Applications mobiles – Le 6 mai 2013, la Cnil a effectué un audit de 250 sites internet et applications mobiles régulièrement fréquentés portant sur l’information délivrée aux internautes. Cet audit a été réalisé dans le cadre de l’ « Internet Sweep Day », en français, la « Journée de balayage de l’internet », première opération internationale d’audit coordonnée des autorités membres du Global Privacy Enforcement Network (GPEN).

Au total, près de 19 autorités compétentes en matière de protection des données personnelles ont évalué 2180 sites Internet ou applications les plus visités.

Les résultats de cette enquête ont montré l’insuffisance, voire parfois l’absence, d’une information claire des internautes sur les conditions de traitement de leurs données personnelles.

Ainsi, au niveau mondial, il a été constaté que 50 % des applications mobiles auditées ne délivrent aucune information à leurs visiteurs relative à la politique de protection des données personnelles. En outre, les mentions d’informations délivrées par les autres services sont apparues incomplètes, peu accessibles et peu compréhensibles.

Au point de vue national, il a été constaté que lorsque qu’elle est fournie, cette information n’est ni facilement accessible (pour près de la moitié des sites et applications mobiles concernés), ni suffisamment claire et compréhensible (pour près d’un tiers des sites audités).

Or, les applications mobiles permettent une collecte de quantité d’informations ; ceci étant favorisé par le système d’exploitation, qui permet à certaines applications d’accéder, notamment par l’intermédiaire d’API, aux carnets d’adresses, aux contacts enregistrés par le propriétaire du portable ou encore aux photos ou de fournir des informations comme les identifiants uniques du téléphone.

Certaines applications utilisent également la géolocalisation par GPS ou encore par Wifi.

Compte tenu des caractéristiques de fonctionnement des applications mobiles, les principaux risques en matière de protection des données à caractère personnel proviennent de l’absence de transparence et l’absence de sécurité.

Aussi, il est nécessaire que l’ensemble des acteurs (magasin d’application, développeur d’applications mobiles…) prenne en compte, dès la conception de l’application, les contraintes juridiques relatives à la protection des données et qu’ensemble, ils adoptent une démarche de privacy by design. Cette démarche respectueuse de la protection des données, permettra également, dès la conception, d’identifier les développements et fonctionnalités nécessaires à la conformité, ce qui sera de nature à éviter d’avoir à développer, en fin de processus de création, des fonctions supplémentaires.

Dans le cadre du processus de création d’une application, les principes suivants devront être respectés, selon les recommandations du groupe de l’article 29 (1) :

• obtenir le consentement libre et éclairé de l’utilisateur préalablement à l’installation de données ou la récupération des données de son terminal,
• obtenir son consentement pour la géolocalisation, que celle-ci soit réalisée par GPS, ou wifi,
• proposer une politique de confidentialité lisible et compréhensible, accessible notamment depuis le magasin et au sein de l’application,
• respecter le principe de minimisation des données en collectant uniquement les données nécessaires à la réalisation de la finalité,
• déterminer une durée de conservation des données en tenant compte de la durée nécessaire à la réalisation de la finalité poursuivie et permettre à l’utilisateur de paramétrer les durées selon les données,
• mettre en place une procédure permettant à l’utilisateur de désinstaller l’application,
• informer le consommateur, conformément à l’article 32 de la loi Informatique et libertés, notamment des finalités poursuivies par les traitements de données et les destinataires de ces données,
• recueillir le consentement en cas d’utilisation de cookies, traceurs et autre device fingerprinting,
• mettre en œuvre une procédure permettant à l’utilisateur d’exercer effectivement les droits qu’il détient de la loi Informatique et libertés sans frais et de manière simple,
• tenir compte de l’âge des enfants et adopter selon cet âge une politique restrictive de traitement des données,
• prendre des mesures adaptées pour assurer la sécurité des données et veiller à ce que les prestataires, tels que les hébergeurs, garantissent la sécurité et la confidentialité des données confiées.

Si l’objectif est d’assurer la protection des données des utilisateurs des applications mobiles, à l’instar de la démarche adoptée en particulier pour le Web avec la loi pour la confiance dans l’économie numérique, l’objectif est également d’adopter des comportements et des conditions d’utilisation propices à instaurer et maintenir la confiance des utilisateurs, sans laquelle il sera difficile de pérenniser le succès des applications mobiles.

Aussi, à tous ceux qui souhaitent se lancer, il est recommandé de bien définir les données qu’ils souhaitent collecter afin d’identifier précisément les contraintes juridiques existantes et les développements que cela implique tout en définissant et rendant accessible la politique de protection des données de l’application.

Céline Avignon
Lexing Droit Marketing électronique

(1) Groupe Article 29, Avis 02/2013 du 27-2-2013 ; Cnil, Rubrique Actualité, Article du 9-4-2013.

L’« IP tracking » est une pratique consistant pour un site internet à « retenir le nombre de connexions d’un internaute [à son site] via la même adresse IP puis à faire monter artificiellement les prix d’un bien en fonction de l’intérêt démontré par plusieurs recherches similaires » (1).

Or, cette pratique de l’IP tracking soulève des problématiques en matière de protection des données à caractère personnel, mais également en matière de pratiques commerciales déloyales.

C’est pourquoi la Cnil et la DGCCRF ont mené une enquête conjointe sur le sujet et ont procédé au contrôle de plusieurs sites de sociétés françaises de e-commerce sur ces pratiques de modulation des prix de vente, notamment en matière de transport.

Les résultats de cette enquête « IP tracking » viennent d’être rendus publics et montrent que de nombreuses techniques de modulation des prix sont largement utilisées par les e-commerçants.

Ainsi, l’étude réalisée a permis d’observer que, sur certains sites de transports, les prix étaient modulés en fonction de la date d’achat du billet et du taux de remplissage (pratique dite de « Yield management » fondée sur le nombre de places offertes ou restant dans l’avion ou le train concerné). Sur d’autres sites, les frais de dossier étaient modulés en fonction de l’heure de la réservation (selon un système d’heures « pleines » et d’heures « creuses »). Toutefois, les résultats de l’étude montrent qu’aucune technique d’IP tracking n’était mise en œuvre en tant que telle sur les sites vérifiés pour la mise en œuvre de ces pratiques.

