Facebook sanctionné par la Cnil pour manquements à la loi

Facebook sanctionné par la Cnil pour manquements à la loiLa Cnil a rendu publique le 16 mai une décision du 27 avril 2017 prononçant une sanction de 150 000 € à l’encontre de Facebook.

Les médias s’en sont immédiatement fait l’écho : la Cnil a rendu publique le mardi 16 mai 2017 une décision de sa formation restreinte prononçant une sanction de 150 000 € à l’encontre des sociétés Facebook Inc. et Facebook Ireland (1).

Comme l’indique la Cnil dans le communiqué de presse publié à cette occasion (2), c’est à la suite de l’annonce par le réseau social de la modification de sa politique d’utilisation des données que la Commission a été amenée à procéder à des contrôles sur place, sur pièces et en ligne afin de vérifier la conformité du réseau social à la loi Informatique et Libertés.

Des actions, dixit le communiqué précité, qui « s’inscrivent dans une démarche européenne à laquelle participent cinq autorités de protection ayant également décidé de mener des investigations (France, Belgique, Pays-Bas, Espagne et Land d’Hambourg) sur les pratiques de Facebook ».

Les contrôles conduits par la Cnil ont permis de relever l’existence de nombreux manquements à la loi Informatique et Libertés : « Il a notamment été constaté que Facebook procédait à la combinaison massive des données personnelles des internautes à des fins de ciblage publicitaire. Il a aussi été constaté que le réseau social traçait à leur insu les internautes, avec ou sans compte, sur des sites tiers via un cookie) ».

Au regard des manquements constatés, la Présidente de la Cnil a décidé, le 26 janvier 2016, de mettre en demeure le réseau social de se conformer à la loi Informatique et Libertés, dans un délai de trois mois.

Les deux sociétés ayant adressé à la Cnil des réponses insatisfaisantes à un certain nombre de manquements de cette mise en demeure, la Présidente de la Cnil a désigné un rapporteur afin que soit engagée une procédure de sanction à leur encontre.

La formation restreinte, chargée de prononcer les sanctions, s’est donc réunie le 23 mars 2017 et elle a considéré que :

  • Concernant la combinaison de données dont font l’objet les utilisateurs de FACEBOOK, les sociétés FACEBOOK INC. et FACEBOOK IRELAND effectuent ce traitement en l’absence de base légale. En effet, si les utilisateurs disposent de moyens pour maîtriser l’affichage de la publicité ciblée, ils ne consentent pas à la combinaison massive de leurs données et ne peuvent s’y opposer, que ce soit lors de la création de leur compte ou a posteriori. Ils sont donc dépourvus de tout contrôle sur cette combinaison.
  • Concernant la collecte des données de navigation des internautes, via le cookie « datr », l’information dispensée via le bandeau d’information relatif aux cookies est imprécise. En effet, selon la Cnil, « cette mention ne fait qu’indiquer que des informations sont collectées « […] sur et en dehors de Facebook via les cookies », ce qui ne permet pas aux internautes d’être clairement informés et de comprendre que leurs données sont systématiquement collectées dès lors qu’ils naviguent sur un site tiers comportant un module social. Cette collecte massive de données effectuée via le cookie « datr » est déloyale en l’absence d’information claire et précise ».

Sur les autres manquements, la formation restreinte a considéré que :

  • Les sociétés ne délivrent aucune information immédiate aux internautes sur leurs droits et sur l’utilisation qui sera faite de leurs données notamment sur le formulaire d’inscription au service.
  • Les sociétés ne recueillent pas le consentement exprès des internautes lorsqu’ils renseignent des données sensibles dans leurs profils (ex : leurs opinions politiques, religieuses ou leur orientation sexuelle). En effet, aucune information spécifique sur leur caractère sensible n’est délivrée lorsque les internautes complètent leurs profils et renseignent de telles données.
  • En renvoyant au paramétrage du navigateur, les sociétés ne permettent pas aux utilisateurs de s’opposer valablement aux cookies déposés sur leur équipement terminal.
    Les sociétés ne démontrent pas en quoi la conservation de l’intégralité des adresses IP des internautes pendant toute la durée de vie de leur compte est nécessaire.

En conséquence, la formation restreinte de la Cnil a décidé de prononcer une sanction de 150.000 € rendue publique à l’encontre des sociétés Facebook Inc. et Facebook Ireland.

Le montant et la publicité de cette sanction se justifient par « le nombre des manquements (6 au total), leur gravité et le nombre important d’utilisateurs en France (33 millions) ».

Alain Bensoussan

(1) Délibération de la formation restreinte SAN-2017-006 du 27 avril 2017 prononçant une sanction pécuniaire à l’encontre des sociétés FACEBOOK INC. et FACEBOOK IRELAND.
(2) Communiqué Cnil du 16-5-2017.




Un droit à l’effacement des données personnelles des mineurs

Un droit à l’effacement des données personnelles des mineursLa loi pour une République numérique consacre un droit à l’effacement des contenus diffusés en ligne par un mineur.

Introduction

Ce droit nouveau vise essentiellement à protéger la Génération Z (voire la Génération Y) contre elle-même. Cette génération est née connectée, elle s’exprime et échange sur les réseaux sociaux, sans véritable limite, parfois sans tabou et sans contrôle.

Or, cette liberté peut avoir un prix à l’âge adulte, à l’instar d’un tatouage que l’on ne peut effacer. On peut avoir envie de faire disparaitre les poèmes que l’on écrivait ado ou d’effacer les traces d’un premier amour. Mais de manière plus pragmatique, il apparait parfois nécessaire, notamment en phase de recrutement pour une école, une université ou un premier emploi, de gommer ces posts gênants ou d’effacer des vidéos publiées sur le Net.

La consécration du droit à l’effacement pour les mineurs à l’article 63 de la loi pour une République numérique

L’article 63 de la LRN (1) vient modifier l’article 40 de la loi Informatique et libertés (2) prévoyant déjà le droit pour toute personne concernée de rectifier, compléter, mettre à jour, verrouiller ou effacer les données à caractère personnel la concernant. Ce droit est cependant conditionné en ce qu’il ne peut être exercé si les données en cause sont inexactes, incomplètes, équivoques, périmées, ou si leur collecte, utilisation, communication ou conservation est interdite.

Justifié par la nécessité de protéger les mineurs face à une surexposition sur les réseaux numériques, l’article 63 ajoute un second paragraphe à l’article 40. Il y consacre un droit à l’effacement non conditionné pour les personnes mineures au moment de la collecte des données à caractère personnel. Dorénavant sur demande de la personne concernée, le responsable du traitement est tenu d’effacer dans les meilleurs délais les données à caractère personnel qui ont été collectées dans le cadre de l’offre de service de la société de l’information lorsque la personne concernée était mineure au moment de la collecte. Ce droit n’est donc soumis à aucune condition autre que la minorité.

A l’image du droit d’opposition existant, c’est bien le titulaire de la responsabilité parentale à l’égard de l’enfant qui exerce ce droit. La LRN consacre donc un droit à l’effacement pour la personne adulte ou non, de demander sans motif l’effacement des données lorsque celle-ci ont été collectées alors qu’elle était mineure. Elle répond ainsi à la problématique de surexposition des enfants sur les réseaux sociaux et à la difficulté de recueillir le consentement réel de leurs parents.

De plus, le droit à l’effacement des contenus des mineurs ne souffre que de rares exceptions. Il ne s’applique pas lorsque le traitement de données à caractère personnel est nécessaire pour exercer le droit à la liberté d’expression et d’information ; pour des motifs d’intérêt public dans le domaine de la santé publique, de recherche scientifique ou historique, à des fins statistiques ou archivistiques ou encore à la constatation, à l’exercice ou à la défense de droits en justice.

Le droit à l’effacement doit par ailleurs être distingué du droit au déréférencement. Le déréférencement vise essentiellement les outils de recherche qui désindexent les contenus présents sur la toile. Mais ces contenus sont toujours présents au plan technique. L’effacement va plus loin en ce qu’il consiste à supprimer le contenu lui-même, ces copies ou reproductions. Il ne vise pas les moteurs de recherche mais tous les éditeurs de service en ligne et singulièrement les réseaux sociaux.

Les incertitudes autour de ce nouveau droit

Cette nouvelle disposition n’est pas sans poser un certain nombre de questions quant à son application.

D’une part, le droit à l’oubli ne concerne, selon la lettre du texte, que les données collectées dans le cadre de l’offre de « services de la société de l’information ». Or, la loi ne définit pas ces « services ». Cette notion pourrait renvoyer à la définition proposée par la directive n°2015/1535/EC (3) « tout service presté normalement contre rémunération à distance par voie électronique ». Cependant une telle référence limiterait le droit à l’effacement aux seules données communiquées dans le cadre de services payants. Cette définition exclurait donc stricto sensu les plateformes n’exigeant aucune contrepartie monétaire. Or, il est clair que cela vise la plupart des outils, applis ou réseaux sociaux utilisés par les enfants. De plus, si aucune contrepartie financière n’est exigée à strictement parler, la collecte des données à caractère personnel s’apparente à une certaine forme de rémunération ce qui exclut toute gratuité véritable. Dans un contexte dans lequel la protection des mineurs est la priorité, il apparait difficile de croire que le législateur ait volontairement réduit l’application de ce nouveau. Ainsi, une lecture extensive conforme à l’esprit du texte est à privilégier.

Etude d’impact

Du côté des services de la société de l’information et principalement des réseaux sociaux, ce nouveau droit est impactant à plusieurs égards.

Impact 1 – mise en œuvre technique et fonctionnelle

Concernant sa mise en œuvre technique et fonctionnelle, il s’agit non seulement de définir les moyens techniques de nature à permettre la suppression des contenus, des copies et des liens mais également de créer des interfaces et autres moyens mis à la disposition de la personne pour exercer son droit à l’effacement.

Impact 2 – information de la personne concernée sur son droit à l’effacement

Comme tous les droits des personnes, les conditions de mise en œuvre du droit à l’effacement doivent être portées à la connaissance des personnes concernées. En pratique, cela consiste à modifier les conditions générales de service et la politique « données à caractère personnel » ou «de confidentialité».

Impact 3 – dispositif imposé à l’égard des tiers

Le texte prévoit que lorsque le responsable du traitement a transmis les données en cause à un tiers lui-même responsable du traitement, il prend des mesures raisonnables, y compris d’ordre technique, compte tenu des technologies disponibles et des coûts de mise en œuvre, pour informer le tiers qui traite ces données que la personne concernée a demandé l’effacement de tout lien vers celles-ci, ou toute copie ou reproduction de celles-ci.

