Les sanctions Cnil après la loi pour une République numérique

Les sanctions Cnil après la loi pour une République numériqueLa loi pour une République numérique modifie la loi Informatique et libertés concernant les sanctions de la Cnil. La loi pour une République numérique du 7 octobre 2016 (1) modifie la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, notamment quant à la question des sanctions que la Cnil peut prononcer et la procédure qu’elle doit suivre, le cas échéant. D’une manière générale, il ressort de l’examen de ces nouvelles dispositions que la Cnil a vu ses pouvoirs de sanction renforcés.

Lorsque le responsable du traitement ne respecte pas les obligations découlant de la réglementation relative à la protection des données à caractère personnel, le président de la Cnil peut le mettre en demeure de faire cesser le manquement en question dans un délai qu’il fixe, qui peut, en cas d’extrême urgence, être de 24 heures (2). Là réside une première modification opérée par la loi pour une République numérique, puisque le délai d’extrême urgence s’élevait auparavant à 5 jours.

La Cnil, dans sa délibération portant avis sur le projet de loi qui préconisait déjà ce délai de 24 heures se félicite de cette modification, considérant « que le délai de cinq jours ne peut plus être considéré comme pertinent au regard de l’immédiateté des conséquences pour les personnes des manquements (…)» (3).

Si le responsable du traitement se conforme à la mise en demeure, le président de la Commission prononce la clôture de la procédure. Dans le cas contraire, la formation restreinte de la Cnil peut prononcer, après une procédure contradictoire, différentes sanctions : un avertissement, une sanction pécuniaire (à l’exception des cas où le traitement est mis en œuvre par l’Etat), une injonction de cesser le traitement, quand ce dernier fait partie de ceux nécessitant une simple déclaration ou un retrait de l’autorisation accordée dans les cas où celle-ci est prescrite.

Si la mise en conformité, dans le cadre d’une mise en demeure, est impossible –c’est-à-dire que le responsable du traitement ne pourra pas, dans tous les cas, rendre sa situation conforme aux prescriptions légales- la formation restreinte peut prononcer toutes ces sanctions directement et sans mesure préalable, id est sans passer par le pouvoir propre du président de mettre en demeure. En effet cette mise en demeure, qui ne peut qu’échouer, est inutile.

Auparavant, la formation restreinte ne pouvait, hors procédure de mise en demeure, ne prononcer qu’un avertissement. La loi pour une République numérique permet ainsi une meilleure réactivité et efficacité de la procédure de sanction, grâce à une nouvelle distribution des rôles entre organes compétents.

Par ailleurs, elle renforce le rôle de dissuasion des pouvoirs de la Cnil, puisque les montants maximum des sanctions pécuniaires, sur le fondement de l’article 45 I 2° de la loi du 6 janvier 1978, ont été significativement revus à la hausse. En effet, l’amende peut désormais s’élever jusqu’à 3 millions d’euros (4), ce qui représente une multiplication par dix du plafond antérieur (5).

Les critères d’appréciation pouvant être pris en compte pour évaluer le montant de cette amende, qui doit être« proportionné à la gravité du manquement commis et aux avantages tirés de ce manquement » ont, en outre, été détaillé pour permettre à la Cnil de prononcer une sanction plus juste et éclairée.

La formation restreinte prend ainsi notamment en compte le caractère intentionnel ou de négligence du manquement, les mesures prises par le responsable du traitement pour atténuer les dommages subis par les personnes concernées, le degré de coopération avec la commission afin de remédier au manquement et d’atténuer ses effets négatifs éventuels, les catégories de données à caractère personnel concernées et la manière dont le manquement a été porté à la connaissance de la commission.

Ces nouvelles règles restent cependant très en-deçà de ce que prévoit le nouveau règlement européen sur la protection des données à caractère personnel du 27 avril 2016, qui entrera en vigueur le 25 mai 2018. A titre d’exemple, ce dernier prévoit que les amendes administratives peuvent s’élever jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4% du chiffre d’affaires annuels mondial total de l’exercice précédent, le montant le plus élevé étant retenu (6).

Des difficultés d’articulation entre la loi et le règlement pourraient apparaître et certains déplorent que les nouveaux montants français ne soient toujours pas assez dissuasifs puisqu’il resterait, par exemple pour les multinationales, plus facile de s’acquitter de l’amende plutôt que d’appliquer la réglementation. Affaire à suivre.

Des modifications sont aussi apportées par la loi pour une République numérique dans les cas où la mise en œuvre d’un traitement ou l’exploitation des données traitées entraîne une violation des droits et libertés mentionnés à l’article premier (soit l’identité humaine, les droits de l’homme, la vie privée et les libertés individuelles ou publiques), visés à l’article 45 II de la loi de 1978.

La formation restreinte peut, si elle constate cette violation, dans le cadre d’une procédure d’urgence définie par décret en Conseil d’Etat (7) et après une procédure contradictoire, prononcer différentes sanctions.

Elle doit pour cela être saisie par le président de la Cnil alors qu’elle avait auparavant la charge d’engager la procédure d’urgence.

La version finale de la loi a ainsi tenu compte de l’avis de la Cnil du 19 novembre 2015 relatif au projet de la loi pour une République numérique, qui ne prévoyait pas cette saisine de la formation restreinte par le président. La Cnil l’avait recommandé notamment pour prendre en compte le principe de séparation des fonctions d’instruction et de jugement.

Les sanctions de ce type de violation demeurent, elles, inchangées et sont les suivantes : la Cnil peut prononcer un avertissement. Elle peut, en outre, décider de l’interruption du traitement ou du verrouillage de certaines des données à caractère personnel traitées, pour une durée maximale de trois mois (sauf pour certains traitements spécifiques qui, au regard de leur contenu, ont dû être autorisés par arrêté ministériel, décret en Conseil d’Etat ou décision d’un établissement public ou d’une personne morale de droit privé gérant un service public chargé de l’organisation du traitement, pris après avis motivé et publié de la Cnil (8)).

S’il s’agit de ces traitements spécifiques, la Cnil peut informer le Premier ministre pour qu’il prenne, le cas échéant, les mesures permettant de faire cesser la violation.

La loi pour une République numérique ne modifie pas, par ailleurs, la possibilité pour le président de la Cnil de demander, par la voie du référé, à la juridiction compétente d’ordonner, le cas échéant sous astreinte, toute mesure nécessaire à la sauvegarde des droits et libertés mentionnés à l’article 1premier en cas d’atteinte grave à ces derniers (9), pas plus qu’elle ne modifie les règles de compétence dans le cadre desquels la Cnil peut prononcer toutes les sanctions vues précédemment (ces pouvoirs peuvent être exercés à l’égard des traitements dont les opérations sont mises en œuvre, en tout ou partie, sur le territoire national, y compris lorsque le responsable du traitement est établi sur le territoire d’une autre Etat membre de l’Union européenne (10)).

Ces sanctions peuvent toujours être prises par la Cnil à la demande d’une autorité exerçant des compétences analogues aux siennes dans un autre Etat membre de l’Union européenne, sauf pour certains traitements spécifiques (11).

Pour finir, la loi pour une République numérique modifie l’article 46 de la loi de 1978 relativement à la publicité des sanctions prononcées par la Cnil. En effet, la formation restreinte peut désormais ordonner que les personnes sanctionnées informent individuellement de cette sanction, à leur frais, chacune des personnes concernées.

Cela complète le dispositif déjà existant, permettant à la formation restreinte de rendre publiques les sanctions qu’elle prononce, d’ordonner leur insertion dans des publications, journaux et supports qu’elle désigne aux frais des personnes sanctionnées. Le président peut, également, demander au bureau de rendre publique la mise en demeure ou sa clôture. Une publicité efficace des décisions de la Cnil ne peut que renforcer le rôle dissuasif de ses pouvoirs de sanction, faisant craindre aux entreprises –outre des mesures correctives ou pécuniaires- une atteinte à leur réputation.

En ce qui concerne le reste de l’article 46, les détails de procédure (rapport, rôle du rapporteur, personnes pouvant être entendus par la Cnil, décisions motivées et notifiées au responsable susceptibles de recours en pleine juridiction devant le Conseil d’Etat) restent inchangés.

Virginie Bensoussan-Brulé
Lexing Contentieux numérique

(1) Loi 2016-1321 pour une République numérique du 7-10-2016
(2) Loi 78-17 du 6-1-1978, nouvel art. 45 I
(3) Cnil, Délibération 2015-414 du 9-11-2016
(4) Loi 78-17 du 6-1-1978, art. 47
(5) L’ancien article 47 de la loi du 6 janvier 1978 disposait que, lors du premier manquement, le montant de la sanction pécuniaire ne pouvait excéder 150 000 euros. En cas de manquement réitéré dans les cinq ans à compter de la date à laquelle la sanction pécuniaire précédemment prononcée était devenue définitive, il ne pouvait excéder 300 000 euros ou, s’agissant d’une entreprise, 5% du chiffre d’affaire hors taxes du dernier exercice clos dans la limite de 300 000 euros.
(6) Règlement (UE) 2016/679 du 27-4-2016, art. 83
(7) Décret 2005-1309 du 20-10-2005, art. 79 et s.
(8) Traitements mentionnés aux I et II de l’article 26 et à l’article 27 de la loi du 6 janvier 1978
(9) Loi 78-17 du 6-1-1978, art. 45 III
(10) Loi 78-17 du 6-1-1978, art. 48
(11) Loi 78-17 du 6-1-1978, art. 49




Panorama des avertissements Cnil depuis le 1er janvier 2008

Panorama des avertissements Cnil depuis le 1er janvier 2012Depuis le 1er janvier 2008, la Cnil a prononcé 22 avertissements à l’encontre d’entreprises responsables de traitements.

La Cnil peut, selon l’article 45 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, prononcer des avertissements à l’égard des responsables de traitements qui ne respectent pas les obligations découlant de la réglementation Informatique et libertés.

Ces avertissements, rendus publics et souvent relayés par les médias, tirent leur force dissuasive de l’impact qu’ils ont sur la réputation des entreprises concernées.

Rappelons que la Cnil est compétente pour prononcer cette sanction à l’égard des traitements dont les opérations sont mises en œuvre, en tout ou partie, sur le territoire national, y compris lorsque le responsable du traitement est établi sur le territoire d’un autre Etat membre de l’Union européenne (1).

On trouve les délibérations en question sur le site de la Cnil et sur Légifrance : dans leurs motifs sont indiquées la ou les obligations dont le manquement justifie la sanction.

C’est l’obligation de sécurité et de confidentialité, prescrite par l’article 34 de la loi du 6 janvier 1978, qui fait le plus l’objet de manquements ayant justifié depuis 2008 des avertissements de la part de la Cnil.

n en répertorie en effet près de quatorze, dont les détails varient : il peut s’agir, par exemple, de l’absence de règle de sécurité formalisée par écrit ou de l’échec d’assurer la sécurité et la confidentialité des données lorsque ces dernières sont gérées par un sous-traitant. Des failles de sécurité rendant des données, parfois « identifiantes », accessibles sont également rapportées, ainsi que des manquements sur le traitement de vote électronique.

C’est aussi à l’égard du contenu des données traitées que les entreprises en cause sont le plus souvent sanctionnées. On relève, dans les délibérations de la Cnil, douze manquements aux règles relatives au contenu des données (notamment l’obligation de traiter des données exactes et mises à jour), dont trois qui concernent des données sensibles (comme les données de santé ou les incidents de paiement) et relatives aux infractions (2).

Viennent ensuite les manquements à l’obligation de définir et de respecter une durée de conservation proportionnée à la finalité des traitements (3), retrouvé sept fois, les manquements à l’obligation de déterminer des finalités explicites et légitimes et de s’y tenir (4), et à l’obligation d’information des personnes concernées (5), cités cinq fois chacun.

On retrouve quatre manquements caractérisés ayant justifié un avertissement à l’obligation de collecter les données de manière loyale et licite (notamment sur les réseaux sociaux) (6), puis trois manquements aux règles édictant les formalités préalables à la mise en œuvre d’un traitement (7), aux règles relatives au consentement des personnes concernées, et aux droit des personnes (non-respect du droit d’opposition notamment) (8).

Enfin, des défauts de coopération avec la Cnil ou des atteintes à la vie privée et aux libertés individuelles ont pu être constatés.

Le nombre de plaintes reçues, le nombre de personnes concernées, la sensibilité des données en cause et la gravité des atteintes ayant résulté des manquements sont autant de critères ayant contribué au prononcé de ces sanctions.

On observe, pour finir, que les avertissements adressés par la Cnil le sont, la plupart du temps, pour répondre à des violations diverses de la réglementation Informatique et libertés par la même entreprise au cours de la même opération de traitement.

Ainsi, sur les vingt-deux avertissements, quinze ont été prononcés sur le fondement de plusieurs manquements, alors que sept seulement l’ont été pour un manquement unique, la moyenne étant de 2,8 manquements par délibération. Ceci montre que, dans près de deux avertissements sur trois, c’est la pratique générale des entreprises qui est à revoir.

Virginie Bensoussan-Brulé
Lexing Contentieux numérique

(1) Loi 78-17 du 6-1-1978, art. 48
(2) Loi 78-17 du 6-1-1978, art. 8
(3) Loi 78-17 du 6-1-1978, art. 6 5°
(4) Loi 78-17 du 6-1-1978, art. 6 2°
(5) Loi 78-17 du 6-1-1978, art. 32
(6) Loi 78-17 du 6-1-1978, art. 6 1°
(7) Loi 78-17 du 6-1-1978, art. 22 et s.
(8) Loi 78-17 du 6-1-1978, art. 38 et s.




Panorama des infractions Informatique et libertés en France

Panorama des infractions Informatique et libertés en FranceLa réglementation Informatique et libertés prévoit des infractions pénales pour non-respect de certaines obligations.

C’est d’abord dans la loi du 6 janvier 1978 que se trouvent des infractions Informatique et libertés puisque son chapitre VIII s’intitule « Dispositions pénales ».

Est ainsi puni d’un an d’emprisonnement et de 150 000 euros d’amende le fait d’entraver l’action de la Cnil et ce, en s’opposant à l’exercice des missions confiées à ses membres ou aux agents habilités, en refusant de leur communiquer, en dissimulant ou en faisant disparaître les renseignements et documents utiles à leur mission, ou en communiquant des informations qui ne sont pas conformes au contenu des enregistrements tels qu’ils étaient au moment de la demande ou qui ne présentent pas ce contenu sous une forme directement accessible (1).

L’article 50 de cette même loi renvoie à la partie législative du code pénal pour un panorama plus complet des infractions Informatique et liberté, contenues dans une section 5, « Des atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques », regroupant les articles 226-16 à 226-24.

Toutes ces infractions sont punies de 5 ans d’emprisonnement et de 300 000 euros d’amende pour les personnes physiques. Quant aux personnes morales, elles encourent 1,5 millions euros d’amende (2), ainsi qu’une interdiction d’exercer (à titre définitif ou pour une durée maximale de 5 ans), l’exclusion des marchés publics (à titre définitif ou pour une durée maximale de 5 ans), l’interdiction d’émettre des chèques ou d’utiliser des cartes de paiement (pour une durée maximale de 5 ans) et l’affichage de la décision prononcée ou la diffusion de celle-ci (3).

