l’Union européenne, le règlement sera d’application territoriale dans l’UE, mais également extra-territoriale, au-delà de l’UE. (4)

    1.1 Application dans l’Union européenne

Le règlement s’appliquera, d’une part aux traitements de données à caractère personnel réalisés dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire de l’Union européenne, que le traitement lui-même ait lieu ou non dans l’UE.

L’établissement situé dans l’UE nécessite un effectif et une activité stables. En revanche, l’établissement n’est pas soumis à une forme juridique particulière. Il peut s’agir du siège, d’une filiale, voire de la succursale d’une entreprise, elle-même située en dehors de l’Union.

Le traitement peut être réalisé, ou non dans l’UE. Cette disposition permet par exemple de soumettre au règlement les bases de données hébergées en cloud, quels que soient les pays d’installation des serveurs.

    1.2 Application extra-territoriale


Le règlement s’appliquera d’autre part aux traitements de données à caractère personnel relatifs à des personnes qui se trouvent dans l’UE, réalisés par un responsable du traitement ou un sous-traitant qui n'est pas établi dans l’UE, lorsque les activités de traitement sont liées à l'offre de biens (site de e-commerce) ou de services (applications mobiles, hébergement de données en cloud) à ces personnes, à titre gratuit ou payant.

Pour déterminer si l’entreprise, responsable du traitement ou sous-traitant, vise le marché européen en proposant des biens ou des services à des personnes situées dans l’UE, il conviendra de relever les indices qui permettront d’établir que le responsable du traitement ou le sous-traitant visent bien le marché européen. Par exemple, la simple accessibilité du site internet de l’entreprise en cause, une adresse email ou l'utilisation d'une langue généralement utilisée dans le pays tiers où cette entreprise est établie ne suffira pas pour déterminer que le responsable du traitement ou le sous-traitant visent effectivement le marché européen. En revanche, des éléments tels que l'utilisation d'une langue européenne ou d'une monnaie telle que l’euro pourront permettre de démontrer que le marché européen est effectivement visé.

Par ailleurs, les traitements de données de personnes situées dans l'Union européenne par une entreprise, responsable du traitement ou sous-traitant, qui n'est pas établie dans l'Union seront également soumis au règlement lorsque ces traitements ont pour objet le suivi du comportement de ces personnes, sous réserve qu’il s’agisse de leur comportement dans l’UE. Cette disposition concerne particulièrement les activités de profilage en ligne, “afin notamment de prendre des décisions concernant” la personne, “ou d'analyser ou de prédire ses préférences, ses comportements et ses dispositions d’esprit.” (5)

On retiendra également que ces dispositions s’appliquent tant aux responsables de traitement qu’aux sous-traitants. Ces derniers sont donc concernés par les dispositions du RGPD, au même titre que les responsables de traitement, donneurs d’ordre, ou peuvent même être considérés comme co-responsables de traitement.

Ainsi, le règlement ne limite pas son applicabilité aux responsables de traitements et aux sous-traitants établis dans l’Union européenne, mais étend son périmètre géographique au-delà des frontières de l’Union européenne, dès lors que des données personnelles de résidents européens sont concernées.


2. Quelles conséquences pour les entreprises non-européennes ?

Les entreprises n’ayant aucun établissement sur le territoire de l’UE, mais qui visent l’Europe pour leurs activités commerciales (voir critères ci-dessus), et à ce titre, qui collectent et traitent des données personnelles d’Européens devront donc se conformer au RGPD, la date butoir étant fixée au 25 mai 2018.

    2.1 L’obligation de désigner un représentant dans l’Union

Au-delà des travaux de mise en conformité au règlement, les entreprises, responsables de traitements et sous-traitants, n’ayant pas d’établissement sur le territoire de l’UE devront désigner “par écrit” un représentant dans l’Union. (6)

Ce représentant devra être établi dans un des États membres dans lesquels se trouvent les personnes physiques dont les données font l'objet d'un traitement. Le représentant, mandaté par le responsable du traitement ou le sous-traitant, servira de contact pour les autorités de contrôle et les personnes concernées pour les questions relatives au traitement. Le responsable du traitement ou le sous-traitant resteront néanmoins responsables juridiquement de la conformité et du respect au RGPD.
La désignation d’un représentant ne s’appliquera cependant pas à toutes les entreprises non-européennes concernées.

Seront exemptés de cette obligation les responsables du traitement ou sous-traitants :
. qui mettront en oeuvre des traitements à titre occasionnel,
. qui n'impliquent pas un traitement à grande échelle des catégories particulières de données sensibles visées à l'article 9 par.1, ou un traitement de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10,
. et qui mettront en oeuvre des traitements ne nécessitant pas d’analyse d’impact en vertu de l’article 35 du règlement.

De même, les autorités et organismes publics non européens ne sont pas concernés par cette obligation de désignation d’un représentant.