D’autres investigations ont été réalisées auprès de sociétés de vente à distance et de leurs prestataires techniques dans le domaine du marketing comportemental (sur les pratiques de « retargeting » ou encore de « real time bidding » notamment). Là encore, aucune utilisation de l’adresse IP de l’internaute afin de moduler les prix n’a été relevée.

Une pratique a toutefois été mise en évidence, visant à modifier le prix proposé en fonction du site internet précédemment consulté par l’internaute. Dans cette hypothèse, les résultats de l’enquête montrent qu’un internaute passé au préalable par un comparateur de prix par exemple peut se voir offrir un prix d’appel plus attractif, mais que celui-ci sera alors majoré de divers frais « opaques » qui, au final, rendront le prix total quasi-identique à celui pouvant être visualisé par un internaute qui ne serait pas passé par ce comparateur. S’il ne s’agit pas nécessairement d’IP tracking à proprement parler, cette pratique est tout de même actuellement en cours d’examen par la Cnil et la DGCCRF.

En tout état de cause, l’enquête sur la pratique de l’IP tracking ne devrait pas en rester là puisque la Commission des affaires juridiques du Parlement européen a demandé à la Commission européenne, le 27 novembre dernier, d’enquêter sur la fréquence de cette pratique qui, selon elle, « génère une concurrence déloyale et […] constitue un détournement des données personnelles des utilisateurs ». Les résultats de cette enquête « IP tracking » au niveau européen sont particulièrement attendus par les e-commerçants qui devront en tenir compte dans le cadre de leurs pratiques de modulation des prix online.

Céline Avignon
Mathilde Alzamora
Lexing Droit Marketing électronique

(1) D’après la définition donnée par la Commission des affaires juridiques du Parlement européen dans son avis à l’intention de la commission du marché intérieur et de la protection des consommateurs sur l’application de la directive 2005/29/CE relative aux pratiques commerciales déloyales, 27-11-2013.

La Cnil a infligé à Google Inc une amende de 150 000 euros pour plusieurs manquements à la loi Informatique et Libertés, notamment la non conformité de sa politique de confidentialité et la collecte déloyale de données personnelles (1).

Rappelons que le géant américain a décidé le 1er mars 2013 de fusionner toutes les différentes règles de confidentialité applicables à tous ses services. A la suite d’une analyse effectuée par le G29 (groupe des Cnil européennes) concluant que la politique de confidentialité n’était pas conforme au cadre européen, le G29 a émis plusieurs recommandations le 16 octobre 2012 pour que Google se mette en conformité avec la directive européenne 95/46. Ces recommandations sont restées sans réponse.

Lors de la séance plénière du G29 du 26 février 2013, il a été décidé d’instaurer un sous-groupe de travail composé de six autorités européennes, piloté par la Cnil, en charge de poursuivre les investigations contre Google Inc. A la suite de ces investigations, les échanges avec Google n’ont pas été estimés satisfaisants.

Le 17 avril 2013, la Cnil a précisé à Google Inc au nom des six autorités, que chacune d’elle mènera ses propres investigations selon ses procédures nationales et qu’il lui appartiendra de répondre à chaque correspondance qui lui est adressée. Le 20 juin 2013, la Cnil a mis en demeure Google Inc de modifier ses nouvelles règles de confidentialité (2).

Dans ce contexte, la formation restreinte de la Cnil a prononcé une sanction pécuniaire à l’encontre de Google Inc pour plusieurs manquements à la loi Informatique et Liberté :

•  La société n’informe pas suffisamment ses utilisateurs des conditions et finalités du traitement de leurs données personnelles. Ils ne sont pas en mesure d’exercer leurs droits ;
• Aucune durée de conservation n’est précisée dans la politique de confidentialité de l‘entreprise ;
• Enfin, elle interconnecte toute les données qu’elle collecte.

La Cnil considère également que Google se livre à une « collecte déloyale » d’informations d’utilisateurs n’ayant pas de compte Google et ignorant que les sites sur lesquels ils naviguent transmettent des informations.

La condamnation a été assortie de l’obligation de publier sous 8 jours, la décision sur la page d’accueil française de Google durant 48 heures afin de la faire connaître aux utilisateurs de ses services.

Google avait déposé un recours en référé devant le Conseil d’Etat mais a été débouté le 7 février 2014 (3). Le Conseil d’Etat a considéré que la publication ordonnée par la Cnil n’était pas de nature à créer pour Google un préjudice d’image et de réputation irréparable ni à nuire « à la poursuite même de son activité ou à ses intérêts financiers et patrimoniaux ».

Google a donc a été contraint d’afficher sur sa page d’accueil française sa condamnation par la Cnil à 150 000 euros pour sa politique de confidentialité des données personnelles, pour une durée de 48 heures, à compter du samedi 8 février.

Chloé Torres 
Lexing Droit Informatique et libertés

(1) Cnil, Délib. 2013-420  du 3-1-2014.

(2) Cf. Post du 9-10-2013.

(3) CE 7-2-2014, ordonnance n°374595.

La révolution numérique par Alain Bensoussan : la RAO, révolution assistée par ordinateur. Maître Alain Bensoussan met son savoir au service de la formation numérique. Il propose une formation « Informatique et libertés et son impact pour les entreprises en 2014 », disponible depuis le 5 Décembre 2013 sur T-BOOK, une innovation de CILEVEL PARTNERS.