Ces infractions répondent à des matérialités diverses, dont notamment :

  • la mise en œuvre de traitements sans respecter les formalités légales préalables ou de traitements ayant fait l’objet d’une injonction de cesser ou d’un retrait d’autorisation, ces deux premières infractions étant caractérisées y compris en cas de simple négligence. L’effacement de tout ou partie des données faisant l’objet du traitement ayant donné lieu à l’infraction peut alors être ordonné (4) ;
  • le non-respect des normes simplifiées ou d’exonération établies par la Cnil pour les traitements ne nécessitant, selon la loi de 1978, qu’une simple déclaration (5) ;
  • la mise en œuvre, hors les cas où la loi de 1978 l’autorise, de traitements incluant parmi les données en cause le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques (6) ;
  • la mise en œuvre de traitements sans avoir pris les mesures utiles pour préserver la sécurité des données (7) ;
  • le fait, pour un fournisseur de services de communications électroniques, de ne pas procéder à la notification d’une violation de données à caractère personnel à la Cnil ou à l’intéressé (8) ;
  • le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite (9) ;
  • le fait de procéder à des traitements concernant une personne physique malgré son opposition, lorsque ce traitement répond à des fins de prospections, notamment commerciale, ou lorsque cette opposition est fondée sur des motifs légitimes (10) ;
  • hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée, sans consentement exprès, des données à caractère personnel qui, directement ou indirectement, font apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, ou les appartenances syndicales des personnes, ou qui sont relatives à la santé ou à l’orientation sexuelle ou à l’identité de genre de celles-ci. Est également réprimé ainsi le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée des données à caractère personnel concernant des infractions, des condamnations ou des mesures de sûreté (11). Ces restrictions sont applicables aux traitements non automatisés de données à caractère personnel dont la mise en œuvre ne se limite pas à l’exercice d’activités exclusivement personnelles (12) ;
  • la conservation et le traitement de données à caractère personnel au-delà de la durée prévue, sauf si elle est effectuée à des fins historiques, statistiques ou scientifiques dans les conditions prévues par la loi (13) ;
  • le détournement de leur finalité, par toute personne détentrice de données à caractère personnel à l’occasion de leur enregistrement, classement, transmission ou toute autre forme de traitement, de ces informations (14) ;
  • le fait de porter, sans autorisation, à la connaissance d’un tiers n’ayant pas la qualité pour les recevoir, pour toute personne ayant recueilli des données à caractère personnel à l’occasion de leur enregistrement, classement, transmission ou toute autre forme de traitement, des données à caractère personnel dont la divulgation aurait pour effet de porter atteinte à la considération de l’intéressé ou à l’intimité de sa vie privée (15). La peine est diminuée si cette infraction est commise par imprudence ou négligence et s’élève alors à 3 ans d’emprisonnement et 100 000 euros d’amende ;
  • la mise en œuvre d’un transfert de données à caractère personnel faisant l’objet ou destinées à faire l’objet d’un traitement vers un Etat n’appartenant pas à l’Union européenne, hors les cas prévus par la loi et les mesures prises par la Commission européenne et la Cnil (16). L’effacement de tout ou partie des données faisant l’objet du traitement ayant donné lieu à l’infraction peut alors être ordonné (17).

Ce panorama des infractions Informatique et liberté doit être complété par les infractions contenues dans la partie réglementaire du code pénal, dans une section 6, « Des atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques », regroupant les articles R625-10 à R625-13.

Toutes ces infractions sont punies de l’amende prévue pour les contraventions de 5e classe (soit 1500 euros (18)). En cas de récidive, et selon les prescriptions des articles 132-11 et 132-15 du Code pénal (19), le maximum de la peine d’amende encoure est portée à 3 000 euros pour les personnes physiques et à 30 000 euros pour les personnes morales.

Est réprimé ainsi :

  • le fait, pour le responsable d’un traitement automatisé de données à caractère personnel, de ne pas informer la personne concernée de façon satisfaisante, la liste des informations devant être délivrées se trouvant dans l’article R625-10 du Code pénal ;
  • le fait de ne pas faire droit aux demandes des personnes concernées exercées au regard de la loi de 1978 (20).

Virginie Bensoussan-Brulé
Lexing Contentieux numérique

(1) Loi 78-17 du 6-1-1978, art.51
(2) Selon l’article 131-8 du Code pénal, auquel renvoie l’article 226-24
(3) Selon l’article 226-24 du Code pénal, qui renvoie partiellement à l’article 131-9
(4) C. pén. art. 226-22-2
(5) C. pén. art. 226-16-1-A
(6) C. pén. art. 226-16-1
(7) C. pén. art. 226-17
(8) C. pén. art. 226-17-1
(9) C. pén. art. 226-18
(10) C. pén. art. 226-18-1
(11) C. pén. art. 226-19
(12) C. pén. art. 226-23
(13) C. pén. art. 226-20
(14) C. pén. art. 226-21
(15) C. pén. art. 226-22
(16) C. pén. art. 226-22-1
(17) C. pén. art. 226-22-2
(18) C. pén. art. 131-13
(19) Auxquels renvoie l’article R625-13 du Code pénal
(20) Selon les articles R625-11 et R625-12 du Code pénal




Vidéosurveillance et reconnaissance faciale : enjeux

Vidéosurveillance et reconnaissance faciale : quels enjeux ?La reconnaissance faciale pourrait être utilisée à l’avenir comme instrument de lutte contre la délinquance.

Le développement des logiciels de reconnaissance faciale permettent de reconnaître un visage dans une foule. Certaines voix s’élèvent en faveur de son utilisation dans un but de sécurité publique. D’autres considèrent que son utilisation remet en cause le droit au respect de la vie privée et la liberté d’aller et venir.

Qu’est-ce que la reconnaissance faciale ?

Selon le groupe de l’article 29, la reconnaissance faciale est « le traitement automatique d’images numériques qui contiennent le visage de personnes à des fins d’identification, d’authentification/de vérification ou de catégorisation de ces personnes » (1).

Cette technologie n’en est pas à ses balbutiements.

Dans le domaine civil, elle est développée par plusieurs grands acteurs du numérique. C’est le cas d’Apple, avec la reconnaissance faciale développée dans le cadre de l’iOS 10. Microsoft propose également ce service dans le cadre de l’utilisation du capteur Kinect. Google a développé FaceNet utilisé dans Google Photos.

Le cas de Facebook est plus polémique. Après avoir proposé « Moments », un premier logiciel du genre, la firme de Palo Alto a, en 2014, développé « DeepFace », logiciel de reconnaissance faciale qui réussirait à identifier un visage avec une marge d’erreur inférieure à 3% (2).

Critiquée en raison des potentielles atteintes du droit au respect de la vie privée qu’elle soulève, cette technologie n’est pas proposée en Europe suite aux recours de Max Schrems (3), et fait l’objet d’une procédure judiciaire outre-Atlantique (4).

En matière de sécurité publique, la reconnaissance faciale consiste en l’exploitation de l’image d’une personne recueillie en temps réelle. trois éléments techniques sont nécessaires pour son utilisation dans cette hypothèse :

  • un réseau de caméras ;
  • un logiciel permettant de repérer et d’analyser les visages, et d’en retirer des caractéristiques biométriques (et notamment l’écartement des yeux, les caractéristiques des oreilles, des arêtes du nez ou de la commissure des lèvres);
  • un fichier contenant des photographies ou éléments permettant par comparaison l’identification d’individus.
Interrogations quant au fichier de comparaison utilisé

Le fichier le plus évoqué par les partisans de l’utilisation du procédé est le fichier automatisé des empreintes digitales (Faed) qui recoupe à ce jour les données de 4 682 387 individus (5). En effet, ce fichier contient, pour chacune de ses entrées « une photo prise dans un cadre normalisé et identique pour toutes, exploitable par un logiciel de reconnaissance faciale» (6).

Le fichier TES, qui fait l’objet d’une véritable tempête médiatique (7) contient également un répertoire de photographies qui pourraient servir de support de cette technique.

Risques évoqués

La mise en œuvre d’un tel procédé questionne les libertés publiques, et notamment la liberté d’aller et venir et le droit au respect de la vie privée. La révélation d’une utilisation de la reconnaissance faciale par la NSA avait notamment, en 2014, suscité de nombreuses interrogations à ces sujets aux Etats-Unis (8).

La Cnil précise ainsi que l’éventuelle utilisation de cette technologie comporterait le risque de remettre en cause la liberté d’aller et venir anonymement, notamment en raison du « caractère intrusif » du procédé (9).

Ainsi, l’utilisation d’un fichier national afin que les forces de l’ordre utilisent les technologies de reconnaissance faciale pourrait faire l’objet d’un important débat juridique.

Quel contrôle en cas de développement de la reconnaissance faciale ?

Dès 2008 le Sénat a, dans son rapport d’information n°131 intitulé « La vidéosurveillance : pour un nouvel encadrement juridique », considéré que « les perspectives de développement de la biométrie, en particulier de la reconnaissance faciale, relèvent incontestablement de la Cnil » (10).

La loi d’orientation et de programmation pour la performance de la sécurité intérieure du 14 mars 2011 (dite « LOPPSI 2 ») a permis à la Cnil de contrôler les dispositifs dits « de vidéoprotection ».

Dans la perspective d’une utilisation de la reconnaissance faciale par les forces de l’ordre il semblerait donc logique que la Cnil se voit attribuée la charge du contrôle de ce nouveau dispositif.

Il serait par ailleurs envisageable que la Commission nationale de contrôle des techniques de renseignement ait un rôle à jouer.

Les perspectives

Suite aux récents événements qui ont bouleversé la France deux propositions de loi ont été portées au Sénat et à l’Assemblée nationale afin de voir cette technologie exploitée par les forces de l’ordre, tout au moins dans les procédures relatives à la lutte contre le terrorisme.

Voisin de ce procédé, mais ne nécessitant pas l’utilisation d’un fichier de comparaison, le couplage logiciel-caméra, à des fins préventives, est déjà utilisé dans certains cadres. Ainsi la SNCF a mis en place un système qui a pour but de détecter les comportements suspects afin de les prévenir (11).

En août 2016, un député a proposé d’étendre l’utilisation de cette technologie à la lutte contre la criminalité et le terrorisme (12).

Bien que cela ne soit pas encore le cas, il est possible que l’utilisation de ce couplage aux fins de détection des comportements suspects marque une première étape vers l’utilisation de la reconnaissance faciale.

Virginie Bensoussan-Brulé
Raphaël Liotier
Lexing Droit presse et pénal numérique

(1) Groupe Article 29, Avis n°02/2012 du 22-3-2012.
(2) CBS News, article du 29-3-2014.
(3) Next INpact, article de Xavier Berne du 24-9-2012.
(4) Le Figaro.fr, article du 6-5-2016.
(5) Cnil, article du 20-6-2016.
(6) Le Monde du Droit, article du 18-7-2016.
(7) Next INpact, article de Marc Rees du 5-1-2017.
(8) The New York Times, article de James Risen et Laura Poitras du 31-5-2014.
(9) Cnil, Définition de la reconnaissance faciale.
(10) Rapport d’information du Sénat n°131 du 10-12-2008.
(11) Next INpact, article de Marc Rees du 17-12-2015.
(12) Next INpact, article de Xavier Berne du 4-8-2016.




Les BCR sous-traitants, un instrument d’encadrement des flux

Les BCR sous-traitants, un instrument d’encadrement des flux

Les BCR sous-traitants sont un outil d’encadrement des flux transfrontières qui a vocation à sécuriser les échanges.

BCR « responsable du traitement ». Le G29 (le Groupe des Cnil européennes) a mis en place des BCR (Binding Corporate Rules) « responsable du traitement » permettant aux groupes d’entreprises effectuant des flux transfrontières internes, c’est-à-dire des transferts de données à caractère personnel en dehors de l’Union européenne mais au sein d’un même groupe, de bénéficier d’une protection adéquate de leurs données.

Les BCR sous-traitants sont un dispositif qui s’ajoute aux BCR « responsable du traitement » et dont la cible n’est plus le responsable du traitement mais les sous-traitants auxquels fait appel le responsable du traitement.

Présentation des BCR sous-traitants. L’objectif des BCR sous-traitants est de proposer aux entreprises qualifiées de sous-traitant (1) au sens de la loi Informatique et libertés de pouvoir garantir aux responsables de traitement qui sont leurs clients que les flux transfrontières de données effectués pour leur compte dans le cadre de la prestation qu’ils ont choisie, sont bien encadrés et sécurisés.

Responsabilisation plus importante des sous-traitants. L’outil des BCR sous-traitants n’est pas nouveau puisqu’il date de janvier 2013 et qu’il résulte d’un document explicatif du G29 du 19 avril 2013 (2). Néanmoins et avec l’entrée en application du règlement européen sur la protection des données en 2018, il est amené à connaître un nouvel essor (3).

En effet, si le responsable du traitement est l’un des acteurs principaux de la loi Informatique et libertés, avec le règlement européen sur la protection des données, le sous-traitant devient également central et ses obligations, notamment en termes de sécurité, augmentent de manière importante.

A ce jour, quelques groupes ont déjà mis en œuvre des BCR sous-traitants (4).

Formalités déclaratives. D’un point de vue des formalités déclaratives, il convient, pour le sous-traitant, de déposer un formulaire d’instruction spécifique aux BCR sous-traitants auprès de la Cnil ou de l’un de ses homologues. A cela s’en suit une procédure d’instruction.

Une fois que le groupe a obtenu la validation des BCR sous-traitants ainsi qu’une autorisation unique de transferts de données à caractère personnel hors Espace économique européen encadrés par les règles internes d’entreprise, BCR « sous-traitant », il est alors possible pour les clients de ces groupes d’effectuer auprès de la Cnil un engagement de conformité aux BCR sous-traitants correspondantes à celles du groupe qui est leur sous-traitant.

Ainsi, le responsable du traitement n’a plus besoin d’encadrer ces flux transfrontières effectués par son sous-traitant par la signature, par exemple, de clauses contractuelles types. Les formalités d’encadrement des flux sont donc allégées.

De manière opérationnelle, le responsable du traitement, c’est à dire le client, qui s’engage à se conformer à ces BCR sous-traitants doit vérifier au sein de la délibération publiée par la Cnil le champ d’application de ces flux transfrontières relatif :

  • aux finalités ;
  • aux données ;
  • aux personnes concernées par le transfert ;
  • aux destinataires ;
  • aux droits des personnes concernées ;
  • à l’information des personnes concernées.

De plus, il convient que le responsable du traitement tienne à la disposition de la Cnil une liste détaillée et à jour des transferts effectués sur la base des BCR sous-traitants pour chaque transfert, les informations suivantes :

  • la finalité générale du transfert ;
  • la ou les catégories de données à caractère personnel transférées ;
  • la ou les catégories de personnes concernées par le transfert ;
  • les informations relatives à chaque destinataire des données ;
  • la raison sociale ;
  • le nom du groupe auquel le destinataire appartient et ayant adopté des BCR « sous-traitant » ;
  • le pays d’établissement ;
  • la catégorie de destinataires ;
  • la nature du traitement opéré par ce dernier.

Recommandations. Il convient, pour les sous-traitants, de s’interroger sur la possibilité de recourir à cet outil que sont les BCR sous-traitants afin d’encadrer et de sécuriser leurs flux transfrontières ; et pour les clients de vérifier si leurs sous-traitants bénéficient de BCR sous-traitants et, le cas échéant, de s’engager à les respecter.

Lexing Alain Bensoussan Avocats
Lexing Informatique et libertés

(1) C’est-à-dire comme agissant sur instruction du responsable du traitement qui sont leurs clients.
(2) G29 Document explicatif 00658/13/EN WP 204 du 19-4-2013.
(3) Règlement(UE) 2016/679 du 27-4-2016.
(4) Cnil, Les outils de la conformité, les BCR.