Impact 4 – une sanction lourde

La loi prévoit qu’en « cas de non-exécution de l’effacement des données à caractère personnel ou en cas d’absence de réponse du responsable du traitement dans un délai d’un mois à compter de la demande, la personne concernée peut saisir la Commission nationale de l’informatique et des libertés, qui se prononce dans un délai de trois semaines ».

La sanction prévue par la LRN démontre de l’importance de ce nouveau droit dont l’application même sera contrôlée par la Cnil dans des conditions particulières.

Conclusion

Le droit à l’effacement, s’il représente indubitablement une avancée considérable pour les droits des personnes, ne demeure pas moins un droit difficile à mettre en œuvre au regard de la rapidité de propagation des données sur l’internet et des délais prévus par la LRN.

L’accent doit donc être mis avant tout sur l’information et la sensibilisation des mineurs face aux risques des réseaux sociaux.

Lexing Alain Bensoussan Avocats
Lexing Droit numérique

(1) Loi 2016-1321 du 7-10-2016 pour une République numérique
(2) Loi 78-17 du 6-1-1978 modifiée relative à l’informatique, aux fichiers et aux libertés, art. 40
(3) Directive 2015/1535/CE du 9-9-2015 prévoyant une procédure d’information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l’information




Sanction de la Cnil à l’encontre de deux sites de rencontre

Sanction de la Cnil à l'encontre de deux sites de rencontreLe traitement de données à caractère personnel est une affaire sérieuse et la  patience de la Cnil a des limites.

Suite à des contrôles effectués en 2014 auprès de plusieurs sociétés éditant des sites de rencontre, la Cnil avait mis en demeure publiquement les éditeurs de deux sites de rencontre sur internet pour avoir exploité les données sensibles de leurs utilisateurs, dont celles liées à leur vie sexuelle, leurs opinions religieuses ou leurs origines ethniques, sans avoir recueilli au préalable leur consentement explicite.

Treize autres acteurs du secteur de la rencontre en ligne ont également été contrôlés par la Commission. Néanmoins, ces derniers ont su réagir rapidement aux mises en demeure.

Les sociétés condamnées, n’ayant, quant à elles, apportées que des réponses partielles ou insatisfaisantes, un rapporteur a été désigné afin que soient engagées des procédures de sanction à leur encontre.

Les faits reprochés sont simples : les internautes, qui souhaitaient s’inscrire sur ces sites de rencontre, devaient, en une seule fois, par le biais d’un bouton unique, accepter les conditions générales d’utilisation, attester de leur majorité et consentir au traitement de leurs données sensibles.

Sur ce point, la Cnil a précisé que la loi impose que les personnes concernées, en l’espèce les utilisateurs des sites, aient parfaitement conscience de la protection particulière attachée à ces données sensibles dont le traitement est normalement interdit : l’acceptation des conditions générales d’utilisation ne pouvant valoir consentement exprès des personnes à ce que leurs données relevant de leur intimité soient traitées. La Cnil plaidant ainsi pour la mise en place, par les plates-formes concernées, d’une case spécifique à cocher.

Les sociétés ont finalement mis en place un recueil du consentement exprès des internautes en imposant une case dédiée au traitement de ces données sensibles.

Toutefois, compte tenu du délai de réaction des sites de rencontre, de la sensibilité des données traitées et du nombre de personnes concernées (plus de 6,4 millions de visiteurs pour l’un des sites concernés), la Cnil a souhaité rendre les condamnations publiques. Ainsi, des amendes de 10.000 euros pour l’une et 20.000 euros pour l’autre ont été prononcées par deux décisions de la Cnil en date du 15 décembre 2016.

Lexing Alain Bensoussan Avocats
Lexing Informatique et libertés

(1) Délib. Cnil, 15-12-2016, n°2016-405 prononçant une sanction pécuniaire à l’encontre de la société Samadhi SAS
(2) Délib. Cnil, 15-12-2016, n°2016-406 prononçant une sanction pécuniaire à l’encontre de la société Meetic SAS




Vie privée : la future recette européenne des cookies

Vie privée : la future recette européenne des cookiesLa Commission veut resserrer les règles en matière de respect de la vie privée pour les communications électroniques.

Une simplification des règles relatives aux cookies

Un constat : la directive 2002/58/CE n’a pas permis d’atteindre pleinement ses objectifs. Plusieurs raisons expliquent ce résultat en particulier l’imprécision ou l’ambiguïté de certains concepts et notions utilisés.

La directive n’a pas permis non plus d’harmoniser les règles au sein de l’Union européenne et a créé des charges parfois trop lourdes sur les entreprises.

Par exemple, la règle du recueil du consentement appliquée à l’ensemble des cookies y compris ceux d’analyse et de fréquentation de site n’est ni réaliste ni opportune. Elle prive en effet le site internet de comptabiliser ses visiteurs. La Commission adopterait-elle les mêmes règles dans les boutiques physiques ? Priverait-on les commerçants d’évaluer le nombre de visiteurs et d’identifier le parcours magasin idéal ? Par ailleurs, cela revient à appliquer des contraintes à des cookies d’un caractère intrusif quasiment nul.

Du point de vue du consommateur, le résultat n’est pas plus concluant puisqu’il est la plupart du temps placé dans une situation où il accepte l’installation des cookies sans réellement comprendre ou pouvoir apprécier la portée de son accord.

La création d’une exception au recueil du consentement pour les cookies d’analyse et de fréquentation de site

L’article 8 du projet de règlement Vie privée (1) dispose que l’utilisation des capacités de stockage des équipements terminaux ou la collecte d’informations provenant de ces équipements et ou logiciels et matériels sont interdits sauf si :

  • elle est nécessaire au seul effet d’effectuer la transmission d’une communication sur un réseau de communications électroniques ; ou
  • l’utilisateur final a donné son consentement ; ou
  • cela est nécessaire pour fournir un service de la société de l’information demandé par l’utilisateur final ; ou
  • si elle est nécessaire pour mesurer l’audience sur le Web, à condition que cette mesure soit effectuée par le fournisseur du service de la société de l’information demandé par l’utilisateur final.

Cette proposition fait preuve de réalisme économique et représente une avancée importante par rapport aux dispositions actuelles qui soumettaient au recueil du consentement préalable de tels cookies sauf pour ceux répondant strictement aux conditions définies par la Cnil dans sa recommandation de 2013 (2).

Renforcement des modalités de recueil du consentement

Le projet de règlement Vie privée fait référence à la définition du consentement telle que retenue dans le RGPD. Ainsi, en l’état la proposition de règlement exige « une manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

Lorsque cela est techniquement possible et réalisable, le consentement peut être recueilli par les paramètres techniques appropriés d’une application logicielle permettant l’accès à Internet.

En tout état de cause, la proposition renvoie également à l’article 7 du RGPD. Dès lors, l’utilisateur devrait pouvoir retirer à tout moment son consentement et être informé de cette possibilité lors du recueil.

Cette exigence de consentement risque à terme, si la proposition était adoptée en l’état, de remettre en cause la position bienveillante de la Cnil qui consiste à considérer que la poursuite de la navigation vaut consentement en matière de cookies.

 

Céline Avignon
Lexing Publicité et marketing électronique

(1) PRE E-privacy Com(2017)10 final du 10-1-2017.
(2) Cnil, Recommandation sur les cookies du 16-12-2013.




Le partage d’informations WhatsApp/Facebook inquiète …

Le partage d’informations WhatsApp/Facebook inquiète le G29Après la Cnil et le Commissaire hambourgeois, le G29 se saisit du partage des données entre WhatsApp et Facebook.

Les inquiétudes du groupe de l’article 29 suite aux modifications de la politique de confidentialité de WhatsApp

En août 2016, WhatsApp a modifié sa politique de confidentialité en prévoyant dans un article « sociétés affiliées » un échange d’informations entre les sociétés de la famille Facebook.

Ces échanges réciproques en réception et en transmission de données ont pour finalité selon la nouvelle politique de WhatsApp d’« aider à exploiter, fournir, améliorer, comprendre, personnaliser, prendre en charge et commercialiser nos Services [services de WhatsApp] et leurs offres [offres des entités de la famille Facebook].

Il s’agit notamment d’améliorer les infrastructures et les systèmes de diffusion, de comprendre comment nos Services [services de WhatsApp] et les [leurs offres des entités de la famille Facebook] sont utilisés, de sécuriser les systèmes et de lutter contre les courriers indésirables, les abus ou les violations.

Facebook et les autres sociétés de la famille Facebook peuvent également utiliser des informations que nous avons fournies pour améliorer vos expériences au sein de leurs services, comme faire des suggestions de produit (par exemple d’amis, de connexions ou de contenus intéressants) et afficher des offres et des publicités pertinentes.

Cependant, vos messages WhatsApp ne seront pas partagés sur Facebook à la vue des autres. En fait, Facebook n’utilisera pas vos messages WhatsApp dans un but autre que celui de nous aider à exploiter et fournir nos services ».

Cette mise à jour s’est accompagnée d’un process destiné à recueillir le consentement des utilisateurs.

C’est précisément ce process qui est en cause aujourd’hui puisque le groupe de l’article 29, dans sa lettre adressée à WhatsApp (1) s’interroge sur les modalités d’information des personnes, sur la validité du consentement des utilisateurs, sur l’efficacité des mécanismes de contrôle offerts aux utilisateurs d’exercer leurs droits ainsi que sur les effets que le partage de données aura sur les personnes qui ne sont pas utilisateurs de tout autre service au sein de la famille d’entreprises Facebook.

Des inquiétudes partagées au sein de l’Europe

Le 27 septembre 2016 (2), un ordre administratif du Commissaire de la protection des données d’Hambourg a été publié contre la synchronisation de masse des données entre Facebook et WhatsApp. Par cette procédure, il interdit à Facebook de collecter et d’enregistrer des données des utilisateurs allemands de WhatsApp. Par ailleurs, il ordonne à Facebook de supprimer toutes les données déjà transférées par WhatsApp.

Selon lui, outre le fait que les sociétés ont annoncé publiquement qu’il n’y aurait pas de partage d’informations entre elles ce qui est en soi critiquable, compte tenu de leurs politiques actuelles, le Commissaire précise d’une part que Facebook n’a jamais obtenu de consentement des utilisateurs WhatsApp et d’autre part que Facebook ne peut se prévaloir d’une base légale pour la réception de données des utilisateurs de WhatsApp.

La mise en demeure de la Cnil de Facebook

En janvier 2016 (3), la Cnil a mis en demeure Facebook après avoir relevé que la société procédait à des combinaisons massives de données recueillies dans des contextes différents sans avoir recueilli préalablement le consentement des utilisateurs sur le fondement de l’article 7 de la loi Informatique et libertés (4).