    2.2 Le cas du Royaume-Uni après le Brexit

Une fois que le Royaume-Uni sera sorti de l’Union européenne, il ne sera plus soumis au RGPD. Cependant, le gouvernement britannique vient de se prononcer pour l’adoption d’une loi, réformant la Data Protection Act 1998 actuelle et intégrant dans le droit anglais les règles du RGPD.

L’objet de ce projet de loi est de rassurer le monde des affaires suite au Brexit, sur la possibilité de poursuivre les transferts de données entre le Royaume-Uni et l’Union européenne. Par ce biais, le Royaume-Uni souhaite s’assurer que sa loi sur la protection des données personnelles sera considérée par la Commission de Bruxelles comme offrant un niveau de protection adéquat, permettant de continuer à transférer librement des données personnelles entre le Royaume-Uni et l’UE. (7)

    2.3 La mise en conformité au RGPD

Le règlement européen comprend de nombreux principes nouveaux ou renforcés par rapport à la réglementation actuelle qu’il convient de prendre en compte. Ces principes devront être intégrés  par les entreprises dans leurs procédures de développement de nouveaux produits et services à destination du marché européen, pour être en conformité au règlement. Parmi ces principes, il convient de rappeler : (8)

a) Concernant les droits des personnes :
    - Le renforcement des conditions de l’obtention du consentement des personnes (art. 7) : les termes relatifs au consentement doivent être rédigés de manière claire et explicite. ;
    - L’information des personnes concernées doit être transparente, et rédigée en termes clairs et simples ;
    - Le droit à la portabilité des données (art. 20) permet aux personnes concernées de demander au responsable de traitement de récupérer ou transmettre leurs données personnelles collectées pour les transférer à un nouveau responsable de traitement ;
    - La protection spécifique des données personnelles des mineurs de moins de 16 ans (art. 8). Lorsque des services en ligne sont destinés aux enfants, les traitements de données de mineurs de moins de 16 ans (ou 13 ans dans les Etats membres qui ont fixé cette limite d’âge) seront soumis à l’accord ou l’autorisation de la personne exerçant l’autorité parentale.

b) Concernant les responsables de traitements et sous-traitants
    - Les traitements automatisés et les techniques de profilage sont encadrés (art. 22). Ces traitements seront autorisés sous certaines conditions et si la personne a donné son consentement ;
    - Le responsable de traitement devra déployer des règles internes claires et facilement accessibles afin de garantir et démontrer le respect de la réglementation (notion d’“accountability”) (art. 5 et 24) ;
    - Lors du développement de nouveaux produits ou services, les responsables de traitement devront intégrer par défaut la protection des données personnelles dans la définition des moyens de traitement et dans le traitement lui-même (principe de “protection de la vie privée dès la conception” ou “privacy by design”) (art. 5 et 25) ;
    - Le règlement prévoit des règles de sécurité accrues et une obligation de notification des failles de sécurité à tous les responsables de traitement (art. 5, et 32 à 34) ;
    - Un délégué à la protection des données devra être désigné dans les entreprises ayant pour “activité de base” la gestion de données personnelles “à grande échelle” ou le contrôle et suivi du comportement des personnes (art. 37, 38 et 39).

Enfin, le règlement prévoit un pouvoir de sanction par les autorités de contrôle plus large et dissuasif (art. 83). Selon le type de violation retenu, les autorités de contrôle pourront prononcer des amendes administratives pouvant s’élever soit à 10 millions d’euros ou 2% du chiffre d’affaires total mondial de l’entreprise pour l’exercice précédent, le montant le plus élevé étant retenu, soit à 20 millions d’euros ou 4% du chiffre d’affaires total mondial de l’entreprise pour l’exercice précédent.

                                                                   * * * * * * * * * * * *


(1) Voir l’article 4 “Droit national applicable” de la Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données

(2) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD)

(3) Par exemple, l’âge minimum pour un jeune pour donner son consentement pourra être compris entre 13 et 16 ans, le choix étant laissé à chaque Etat membre.

(4) Voir RGPD, considérants 22 à 24 et article 3 “Champ d’application territoriale”

(5) Considérant 24

(6) RGPD, article 27

(7) “UK Government announces proposals for a new Data Protection Bill”, in Technology Law Dispatch, 16 août 2017

(8) Pour une analyse plus détaillée des obligations relatives à la mise en conformité au RGPD, voir nos articles à ce sujet : “Adoption du Règlement européen sur la protection des données personnelles : le compte à rebours de la mise en conformité a commencé”, “Entrée en application du RGPD en mai 2018 : comment organiser votre mise en conformité au règlement européen ?”, “Sécurité des données personnelles : vers la généralisation de la procédure de notification des incidents de sécurité"



Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Septembre 2017


vendredi 25 août 2017

Sécurité des données personnelles : vers la généralisation de la procédure de notification des incidents de sécurité


La loi Informatique et Libertés impose une obligation générale de sécurité au responsable de traitement, qui “est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.” (1)