La Cnil publie les règles du dossier pharmaceutique

La Cnil publie les règles du dossier pharmaceutique

La Cnil publie les règles relatives à l’ouverture, la consultation et la clôture du dossier pharmaceutique.

Saisie de plusieurs plaintes relatives à l’ouverture du dossier pharmaceutique, la Cnil publie les règles d’ouverture, de consultation et de clôture du dossier pharmaceutique, et les modalités d’exercice des droits Informatique et libertés.

Elle rappelle ainsi les principes qui sont attachés au dossier pharmaceutique en soulignant que ce dernier demeure facultatif (1).

Ouverture du dossier pharmaceutique

Ce dossier informatisé est ouvert par un pharmacien à tout assuré social qui le souhaite (2).

Au moment de son ouverture, le pharmacien doit recueillir oralement le consentement de l’assuré et lui remettre une brochure pour l’informer de son fonctionnement, ainsi qu’une attestation de création d’un dossier pharmaceutique (3).

Si le pharmacien propose à l’assuré d’ouvrir un dossier pharmaceutique, ce dernier est en droit de le refuser sans motif. Son refus est consigné et au bout de trois sollicitations infructueuses, le dossier pharmaceutique ne doit plus lui être proposé.

Par ailleurs, tout représentant légal peut ouvrir un dossier pharmaceutique à un mineur ou un majeur protégé (4). Dans le cas de mineur de 16 ans et plus possédant une carte vitale, ces derniers peuvent ouvrir seul un dossier pharmaceutique.

Lorsque le bénéficiaire devient majeur, son dossier pharmaceutique est maintenu à condition que le pharmacien obtienne son consentement.

Aujourd’hui, c’est 38 millions de dossiers pharmaceutiques qui ont été ouverts depuis 2007, dont 34 millions actifs en 2016, ainsi que 99,8% de pharmacies raccordées au dispositif.

Le Conseil national de l’ordre des pharmaciens (CNOP) est le responsable du traitement.

Informations contenues dans le dossier pharmaceutique

Le dossier pharmaceutique contient (5) :

  • les données d’identification de l’assuré : nom, prénom, date de naissance, sexe et rang de naissance dans le cas de naissances multiples ;
  • l’ensemble des médicaments délivrés à l’assuré avec et sans ordonnance au cours des 4 derniers mois pour les médicaments classiques, au cours des 3 dernières années pour les médicaments biologiques et les 21 dernières années pour les vaccins. Les données saisies sont celles relatives au nom du médicament, la quantité délivrée et la date de délivrance ;
  • les données d’identification du pharmacien étant intervenu dans le dossier pharmaceutique de l’assuré et sa date d’intervention.

L’assuré reste libre de refuser qu’un pharmacien ou un médecin consulte son dossier ou que certains médicaments y soient inscrits.

Accès au dossier pharmaceutique

Ce dossier est accessible et modifiable par des pharmaciens et uniquement accessible en lecture seule aux médecins en charge d’un patient dans un établissement de santé.

Avantage

L’objectif de ce dossier pharmaceutique est de pouvoir déceler les risques d’interactions médicamenteuses.

Interaction avec le dossier médical partagé

Il est prévu que les informations du dossier pharmaceutique qui peuvent être utiles à la coordination des soins soient également retranscrites dans le dossier médical partagé.

Droit d’accès à son dossier pharmaceutique et de rectification

L’assuré peut faire usage des droits qu’il tient de la loi Informatique et libertés. Ainsi, il peut obtenir une copie de son dossier pharmaceutique en s’adressant à toute pharmacie connectée au dispositif à condition de justifier de son identité.

La copie papier qui lui est alors communiquée peut lui être facturée au prix de la reproduction.

Par ailleurs, l’assuré peut également demander l’historique des interventions dans son dossier pharmaceutique, c’est-à-dire les logs de connexion à son dossier. A ce titre, le Conseil national de l’ordre des pharmaciens a mis à la disposition des assurés un formulaire permettant d’interroger directement l’hébergeur des données. Ainsi, l’assuré peut alors connaitre la pharmacie ayant créé son dossier pharmaceutique.

De plus, l’assuré peut également obtenir que ses données soient rectifiées par le pharmacien ayant accès à son dossier.

Sécurité

L’accès à la plateforme sur laquelle sont hébergés les dossiers pharmaceutiques est sécurisé.

Elle n’est accessible qu’en combinant la carte vitale de l’assuré et la carte professionnelle du pharmacien.

Les données du dossier pharmaceutique sont hébergées auprès d’un hébergeur agréé de données de santé qui a été sélectionné par le Conseil national de l’ordre des pharmaciens. De plus, ces données sont chiffrées.

Cet hébergeur peut accéder aux données en cas d’alerte sanitaire pendant 32 mois supplémentaires aux 4 mois consultables dans le dossier pharmaceutique.

Une fois cette durée de conservation arrivée à son terme, les données sont détruites, ainsi que les traces d’intervention.

Clôture du dossier pharmaceutique

La clôture du dossier pharmaceutique peut être demandée au pharmacien et obtenue par l’assuré à tout moment. Dans ce cas, une attestation de clôture lui est remise (6).

En tout état de cause, ce dossier pharmaceutique sera clôturé automatiquement par l’hébergeur s’il n’a pas été ouvert pendant3 ans.

Dossier pharmaceutique ouvert sans accord de l’assuré

Le consentement de l’assuré demeure oral et non pas écrit, ce qui complexifie le fait d’apporter la preuve inverse.

Néanmoins dans le cas où l’assuré est certain de ne jamais avoir donné son consentement, il peut saisir la Cnil. De la même façon, s’il n’arrive pas à exercer ses droits, comme le droit d’accès ou de rectification, il peut également se tourner vers la Cnil.

Lexing Alain Bensoussan Avocats
Lexing Informatique et libertés

(1)  Cnil, Les grands fichiers en fiches, Le Dossier Pharmaceutique (DP), 12-10-2016.
(2)  CSP, art. L1111-23.
(3)  CSP, art. R1111-20-3.
(4)  CSP, art. R1111-20-3 précité.
(5)  CSP, art. R1111-20-2.
(6)  CSP, art. R1111-20-4.




Loi Lemaire et protection des données personnelles : impacts

Loi Lemaire et protection des données personnelles : impacts

La loi Lemaire renforce la protection des données personnelles et anticipe le règlement européen 2016/679.

Le chapitre 2 de la loi pour une République numérique, dite « loi Lemaire » (1), est consacré à la protection de la vie privée en ligne et comprend un certain nombre de dispositions qui viennent modifier la loi Informatique et libertés (2) et anticiper l’applicabilité du règlement européen 2016/679 sur la protection des données (3).

Consécration de la notion d’empowerment

La loi Lemaire vient modifier l’article 1er de la loi Informatique et libertés en ajoutant que « toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant ».

Il est important de relever que ce droit est visé dans le même article que l’identité humaine, les droits de l’homme, la vie privée, les libertés individuelles ou publiques.

En conséquence, ce droit figure parmi ceux pour lesquels la formation restreinte de la Cnil, saisie par le président de la Commission, peut, dans le cadre d’une procédure d’urgence définie par décret en Conseil d’Etat et après une procédure contradictoire notamment ,décider de l’interruption de la mise en œuvre du traitement pour une durée maximale de trois mois ou encore prononcer un avertissement visé au 1° du I de l’article 45 de la loi Informatique et libertés.

Consécration par la loi Lemaire du droit à la portabilité des données

La loi Lemaire vient insérer dans le Code de la consommation un nouveau droit du consommateur à la récupération et à la portabilité de ses données. Ce droit, tel qu’il est prévu dans la loi pour une République numérique, s’il anticipe les dispositions de l’article 20 du règlement européen qui crée un « droit à la portabilité des données » pour les personnes concernées, est plus étendu en ce qu’il ne concerne pas uniquement les données personnelles.

En effet, la loi Lemaire crée, en sus, une nouvelle obligation incombant aux fournisseurs de services de communication en ligne de proposer au consommateur une fonctionnalité gratuite permettant la récupération des données suivantes :

  • tous les fichiers mis en ligne par le consommateur ;
  • toutes les données résultant de l’utilisation du compte d’utilisateur du consommateur et consultables en ligne par celui-ci, à l’exception de celles ayant fait l’objet d’un enrichissement significatif par le fournisseur en cause. Ces données sont récupérées dans un standard ouvert, aisément réutilisable et exploitable par un système de traitement automatisé ;
  • les autres données associées au compte utilisateur du consommateur et répondant aux conditions suivantes :
    • ces données facilitent le changement de fournisseur de service ou permettent d’accéder à d’autres services ;
    • l’identification des données prend en compte l’importance économique des services concernés, l’intensité de la concurrence entre les fournisseurs, l’utilité pour le consommateur, la fréquence et les enjeux financiers de l’usage de ces services.

En revanche, ce droit à la portabilité de la loi Lemaire n’entrera en vigueur qu’à compter du 25 mai 2018, date d’entrée en vigueur du règlement européen 2016/679.

Droit des personnes décédées

Face à la multitude de données persistantes sur le web, en particulier sur les réseaux sociaux, la loi Lemaire, si elle prévoit que les droits d’accès, d’opposition, d’interrogation et de rectification s’éteignent au décès de leur titulaire, intègre néanmoins la possibilité pour les personnes d’organiser la gestion de leurs données en ligne une fois qu’elles seront décédées.

Ainsi, elle octroie la possibilité, pour toute personne, de son vivant, d’organiser les conditions de conservation et de communication de ses données à caractère personnel après son décès.

Ses choix pourraient être enregistrés auprès d’un tiers de confiance certifié par la Cnil ou du responsable du traitement concerné, selon que les données seront générales ou particulières. La personne concernée pourra encore désigner une personne chargée de l’exécution de ses directives.

Par ailleurs, les prestataires de service de communication en ligne devront informer l’utilisateur du sort de ses données à son décès et lui permettre de choisir de les communiquer ou non à un tiers qu’il désigne.

Consécration du droit à l’oubli numérique des mineurs

La loi Lemaire insère au sein de la loi Informatique et libertés un droit à l’oubli spécifique des mineurs et une procédure dédiée accélérée (un mois à compter de la demande) pour l’exercice et la prise en compte de ce droit lorsque ses données ont été collectées dans le cadre de l’offre de service de la société de l’information.

Dès lors, les plateformes web (en ce incluant les réseaux sociaux, les moteurs de recherche ou encore les plateformes d’échanges en ligne) devront agir dans les meilleurs délais pour procéder à l’effacement des données concernées dès lors qu’elles concernent des personnes mineures au jour de la collecte.

Renforcement de l’information des personnes concernées

La loi pour une République numérique vient ajouter aux informations devant d’ores et déjà être portées à la connaissance des personnes concernées, aux termes de l’article 32 de la loi Informatique et libertés (2), l’obligation, pour le responsable du traitement, d’informer de l’existence d’un droit, pour la personne concernée, à définir des directives relatives au sort de ses données à caractère personnel après sa mort.

Ce droit concerne également la durée de conservation des données traitées ou, en cas d’impossibilité, les critères utilisés permettant de déterminer cette durée.

Toutefois, en ne sélectionnant que ces informations, la loi Lemaire ne reprend pas toutes les nouvelles exigences d’information posées par le règlement européen.

Facilitation de l’exercice des droits des personnes concernées

La loi Lemaire prévoit encore que, sauf dans le cas des traitements de données à caractère personnel mis en œuvre pour le compte de l’Etat intéressant la sûreté de l’Etat, la défense ou la sécurité publique, le responsable du traitement  devra donner la possibilité à la personne concernée d’exercer ses droits par voie électronique, dès lors qu’il aura collecté les données personnelles de manière électronique.

L’abrogation de cet article est d’ores et déjà prévue pour le 25 mai 2018, date à laquelle le règlement européen sera applicable, dans la mesure où il prévoit lui-même, à son article 12, que lorsque la personne concernée présente sa demande sous une forme électronique, les informations sont fournies par voie électronique lorsque cela est possible, à moins que la personne concernée ne demande qu’il en soit autrement.

Pouvoir de sanction de la Cnil renforcé

Alors que le plafond maximal des sanctions pécuniaires pouvant être prononcées par la Cnil était de 150 000 euros, il passe avec la loi pour une République numérique à 3 millions d’euros pour une anticipation « intermédiaire » sur l’augmentation du plafond du montant des sanctions prévues par le règlement européen qui prévoit un montant pouvant atteindre jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, 4% du chiffre d’affaires mondial.

Elargissement des missions de la Cnil

La loi Lemaire prévoit la saisine de la Cnil pour avis sur tout projet de loi ou de décret ou toute disposition de projet de loi ou de décret relatif à la protection des données à caractère personnel ou au traitement de telles données.

La loi pour une République numérique prévoit également la publicité systématique des avis de la Cnil sur ces projets de texte.

De même, la Cnil se voit investie d’une nouvelle mission de certifier, homologuer et publier des référentiels ou des méthodologies aux fins de certification des processus d’anonymisation des données personnelles dans la perspective de leur mise en ligne et de leur réutilisation.

Coopération renforcée entre les autorités en interne

La loi pour une République numérique prévoit la possibilité d’une saisine réciproque de la Cnil et de l’Autorité de régulation des communications électroniques et des postes (Arcep) pour toute question concernant leurs domaines d’intervention respectifs.

Coopération renforcée entre les autorités européennes de protection des données

La loi Lemaire prévoit enfin que la Cnil pourra, à la demande d’une autorité exerçant des compétences analogues aux siennes dans un État non membre de l’Union européenne, dès lors que le pays offre un niveau de protection adéquat, procéder à des opérations de contrôle et lui communiquer les informations qu’elle recueille ou qu’elle détient.

Pour ce faire, elle devra préalablement conclure une convention organisant ses relations avec l’autorité en question.

La loi Lemaire permet donc à la réglementation Informatique et libertés française de faire un premier pas vers le renforcement de la protection des données à caractère personnel et des missions de la Cnil par anticipation du règlement 2016/679 qui sera d’application immédiate dès le 25 mai 2018.

Les organismes responsables du traitement doivent reprendre les modifications apportées par la loi Lemaire pour identifier un plan d’actions de mise en conformité. Ces modifications doivent être intégrées dans la road map de mise en conformité au règlement européen. Les dispositions d’application immédiate de la loi Lemaire doivent être gérées en priorité.

Céline Avignon
Anne Renard
Lexing Publicité et Marketing électronique

(1) Loi 2016-1321 du 7-10-2016 pour une République numérique.
(2) Loi 78-17 du 6-1-1978, art. 32.
(3) Règlement (UE) 2016/679 du 27-4-2016.




Des changements importants pour les mentions d’information

Des changements importants pour les mentions d’informationLes mentions d’information ont été modifiées au niveau national et le seront bientôt par le règlement européen.

Loi Informatique et libertés

L’article 32 (1) de la loi 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, dite loi « Informatique et libertés », impose à tout responsable du traitement d’informer les personnes concernées des traitements qu’il met en œuvre les concernant.

Cet article exigeait que les informations suivantes soient communiquées à la personne concernée :

  • l’identité du responsable du traitement et, le cas échéant, celle de son représentant ;
  • la finalité poursuivie par le traitement auquel les données sont destinées ;
  • le caractère obligatoire ou facultatif des réponses ;
  • les conséquences éventuelles, à son égard, d’un défaut de réponse ;
  • les destinataires ou catégories de destinataires des données ;
  • les droits qu’elle tient (droit d’accès, de rectification, d’opposition) ;
  • le cas échéant, les transferts de données à caractère personnel envisagés à destination d’un Etat non membre de l’Union européenne.