La Cnil a précisé que la combinaison était effectuée non seulement au regard des différentes utilisations du réseau social, mais également en combinant des données provenant de plusieurs sociétés du groupe. La Commission, après avoir effectué une analyse de la balance entre l’intérêt légitime poursuivi par les sociétés et l’intérêt, les droits et libertés des personnes concernées, conclut que les sociétés ne disposent pas d’un fondement légal pour la mise en œuvre du traitement dans la mesure où, notamment, elles n’apportent pas de garantie pour préserver les intérêts, droits et libertés des personnes concernées et n’organisent pas cette combinaison dans le cadre contractuel.

La demande du groupe de l’article 29 de ne pas procéder à la mise en commun des données des utilisateurs jusqu’à ce que les protections juridiques appropriées puissent être assurées

Le groupe de l’article 29 ne dispose pas de pouvoir à l’encontre des responsables de traitement. En effet, seules peuvent agir les autorités européennes de protection à leur niveau national selon leurs compétences.

Néanmoins, afin d’assurer une action coordonnée et efficace, le Groupe de l’article 29 a décidé de la création d’un sous-groupe de travail relatif aux activités répressives transfrontières. Ce sous-groupe a pour objet de faciliter le partage entre les autorités européennes sur les stratégies et actions répressives en Europe.

Un point sur l’état d’avancement est annoncé, notamment sur le sujet WhatsApp en novembre, lors de la première réunion du sous-groupe.

Les attentes des autorités de protection des données en matière d’échanges de données

Les autorités ne condamnent pas en tant que tels les échanges de données entre entités d’un même groupe. Néanmoins, elles attendent que les responsables de traitement mettent préalablement des process visant :

  • à informer de manière transparente claire et précise les personnes concernées de la nature des échanges ;
  • à donner une base légale au traitement mis en œuvre pour l’échange de données à savoir généralement qu’ils organisent le recueil du consentement ou poursuivent un intérêt légitime pour la mise en œuvre du traitement en apportant des garanties pour préserver les intérêts, droits et libertés des personnes concernées, dans la mesure où cet échange ne peut s’effectuer sur la base de l’exécution d’un contrat.

Au final, il sera intéressant de suivre les travaux du sous-groupe de travail relatif aux activités répressives transfrontières et les éventuelles décisions des autorités de protection nationales.

En effet, ils permettront sans nul doute de définir un peu plus les premiers critères dégagés en matière de partage de données et d’établir ceux qui permettront de réunir les conditions d’une balance d’intérêts équilibrée.

Céline Avignon
Lexing Publicité et Marketing électronique

(1) Cnil, Délib. 2016-007 du 26-1-2016, Facebook Inc et Facebook Ireland
(2) The Hamburg Commissioner for Data Protection and Freedom of Information, Communiqué du 27-9-2016
(3) Lire notre Post du 9-2-2016
(4) Loi 78-17 du 6-1-2016




Agriculture numérique : focus sur l’économie de plateformes

Agriculture numérique : focus sur l’économie de plateformesLe secteur agricole investit dans l’économie de plateformes et poursuit sa révolution numérique.

L’horizon de l’agriculture numérique s’ouvre au travers, par exemple, de plateformes de partage ou de financement de projets.

Plateformes de location de matériel agricole

Les plateformes de location de matériel agricole permettent de mutualiser les investissements matériels réalisés par les agriculteurs. Elles mettent en relation le propriétaire d’un matériel et un locataire manquant de ressources pour l’acquérir, l’entretenir et l’entreposer. Ce système d’entraide entre agriculteurs existait déjà par le biais des coopératives d’utilisation de matériel agricole (1).

Plusieurs outils sont proposés aux adhérents de la plateforme afin d’encadrer la location de matériel tels que :

  • le contrat de location type entre le propriétaire du matériel agricole et le locataire. Éléments précisés : durée, loyer, modalités d’utilisation, d’entretien et de restitution du matériel loué, responsabilité des parties ;
  • le contrat d’assurance dès l’adhésion au contrat de location type. Il peut s’agir d’une assurance pour compte de tiers souscrite par l’éditeur de la plateforme. Elle se substitue alors de plein droit aux garanties souscrites par les signataires du contrat de location ;
  • la mise à disposition du matériel par un transporteur partenaire de la plateforme ;
  • une charte de bonne utilisation du matériel.

Ces documents doivent, bien entendu, faire l’objet d’une rédaction rigoureuse. Il convient ainsi de préciser clairement les relations entre propriétaire, locataire et éditeur de la plateforme. Il en va de même pour les relations avec l’assureur ou le transporteur, le cas échéant.

Le financement de projets agricoles

Certaines plateformes proposent quant à elles des services d’intermédiation en financement participatif. Elles mettent en relation des porteurs de projets et des personnes souhaitant y participer en prêtant ou donnant des fonds. Les projets peuvent être orientés par exemple vers une agriculture à la fois durable et rentable.

Il est proposé plusieurs outils dans le cadre du financement participatif, tels que :

  • un espace personnel ; le participant ou porteur de projet peut, au travers d’un accès sécurisé, ainsi suivre l’évolution du financement ;
  • un compte de paiement auprès d’un prestataire de service de paiement sélectionné par la plateforme ;
  • un contrat de prêt type.

Les plateformes sont tenues, d’une part, de souscrire un contrat d’assurance de responsabilité civile professionnelle (2). Des règles de bonne conduite et d’organisation sont également énoncées à l’article L548-6 du Code monétaire et financier (3). Ainsi, les internautes doivent être informés des conditions de sélection des projets et des porteurs de projet. En outre, les prêteurs sont mis en garde sur les risques liés au financement participatif : défaillance du porteur de projet, surendettement, etc.

Quelques conseils

Côté utilisateur : les outils proposés par les plateformes permettent de diversifier les ressources des acteurs du secteur agricole. Néanmoins, leurs utilisateurs doivent les étudier préalablement à tout consentement afin de déterminer l’étendue des engagements à prendre.

Côté éditeur de plateforme : l’utilisation d’une plateforme implique, au préalable, la création d’un compte et, le cas échéant, la collecte de données personnelles. L’éditeur devra alors se conformer à la réglementation sur la protection des données à caractère personnel (formalités préalables, mentions obligatoires). L’utilisation de cookies devra être signalée aux utilisateurs par le biais, par exemple, d’un bandeau comme le préconise la Cnil (4).

Enfin, un soin particulier devra être apporté lors de la rédaction des conditions générales accessibles sur le site. Celles-ci devront en effet respecter la réglementation en vigueur, en particulier concernant le financement participatif.

Jean-François Forgeron
Jennifer Knight
Lexing Informatique et Droit

(1) Site internet du réseau des Coopératives d’Utilisation de Matériel Agricole (Cuma).
(2) CMF, art. L548-5 I.
(3) CMF, art. L548-6.
(4) Cnil, Dossier « Cookies & traceurs : que dit la loi ? »




Cookies : la Cnil surveille les professionnels non éditeurs

Cookies : la Cnil surveille les professionnels non éditeurs

La Cnil étend ses contrôles aux partenaires publicitaires des éditeurs de sites émettant aussi des cookies.

Dans un article publié sur son site internet le 27 juillet 2016, la Cnil rappelle les principes clés du traitement des cookies et explique les motifs de l’extension de ses contrôles aux partenaires publicitaires, des éditeurs de sites webs.

Responsabilité des éditeurs de sites webs et des partenaires publicitaires émettant des cookies

Les règles en matière de dépôt de cookies imposent au responsable de traitement de recueillir le consentement libre et révocable des utilisateurs avant tout dépôt de cookies.

Jusqu’alors, les éditeurs étaient les principaux acteurs visés par les contrôles de la Cnil lorsqu’ils affichaient une publicité accompagnée d’un traçage ou d’un dépôt de cookies.

Cependant, la Cnil soulève la difficulté des éditeurs à assumer seuls la responsabilité du respect de ces obligations. Certains cookies sont issus de serveurs tiers et sont liés à l’activité de leurs partenaires. Les éditeurs n’ont dès lors aucune maîtrise sur le respect de règles relatives à ces traceurs.

A l’occasion de sa recommandation du 5 décembre 2013, la Cnil avait déjà affirmé que l’obligation d’information et de recueil du consentement s’imposait tant aux éditeurs de sites, systèmes d’exploitation et applications, qu’aux partenaires publicitaires, aux réseaux sociaux et aux éditeurs de solutions de mesures d’audience.

A cet égard, le Règlement européen sur la protection des données à caractère personnel confirme que « lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement » (1).

C’est à ce titre que la Cnil étend ses contrôles aux tiers et partenaires publicitaires des éditeurs de sites webs qui doivent également être considérés comme responsables de traitement. En effet, les données ne sont pas uniquement collectées et traitées pour les éditeurs de sites. Les partenaires traitent et exploitent eux-aussi ces données pour des finalités qui leur sont propres.

Les obligations des professionnels non éditeurs

Dès lors, les professionnels non éditeurs émettant des cookies doivent se conformer aux dispositions de la loi Informatique et libertés, ainsi qu’à celles du règlement européen applicables en 2018, au même titre que les éditeurs de sites.

La Cnil énonce quelques unes des obligations incombant tant aux partenaires qu’aux éditeurs webs :

  • limitation de la durée de conservation des données qui ne peut excéder 13 mois pour les cookies ;
  • collecte loyale des données : à cette fin, un certain nombre d’informations doivent être accessibles aux internautes, à savoir l’identité du partenaire, la finalité du traitement qu’il effectue, les destinataires ou les catégories de destinataires qui vont recevoir ces données, les droits dont les personnes concernées disposent (opposition, rectification, accès, etc.) ;
  • mise en place de moyens permettant aux personnes concernées d’exercer ces droits de manière effective.

La Cnil recommande la mise en place d’un système permettant de clarifier l’existence des divers acteurs intervenant dans le traitement des données des internautes. Elle conseille ainsi la tenue d’une liste des partenaires afin que soient rassemblées et facilement accessibles les informations de ces tiers émettant des cookies. Cette liste devrait comprendre un lien propre vers une page individuelle contenant les informations devant être portées à la connaissance des internautes.

Cependant, ce futur afflux d’informations ne doit pas noyer l’internaute. Ce dernier doit pouvoir accéder de façon transparente et claire aux informations nécessaires concernant chacun des traitements effectués, quel qu’en soit l’acteur.

Virginie Bensoussan – Brulé
Lexing Contentieux numérique

(1) Règlement (UE) 2016/679 du 27-4-2016 sur la protection des données à caractère personnel, art. 26.




Droit à l’oubli : le bilan de l’audit lancé par le G29

Droit à l’oubli : le bilan de l’audit lancé par le G29Le G29 lance un audit des pratiques des autorités de protection des données sur le déréférencement.

La Cour de justice de l’Union européenne (CJUE) a imposé, dans un arrêt du 13 mai 2014, aux moteurs de recherche de mettre en place un droit à l’oubli.