En cas d’incident de sécurité, l’obligation de notification des violations de données personnelles est actuellement limitée à certaines catégories d’organismes, en vertu de plusieurs textes nationaux ou européens (notamment le règlement e-Privacy, le règlement eIDAS, la directive NIS, la directive Paquet Télécom, la loi visant les systèmes d’information d’importance vitale, la loi de modernisation du système de santé). (2)

Par exemple, la loi Informatique et Libertés (art. 34 bis) prévoit une obligation de notification des violations de données personnelles uniquement aux fournisseurs de services de communications électroniques accessibles au public, à savoir, les opérateurs déclarés auprès de l’ARCEP (fournisseurs de téléphonie fixe et mobile et FAI). Par ailleurs, le Code de la défense impose à certains organismes publics et privés de notifier des incidents de sécurité à l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). (3) Cette obligation de notification est cependant limitée aux opérateurs d’importance vitale (OIV).

Le règlement général sur la protection des données (RGPD), qui doit entrer en application le 25 mai 2018, comprend des dispositions renforçant cette obligation de sécurité. Ainsi, l’article 32 “Sécurité du traitement” dispose : (2)

1. Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques (…), le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:
    a) la pseudonymisation et le chiffrement des données à caractère personnel ;
    b) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
    c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ;
    d) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement. (…)

L’article 33 du RGPD impose une nouvelle obligation de notification à l'autorité de contrôle d'une violation de données à caractère personnel. Cette obligation s’appliquera désormais à tout organisme, et ne sera plus limitée à certaines catégories d’activités.

Le 26 juillet 2017, la CNIL a publié des recommandations relatives à la procédure de notification d’incidents de sécurité aux autorités. (4)

Les organismes doivent donc s’assurer de la conformité de leurs procédures internes à la loi, notamment en matière de sécurité de leurs systèmes informatiques et désormais, en matière de notification d’incidents de sécurité aux autorités. Pour ce faire, les organismes peuvent s’appuyer sur les textes mais également sur le processus de gestion des incidents défini par la norme ISO/IEC 27035.

Ainsi, la procédure de gestion des incidents peut être découpée en cinq étapes, comme suit :

    1. Créer un annuaire et des procédures de gestion des incidents afin :
    . d’identifier l’ensemble du personnel interne impliqué dans la gestion des incidents, de formaliser cette liste et de la tenir à jour ;
    . d’identifier les parties prenantes externes, de formaliser cette liste et de la tenir à jour (prestataires de service impliqués, autorités destinataires des notifications, liens vers les formulaires de notification, etc) ;
    . de formaliser et de tester les procédures internes de gestion des incidents.
    2. Mener une veille (sources internes ou externes (fournisseurs, ANSSI, ASIP, autres IRT (Incident Response Team)/CERT (Computer Emergency Response Team), fils RSS) et mettre en œuvre des outils de détection des incidents et de remontée d’alertes permettant de détecter les activités anormales, suspectes, voire malveillantes, et des outils de détection des événements de sécurité, dans le respect des droits des utilisateurs;
    3. Qualifier l’incident notamment dans le but de déterminer la(les) autorité(s) destinataires de la notification, le cas échéant ;
    4. Résoudre et notifier l’incident à(aux) autorité(s) de régulation ;
    5. Faire un bilan de l’incident et mettre en oeuvre les actions correctives nécessaires afin d’empêcher la reproduction de l’incident.

En cas de violation de données personnelles, l’organisme doit documenter l’incident dans un registre interne reprenant les faits concernant l’incident de sécurité, ses effets et les mesures prises pour y remédier.

Concernant plus particulièrement le RGPD, la CNIL émet les recommandations suivantes pour gérer au mieux la procédure de notification des violations de données à caractère personnel. En cas d'une violation de données, l’organisme devra porter à la connaissance de la CNIL, via un téléservice opérationnel en mai 2018, les éléments suivants :
    - la description de la nature de la violation de données à caractère personnel ;
    - les catégories de données concernées ;
    - le nombre approximatif de personnes concernées par la violation ;
    - les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ;
    - le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues, et décrire les conséquences probables de la violation de données et préciser les mesures prises ou à prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

Par ailleurs, en cas de risque élevé pour les personnes concernées, le responsable de traitement devra informer, en termes clairs et simples, les utilisateurs touchés par l’incident, sauf si le responsable a pris, préalablement ou postérieurement à la violation, des mesures techniques ou organisationnelles appropriées. Dans le cas où la communication aux personnes concernées exigerait des efforts disproportionnés, une communication publique ou autre mesure similaire pourra être réalisée. La CNIL pourra demander au responsable de traitement ne l’ayant pas fait, d’effectuer cette communication.

Dès lors que de nouveaux éléments sont découverts par l’organisme, ceux-ci devront être communiqués à la CNIL.