Dans le cas où il s’agit d’un formulaire de collecte de données, seules les informations relatives à l’identité, aux finalités, au caractère obligatoire ou facultatif des réponses et aux droits de la personne devaient figurer dans les mentions d’information.

Loi pour une République numérique

La loi pour une République numérique du 7 octobre 2016 (2) modifie, par ses articles 57 et 63, l’article 32 (1) de la loi Informatique et libertés. En effet, elle ajoute deux éléments à spécifier dans les mentions d’information :

  • la durée de conservation des catégories de données traitées ou, en cas d’impossibilité, des critères utilisés permettant de déterminer cette durée ;
  • le droit de définir des directives relatives au sort de ses données à caractère personnel après sa mort.

L’information relative à la durée de conservation qui doit figurer dans les mentions d’information est également prévue par le règlement européen.

Concernant le sort des données après la mort de la personne concernée, cet élément est nouveau. Les conditions de sa mise en œuvre sont développées à l’article 40-1 (3) de la loi Informatique et libertés.

Toute personne a désormais le droit de faire respecter sa volonté sur le devenir de ses données publiées en ligne après son décès auprès des fournisseurs de service en ligne ou d’un tiers de confiance numérique certifié par la Cnil, en définissant des directives à la fois générales et particulières relatives à la conservation, à l’effacement et à la communication de ses données à caractère personnel.

Ces directives peuvent désigner une personne chargée de leur exécution. Celle-ci a alors qualité, lorsque la personne est décédée, pour prendre connaissance des directives et demander leur mise en œuvre aux responsables de traitement concernés. A défaut de désignation ou, sauf directive contraire, en cas de décès de la personne désignée, ses héritiers ont qualité pour prendre connaissance des directives au décès de leur auteur et demander leur mise en œuvre aux responsables de traitement concernés. En l’absence de directives ou de mention contraire dans lesdites directives, les héritiers de la personne concernée peuvent exercer après son décès ces droits, et ce, aux fins notamment d’organisation du règlement de la succession du défunt.

Il convient de relever que la durée de conservation des données n’a pas à figurer en bas d’un formulaire de collecte de données.

Règlement général sur la protection des données

Le règlement européen sur la protection des données entre en application à compter du 25 mai 2018. Il vient également modifier prochainement les mentions d’information. A ce titre, il différencie les mentions à insérer lorsque les données ont été recueillies de manière directe  (4) auprès de la personne concernée ou de manière indirecte (5).

Informations collectées auprès de la personne

Lorsque les données ont été recueillies de manière directe, il convient d’ajouter les éléments suivants à ceux déjà exigés par la loi Informatique et libertés (6) :

  • les coordonnées du responsable du traitement et, le cas échéant, celles du représentant du responsable du traitement ;
  • le cas échéant, les coordonnées du délégué à la protection des données ;
  • la base juridique du traitement ;
  • les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers lorsque ces intérêts légitimes sont la condition de licéité du traitement ;
  • le cas échéant, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données vers un pays tiers ou une organisation internationale et l’existence ou l’absence d’une décision d’adéquation rendue par la Commission ou la référence aux garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition ;
  • la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
  • l’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s’opposer au traitement et du droit à la portabilité des données ;
  • lorsque le traitement est fondé sur le consentement de la personne concernée, l’existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci ;
  • le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
  • des informations sur la question de savoir si l’exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données ;
  • l’existence d’une prise de décision automatisée, y compris un profilage et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée ;
    – lorsque le responsable du traitement a l’intention d’effectuer un traitement ultérieur pour une finalité autre que celle pour laquelle les données sont collectées, il fournit préalablement des informations sur cette autre finalité.
Informations non collectées auprès de la personne

Lorsque les données sont collectées de manière indirecte, il conviendra d’ajouter les éléments suivants à ceux exigés par l’article 32 de la loi Informatique et libertés (1) :

  • les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement ;
  • le cas échéant, les coordonnées du délégué à la protection des données ;
    – la base juridique du traitement ;
  • le cas échéant, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données à caractère personnel à un destinataire dans un pays tiers ou une organisation internationale, et l’existence ou l’absence d’une décision d’adéquation rendue par la Commission ou la référence aux garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition ;
  • la durée pendant laquelle les données à caractère personnel seront conservées ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
  • les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers lorsque ces intérêts légitimes sont la condition de licéité du traitement ;
  • l’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ainsi que du droit de s’opposer au traitement et du droit à la portabilité des données ;
  • lorsque le traitement est fondé sur le consentement de la personne concernée, l’existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci ;
  • le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
  • la source d’où proviennent les données à caractère personnel et, le cas échéant, une mention indiquant qu’elles sont issues ou non de sources accessibles au public ;
  • l’existence d’une prise de décision automatisée, y compris un profilage et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée ;
  • lorsque le responsable du traitement a l’intention d’effectuer un traitement ultérieur pour une finalité autre que celle pour laquelle les données sont collectées, il fournit préalablement des informations sur cette autre finalité.

Ces informations doivent être fournies dans le respect de délais prévus par le règlement européen, et ce, entre le moment de la première communication des données à la personne concernée ou au destinataire et un mois.

Recommandations relatives aux mentions d’information

En conclusion, il s’avère que le contenu des mentions d’information se complexifie. Par conséquent, il est recommandé de :

  • les auditer ;
  • vérifier leur conformité ;
  • les modifier dès à présent, en respectant les dispositions en vigueur et celles à venir.

Lexing Alain Bensoussan Avocats
Lexing Informatique et libertés

(1) Loi 78-17 du 6-1-1978, art. 32.
(2) Loi 2016-1321 du 7-10-2016, art. 57 et 63.
(3) Loi 78-17 du 6-1-1978, art. 40-1.
(4) Règlement UE 2016-679 du 27-4-2016, art. 13.
(5) Règlement UE 2016-679 du 27-4-2016, art. 14.
(6) Loi 78-17 du 6-1-1978.




Mise en demeure publique de Microsoft par la Cnil

Mise en demeure publique de Microsoft par la CnilMicrosoft a été mise en demeure publiquement par la Cnil en raison de manquements à la Loi Informatique et libertés.

A la suite d’un contrôle effectué au sein de la société Microsoft Corporation de la solution Windows 10, la Commission nationale de l’informatique et des libertés (Cnil) ayant révélé des non-conformités à la loi Informatique et libertés, a mis en demeure publiquement Microsoft de se mettre en conformité à la réglementation dans un délai de 3 mois (1).

Microsoft a lancé son nouveau système d’exploitation Windows 10 au mois de juillet 2015. Alertée par la presse et les utilisateurs d’une possible collecte excessive de données à caractère personnel, la Cnil, désormais détentrice d’un pouvoir de contrôle en ligne depuis la loi Hamon (2), a effectué des contrôles en ligne en avril et juin 2016 et interrogé Microsoft, afin de s’assurer de la conformité de Windows 10 à la loi Informatique et libertés.

Ces contrôles ont révélé des non-conformités.

La non-pertinence et l’excessivité des données collectées

Tout d’abord, concernant la pertinence de la collecte des données de télémétrie, qui sont des données de diagnostic et d’utilisation renvoyées à Microsoft, cette dernière assurait que la collecte avait pour seule finalité l’identification et la résolution de problèmes, et l’amélioration des produits et services. Or, des données relatives à l’utilisation des applications Windows, telles que les applications téléchargées sur le système d’exploitation ou le temps passé sur ces applications, étaient collectées. Or, il ressort de la Déclaration de confidentialité de Microsoft, qui dressait la liste des données collectées, que certaines de ces données n’étaient pas directement nécessaires au bon fonctionnement du système d’exploitation. Par conséquent, la Cnil a considéré que Microsoft se livrait à une collecte excessive en ce que les données n’étaient pas nécessaires au bon fonctionnement du service.

Le non-respect de l’obligation d’information

La loi Informatique et libertés impose également au responsable du traitement d’informer l’utilisateur de la finalité et des moyens d’opposition à toutes actions tendant à accéder, par voie de transmission électronique à des informations stockées ou à inscrire dans l’équipement, comme les cookies ou, en l’espèce, de l’identifiant publicitaire. En ce sens, la Cnil avait déjà eu l’occasion de préciser (3) que le consentement à l’utilisation des cookies doit se manifester par une action positive de l’utilisateur, qui a auparavant été informé des conséquences de son choix. Dans le cas de Windows 10, l’identifiant publicitaire, étant activé par défaut, l’utilisateur n’effectuant aucune action positive l’autorisant. Qui plus est, aucune précision n’est portée à la connaissance de l’utilisateur quant aux moyens disponibles pour s’opposer à cette utilisation, ce qui constitue une autre non-conformité.

Une sécurité insuffisante

La menace présente de fraudes informatiques et de hacking dans une société où toutes les informations sont informatisées, nécessite une sécurité renforcée en matière de protection des données à caractère personnel. C’est pourquoi la loi Informatique et libertés impose au responsable du traitement de prendre toutes les précautions utiles pour préserver la sécurité des données dont il est responsable, en fonction de leur nature et des risques supposés. Or, Microsoft, en proposant seulement un mot de passe pouvant être constitué de 4 chiffres identiques, en ne mettant en place aucune suspension de l’authentification après 20 tentatives infructueuses de connexion, et en autorisant l’accès à l’ensemble des services en ligne suite à une seule authentification, n’a pas pris toutes les précautions pour préserver la sécurité des données. En effet, un individu, dès lors qu’il a trouvé le mot de passe, et ce même après de nombreuses tentatives, peut avoir accès à l’ensemble des données à caractère personnel, notamment celles contenues dans la messagerie électronique, mais également aux coordonnées bancaires contenues dans le store, ainsi qu’aux informations liées au compte Microsoft.

Transfert illicite de données vers les Etats-Unis

Microsoft a indiqué, dans sa Déclaration de confidentialité, que les données recueillies peuvent être stockées et traitées aux Etats-Unis, conformément aux principes du « Safe Harbor » (« sphère de sécurité »). Or, depuis une décision du 6 octobre 2015 (5) de la Cour de justice de l’Union européenne, il n’est plus possible de procéder à un transfert de données à caractère personnel vers les Etats-Unis sur la base du Safe Harbor. En l’absence de base légale pour assurer un niveau de protection suffisant de la vie privée, des droits et libertés des personnes concernées, Microsoft procède donc à des transferts illicites de données hors de l’Union européenne.

A cet égard, il convient de relever qu’un nouveau dispositif, le Privacy Shield, est venu remplacer le Safe Harbor (6).

Quelles conséquences pour Microsoft ?

En raison de ces manquements, la Cnil a mis en demeure publiquement Microsoft de se conformer à la loi Informatique et libertés dans un délai de 3 mois. Cette mise en demeure publique se justifie par le nombre important de personnes concernées, la gravité des manquements et par la taille et le statut de l’organisme.

Il ne s’agit pour le moment que d’un avertissement, mais si Microsoft ne se conforme pas à la loi, elle pourrait être sanctionnée, comme cela a été le cas en Allemagne, où des amendes ont été prononcées à l’encontre de sociétés procédant à des transferts de données vers les Etats-Unis sur la base du Safe Harbor (7).

En attendant la mise en conformité de Microsoft, la Cnil a mis en ligne deux tutoriels permettant de régler manuellement les réglages de confidentialité afin de limiter la communication des informations de l’utilisateur à l’éditeur (8).

Céline Avignon
Anne Renard
Lexing Publicité et marketing électronique

(1) Loi 78-17 du 6-1-1978 ; Cnil, Décision 2016-058 du 30-6-2016 et Délibération 2016-185 du 12-7-2016 décidant de rendre publique la mise en demeure 2016-058 du 30-6-2016
(2) Loi 2014-344 du 17-3-2014 relative à la consommation, art. 105.
(3) Délibération 2013-378 du 5-12-2013 portant adoption d’une recommandation relative aux cookies et aux autres traceurs .
(4) Délibération 2013-420 du 3-1-2014 de la formation restreinte prononçant une sanction pécuniaire à l’encontre de la société Google Inc.
(5) CJUE, 6-10-2015, Aff. C-362/14, Maximillian Schrems c/ Data Protection Commissioner.
(6) Céline Avignon, Post du 13-7-2016.
(7) Chloé Torres, Post du 20-7-2016.
(8) Cnil, Article du 20-7-2016.




Le partage d’informations WhatsApp/Facebook inquiète …

Le partage d’informations WhatsApp/Facebook inquiète le G29Après la Cnil et le Commissaire hambourgeois, le G29 se saisit du partage des données entre WhatsApp et Facebook.

Les inquiétudes du groupe de l’article 29 suite aux modifications de la politique de confidentialité de WhatsApp

En août 2016, WhatsApp a modifié sa politique de confidentialité en prévoyant dans un article « sociétés affiliées » un échange d’informations entre les sociétés de la famille Facebook.

Ces échanges réciproques en réception et en transmission de données ont pour finalité selon la nouvelle politique de WhatsApp d’« aider à exploiter, fournir, améliorer, comprendre, personnaliser, prendre en charge et commercialiser nos Services [services de WhatsApp] et leurs offres [offres des entités de la famille Facebook].

Il s’agit notamment d’améliorer les infrastructures et les systèmes de diffusion, de comprendre comment nos Services [services de WhatsApp] et les [leurs offres des entités de la famille Facebook] sont utilisés, de sécuriser les systèmes et de lutter contre les courriers indésirables, les abus ou les violations.

Facebook et les autres sociétés de la famille Facebook peuvent également utiliser des informations que nous avons fournies pour améliorer vos expériences au sein de leurs services, comme faire des suggestions de produit (par exemple d’amis, de connexions ou de contenus intéressants) et afficher des offres et des publicités pertinentes.

Cependant, vos messages WhatsApp ne seront pas partagés sur Facebook à la vue des autres. En fait, Facebook n’utilisera pas vos messages WhatsApp dans un but autre que celui de nous aider à exploiter et fournir nos services ».

Cette mise à jour s’est accompagnée d’un process destiné à recueillir le consentement des utilisateurs.

C’est précisément ce process qui est en cause aujourd’hui puisque le groupe de l’article 29, dans sa lettre adressée à WhatsApp (1) s’interroge sur les modalités d’information des personnes, sur la validité du consentement des utilisateurs, sur l’efficacité des mécanismes de contrôle offerts aux utilisateurs d’exercer leurs droits ainsi que sur les effets que le partage de données aura sur les personnes qui ne sont pas utilisateurs de tout autre service au sein de la famille d’entreprises Facebook.

Des inquiétudes partagées au sein de l’Europe

Le 27 septembre 2016 (2), un ordre administratif du Commissaire de la protection des données d’Hambourg a été publié contre la synchronisation de masse des données entre Facebook et WhatsApp. Par cette procédure, il interdit à Facebook de collecter et d’enregistrer des données des utilisateurs allemands de WhatsApp. Par ailleurs, il ordonne à Facebook de supprimer toutes les données déjà transférées par WhatsApp.

Selon lui, outre le fait que les sociétés ont annoncé publiquement qu’il n’y aurait pas de partage d’informations entre elles ce qui est en soi critiquable, compte tenu de leurs politiques actuelles, le Commissaire précise d’une part que Facebook n’a jamais obtenu de consentement des utilisateurs WhatsApp et d’autre part que Facebook ne peut se prévaloir d’une base légale pour la réception de données des utilisateurs de WhatsApp.

La mise en demeure de la Cnil de Facebook

En janvier 2016 (3), la Cnil a mis en demeure Facebook après avoir relevé que la société procédait à des combinaisons massives de données recueillies dans des contextes différents sans avoir recueilli préalablement le consentement des utilisateurs sur le fondement de l’article 7 de la loi Informatique et libertés (4).