C’est à la suite de cet arrêt que Google Inc. a permis aux internautes, via un formulaire en ligne et sous certaines conditions, de demander le déréférencement de liens apparaissant dans les résultats de recherche effectués sur la base de leurs noms. La mise ne place de ce système marquait la reconnaissance pour Google d’un droit à l’oubli pour les personnes physiques.

Les internautes peuvent toutefois se heurter au refus de suppression de la part du moteur de recherche. Dans l’hypothèse où le moteur de recherche refuserait de donner suite à la demande, ces derniers, peuvent alors déposer une plainte auprès de l’autorité compétente pour assurer la protection des données. En France, cette mission incombe à la Commission nationale de l’informatique et des libertés (Cnil).

Les internautes doivent alors démontrer que le refus du moteur de recherche fait obstacle aux principes énoncés par la CUJE, tels qu’ils ressortent de la décision du 13 mai 2014. En effet, selon la CJUE, toute décision doit prendre en compte l’équilibre à respecter entre le droit à la protection de la vie privé, d’une part, et l’intérêt du public à avoir accès à l’information, d’autre part.

Dans le prolongement de cet arrêt, qui réunit les autorités européennes compétentes en matière de protection des données (G29), avait souhaité assurer une cohérence des décisions prises par les « Cnil européennes » à l’échelle des différents pays européens s’agissant du droit à l’oubli.

Pour cela, le G29, avait dressé, fin novembre 2014, une liste de 13 critères destinés à évaluer le bien-fondé des plaintes déposées par les internautes en matière de droit à l’oubli. Ces critères doivent permettre de déterminer si le déréférencement est justifié. Ils sont ci-dessous brièvement résumés :

  • Les critères sont-ils relatifs à une personne physique ? Le résultat apparaît-il à la suite d’une recherche effectuée sur la base du nom de la personne concernée ?
  •  S’agit-il d’une personne publique?
  • La personne concernée est-elle mineure ?
  • Les données publiées sont-elles exactes ?
  • Les données sont-elles pertinentes ou excessives (données relatives à la vie professionnelle, information constitutive d’un délit de presse) ?
  • Les informations sont-elles des données sensibles au sens de l’article 8 de la Directive du 24 octobre 1995 (1) ?
  • L’information est-elle à jour ? L’information a-t-elle été rendue disponible plus longtemps que nécessaire pour le traitement ?
  • Le traitement de données cause-t-il un préjudice à la personne concernée ? Les données ont-elles un impact négatif disproportionné sur la vie privée du plaignant ?
  • Dans quelle contexte l’information a-t-elle été publiée (le contenu a-t-il été volontairement rendu public par le plaignant) ?
  • Le contenu a-t-il été rendu public à des fins journalistiques ?
  • La publication répond-elle à une obligation légale ?
  • L’information est-elle relative à une infraction pénale ?

Les autorités de protection des données de chaque Etat européen doivent tenir compte de ces critères pour prendre leur décision.

Un an après l’annonce de ces critères, le G29 a lancé un audit afin de mesurer l’efficacité du système mis en place et évaluer les pratiques des autorités de protection des données en matière de droit au déréférencement.

Le G29 décompte plus de 2 000 plaintes reçues en matière de droit à l’oubli, souligne la pertinence des critères sélectionnés et l’efficacité du système mis en place.

En France on compte 250 plaintes déposées auprès de la Cnil et 90 plaintes transmises à Google pour solliciter le déréférencement.

La Cnil souhaite se diriger vers un déréférencement européen, en offrant la possibilité aux internautes de supprimer des moteurs de recherche les résultats accessibles dans chaque pays européen ainsi que toutes les extensions du moteur de recherche. Cependant, Google Inc. a mentionné qu’elle ne partageait pas la position de la Cnil, l’extension « .com » excédant, selon elle, la compétence des juridictions européennes.

Il ressort de cet audit du G29 que certains critères mériteraient d’être précisés. Il serait notamment judicieux de déterminer à partir de quel moment une donnée a été rendue disponible plus longtemps que nécessaire pour le traitement ou de définir la notion de « personne publique ».

Virginie Bensoussan-Brulé
Caroline Gilles
Lexing Droit Vie privée et Presse numérique

(1) Directive 95/46/CE du 24-10-1995.




Algorithmes prédictifs & protection des données personnelles

Algorithmes prédictifs & protection des données personnellesLes algorithmes prédictifs constituent désormais une technologie incontournable qui soulève toutefois des questions.

Les enjeux en termes de protection des données à caractère personnel en sont la parfaite illustration. En effet, l’utilisation de technologies reposant sur des algorithmes prédictifs nécessite une exploitation de données, en vue d’effectuer des calculs statistiques et probabilistes permettant de prédire un comportement, d’émettre un diagnostic, d’anticiper une situation, etc. Or, seuls un recueil et une exploitation massive de données peuvent permettre d’obtenir des résultats concluants.

Si tout type de données peut avoir vocation à être traité dans ce cadre, en fonction du secteur économique concerné et de la finalité recherchée, les analyses prédictives faites à partir d’algorithmes nécessitent bien souvent l’utilisation de données à caractère personnel.

Or, diverses thématiques doivent être appréhendées et anticipées avant le déploiement d’une solution d’algorithmes prédictifs fondée sur l’analyse de données à caractère personnel ; une telle solution devant s’inscrire dans le respect des dispositions de la loi Informatique et libertés (1).

En premier lieu, le principe de finalité revêt une importance particulière. En effet, un traitement de données à caractère personnel ne peut être mis en œuvre que pour des finalités déterminées, explicites et légitimes, les données ne pouvant être utilisées pour des finalités ultérieures incompatibles avec la finalité initiale de collecte. Sur ce point, l’attention des éditeurs de solutions utilisant des algorithmes prédictifs doit donc être attirée sur la nécessaire vérification de la finalité de la collecte initiale des données ayant vocation à être utilisées dans le cadre desdites solutions prédictives, sous peine de pratiques constitutives d’un détournement de finalité.

En deuxième lieu, s’agissant du corollaire direct de ce qui précède, la collecte des données doit être loyale et licite, ce dont il résulte une nécessaire information préalable des personnes concernées sur les traitements de données à caractère personnel les concernant et pouvant être mis en œuvre, cette information devant comporter diverses mentions détaillées au sein de la loi Informatique et libertés, telles que la finalité du traitement, les destinataires des données, etc.

En effet, tout traitement de données doit par principe faire l’objet d’une information préalable des personnes concernées, voire d’un consentement de ces dernières, qui doivent par ailleurs disposer d’une possibilité d’exercer leurs droits d’interrogation, d’accès, de rectification et d’opposition au traitement de leurs données.

En troisième lieu, le principe de proportionnalité nécessite la vérification des points suivants :

  • les données collectées doivent être pertinentes, adéquates et non excessives au regard de la finalité poursuivie. Aussi, seules les variables dont il peut être démontré, si besoin au moyen de calculs mathématiques et statistiques, qu’elles sont strictement nécessaires au modèle prédictif utilisé et à l’objectif recherché peuvent être collectées : une démarche de sélection et de rationalisation des données utilisées doit donc être menée ;
  • la durée de conservation des données doit être proportionnée à la finalité poursuivie. En effet, le droit à l’oubli étant une préoccupation majeure, un juste équilibre doit être recherché entre la durée nécessaire de conservation des données et le délai à l’issu duquel elles doivent être supprimées, une conservation illimitée étant interdite ;
  • les destinataires des données, c’est-à-dire les personnes pouvant y accéder, doivent être strictement justifiés. Les habilitations aux systèmes d’information et bases de données doivent donc faire l’objet d’une attention particulière afin de s’assurer que seules les personnes en ayant strictement besoin dans le cadre de leurs missions et fonctions peuvent effectivement accéder aux données traitées.

En quatrième lieu, l’utilisation de ces données à des fins d’analyse prédictive ne doit en aucun cas mener à une prise de décision produisant des effets juridiques à l’égard d’une personne sur le seul fondement d’un traitement automatisé de données destiné à définir le profil de l’intéressé ou à évaluer certains aspects de sa personnalité, sans intervention humaine et sans que la personne concernée ne soit mise à même de présenter ses observations.

En cinquième lieu, des formalités auprès de la Cnil devront être effectuées, le régime de formalités applicable dépendant notamment de la finalité poursuivie par le traitement mais également des données collectées à cette fin.

En sixième lieu, outre les aspects relatifs à la protection des données à caractère personnel, en fonction des secteurs d’activité concernés, la problématique du secret professionnel peut également se poser et devra être gérée (à titre d’exemple, la nécessité de tenir compte des impératifs liés au secret médical en matière de médecine prédictive).

En dernier lieu, il convient d’adopter une approche par les risques pour s’assurer que les principes de la loi sont respectés et que les mesures techniques et organisationnelles appropriées ont été prises pour protéger la sécurité et la confidentialité des données à caractère personnel. A cette fin, une étude d’impact sur la vie privée de tout nouveau projet doit être menée, la Cnil ayant utilement publié un guide à cet effet à l’attention des responsables de traitement.

C’est donc l’ensemble de ces principes et contraintes qu’il convient d’anticiper et de gérer, en amont de tout projet de déploiement de technologie fondée sur les algorithmes prédictifs, dès la conception de la solution, dans une approche dite de « privacy by design ».

Alain Bensoussan
Lexing Droit Marketing électronique

(1) Loi 78-17 du 6-1-1978.




2e édition du forum « L’année vue par le numérique »

2e édition du forum « L'année vue par le numérique »Alain Bensoussan s’est exprimé dans le cadre d’un forum organisé à Sciences Po par France Culture le 24 octobre 2015.

Cette 2e édition du forum « L’année vue par le numérique, initiée conjointement par France Culture et Rue89, a permis aux intervenants de débattre au sein de 4 tables rondes,  sous la houlette de Hervé Gardette, producteur de l’émission « Du grain à moudre ».

Les thématiques en étaient les suivantes :

  • Numérique : qui fait la loi ?
  • La planète sera-t-elle sauvée par Internet ?
  • Uber, Amazone, AIRBNB : le numérique nous rend-il socialement irresponsable ?
  • De Facebook à la NSA : tous fichés, tous suspects ?

Alain Bensoussan a animé cette quatrième et ultime table ronde, aux côtés de Viviane Reding, députée européenne, ancienne commissaire  européenne à la justice, aux droits fondamentaux et à la citoyenneté (2005-2014) et  d’Eric Sadin, écrivain et philosophe, auteur de l’ouvrage « La vie algorithmique – Critique de la raison numérique ».

Alain Bensoussan a évoqué la loi sur le renseignement, qu’il considère comme une grande avancée démocratique par le fait qu’elle permet d’organiser l’exercice des libertés numériques en France. Cette loi participe d’un objetif commun à tous les Etats démocratiques, à savoir l’instauration d’un plus niveau de protection sans porter préjudice aux citoyens.