Jusqu’à présent, l’obligation de notification des incidents de sécurité n’incombait qu’à certaines catégories d’organismes. Le nombre de cas de violation rendu public reste donc limité. Cependant, avec la multiplication des obligations de notification des incidents de sécurité aux autorités de régulation et de contrôle, mais également aux personnes concernées, de plus en plus d’incidents seront rendus publics. Il sera donc nécessaire, pour les organismes victimes d’une violation de données, de gérer leur réputation auprès des marchés, en parallèle de la notification d’incident et des actions correctives. Dans ce domaine, la transparence et l’information des personnes concernées et du public sur les mesures correctives mises en oeuvre sont des éléments clés.

                                                                      * * * * * * * * * * * *


(1) Article 34, loi Informatique et Libertés du 6 janvier 1978, modifiée

(2) Règlement (UE) n°611/2013 de la Commission du 24 juin 2013 concernant les mesures relatives à la notification des violations de données à caractère personnel en vertu de la directive 2002/58/CE du Parlement européen et du Conseil sur la vie privée et les communications électroniques ; Règlement (UE) n°910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE ; Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l’Union ; Directive 2009/140/CE du Parlement européen et du Conseil du 25 novembre 2009 modifiant les directives 2002/21/CE relative à un cadre réglementaire commun pour les réseaux et services de communications électroniques, 2002/19/CE relative à l’accès aux réseaux de communications électroniques et aux ressources associées, ainsi qu’à leur interconnexion, et 2002/20/CE relative à l’autorisation des réseaux et services de communications électroniques ; Décret n°2016-1214 du 12 septembre 2016 relatif aux conditions selon lesquelles sont signalés les incidents graves de sécurité des systèmes d'information

(3) Loi n°2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale ; Décrets n°2015-351 et n°2015-350 du 27 mars 2015 relatifs à la sécurité des systèmes d’information des opérateurs d’importance vitale et à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité nationale.

(4) Site de la CNIL


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com


Août 2017

lundi 31 juillet 2017

Après le Parlement européen, le CESE publie un avis sur l’intelligence artificielle (IA)


Après les recommandations sur la robotique, émises par le Parlement européen en février dernier (1), le Comité économique social et européen (CESE) vient de se prononcer sur ce sujet dans un avis publié le 31 mai 2017. (2)

L’intelligence artificielle (IA), comme toutes les technologies de rupture, présente de multiples avantages dans de nombreux domaines (industrie, services, éducation, etc.), mais pose également des risques et des défis en matière de sécurité, de contrôle des robots intelligents et de l’IA, ainsi qu’en matière d’éthique et de protection de la vie privée, sans oublier les impacts sur la société et l’économie.


IA et enjeux de société

Le CESE a relevé onze domaines dans lesquels l’IA soulève des enjeux de société et pour lesquels des réponses doivent être apportées : l’éthique ; la sécurité ; la vie privée ; la transparence et l’obligation de rendre des comptes ; le travail ; l’éducation et les compétences ; l’(in)égalité et l’inclusion ; la législation et la réglementation ; la gouvernance et la démocratie ; la guerre ; la superintelligence.


IA et travail : la seconde ère du machinisme

Le CESE se penche également sur l’incidence de l’IA sur le travail, à savoir, l’emploi, les conditions de travail et les régimes sociaux. Selon Erik Brynjolfsson et Andrew McAfee, professeurs à MIT et auteurs de “The Second Machine Age”, il existe une différence majeure entre la première et la seconde ère du machinisme. La première ère du machinisme a consisté dans le remplacement de la force musculaire (animale, humaine) par les machines. Les répercussions ont porté principalement sur les travailleurs manuels et peu qualifiés. Or avec la seconde ère du machinisme, tous les secteurs de l’industrie et de l’économie sont concernés. Les machines “intelligentes” développent des compétences cognitives et peuvent réaliser des prestations intellectuelles. Ainsi, les répercussions porteront non seulement sur les travailleurs peu qualifiés, mais aussi sur les travailleurs diplômés.

De nombreuses catégories d’emplois, aujourd’hui tenus par des humains, devraient disparaître dans les décennies à venir, au profit de robots plus ou moins intelligents et plus ou loins autonomes. Toutefois, de nouveaux emplois devraient voir le jour, bien que l’on ne soit pas en mesure aujourd’hui de prédire leur nature ou leur nombre. En conséquence, l’un des points fondamentaux sera de permettre au plus grand nombre d’acquérir et de développer des compétences numériques.


IA et réglementation

Un autre point abordé par le CESE concerne la réglementation. Le Comité a d’ores et déjà identifié 39 règlements, directives, déclarations et communications qui devront être révisés ou adaptés par l’UE, ainsi que la Charte européenne des droits fondamentaux pour prendre en compte l’IA.


Des préconisations communes à celles du Parlement européen ...