La Cnil a précisé que la combinaison était effectuée non seulement au regard des différentes utilisations du réseau social, mais également en combinant des données provenant de plusieurs sociétés du groupe. La Commission, après avoir effectué une analyse de la balance entre l’intérêt légitime poursuivi par les sociétés et l’intérêt, les droits et libertés des personnes concernées, conclut que les sociétés ne disposent pas d’un fondement légal pour la mise en œuvre du traitement dans la mesure où, notamment, elles n’apportent pas de garantie pour préserver les intérêts, droits et libertés des personnes concernées et n’organisent pas cette combinaison dans le cadre contractuel.

La demande du groupe de l’article 29 de ne pas procéder à la mise en commun des données des utilisateurs jusqu’à ce que les protections juridiques appropriées puissent être assurées

Le groupe de l’article 29 ne dispose pas de pouvoir à l’encontre des responsables de traitement. En effet, seules peuvent agir les autorités européennes de protection à leur niveau national selon leurs compétences.

Néanmoins, afin d’assurer une action coordonnée et efficace, le Groupe de l’article 29 a décidé de la création d’un sous-groupe de travail relatif aux activités répressives transfrontières. Ce sous-groupe a pour objet de faciliter le partage entre les autorités européennes sur les stratégies et actions répressives en Europe.

Un point sur l’état d’avancement est annoncé, notamment sur le sujet WhatsApp en novembre, lors de la première réunion du sous-groupe.

Les attentes des autorités de protection des données en matière d’échanges de données

Les autorités ne condamnent pas en tant que tels les échanges de données entre entités d’un même groupe. Néanmoins, elles attendent que les responsables de traitement mettent préalablement des process visant :

  • à informer de manière transparente claire et précise les personnes concernées de la nature des échanges ;
  • à donner une base légale au traitement mis en œuvre pour l’échange de données à savoir généralement qu’ils organisent le recueil du consentement ou poursuivent un intérêt légitime pour la mise en œuvre du traitement en apportant des garanties pour préserver les intérêts, droits et libertés des personnes concernées, dans la mesure où cet échange ne peut s’effectuer sur la base de l’exécution d’un contrat.

Au final, il sera intéressant de suivre les travaux du sous-groupe de travail relatif aux activités répressives transfrontières et les éventuelles décisions des autorités de protection nationales.

En effet, ils permettront sans nul doute de définir un peu plus les premiers critères dégagés en matière de partage de données et d’établir ceux qui permettront de réunir les conditions d’une balance d’intérêts équilibrée.

Céline Avignon
Lexing Publicité et Marketing électronique

(1) Cnil, Délib. 2016-007 du 26-1-2016, Facebook Inc et Facebook Ireland
(2) The Hamburg Commissioner for Data Protection and Freedom of Information, Communiqué du 27-9-2016
(3) Lire notre Post du 9-2-2016
(4) Loi 78-17 du 6-1-2016




Les problématiques juridiques relatives au paiement cashless

Les problématiques juridiques relatives au paiement cashlessLe paiement cashless est un moyen de paiement dématérialisé très facile d’utilisation qui connait un essor  fulgurant.

Popularisé à l’occasion de festivals ou de concerts, le paiement cashless peut se matérialiser sous différentes formes ayant toutes pour vocation la limitation de la circulation d’argent.

Ainsi, l’utilisateur se dote d’une bague ou d’un bracelet spécifiquement conçu pour pouvoir communiquer avec des terminaux adaptés, et ce au sein d’un périmètre bien défini.

Comment fonctionne le paiement cashless ?

La puce utilisée dans le cadre du paiement cashless est une puce NFC (near field communication) permettant au terminal de paiement et au bracelet, tous deux dotés de puce NFC, de communiquer entre eux.

Il s’agit d’un dérivé des puces RFID, qui se distingue de ces dernières en ce que la puce NFC :

  • a une plus courte distance d’action ;
  • utilise des vitesses faibles de transmission.

Les deux équipements dotés de puce NFC peuvent fonctionner selon trois modes opérationnels distincts :

  • soit de pair-à-pair afin de transférer des fichiers entre deux smartphones par exemple ;
  • soit en lecture-écriture, le smartphone se transforme en lecteur NFC pour lire les étiquettes électroniques ou tags diffusant des informations ;
  • et enfin soit en émulation de carte, comme dans le cadre d’un paiement cashless.
Comment utiliser le paiement cashless ?

Au préalable, l’utilisateur peut recharger son bracelet ou sa bague de deux manières :

  • le moyen de paiement est relié à un compte par une carte à puce. Le titulaire du moyen de paiement sans contact peut recharger son compte sur le site web ou l’application dédiée ;
  • le titulaire du moyen de paiement ne dispose pas d’un compte et va alors procéder au rechargement sur les lieux de l’événement, auprès d’une banque identifiée cashless, en contrepartie d’espèces.
Quels sont les risques en matière de protection des données à caractère personnel ?

L’usage de ce type de technologie soulève d’importantes problématiques en matière de protection des données à caractère personnel.

Ainsi, dans l’hypothèse où le contenu de la puce n’est pas chiffré, toute personne peut, dès lors qu’elle dispose d’un appareil adéquat, lire le contenu de la puce. Or, les puces contiennent des données à caractère personnel, permettant d’identifier directement ou indirectement, le porteur de la carte.

Les puces NFC peuvent contenir de nombreuses informations non chiffrées comme le nom, le prénom du porteur, le numéro de la carte et la date d’échéance ainsi que les dernières transactions effectuées.

Une étude réalisée en 2003 par la Commission nationale de l’informatique et des libertés (Cnil) (1) identifie « quatre pièges qui concourent à minorer le risque que présente cette technologie en matière de protection des données personnelles et de la vie privée », à savoir :

  • l’insignifiance apparente des informations contenues dans les puces ;
  • le fait que les puces paraissent plutôt rattachées aux objets qu’aux personnes ;
  • la normalisation technologique basée sur le concept américain de « privacy », sans prise en compte des principes européens de protection de la vie privée ;
  • le risque de « non-vigilance » individuelle, la présence et l’activation de la puce étant invisibles.

La Commission européenne s’était intéressée à ces problématiques en 2006 et avait lancé une consultation publique sur la manière de concilier le développement de la technologie RFID et la protection des données à caractère personnel et de la vie privé.

Identifiant les risques que pouvaient impliquer la RFID, la Commission a considéré que seule « une approche spécifique à chaque application RFID peut s’avérer efficace […], car chaque application comporte ses propres risques et avantages ».

Pour la Commission en effet, « les puces RFID peuvent être considérées comme un moyen d’espionner les consommateurs. Il faut donc prendre des mesures pour garantir que cette technologie respecte la vie privée. Un emblème RFID sur les produits serait une première étape garantissant la transparence de l’industrie ».

Ces mesures ont été prises par une grande majorité des acteurs du secteur bancaire, cependant, on peut déplorer le fait que l’utilisateur ne soit pas informé des risques qu’engendre ce type de services.

L’existence de pratiques abusives

Il a été constaté à l’occasion de diverses manifestations que l’utilisation du paiement cashless pouvait constituer une pratique abusive.

Ainsi, les organisateurs s’affranchiraient de la législation applicable en interdisant le paiement en espèce au profit du paiement cashless.

Pourtant la loi est claire en la matière puisqu’est puni d’une contravention de deuxième classe « le fait de refuser de recevoir des pièces de monnaie ou des billets de banque ayant cours légal en France » (2).

Par conséquent, en interdisant le paiement en espèces, les organisateurs s’exposent au paiement d’amende d’un montant maximum de 1500 euros.

En outre, le paiement cashless nécessite l’acquisition d’une carte de paiement qui exige le paiement de la somme de 1 euro. Autrement dit, le paiement en espèces est taxé par rapport à un paiement direct par carte bancaire auprès du vendeur.

Or, il est interdit d’appliquer des frais pour l’utilisation d’un instrument de paiement, comme le précise l’article L. 112-12 du code monétaire et financier. La Banque de France le confirme : ces pratiques sont bien « des infractions » passibles d’une contravention de seconde classe.

Les organisateurs de ce type d’évènements passent donc outre le cadre légal et règlementaire existant.

Enfin, il semble que ces moyens de paiement disposent d’une durée de validité limitée dans le temps extrêmement réduite. Cette caractéristique ne pose pas en soi de problème.

ependant, il semble nécessaire de prévoir des modalités simples pour les consommateurs de récupérer l’argent restant sur ce compte rechargé de façon éphémère au risque de perdre la totalité des sommes non dépensées.

Avec l’application du règlement européen (3) à partir du 4 mai 2018, la protection des données à caractère personnel devient un défi majeur sur le territoire de l’Union européenne. Dès lors les éditeurs de solutions de paiement devront concevoir leurs nouvelles solutions à l’aune des principes du règlement européen, notamment en veillant au respect du principe de privacy by design ou de security by design.

Frédéric Forster
Charlotte Le Fiblec
Lexing Droit Télécoms

(1) Communication de M. Philippe Lemoine relative à la radio-identification du 30-10-2003
(2) C. pén., art. R.642-3
(3) Règlement UE 2016-679 du 27-04-2016




Rumeurs, atteinte à la vie privée et absence de base légale

Rumeurs, atteinte à la vie privée et absence de base légaleL’intensité de l’atteinte à la vie privée justifie que soit rendue publique la mise en demeure prononcée par la Cnil.

Une mise en demeure rendue publique

Par délibération du 26 septembre 2016 (1), la  Cnil a mis en demeure une société exploitant une application de potins et rumeurs anonymes dans un délai d’un mois de :

  • ne pas mettre en œuvre de traitement de données à caractère personnel portant atteinte à la vie privée et aux libertés individuelles des personnes concernées dans le cadre du fonctionnement de l’application ;
  • ne pas procéder sans base légale au traitement de données à caractère personnel dans le cadre du fonctionnement de l’application ;
  • justifier auprès de la Cnil que l’ensemble des demandes a  été respecté, et ce dans le délai imparti.

La Cnil retient deux manquements qui sont peu fréquemment retenus mais d’une particulière gravité, à savoir :

  • un manquement à l’obligation de respecter la vie privée et les libertés individuelles des personnes concernées sur le fondement de l’article 1er de la loi Informatique et libertés (2) ;
  • l’absence de base légale du traitement mis en œuvre.

Par ailleurs, la Cnil a dénoncé les constats opérés auprès du procureur de la République sur le fondement de l’article 40 du Code de procédure pénale compte tenu de la nature des manquements constatés mais également des risques pour les personnes concernées, notamment les mineurs.

Le manquement à l’article 1er de la loi Informatique et libertés

L’article 1er de la loi Informatique et libertés dispose :

  • « L’informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques (…) » (2).

La loi pour une République numérique du 7 octobre 2016 (3) a modifié cet article 1 en y ajoutant l’alinéa suivant : « Toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant, dans les conditions fixées par la présente loi ».

Cet article est l’un des plus importants de la loi Informatique et libertés et se lit à la lumière de la Charte des droits fondamentaux de l’Union européenne.

La Cnil estime que la diffusion de rumeurs anonymes, sans information et sans limite dans l’espace ou dans le temps, constitue une atteinte à la vie privée et aux libertés individuelles. À cet égard, elle retient que la diffusion d’un potin s’effectue à l’insu de la personne directement concernée si elle-même n’est pas utilisatrice de l’application.

Le fait qu’une personne n’ayant pas installé l’application puisse faire l’objet de calomnies sans en être informée et sans réel moyen d’action vis-à-vis de l’émetteur comme des récepteurs de la rumeur a été l’élément essentiel pour caractériser le manquement au respect de la vie privée.

Le fait que le fonctionnement même de l’application heurte le droit des personnes de contrôler et de décider des usages qui sont faits de leurs données personnelles sonne comme une mise en garde et la consécration de la notion « d’empowerment » lorsque comme en l’espèce la dignité et l’intimité numériques sont sévèrement atteintes.

La liberté de papauter sur les réseaux sociaux doit s’exprimer qualitativement. Si les rumeurs ont toujours existé, il faut néanmoins être particulièrement attentif à l’effet quantitatif des rumeurs sur les réseaux sociaux. En l’espèce, la simple rumeur prend une ampleur démesurée en raison du fonctionnement de l’application. L’intensité de l’atteinte portée à la personne concernée est d’autant plus forte que cette dernière peut :

  • ne pas avoir connaissance de la rumeur ;
  • ne pas en connaître l’ampleur.

Ce double angle mort pour la personne concernée ne lui permet pas de mettre en œuvre les actions tant civiles que pénales propres à faire cesser les éventuelles atteintes à sa réputation.

L’absence de base légale du traitement

Sur l’absence de base légale du traitement, la Cnil retient que l’éditeur de l’application ne recueille pas le consentement préalable des personnes concernées en particulier celui des personnes visées par une rumeur mais n’ayant pas téléchargé l’application.

Par ailleurs, la Cnil considère que l’éditeur de l’application ne peut pas non plus se prévaloir des autres critères définis à l’article 7 de la loi Informatique et libertés (sauvegarde de la vie de la personne concernée, le respect d’une obligation légale incombant au responsable du traitement, par exemple).

Si la Cnil admet que la société poursuit un intérêt économique et commercial, elle refuse de considérer, en raison de la nature même de l’application, que celle-ci puisse bénéficier de la base légale de l’intérêt légitime visé à l’article 7 5° la loi Informatique et libertés.

À cet égard, l’analyse effectuée par la Commission ne reprend pas l’intégralité des critères précédemment dégagés en particulier dans sa décision Facebook (4) (5). La nature du service proposé aux utilisateurs en ce qu’il est susceptible de méconnaître l’intérêt des personnes, ainsi que leur droit fondamental au respect de leur vie privée est suffisant pour caractériser une atteinte trop importante. Cette atteinte exclut une balance d’intérêt équilibrée pouvant servir de base légale au traitement mis en œuvre.

Céline Avignon
Lexing Publicité et Marketing électronique

(1) Cnil, décision 2016-079 du 26-9-2016 mettant en demeure la société W.M.G.
(2) Loi 78-17 relative à l’informatique, aux fichiers et aux libertés, art. 1er.
(3) Loi 2016-1321 du 7-10-2016 pour une République numérique.
(4) Cnil, Décision 2016-007 du 26-1-2016 mettant en demeure les sociétés Facebook INC. et Facebook Ireland.
(5) Lire notre Post du 9-2-2016.




Agriculture numérique : focus sur l’économie de plateformes

Agriculture numérique : focus sur l’économie de plateformesLe secteur agricole investit dans l’économie de plateformes et poursuit sa révolution numérique.

L’horizon de l’agriculture numérique s’ouvre au travers, par exemple, de plateformes de partage ou de financement de projets.

Plateformes de location de matériel agricole

Les plateformes de location de matériel agricole permettent de mutualiser les investissements matériels réalisés par les agriculteurs. Elles mettent en relation le propriétaire d’un matériel et un locataire manquant de ressources pour l’acquérir, l’entretenir et l’entreposer. Ce système d’entraide entre agriculteurs existait déjà par le biais des coopératives d’utilisation de matériel agricole (1).