T-BOOK : Autoformation à distance avec tutorat, accompagnement interactif et personnalisé par un formateur.
« T-Book est une application mobile dédiée à tout type de formation, elle permet d’avoir accès à des connaissances communes et partagées par des communautés-métiers selon les disponibilités et besoins de chacun. T-Book est un parcours de formation incluant le format blended, c’est à dire pour partie en présentiel et pour partie à distance, des vidéos pédagogiques, des tests de connaissances permettant de valider les acquis et un suivi post-formation. »

La Cnil a commenté cet été les résultats de l’audit effectué en mai dernier de 250 sites internet régulièrement fréquentés par les internautes français portant sur l’information délivrée aux internautes (1). Cet audit a été réalisé dans le cadre de l’« Internet Sweep Day », en français, la « Journée de balayage de l’internet », première opération internationale d’audit coordonnée des autorités membres du Global Privacy Enforcement Network (GPEN). Pour rappel, le GPEN a été créé en 2007 en vue de renforcer la protection de la vie privée dans un contexte mondial.

Au total, près de 19 autorités compétentes en matière de protection des données personnelles ont évalué 2180 sites Internet ou applications les plus visités.

Les résultats de cette enquête montrent l’insuffisance, voire parfois l’absence, d’une information claire des internautes sur les conditions de traitement de leurs données personnelles.

Ainsi, au niveau mondial, il a été constaté que plus de 20 % des sites Internet et applications mobiles audités (50 % pour les seules applications mobiles) ne délivrent aucune information à leurs visiteurs relative à la politique de protection des données personnelles. En outre, les mentions d’informations délivrées par les autres sites sont apparues incomplètes, peu accessibles et peu compréhensibles.

Du point de vue national, il a été constaté que moins de 10% des sites web audités ne fournissaient pas d’information sur leur politique de protection des données. Pour autant, lorsque qu’elle est fournie, cette information n’est ni facilement accessible (pour près de la moitié des sites et applications mobiles concernés), ni suffisamment claire et compréhensible (pour près d’un tiers des sites audités).

Le constat de la Cnil n’est toutefois pas entièrement négatif. En effet, de bonnes pratiques ont pu être constatées sur certains sites, notamment l’existence de questions/réponses (FAQ), l’organisation thématiques de l’information, ou encore l’indication de points de contacts en charge de répondre spécifiquement aux interrogations relatives à la protection des données personnelles.

Les constats effectués par la Cnil doivent encourager les éditeurs de sites internet et d’applications mobiles à s’assurer du niveau de conformité de leur politique d’information concernant la protection des données.

Céline Avignon
Raouf Saada
Lexing Droit Marketing électronique

(1) Cnil, Rubrique Actualité, article du 13-8-2013

L’édito de la Lettre juristendance Informatique et libertés est consacré au rapport d’information réalisé par la Commission des affaires européennes sur les enjeux de la révolution numérique en Europe. Ce rapport comporte trente propositions destinées à permettre à l’Union européenne d’appréhender les mutations et les enjeux induits par le web 3.0. la question de la protection des données personnelles va encore gagner en acuité avec le développement de l’internet des objets et la multiplication des données qui en résultera.

Le web 3.0 désigne les relations entre les hommes et les objets et vient fusionner avec les web 2.0 (relations des hommes entre eux) et 1.0 (relations des hommes à l’information).

Avec le web 3.0 le nombre de dispositifs connectés va encore s’accroître alors que leur taille les rend invisibles pour l’œil humain. La mobilité est une autre dimension de ce nouvel univers : de plus en plus de connexions se feront sans fil, les objets étant transportés en permanence par les personnes.

La Commission des affaires européennes juge primordial de mieux encadrer le transfert de données hors de l’Union européenne par une participation active à la gouvernance mondiale multiacteurs de l’internet. Elle préconise notamment de négocier un accord Union européenne / États-Unis garantissant aux citoyens européens une protection de leurs données personnelles requises par les autorités américaines conforme à la Charte européenne des droits fondamentaux (proposition n° 17 du rapport).

Ce numéro traite également des dernière recommandations relatives au Cloud computing formulées par la Cnil le 1er juillet 2013. L’autorité semble admettre la possibilité d’une responsabilité conjointe de traitement entre le client du service de Cloud computing et le prestataire du service.

Informatique et libertés N°52 Juill-août 2013

Céline Avignon, interrogée par Giulietta Gamberini pour latribune.fr, revient sur les aspects juridiques de l’IP tracking, une technique marketing permettant, grâce à une adresse IP, de retracer le parcours d’un internaute dans un double objectif d’analyse marketing et de relance commerciale. Si l’IP tracking, ou web tracking, est une technique utilisée par les sites de vente en ligne, est-ce pour autant une pratique commerciale légale ? C’est à cette question que se propose de répondre Céline Avignon.

Le Code de consommation pose le principe de l’interdiction de toute pratique commerciale déloyale susceptible d’altérer, de manière substantielle, le comportement économique du consommateur normalement informé et raisonnablement attentif et avisé. La pratique consistant à faire croire indûment à une diminution de la disponibilité d’un bien ou d’un service pourrait être considérée comme telle, voire s’apparenter à une pratique commerciale trompeuse.

L’adresse IP constituant par ailleurs une donnée à caractère personnel, il convient de faire application des dispositions de la loi Informatique et libertés. Si l’IP tracking est réalisé grâce à l’installation de cookies sur l’ordinateur du consommateur, l’article 32 II de la loi informatique et libertés impose, avec quelques exceptions très restreintes, d’informer préalablement l’internaute et d’obtenir son accord. Les éventuelles clauses d’information ou de consentement insérées dans les conditions d’accès au site ne suffiraient pas à remplir cette obligation légale.

L’arsenal juridique protecteur des droits des consommateurs ne s’applique toutefois que si le site web est destiné à un public français, ou si les données personnelles sont traitées sur le territoire national, ou encore si l’un des moyens de traitement des données est localisé en France. Dans la négative, ce dispositif ne s’appliquerait pas à l’IP tracking.