Certaines des préconisations du Comité rejoignent celles émises par le Parlement européen. Le CESE préconise notamment :

    - l’instauration d’un code européen de déontologie pour le développement, le déploiement et l’utilisation de l’IA, “afin que les systèmes d’IA demeurent, tout au long de leur processus d’exploitation, compatibles avec les principes de dignité humaine, d’intégrité, de liberté, de respect de la vie privée, de diversité culturelle et d’égalité entre hommes et femmes, ainsi qu’avec les droits fondamentaux”. Ainsi, les questions éthiques concernant le développement de l’IA doivent être abordées. Les systèmes d’IA doivent être développés et déployés “dans les limites de nos normes, valeurs et libertés fondamentales et des droits de l’homme”. Ces règles devraient s’appliquer, de manière uniforme, à l’échelle mondiale ;

    - la mise en place d’un système européen de normalisation pour la vérification, la validation et le contrôle des systèmes d’IA, fondé sur des normes de sécurité, de transparence, d’intelligibilité et d’obligation de rendre des comptes. Le Comité reconnaît que la robotique doit être réglementée au niveau pan-européen, notamment pour des raisons concurrentielles sur le marché mondial.


Mais une divergence de fond sur le statut juridique du robot

Enfin, et contrairement au Parlement européen, le Comité se prononce contre la création d’une personnalité juridique spécifique pour les robots. Le CESE prône une approche dite “human-in-command” de l’IA, reposant sur un développement responsable, sûr et utile de l’IA, dans le cadre duquel “les machines resteraient les machines, sous le contrôle permanent des humains”. Pour le CESE, une personne physique devra toujours rester responsable en dernier ressort.


     Le Comité économique social et européen, en qualité de représentant de la société civile européenne souhaite poursuivre la réflexion sur l’IA en y associant toutes les parties prenantes concernées dans les domaines de la politique, de l’économie et de l’industrie, la santé et l’éducation notamment. En effet, compte tenu de la nature transverse des questions posées par l’évolution de l’IA et de ses impacts multiples sur la société, le débat doit couvrir tous les pans de la société sur lesquels l’IA est susceptible d’avoir une incidence.

                                                                      * * * * * * * * * * * *

(1) “Résolution du Parlement européen du 16 février 2017 contenant des recommandations à la Commission concernant des règles de droit civil sur la robotique” (2015/2103(INL)), et voir notre article “De la science-fiction au droit : vers un cadre juridique européen de la robotique à l’aube d’une nouvelle révolution industrielle” publié en mai 2017

(2) Avis du Comité économique et social européen “L’intelligence artificielle – Les retombées de l’intelligence artificielle pour le marché unique (numérique), la production, la consommation, l’emploi et la société”, 31 mai 2017, (INT/806 – EESC-2016-05369-00-00-AC-TRA (NL))



Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Juillet 2017

jeudi 20 juillet 2017

Plateformes en ligne : le Parlement européen pour une évolution de leur régime de responsabilité


Répondant à une communication de la Commission européenne du 25 mai 2016, le Parlement européen a voté, le 15 juin 2017, une résolution dans laquelle les euro-députés se sont prononcés en faveur de la responsabilisation des plateformes en ligne concernant le respect du droit d’auteur, la lutte contre les contenus illégaux, et la protection des mineurs et des consommateurs. (1)


La définition du terme “plateforme”


Les euro-députés constatent tout d’abord la difficulté de donner une définition unique de la notion de plateforme en ligne “qui soit juridiquement pertinente et à l’épreuve du temps, compte tenu de facteurs tels que la grande variété des plateformes en ligne et de leurs domaines d’activités ou encore l’évolution rapide de l’environnement numérique à l’échelle mondiale”. Les plateformes, B-to-C ou B-to-B, englobent en effet un large éventail d’activités telles que moteurs de recherche, réseaux sociaux, commerce électronique, communication et médias, paiement en ligne, etc. Il est donc difficile de créer des règles applicables aux différents types de plateformes et il semble plus approprié de les aborder de manière sectorielle.

Il existe néanmoins des caractéristiques communes aux plateformes, telles que par exemple, la possibilité de mettre en relation différents types d’utilisateurs, d’offrir des services en ligne adaptés à leurs préférences et fondés sur des données fournies par les utilisateurs, de classer ou de référencer des contenus, notamment au moyen d’algorithmes.


L’évolution du régime de responsabilité des intermédiaires

Les plateformes en ligne qui hébergent des contenus fournis par des tiers-utilisateurs bénéficient actuellement du régime de responsabilité des hébergeurs, prévu à l’article 14 de la directive du 8 juin 2000 sur le commerce électronique (2) (transposée en droit français par la loi du 21 juin 2004 pour la confiance dans l’économie numérique). (3)

En vertu de ce régime de responsabilité, les hébergeurs ne peuvent voir leur responsabilité engagée pour les contenus hébergés sur leurs serveurs que s’ils en avaient une connaissance effective, ou si après avoir été informés de leur caractère manifestement illicite, ils n’ont pas supprimé l’accès à ces contenus.