Plusieurs outils sont proposés aux adhérents de la plateforme afin d’encadrer la location de matériel tels que :

  • le contrat de location type entre le propriétaire du matériel agricole et le locataire. Éléments précisés : durée, loyer, modalités d’utilisation, d’entretien et de restitution du matériel loué, responsabilité des parties ;
  • le contrat d’assurance dès l’adhésion au contrat de location type. Il peut s’agir d’une assurance pour compte de tiers souscrite par l’éditeur de la plateforme. Elle se substitue alors de plein droit aux garanties souscrites par les signataires du contrat de location ;
  • la mise à disposition du matériel par un transporteur partenaire de la plateforme ;
  • une charte de bonne utilisation du matériel.

Ces documents doivent, bien entendu, faire l’objet d’une rédaction rigoureuse. Il convient ainsi de préciser clairement les relations entre propriétaire, locataire et éditeur de la plateforme. Il en va de même pour les relations avec l’assureur ou le transporteur, le cas échéant.

Le financement de projets agricoles

Certaines plateformes proposent quant à elles des services d’intermédiation en financement participatif. Elles mettent en relation des porteurs de projets et des personnes souhaitant y participer en prêtant ou donnant des fonds. Les projets peuvent être orientés par exemple vers une agriculture à la fois durable et rentable.

Il est proposé plusieurs outils dans le cadre du financement participatif, tels que :

  • un espace personnel ; le participant ou porteur de projet peut, au travers d’un accès sécurisé, ainsi suivre l’évolution du financement ;
  • un compte de paiement auprès d’un prestataire de service de paiement sélectionné par la plateforme ;
  • un contrat de prêt type.

Les plateformes sont tenues, d’une part, de souscrire un contrat d’assurance de responsabilité civile professionnelle (2). Des règles de bonne conduite et d’organisation sont également énoncées à l’article L548-6 du Code monétaire et financier (3). Ainsi, les internautes doivent être informés des conditions de sélection des projets et des porteurs de projet. En outre, les prêteurs sont mis en garde sur les risques liés au financement participatif : défaillance du porteur de projet, surendettement, etc.

Quelques conseils

Côté utilisateur : les outils proposés par les plateformes permettent de diversifier les ressources des acteurs du secteur agricole. Néanmoins, leurs utilisateurs doivent les étudier préalablement à tout consentement afin de déterminer l’étendue des engagements à prendre.

Côté éditeur de plateforme : l’utilisation d’une plateforme implique, au préalable, la création d’un compte et, le cas échéant, la collecte de données personnelles. L’éditeur devra alors se conformer à la réglementation sur la protection des données à caractère personnel (formalités préalables, mentions obligatoires). L’utilisation de cookies devra être signalée aux utilisateurs par le biais, par exemple, d’un bandeau comme le préconise la Cnil (4).

Enfin, un soin particulier devra être apporté lors de la rédaction des conditions générales accessibles sur le site. Celles-ci devront en effet respecter la réglementation en vigueur, en particulier concernant le financement participatif.

Jean-François Forgeron
Jennifer Knight
Lexing Informatique et Droit

(1) Site internet du réseau des Coopératives d’Utilisation de Matériel Agricole (Cuma).
(2) CMF, art. L548-5 I.
(3) CMF, art. L548-6.
(4) Cnil, Dossier « Cookies & traceurs : que dit la loi ? »




Le véhicule connecté selon la démarche « privacy by design »

Le véhicule connecté selon la démarche « privacy by design »Si le pack « véhicule connecté » est en cours de finalisation, la Cnil fournit ses premières préconisations.

Le pack « véhicule connecté » de la Cnil : outil de compliance

La Cnil, qui se positionne résolument en faveur des technologies avancées, travaille à la définition d’un pack de conformité « véhicule connecté ».

Les packs de conformité traduisent la volonté de la Commission de fournir aux responsables de traitements des outils leur facilitant la mise en conformité de leurs traitements dans le cadre d’une démarche de compliance.

Ces packs sont établis en concertation et pour les besoins des professionnels et des secteurs d’activités concernés.

A titre d’exemple, le secteur social, les bailleurs sociaux, les assurances et les banques, sont autant de secteurs qui ont pu bénéficier de ces outils.

La démarche proposée pour les véhicules connectés (1) est similaire à celle adoptée par la Cnil pour les compteurs intelligents.

Les premières recommandations de la Cnil

A l’occasion du mondial de l’automobile, la Cnil publie ses premières réflexions résultant des discussions intervenues avec l’ensemble de l’écosystème des véhicules connectés.

Elle confirme que l’enjeu recherché est « d’intégrer la dimension « protection des données personnelles » dès la phase de conception des produits et assurer la transparence et le contrôle par les personnes de leurs données ».

Pour atteindre ces objectifs la Cnil, anticipant la future entrée en vigueur du règlement européen, recommande d’adopter une approche de protection des données dès la conception ou « privacy by design ».

Dans le cadre de cette démarche, les acteurs, parties prenantes à un projet de véhicule connecté, doivent intégrer dès l’origine les contraintes de protection des données et notamment, prévoir les fonctionnalités nécessaires pour assurer la conformité de leur projet.

A ce titre, tout projet doit intégrer des mécanismes visant, non seulement, à assurer, la sécurité et la confidentialité des données, mais également, l’information des personnes ou encore le principe de minimisation des données …

IN => IN, IN => OUT et IN => OUT => IN

La Cnil insiste aussi sur l’importance de l’information des personnes voir, sur le recueil de leur consentement préalable.

De ce point de vue, elle reprend la démarche qu’elle avait adoptée dans son pack « compteurs communicants » en distinguant trois situations correspondant à trois caractéristiques différentes de traitement de données dans le cadre du véhicule connecté, à savoir :

  • IN => IN les données demeurent dans le véhicule, sans aucune communication à l’extérieur ;
  • IN => OUT les données collectées via le véhicule connecté sont transmises à un tiers en vue de la fourniture d’une prestation de service à la personne concernée ;
  • IN => OUT => IN les données collectées dans le véhicule sont transmises à l’extérieur pour déclencher une action automatique dans le véhicule.

Compte tenu de la volonté de la Cnil d’encourager l’innovation, même si au regard de ces premières réflexions elle privilégie le IN => IN, il ne fait pas de doute que son pack définira les conditions dans lesquelles les projets IN => OUT et IN => OUT => IN devront s’inscrire pour répondre aux impératifs de protection des données.

Démarche prospective en attente du pack « véhicule connecté »

D’ores et déjà, à l’instar des recommandations de la Cnil en matière de compteurs communicants, il est recommandé aux constructeurs et autres acteurs de l’écosystème des véhicules connectés de procéder à une double analyse :

  • d’impact sur la vie privée ;
  • des risques ;

pour déterminer les mesures et mécanismes de garantie à mettre en œuvre pour assurer la protection des données des personnes concernées.

A cet effet, la Cnil insiste sur la nécessité de mettre en place des outils permettant aux personnes concernées de maitriser leurs données selon le concept d’ « empowerment ».

Si à ce stade, la démarche adoptée par la Cnil est similaire à celle adoptée pour les compteurs communicants, il faudra attendre la publication du pack pour permettre aux acteurs d’identifier les spécificités du véhicule connecté.

Nathalie Plouviet
Lexing Droit de l’internet des Objets
Céline Avignon
Lexing Publicité et Marketing électronique

(1) Cnil, Dossier « Pack de conformité : Les compteurs communicants » 5-2014 ; Lire également notre Post du 3-7-2014.




Loi Lemaire : succès de la Matinée juridique de l’Acsel

Loi Lemaire : la Grande Matinée Juridique de l’AcselC’est dans un auditorium de la Maison du Barreau comble que s’est déroulée la Grande Matinée Juridique de l’Acsel.

Le timing était parfait : alors que l’après-midi du 28 septembre 2016, le Sénat devait adopter définitivement le projet de loi pour une République numérique, le matin même, la commission juridique de l’Acsel (1) – le Hub de la transformation digitale – organisait en partenariat avec l’Ordre des avocats de Paris sa « Grande Matinée juridique de décryptage de la loi pour une République numérique ».

On le sait, cette loi, comme le fut en son temps la loi pour la confiance dans l’économie numérique, va marquer profondément le droit du numérique.

Grande matinée juridique Acsel Cyril ZimmermannLes trois sujets qui méritent une attention tout à fait particulière dans le texte portée devant le Parlement par Axelle Lemaire, Secrétaire d’État chargée du Numérique et de l’Innovation, avaient été retenus par la Commission juridique de l’Acsel, comme autant de thèmes des trois tables rondes de la matinée:

  • la création d’un véritable droit de l’open data ;
  • un renforcement du droit des plateformes ;
  • une révision du droit des données à caractère personnel.

L’occasion de donner la parole, après des propos introductifs de Cyril Zimmermann, Président de l’Acsel, aux experts, personnalités du monde politique et de l’entreprise pour en débattre.

Loi Lemaire et Open data

Tout le monde en parle mais c’est bien la loi Lemaire qui, pour la première fois en France, fixe le cadre juridique de l’open data (ouverture des données publiques).

Grande matinée juridique Acsel 1ère table rondeQu’est-ce que l’open data ? Faut-il distinguer les données brutes et les données enrichies ? Quels sont les nouveaux droits fixés par la loi ? Qu’en est-il des exceptions comme l’exception scientifique ?

Autant de questions abordées au sein de la première table ronde animée par Gérald Bigle, président de la Commission « Marchés émergents, audiovisuel et numérique » du Barreau de Paris (2), qui réunissait Luc Belot, Député du Maine-et-Loire, rapporteur de la Loi, Renaud Fabre, directeur de l’information scientifique et technique au CNRS, Mathieu Caps, Responsable des affaires publiques, Open Data Soft, et Pascale Vinot, Chef de projet Data tourisme, Tourisme et Territoires.

Loi Lemaire et droit des plateformes

Les plateformes cristallisent un nombre impressionnant de questions pour ne pas dire de crispations.

La loi fixe comme exigence un renforcement de certaines obligations comme la « loyauté » ou crée de nouvelles obligations comme la portabilité des données ou encore le droit des « avis en ligne ».

Grande matinée juridique Acsel 2e table rondeLà encore, de nombreuses questions se posent. Qu’est-ce qu’une plateforme ? Faut-il leur imposer des droits spécifiques au point de les stigmatiser ? Les plateformes bénéficient-elles ou non du cadre de responsabilité spécifique des hébergeurs ? Qu’est-ce que la neutralité ?

Cette table-ronde réunissait Laure de la Raudière, députée d’Eure-et-Loir, Olivier Mathiot, P.D-G de Price Minister, Franck Avignon, Legal counsel France, Airbnb, et Corinne Lejbowicz, P. D-G de Prestashop..

Loi Lemaire et données personnelles

La loi comporte un certain nombre de dispositions nouvelles sur le droit des données personnelles mais aussi les pouvoirs de la Cnil. Elle anticipe sur certains aspects le Règlement européen sur les données personnelles.

Grande matinée juridique Acsel 3e table ronde

La troisième table ronde était présidée par Nicolas Herbreteau, directeur des relations institutionnelles d’Endered. Son objectif était est de brosser un tour d’horizon des nouvelles obligations issues non seulement de la loi Lemaire mais également d’aborder les incidences du règlement européen sur les données à caractère personnel et la mort du Safe Harbor remplacé par le Privacy Shield.

Participaient à cette réunion Hélène Legras, Correspondant informatique et libertés/Data Protection Officer des sociétés du groupe Areva auprès de la Cnil – Vice-Présidente de l’ADPO ; Marc Mossé, Directeur Affaires juridiques et affaires publiques, Microsoft, Vice-Président de l’AFJE ; Edouard Geffray, Secrétaire général de la Cnil ; Amal Taleb, Vice-Présidente du Conseil National du Numérique.

A l’issue de cette matinée, on apprenait que le Sénat avait voté définitivement le texte de loi (3).

Eric Bonnet
Directeur du département Communication juridique

(1) Acsel, Communiqué sur la Grande Matinée Juridique du 28-9-2016.
(2) Barreau de Paris, présentation de la « Commission Marchés émergents, audiovisuel et droit du numérique ».
(3) Sénat, Texte n°185 du 28-9-2016, Petite loi. Voir également le Post du 29-9-2016 et le Post du 30-9-2016




Norme simplifiée n°48 : modification par la Cnil

Norme simplifiée n°48 : modification par la CnilLa norme simplifiée n°48 pour la gestion des fichiers clients et prospects a été de nouveau actualisée par la Cnil.

Cette actualisation (1) a pour objectif d’une part de prendre en considération les évolutions du commerce et des méthodes de prospection. D’autre part, elle vise à intégrer les recommandations contenues dans les délibérations de la Cnil adoptées depuis 2012, notamment dans la recommandation relative aux cookies (2) ou l’avis sur la création du téléservice « Bloctel » ayant pour finalité la gestion de la liste d’opposition au démarchage téléphonique (3).

Une mise en conformité de la norme simplifiée n°48 aux évolutions du commerce et des méthodes de prospection

La nouvelle norme simplifiée n°48 apporte un certain nombre d’éclairage sur les durées de conservation que les responsables de traitement devront strictement respecter s’ils souhaitent souscrire à un engagement de conformité à cette norme et ainsi pouvoir bénéficier des avantages de cette procédure simplifiée. La Cnil précise, en reprenant la logique de sa délibération de 2005 (4), les différences entre les archives courantes et les archives intermédiaires. S’agissant des « comptes utilisateurs », la Cnil énumère les conditions dans lesquelles ces derniers doivent être conservés ou supprimés.

En outre, la Cnil étoffe la rédaction de sa nouvelle norme en ajoutant des exemples permettant d’en faciliter la compréhension. Ainsi, elle donne des exemples de ce qui peut être ou non considéré comme un contact émanant d’un prospect. En matière de sécurité, elle précise les conditions de conservation des pièces d’identité, etc.

Ensuite, toujours soucieuse de protéger les consommateurs, la Cnil rappelle les modalités pratiques d’information des personnes, notamment s’agissant des mentions devant figurer sur les questionnaires. A cet égard, elle précise que le terme « questionnaire » doit être entendu au sens large et inclut notamment « les formulaires à compléter sur un site web ».

Dans cette même logique, elle confirme que l’opposition d’une personne à des fins de prospection commerciale doit pouvoir intervenir à tout moment, sans avoir à être motivée.

Enfin, la Cnil a amendé les articles relatifs à la sécurité et aux transferts de données (ne sont dorénavant plus visés les principes Safe Harbor, qui ont été invalidés).

La prise en compte dans la nouvelle norme simplifiée n°48 des obligations liées à la création du téléservice « Bloctel »

La nouvelle norme simplifiée n°48 a défini comme finalité « l’actualisation [des] fichiers de prospection par l’organisme en charge de la gestion de la liste d’opposition au démarchage téléphonique ».

Par ailleurs, cet organisme figure dorénavant dans la liste des destinataires potentiels des données.

Enfin, s’agissant de l’information des personnes et de l’exercice de leurs droits, la Cnil rappelle expressément les nouvelles conditions applicables à la prospection par voie téléphonique auxquelles devront se conformer les responsables de traitement.

L’intégration des recommandations de la Cnil sur les cookies

Pour ce faire, la Cnil, en renvoyant à sa recommandation de 2013 sur le sujet, a ajouté à la liste des informations collectées et traitées, celles collectées par le biais des cookies et autres traceurs.

Dans sa nouvelle norme simplifiée n°48, la Cnil a aligné les durées de conservation sur celles prévues dans sa recommandation, en consacrant ainsi la durée de conservation de 13 mois, tant au sujet des statistiques de mesures d’audience que des données de fréquentation brutes.

La consécration des recommandations de la Cnil sur les données bancaires

La Cnil ajoute à la liste des données traitées le cryptogramme visuel, tout en précisant que ce dernier ne devra pas être conservé.

