Messages les plus consultés

vendredi 18 décembre 2015

Un accord de confidentialité aux termes trop généraux peut être privé d’effet



Nombre de sociétés font signer des accords de confidentialité avant d’entrer en pourparlers commerciaux avec des prospects. Ces accords sont le plus souvent rédigés dans des termes standards, et généraux, et peuvent n’engager que l’une des parties, ou les deux parties de manière réciproque.

Il existe peu de jurisprudence sur l’application des contrats de confidentialité. En effet, il est souvent très difficile, voire impossible de rapporter la preuve de la violation d’un engagement de confidentialité par un co-contractant. C’est la raison pour laquelle, les poursuites judiciaires sont parfois engagées sur le fondement de la concurrence déloyale ou de la contrefaçon.

Une récente décision de la Cour d’appel de Versailles vient de préciser la condition de l’application de l’obligation de confidentialité et en l’espèce a refusé de reconnaître la violation de l’accord signé par le défendeur. (1)


1. Les faits

La société Digitre (précédemment dénommée Drimki), exploitait un site internet dans le domaine de l’immobilier. Ce site permettait la mise en relation entre des vendeurs de biens immobiliers et des acheteurs, la mise en ligne d’annonces immobilières et l’estimation de la valeur des immeubles proposés à la vente.

En février 2011, la société Digitre a entamé des pourparlers avec la société A vendre A louer concernant un partenariat commercial. Digitre a alors signé un engagement de confidentialité avec le directeur commercial de la société A vendre A louer.

Cet accord stipulait notamment :

(…) Compte tenu de la nature confidentielle des documents et informations que vous serez amenés à me communiquer dans le cadre de nos échanges, je vous confirme mon engagement :
    • de ne pas divulguer l’existence et l’objet de nos discussions,
    • de garder confidentielles toutes informations ayant un caractère confidentiel, c’est-à-dire toutes informations, de quelque nature qu’elles soient, qui me seraient communiquées, sous quelque forme que ce soit, et qui n’auraient pas été diffusées auprès du public. (…)

En conséquence, je m’engage à garder ces informations pour strictement confidentielles et à ne les divulguer à quiconque.
Je m’engage par ailleurs à ne pas utiliser directement ou indirectement lesdites informations, à des fins personnelles ou pour le compte d’une société autre que celle portant le projet Drimki.
Ces engagements pris à l’égard de Drimki SA prendront effet à la date de la présente et resteront en vigueur pendant une durée d’un an à compter de cette date. (…)


Les pourparlers n’ont pas abouti et les discussions ont cessé fin avril 2011. En janvier 2012, l’ancien directeur commercial de la société A vendre A louer faisait immatriculer la société Neo Avenue au registre du commerce et lançait un nouveau site de vente immobilière dénommé neo-avenue.fr.

La société Digitre, estimant que Monsieur J-B N (ex-directeur commercial de la société A vendre A louer) avait violé l’engagement de confidentialité et que la société Neo Avenue avait commis des actes de concurrence déloyale à son égard les a fait assigner le 10 octobre 2012 devant le tribunal de grande instance de Nanterre.

Dans son jugement du 2 octobre 2014, le TGI de Nanterre a débouté la société Digitre, au motif que celle-ci n’indique pas quelles seraient les informations confidentielles qui auraient été dévoilées et utilisées fautivement par Monsieur N. et la société Néo Avenue. La société Digitre a alors fait appel du jugement.


2. La décision de la Cour d’appel de Versailles

La Cour d’appel a interprété le contrat conformément aux stipulations qui y figuraient. Ainsi, les juges ont retenu qu’en l’espèce, l’accord de confidentialité conclu par Monsieur J-B N pour la société A vendre A louer engageait son signataire à titre personnel (“(…) Je m’engage par ailleurs à ne pas utiliser directement ou indirectement lesdites informations, à des fins personnelles ou pour le compte d’une société autre que celle portant le projet Drimki. (…)”).

Concernant les informations confidentielles, l’accord était rédigé en termes très généraux (“(…) Compte tenu de la nature confidentielle des documents et informations que vous serez amenés à me communiquer dans le cadre de nos échanges (…)”) et ne précisait pas quels types d’informations devaient être considérées comme confidentielles, et donc, entrer dans le champ de l’engagement.

Par ailleurs, la société Digitre n’a pas indiqué quelles informations confidentielles auraient été dévoilées et utilisées fautivement par les défendeurs.

L’article 6 du code de procédure civile qui dispose : “A l'appui de leurs prétentions, les parties ont la charge d'alléguer les faits propres à les fonder”. En conséquence, faute pour la société Digitre d’alléguer de façon suffisamment précise les faits propres à fonder leurs prétentions, à savoir les informations confidentielles qui auraient effectivement été utilisées en violation de l’engagement de confidentialité de Monsieur J-B N., celles-ci ne peuvent être accueillies.

La Cour d’appel a donc décidé de confirmer le jugement du TGI de Nanterre en déboutant la société Digitre de ses demandes.


     En conclusion, il ressort de cette décision que la simple signature d’un accord de confidentialité dans des termes trop généraux est insuffisante pour garantir que les informations et documents échangés pendant des pourparlers ne seront pas divulgués ou réutilisés par le co-contractant.

Il est donc vivement recommandé d’une part, de rédiger les accords de confidentialité avec soin afin d’identifier les domaines couverts par la confidentialité, en indiquant que celle-ci peut couvrir tant des informations communiquées par oral pendant les réunions, que dans des documents écrits. D’autre part, afin de s’assurer du caractère effectif de cette confidentialité, il conviendra d’identifier les documents communiqués par la mention “confidentiel”, et mentionner lors des échanges verbaux, que ceux-ci sont également confidentiels. Enfin, il est possible d’intégrer une obligation de renvoi ou de destruction des documents confidentiels, en cas d’échec des pourparlers ou à l’issue des relations contractuelles. 


                                                     * * * * * * * * * * *

(1) CA Versailles, 12é ch., 24 novembre 2015 Digitre c. J-B N. et Neo Avenue


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Décembre 2015

mardi 24 novembre 2015

Quelles mesures pour le transfert de données personnelles vers les Etats-Unis après l’invalidation des règles du Safe Harbor par la CJUE ?



Après le coup de tonnerre lancé par la décision de la Cour de justice de l’Union européenne (CJUE) du 6 octobre 2015 d’invalider les règles du Safe Harbor, les entreprises européennes qui travaillent avec des partenaires commerciaux aux Etats-Unis ayant adhéré aux principes du Safe Harbor (maisons-mères, filiales, sous-traitants, prestataires de services Cloud) doivent revoir les conditions de transfert de données personnelles vers ces entités. (1)

Dans cet article, nous faisons un point sur les règles de transfert de données personnelles à l’international et apportons quelques réponses aux mesures à prendre suite à la décision de la CJUE.


1. Le contexte : les règles relatives aux transferts de données personnelles hors de l’UE et l’invalidation des principes du Safe Harbor

Les règles européennes de protection de la vie privée sont d’application stricte. Alors que depuis la directive du 24 octobre 1995 sur la protection des données personnelles, les entreprises peuvent librement transférer les données personnelles d’un Etat membre à un autre sans formalités particulières, les transferts en dehors de l’Union européenne restent par principe interdits, sauf dans le cadre des exceptions que nous rappelons ci-après.

    1.1 L’encadrement des transferts de données personnelles hors Union européenne

Avec la globalisation des échanges commerciaux, la plupart des entreprises sont amenées à transférer des données personnelles dans des pays tiers, que ce soit vers d’autres sociétés de leur groupe, vers des partenaires commerciaux ou vers des prestataires de services. Or, les transferts de données personnelles en dehors de l’Union européenne sont en principe interdits. Il existe néanmoins plusieurs exceptions à ce principe. Sont ainsi autorisés :

    - les transferts de données réalisés vers un pays reconnu par la Commission européenne comme assurant un niveau de protection suffisant ou “adéquat”. Seuls quelques pays sont reconnus comme ayant une législation assurant un niveau de protection des données personnelles équivalent à celui en vigueur en Europe ; (2)
    - les transferts de données réalisés entre deux entités (exportatrice et importatrices de données) ayant signé les Clauses contractuelles types (“CCT”) adoptées par la Commission européenne. Les CCT sont des modèles de contrats de transferts de données. Cette solution contractuelle est applicable, soit entre deux responsables de traitement, soit entre un responsable de traitement et un sous-traitant ;
    - les transferts de données réalisés à l’intérieur d’un groupe multinational, entre deux ou plusieurs filiales du groupe, et sous réserve que l’entreprise multinationale ait mis en oeuvre des Règles internes d’entreprise (“Binding Corporate Rules” ou “BCR”) adoptées par l’ensemble des filiales et validées par l’une des autorités nationales de protection des données (ou “autorités de contrôle”, telle que la CNIL) ;
    - les transferts réalisés dans des situations exceptionnelles, sous réserve du consentement de la personne concernée par le traitement de données ;
    - enfin, les transferts de données réalisés vers les Etats-Unis, sous réserve que la société importatrice adhère aux principes du Safe Harbor.

Le système du Safe Harbor (ou “sphère de sécurité”) est un ensemble de règles de protection des données personnelles, négocié entre les autorités américaines (Department of Commerce) et la Commission européenne en 2000 et validé par une décision de la Commission du 26 juillet 2000. Le fonctionnement du Safe Harbor repose sur l’engagement des entreprises américaines qui décident d'y adhérer et l’auto-certification de celles-ci. L'adhésion au Safe Harbor est volontaire, mais ses règles sont alors contraignantes pour les entreprises adhérentes. La commission fédérale du commerce américaine (FTC) est chargée du contrôle de l'application des principes du Safe Harbor par les entreprises adhérentes.

Toutefois, les
principes du Safe Harbor viennent d’être invalidés par la Cour de justice de l’Union européenne.

    1.2 La décision Schrems de la CJUE du 6 octobre 2015

Dans sa décision du 6 octobre 2015, la Cour de justice de l’Union européenne (CJUE) a remis en cause le système du Safe Harbor, en jugeant qu’une autorité de contrôle pouvait suspendre les transferts de données personnelles depuis l’Union européenne vers les Etats-Unis.