Céline Avignon pour LaTribune.fr, le 22 juillet 2013

Céline Avignon – IP tracking ou pistage de l’adresse IP. Rarement une pratique marketing aura soulevée autant d’intérêts. En atteste le buzz autour de celle-ci dans le milieu des nouvelles technologies et du marketing. Techniquement, l’IP tracking consiste à analyser le comportement d’un internaute grâce à son adresse IP et à le reconnaitre. Lorsque l’internaute revient sur le site, l’éditeur le reconnaît en temps réel grâce à un cookie qu’il a installé sur son équipement (ordinateur, tablette, portable) et l’affichage dynamique des prix serait modifié dans le but de déclencher plus rapidement l’achat.
Schématiquement, l’IP tracking fonctionne selon le schéma suivant :

Juridiquement, cette pratique pose la question de sa conformité au droit de la consommation et de la protection des données à caractère personnel.
La Présidente de la Cnil, Madame Falque-Pierrotin, saisie par l’euro députée Madame Françoise Castex (1), a d’ailleurs indiqué que la commission mènerait une enquête sur cette pratique en concertation avec la DGCCRF, sur la base de la convention de coopération conclue en 2011 pour la protection des données des consommateurs sur internet, instituant une collaboration étroite entre la Cnil et le CSCE (Centre de surveillance du commerce électronique).

Dans ce contexte, la Cnil a examiné cette pratique en séance plénière le 13 juin 2013. Elle a indiqué que si une telle pratique était avérée, elle poserait notamment la question de la loyauté de la collecte des données permettant de mettre en œuvre l’IP Tracking, dans la mesure où « cette pratique serait opérée à l’insu des personnes et sans qu’elles soient en mesure de connaitre, voire d’agir sur les mécanismes conduisant à moduler le tarif affiché » (2).

A cette occasion, la Commission a également précisé à l’issue de la séance précitée que « l’IP Tracking doit également être examiné sur le fondement des pratiques commerciales déloyales, régies par l’article L. 120-1 et suivants du Code de la consommation, qui visent les procédés  » qui altèrent, ou sont susceptibles d’altérer de manière substantielle, le comportement du consommateur normalement informé et raisonnablement attentif et avisé, à l’égard d’un bien ou d’un service  » ».

Dans le même temps l’assemblée nationale a rejeté deux amendements du projet de loi relatif à la consommation visant renforcer l’arsenal juridique pour lutter contre cette pratique, en considérant sans doute que les autorités disposaient déjà dans l’arsenal juridique existant de fondements juridiques pour condamner ce type de pratiques.

Dans ce contexte, la Cnil qui a indiqué ne pas avoir à ce jour d’éléments suffisants sur l’existence et les conditions de fonctionnement de l’IP Tracking en France, risque dans le cadre de l’enquête qu’elle mène avec la DGCCRF, d’effectuer des contrôles auprès des éditeurs de sites internet.

Compte tenu notamment des potentielles sanctions pénales encourues en cas de pratique avérée, il est fortement recommandé de réaliser un audit interne pour déterminer la conformité des pratiques s’appuyant sur la collecte de l’adresse IP et l’installation de cookies tant d’un point de vue du droit de la consommation que de la protection des données à caractère personnel.

En effet, il est notamment rappelé, au-delà de l’aspect potentiellement trompeur d’une telle pratique, que l’installation de cookies sur le terminal d’un consommateur est strictement encadré par l’article 32 II de la loi informatique et libertés qui impose pour les cookies autres que ceux ayant pour finalité de permettre ou faciliter la communication par voie électronique ou ceux strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur, l’information et le recueil de consentement préalable de l’internaute (3).

Lexing Droit Marketing électronique

(1) Question parlementaire du 29-1-2013 et réponse donnée par Mme Reding au nom de la Commission le 12-3-2013.
(2) Cnil, « IP Tracking : collaboration en cours entre la CNIL et la DGCCRF », article du 28-6-2013.
(3) Cf. notre article, « Le nouveau régime juridique des cookies : information et consentement« , Marketing Direct N°151 – 01/11/2011.

Céline Avignon – Quantified self, cet anglicisme lexical traduit une tendance majeure du marketing digital, la raison de ce succès : le fonctionnement même des services de quantified self qui est de permettre la collecte de données de plus en plus précises, pour mieux connaître le consommateur et mieux répondre à ses attentes.
Ce qui est nouveau c’est que le quantified self ne repose plus sur les déclarations des consommateurs mais sur des mesures, informations, collectées par des objets du quotidien (balance, montre, fourchette) connectés à internet.

En effet, la destinée du quantified self est intiment liée à l’internet des objets. Si pour le consommateur cela lui permet de mieux se connaître et d’avoir un retour personnel sur ses pratiques (sportives, alimentaires, médicales …), il n’en demeure pas moins que les entreprises proposant des services de quantified self liés à l’internet des objets disposent de pléthore de données à caractère personnel et l’essor de ces services créé des opportunités nouvelles de partage de données.

En effet, comme le souligne la Cnil dans ses premières recommandations « Une autre dimension importante est le partage et la valorisation de ces données au sein de communautés en ligne pour se comparer à d’autres, obtenir des conseils, des messages de soutien et d’encouragement » (1).

La quantité de données, les partages possibles, le stockage sur des serveurs sont d’autant d’éléments caractéristiques de l’internet des objets qui suscitent des craintes diverses et variées: le risque de faille de sécurité, le partage intensif de données par l’éditeur ou incontrôlé par la personne concernée notamment sur les réseaux sociaux.

Pour ces raisons, le succès du quantified self et de l’internet des objets passera nécessairement par une démarche visant à instaurer la confiance à l’instar de ce qui s’est passé avec le développement du Web 1.0. En effet, l’enjeu majeur pour les prestataires et producteurs dans un contexte où les consommateurs sont de plus attentifs et sensibles à la protection et à l’utilisation de leurs données, sera de donner aux utilisateurs la confiance nécessaire pour qu’ils utilisent sans crainte les produits et services de l’internet des objets.

Pour parvenir à cette fin les éditeurs devront adopter pour la conception de leur offre une démarche de privacy by design pour assurer « inside » la protection de la vie et des données à caractère personnel.

Ils devront également prendre au travers notamment d’une privacy policy des engagements forts en termes de protection des données tout en étant transparent et loyal dans l’information communiquée aux consommateurs. A cet égard, pour tout service lié à un objet connecté, l’éditeur du site ou de l’application support devrait intégrer en footer une privacy policy contenant au minimum des informations sur :

• les données
• les finalités
• les partages de données et communication à des tiers (conditions, finalités, etc.)
• les cookies
• la sécurité
• les droits des personnes
• les informations concernant les enfants.