La nouvelle norme simplifiée n°48 précise également, conformément aux délibérations de la Cnil, les durées de conservation des données bancaires. Ainsi, en particulier, la Cnil affine la rédaction de la norme sur la possibilité, pour les responsables de traitement, de conserver les données de leurs clients pour la réalisation de transactions ultérieures.

Cette nouvelle délibération abroge la précédente délibération n° 2012-209 du 21 juin 2012 portant création d’une norme simplifiée concernant les traitements automatisés de données à caractère personnel relatifs à la gestion de clients et de prospects.

La Cnil fixe un délai de 12 mois à compter de la publication de la norme à tous les organismes privés et publics ayant effectué une déclaration simplifiée en référence à l’ancienne norme pour se mettre en conformité avec la nouvelle norme simplifiée n°48.

Aussi, il importe, pour les responsables de traitement qui ont fait un engagement de conformité à l’ancienne norme simplifiée, de vérifier qu’ils sont conformes à la nouvelle. Dans le cas contraire, ils devront établir une déclaration normale, le délai accordé étant antérieur à mai 2018, date à laquelle le règlement européen 2016/679 (5) sera effectivement contraignant et dispensera les responsables de traitement de toute formalité.

Lexing Alain Bensoussan Avocats
Lexing Publicité et Marketing électronique

(1) Cnil, Délib. 2016-264 du 21-7-2016
(2) Cnil, Délib. 2013-278 du 5-12-2013
(3) Cnil, Délib. 2016-264 du 21-7-2016
(4) Cnil, Délib. 2005-213 du 11-10-2005
(5) Règl. (UE) 2016/679 du 27-4-2016 : JOUE 2016 L 119 p.1.




Cookies : la Cnil surveille les professionnels non éditeurs

Cookies : la Cnil surveille les professionnels non éditeurs

La Cnil étend ses contrôles aux partenaires publicitaires des éditeurs de sites émettant aussi des cookies.

Dans un article publié sur son site internet le 27 juillet 2016, la Cnil rappelle les principes clés du traitement des cookies et explique les motifs de l’extension de ses contrôles aux partenaires publicitaires, des éditeurs de sites webs.

Responsabilité des éditeurs de sites webs et des partenaires publicitaires émettant des cookies

Les règles en matière de dépôt de cookies imposent au responsable de traitement de recueillir le consentement libre et révocable des utilisateurs avant tout dépôt de cookies.

Jusqu’alors, les éditeurs étaient les principaux acteurs visés par les contrôles de la Cnil lorsqu’ils affichaient une publicité accompagnée d’un traçage ou d’un dépôt de cookies.

Cependant, la Cnil soulève la difficulté des éditeurs à assumer seuls la responsabilité du respect de ces obligations. Certains cookies sont issus de serveurs tiers et sont liés à l’activité de leurs partenaires. Les éditeurs n’ont dès lors aucune maîtrise sur le respect de règles relatives à ces traceurs.

A l’occasion de sa recommandation du 5 décembre 2013, la Cnil avait déjà affirmé que l’obligation d’information et de recueil du consentement s’imposait tant aux éditeurs de sites, systèmes d’exploitation et applications, qu’aux partenaires publicitaires, aux réseaux sociaux et aux éditeurs de solutions de mesures d’audience.

A cet égard, le Règlement européen sur la protection des données à caractère personnel confirme que « lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement » (1).

C’est à ce titre que la Cnil étend ses contrôles aux tiers et partenaires publicitaires des éditeurs de sites webs qui doivent également être considérés comme responsables de traitement. En effet, les données ne sont pas uniquement collectées et traitées pour les éditeurs de sites. Les partenaires traitent et exploitent eux-aussi ces données pour des finalités qui leur sont propres.

Les obligations des professionnels non éditeurs

Dès lors, les professionnels non éditeurs émettant des cookies doivent se conformer aux dispositions de la loi Informatique et libertés, ainsi qu’à celles du règlement européen applicables en 2018, au même titre que les éditeurs de sites.

La Cnil énonce quelques unes des obligations incombant tant aux partenaires qu’aux éditeurs webs :

  • limitation de la durée de conservation des données qui ne peut excéder 13 mois pour les cookies ;
  • collecte loyale des données : à cette fin, un certain nombre d’informations doivent être accessibles aux internautes, à savoir l’identité du partenaire, la finalité du traitement qu’il effectue, les destinataires ou les catégories de destinataires qui vont recevoir ces données, les droits dont les personnes concernées disposent (opposition, rectification, accès, etc.) ;
  • mise en place de moyens permettant aux personnes concernées d’exercer ces droits de manière effective.

La Cnil recommande la mise en place d’un système permettant de clarifier l’existence des divers acteurs intervenant dans le traitement des données des internautes. Elle conseille ainsi la tenue d’une liste des partenaires afin que soient rassemblées et facilement accessibles les informations de ces tiers émettant des cookies. Cette liste devrait comprendre un lien propre vers une page individuelle contenant les informations devant être portées à la connaissance des internautes.

Cependant, ce futur afflux d’informations ne doit pas noyer l’internaute. Ce dernier doit pouvoir accéder de façon transparente et claire aux informations nécessaires concernant chacun des traitements effectués, quel qu’en soit l’acteur.

Virginie Bensoussan – Brulé
Lexing Contentieux numérique

(1) Règlement (UE) 2016/679 du 27-4-2016 sur la protection des données à caractère personnel, art. 26.




Loi pour une République numérique : ce qui va changer

Loi pour une République numérique : ce qui va changerCyril Zimmermann décrypte pour le Journal du Net le projet de loi pour une République numérique, à quelques semaines de la Grande matinée juridique que lui consacre l’Acsel le 28 septembre 2016.

Le Sénat examinera le mardi 27 septembre prochain les conclusions de la commission mixte paritaire sur le projet de loi pour une République numérique, adoptés par l’Assemblée nationale le 20 juillet.

Cyril Zimmermann, PDG de HiMedia, de Citybird et fondateur de HiPay, président de l’Acsel (le Hub de la transformation digitale), décrypte ce texte pour les lecteurs du Journal du net, à quelques semaines de la grande matinée juridique organisée par l’Acsel en partenariat avec le Barreau de Paris sur ce thème, qui se tiendra à la Maison, du barreau le 28 septembre 2016.

La loi pour une République numérique, comme le fut en son temps la loi pour la confiance dans l’économie numérique, va marquer profondément le droit du numérique.

Loi pour une République numérique : quel impact pour les entreprises ?

Trois sujets méritent une attention tout à fait particulière, qu’évoque Cyril Zimmermann dans l’entretien précité :

  • d’une part, la création d’un véritable droit de l’open data ;
  • d’autre part, un renforcement du droit des plateformes ;
  • enfin, une révision du droit des données à caractère personnel.

Autant de sujets qui seront évoqués dans le 28 septembre prochain à la Maison du Barreau.

L’occasion également de donner la parole aux experts, personnalités du monde politique et de l’entreprise pour en débattre à travers 3 tables rondes.

Loi pour une République numériqueet Open data

Tout le monde en parle mais c’est bien la loi pour une République numérique qui, pour la première fois en France, fixe le cadre juridique de l’open data (ouverture des données publiques).

Tout d’abord, qu’est-ce que l’open data ?

Ensuite, faut-il distinguer les données brutes et les données enrichies ?

Enfin, quels sont les nouveaux droits fixés par la loi ? Et qu’en est-il des exceptions comme l’exception scientifique ?

Ces questions seront abordées au sein de la première table ronde.

Loi pour une République numérique et droit des plateformes

Les plateformes cristallisent un nombre impressionnant de questions, pour ne pas dire de crispations. La loi fixe comme exigence un renforcement de certaines obligations, comme la « loyauté »; Elle en  crée également de nouvelles comme la portabilité des données ou le droit des « avis en ligne ».

Là encore, de nombreuses questions se posent. Qu’est-ce qu’une plateforme ? Faut-il leur imposer des droits spécifiques au point de les stigmatiser ? Les plateformes bénéficient-elles du cadre de responsabilité spécifique des hébergeurs ? Qu’est-ce que la neutralité ?

Loi pour une République nuémrique et données personnelles

La loi comporte un certain nombre de dispositions nouvelles sur le droit des données personnelles mais aussi les pouvoirs de la Cnil.

Elle anticipe par ailleurs et sur certains aspects le Règlement européen sur les données personnelles.

L’objectif de cette troisième table ronde est de faire un tour d’horizon des nouvelles obligations issues de la loi Lemaire. Mais également d’aborder les incidences du Règlement européen sur les données à caractère personnel et sur la mort du Safe Harbor remplacé par le Privacy Shield.

Eric Bonnet
Directeur du département Communicationjuridique




Plateformes juridiques : quelle place pour les avocats ?

plateformes juridiquesDans la Quotidienne des Editions Francis Lefebvre, Alain Bensoussan a été interviewé sur les plateformes juridiques.

Résolument optimiste quant à l’avenir de sa profession, il détaille dans cet entretien les perspectives qui s’offrent aux juristes. Ceux-ci devront, à ses yeux, se former sans attendre au langage informatique.

Les plateformes juridiques réunissent le traitement automatisé de données et la production d’algorithmes.

Elles arrivent en France 10 ans après les Etats-Unis. Il s’agit pour Alain Bensoussan de « copies sans créativité particulière par rapport à leurs antécédents américains.

Il juge l’innovation « très forte par rapport au marché français, assez faible par rapport au marché anglo-saxon ». Selon lui, elles vont indéniablement réussir en Europe et en France.

Plateformes juridiques: comment les avocats vont-ils pouvoir résister ?

« Des cabinets d’avocat se lancent » répond Alain Bensoussan. « Ainsi, pour répondre aux besoins spécifiques des correspondants informatique et libertés (CIL) et des data protection officers (DPO) des entreprises, un département de notre cabinet a développé une plateforme, Lexing Tech, bibliothèque d’outils juridiques disponibles en mode SaaS ».

Par ailleurs, il restera toujours pour l’avocat une place pour le conseil stratégique et le contentieux. « Sur ces deux segments de marché, l’intervention humaine est majeure. Elle sera attaquée par l’IA et par l’algorithmique comme c’est déjà le cas pour d’autres activités. Watson est un robot qui, ayant battu les meilleurs joueurs au Jeopardy, est aujourd’hui introduit dans le domaine de la santé et du diagnostic de cancers. Là où les professeurs de médecine se trompent une fois sur deux, il se trompe seulement une fois sur dix … ».

Quelle est la vision d’Alain Bensoussan à 10 ans des plateformes juridiques en ligne ? « A cinq ans, les plateformes juridiques seront dominantes. Les start-up actuelles auront amélioré la qualité de leurs contenus. Elles les auront agrégés et mettront de l’IA dans ce big data. Le développement des applications risque de réduire le conseil et le contentieux. A dix ans, la médiation augmentera de manière significative sur le marché du droit. Par conséquent, les avocats se concentreront sur le très haut conseil stratégique et le contentieux haut de gamme, les dossiers d’une grande complexité, sur lesquels ils ne seront pas remplacés par des robots logiciels ».

Plateformes juridiques : comment les avocats peuvent-ils s’adapter ?

La seule solution aux yeux d’Alain Bensoussan ? Qu’ils aient « leurs propres plateformes, avec des contrats réservés à telle ou telle entreprise. Il faut appréhender le métier en plateforme ».

Et de conclure à l’attention de ses confrères: « Le grand métier de demain, c’est le nôtre (…). A l’avenir, le nouveau guide sera l’avocat qui doit prendre en compte la technologie pour développer sa capacité d’accompagnement (…). Le besoin juridique sera de plus en plus important. Les avocats ont tout pour réussir à l’avenir, à condition de saisir les opportunités technologiques puisque l’IA, bien plus compliquée, arrive aussi dans le monde du droit. Dans dix ans, on peut penser qu’on n’embauchera plus de juristes qui ne sachent pas coder. Les avocats doivent impérativement se former ».

Eric Bonnet
Directeur du département Communication juridique




Un site de vente en ligne sanctionné par la Cnil

site de vente en ligne sanctionné par la CnilUne société de déstockage de mode a été sanctionnée par la Cnil à 30 000 € d’amende pour divers manquements. 

Un site de vente en ligne sanctionné suite à la plainte d’une utilisatrice

Lorsque la Cnil a procédé en janvier 2015 à un contrôle dans les locaux et sur le site internet de la société, des manquements ont été constatés. Quelques semaines plus tard, c’est une cliente du site qui s’adresse à la Cnil pour dénoncer les difficultés qu’elle rencontrait dans l’exercice de son droit d’accès.

Malgré une injonction réitérée de faire droit à la demande de cette cliente et de se mettre en conformité avec la réglementation, sous peine de sanction, la société n’a pas réagi. La Cnil a alors mis en demeure la société de se conformer à la législation. La société, après s’être vu octroyer un délai supplémentaire, a indiqué à la Cnil s’être conformée à la mise en demeure.

La Cnil a alors procédé à un nouveau contrôle pour vérifier l’effectivité de la mise en conformité. Lors de ce contrôle, des manquements ont de nouveau été constatés par la Cnil ; ce qui explique que la Cnil a prononcé une sanction pécuniaire à l’issue d’une procédure contradictoire.

Un site de vente en ligne sanctionné pour manquements répétés

D’une part, la société a manqué de réaliser des formalités préalables nécessaires. D’autre part, elle n’a pas défini de durée maximale de conservation des données.

Il a également été reproché à la société de ne pas s’être mise en conformité avec les dispositions de l’article 32-II relatives aux cookies, en particulier sur l’obligation de recueillir le consentement préalable des visiteurs, avant toute installation de cookies.

La sécurité des données personnelles étaient aussi en cause. Les communications de ces données se faisaient sans protocole sécurisé « https », même sur les pages les plus sensibles du site.

Enfin, les données collectées étaient transférées vers un pays n’offrant pas un niveau de protection suffisant de la vie privée et sans avoir obtenu l’autorisation préalable de la Cnil.

Un site de vente en ligne sanctionné publiquement

Au regard de l’importance des manquements et du volume d’utilisateurs concernés, la Cnil a rendu publique la sanction de 30 000€ contre la société. La Cnil veut ainsi rappeler les obligations des professionnels et sensibiliser les internautes à leurs droits.

La société dispose d’une voie de recours contre la décision.

Lexing Alain Bensoussan Selas
Lexing Publicité et marketing électronique

Délib. Cnil n° 2016-204 du 7-7-2016 prononçant une sanction pécuniaire à l’encontre de la société de vente en ligne.




Décret encadrant la mise en place des téléservices

Décret encadrant la mise en place des téléservicesLe décret permettant d’encadrer la mise en œuvre des téléservices est paru au journal officiel du 29 mai 2016 (1).

Il concilie deux impératifs :

  • la simplification des démarches pour les usagers qui souhaitent adresser à une administration, une demande, une déclaration, un document ou une information, ou lui répondre par la voie électronique ;
  • la constitution et l’utilisation des fichiers avec les droits et les libertés des usagers, notamment en limitant les interconnections entre administrations.

La loi du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés est conçue pour encadrer et contrôler le développement de l’informatique. Cette loi a mis en place un ensemble de contraintes qui permet de préciser les limites et les garanties à respecter à l’occasion du traitement de données à caractère personnel. En outre, elle limite fortement, pour les administrations, les possibilités de croisement des fichiers informatiques en leur possession, ce qui nuit à la simplification des démarches administratives (multiplication des demandes d’information redondantes auprès des administrés).

Le présent décret tient compte de ces deux impératifs à savoir garantir le respect des libertés individuelles des usagers et simplifier l’exercice des démarches administratives, en permettant aux usagers de les faire par voie électronique.