L’affaire en cause concernait un citoyen autrichien, Maximillian Schrems, utilisateur de Facebook depuis 2008. Les données fournies par les utilisateurs de Facebook transitent par sa filiale située en Irlande, avant d’être transférées vers le territoire américain. Monsieur Schrems a déposé plainte auprès de l’autorité irlandaise de protection des données (Data Protection Commissioner), considérant que suite aux révélations de 2013 concernant les activités de renseignement des Etats-Unis (affaire “Snowden”), ce pays n’offrait pas de réelle protection contre la surveillance des données de citoyens européens. L’autorité irlandaise a rejeté la plainte déposée en arguant que, dans sa décision du 26 juillet 2000, la Commission européenne avait considéré que les Etats-Unis assuraient un niveau adéquat de protection des données à caractère personnel transférées dans le cadre de règles de Safe Harbor. (3)

La High Court of Ireland (Haute cour de justice irlandaise), saisie de l’affaire, a alors posé deux questions préjudicielles à la CJUE, afin de savoir si la décision rendue par la Commission européenne en 2000 empêchait une autorité nationale de contrôle d’enquêter lorsqu’un plaignant soutient qu’un pays tiers à l’Union n’offre pas les protections adéquates concernant les données personnelles transférées. Le plaignant est-il ainsi lié, de manière absolue, par la décision rendue par la Commission, sans autre possibilité de recours ?

Dans sa décision du 6 octobre 2015, la CJUE a jugé que la Commission européenne devait apprécier si les Etats-Unis assuraient effectivement, par leur législation ou leurs engagements internationaux, “un niveau de protection des droits fondamentaux substantiellement équivalent à celui garanti au sein de l’Union en vertu de la directive lue à la lumière de la Charte des droits fondamentaux de l’Union européenne”.

En l’espèce, la CJUE a relevé que les autorités américaines pouvaient accéder, de manière massive et indifférenciée, aux données ainsi transférées, sans assurer de protection juridique efficace aux personnes concernées, notamment aux citoyens européens.

Au regard de la hiérarchie des normes, les entreprises américaines sont en effet tenues de se soumettre aux lois américaines d’ordre public et doivent ainsi écarter “sans limitation” l’application des clauses du Safe Harbor qui leur seraient contraires. Constatant que la Commission européenne n’a pas recherché si les Etats-Unis assuraient effectivement une protection adéquate des données personnelles, la Cour a prononcé l’invalidation de la décision d’adéquation.

La CJUE a par ailleurs jugé que, même en présence d’une décision de la Commission européenne reconnaissant le caractère adéquat de la protection des données à caractère personnel, les autorités nationales de contrôle doivent pouvoir examiner en toute indépendance si le transfert des données d’une personne vers un pays tiers respecte les exigences posées par la directive de 1995.

La Cour en a déduit qu’une autorité nationale devait pouvoir, en cas de doute sur la validité d’une décision d’adéquation de la Commission, saisir les juridictions nationales pour que celles-ci puissent, le cas échéant, renvoyer l’affaire devant la Cour de justice. A cet égard, la décision invalidée de la Commission européenne ne pouvait priver les autorités de contrôle d’une telle possibilité.


2. Les conséquences de l’arrêt Schrems : une insécurité juridique nécessitant une mise à jour des conditions de transfert des données


Les transferts de données personnelles opérés vers les Etats-Unis dans le cadre des
principes du Safe Harbor n’ont donc désormais plus de base légale. Ceci implique non seulement, que les transferts de données précédemment validés ne sont plus conformes à la loi, mais également qu’il n’est plus possible de réaliser de nouveaux transferts de données sur la base du dispositif Safe Harbor.

    2.1 Les suites de la décision Schrems

- Le Groupe de travail “article 29” (ou G29) : la CNIL examine actuellement, avec ses homologues du G29 (représentants des autorités de protection des données des Etats membres), les conséquences juridiques et opérationnelles de l’arrêt du 6 octobre 2015.

Entretemps, le G29 a demandé aux institutions européennes de mettre en place une solution visant à palier l’insécurité juridique du système Safe Harbor
actuel. Dans un communiqué du 15 octobre dernier, le G29 a invité les institutions européennes à engager des discussions avec les autorités américaines, afin de trouver un dispositif permettant le transfert des données personnelles dans le respect des droits fondamentaux, et ce avant le 31 janvier 2016. (4)

En cas d’échec des négociations à l’échéance de ce délai de rigueur, les autorités européennes de contrôle pourraient “mettre en oeuvre toutes les actions nécessaires, y compris des actions répressives coordonnées”.

- Les autorités de contrôle : en réaction à la décision de la CJUE, plusieurs autorités de protection des données ont d’ores et déjà pris des mesures “préventives”.

Les autorités de régulation des différents Länder allemands et l’organe de supervision nationale ont annoncé qu’ils n’autoriseraient plus aucun transfert de données vers les États-Unis, y compris par le biais de Clauses contractuelles types ou des BCR.

L’autorité espagnole (Agencia Española de Protección de Datos - AEPD) a annoncé qu’elle adresserait aux organismes ayant déclaré procéder à des transferts dans le cadre du Safe Harbor, un courrier afin de savoir quelles solutions alternatives ils souhaitent mettre en place.

La décision Schrems a également produit des répercussions au-delà des frontières de l’Union européenne, notamment pour les pays assurant une protection adéquate, dans leurs propres transferts vers les Etats-Unis.

Ainsi, l’autorité israélienne de protection des données (Israeli Law, Information and Technology Agency - ILITA) a décidé de suspendre les transferts de données personnelles vers les Etats-Unis.

Enfin, l’autorité suisse a affirmé que, tant qu’un nouvel accord avec le gouvernement américain ne serait pas renégocié, le “U.S.-Swiss Safe Harbor Framework” ne constituerait plus une base légale suffisante pour une transmission de données personnelles aux États-Unis compatible avec la loi suisse sur la protection des données (LPD). 



Enfin, d’autres pays tiers à l’Union européenne réfléchissent actuellement aux conditions de transfert de données vers les Etats-Unis et à l’international.

- La Commission européenne : le 6 novembre dernier, la Commission a publié des orientations sur les possibilités de transferts transatlantiques de données, applicables jusqu'à la mise en place d'un nouveau cadre réglementaire.

La communication de la Commission analyse les répercussions de l'arrêt Schrems et propose des alternatives possibles pour transférer légalement des données à caractère personnel vers les États-Unis (CCT ou BCR notamment). (5)

- Vers un Safe Harbor 2.0 ? : enfin, la Commission européenne a décidé de procéder à un réexamen des principes de Safe Harbor à la suite des révélations d’Edward Snowden courant 2013 sur les opérations de surveillance opérées notamment par la NSA depuis l’entrée en vigueur des lois d’exception américaines votées après les attentats du 11 septembre 2001. Dès novembre 2013, la Commission a publié 13 recommandations en vue d’améliorer le système.

Depuis l'arrêt Schrems du 6 octobre 2015, la Commission accélère les négociations avec les États-Unis en vue d'établir un nouveau cadre pour mieux protéger les transferts de données à caractère personnel de citoyens européens vers les Etats-Unis. L'objectif de la Commission est de conclure ces discussions avant fin janvier 2016.

    2.2 Comment gérer les transferts de données pendant cette période transitoire ?

L’invalidation du dispositif Safe Harbor ouvre une période d’incertitude et soulève de nombreuses questions pour les entreprises opérant en vertu des principes du Safe Harbor.

Ainsi, les entreprises qui transfèrent des données personnelles vers les Etats-Unis peuvent-elles continuer leurs activités sans changer de cadre, en attendant la prise de position des institutions ? Est-il opportun de mettre en place des Clauses contractuelles types ou des BCR, sachant que cette procédure prend un certain temps pour sa mise en oeuvre (approbation des BCR par une autorité de protection ou signature des CCT par les entreprises concernées) ? Doit-on suspendre les transferts de données vers les Etats-Unis et les relocaliser en Europe, voire les transférer vers un pays “adéquat” ? Enfin, pour les transferts de données dans le cadre de l’exécution d’un contrat de service en cloud computing, que faire si le prestataire du service cloud américain refuse de modifier les conditions de transfert et que l’entreprise européenne est alors contrainte de résilier le contrat à ses frais ?

Le délai de trois mois pour arriver à un nouveau système Safe Harbor peut paraître “agressif” et rien ne garantit qu’il sera tenu.

En attendant que les autorités et les institutions prennent position et qu'un Safe Harbor 2.0 voie le jour, les entreprises doivent mettre en place des solutions juridiques et techniques pour limiter les risques juridiques liés à ces transferts. A ce titre, il convient de rappeler que les sanctions encourues en cas de non respect de la réglementation sur la protection des données personnelles, en matière de transferts non autorisés de données, peuvent atteindre 300.000 euros d’amende et 5 ans d’emprisonnement.

- Audits juridiques : dans un premier temps, il est recommandé de réaliser un audit juridique et technique des transferts de données en cours et des analyses de risques. Il convient d’identifier clairement les traitements et types de données concernés, le régime juridique sous lequel ces données sont transférées, puis d’étudier les impacts de l’invalidation du système Safe Harbor pour l’entreprise, à court et moyen terme.

- Solutions de mise en conformité : une fois l’audit réalisé et les transferts identifiés, il conviendra de réfléchir à l’adoption de solutions alternatives de mise en conformité plus protectrices. Trois solutions sont envisageables : les Clauses contractuelles types (CCT), le contrat privé et les Binding corporate rules (BCR) au sein d’un groupe multinational.

Les Clauses contractuelles types peuvent paraître comme la solution la plus simple à mettre en place à court terme. Il est cependant nécessaire d’identifier le modèle de contrat applicable et le faire signer, en l’état, par chacune des parties. En cas de modification des Clauses contractuelles, le document devra alors être envoyé à l’autorité de contrôle pour validation.

A défaut d’accord avec les prestataires américains tiers pour fonctionner sous le système des Clauses contractuelles types, et si les circonstances l’exigent et/ou le permettent, il conviendra d’envisager de rompre les relations commerciales existantes et d’opter pour des prestataires européens ou localisés dans un pays “adéquat”.


La solution du contrat, à savoir un contrat rédigé par les parties et adapté aux transferts envisagés, peut être favorisée. Solution plus flexible et adaptée que les Clauses contractuelles types, il est cependant nécessaire de prendre en compte leur coût, la procédure et les délais de demande d’autorisation à l’autorité de contrôle. Cette solution peut être utilisée entre deux partenaires commerciaux ou entre les sociétés d’un même groupe (alternative aux BCR).


Enfin, la solution des Binding corporate rules - BCR ne peut être déployée que dans le cadre d’un groupe multinational et n’est pas une alternative pour les relations avec des partenaires commerciaux ou prestataires de services tiers. En outre, les BCR nécessitent généralement plusieurs mois de travail pour leur élaboration, puis leur approbation par une autorité de régulation, avant de pouvoir être déployées dans le groupe.