Lexing Droit Marketing électronique

(1) Cnil, « Quantified Self : comment mieux se connaitre grâce à ses données », article du 26-11-2012.

Dans un communiqué de presse du 6 mai 2013, la Cnil a annoncé qu’elle effectuait, depuis ses bureaux, un audit des 250 plus importants sites internet.

Ces audits s’inscrivent dans le cadre de l’ « Internet Sweep Day », en français, la « Journée de balayage de l’internet » qui semble porter sur l’information des consommateurs sur le traitement de leurs données à caractère personnel.

Une vingtaine d’autorités mondiales équivalentes à la Cnil, membres du Global Privacy Enforcement Network (GPEN), vont auditer ce jour des sites internet. Il s’agit de la première action commune du GPEN. Pour rappel, le GPEN a été créé, en 2007, en vue de renforcer la protection de la vie privée dans un contexte mondial.

Les audits menés par la Cnil porteront sur l’information des internautes concernant :

• les données collectées ;
• la finalité de la collecte ;
• la communication des données à des tiers ;
• l’exercice du droit d’opposition.

La Cnil précise que ces audits pourront donner lieu à des missions de contrôle et à l’ouverture de procédures de sanction en cas de constatation de graves manquements à la loi Informatique et libertés. Elle annonce, par ailleurs, qu’un compte rendu sera prochainement publié.

Dans ce contexte, les éditeurs de sites auraient tout intérêt à procéder à ce même type d’audit afin de vérifier la conformité de leur site sur ces points.

Céline Avignon
Caroline Macé
Lexing Droit Marketing électronique

Céline Avignon – Le marketing connaissait le CRM, le social CRM voici le VRM. Sous cet acronyme qui signifie Vendor Relationship Management, est annoncé par les spécialistes un changement de paradigme dans le marketing. Le VRM consiste essentiellement à rééquilibrer la relation entre les vendeurs et les clients. Concrètement, le VRM cherche à rendre symétrique une relation jusqu’alors asymétrique.

L’objectif est de donner aux consommateurs des outils d’analyse de leurs propres données, similaires à ceux utilisés par les entreprises, pour leur permettre de les utiliser à leur profit tout en leur permettant de les communiquer selon leur volonté aux entreprises qu’ils désignent. Le VRM propose ainsi un bouleversement complet du schéma d’exploitation des données à caractère personnel en proposant aux consommateurs de reprendre le contrôle de leurs données à caractère personnel, en mettant à leur disposition des outils permettant de gérer leurs relations avec leurs fournisseurs/vendeurs. Selon la FING (1), les VRM se caractérisent notamment :

• par l’existence de personnal datastore ;
• par la captation par les consommateurs d’informations sur leurs relations avec leurs vendeurs/fournisseurs à l’instar du CRM pour les relations de l’entreprise avec ses clients ;
• par une utilisation et une exploitation par le consommateur pour son propre compte de ses données pour gérer ses budgets, comparer les prix ;
• par une exploitation active des données dans la relation des consommateurs avec ses fournisseurs/vendeurs.

Du point de vue des entreprises, les solutions VRM leur permettraient d’établir un dialogue avec les consommateurs afin, selon une expression, de David Searls co-auteur du “The cluetrain manifesto” de faire communiquer l’offre et la demande. Le VRM repose sur une relation tripartite. En effet, les outils sont proposés par des prestataires tiers qui les mettent à disposition des entreprises et de leurs clients. Dans ce cadre, ces prestataires apparaissent comme de véritables tiers de confiance. Les plates-formes ou prestataires de VRM ont et auront un rôle hautement stratégique, ils devront créer un lien de confiance avec les consommateurs. Véritables tiers de confiance, ils devront veiller à assurer la protection des données qui leur seront confiées. Ils devront être exemplaires dans la gestion de la protection des données et du respect de la loi informatique et libertés, car si l’objectif est le partage des données, celui-ci ne pourra être atteint sans confiance. Ils devront assurer la conformité informatique et libertés de leur solution dès la conception du projet (privacy by design) et définir très précisément leur politique de protection des données. Dans ce cadre, les problématiques suivantes devront être particulièrement traitées :

• transfert de données,
• partage de données,
• sécurité des données et traçabilité,
• confidentialité des données,
• authentification des utilisateurs.

Par ailleurs, en tant que responsable de leur plate-forme, les prestataires devront nécessairement prévoir les conditions et modalités de partage de données dans leurs conditions contractuelles. De ce point de vue, si le VRM fonctionne sur des principes de maîtrise, de transparence et de partage d’informations, il pose la question du fondement légal et des droits des individus sur leurs données. En effet, si les internautes parlent généralement de leurs données en employant un adjectif possessif (mes données, mon profil, mon adresse) et ainsi se reconnaissent un droit de propriété sur leurs données, la notion de propriété des données n’est pas reconnue en tant que telle par notre droit. La loi informatique et libertés qui reconnaît aux personnes dont les données sont collectées un certain nombre de droits comme le droit d’interrogation, d’accès, de rectification, de suppression, ne va pas jusqu’à affirmer le droit de propriété des données des personnes sur leurs données (2). Pourtant selon Alain Bensoussan (3), la reconnaissance du droit de propriété des données serait un moyen qui permettrait « d’organiser, par analogie aux biens moléculaires, leur protection, les modalités de détention et les échanges de toutes natures, sous réserve des règles d’ordre public » (4). Ce droit serait un « véritable droit de l’homme numérique ». En tout état de cause, les documents contractuels des plates-formes de VRM ne pourront faire l’impasse, ils devront et ce de manière très explicite définir et encadrer l’utilisation, l’exploitation, la mise à disposition. En d’autres termes, le consommateur devra pouvoir déterminer avant de donner son accord l’étendue, les destinataires, les finalités des données objet du partage. Lexing Droit Marketing électronique (1) Fondation Internet nouvelle génération : « Note en vue d’un projet d’expérimentation multi entreprises septembre ». (2) Vie privée 2020 : libertés, vie privée, données personnelles à l’horizon 2020… (3) Auteur de l’ouvrage « informatique et libertés », Editions Francis Lefebvre, 2e éd. 2010. (4) Alain Bensoussan, « Faut-il réguler la marchandisation des données personnelles sur internet ? », Le Figaro Blog Expert 30-1-2013.