La jurisprudence a été amenée à définir les contours de la notion d’hébergeur, et plus particulièrement les cas dans lesquels leur responsabilité pouvait être engagée, à savoir, lorsque l’hébergeur (ou la plateforme) a connaissance des contenus hébergés par la notification de leur caractère manifestement illicite, par une modération de ces contenus avant leur mise en ligne, voire par une intervention sur ces contenus (référencement par exemple). (4)

Même si le régime de responsabilité spécifique des hébergeurs est adapté à l’activité des plateformes en ligne, pour autant qu’elles n’interviennent pas sur les contenus hébergés, avec le temps les plateformes ont réalisé de plus en plus d’opérations sur les contenus hébergés, afin d’améliorer leur référencement et/ou de le monétiser via des bannières publicitaires et autres actions marketing de plus en plus ciblées.

Selon les euro-députés, le développement durable et la confiance des consommateurs dans les plateformes en ligne nécessite un environnement réglementaire “efficace et attrayant”. Les euro-députés proposent alors de préciser les obligations des intermédiaires, notamment en responsabilisant les plateformes qui ne jouent pas un rôle neutre au sens de la directive du 8 juin 2000 sur le commerce électronique, qui ne pourraient plus bénéficier du régime de responsabilité aménagé.

A cette fin, les euro-députés demandent à la Commission de formuler “des orientations sur la mise en œuvre du cadre de responsabilité des intermédiaires afin de permettre aux plateformes en ligne de respecter leurs obligations ainsi que les règles relatives à la responsabilité", notamment en clarifiant les procédures de notification et de retrait de contenus et en présentant des orientations sur les mesures volontaires de lutte contre ces contenus.


Plateformes en ligne et partage de contenus culturels

L’évolution de la responsabilité des plateformes est une demande importante du Parlement notamment pour les industries culturelles et créatives, avec un renforcement des mesures de lutte contre les contenus en ligne illégaux et dangereux – une référence étant faite à la proposition de directive SMA (services de médias audiovisuels) et aux mesures pour les plateformes de partage de vidéos, concernant la protection des mineurs et le retrait des contenus associés à des discours haineux.

Par ailleurs, constatant que bien que l’on n’ait jamais autant consommé de contenus issus de la création, par l’intermédiaire de plateformes de mise à disposition de contenu par les utilisateurs  (tels que Youtube ou Dailymotion par exemple) et les services d’agrégation de contenus, les secteurs de la création ne bénéficient pas d’une augmentation de leurs revenus proportionnée à cette augmentation de la consommation.

Alors que plusieurs textes européens sont en cours d’examen au Parlement, les euro-députés souhaitent un renforcement de la sécurité juridique et du “respect envers les titulaires de droits”. Selon les euro-députés, les plateformes qui hébergent un volume important d’oeuvres protégées, mises à la disposition du public, devraient conclure des accords de licence avec les titulaires de droits correspondants, (à moins qu’elles ne soient pas actives et qu’elles relèvent du régime de responsabilité prévu à l’article 14 de la directive de juin 2000), en vue de partager avec les auteurs, créateurs et titulaires de droits correspondants une juste part des bénéfices engendrés.

De telles initiatives commencent ainsi à voir le jour, telle la plateforme de streaming musical Spotify, qui a annoncé récemment la création d'un fonds de 43 millions de dollars pour améliorer la rémunération des droits d'auteur d'artistes américains. (5)


Plateformes et algorithmes

Les euro-députés rappellent enfin l’importance de préciser les méthodes de prise de décision fondée sur des algorithmes et de promouvoir la transparence quant à leur utilisation de ces algorithmes. L’accent doit être mis sur les risques d’erreur et de distorsion dans l’utilisation des algorithmes afin de prévenir toute discrimination ou pratique déloyale et toute atteinte à la vie privée. Le Parlement demande à la Commission européenne de mener une enquête sur les erreurs possibles et l’exploitation des algorithmes et de créer des conditions de concurrence équitables pour des services en ligne et hors ligne comparables.


Bien que les résolutions ne soient pas des actes réglementaires contraignants - les résolutions ne créent pas d’obligations juridiques mais ont une valeur politique et indicative -, ce texte a pour objet de communiquer la position des députés européens à la Commission. Celle-ci s’en inspirera lors de sa proposition de révision de la directive e-commerce qui devrait intervenir dans les mois à venir.

                                                             * * * * * * * * * * * *

(1) Résolution du Parlement européen du 15 juin 2017 sur “Les plateformes en ligne et le marché unique numérique” et Communication de la Commission du 25 mai 2016 sur “Les plateformes en ligne et le marché unique numérique – Perspectives et défis pour l’Europe

(2) Directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l'information, et notamment du commerce électronique, dans le marché intérieur («directive sur le commerce électronique»)

(3) L’article 6 I 2 de la LCEN dispose que “Les personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d'écrits, d'images, de sons ou de messages de toute nature fournis par des destinataires de ces services ne peuvent pas voir leur responsabilité civile engagée du fait des activités ou des informations stockées à la demande d'un destinataire de ces services si elles n'avaient pas effectivement connaissance de leur caractère illicite ou de faits et circonstances faisant apparaître ce caractère ou si, dès le moment où elles en ont eu cette connaissance, elles ont agi promptement pour retirer ces données ou en rendre l'accès impossible.
L'alinéa précédent ne s'applique pas lorsque le destinataire du service agit sous l'autorité ou le contrôle de la personne visée audit alinéa.