Ces solutions de mise en conformité ont l'avantage de la stabilité. En effet, si les autorités se mettent d'accord sur un Safe Harbor 2.0, la décision Schrems rappelle que les autorités de contrôle de la protection des données pourront saisir les juridictions nationales, suite à la plainte d'une personne dont les droits auraient été violés par une société située aux Etats-Unis et adhérente aux principes du Safe Harbor. 

 
En toute hypothèse, il convient de s’adapter au cas par cas, en fonction de la taille de l’entreprise, du nombre de traitements concernés, et des risques identifiés. Le Cabinet peut vous accompagner dans cette démarche de mise en conformité.


                                                           * * * * * * * * * * * *


(1) CJUE, grande ch., 6 octobre 2015, Maximillian S. / Data Protection Commissioner

(2) Les pays assurant une protection adéquate, et donc, vers lesquels il est possible de transférer des données personnelles sans formalités supplémentaires sont : l’Argentine, le Canada, l’Islande, Israël, le Liechtenstein, la Norvège, la Nouvelle-Zélande, la Suisse, l’Uruguay

(3) Décision 2000/520/CE du 26 juillet 2000


(4) Communiqué du G29, Bruxelles le 15 octobre 2015 : “Statement of the Article 29 Working Party”.

(5) Communiqué de la Commission européenne du 6 novembre 2015, “La Commission publie des orientations sur les transferts transatlantiques de données et appelle à définir rapidement un nouveau cadre à la suite de l'arrêt rendu dans l'affaire Schrems”.



Bénédicte DELEPORTE
Betty SFEZ
Avocats

Deleporte Wentz Avocat
www.dwavocat.com

Novembre 2015

vendredi 25 septembre 2015

Utilisation de bases de données par un métamoteur de recherche externe : les conditions de licéité rappelées par la CJUE

Dans une décision du 19 décembre 2013, la Cour de justice de l’Union européenne (CJUE) a rappelé les conditions d’utilisation d’un métamoteur de recherche dédié pour que celui-ci ne soit pas considéré comme enfreignant les droits des exploitants des bases de données. (1)

Le litige opposait deux sociétés néerlandaises : la société Innoweb, qui exploite un métamoteur de recherche dédié dans le domaine de la vente automobile (gaspedaal.nl), à la société Wegener, qui exploite un site web d’annonces de vente de voitures d’occasion (autotrack.nl).

La société Wegener, considérant qu’Innoweb portait atteinte à ses droits d’exploitant de base de données par la mise à disposition d’un métamoteur de recherche, a assigné cette dernière afin de mettre fin à l’atteinte à ses droits. Wegener a obtenu gain de cause pour la plupart de ses demandes en première instance. La société Innoweb a fait appel. La cour a alors décidé de poser une série de questions préjudicielles à la Cour de justice de l’Union européenne portant sur l’étendue de la protection des bases de données dans le cadre d’une utilisation par un métamoteur de recherche dédié.

Après avoir rappelé les conditions de la protection juridique d’une base de données, nous verrons comment ces conditions ont été appliquées à l’utilisation d’un métamoteur de recherche dédié.


1. Les sites de petites annonces protégés par le droit des bases de données

Les sites de petites annonces constituent des bases de données, protégées juridiquement.

- La protection juridique des bases de données : un droit sui generis
La directive européenne du 11 mars 1996 a consacré un droit sui generis de la protection des bases des données, indépendant de la protection par le droit d’auteur, et essentiellement axé sur la protection des droits patrimoniaux du fabricant, ou producteur, de bases de données.

Considérant en effet que le développement d’une base de données implique généralement un investissement humain et financier conséquent, sa protection juridique permet au fabricant de limiter ou d’interdire toute extraction ou réutilisation non autorisée des données. L’utilisation de la base dans sa totalité ou une partie substantielle, ou de manière répétée et systématique (par exemple, liste d’abonnés aux pages jaunes, catalogue de produits d’un site de e-commerce ou liste de petites annonces), est soumise à l’autorisation (contrat de licence) de l’ayant-droit, accordée en principe contre rémunération.

En revanche, toutes les bases de données ne sont pas automatiquement protégées. Seules les bases de données dont la collecte de données, leur vérification ou la présentation du contenu attestent un investissement, qualitatif ou quantitatif, substantiel sont protégées juridiquement.

- Les notions d’extraction et de réutilisation des données

Concernant les bases de données protégées, la directive définit les notions d’extraction et de réutilisation comme suit :

“extraction” signifie “le transfert permanent ou temporaire de la totalité ou d'une partie substantielle du contenu d'une base de données sur un autre support par quelque moyen ou sous quelque forme que ce soit” ;

“réutilisation” signifie “toute forme de mise à la disposition du public de la totalité ou d'une partie substantielle du contenu de la base par distribution de copies, par location, par transmission en ligne ou sous d'autres formes (…)

La directive précise ensuite que “l'extraction et/ou la réutilisation répétées et systématiques de parties non substantielles du contenu de la base de données qui supposeraient des actes contraires à une exploitation normale de cette base, ou qui causeraient un préjudice injustifié aux intérêts légitimes du fabricant de la base, ne sont pas autorisées.” (3)

A contrario, l’utilisation d’une base de donnés par un tiers à des fins de consultation ponctuelle par exemple, n’est pas considérée comme portant atteinte aux droits du producteur.


2. Les conditions d'une utilisation licite des bases de données par un métamoteur de recherche

- Les questions posées à la CJUE

Un site web proposant un métamoteur de recherche peut-il être utilisé, sans l’accord des fabricants des bases de données référencées, pour réutiliser du contenu d’une base de données accessible en ligne en procédant, en temps réel, à des recherches dans la totalité ou une partie substantielle du contenu de ces bases de données tierces ?

Si le métamoteur de recherche ne renvoie aux utilisateurs qu’une partie minime du contenu de la base de données tierce, ou la fait apparaître sur son site web selon sa propre présentation et que les actes de recherche sont répétés en permanence, une telle utilisation du métamoteur correspond-elle alors à une réutilisation répétée et systématique de parties non substantielles du contenu de la base de données, contraire aux intérêts du fabricant de la base ?

C’est en substance la problématique soulevée par la cour d’appel néerlandaise à la CJUE dans l’affaire opposant la société Innoweb à Wegener.

- Définition d’un métamoteur de recherche dédié

Dans un premier temps, la Cour définit en quoi consiste un métamoteur de recherche dédié, puis applique les critères établis par la directive afin de déterminer si l’utilisation des bases de données par ce type de métamoteur enfreint les droits des fabricants.

La Cour distingue entre les moteurs de recherche fonctionnant sur des algorithmes, tels que Google ou Yahoo et les métamoteurs de recherche dédiés. Concernant ce type de métamoteur, l’exploitant du service ne dispose pas d’un moteur de recherche propre mais a recours aux moteurs de recherche utilisés par les sites tiers, couverts par le service de recherche.

Le qualificatif “dédié” signifie que le métamoteur est spécialisé dans les recherches sur un ou plusieurs domaines déterminés (en l’espèce, la vente de voitures d’occasion), permettant, par une seule requête, d’étendre la recherche sur plusieurs sites tiers d’annonces. Le métamoteur de recherche dédié traduit “en temps réel” les requêtes des utilisateurs dans les différents moteurs de recherche des sites tiers, permettant de balayer les données de ces bases.

En l’espèce, le métamoteur du site gaspedaal.nl permet de procéder à des recherches dans les bases de données de vente de voitures selon plusieurs critères (marque, modèle, kilométrage, année et prix notamment). Les résultats obtenus sont agrégés, le site du métamoteur affichant les liens vers les annonces correspondant à la requête. En l’espèce, les données n’étaient pas extraites des bases couvertes par le métamoteur.

- Notion de réutilisation des contenus de la base de données
La Cour analyse ensuite la notion de réutilisation, au regard de la finalité définie dans la directive, en l’appliquant au métamoteur de recherche dédié.

Selon la Cour, la notion de réutilisation au sens de l’article 7 de la directive, “doit être interprétée comme se référant à tout acte consistant à mettre à la disposition du public, sans le consentement de la personne qui a constitué la base de données, les résultats de son investissement, privant ainsi cette dernière de revenus censés lui permettre d’amortir le coût de cet investissement”, peu importe la nature ou la forme du procédé utilisé.

L’activité de l’exploitant d’un métamoteur de recherche a pour objet de fournir aux internautes un dispositif permettant d’explorer toutes les données figurant dans des bases de données protégées, en accédant à l’intégralité du contenu des bases par d’autres voies que celles prévues par les fabricants de ces bases de données. Cette activité a notamment des conséquences financières pour les exploitants des bases de données. En effet, les internautes n’ont plus besoin de se rendre sur leurs sites pour faire leurs recherches, ni même pour accéder aux annonces (ou au moins, sans passer par la page d’accueil du site de petites annonces). Les revenus publicitaires des sites de petites annonces sont alors potentiellement affectés.

La Cour en conclut que l’exploitant d’un métamoteur de recherche dédié procède effectivement à une réutilisation du contenu d’une base de données, au sens de la directive. Cette réutilisation porte sur une partie substantielle, voire même sur la totalité, du contenu de la base concernée, dès lors que le métamoteur : i) fournit à l’utilisateur final un formulaire de recherche offrant les mêmes fonctionnalités que le formulaire de la base de données ; ii) traduit en temps réel les requêtes des utilisateurs finaux dans le moteur de recherche de la base de données, permettant ainsi d’explorer toutes les données de la base ; et iii) présente à l’utilisateur final les résultats sous l’apparence extérieure de son site internet en réunissant les doublons en un seul élément, mais dans un ordre fondé sur des critères comparables à ceux utilisés par le moteur de la base de données pour présenter ses résultats.


    En conséquence, un site qui mettrait à la disposition des internautes un métamoteur de recherche dédié, sans avoir au préalable obtenu l’accord des exploitants des sites couverts par ce métamoteur (et quelque soit le domaine couvert par le métamoteur) doit respecter les critères suivants pour ne pas enfreindre les droits des fabricants des bases de données concernées :
    - fournir un formulaire de recherche comprenant des fonctionnalités différentes de celles proposées par les formulaires des bases de données couvertes ;
    - ne pas traduire en temps réel les requêtes des utilisateurs dans le moteur de recherche de la base de données afin de ne pas explorer toutes les données de cette base ; et
    - ne pas présenter à l’utilisateur les résultats de recherche sous l’apparence extérieure de son site internet, en réunissant les doublons en un seul élément et dans un ordre fondé sur des critères comparables à ceux utilisés par le moteur de la base de données pour présenter ses résultats.