Sommes-nous tous fichés sur Internet ? Maître Alain Bensoussan a participé au premier VebShow : Tous fichés sur Internet ? Un HangOut, près de deux heures de débat en ligne et en direct, organisé par Vinvin avec plusieurs internautes, tous les mardis à 18h.

Le meilleur du débat est diffusé le dimanche à 20h00 sur France 5 dans le Vinvinteur.

Pour débattre, Vinvin, l’animateur, était entouré de :

• Klaire fait Grr, blogueuse,
• Pascal Mabille, créateur web,
• Emmanuel Gadenne, auteur du « Quantified Self »,
• Alain Bensoussan, avocat et
• Jeremy Zimmerman, fondateur du mouvement « la Quadrature du Net »,

Plus deux internautes qui ont rejoint le débat :

• Frinnock Bo’Char,
• Estelle Flaud.

Face au développement des nouvelles technologies, la Cnil a souhaité créer, au sein de sa structure, un laboratoire afin de tester et d’expérimenter des produits et applications novatrices (analyses techniques, etc.).

La création de ce laboratoire permet ainsi de renforcer la mission de conseil de la Cnil auprès des entreprises en matière de protection des données personnelles.

De plus, la direction des études, de l’innovation et de la prospective (DEIP) a été créé en janvier 2011 afin de contribuer à l’identification et à l’analyse des usages innovants des technologies. Deux grandes études prospectives sur les smartphones et la vie privée ont été menées par la DEIP pour l’année 2011.

Le bilan de ces études a révélé l’existence de 19 millions de mobinautes en France dont 48% utilisent leur smartphone pour accéder à un réseau social. 74% des personnes interrogées utilisent leur smartphone avant tout à titre personnel.

Les problématiques relatives à la protection des données et de la vie privée sont évidentes puisque 30% des personnes déclarent n’avoir aucun code de protection pour verrouiller l’accès à leur smartphone.

En outre, ces études mettent clairement en évidence la méconnaissance des utilisateurs du traitement réservé à leurs données personnelles par les opérateurs et éditeurs d’application. Cette ignorance est notamment due à des conditions d’utilisation peu lisibles et au manque de transparence des acteurs dans ce domaine.

Au regard des résultats de ces études, la Cnil a élaboré un plan d’action pour l’année 2012 et souhaite ainsi s’engager dans une démarche de développement d’outils et de projets afin de mieux étudier « l’économie cachée des données personnelles » sur smartphone via son laboratoire.

La Commission souhaite ainsi recenser les bonnes pratiques des acteurs en termes d’information et de maîtrise des données personnelles par les utilisateurs et prendre en compte la priorité relative à « l’écosystème des smartphones » dans le cadre du programme de contrôle annuel de la Cnil.

32e rapport d’activité 2011

Du bon usage des cookies : statistiques de fréquentation et respect du consentement.

La directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, modifiée en 2009 par la directive 2009/136/CE (1), subordonne dans son article 5, le stockage d’informations ou l’accès à des informations déjà stockées dans l’équipement terminal d’un abonné ou d’un utilisateur au consentement de l’utilisateur.

La France a transposé ces dispositions par une ordonnance d’août 2011 (2).

L’adoption de ces dispositions au niveau européen a fait l’objet de longs débats. Ces débats se sont et continuent de se poursuivre au niveau national, en raison des incidences et des contraintes que ces dispositions imposent aux acteurs de l’internet et du risque qu’elles créent pour le développement de l’économie numérique. En effet, les professionnels redoutent que la mise en œuvre de ces dispositions nuise fortement à l’activité numérique.

Les professionnels, membres de l’UFMD, et certains de leurs partenaires, viennent de gagner une première bataille : celle des cookies d’analyse et de statistiques de la fréquentation de sites.

En effet, la Cnil, 15 jours après la publication de ce guide, a modifié sa communication de novembre 2011 sur les cookies pour préciser sa position concernant les cookies d’analyse et de statistiques de fréquentation des sites internet.

En effet, si une interprétation stricte de l’article 32 II de la loi Informatique et libertés plaide en faveur d’une application de l’obligation de recueil du consentement pour les cookies d’analyse et de statistiques de fréquentation des sites internet, confirmée d’ailleurs par les premières analyses effectuées par la Cnil, il apparaît que cette dernière semble adopter une position équilibrée, conciliant la protection de la vie privée des utilisateurs et le recours quasi systématique de ce type d’outils sur internet.

Dans sa fiche pratique, mise à jour le 28 avril 2012, intitulée « Ce que le « Paquet Télécom » change pour les cookies », la Cnil, en raison de la finalité de ces cookies et du risque limité qu’ils font encourir à la vie privée, a fait part de sa position « de considérer que ces cookies pouvaient être mis en œuvre sans avoir reçu le consentement préalable des personnes concernées ».

Cependant, elle soumet cette exemption à certaines conditions particulières en termes d’information, de droit d’accès, de droit d’opposition, de finalité et de durée de conservation. Concernant l’adresse IP, la Cnil précise en outre que « l’utilisation de l’adresse IP pour géolocaliser l’internaute ne doit pas être plus précise que l’échelle de la ville ». Elle doit également être supprimée ou anonymisée, « une fois la géolocalisation effectuée, pour éviter toute autre utilisation de cette donnée personnelle ou tout recoupement avec d’autres informations personnelles ».

Si cette position peut laisser songeur le juriste, en revanche le professionnel de l’internet ne peut que se féliciter de cette position de la Cnil, qui crée un équilibre entre les intérêts en présence.