(4) Voir par exemple TGI Paris, ordonnance du 15 novembre 2004, Jurisdata 2004 n°258504 ; CA Paris, 4é ch.A, 7 juin 2006, Tiscali Media c. Dargaud ; CA Paris, Pôle 5 ch.1, 2 déc. 2014, TF1 et autres c. Dailymotion

(5) “Spotify crée un fonds de 43 millions de dollars pour indemniser les artistes”, in La Tribune 30 mai 2017



Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Juillet 2017

jeudi 13 juillet 2017

Entrée en application du RGPD en mai 2018 : comment organiser votre mise en conformité au règlement européen ?


Le règlement général sur la protection des données (RGPD) entrera en application dans tous les pays de l’Union européenne dans moins d’un an, le 25 mai 2018. (1) Il s’agit d’une profonde réforme du droit de la protection des données personnelles qui nécessite, pour les organismes - entreprises, associations et administrations -, de prendre des mesures de mise en conformité afin d’être prêt en mai 2018. De nombreuses différences existent entre la loi Informatique et Libertés et le règlement européen. Notamment, le règlement, qui prend en compte l’évolution des technologies et des modes de traitement des données, a pour ambition de renforcer les droits des personnes concernées sur leurs données, par des règles plus claires relatives au consentement à la collecte et au traitement des données personnelles, mais aussi concernant les politiques de protection des données des entreprises.

Les organismes sont désormais soumis à un nouveau principe de responsabilité (“accountability”) applicable à la protection des données dans l’entreprise. Ce principe de responsabilité se traduit par la mise en place de procédures nouvelles, telles que la prise en compte de la protection des données dès la conception d’un produit ou d’un service (“privacy by design”), la réalisation d’analyses d’impact relatives à la protection des données lorsque le traitement est susceptible d’engendrer des risques pour les droits des personnes concernées, la tenue d’un registre des traitements et des procédures mises en place, l’obligation de notifier les violations de données personnelles (à la suite d’une faille de sécurité ou d’une cyberattaque par exemple).

Pour rappel, le montant des sanctions pour violation des dispositions du RGPD sera beaucoup plus élevé qu’actuellement, puisqu’il pourra atteindre, suivant la nature de l’infraction, entre 10 millions d’euros ou 2% du chiffre d’affaires mondial de l’entreprise, et 20 millions d’euros ou 4% du chiffre d’affaires mondial de l’entreprise…

La CNIL en France, et les membres du G29 (CNIL européennes) travaillent activement pour aider les organismes à se préparer à la mise en conformité au RGPD. La CNIL a publié un plan pour aider les organismes à s’organiser pour se préparer à la mise en conformité au RGPD. Par ailleurs, les membres du G29 ont adopté des lignes directrices dont l’objet est de préciser certaines notions nouvelles du règlement.


1. Le plan de mise en conformité préconisé par la CNIL

La Commission nationale de l’informatique et des libertés a publié un plan pour aider les organismes à préparer la mise en conformité au RGPD. (2) Celui-ci se décline en six étapes, comme suit :

    - Etape 1 : désigner un “pilote” à la conformité - CIL ou futur DPO
Compte tenu de la complexité de la mise en oeuvre de la conformité au RGPD, une personne doit être désignée pour piloter cette phase. Cette personne, - correspondant informatique et libertés (CIL), futur délégué à la protection des données (DPD ou DPO) ou conseil externe -, exercera une mission d’information, de conseil et de contrôle en interne et permettra d'organiser et coordonner les actions de mise en conformité à mener.

    - Etape 2 : cartographier les traitements de données personnelles
Pour mesurer concrètement l’impact du règlement européen sur la protection des données traitées par l’entreprise, les traitements réalisés doivent être recensés dans un registre.

    - Etape 3 : prioriser les actions à mener
Sur la base des traitements recensés, les actions de conformité à mettre en oeuvre pourront être identifiées. Ces actions seront classées par ordre de priorité, au regard des risques des traitements réalisés, sur les droits et les libertés des personnes concernées.

    - Etape 4 : gérer les risques
Si des traitements de données personnelles susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes concernées ont été identifiés, une analyse d'impact sur la protection des données (DPIA) devra être réalisée pour chacun de ces traitements. A cette fin, les organismes peuvent se référer aux lignes directrices sur les analyses d’impact relatives à la protection des données pour les guider dans la mise en oeuvre de ces nouvelles procédures (voir ci-après).

    - Etape 5 : organiser les processus internes
Pour assurer un haut niveau de protection des données personnelles en permanence, des procédures internes devront être prévues. Ces procédures devront garantir la prise en compte de la protection des données à tout moment, en considérant l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (tels que faille de sécurité, gestion des demande de rectification ou d’accès, modification des données collectées, etc.).