Ainsi, l’exploitant d’un métamoteur de recherche a deux solutions pour ne pas enfreindre les droits des fabricants des bases de données des sites couverts : soit obtenir l’accord de ces sites tiers pour interroger leurs bases de données et proposer les résultats obtenus en temps réel, selon un format similaire à celui utilisé par le/les sites d’annonces, soit exploiter le métamoteur sans l’accord des sites tiers, mais en respectant les critères définis par la CJUE, en acceptant le fait que ces contraintes techniques donneront des résultats certainement moins pertinents pour les utilisateurs.

                                                            * * * * * * * * * * *

(1) CJUE, 5ème chambre, décision du 19 décembre 2013, Innoweb BV, Wegener ICT Media BV, Wegener Mediaventions BV

(2) Directive 96/9/CE du Parlement européen et du Conseil du 11 mars 1996 concernant la protection juridique des bases de données, transposée en droit français aux articles L.341-1 et suivants du code de la propriété intellectuelle

(3) Article 7.2 et 7.3 de la directive



Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Septembre 2015

mercredi 16 septembre 2015

Quel cadre légal pour le traitement des données personnelles des mineurs sur internet ?


Selon une étude Ipsos Connect menée en 2014, en France, les enfants de 7 à 12 ans passent en moyenne 5 heures par semaine sur internet, cette durée dépassant 11 heures par semaine pour les adolescents de 13 à 19 ans. (1) Pour autant, les enfants ne connaissent pas les règles de protection de la vie privée et peuvent être amenés à s’inscrire sur des sites et à communiquer des données sans comprendre les conséquences de tels actes.

En mai 2015, 29 autorités nationales de protection des données, regroupées au sein du GPEN (Global Privacy Enforcement Network), ont réalisé une opération d’audit en ligne conjointe sur près de 1.500 services web destinés aux mineurs (sites de jeux, réseaux sociaux et services éducatifs ou de soutien scolaire).

L’objectif de ces audits était de vérifier si les sites et applications internet consultés par les enfants et adolescents respectaient les règles de protection de la vie privée. Les points de contrôle portaient sur le type de données collectées, le niveau d’information et son adaptation aux jeunes utilisateurs ainsi que l’existence de mesures particulières de vigilance ou de contrôle parental pour les plus jeunes.

Les résultats de cette opération, dénommée “Internet Sweep Day”, viennent d’être publiés par la CNIL. (2) Selon ces autorités de protection des données, la protection de la vie privée des mineurs, sur les différents services examinés, est globalement insuffisante.

Après avoir brièvement rappelé le cadre légal de la protection des données personnelles, nous examinons ci-après les initiatives en cours vers un renforcement de la protection de la vie privée des mineurs et les règles de traitement qui devront être déployées par les exploitants de services numériques à destination des mineurs.


1. Le cadre légal de la protection des données personnelles : des règles générales qui s’appliquent à tous, sans distinction d’âge

La loi Informatique et Libertés du 6 janvier 1978 a été modifiée en 2004 pour transposer la directive européenne sur la protection des données personnelles du 24 octobre 1995. (3) Ces textes ne contiennent pas de dispositions relatives aux données personnelles des mineurs. Les dispositions légales s’appliquent donc à tous (adultes et enfants), sans distinction d’âge.

Les principales règles en matière de collecte et de traitement de données à caractère personnelle peuvent être résumées ainsi :

- Une collecte de données loyale et licite ;
- Une obligation de déclaration à la CNIL préalablement à la mise en oeuvre du traitement, ou éventuellement l’obligation de faire une demande d’autorisation pour certains types de traitements ;
- Un traitement de données conforme à la finalité déclarée (ou autorisée) ;
- Le consentement de la personne concernée à la collecte de ses données, accompagné d’une obligation d’information de la personne sur ses droits d’accès, de correction et d’opposition (désinscription / suppression) ;
- La conservation des données pour une durée raisonnable. A l’expiration du délai nécessaire au traitement, y compris les obligations légales de conservation (durées de prescription légale), les données doivent être supprimées ;
- Une obligation de sécurité des données. Le responsable de traitement doit mettre en oeuvre des mesures de sécurité physiques et techniques afin d’éviter tout accès non autorisé aux serveurs d’hébergement afin que les données ne soient modifiées, effacées, voire divulguées au public.

Les sanctions encourues en cas de non-respect à la loi Informatique et Libertés sont sévères : amendes administratives prononcées par la CNIL d'un montant maximum de 300.000€, et condamnations pénales allant jusqu’à 5 ans d’emprisonnement et 300.000€ d’amende.


2. Vers la reconnaissance d’une protection renforcée de la vie privée des mineurs

En Europe, l’absence de régime spécifique aux mineurs ne signifie pas que les organismes, publics ou privés, ne réfléchissent pas à cette problématique, et ce depuis une dizaine d’années. De plus en plus de personnalités, issues tant du monde politique et réglementaire que du monde du numérique et des médias, reconnaissent le besoin de faire évoluer la réglementation sur la protection de la vie privée des mineurs. En effet, les éditeurs de sites pour enfants et adolescents sont aujourd’hui fortement incités à faire preuve d’une vigilance accrue dès lors qu’ils traitent des informations sur leurs jeunes utilisateurs et clients.

Des initiatives publiques et privées
De nombreux textes, recommandations, avis, chartes, définissant les mesures à déployer pour assurer un niveau de protection renforcée aux données des mineurs, ont été adoptés par des organismes publics et privés.

On citera par exemple les recommandations et actions de sensibilisation de la CNIL (rapport "Internet et la collecte de données personnelles auprès de mineurs”, site Jeunes.cnil.fr, organisation du Safer Internet Day en France, animation du collectif pour l’éducation au numérique, etc.), ou encore les avis publiés par le Groupe de l’article 29 (ou “G29”), réunissant les autorités européennes de contrôle de la protection des données (avis portant sur "la protection des données à caractère personnel de l'enfant" et "les réseaux sociaux en ligne”). (4)

Plusieurs organisations professionnelles ont également souhaité apporter des garanties de protection renforcée aux mineurs. Ces initiatives figurent dans les chartes et codes édités par l'Union Française du Marketing Direct (UFMD), l’Autorité de régulation professionnelle de la publicité (ARPP) ou la Chambre de commerce internationale (ICC) par exemple. (5)

Même si ces textes doivent être interprétés comme de la “soft law”, et ne sont pas obligatoires, ils servent néanmoins de repères et permettent de faire évoluer le droit. Ces recommandations et engagements divers peuvent être mis en oeuvre par les acteurs du numérique afin de démontrer leur engagement citoyen pour une meilleure protection de la vie privée des jeunes.

Le futur règlement européen sur la protection des données personnelles
En janvier 2012, le Parlement européen et le Conseil de l’Union européenne ont publié une proposition de règlement visant à réformer le cadre juridique de la protection des données personnelles dans l’Union européenne. (6) Ce texte, qui devrait en principe être adopté fin 2015/début 2016, a fait l'objet de nombreux débats. Ce règlement européen, une fois le texte définitif adopté, sera d’application immédiate et uniforme dans l’ensemble de l’Union européenne et viendra remplacer la Directive de 1995 et les différentes lois nationales de protection des données personnelles, y compris la loi Informatique et Libertés de 1978.

La proposition de règlement européen sur la protection des données à caractère personnel marque une évolution importante concernant la protection de la vie privée des enfants. Plusieurs dispositions spécifiques les concernent.

Le règlement proposé définit expressément l'enfant comme une personne de moins de 18 ans, même si une distinction est parfois faite entre les enfants de moins de 13 ans et les adolescents entre 13 et 18 ans.

Le texte affirme ainsi que :
- “les données à caractère personnel relatives aux enfants nécessitent une protection spécifique car ceux-ci peuvent être moins conscients des risques, des conséquences, des garanties et de leurs droits en matière de traitement des données” ;
- Les enfants seraient exclus des opérations de profilage par traitement automatisé ;
- Des formulaires types relatifs au traitement de données à caractère personnel des enfants seraient définis par la Commission pour garantir des conditions uniformes de mise en oeuvre du règlement à travers l’Union ;
- Enfin, les traitements de données personnelles des enfants de moins de 13 ans ne seraient licites que sous réserve que le consentement soit donné par un parent ou la personne qui en a la garde. (7)

Le montant des sanctions prévues en cas de non conformité aux obligations édictées par le règlement est particulièrement dissuasif : 500 000 euros ou, dans le cas d'une entreprise, 1% de son chiffre d’affaires annuel mondial. Bien que ces chiffres ne soient pas encore définitifs, les montants seront plus élevés que sous la législation actuelle.


3. Quelques recommandations et bonnes pratiques à adopter par les éditeurs de services web et mobiles pour mineurs


Bien qu’il n’existe pas encore en Europe d’obligation spécifique relative à la collecte et au traitement de données personnelles de mineurs, il est fortement recommandé aux services numériques destinés aux enfants, d’anticiper l’évolution de la réglementation.

Plusieurs séries de mesures peuvent d’ores et déjà être déployées ou planifiées, et ce même si le règlement européen n’entrera en vigueur que deux ans après son adoption.

Outre les obligations applicables à toute collecte de données à caractère personnel, les mesures suivantes peuvent ainsi être mises en place :

- Consentement parental : la proposition de règlement soumet le caractère licite des traitements de données personnelles des enfants de moins de 13 ans à l’autorisation des parents. Le consentement parental est incontournable en cas de collecte de données sensibles (données relatives à la santé, aux convictions religieuses ou à l’origine raciale), des photographies de mineur, et de cession des données à des tiers à des fins de prospection commerciale ;

- Mesures techniques : l’éditeur d’un service web ou mobile devra déployer des moyens techniques permettant de s'assurer de l'effectivité du consentement de l'enfant et de l'autorisation des parents, ainsi que des technologies protectrices de la vie privée, telles que des paramètres par défaut ;

- Information et transparence : l’exploitant d’un site ou d’une application mobile devra fournir des informations et communiquer dans des termes adaptés, facilement compréhensibles par un enfant ;

- Droit à l'oubli numérique : enfin, les mineurs devront pouvoir obtenir du responsable du traitement l’effacement et la cessation de la diffusion des données les concernant.