L’utilisation des technologies nouvelles comme les algorithmes prédictifs, pour détecter des comportements terroristes, est un atout pour les services de police. Le défaut n’est pas dans le droit de la sécurité intérieure mais dans l’absence de protection personnelle des citoyens sur leurs données. Deux droits font défaut aux individus, que la société numérique devra nécessairement leur accorder. Il en est ainsi du droit à la propriété de toutes les sécrétions informationnelles laissées par les internautes que, jusqu’à présent, aucun Etat ne reconnaît, et du droit à la souveraineté de chacun sur ses données personnelles. La directive 95/46/CE du 24 octobre 2019 et la loi Informatique et libertés ne reconnaissent aucun de ces droits fondamentaux.

Les débats ont fait l’objet d’une retransmission sur France Culture du 26 au 30 octobre dans l’émission d’Hervé Gardette.

La vidéo de la table ronde est accessible à cette adresse.




Quantified Self, aspects techniques et applicatifs

Quantified Self, aspects techniques et applicatifsLe Quantified Self passe par l’utilisation d’un module de communication associé à une application centralisée.

Le tout est éventuellement relié à un réseau social visant au partage des données ainsi collectées et analysées.

Les capteurs sont des dispositifs transformant une grandeur physique (température, position, vitesse, altitude, etc.) en un signal (souvent électrique) qui renseigne sur cette grandeur. Les capteurs se présentent sous forme d’un microsystème-électromécanique équipé d’un moyen de communication sans fil, généralement une puce RFID active, porté sur soi (pince, bracelet, montre, brassard etc…) ou prenant place au domicile (boitier, pèse-personne etc.).

Le Quantified Self a connu un essor particulier notamment grâce à la démocratisation du Smartphone.

En effet, grâce à leur fonction GPS, d’accéléromètre, gyroscopique, leur boussole, leur caméra, les Smartphones permettent d’enregistrer de façon continue l’activité d’une personne : activité physique, donnée de santé, efforts quotidiens, etc.

Les informations collectées à l’aide du Smartphone ou du capteur sont analysées et stockées sur des interfaces dédiées, accessibles directement à partir d’un Smartphone (application mobile) ou par le biais d’un site web (interface web).

Un service complémentaire est généralement proposé, à savoir le partage des données obtenues sur les réseaux sociaux ouverts.

La mesure de soi peut être ainsi schématisée selon les 3 étapes suivantes :

  • la capture de données ;
  • l’analyse de données ;
  • le partage de données.

Du point des applications possibles, le Quantified Self semble sans limite. Tout ce qui peut être quantifié relève en effet potentiellement du domaine du Quantified Self.

Les applications de Quantified Self (1) concernent cependant traditionnellement les domaines de la santé, du bien-être et du sport, mais a aussi de la productivité, et du suivi du quotidien.

Les applications dédiées à la santé, telles que celles permettant la mesure de la glycémie ou de la tension artérielle par exemple, utilisent des capteurs mesurant des constantes à valeur médicale.

Les applications dédiées au sport mobilisent la fonction GPS du Smartphone ou du capteur pour enregistrer et analyser la trace d’un parcours et en déduire la vitesse, le dénivelé, le nombre de calories perdues, les records battus etc.

Les applications dédiées au bien être, le sommeil par exemple, utilisent quant à elles des capteurs permettant d’enregistrer et d’analyser de façon continue un certain nombre de paramètres vitaux révélateurs de l’état global de l’utilisateur (poids, activité physique, nutrition, sommeil, etc.).

Alain Bensoussan Avocats,
Lexing Droit du numérique

(1) Cnil, « Quantified Self: Comment mieux se connaitre grâce à ses données »,  26-11-2012.




Le Quantified Self, quelle définition pour quel usage ?

Le Quantified Self, quelle définition pour quel usage ?Le Quantified Self (quantification de soi) vise des pratiques éparses qui ont toutes en commun la quantification journalière.

Le mouvement du Quantified Self est né en Californie en 2007. Il vise à mieux se connaître en mesurant des données relatives à son corps et à ses activités.

On parle également de « Life-Logging » ou de « Self Tracking » pour désigner ces pratiques de capture, d’analyse et de partage de données personnelles.

S’il n’existe pas de définitions légales du Quantified Self. La Cnil définit le Quantified Self de la manière suivante :

  • « Le quantified self ou le « soi quantifié » renvoie à un ensemble de pratiques variées qui ont toutes pour point commun, de mesurer et de comparer avec d’autres personnes des variables relatives à son mode de vie : nutrition, activités physiques, poids, sommeil (…) ».

Le Quantified Self regroupe ainsi de façon générique l’ensemble des outils, principes et méthodes visant à mesurer des données relatives au corps, à la santé, à l’état général d’une personne et aux objectifs qu’elle s’est fixée (1).

L’objectif de cette pratique est de tenir un compte précis (quantified) sur des éléments particuliers de sa vie pour en garder la trace dans le temps et améliorer ses performances.

Les outils de Quantified Self connaissent un succès grandissant auprès des français.

L’attrait de ces nouvelles solutions tient avant tout aujourd’hui à leur faible coût mais aussi à plusieurs évolutions combinées, à savoir :

  • la miniaturisation des capteurs et donc leur intégration facile dans les outils de mesure de soi ;
  • le coût de plus en plus réduit de ces capteurs, favorisant l’incorporation de multiples capteurs dans les outils de mesure de soi ou smartphones : à titre d’illustration, la revue Wired expliquait dans son numéro de juillet 2012 qu’une puce de smartphone coûtant en 2012 17 $ pouvait accomplir mesures et calculs qui auraient demandé 6 puces pour un coût total de 60 $ en 2005 (2) ;
  • le « cloud computing », ensuite, qui a permis de stocker et d’analyser les informations pour un coût minime et en temps réel ;
  • enfin, la pression normative valorisant l’exposition de soi sur les réseaux sociaux (3).

Autre aspect, la pratique du Quantified Self conduit généralement son utilisateur à diffuser volontairement les données relatives à sa personne via des outils de partage afin, généralement, d’obtenir des conseils, des messages de soutien et d’encouragement, et ce pour entretenir sa motivation.

Ainsi, si la définition du Quantified Self parait cadrée, les applications de cette pratique ne semblent limitées que par l’imagination.

Alain Bensoussan Avocats,
Lexing Droit du numérique

(1) Emmanuel Gadenne, « Mieux gérer sa vie, sa santé, sa productivité », Le Guide du Quantified Self 2012, FYP éditions p. 12 et s.
(2) Wired Magazine, article du 22-6-2012.
(3) Cahier IP, Innovation et prospective n°1 Vie privée à l’horizon 2020, Paroles d’expert.




Les cookies exemptés par la Cnil de recueil du consentement

Les cookies exemptés par la Cnil de recueil du consentementLa loi prévoit que sauf exception, les cookies ou autres traceurs ne peuvent être déposés ou lus sur le terminal d’un internaute, tant que celui-ci n’a pas donné son consentement après avoir été préalablement informé (1).

Les responsables de traitement qui mettent en oeuvre des cookies ou autres type de traceurs doivent donc informer préalablement l’utilisateur et recueillir son consentement préalable. Les sites doivent en outre solliciter le consentement de l’utilisateur tous les 13 mois, au maximum.

La Cnil avait déjà reconnu que les cookies « Piwik » (2), sous réserve de respecter quelques paramétrages, pouvaient être dispensés du recueil du consentement alors que ceux-ci devaient normalement en relever.

En modifiant son guide des cookies, elle a reconnu la même possibilité pour les cookies d’AT Internet (3), sous réserve de certains paramétrages.

Pour pouvoir bénéficier de cette exception reconnue par la Cnil, l’éditeur du site doit notamment :

  • informer les internautes de l’existence des cookies de mesure d’audience ;
  • implémenter l’option opt-out permettant de refuser les cookies AT internet. Cette solution sera différente selon qu’il s’agit d’un site internet ou d’une application mobile.

Pour vous aider à mettre en conformité vos sites ou application mobiles, l’éditeur At internet a établi un guide de mise en conformité qui est accessible sur le site de la Cnil à cette adresse.

Céline Avignon
Lexing Droit Marketing électronique

(1) Art. 32-II de la loi du 6 janvier 1978.
(2) Piwik est une solution d’analytics qui peut être paramétrée pour s’exempter de la demande de consentement avant de déposer un cookie. Ce guide vous explique comment configurer Piwik pour être en conformité avec les recommandations de la Cnil.
(3) Applied Technologies Internet SAS (France) et ses filiales Applied Technologies Internet Ltd (Royaume-Uni), Applied Technologies Internet GmbH (Allemagne) et Applied Technologies Internet Spain SL (Espagne).




Big Data : un changement de paradigme juridique

Big Data : un changement de paradigme juridiqueAlain Bensoussan décrit le phénomène du big data dans une chronique « Paroles d’expert » pour le groupe Cegid (Compagnie Européenne de Gestion par l’Informatique Décentralisée).

Qu’est-ce que le big data, une mode, une mutation technologique, un cadre légal en devenir ? Au-delà de ces questions, il y a la problématique des données nominatives et la question de la propriété des données non nominatives.

Le Big data n’est pas qu’un simple sujet technologique : son essor soulève toute une série d’interrogations d’ordre juridique. La grande question, c’est : est-on face à un changement de paradigme ? Ou alors, le droit de l’informatique peut-il s’appliquer sans aucune difficulté ?

Eh bien la réponse, c’est que nous sommes bel et bien dans un changement de paradigme. Il y aurait déjà beaucoup à dire sur les règles particulières à mettre en place en matière de collecte, de sécurité ou d’informations des personnes. Mais le grand hiatus entre l’économie et le droit se situe dans l’exploitation de ces données et notamment les données implicites, ce que l’on appelle aussi l’analyse comportementale.

La rupture se situe clairement là car il s’agit d’éléments de prédiction des comportements. Aujourd’hui, cette prédiction est soumise à la Loi informatique et liberté. En principe, chaque individu a le droit de connaître les profils et les comportements qui lui ont été attribués, à vocation émotionnelle ou économique. Par exemple, une personne est-elle plutôt dépensière ou cigale ?

Beaucoup d’entreprises qui travaillent dans le domaine du Big data sont d’ores et déjà en situation de contradiction voire d’interdiction. La liberté d’usage dont ils croient disposer vient en effet percuter plusieurs droits fondamentaux, comme le Droit à l’anonymat ou encore le Droit à la vie privée numérique.