    - Etape 6 : documenter la conformité
Pour démontrer la conformité de l’entreprise au règlement, il conviendra de constituer et regrouper la documentation nécessaire (procédures internes, analyses d’impact, documents d’audit interne, etc.). Ces documents devront être mis à jour régulièrement.


2. Les lignes directrices élaborées par les membres du G29 au 30 juin 2017

Les membres du G29 ont publié plusieurs documents de support à la mise en oeuvre du règlement dont l’objet est de clarifier les nouveaux principes à mettre en oeuvre. Ces lignes directrices (“guidelines”) doivent accompagner les organismes dans leurs travaux de mise en conformité au RGPD. Fin juin 2017, les lignes directrices suivantes étaient publiées :

    - Lignes directrices sur les analyses d’impact relatives à la protection des données
Ces lignes directrices détaillent les types de traitements concernés par une analyse d’impact, les méthodologies existantes pour réaliser une analyse d’impact, les règles selon lesquelles une analyse d’impact doit être publiée et/ou communiquée à l’autorité de contrôle, et les règles selon lesquelles l’autorité de contrôle doit être consultée en cas de traitement potentiellement à risques.

La notion d’analyse d’impact relative à la protection des données (Data Protection Impact Assessment (DPIA) est définie à l’article 35 du RGPD. L’analyse d’impact a pour objet de décrire le traitement envisagé, évaluer la nécessité et la proportionnalité du traitement, et doit permettre de gérer les risques sur les droits et libertés des individus, générés par ce traitement de données.

L’analyse d’impact est l’un des mécanismes prévus dans le cadre de la notion de responsabilité, permettant aux responsables de traitement de se mettre en conformité et de démontrer que des mesures appropriées ont été prévues pour assurer cette conformité au règlement. Le non-respect de l’obligation de réaliser une analyse d’impact est passible, pour l’organisme fautif, d’une amende administrative pouvant s’élever à 10 millions d’euros ou 2% de son chiffre d’affaires mondial de l’année précédente.

    - Lignes directrices relatives au délégué à la protection des données
Ces lignes directrices détaillent les conditions de désignation d’un délégué à la protection des données (DPD ou DPO - data protection officer), ainsi que le rôle et les missions du DPO. La notion et les fonctions du délégué à la protection des données sont prévues aux articles 37 à 39 du règlement européen.

Dans le cadre de l’obligation générale de conformité au RGPD, certains organismes - responsables de traitement et sous-traitants, devront nommer un délégué à la protection des données. Bien que ce concept ne soit pas nouveau (cf le correspondant informatique et libertés - CIL, en France), la désignation d’un DPO n’était pas obligatoire en vertu de la directive de 1995.

Le DPO permet aux organismes d’assurer leur conformité au règlement européen (fonctions d’audit par exemple, de relais entre les différents départements de l’entreprise, avec les autorités de contrôle, et avec les personnes concernées). En revanche, comme le CIL, le DPO ne peut être tenu responsable en cas de non-conformité de l’organisme à la règlementation. Le responsable de traitement, ou le sous-traitant, reste responsable de la conformité au règlement et à sa mise en oeuvre.

    - Lignes directrices sur le droit à la portabilité des données

Ces lignes directrices définissent la notion de droit à la portabilité des données, identifient les principaux éléments de ce nouveau droit, identifient les situations quand ce droit doit s’appliquer, définissent comment les règles relatives aux droits des personnes concernées s’appliquent au droit à la portabilité des données, et enfin, définissent comment les données doivent être communiquées.

Le droit à la portabilité des données est prévu à l’article 20 du règlement européen. Contrairement au droit d’accès, prévu dans la directive de 1995, ce nouveau droit permet aux personnes concernées de recevoir les données fournies au responsable de traitement, dans un format structuré et lisible par la machine et de transmettre ces données à un nouveau responsable de traitement. Le droit à la portabilité des données sera utilisé en cas de passage d’un fournisseur à un autre, mais pas uniquement.

    - Lignes directrices sur l’autorité du chef de file

Le règlement européen crée la notion d’autorité de contrôle chef de file, pour les traitements de données transfrontaliers.

Ces lignes directrices permettent d’identifier l’autorité chef de file compétente pour les traitements de données transfrontaliers, notamment lorsque le lieu de l’établissement principal du responsable de traitement est différent de son siège européen, lorsque plusieurs sociétés sont concernées au sein d’un groupe, ou lorsqu’il y a plusieurs responsables de traitement conjoints. La situation des sous-traitants est également abordée. 

D’autres lignes directrices sont en cours d’élaboration : lignes directrices sur la certification, lignes directrices concernant la notification de violations de données personnelles, lignes directrices sur le consentement des personnes, enfin lignes directrices sur le profilage.


                                                                * * * * * * * * * * * *

(1) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD)

(2) Voir site de la CNIL

(3) Lignes directrices disponibles, en anglais, sur le site de la CNIL : Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 ; Guidelines on Data Protection Officers (“DPOs”) ; Guidelines on the right to data portability ; Guidelines for identifying a controller or processor’s lead supervisory authority


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Juillet 2017