     Les résultats de l’Internet Sweep Day ont fait apparaître des niveaux de protection et d’information insuffisants sur les sites destinés aux jeunes : défaut de sensibilisation spécifique auprès des jeunes sur la collecte de leurs données, redirections vers des sites tiers (dont des sites marchands), dépôt de cookies sans information. Compte tenu de la volonté affirmée par les autorités européennes de renforcer les règles de protection de la vie privée des mineurs, il est recommandé aux éditeurs de services numériques à destination des jeunes de préparer la mise en conformité de leurs services.

On notera enfin que les Etats-Unis, qui ne disposent toujours pas de loi globale au niveau fédéral sur la protection des données personnelles, ont légiféré dès 1998 sur la protection des données des enfants collectées sur internet, avec la loi COPPA (Children’s Online Privacy Protection Act - 1998). (8) La loi COPPA ne s’applique cependant qu’aux données des enfants de moins de 13 ans collectées par des sites web qui leur sont destinés ou qui savent que des enfants utilisent leurs services. Cette loi s’applique aux sites américains, et aux sites étrangers qui ciblent le marché américain (sites de e-commerce, services en ligne ou réseaux sociaux non-américains utilisés par des jeunes américains).


                                                          * * * * * * * * * * *

(1) Voir citation sur le site de la CNIL à http://www.cnil.fr/les-themes/internet-telephonie/actualite/article/internet-sweep-day-les-sites-pour-enfants-sont-ils-respectueux-de-la-vie-privee/

(2) Communiqué CNIL du 2 septembre 2015, Vie privée des enfants : une protection insuffisante sur les sites Internet.

(3) Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ; Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée.

(4) Rapport CNIL intitulé "Internet et la collecte de données personnelles auprès de mineurs", publié le 12 juin 2001 ; Avis 2/2009 du G29 sur la protection des données à caractère personnel de l'enfant, adopté le 11 février 2009, WP160 et Avis 5/2009 sur les réseaux sociaux en ligne, adopté le 12 juin 2009, WP163.

(5) Voir la Charte de l’emailing adoptée par l’UFMD en mars 2005, la recommandation “Enfant” de l’ARPP de juin 2004 et le Code ICC consolidé sur les pratiques de publicité et de communication commerciale de 2006, révisé en avril 2015

(6) Proposition de Règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, COM(2012) 11 final, le 25 janvier 2012.

(7) Considérants 29, 58, et 130 et article 8 de la proposition de règlement.

(8) Children’s Online Privacy Protection Act - 1998 (COPPA). Voir par exemple les FAQs sur le site de la Federal Trade Commission https://www.ftc.gov/tips-advice/business-center/guidance/complying-coppa-frequently-asked-questions



Bénédicte DELEPORTE
Betty SFEZ
Avocats

Deleporte Wentz Avocat
www.dwavocat.com


Septembre 2015

vendredi 4 septembre 2015

Géolocalisation : quel cadre légal pour les véhicules des salariés ?


Face au développement du recours à la géolocalisation en entreprise, la Commission nationale de l’informatique et des libertés a publié, en juin dernier, une nouvelle délibération portant norme simplifiée. (1) Ce texte vise à préciser l’encadrement juridique de la mise en œuvre des dispositifs de géolocalisation sur les véhicules utilisés par les salariés. Il remplace une norme de 2006 qui, compte tenu de l’évolution des technologies et des usages, était devenue en partie inadaptée. (2) Nous faisons ci-après un bref rappel des règles applicables en la matière.


1. Les conditions d’installation à respecter par l’employeur

Le caractère particulièrement intrusif de la géolocalisation dans le cadre du travail a conduit la Cnil à définir plus en détail les conditions de recours à ce dispositif.

     - Les cas de recours autorisés à un dispositif de géolocalisation
 
L’utilisation d’un système de géolocalisation par GPS des véhicules mis à disposition des salariés est strictement limitée aux finalités suivantes :
(i) respecter une réglementation imposant l’installation d’un tel dispositif en raison du type de transport ou de la nature des biens transportés ;
(ii) besoins du suivi et de la facturation d’une prestation de transport de personnes ou de marchandises, ou d’une prestation de services liée à l’utilisation d’un véhicule et la justification d’une prestation auprès d’un client ou d’un donneur d’ordre ;
(iii) garantir la sûreté ou la sécurité des employés et/ou des marchandises transportées ;
(iv) améliorer l’allocation des moyens pour des prestations à accomplir dans des lieux éloignés (pour des interventions d’urgence par exemple) ;
(v) s’assurer du respect, par les salariés, des règles d’utilisation du véhicule prédéterminée par l’employeur.

Il est enfin précisé, à titre de finalité accessoire du traitement, que le dispositif peut être utilisé pour le suivi du temps de travail des salariés, sous réserve que ce suivi ne puisse être réalisé par un autre moyen, et uniquement pendant le temps de travail.

     - Les informations pouvant être collectées et traitées

Seules les données limitativement énumérées par la Commission peuvent faire l’objet d’un traitement, à savoir : les informations d’identification des salariés (nom, prénom, numéro de plaque d’immatriculation, etc.), aux déplacements des salariés (historique des déplacements effectués, etc.), à l’utilisation du véhicule (vitesse de circulation, nombre de kilomètre, temps de conduite, etc.), ainsi que les dates et heures d’activation / désactivation du dispositif.

     - Les points spécifiques à retenir
 
En toute hypothèse, la mise en œuvre d’un dispositif de géolocalisation ne peut induire la collecte et le traitement des données de localisation en dehors du temps de travail du conducteur, en particulier lors des trajets entre le domicile et le lieu de travail ou encore pendant les temps de pause. De même, le traitement de la vitesse maximale n’est pas autorisé, sauf disposition légale contraire ; seul celui de la vitesse moyenne est envisageable.

Par ailleurs, il ressort de la délibération Cnil que le salarié doit pouvoir désactiver le système GPS, l’employeur pouvant demander des explications en cas de désactivations répétées ou d’une durée excessive. Enfin, les salariés investis d’un mandat électif ou syndical ne doivent en aucun cas faire l’objet d’une opération de géolocalisation lorsqu’ils se déplacent dans le cadre de l’exercice de leur mandat.


2. Les obligations inhérentes à la mise en oeuvre d’un dispositif de géolocalisation

L’installation d’un système de géolocalisation implique pour l’employeur le respect de plusieurs obligations légales.

     - Les formalités préalables auprès de la Cnil

 
Un dispositif de géolocalisation installé dans les véhicules mis à disposition des salariés doit faire l’objet d’une déclaration à la Cnil préalablement à sa mise en oeuvre, au moyen d’une déclaration simplifiée de conformité.

Les entreprises ayant déjà effectué une déclaration simplifiée en référence à la norme de 2006 ont jusqu’au 17 juin 2016 pour se mettre en conformité avec les nouvelles conditions posées par la Cnil. Seuls peuvent bénéficier de cette procédure les traitements de géolocalisation des véhicules répondant exactement aux conditions définies par la Cnil. Si l’un des critères n’est pas rempli, d’autres formalités préalables seront requises.

     - La consultation et l’information des représentants du personnel et des salariés

 
La mise en œuvre d’un dispositif de géolocalisation sur les véhicules utilisés par les employés implique l’information et la consultation préalable des représentants du personnel.

Par ailleurs, le salarié concerné doit également être informé, individuellement et préalablement à la mise en œuvre du traitement. Les mentions devant être portées à sa connaissance sont notamment les finalités poursuivies, les données traitées, la durée de conservation, etc. (3)

     - Les obligations relatives au traitement des données
 
Comme pour tout traitement de données personnelles, le responsable de traitement doit respecter des obligations quant à la durée de conservation des données et à leur sécurité mais également concernant l’information et les droits des salariés concernés (droit d’accès, de rectification, d’opposition, etc.).

Les données de localisation doivent ainsi être conservées uniquement pour une durée dite « pertinente » au regard de l’objectif du traitement. Une durée de deux mois est considérée adéquate par la Cnil.

Toutefois, la délibération Cnil mentionne plusieurs cas dans lesquels la durée de conservation peut aller au-delà de deux mois, notamment si la conservation de l’historique des déplacements a pour but l’optimisation des tournées.

Quant à la sécurité des données, l’employeur est tenu de prendre toutes les précautions nécessaires (mise en place de mesures à la fois physique et technique). A ce titre, la Cnil recommande notamment la réalisation d’une étude des risques, la mise en place d’un mécanisme de gestion des habilitations régulièrement mis à jour, le chiffrement des données, etc.


   A défaut, pour l’employeur de respecter la réglementation précitée, le dispositif de géolocalisation mis en oeuvre au sein de l’entreprise sera jugé illégal et ne pourrait être opposé aux salariés, notamment à des fins disciplinaires ou pour justifier un licenciement. En outre, le manquement aux obligations légales est puni de sévères sanctions financières et pénales. Dans ce contexte, il est recommandé aux entreprises de s’assurer, au moyen d’un audit par exemple, de la conformité de leur dispositif de géolocalisation à ces nouvelles règles et à défaut, de prendre toutes mesures nécessaires de mise en conformité.


                                                          * * * * * * * * * * *

(1) Délibération n°2015-165 du 4 juin 2015 portant adoption d’une norme simplifiée concernant les traitements automatisés de données à caractère personnel mis en œuvre par les organismes publics ou privés destinés à géolocaliser les véhicules utilisés par leurs employés (norme simplifiée n°51). Cette délibération vient remplacer la précédente recommandation CNIL sur le même sujet en date du 16 mai 2015.

(2) A noter que cette délibération ne concerne pas les dispositifs de contrôle des transports routiers (chronotachygraphes), dispensés de déclaration à la Cnil - voir délibération Cnil n°2014-235 du 27 mai 2014.

(3) Voir notamment les articles L.1121-1, L.1222-3, L.1222-4 et L.2323-32 du Code du travail.


Betty SFEZ 
Avocat
 
Deleporte Wentz Avocat
www.dwavocat.com

Septembre 2015

jeudi 16 juillet 2015

Drones : les recommandations du G29 en matière de protection de la vie privée


   
Le marché européen des drones est en plein essor. Ces “aéronefs télépilotés” sont utilisés dans de multiples domaines : sécurité publique (surveillance de manifestations sur la voie publique, lutte anti-incendie, sécurité de zones touchées par des accidents industriels, comme à Fukushima par exemple), surveillance de l’état des infrastructures ou de bâtiments, tournages de reportages d’information (inondations), sportifs (Tour de France), ou culturels, mais également dans les loisirs (aéromodélisme).