Cependant, il conviendra de surveiller la position du groupe de l’article 29 et des tribunaux, comme l’y invite la Cnil. Affaire à suivre donc…

Céline Avignon

(1) Directive 2009/136/CE du 25-11-2009
(2) Ordonnance n° 2011-1012 du 24-8-2011

Le ministère de l’éducation nationale a créé le traitement automatisé de données à caractère personnel appelé « Téléservice-absences » qui permet aux parents de collégiens et lycéens, ainsi qu’aux élèves eux-mêmes, de contrôler par internet leurs absences au sein de l’établissement scolaire du second degré dans lequel ils sont inscrits.

Ce traitement de données, qui est entièrement facultatif, permet aux élèves de collège et lycée, ainsi qu’à leurs responsables légaux, de consulter grâce à internet les absences considérées comme légitimes. Il concerne notamment les absences dues à des cas de maladie de l’enfant, de maladie transmissible ou contagieuse d’un des membres de la famille de l’élève ou encore à une réunion solennelle de la famille… Téléservice-absences n’a en effet pas pour objectif de lutter contre l’absentéisme scolaire.

Ce traitement de données porte sur les nom et prénom, les identifiants et les mots de passe choisis par les élèves et leurs responsables légaux, ainsi que sur la classe et le nombre de demi-journées d’absence légitime des collégiens et lycéens.

Les destinataires du traitement sont les élèves, leurs responsables légaux, les enseignants et le chef d’établissement. Un droit d’accès et de rectification est prévu, qui s’exerce auprès du chef d’établissement. Les données collectées ne pourront être conservées que pendant une durée d’un an.

Arrêté du 19-1-2012
Cnil, Délibération n° 2011-398 du 8-12-2011

La Cnil a sanctionné une société proposant un service d’annuaire sur internet permettant d’ajouter aux résultats obtenus sur une personne déterminée les données personnelles collectées sur des réseaux sociaux.

Le but poursuivi est que les profils des personnes portant le même patronyme s’affichent au surplus des coordonnées référencées dans l’annuaire.

Saisie par des plaintes de particuliers ayant souhaité exercer leur droit d’opposition, le président de la Cnil a ordonné une mission de contrôle sur place ayant donné lieu à la désignation d’un rapporteur afin d’engager, à l’encontre de la société, une procédure de sanction.

Les profils publics sur les réseaux sociaux

Dans sa délibération, la formation restreinte de la Cnil retient, tout d’abord, qu’en se livrant à un recueil massif, répétitif et indifférencié de données sur des profils personnels affichés sur internet sans en avoir préalablement informé les personnes, la société procédait à une collecte ne répondant pas à la condition de loyauté posée par la loi Informatique et libertés, et contrevenait à l’obligation d’information des personnes concernées.

Elle ajoute également que la pratique consistant à extraire des données de son annuaire, aux fins de filtrage des informations recueillies sur les réseaux sociaux, pour s’assurer que les données recueillies correspondent à des adresses de personnes résidant en France, constitue un détournement de la finalité de l’annuaire, et est comme tel illicite.

Les manquement reprochés

Enfin, la formation restreinte retient, à l’encontre de la société proposant ses services d’annuaire en ligne, plusieurs autres manquements aux dispositions relatives à la protection des données à caractère personnel, tels que :

• le non-respect de l’obligation de mise à jour des données, les demandes de modification ou de rectification adressées aux réseaux sociaux n’ayant pas été prises en compte par la société d’annuaire dans des délais satisfaisants ;
• le non-respect des droits des personnes concernées, notamment de leur droit d’opposition et de rectification, considérant que les procédures instaurées pour que les personnes puissent faire valoir leurs droits n’étaient pas conformes aux dispositions applicables ;
• le non-respect de l’obligation de veiller à l’adéquation, à la pertinence et au caractère non excessif des données traitées du fait de la collecte des adresses IP associées aux contenus, date et heure des requêtes effectuées sur le portail.

La formation restreinte a alors prononcée à l’encontre de la société concernée un avertissement qu’elle a décidé de rendre public. Cette délibération est susceptible d’un recours de plein contentieux devant le Conseil d’Etat dans un délai de deux mois à compter de sa notification au responsable du traitement.

Cnil, délibération n° 2011-203 du 21-9-2011

Le portail Yahoo! a décidé de conserver ses fichiers journaux plus longtemps pour mieux vous servir… C’est ainsi qu’il présente l’allongement de la durée de rétention des données collectées de 3 à 18 mois. S’agit-il d’une réelle « avancée » ? On peut en douter, car il faut savoir que c’est grâce aux données générées par les multiples requêtes des internautes que les moteurs de recherche disposent d’une connaissance approfondie de leurs utilisateurs et créent ainsi des profils d’internautes exploitables par les régies publicitaires.

Alain Bensoussan pour Micro Hebdo, le 5 mai 2011

Le portail Yahoo souhaite conserver ses fichiers journaux plus longtemps, afin « d’offrir aux consommateurs une expérience encore plus personnalisée tout en continuant à proposer des innovations en matière de transparence et de protection de la vie privée ». C’est ainsi qu’il présente l’allongement de la durée de rétention des données collectées de 3 à 18 mois.

C’est grâce aux données générées par les multiples requêtes des internautes que les moteurs de recherche disposent d’une connaissance approfondie de leurs utilisateurs et créent ainsi des profils d’internautes exploitables par les régies publicitaires. Microsoft efface les données personnelles au bout de 6 mois, conformément à un avis qui fut donnée par le Groupe de l’article 29 (instance regroupant l’ensemble des Cnil européennes). Pour sa part, Google anonymise les données au bout de 9 mois, mais n’efface les logs qu’au bout de 18 mois.