Sur cette question du Droit à la vie privée numérique, il faut bien avoir en tête que toutes données recueillies par les outils de géolocalisation ou encore des objets connectés, lorsqu’elles sont rassemblées et corrélées, débouchent sur un concentré d’émotion et d’intimité qui risquent d’entrer en contraction avec la notion de vie privée. Avec le Big data, il suffit de plaquer un comportement initial vers la cible comportementale pour connaître la personne sans l’identifier. Plus besoin de connaître le nom : c’est de l’anonymat personnalisé. On est dans un changement de paradigme et l’obligation de revoir les textes.

C’est pourquoi on va assister à l’émergence d’un droit au comportement. Il va falloir définir de nouvelles règles du jeu. Je m’explique.

Aujourd’hui, lorsque une entreprise essaie d’amener le consommateur à une prise de décision, via la publicité par exemple, celui-ci perçoit qu’il subit une certaine incitation. Lorsque cette même entreprise utilise ses informations, historique d’achat par exemple ou analyse des corrélations, pour prédire son comportement, la situation est différente pour l’individu. Il croit faire un acte autonome en choisissant le produit qui lui est proposé, alors qu’il est en quelque sorte poussé à l’action.

C’est un vrai défi pour la démocratie et une interrogation pour les promoteurs du Big data. Alors quelle solution opérationnelle mettre en place ? Une piste qui me semble incontournable, c’est celle d’un commissaire aux données. Ce commissaire à la donnée certifierait une utilisation de la donnée conforme au droit. C’est exactement le modèle du commissaire au compte qui garantit que l’entreprise exprime bien un bilan en conformité avec le droit comptable.

Alain Bensoussan, « Nouveaux enjeux juridiques du Big Data », Cegid, juin 2015.




La Cnil contrôle en ligne les sites web destinés aux enfants

La Cnil contrôle en ligne les sites web destinés aux enfantsLa Cnil a annoncé sa nouvelle campagne de contrôles en ligne débutant le 12 mai, sur les sites web destinés aux enfants. 

Cet audit s’inscrit dans le cadre des Internet Sweep Day, organisés par les 29 autorités de protection des données dans le monde, rassemblées au sein du GPEN (Global Privacy Enforcement Network).

La Cnil a participé à plusieurs « sweep days » au cours des derniers mois. Toutefois, le bilan des dernières opérations ont révélé que de nombreux sites web et applications mobiles collectaient un nombre important de données tout en délivrant une information souvent insuffisante aux personnes concernées.

Après les sites internet, les applications mobiles et les cookies, les sites web à destination des enfants représentent la nouvelle cible des contrôles de la Cnil.

Dans ce cadre, chaque autorité mènera, entre le 11 et le 15 mai, sur son territoire national des opérations d’audit.

Partant du constat qu’en France, « les enfants de 7 à 12 ans passent chaque semaine 5 heures sur internet et plus de 11 heures pour les adolescents de 13 à 19 ans », la Cnil a choisi le 12 mai pour examiner le respect de la vie privée par 50 sites web à destination des enfants.

Les sites web concernés sont principalement « des sites de jeux, de réseaux sociaux, ainsi que de sites offrant des services éducatifs ou de soutien scolaire ». La Cnil considère que ces sites web nécessitent une attention particulière quant aux données collectées et aux mesures de protection mises en place.

Exerçant ses récents pouvoirs de contrôle sur Internet, la Cnil a précisé dans son communiqué qu’elle vérifiera notamment :

  • la mise en œuvre du recueil d’un accord parental avant l’utilisation des services et la collecte de données personnelles ;
  • la sensibilisation du public aux enjeux de vie privée,
  • la fourniture d’une information relative à la protection des données adaptée au jeune public visé (langage clair, animations,…) ;
  • la simplification de la suppression des informations personnelles qui seraient transmises par des enfants.

L’objectif annoncé de cette opération est triple :

  • sensibiliser le public, et notamment les parents d’enfants utilisateurs de services en ligne ;
  • promouvoir les bonnes pratiques auprès des acteurs du secteur ;
    dresser « un panorama mondial des pratiques des sites à destination des enfants, ainsi que des spécificités nationales ».

Les résultats seront publiés par la Cnil à l’automne 2015. A cet égard, la Cnil rappelle qu’en fonction des manquements constatés, des contrôles sur place pourraient être effectués et des sanctions pourraient être encourues.

Dans ce cadre, chaque éditeur de site web à destination du jeune public doit rapidement procéder à un audit Informatique et libertés de son site Internet afin de pouvoir identifier les éventuels manquements et de mettre en œuvre immédiatement les actions correctrices.

Céline Avignon
Raouf Saada
Lexing Droit Marketing électronique




Cookies sweep days : un prélude à des contrôles Cnil

Cookies sweep days : un prélude à des contrôles CnilCookies sweep days. Katharina Berbett revient pour Stratégie internet sur l’opération d’audit en ligne de sites internet très fréquentés, encore appelée « Cookies sweep days », diligentée par la Cnil du 15 au 19 septembre 2014, aux côtés d’autres autorités européennes de protection des données, en vue d’évaluer le respect des dispositions légales.

Cette opération a pu servir de « répétition générale » en vue des contrôles que la Cnil a annoncé lancer au mois d’octobre, dans le cadre de ses pouvoirs de vérification sur place et de ses nouveaux pouvoirs de contrôle en ligne instaurés par la loi Hamon.

Pour mémoire, depuis 2011, la loi Informatique et libertés prévoit que les cookies ou autres traceurs, à l’exception de certains cookies techniques, ne peuvent être déposés ou lus sur le terminal d’un internaute, tant que celui-ci n’a pas donné son consentement après avoir été préalablement informé.

Le 5 décembre 2013, la Cnil a émis, par délibération n°2013-378, une recommandation (1), ainsi que des fiches pratiques pour la mise en conformité des sites internet avec la loi.

La mise en conformité de son site n’est pas à prendre à la légère, la Cnil ayant annoncé des mises en demeure, voire des sanctions, à l’égard des éditeurs de sites et d’applications à l’encontre desquels des manquements auront été constatés. L’amende encourue en cas d’infraction peut atteindre 150.000 euros et être assortie de mesures de publication ayant un impact désastreux sur la confiance des internautes.

Katharina Berbett, « Cookies sweep days : répétition générale avant le lancement de contrôles par la Cnil » , Stratégie internet, n°186, Octobre-Novembre 2014

(1) Lire un précédent Post du 20-12-2013.




Lutter contre la fraude et les opérations illicites en e-commerce

Lutter contre la fraude et les opérations illicites en e-commerceCéline Avignon précise, pour E-commerce Magazine, les moyens de lutter contre la fraude et les opérations illicites à disposition des commerçants en ligne. Les moyens utilisés doivent respecter les dispositions de la loi Informatique et libertés.

Pour lutter contre la fraude et les opérations illicites, nombreux sont les e-commerçants optant pour des modules de prévention et de lutte, proposés notamment par les banques ou les prestataires de paiement. Néanmoins le recours à de tels modules implique pour l’e-commerçant de tenir compte des contraintes de la loi Informatique et libertés.

En effet, les éditeurs, dans la plupart des cas, concèdent un droit d’utilisation sur des modules paramétrables et entièrement administrables par les e-commerçants. Compte tenu de cette autonomie, ces derniers sont considérés comme des responsables de traitements, au sens de la loi Informatique et libertés.

Cette qualification entraîne des conséquences pour les e-commerçants. En effet, le recours à ces modules leur permet, lorsqu’ils soupçonnent une fraude grâce aux critères et scores définis dans ces outils, de refuser une commande à un internaute, par exemple.

Or, l’article 25 de la loi Informatique et libertés soumet les traitements automatisés susceptibles (du fait de leur nature,de leur portée ou de leurs finalités) d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat, en l’absence de toute disposition législative ou réglementaire, à une autorisation préalable de la Cnil.

Par conséquent, l’e-commerçant, avant de déployer un module de lutte contre la fraude, devra obtenir une autorisation de la Cnil. De même, il devra s’assurer d’informer ses clients et prospects, conformément à l’article 32 de la loi.

Pour ce faire, il devra intégrer, dans ses conditions générales et formulaires sen ligne, une mention d’information. De manière générale, pour ces traitements, il devra veiller à respecter toutes les obligations de la loi.

Céline Avignon, « Lutter contre la fraude en respectant la loi », E-commerce Magazine, Septembre-Octobre 2014




G29 : pack de conformité Informatique et libertés pour Google

G29 : pack de conformité Informatique et libertés pour GoogleG29 – A la suite de plusieurs sanctions prononcées par des autorités européennes de protection des données à l’encontre de Google, le G29 (groupe des « Cnil » européennes) lui a adressé fin septembre, un pack de mesures pratiques pour se mettre en conformité avec la réglementation informatique et libertés.

Madame Isabelle Falque-Pierrotin présidente du G29, a adressé une lettre à la direction de Google Inc, le 23 septembre 2014 lui rappelant ses obligations et

Au début de l’année 2012, les autorités de protection des données de l’UE ont lancé une enquête en profondeur afin d’évaluer la conformité de la politique de confidentialité de Google avec la législation européenne de protection des données.

Ce processus a dévoilé plusieurs problèmes en ce qui concerne la politique de confidentialité du moteur de recherche.

Suite à cette enquête, les procédures nationales ont été menées en 2013 et 2014 dans un nombre d’États membres de l’UE, dont certaines ont conclu que la politique de confidentialité actuelle ne répondaient pas aux exigences fixées dans les lois nationales respectives.

Google a du faire face à ses obligations à l’égard de la protection des données européen et national cadres juridiques et doit déterminer les moyens d’atteindre ces exigences légales.

Pour guider la société dans cet effort de mise en conformité, le G29 a présenté en juillet 2014 aux représentants de Google Inc., une liste commune des mesures à mettre en œuvre.

La lettre est accompagnée d’une annexe contenant une liste des mesures de conformité possibles qui ne préjuge pas de mesures d’exécution que les autorités nationales pourraient prendre sur le fondement du droit national.

Ce pack a pour objectif de proposer à Google des mesures précises et pratiques qui pourraient être mises en œuvre rapidement par la société, pour répondre aux exigences du cadre juridique européen en matière de données personnelles.

Parmi ces mesures figure :

  • La diffusion d’une politique de protection des données ;
  • La mise en place d’une politique de durée de conservations des données.

Chloé Torres
Lexing, Droit Informatique et libertés




Meta balise et traitement de données à caractère personnel

Méta-balise et traitement de données à caractère personnelDans un arrêt du 10 septembre 2014, la Cour de cassation a considéré que l’utilisation d’un nom patronymique au sein d’une « meta balise » ne relève pas du champ d’application de la loi Informatique et libertés.

Une meta balise est une commande du langage HTML, destinée à faciliter le référencement par les moteurs de recherche sur internet des pages qui le supportent.