Toutefois, leur commercialisation et leur utilisation soulèvent des enjeux importants, notamment en matière de respect de la vie privée. Les drones peuvent
en effet être équipés d’appareils photo, de caméras ou de capteurs sonores. Ces engins peuvent ainsi collecter, stocker, transmettre ou analyser une masse d’informations, et surveiller nos comportements et nos déplacements en toute discrétion et à notre insu.

A ce jour, il n’existe pas de réglementations harmonisées en Europe en matière de drones. La Commission européenne a annoncé en avril 2014, son intention de se pencher sur une réglementation européenne pour encadrer l’usage des drones civils. (1) Une proposition de la Commission est attendue pour fin 2015, mais dès 2014 celle-ci avait affirmé que « Les données collectées par les drones devront être conformes aux règles applicables en matière de protection des données et les autorités chargées de la protection des données devront surveiller la collecte et le traitement ultérieur des données à caractère personnel ». La Commission précisait en outre, qu’elle examinerait comment garantir que les règles de protection des données s’appliquent pleinement aux aéronefs télépilotés et proposera des modifications ou des orientations spécifiques en tant que de besoin.

    Sans attendre la proposition de la Commission européenne, le G29 (groupe de travail rassemblant les représentants de chaque autorité de protection des données nationales) a publié en juin 2015 un avis sur les drones. (2)

Dans cet avis, le G29 identifie les risques d’atteinte à la vie privée et souligne notamment le manque de transparence quant aux types de traitements effectués, de données collectées et de finalités poursuivies, dès lors qu’un traitement de données est réalisé par le biais d’un drone. Pour contenir ces risques, le G29 fournit une liste de recommandations à destination des opérateurs, utilisateurs et fabricants de drones, ainsi qu’aux législateurs européens et nationaux.

- Les opérateurs ou les utilisateurs de drones sont ainsi invités à (i) se renseigner sur les formalités obligatoires à accomplir auprès de la Direction de l’aviation civile de leur pays, (ii) ne collecter que les données strictement nécessaires au traitement et à ce titre, installer sur leurs drones des technologies ne permettant pas de collecter plus de données que nécessaire, et (iii) informer par tous moyens les personnes concernées des conditions de la collecte et du traitement de leurs données (par exemple, par la distribution de prospectus aux participants d’un événement public au cours duquel des drones sont utilisés ou par la publication d’un message éditorial sur le site internet de l’opérateur).

- Les fabricants et les opérateurs sont notamment invités à (i) promouvoir et adopter un code de conduite, (ii) rendre leurs drones plus visibles, à l’aide de lumières clignotantes ou de couleurs vives par exemple, et (iii) insérer dans les emballages de drones de petites tailles une notice d’information sur la nature intrusive de la technologie et le nécessaire respect de la réglementation applicable.

- Les législateurs européens et nationaux sont invités à promouvoir un cadre légal (i) offrant des garanties en matière de sécurité et de respect des droits fondamentaux, (ii) imposant notamment le respect de la vie privée comme exigence pour l’obtention d’une qualification ou d’une licence en vue d’une utilisation commerciale du drone et (iii) instaurant un régime spécifique de responsabilité pour l’utilisation de drones.

Enfin, le G29 insiste sur le fait que le recours à cette technologie par les autorités policières (i) ne peut être généralisé et doit être expressément prévu et justifié par un texte, (ii) doit respecter les principes fondamentaux posés par la réglementation sur la protection des données personnelles (nécessité, proportionnalité, finalité déterminée, etc.), et en toute hypothèse, ne peut donner lieu à la surveillance constante d’un individu, sauf cas particuliers.


    Il est intéressant de souligner que quelques jours à peine après la publication de cet avis du G29, le Parlement européen a divulgué son projet de rapport sur l’utilisation des drones dans le domaine de l’aviation civile. (3) Dans ce texte, le Parlement précise que « la question de la protection des données et de la vie privée est essentielle en vue de faciliter le développement et l’intégration en toute sécurité des systèmes d’aéronefs télépilotés dans l’aviation civile ». Le Parlement estime que la législation sur la protection de la vie privée et les données personnelles, tout comme celle relative à la navigation aérienne, devrait figurer dans une notice d’information aux acquéreurs.

Néanmoins, le Parlement souligne qu’« une nouvelle législation spécifique pour la protection des données dans le domaine des systèmes d'aéronefs télépilotés ne devrait pas être nécessaire » et estime, à ce titre, que « les agences compétentes pour la protection des données dans les États membres devraient partager les orientations spécifiques en matière de protection des données pour les drones à caractère commercial, et invite les États membres à mettre en oeuvre rigoureusement la législation concernant la protection de données, de sorte que ces deux éléments répondent aux préoccupations des citoyens en matière de vie privée et que les exploitants des systèmes d'aéronefs télépilotés ne doivent pas faire face à une charge administrative disproportionnée ».

Il convient donc d’attendre la publication de la proposition de la Commission pour connaître l’ampleur des exigences européennes en matière de drones et de respect de la vie privée.

                                                             * * * * * * * * * * *

(1) Communiqué de presse de la Commission européenne du 8 avril 2014, « La Commission européenne préconise des normes strictes pour réglementer l'utilisation des drones civils ».

(2) Article 29 Data Protection Working Party, Opinion 01/2015 on Privacy and Data Protection Issues relating to the Utilisation of Drones, June 16th 2015 (WP 231).

(3) Parlement européen, Commission des transports et du tourisme, projet de rapport sur l’utilisation d’aéronefs télépilotés (RPAS ou UAV), dans le domaine de l’aviation civile, du 19 juin 2015.



Betty SFEZ
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Juillet 2015

samedi 27 juin 2015

Les plateformes d’affiliation publicitaire soumises à la loi Sapin

L'achat d'espace publicitaire est un contrat conclu entre un annonceur et un intermédiaire (agence médias), déterminant les conditions dans lesquelles l’annonceur confie à l’agence la mission d'acheter auprès de tiers diffuseurs (supports ou leurs régies), les espaces sur lesquels l'annonceur souhaite diffuser la publicité pour ses produits ou services.

Ce contrat est régi par la loi du 29 janvier 1993 relative à la prévention de la corruption et à la transparence de la vie économique et des procédures publiques (la “loi Sapin”).(1)

L’activité d’achat d’espace a cependant beaucoup évolué depuis le vote de la loi, notamment avec l’avènement de la publicité en ligne. La question se pose de savoir si toutes les nouvelles activités liées à la publicité sur internet, notamment l’activité des plateformes d’affiliation, relèvent ou non de la loi Sapin.

Un arrêt de la Cour d’appel de Paris, rendu le 17 avril 2015, vient de confirmer l’application de la loi Sapin à une plateforme d’affiliation. (2)

Nous rappelons ci-dessous les règles applicables à l’achat d’espace publicitaire, puis, dans un deuxième temps, examinons l’application de ces règles à l’activité des plateformes d’affiliation.


1. L’achat d’espace publicitaire et la loi Sapin

    1.1 Définitions et champ d’application 


La loi Sapin est applicable à tout achat d'espace publicitaire par un intermédiaire pour le compte d’un annonceur, dans un média, quel que soit le support : physique (presse, affichage public, prospectus, etc.), audiovisuel (radio, TV, cinéma), numérique (internet), et quel que soit le mode de commercialisation de l’espace de diffusion de la publicité.

En vertu de la loi Sapin, tout intermédiaire qui achète de l’espace publicitaire sur l’ordre d’un annonceur agit en qualité de mandataire de ce dernier.

- Contrat de mandat écrit obligatoire
L’intermédiaire agit au nom et pour le compte de l’annonceur, dans le cadre d'un contrat de mandat écrit. (art. 20 loi Sapin)

Ainsi, l’obligation essentielle de l’agence média est d’exécuter sa mission en accomplissant son rôle d’intermédiaire, par la transmission des ordres de publicité aux tiers diffuseurs et par l’obligation d’en rendre compte à son client (annonceur).

La loi prévoit que le contrat doit détailler les diverses prestations effectuées dans le cadre du mandat et le montant de leur rémunération, le cas échéant en les distinguant des autres prestations pouvant être réalisées dans le cadre de la relation contractuelle et des rémunérations correspondantes. (art. 20 al.2 loi Sapin)

- Reddition de la mission

Le tiers diffuseur doit se conformer aux instructions de l’intermédiaire et exécuter l’ordre de publicité, en mettant à la disposition de l’annonceur l’espace publicitaire sur lequel porte l’ordre de publicité.

L'agence médias, intermédiaire-mandataire, doit rendre compte de sa mission à l’annonceur, en l’informant notamment du déroulement de sa mission (y compris des négociations ou de  l'évolution des tarifs par exemple).

L'agence est également tenue à une reddition des comptes, conformément à l’article 1993 du code civil.

    1.2 Conditions de paiement de l’intermédiaire et des supports
 

- Rémunération de l’intermédiaire (agence médias)
Conformément aux dispositions du code civil régissant le contrat de mandat (art. 1984 et suiv.), l’annonceur (le mandant) est tenu de régler la rémunération convenue à l’intermédiaire (le mandataire), et de lui rembourser les avances et frais qui auraient été engagés pour l’exécution du mandat.

Les conditions de rémunération des autres prestations, hors achat d'espace, doivent être mentionnées séparément dans le contrat.

Outre le mandat, la seconde règle essentielle imposée par la loi Sapin, est l’interdiction pour l’intermédiaire, de recevoir d'autre rémunération que celle que lui verse son client, l’annonceur. En tant qu'acheteur d'espace, l’agence même lorsqu'elle agit en qualité de conseil en plan média et préconisation de support, ne peut percevoir de rémunération, rétrocession, ni avantage quelconque des régies et tiers diffuseurs. (art. 21 et 22 loi Sapin)

- Rémunération des tiers diffuseurs (supports ou régies)
Les tiers diffuseurs doivent adresser les factures d'achat d'espaces directement à l'annonceur, l'intermédiaire pouvant éventuellement en recevoir une copie. (art. 20 al.3 loi Sapin)

Cette disposition est applicable y compris lorsque le contrat prévoit le paiement des espaces par l’agence intermédiaire. En effet, comme le précise la circulaire du 19 septembre 1994, complétant la loi Sapin, l'annonceur a le choix entre payer directement le tiers diffuseur ou faire transiter le paiement par son mandataire (l’agence médias).