Il fixe en particulier les catégories de données à caractère personnel qui sont enregistrées et traitées, à l’initiative des usagers, dans les téléservices pour les particuliers, pour les entreprises, pour les associations ainsi que pour la traçabilité des accès.

Au titre des garanties, le décret prévoit que :

  • l’autorisation des téléservices « est subordonnée à l’envoi à la Commission nationale de l’informatique et des libertés d’un engagement de conformité faisant référence au présent décret et accompagné d’une description synthétique des fonctionnalités, de la sécurité desdits téléservices particulièrement en cas d’interconnexions, et des éventuelles transmissions et interconnexions mises en œuvre » ;
  • les téléservices « sont créés par un acte réglementaire publié des services ou des établissements qui en ont la responsabilité juridique, lequel vise l’engagement de conformité prévu à l’alinéa précédent ».

Consultée pour avis (2), la Cnil rappelle que s’agissant de la mise en œuvre d’un téléservice au sens de l’ordonnance n° 2005-1516, les téléservices doivent notamment être conformes aux référentiels généraux de sécurité (RGS) et d’interopérabilité (RGI). Ils doivent en outre, dans certaines conditions, respecter le Référentiel général d’accessibilité à l’administration (RGAA).

La Cnil estime que ces mesures doivent être conformes à l’exigence de sécurité prévue par l’article 34 de la loi du 6 janvier 1978 modifiée et rappelle que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques. Les responsables de traitement devront ainsi être tout particulièrement attentifs aux mesures permettant de garantir, d’une part, l’intégrité des données transmises entre administré et administration et, d’autre part, leur confidentialité, notamment au regard des attributions légales des agents y accédant et du niveau d’authentification requis pour apporter une réponse à l’administré.

Polyanna Bigle
Lexing Droit Sécurité des systèmes d’information

(1) Décret 2016-685 du 27-5-2016, JO du 29-5-2016.
(2) Délibération 2016-111 du 29-5-2016.




Publication des thématiques des contrôles Cnil pour 2016

Publication des thématiques des contrôles Cnil pour 2016La Cnil a publié les thématiques qu’elle entend privilégier pour diligenter ses contrôles en 2016 (1).

Tous les ans, la Cnil mène de multiples contrôles sur place, sur audition, sur pièce ou encore en ligne.

Si une partie des contrôles est menée en fonction de l’actualité, des plaintes reçues et des vérifications à effectuer suite à des courriers, des mises en demeure ou des sanctions, 25 % des contrôles qu’elle mène sont, quant à eux, publiés à l’avance.

Thématiques retenues. L’année 2015 a été marquée par des contrôles dans le domaine du paiement sans contact ou le fichier national des permis de conduire. Pour 2016, la Cnil a prévu de mener des contrôles sur les thématiques suivantes :

  • le système national d’information inter-régimes de l’assurance maladie (SIIRAM) ;
  • le fichier API-PNR ;
  • les courtiers en données ou data brokers.

Le premier thème retenu pour les contrôles porte sur le domaine de la santé à travers l’analyse de la conformité du système national d’information inter-régimes de l’assurance maladie à la loi Informatique et libertés. Ce système SIIRAM se présente comme une base de données nationale contenant des millions d’enregistrements issus des demandes de remboursement de frais de santé. L’objectif de ce contrôle par la Cnil est de vérifier la sécurité des données et la réalité de la pseudonymisation des données à caractère personnel afin d’empêcher l’identification des patients concernés.

Le second thème porte sur le système API-PNR (Advance Passenger Information-Passenger Name Record) qui est un fichier de contrôle des déplacements aériens permettant de lutter contre le terrorisme et le trafic de drogue autorisé par la loi à titre expérimental en 2013. La Cnil avait publié deux avis en juillet 2014 (1) et juillet 2015 (2) en raison de la possible atteinte particulièrement grave au droit au respect de la vie privée et à la protection des données personnelles. Son contrôle aura pour objectif de vérifier le respect de la loi Informatique et libertés au regard de ces deux avis et de s’assurer de la bonne mise en œuvre des garanties prévues afin de réduire le risque d’atteinte portée à la vie privée et à la protection des données personnelles.

Le dernier thème est consacré aux intermédiaires dits Data Brokers dont le rôle est de collecter des données à caractère personnel, de les analyser et de déterminer des profils client sur la base des comportements des clients et de leurs centres d’intérêts puis de revendre ces données à des entreprises qui les utilisent dans le cadre de leur activité économique. L’objectif du contrôle de la Cnil consistera à veiller au respect des obligations de pertinence des données et d’information des personnes, de consentement, de respect des droits, comme celui du droit d’accès, et de sécurité.

Dispositifs de vidéosurveillance et de vidéoprotection. De plus, la Cnil prévoit que 20 % de ses contrôles sera consacré à la vérification des dispositifs de vidéosurveillance et de vidéoprotection.

On peut rappeler qu’en 2014, ces contrôles représentaient un tiers des contrôles effectués et un quart en 2015.

Sweep Day. L’année 2016 sera également marquée par un nouveau Sweep Day sur le thème des objets connectés et notamment les objets domotiques, de santé et de bien-être.

Ces Sweep Day ont pour objet, le temps d’une période donnée, pour la Cnil et ses homologues européens ou mondiaux de mener un audit des principaux sites internet et applications mobiles afin de dresser un état des lieux des pratiques européennes et mondiales en fonction d’une thématique déterminée.

Ainsi, ce nouveau Sweep Day est le quatrième volet d’une série qui a débuté en mai 2013 (4) par un « Internet Sweep Day » afin d’évaluer le niveau d’information des internautes sur les sites internet ou les applications mobiles les plus visités. Cela s’est ensuite poursuivi par un « Cookie Sweep Day » au niveau européen en septembre 2014 (5) concernant les cookies, puis par un nouvel « Internet Sweep Day » au niveau mondial relatifs aux sites internet et aux applications mobiles pour les enfants (6).

Il convient donc aux entreprises concernées par ce programme de contrôle de s’assurer d’ores et déjà de la bonne conformité de leurs traitements à la loi Informatique et libertés et de mettre en place une procédure interne permettant de se préparer à un éventuel contrôle de la Cnil.

Lexing Alain Bensoussan Avocats
Lexing, Droit Informatique et libertés

(1) Programme des contrôles Cnil 2016.
(2) Délib. Cnil 2014-308 du 17-7-2014.
(3) Délib. Cnil 2015-230 du 9-7-2015.
(4) Internet Sweep Day 2013.
(5) Cookie Sweep Day 2014.
(6) Internet Sweep Day 2015.




Contentieux Cnil : une autorisation unique de la Cnil

Contentieux : une autorisation unique de la CnilLa Cnil a adopté le 14 janvier 2016 une autorisation unique n°46 relative à la gestion des contentieux Cnil.

Les responsables de traitements peuvent être contraints de défendre leurs intérêts en justice ; il est dès lors souvent nécessaire de recourir à un traitement de données à caractère personnel.

Or, les traitements utilisés pour préparer et gérer des contentieux sont, par nature, susceptibles de porter sur des données relatives à des infractions et condamnations pénales, ou sur des mesures de sûreté, en application de l’article 25-I-3° de la loi Informatique et libertés, la mise en œuvre de tels traitements doit être autorisée par la Cnil.

Il n’est pas nécessaire qu’un comportement répréhensible ait été constaté par une personne assermentée ou qu’un tribunal ait rendu une décision pour relever de la procédure d’autorisation. En effet, la Cnil interprète largement les notions d’infractions, condamnations et mesures de sûreté. Conformément à la jurisprudence du Conseil d’Etat, la Cnil considère que le champ d’application de l’article précité couvre également les données qui, en raison des finalités du traitement, ne sont collectées que dans le but d’établir l’existence ou de prévenir la commission d’infraction, y compris par un tiers.

Par une récente délibération (1), la Cnil est venue simplifier et accélérer le processus d’obtention de ces autorisations en adoptant une nouvelle autorisation unique : l’autorisation AU-46.

Ainsi, la Cnil considère que peuvent faire l’objet d’un engagement de conformité à l’autorisation unique les traitements de données relatives à des infractions, condamnations et mesures de sûreté pour préparer, exercer et suivre une action disciplinaire ou un recours juridictionnel et , le cas échéant, faire exécuter la décision rendue. Cette autorisation concerne tous les secteurs d’activité et tous les types de contentieux.

Encore faut-il que le cadre fixé par la Cnil dans sa délibération soit respecté en termes notamment de données, de destinataires, de durée de conservation de sécurité et d’information des personnes concernées.

L’AU-46 autorise par exemple la collecte des données relatives à :

  • l’identification des personnes mises en cause, des victimes, des témoins et des auxiliaires de justice mandatés dans la procédure ;
  • des infractions, condamnations ou mesures de sûreté, en particulier :
  • les faits litigieux ;
  • les informations, documents et pièces recueillis tendant à établir des faits ;
  • les caractéristiques du contentieux (dates, juridiction, griefs, etc.) ;
  • la date, la nature, les motifs, le montant et les échelonnements des condamnation ;
  • les commentaires relatifs à la description et au suivi de la procédure.

Concernant la durée de conservation, la Cnil précise que :

  • les données collectées et traitées dans le cadre de la gestion d’un pré-contentieux doivent être supprimées dès le règlement amiable du litige ou, à défaut, dès la prescription de l’action en justice correspondante ;
  • les données collectées et traitées dans le cadre d’un contentieux doivent être supprimées lorsque les voies de recours ordinaires et extraordinaires ne sont plus possibles contre la décision rendue ;
  • en revanche, les décisions rendues peuvent être conservées par le responsable de traitement à titre d’archive définitive en raison d’un intérêt historique.

Dans les faits, il appartiendra donc aux entreprises de vérifier la conformité de leurs traitements relatifs à la gestion des contentieux à l’autorisation unique n°46.

Lexing Alain Bensoussan Avocats
Lexing, Droit Informatique et libertés

(1)  Cnil, Délib. 2016-005 du 14-1-2016




La biométrie prête sa voix pour sécuriser les transactions

biometric screening eye©santiago silver_FotoliaLes techniques de biométrie sont de plus en plus utilisées dans le monde comme moyens de sécurisation de transactions.

La biométrie s’intègre parfois dans les cartes bancaires (empreinte digitale), dans les distributeurs de billets (reconnaissance faciale) ou encore peut être utilisée en lien avec un service de paiement mobile ou par internet, comme la Cnil vient pour la première fois de l’autoriser en France.

En effet, la loi Informatique et libertés soumet à autorisation de la Cnil les traitements automatisés comportant des données biométriques nécessaires au contrôle de l’identité des personnes (1).

Phase expérimentale

Au cours des dernières années, la Cnil a été saisie de plusieurs autorisations portant sur des systèmes d’authentification des auteurs de transactions bancaires au moyen de la biométrie, notamment vocale.

Jusqu’en février 2016, les autorisations délivrées par la Cnil ne portaient toutefois que sur des traitements mis en œuvre à titre expérimental. La durée de ces expérimentations variait entre 3 et 15 mois et ces dernières pouvaient concerner jusqu’à plusieurs milliers d’individus, salariés et/ou clients de la société responsable du traitement.

D’une manière générale, la phase d’expérimentation permet au responsable de traitement d’évaluer :

  • la faisabilité du traitement ;
  • la qualité de la technique de biométrie vocale utilisée (ex : mesure des faux positifs et faux négatifs) ;
  • la facilité d’utilisation du service envisagé (ex : ergonomie du service, temps moyen d’authentification).

Phase de généralisation

Les résultats des expérimentations menées par une banque se sont visiblement révélés positifs puisque la Cnil vient de l’autoriser à généraliser un système d’authentification des porteurs de cartes bancaires par reconnaissance vocale (2).

Une phase d’expérimentation d’une durée totale de 2 ans a en effet permis à cette banque de confirmer l’appétence du public pour ce type de service (fluidité des parcours, sentiment de sécurité), en relevant un taux de satisfaction de 86%.

Une authentification forte

La Commission se montre ainsi favorable à l’utilisation de la biométrie dans le cadre de la sécurisation du paiement à distance. Elle observe à ce titre que la mise en place d’une authentification forte des clients souhaitant régler des transactions en ligne, reposant sur l’utilisation de plusieurs éléments d’authentification, répond à un phénomène de fraude aux paiements à distance en constante augmentation.

En l’espèce, la méthode d’authentification choisie s’appuie sur deux éléments d’authentification : la réception d’un appel sur un téléphone préalablement enrôlé (« ce que je possède ») et la reconnaissance de la voix (« ce que je suis ») (3). Ainsi, le dispositif biométrique n’a pas vocation à fournir un moyen d’authentification autonome. Il vient renforcer un dispositif existant qui s’appuie sur la possession d’un objet, à savoir le téléphone portable de la personne concernée.

Une méthode d’authentification proposée et non imposée

Conformément à l’article 7 de la loi Informatique et libertés (4), le traitement de reconnaissance vocale autorisé par la Cnil s’appuie sur le consentement spécifique, libre et éclairé des personnes concernées.

La méthode d’authentification est ainsi proposée aux clients de la banque en tant qu’alternative à l’authentification par saisie d’un code à usage unique, le client pouvant à tout moment revenir sur son choix.

Technique biométrique utilisée

La technique de reconnaissance vocale utilisée se base sur la modélisation physique des caractéristiques du conduit vocal de la personne concernée. Un modèle de voix non réversible est alors constitué.

En effet, le modèle ne constitue pas un enregistrement de la voix de la personne concernée. Il reproduit une distribution de probabilités de plusieurs caractéristiques de la voix du client. Les caractéristiques biométriques du client ne pourront donc pas être reconstituées à partir du modèle.

Etude d’impact

Dans les différentes autorisations expérimentales délivrées par la Cnil, la Commission a exigé de chaque responsable de traitement qu’il communique un bilan des modalités de fonctionnement et d’utilisation du dispositif au terme de la phase d’expérimentation.

Notamment, une présentation des enjeux spécifiques relatifs à la protection des données doit être envoyée à la Cnil, incluant les risques identifiés et les mesures adoptées pour les limiter, ainsi qu’une synthèse relative au respect des dispositions de la loi Informatique et libertés.

La banque dont le traitement vient d’être autorisé a ainsi réalisé une étude d’impact à l’issue de ses expérimentations. La Cnil a alors pu relever que « les mesures techniques adoptées [avaient] permis de réduire à un niveau de vraisemblance et de gravité faible les impacts résultant notamment des risques de fuites ou de pertes des données, d’indisponibilité du dispositif ou d’usurpation d’identité ».

Cette démarche apparaît en accord avec l’approche par les risques proposée au niveau européen dans la proposition de règlement général sur la protection des données. Elle permet notamment d’anticiper l’obligation pour les responsables de traitement de réaliser des analyses d’impact relatives à la protection des données, en particulier en cas de traitement à grande échelle de données biométriques.

Pour conclure, les sociétés souhaitant mettre en place des systèmes d’authentification d’auteurs de transactions bancaires au moyen de la biométrie sont invitées à réaliser des analyses de l’impact de leur traitement sur la protection des données et à déposer auprès de la Cnil un dossier de demande d’autorisation.

Alain Bensoussan Avocats
Lexing, Droit Informatique et libertés

(1) Loi 78-17 du 6-1-1978, art. 25-I-8°.
(2) Cnil, Délib. 2016-037 du 18-2-2016.
(3) Une troisième catégorie regroupe les éléments que la personne connaît, tels que par exemple un mot de passe.
(4) Loi 78-17 du 6-1-1978, art. 7.