Dans cette affaire, un blogueur qui avait mis en ligne des informations sur des tiers, avait introduit leurs nom et prénoms en  » meta balises  » dans le code source du site, afin d’orienter les recherches des internautes les concernant sur les pages de son blog. Décidés à faire cesser ces agissements, les tiers concernés ont assigné le blogueur en invoquant une atteinte à leur vie privée (1), la responsabilité pour faute du blogueur pour les préjudices qui leur a été causés, ainsi que le non-respect des formalités préalables à la mise en œuvre d’un traitement de données à caractère personnel.

Or, adaptant les motifs de la Cour d’appel, la Cour de cassation a rejeté l’ensemble des moyens soulevés par les demandeurs, permettant ainsi au blogueur de continuer à utiliser le nom des tiers dans le code source de son blog pour en faciliter le référencement par les moteurs de recherche et en jetant le trouble sur la définition de traitement de données à caractère personnel…

En effet, la cour de cassation considère par motif adopté que l’utilisation d’un nom patronymique au sein de « meta balise » pour faciliter l’indexation de la page web qui le supporte, exclusive de toute autre donnée personnelle relative à la personne concernée, ne relève pas du champ d’application de la loi Informatique et libertés, autrement dit ne constitue pas un traitement automatisés de données à caractère personnel…

N’ayant aucun doute sur le fait que le nom patronymique constitue une donnée à caractère personnel, la question qui se posait en l’espèce était de savoir si son utilisation en tant que meta balise dans le code source d’un site internet pouvait constituer « un traitement » au sens de l’article 2 de la loi Informatique et libertés.

A ce titre, l’article 2 de la loi Informatique et libertés dispose que « constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction. »

En l’espèce, le nom patronymique est utilisé par le blogueur, qui l’enregistre dans les codes sources de la page, pour qu’il soit lu par le moteur de recherche, cette lecture entrainant une indexation spécifique sur le moteur de recherche…

La Cour de Justice de l’Union Européenne a considéré dans un arrêt du 6 novembre 2003 que la seule opération consistant à faire figurer, sur une page Internet, des données à caractère personnel constituait un traitement de données à caractère personnel (2). De son côté la Cnil, considère de façon constante « qu’il ne saurait être contesté sérieusement que la diffusion de données à caractère personnel sur un site internet constitue un traitement au sens de l’article 2 de la loi Informatique et libertés » (3).

Cette position de la Cour de Cassation est à surveiller pour savoir si elle se confirme dans la mesure où elle interprète la notion de traitement de données à caractère personnel de manière plutôt restrictive, alors que les autorités de protection lui concèdent habituellement une portée étendue.

Dans un tel contexte, cet arrêt de la cour de cassation doit être pris avec précaution et les éditeurs de site internet utilisant les techniques de référencement par « meta balise », doivent rester extrêmement vigilants quant aux éléments qu’ils y inscrivent.

Céline Avignon
Anaïs Gimbert-Bonnal
Lexing, Droit Informatique et libertés Contentieux

(1) Cf. post du 08-10-2014.

(2) CJCE, 6-11-2003, aff. C-101/01, Bodil Lindqvist, EU:C:2003:596, point 25

(3) Cnil, Délib. n°2014-040 du 29-1-2014




Cookies sweep day : la Cnil annonce sa campagne de contrôles

Cookies sweep day la Cnil annonce sa campagne de contrôlesCookies sweep day – Céline Avignon décrypte pour le magazine e-commerce mag, l’annonce par la Cnil des contrôles qu’elle fera en septembre sur la mise en oeuvre de ses recommandations par les éditeurs des sites.

La Cnil lancera en septembre les Cookies sweep day. Il s’agit d’une série de contrôles visant à vérifier la mise en oeuvre des préconisations qu’elle a émises dans sa délibération n°2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux cookies et aux autres traceurs visés par l’article 32-II de la loi du 6 janvier 1978.

Les  » sweep days  » sont le fruit d’une initiative du Global Privacy Enforcement Network (GPEN), réseau informel créé par une recommandation de l’OCDE en 2007 visant à faciliter la coopération transfrontalière entre les autorités nationales de protection des données. L’objectif est de procéder à des examens selon une grille d’analyse commune aux différentes autorités.

Plusieurs  » sweet days  » ont déjà eu lieu au cours des derniers mois. Après les sites internet et les applications mobiles, les cookies sont la nouvelle cible des contrôles de la Cnil.

la Cnil annonce pour la première fois les contrôles dans le cadre notamment d’un sweep day. Le cookies sweep day aura lieu du 15 au 19 septembre 2014. En fonction des manquements constatés, la Cnil pourrait adresser des mises en demeure voire des sanctions aux éditeurs de sites et d’applications (1)

Céline Avignon pour e-commercemag.fr, le 17 juillet 2014.

(1) cf. notre prochain petit-déjeuner Alain Bensoussan du 03-09-2014, Prêt pour l’opération « Cookies sweep day » de la Cnil




Données personnelles et internet des objets

Données personnelles et internet des objetsL’arrivée des objets connectés, tels les compteurs intelligents, pose de nouveaux défis pour la protection des données personnelles. Savoir si quelqu’un est dans la maison, quel équipement est utilisé, à quelle heure… constitue un traitement de données à caractère personnel au sens de la réglementation Informatique et libertés.

Si le dispositif est mis en place dans le cadre d’activités exclusivement personnelles, il échappera à la réglementation Informatique et libertés. S’il est, en revanche, implémenté au sein d’une entreprise à des fins professionnelles cette dernière devra, en sa qualité de responsable de traitement, respecter les obligations issues de la réglementation Informatique et libertés.

Cette réglementation impose 6 obligations principales :

  • réaliser les formalités préalables adéquates auprès de la Cnil ;
  • informer les personnes concernées (salariés, clients…) des droits qu’ils tiennent de la loi informatique et libertés ;
  • permettre aux personnes concernées d’exercer pleinement leurs droits ;
  • conserver les données pendant un délai adéquat ;
  • sécuriser les données exploitées
  • encadrer les flux de données hors de l’Union européenne.

Il est également recommandé à l’ensemble des acteurs qui se lanceraient dans un projet d’IdO de « penser » données personnelles dès la conception du projet selon la démarche dite « Privacy by Design ».

La pratique du Privacy by Design en plus de permettre de s’assurer d’une parfaite conformité au cadre juridique, constitue un outil de différenciation face à la concurrence et un gage supplémentaire de qualité et de confiance pour les clients.

Cette tendance est appelée à se généraliser, dans la mesure où elle correspond à l’esprit du projet de règlement européen visant à réformer la directive n° 95/46/CE relative à la protection des données à caractère personnel. La Commission européenne prévoit ainsi de rendre obligatoire l’approche « protection des données personnelles dès la conception » et propose l’adoption du Privacy by Design pour tous les produits, services et systèmes exploitant ce type de données.

Mais l’Internet des objets va sans doute bouleverser en profondeur un autre élément important du cadre juridique de la protection des données personnelles. Il existe en effet au sein de l’Union européen un mécanisme partagé par tous qui consiste à interdire l’exportation de données personnelles en dehors du territoire de l’Union.

Cette interdiction ne peut être levée que dans des cas précis : convention de flux, BCR, Safe harbor, niveau de protection adéquat ou encore exceptions légales.

Cette problématique des flux pose déjà de nombreux problèmes aux acteurs du cloud computing qui par nature correspondant à une dissémination de l’information à travers le monde.

Mais à la différence du Cloud computing, où il est possible de trouver des solutions de contournement comme de proposer un « Cloud EU », l’Internet des objets ne connaîtra pas de frontières et il ne sera pas possible, sauf à tuer dans l’œuf le développement d’un monde d’objets connectés, imposera une refonte du droit des flux de données.

Chloé Torres
Lexing, Droit Informatique et libertés




Noms de domaine et réforme de la protection des données

Noms de domaine et réforme de la protection des donnéesNoms de domaine – Alain Bensoussan est intervenu dans le cadre de la troisième édition du Centr, l’association de registres de noms de domaine européens, lors d’un atelier consacré à l’actualité juridique et réglementaire et à son impact sur la gestion des noms de domaine.

Cet événement, initié par l’Afnic (1), se déroulait les 2 et 4 juin derniers au Novotel Eiffel du 15e arrondissement de Paris.

C’est l’occasion pour nous de revenir, avec Maître Bensoussan, sur deux principes essentiels issus de la proposition de règlement européen sur la protection des données à caractère personnel, à savoir le principe de minima et le droit à l’oubli.

Le principe de minima. La capacité de stockage et de traitement des informations personnelles a été en constante augmentation ces dernières années et par voie de conséquence les menaces à la vie privée et la sécurité des données. Que prévoit la proposition de règlement à ce titre ?

La proposition de règlement prévoit comme principe essentiel « le principe de minima des données » ou de “subsidiarité” (art. 5 du projet de règlement). Ainsi, les données collectées et traitées doivent-elles être conservées ou encore utilisés de manière limitée au strict minimum, c’est-à-dire sans excéder ce qui est nécessaire pour atteindre l’objectif pour lequel elles ont été collectées.

Avant tout traitement de données personnelles, le responsable de traitement doit se demander : « Avons-nous besoin de cette donnée ? Pour quelle finalité ? Et pour combien de temps ? ». Ces questions se posent également en ce qui concerne les traitements relatifs au nommage dont sont responsables tous les gestionnaires de noms de domaine.

Ce principe peut être mis en perspective avec la récente décision de la Cour de justice des communautés européennes du 8 avril 2014 relative à la Directive 2006/24/CE, sur la conservation des données communément dite « data retention ». Pour mémoire, cette directive impose aux fournisseurs de services de télécommunications de conserver, pendant un délai de six à vingt-quatre mois, les données relatives au trafic et à la localisation des interlocuteurs, mais pas le contenu même des conversations. C’est notamment en raison de cette durée imprécise de conservation des données que les juges européens ont été amenés à invalider la directive « data retention ».

Le droit à l’oubli. Un autre grand principe prévu par la proposition de règlement est au cœur de l’actualité, celui du droit à l’oubli. C’est d’ailleurs sur ce fondement que la Cour de justice européenne dans une décision du 13 mai 2014 a reconnu à chaque internaute le droit de requérir auprès de l’exploitant du moteur de recherche Google, la suppression des liens vers des données personnelles le concernant. Pouvez-vous nous en dire plus ?

Le droit à l’oubli existe déjà de manière sous-jacente par le biais de la date de péremption des données prévue dans toutes les réglementations européennes relatives à la protection des données personnelles, avec des spécificités selon les pays, mais il sera expressément encadré avec la proposition de règlement général sur la protection des données publiée par la Commission européenne le 25 janvier 2012.