En cas de paiement du tiers diffuseur par l’intermédiaire, la circulaire de 1994 prévoit que les sommes destinées à payer les tiers doivent être inscrites par l’agence médias sur un compte de tiers au nom de l’annonceur, ces sommes n’entrant pas dans le chiffre d’affaires de l’agence médias. Le contrat peut cependant prévoir l’envoi par l’agence médias à l’annonceur d’un récapitulatif des sommes dues aux différents supports et du montant de ses propres honoraires.

    1.3 Sanctions applicables en cas de violation des dispositions légales
 

Le manquement aux obligations légales est sévèrement sanctionné en vertu des dispositions de l’article 25 de la loi Sapin, ce texte étant considéré comme étant d’ordre public.

L’absence de contrat de mandat écrit est passible d’une amende maximum de 30.000€ ; l’absence de communication de la facture par le tiers diffuseur directement à l’annonceur est puni d’une amende maximum de 75.000€.


2. L’évolution de l’activité d’achat d’espace publicitaire en ligne : les plateformes d’affiliation

L’activité d’achat d’espace publicitaire a beaucoup évolué ces dernières années. Ainsi, à côté de l’achat d’espace “classique”, et de la relation entre les intervenants traditionnels (annonceurs / intermédiaires-agences médias / supports-régies), sont apparus de nouveaux intervenants entre les annonceurs et les supports, remettant en cause l’application de la loi Sapin. Parmi ces nouveaux intermédiaires figurent les plateformes d’affiliation.

    2.1 Les plateformes d’affiliation : définition
 

Les exploitants des plateformes d’affiliation agissent en tant qu’intermédiaires entre les annonceurs et les supports (affiliés). Un contrat est ainsi conclu entre la plateforme et les annonceurs. Un autre contrat est conclu entre la plateforme et les affiliés.

Toutefois, la plateforme d’affiliation exerce-t-elle effectivement une activité d’achat d’espace publicitaire pour le compte de l’annonceur, régie par la loi Sapin ? En effet, ces plateformes fonctionnent généralement de manière automatisée, sachant d’une part que la sélection des affiliés est souvent réalisée directement par l’annonceur, d’autre part que les conditions financières des affiliés sont souvent fixées par l’annonceur (calcul sur le taux d’affichage, de clics, du nombre d’inscriptions, etc. - ou facturation au CPC, CPM, CPA, CPL selon les cas), et non par les affiliés/supports. Les affiliés ne connaîtront le prix auquel leurs espaces sont vendus que lorsqu’ils consulteront l’outil de tracking mis à leur disposition par la plateforme d’affiliation ou recevront un appel à facture de la plateforme.

Si l’on considère que la loi Sapin ne s’applique pas aux plateformes d’affiliation, celles-ci ne seraient alors pas soumises aux obligations relatives au mandat et aux conditions de facturation, telles que rappelé ci-dessus.

Or, un arrêt de la cour d’appel de Paris vient de confirmer l’application de la loi Sapin à l’activité d’affiliation.

    2.2 L’arrêt de la cour d’appel de Paris du 17 avril 2015
 

Cette affaire opposait la société Assurland.com (l’annonceur) à la société Public-Idées (la plateforme d’affiliation). Le litige portait sur la contestation par Assurland.com des sommes facturées par la plateforme après avoir modifié sa grille tarifaire.

Les juges rappellent que la société Public-Idées diffuse des campagnes publicitaires sur internet au travers de ses affiliés. La société Public-Idées et Assurland.com ont conclu un contrat de service “par lequel la première met à la disposition de la seconde son réseau d’affiliés, en vue de lui permettre d’augmenter sa visibilité parmi les internautes, et en définissant les conditions dans lesquelles la société Assurland peut accéder aux services de la société Public-Idées.

Le contrat de service de Public-Idées comprenait des conditions tarifaires, la grille tarifaire ayant été modifiée en novembre 2010, de manière rétroactive prenant effet en juillet 2009. En février 2011, des divergences sont apparues entre les parties sur l’interprétation des conditions de tarification. La société Public-Idées a assigné Assurland.com devant le tribunal de commerce en paiement notamment, des sommes contestées. Par jugement du 19 mars 2013, le tribunal a prononcé la résiliation du contrat aux torts exclusifs de la société Assurland.com et l’a condamnée à payer les sommes dues à la société Public-Idées.

En appel, Assurland.com a notamment soulevé le fait que les factures n’étaient pas dues en l’absence de mandat écrit avec la société Public-Idées, tel que requis par la loi Sapin.

Les juges analysent l’activité de la plateforme Public-Idées comme “un achat d’espace publicitaire par la société Assurland auprès des affiliés ; par l’intermédiaire de la société Public-Idées exploitante de la plateforme regroupant les affiliés”.

Cette activité est couverte par les dispositions de l’article 20 de la loi Sapin qui impose un mandat écrit entre l’annonceur et l’intermédiaire, fixant les conditions de rémunération du mandataire (la plateforme). Dans la mesure où les conditions de rémunération étaient prévues dans le contrat de service de Public-Idées, les juges estiment que “le contrat existant entre les sociétés Assurland et Public-Idées remplit les conditions imposées par la loi Sapin (…), de sorte que la demande de nullité de la société Assurland doit être écartée.”

La cour a néanmoins décidé que le contrat devait être résilié aux torts exclusifs de la société Public-Idées dans la mesure où celle-ci n’a pas correctement appliqué la tarification contractuelle.


   En conséquence, il convient de considérer que l’opération consistant en l’achat d’espace publicitaire par un annonceur auprès d’affiliés par l’intermédiaire d’une plateforme d’affiliation est régie par les dispositions de la loi Sapin, imposant non seulement un mandat écrit entre l’annonceur et l’intermédiaire, mais également des modalités de paiement, telles que prévues aux articles 21 et 22 de la loi.

                                                                       * * * * * * * * * * *

(1) Loi n°93-122 du 29 janvier 1993 relative à la prévention de la corruption et à la transparence de la vie économique et des procédures publiques, et plus particulièrement le chapitre II “Prestations de publicité” ; notamment complété par la circulaire du 19 septembre 1994 relative à la transparence et à la non-discrimination dans la publicité.

(2) CA Paris, pôle 5 ch.11, 17 avril 2015, Assurland.com c. Public-Idées



 

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Juin 2015


mardi 16 juin 2015

Le cabinet Deleporte Wentz Avocat a le plaisir d’annoncer l’ouverture d’un bureau à Singapour

L’activité de Deleporte Wentz Avocat, cabinet fondé à Paris en 2007, est focalisée autour du droit des technologies - logiciel, internet, e-commerce, données personnelles, médias numériques, propriété intellectuelle. Nous conseillons les entreprises, des start-ups aux multinationales, dans le cadre de leurs projets IT, en droit français et en droits européens à travers notre réseau de cabinets indépendants situés dans plusieurs pays d’Europe.

L’expansion vers l’Asie du Sud-Est nous permet d’accompagner nos clients dans leur développement à l’international vers cette partie du monde, mais également d’accompagner les sociétés implantées en Asie qui souhaitent étendre leurs activités vers la France et l’Europe.

Singapour, cité-état de 5,5 millions d’habitants, située à la pointe sud de la péninsule malaisienne, est le centre économique de l’Asie du Sud-Est et de l’ASEAN, et une place financière, économique et technologique de 1er rang.

Singapour est par ailleurs une plateforme pour les entreprises souhaitant étendre leurs activités commerciales dans la région, vers des zones très dynamiques comme l’Indonésie, la Malaisie, la Thaïlande, le Vietnam, ou les Philippines.

A cette fin, Deleporte Wentz Avocat développe un réseau de cabinets d’avocats dans ces pays, capables de prendre le relais en droit local (notamment en droit des sociétés et droit commercial).

Pour toute question ou projet IT, n’hésitez pas à nous contacter.

jeudi 28 mai 2015

Vers un renforcement de la réglementation en matière de protection des données personnelles aux Etats-Unis ?


Les Etats-Unis disposent de plusieurs lois sectorielles en matière de protection des données personnelles, mais pas de loi globale, équivalente à la directive européenne de 1995 ou à la loi informatique et libertés en France. Ce constat est valable tant au niveau fédéral qu’au niveau des états fédérés.

Ainsi, au fil des ans, le législateur fédéral a adopté plusieurs lois sur la protection des données personnelles telles que le Privacy Act (1974), concernant les traitements de données effectués par le gouvernement fédéral, et pour le secteur privé le Health Insurance Portability and Accountability Act (1996), le Children’s Online Privacy Protection Act (COPPA) (1998) et le Gramm-Leach Bliley Act (1999), visant respectivement la protection des données de santé, des mineurs et financières.

Par ailleurs, de nombreux états fédérés ont adopté, ou sont sur le point d’adopter, des lois imposant aux entreprises de notifier toute violation de données personnelles aux personnes concernées (consommateurs, internautes, abonnés), ou visant à assurer un niveau élevé de protection de la vie privée des élèves.

Face à la pression grandissante de la part de groupes de citoyens et consommateurs américains, notamment suite aux révélations d'Edward Snowden sur les pratiques mises en œuvre par la National Security Agency (NSA), mais également de la part de la Commission européenne, les uns et les autres exigeant un niveau global de protection de la vie privée plus élevé, le Congrès américain a récemment annoncé réfléchir sur une réforme de vaste ampleur visant à établir des normes fédérales en matière de protection de la vie privée. (1)

Nous donnons ci-après un aperçu des principales réglementations et des réformes législatives en cours au niveau des états fédérés, avant d'aborder les récentes initiatives de réglementation au niveau fédéral.


1. Des avancées significatives au niveau des états fédérés

Deux domaines ressortent principalement des législations des états fédérés : l'obligation de notification des violations de données personnelles et les règles relatives au respect de la vie privée des élèves.

    1.1  L’obligation de notification des violations de données personnelles

On entend généralement par violation de données personnelles toute violation de la sécurité (telle qu'une atteinte à un STAD) entraînant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé à des données.

Depuis le début de l’année 2015, plusieurs états, dont le Wyoming et l'état de Washington, ont introduit des projets de loi ou des amendements à des lois existantes relatifs à l'obligation de notifier les violations des données personnelles. Hormis les états du Wyoming et de Washington, il en va notamment des états du Montana, de l’Alabama et du Connecticut. Ces différents textes, qui doivent entrer en vigueur dans les prochains mois, listent pour la plupart les catégories de données personnelles concernées par l’obligation de notification, les destinataires des notifications, les informations à fournir et le délai dans lequel cette notification doit avoir lieu. (2)

Les informations personnelles concernées par cette obligation de notification sont notamment les données de nature médicale, les données biométriques, l’état civil, le régime matrimonial, les numéros de sécurité sociale, de permis de conduire, etc.