De son côté, la Cnil rappelle tout d’abord que le meilleur moyen pour faire disparaître ces traces est de contacter le webmaster du site où elles apparaissent. Elle a publié sur son site début avril, une fiche pratique dans laquelle sont recensés tous les conseils pour faire disparaitre du web les informations indexées par les moteurs de recherche. Le premier des conseils vise à demander au webmaster la suppression de données personnelles mises en ligne. Ses coordonnées se trouvent généralement dans les « Mentions Légales », à la rubrique « Contact » ou dans les Conditions d’Utilisation du site. Pour faciliter cette démarche, la Cnil propose un modèle de courrier dans lequel sont succinctement rappelées les obligations légales. Si ce courrier reste sans réponse au bout de deux mois, il suffit alors d’adresser à la Cnil une plainte en ligne. Techniquement, l’effacement de traces n’est pas une opération compliquée depuis que Google a mis à la disposition des webmestres une procédure de désindexation volontaire leur permettant de demander la suppression du lien et du cache des pages supprimées (« Centre pour les Webmasters » de Google (www.google.com), mots clés « Supprimer une page ou un site des résultats de recherche Google ».

Or, ce que propose Yahoo va à l’encontre du « droit à l’oubli ». Au lieu de conserver les journaux de recherches brutes ou tout autre fichier journal pendant 90 jours, Yahoo va conserver ces journaux pendant 18 mois, soit 540 jours. Le moteur de recherche compte lancer dans les prochaines semaines, une campagne d’information à destination de ses utilisateurs, pour les informer de ce qu’elle considère comme une « avancée ». Or, une telle visée malmène en réalité le « droit à l’oubli ». Rappelons qu’un projet de loi est en cours visant à mieux garantir « le droit à la vie privée à l’heure du numérique ». Ce texte prévoit de modifier la loi Informatique et libertés et de créer un droit à l’oubli numérique. Il prévoit l’obligation de fournir aux internautes une information claire, accessible et spécifique sur la durée de conservation de leurs données personnelles et l’exercice plus facile du droit à la suppression des données.

Vie réelle, vie virtuelle. Alick Mouriesse, Président de SUPINFO International University a interviewé Maître Alain Bensoussan dans le cadre du rendez-vous des experts organisé par Supinfo University, le 12 avril 2011.

Le 17 mars dernier, la Cnil a prononcé à l’encontre de la société Google Inc une sanction pécuniaire de 100.000 euros, assortie de la publication de la décision sur le site internet de la Cnil et de Légifrance. Afin de compléter son service de géolocalisation « Street View », la société Google Inc avait déployé sur le territoire français des véhicules chargés de photographier et filmer rues et bâtiments. Dans le cadre de cette activité, Google a enregistré non seulement des photographies, mais aussi des données transitant par les réseaux Wi-Fi de particuliers, et ce, sans l’accord préalable des personnes concernées.

Informée de ce fait en mai dernier, la Cnil avait alors adressé une mise en demeure à Google l’enjoignant de lui communiquer toutes les données recueillies en France par les véhicules « Street View » à partir des bornes Wi-Fi et de « régulariser sa situation ».

Dans sa délibération du 17 mars, la formation contentieuse de la Cnil estime, en outre, que les réponses apportées par la société Google à la suite de la mise en demeure sont insuffisantes, celle-ci ne lui ayant toujours pas fourni les éléments du programme informatique ayant conduit à la collecte des données Wi-Fi, contrairement à sa demande en ce sens.

Cnil, Délib. 2011-035 du 17-3-2011

Cnil, Communiqué du 21-3-2011

Alain Bensoussan, Micro Hebdo, 7 avril 2011

Un communiqué de la Cnil du 16 décembre 2010 précise que la Commission dispose désormais d’un profil sur les réseaux participatifs Viadeo et LinkedIn, après avoir ouvert un compte sur Facebook et Twitter. La Commission entend ainsi « informer les membres de ces réseaux professionnels sur le métier de correspondant informatique et libertés (Cil) et l’intérêt qu’il représente pour les entreprises et les administrations ».

Cnil, Communiqué du 16 décembre 2010

Dans un article publié sur son site, la Cnil a constaté l’augmentation du phénomène de « Cyberbullying » ou harcèlement virtuel qui consiste en la création d’espaces de discussion sur Facebook ou sur des blogs afin d’y insulter, humilier ou menacer une personne. De manière générale, la Cnil considère que tout ce qui est préjudiciable à l’identité numérique d’une personne (piratage d’un profil Facebook ou réception massive de sollicitations commerciales) est également considéré comme du harcèlement virtuel.

Communiqué du 02 11 2010

La Cnil a publié, le 26 mars 2009, un rapport du 5 février 2009 sur la publicité ciblée en ligne. Dans ce rapport, la Cnil rappelle que les systèmes de publicité en ligne mis en place par les acteurs de l’Internet sont soumis aux dispositions relatives à la protection des données à caractère personnel, dans la mesure où les données traitées peuvent être rattachées à un individu identifié ou identifiable.

Elle rappelle ainsi la nécessité de l’information des internautes, voire du consentement préalable de ces derniers, le cas échéant (le G29 recommande d’ailleurs que l’enrichissement des profils utilisateurs à l’aide de données qui ne proviennent pas des utilisateurs eux-mêmes soit soumis à leur consentement), et préconise la mise en place de moyens permettant de s’opposer à la publicité ciblée.

La Cnil encourage également la mise en place de codes de bonne conduite et propose de développer sur son site des outils pédagogiques sous la forme de conseils pratiques aux internautes. Elle recommande enfin la création d’une procédure de labellisation des sites assurant un bon niveau de protection des données à caractère personnel ou encore la mise en œuvre de standards permettant de distinguer les cookies de traçage publicitaire des autres cookies.

Cnil, Rapport du 5-2-2009

Informatique et libertés

Secteur internet

Règles applicables aux réseaux sociaux : le G29 se prononce

Afin de préciser et d’harmoniser les règles européennes, le G29 (groupe des CNIL européennes) a adopté un avis sur les réseaux sociaux sur internet. Cet avis vise également à renforcer, par les recommandations énoncées, la protection des données à caractère personnelles collectées auprès des internautes. Une réponse des principaux réseaux sociaux est préconisée par le G29, qui pourrait procéder à leur audition en fin d’année.

Avis du G29 sur les réseaux sociaux