Par sa décision du 13 mai 2014, la Cour de justice des communautés européennes s’est prononcée pour la première fois en faveur du droit à l’oubli numérique en demandant à Google Inc. d’adopter les mesures nécessaires pour retirer de son index des données à caractère personnel concernant un internaute et d’empêcher l’accès à celles-ci à l’avenir (cf. post du 14-5-2014).

Si Google s’est immédiatement conformée à cette décision en créant un formulaire en ligne, la tâche pour Google, ou tout autre moteur de recherche, ne sera pas aisée, dans la mesure où un arbitrage subtil entre différents droits, à savoir le droit à la liberté d’expression, le devoir de mémoire et droit à l’oubli, devra être opéré.

Il appartiendra donc à l’internaute souhaitant voir supprimé des moteurs de recherche un résultat le concernant, de justifier aussi précisément que possible, sa demande auprès du moteur de recherche, de façon à démontrer qu’il y a matière à effacer des données le concernant.

Alain Bensoussan Avocats
Lexing Droit du numérique

(1) L’Afnic est l’office d’enregistrement désigné par l’Etat pour la gestion des noms de domaine sous l’extension « .fr ».  Le Centr (Council of european national top level domain registries) est une association de registres de noms de domaine européens composée de 52 membres homologues de l’Afnic.




Le droit à l’oubli numérique consacré par le juge communautaire

oubli numérique consacré par le juge communautaireDroit à l’ oubli numérique – Dans le cadre d’une question préjudicielle, la Cour de justice de l’Union européenne

vient de rendre une décision majeure qui fera date (1). Elle consacre un nouveau droit de l’homme numérique, le droit à l’oubli. Ce droit permet de ne pas avoir son passé minant son futur.

Les trois principales clés fondamentales de lecture de cette décision sont :
– le responsable de traitement ;
– le droit à l’Histoire ;
– le droit à l’oubli.

Le responsable de traitement – La Cour retient la qualification de traitement de données en ce qui concerne les activités du moteur de recherche.

Pour la Cour, les données « trouvées », « indexées », « stockées » par les moteurs de recherche et mises à la disposition de leurs utilisateurs sont bien « des données à caractère personnel » au sens de l’article 2 de la directive 95/46/CE.

En effet, en explorant de manière automatisée, constante et systématique Internet à la recherche des informations qui y sont publiées, l’exploitant d’un moteur de recherche « collecte » de telles données qu’il « extrait », « enregistre » et « organise » par la suite dans le cadre de ses programmes d’indexation, « conserve » sur ses serveurs et, le cas échéant, « communique à » et « met à disposition de » ses utilisateurs sous forme de listes des résultats de leurs recherches.

Ces opérations étant visées explicitement par la directive, la Cour considère qu’elles doivent être qualifiées de « traitement » au sens de la directive. La Cour constate que dans la mesure où c’est l’exploitant du moteur de recherche qui détermine les finalités et les moyens de ce traitement, il est bien le responsable du traitement des données effectué par le moteur.

Le droit à l’Histoire – Il ne s’agit pas du droit à l’information mais du droit au maintien de cette information. Les libertés se conjuguent au temps présent et il faut trouver un juste équilibre entre ces droits fondamentaux. La clé de cet équilibre donnée par la Cour repose sur une balance de proportionnalité entre le droit des internautes à accéder à l’information et les droits fondamentaux de la personne concernée, en particulier le droit au respect de sa vie privée.

Pour la Cour, « ces droits prévalent, en principe, non seulement sur l’intérêt économique de l’exploitant du moteur de recherche, mais également sur l’intérêt de ce public à trouver ladite information lors d’une recherche portant sur le nom de cette personne ».

Tel ne serait pas le cas si l’on était en présence d’une personnalité publique, l’ingérence dans ses droits fondamentaux serait alors justifiée par l’intérêt prépondérant du public à avoir accès à l’information en question lors d’une recherche portant sur le nom de cette personne.

Le droit à l’oubli – Ce droit organise le droit d’évoluer en faisant de chacun d’entre nous, l’archiviste de son propre passé. Or à ce jour, l’histoire de chaque internaute est gravée dans le marbre binaire. « A défaut du pardon laisse venir l’oubli » disait Alfred de Musset.

Pour la première fois, la Cour se prononce en faveur du droit à l’oubli numérique en demandant à Google Inc. d’adopter les mesures nécessaires pour retirer des données à caractère personnel concernant un internaute de son index et d’empêcher l’accès à celles-ci à l’avenir.

La directive 95/46/CE permet ainsi à une personne de demander que des liens vers des pages web soient supprimés d’une liste de résultats à la suite d’une recherche effectuée sur son nom au motif qu’elle souhaite que les informations y figurant relatives à sa personne soient « oubliées après un certain temps ».

Pour la Cour, « même un traitement initialement licite de données exactes peut devenir, avec le temps, incompatible avec cette directive lorsque ces données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées. Tel est notamment le cas lorsqu’elles apparaissent inadéquates, qu’elles ne sont pas ou plus pertinentes ou sont excessives au regard de ces finalités et du temps qui s’est écoulé ».

Ainsi, la personne concernée peut donc s’adresser directement à l’exploitant ou, lorsque celui-ci ne donne pas suite à sa demande, saisir les autorités compétentes pour obtenir, sous certaines conditions, la suppression de ce lien de la liste de résultats.

Cette décision s’inscrit dans le contexte général d’un projet de réforme de la directive 95/46/CE. La Commission européenne a publié le 25 janvier 2012 un projet de règlement général qui a vocation à réviser le cadre européen de la protection des données personnelles (2). Le texte définitif pourrait être publié d’ici fin 2014 et adopté en mai 2015.

Il prévoit notamment de consacrer un « droit à l’oubli numérique et à l’effacement » pour les personnes concernées (art. 17 du projet).

Le droit à l’oubli fait partie des droits de l’homme numérique dont les enjeux sont principalement la propriété des données à caractère personnel par la personne concernée et le respect de la dignité numérique qu’il faut continuer à promouvoir et à protéger par la rédaction d’une loi sur les droits fondamentaux du numérique. Cela a toujours été un droit naturel qui devrait s’inscrire dans un cadre juridique. Tel sera peut-être le cas si le projet de règlement européen est adopté en l’état (3).

Ce droit doit coexister avec le droit à la liberté d’expression et être combiné avec le devoir de mémoire et le droit à l’Histoire au sens de vérité.

Pour l’heure, l’oubli numérique n’existe pas en droit français bien qu’il y ait quelques tentatives d’application, notamment à travers la charte du droit à l’oubli dans les sites collaboratifs et les moteurs de recherche signée en octobre 2010. Cette charte a été initiée par Madame Nathalie Kosciusko-Morizet, secrétaire d’Etat chargée de la prospective et du numérique (4).

Alain Bensoussan
Lexing Informatique et libertés

(1) CJUE du 13-5-2014 aff. C-131/12, Google Spain SL, Google Inc. c/ Agencia Española de Protección de Datos.
(2) Proposition de règlement 2012-0011 (COD) 25-1-2012.
(3) Voir page Wikipédia Alain Bensoussan ; Interview du 13-5-2014.
(4)  Charte du droit à l’oubli dans les sites collaboratifs et les moteurs de recherche.




Google Suggest soumis à la loi Informatique et Libertés

Google Suggest soumis à la loi Informatique et Libertés françaisePar une décision en date du 28 janvier 2014, le tribunal de commerce de Paris a condamné Google Inc. pour ne pas avoir donné de suite favorable au droit d’opposition exercé par un commerçant qui souhaitait ne plus voir son nom associé à des termes faisant référence à son passé pénal sur le moteur de recherche Google via l’outil Google Suggest. 

En l’espèce, un commerçant s’était aperçu que ses nom et prénom étaient automatiquement associés à certains termes liés à une condamnation pénale antérieure, dont il avait fait l’objet dans la fonctionnalité Google Suggest, mais aussi dans l’espace « Recherches associées » du moteur de recherche.

Celui-ci, par deux fois, a adressé à la société Google Inc. (copie à Google France) un courrier afin de voir l’association de termes litigieuse supprimée.

En l’absence de réponse positive, le demandeur a saisi le tribunal de commerce de Paris afin d’obtenir la suppression effective de l’association des termes litigieux à son identité et la condamnation des deux sociétés solidairement à lui verser la somme de 10 000 euros de dommages et intérêts.

Dans sa décision, le tribunal de commerce met d’abord hors de cause la société Google France, considérant que le demandeur ne démontre pas son intervention dans le fonctionnement du moteur de recherche ni dans la fonctionnalité Google Suggest.

Il ajoute que les fonctionnalités Google Suggest et « Recherches associées » constituent, comme le soutient le demandeur, un traitement de données à caractère personnel au sens de la loi Informatique et Libertés.

Au visa des articles 2 et 3 de la loi n°78-17 du 6 janvier 1978, le tribunal de commerce estime que Google Inc. ayant élaboré, s’agissant de Google Suggest, un algorithme procédant au traitement des données personnelles, elle a bien décidé quelles seraient les données traitées et dans quel but (notamment par un tri préalable des requêtes), ce dont il résulte la qualification de responsable de traitement de cette dernière.

Puis, au visa de l’article 5-2 de la même loi, s’agissant du champ d’application territorial de ce texte, le tribunal estime que la loi Informatique et libertés est applicable à Google Inc. pour ce qui concerne les fonctionnalités Google Suggest et « Recherches associées », dans la mesure où elle a recourt à des moyens de traitement situés sur le territoire français ; en témoigne le site www.google.fr, site accessible en langue française, sur le sol français à destination d’usagers y résidant et accédant aux services au moyen de leurs ordinateurs hébergeant des cookies et autres logiciels similaires.

Ainsi, de par ces constatations, le tribunal conclut à l’application de la loi Informatique et libertés française à la société Google Inc.

Dès lors, Google Inc. aurait dû donner suite à la demande d’opposition exercée par le commerçant, dans la mesure où le mot clé litigieux associé à ses nom et prénom, comportant une connotation négative et renvoyant au passé pénal du demandeur, nuisait à sa réputation et à son activité professionnelle et lui créait un préjudice et une atteinte à sa notoriété, ainsi qu’à sa réputation dans son domaine d’activité.

Le tribunal condamne donc Google Inc., entre autres, à supprimer, dans un délai de 30 jours calendaires à compter de la signification du jugement, les termes litigieux des suggestions proposées par les fonctionnalités du moteur de recherche, notamment via la fonctionnalité Google Suggest. De plus, le tribunal assortit cette interdiction d’une astreinte de 1000 euros par infraction constatée et condamne la société à payer au demandeur la somme de 10 000 euros au titre de l’article 700 du Code de procédure civile.

Alain Bensoussan
Pauline Binelli-Waintrop
Lexing Droit Informatique et libertés

TC Paris 1e ch. du 28-1-2014