Les destinataires de ces notifications sont les personnes dont les données ont été compromises, mais également, selon les états, le Bureau de protection des consommateurs du Procureur général lorsque la violation concerne plus de cinq cents résidents, ou encore le Commissaire aux assurances si l’organisme concerné est une compagnie d’assurance.

Ces textes législatifs enjoignent aux entreprises qu’elles fournissent une information claire et compréhensible aux destinataires de la notification. Les mentions obligatoires à communiquer comprennent notamment : une description générale de la violation, la date approximative de l’incident, les actions prises pour prévenir les violations à venir et des conseils sur les bonnes pratiques à adopter par les citoyens pour éviter la violation de leurs données. Dès lors que la notification est faite auprès du Procureur général, celle-ci doit inclure une copie de la notification adressée aux personnes concernées, la date de cette notification ainsi qu’une indication du nombre de résidents de l’état affectés par la violation de données.

Enfin, certains textes mentionnent le délai maximal dans lequel la notification doit être envoyée. Ce délai varie entre 30 et 45 jours, à compter de la découverte de l’incident.

    1.2  La protection de la vie privée des élèves

Les lois sur la vie privée des élèves, de l’école maternelle au lycée, se multiplient. On compte aujourd’hui huit états ayant adopté des lois sur la protection de la vie privée des élèves, et plus d’une centaine de projets de lois sont envisagés par 42 états. A ce titre, sept états (Californie, Caroline du Nord, Colorado, Idaho, Kentucky, Louisiane, et l'état de New-York) ont adopté en 2014 de nouveaux textes (lois ou amendements à des lois existantes) relatifs à la vie privée des écoliers.

Ainsi, les états de l’Idaho et de New-York ont promulgué des lois interdisant aux entreprises d’utiliser les données personnelles des élèves à des fins marketing, publicitaire et commerciale. Le Kentucky a voté une loi proscrivant aux fournisseurs de services de Cloud computing le traitement des données personnelles des élèves à des fins commerciales. (3)

La Californie a adopté le "Student Online Personal Information Protection Act" (SOPIPA). Cette loi, qui doit entrer en vigueur le 1er janvier 2016, interdit aux opérateurs sur internet de vendre et d’utiliser les données des élèves pour réaliser de la publicité ciblée via des sites internet et des applications mobiles. La Californie prévoit également de modifier les dispositions concernant la vie privée dans son "Business and Professions Code". Cet amendement interdira de manière générale l’utilisation des données des étudiants à des fins autres que la finalité initiale, à savoir, les buts inhérents à l’éducation, de l’école maternelle au lycée ("K-12 school purposes").

Enfin, en Géorgie, le "Student Data Privacy, Accessibility and Transparency Act", adopté le 6 mai 2015, crée un droit d’accès, pour les parents d’élèves qui en font la demande, aux dossiers scolaires de leurs enfants et aux données personnelles qu’ils contiennent. En pratique, les parents d’élèves ont désormais la possibilité de consulter ces dossiers et de modifier et/ou de supprimer les informations personnelles concernant leurs enfants.


2. Les prémices d’une harmonisation législative au niveau fédéral


Lors d'une allocution le 12 janvier 2015, le Président Obama a déclaré vouloir travailler avec le Congrès à l'élaboration de nouvelles lois visant à mieux encadrer la protection de la vie privée des Américains. Suite à cette déclaration les premières propositions de lois ont été élaborées dans trois domaines en particulier : notification des violations de données personnelles, protection de la vie privée des consommateurs et protection de la vie privée des élèves.

    2.1  La notification des violations de données personnelles

Une première proposition de loi a pour objectif d’imposer aux entreprises de notifier à leurs clients, dans un délai maximal de 30 jours, toute faille de sécurité ayant un impact sur leurs données. (4) Ce texte ne concernerait que les entreprises stockant des données sensibles personnelles ou financières de plus de 10.000 clients. Ces entreprises devront notifier les cas de violations de données aux personnes concernées. Au sens de ce texte, les "données sensibles" désignent toute information ou tout groupe d’informations sous forme électronique et incluant une adresse postale, un numéro de sécurité sociale non tronqué, un numéro de permis de conduire, un mot de passe, des données biométriques, etc.

L'objectif de cette initiative est d’harmoniser la réglementation au niveau fédéral. En effet, on compte actuellement 47 lois réglementant la question de la violation des données personnelles aux Etats-Unis. Ainsi par exemple, en fonction de l’état dans lequel il réside, un citoyen américain peut être averti ou non en cas de piratage de ses données.

    2.2  Le renforcement de la protection de la vie privée des consommateurs

La seconde proposition de loi fédérale concerne les droits des consommateurs. (5) Cette proposition devrait permettre aux consommateurs américains de connaître l’étendue du traitement de leurs données envisagé par le professionnel (conditions de collecte, d’utilisation, de partage, et de revente éventuelles des données).

Le projet de texte propose de fournir un corpus unique de normes fédérales remplaçant le patchwork des lois existantes. Il étendrait la protection actuellement offerte par les états et proposerait l'adhésion au programme "Safe Harbor" aux entreprises adoptant un code de conduite approuvé par la Federal Trade Commission (FTC) et conforme au texte de loi.

Pour rappel, le Safe Harbor désigne un ensemble de principes de protection des données personnelles, négociés entre les autorités américaines (US Department of Commerce) et la Commission européenne en 2000, sur la base de la directive européenne de 1995 sur la protection des données personnelles. Le système du Safe Harbor fonctionne sur le volontariat et est déclaratif pour les entreprises souhaitant y adhérer. Les principes du Safe Harbor permettent d’assurer un niveau de protection suffisant pour les transferts de données en provenance de l’Union européenne vers des entreprises établies aux Etats-Unis ayant adhéré au programme. (6)

    2.3  Le souci de garantir la protection des données personnelles des élèves

Enfin, la troisième série de textes fédéraux est spécifiquement consacrée aux élèves. Les législateurs réfléchissent au rôle des technologies dans le milieu scolaire. En effet la multiplication des données et de leurs modes de communication (notamment via les outils de collaboration entre élèves ou les outils multimédias) impose de définir des règles de sécurité et de protection de la vie privée. (7)

La première proposition vise à créer de nouvelles obligations liées à la collecte et au traitement des données des élèves. Ce texte interdirait notamment aux entreprises proposant des logiciels éducatifs de revendre les données qu'elles collectent auprès des élèves, ou d'utiliser ces données pour des publicités ciblées.

Le second texte, un amendement au Family Educational Rights and Privacy Act (FERPA - 1974), a pour objectif de créer un droit d’accès pour les parents d’élèves aux dossiers scolaires de leurs enfants. Les parents pourront ainsi consulter et corriger ou supprimer les données personnelles de leurs enfants, détenues par les écoles.


    Ces initiatives diverses, tant au niveau des états fédérés qu’au niveau fédéral, traduisent la volonté des Etats-Unis de pallier les lacunes de la réglementation en vigueur en matière de protection des données personnelles. Toutefois, ces propositions de lois et amendements se heurtent à une forte opposition de la part d'une partie des membres du Congrès. En outre, on constate que l'approche américaine reste orientée sur des textes spécifiques et/ou sectoriels et que les Etats-Unis ne se dirigent pas vers une grande loi fédérale de protection des données personnelles.

Par ailleurs, depuis l’affaire Snowden (ou "Prism"), le programme Safe Harbor est remis en cause notamment par les institutions européennes. Ainsi, en novembre 2013, la Commission européenne a publié 13 recommandations visant à rétablir la confiance dans les transferts de données entre l’Union européenne et les Etats-Unis. Face à l’inertie des Etats-Unis, le Parlement européen a émis, en mars 2014, une résolution réclamant la suspension immédiate du programme Safe Harbor. (8) Si le programme Safe Harbor devait réellement être dénoncé, cela aurait un impact significatif sur le commerce transatlantique, obligeant à revenir à un système d'autorisation préalable à l'exportation de données personnelles depuis l'Europe vers les Etats-Unis. L'impact serait particulièrement sensible pour les entreprises américaines exploitant des services en cloud computing vers l'Europe ou pour les services de réseaux sociaux.


                                                             * * * * * * * * * * * *

Betty SFEZ – Avocat
en collaboration avec Inès NUNGUET

Deleporte Wentz Avocat
www.dwavocat.com

Mai 2015


(1) L'une des questions posées cependant est de déterminer si les questions relatives à la réglementation de la protection de la vie privée relèvent du pouvoir fédéral ou du domaine législatif des états fédérés, ce qui explique en partie pourquoi les Etats-Unis ne disposent pas encore de loi "globale" sur le sujet.

 (2) Voir notamment : Wyoming: Enrolled Act no. 20 and 22, Senate – 63rd legislature of the state of Wyoming 2015 General Session ; Washington : Senate Bill 5047 State of Washington 64th Legislature, Prefiled 01/07/15. Act relating to enhancing the protection of consumer financial information.

(3) Voir notamment : Idaho : Idaho Code §33-133, Title 33 Education; Chapter 1 State Board of Education - 33-133, added 2014, ch. 281, sec. 3, p. 711 ; Kentucky : Ky. Rev. Stat. §365.734, Prohibited uses of personally identifiable student information by cloud computing service provider -- Administrative regulations - Created 2014 Ky. Acts ch. 84, sec. 2, effective July 15, 2014.

(4) Voir notamment : Bill of April 30, 2015 ("Consumer Privacy Protection Act of 2015"), introduced by Senator Patrick Leahy, introducing new data breach legislation.

(5) Consumer Privacy Bill of Rights Act of 2015.

(6) Directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel ; Le programme Safe Harbor est décrit sur le site du US Department of Commerce à http://export.gov/safeharbor/

(7) Voir : Family Educational Rights and Privacy Act (FERPA) et Student Digital Privacy and Parental Act of 2015 (Bill of April 29, 2015).

(8) Communiqué intitulé "La Commission européenne appelle les États-Unis à rétablir la confiance dans les transferts de données entre l’UE et les Etats-Unis", du 27 novembre 2013 ; Résolution du Parlement européen du 12 mars 2014 sur le programme de surveillance de la NSA, les organismes de surveillance dans divers États membres et les incidences sur les droits fondamentaux des citoyens européens et sur la coopération transatlantique en matière de justice et d'affaires intérieures.