Clearview : la France protège vos données biométriques

Clearview

Alain Bensoussan a été interviewé par le magazine L’Express, sur les données biométriques utilisées par Clearview AI.

L’application Clearview propose une base de données qui est déjà largement utilisée par les services d’ordre américains pour procéder à des contôles d’identité grâce à la reconnaissance faciale. Cette application qui n’est pas encore disponible en Europe, propose une base de données biométriques d’ordre international qui inquiète pour les menaces qu’elle représente pour notre vie privée.

Les données biométriques : des données sensibles

Alain Bensoussan, avocat spécialisé dans le droit numérique et les nouvelles technologies, s’exprime sur l’illégalité du traitement de données personnelles et de la technique utilisée : le « scraping« . Cette pratique consiste à récupérer automatiquement, à l’aide d’un programme, des données personnelles, en l’occurence des photographies de personnes et leur identité.

« Tout ce qui touche à la biométrie, c’est-à-dire à l’identification des personnes en fonction de leurs caractéristiques biologiques, physiques et comportementales est une pratique très encadrée ».

Mettre en ligne sur les réseaux sociaux des photos et les diffuser de manière publique ne signifie pas pour autant qu’elles soient entièrement libres de droits. La représentation d’une personne reste une donnée biométrique, personnelle et privée, et, à ces différents titres, protégée. Le fait que ces photos soient accessibles ne justifie pas qu’elles soient librement et légalement téléchargeables et réutilisables.

(1) « Vie privée : pourquoi l’application Clearview ne devrait pas arriver en France » par Manon Fossat, L’Express, 22-01-2020.




Guide Innovation Leaders League 2019 : le cabinet à l’honneur

Leaders League 2019Alain Bensoussan Avocats Lexing est leader en IT & Software, Internet Law et Data Protection dans le classement international Innovation  Leaders League 2019.

Comme chaque année, Leaders League publie son nouveau Guide-Annuaire international « Innovation : Technology & Patents (Life Sciences – Software -IT- Internet – Telecoms) ».

L’occasion d’y retrouver l’actualité stratégique internationale, les portraits et interviews des dirigeants, ainsi que les classements pays par pays des meilleurs acteurs et l’annuaire de spécialistes du secteur.

Informatique, internet & données personnelles : le cabinet leader

Figurant parmi les Best Law Firms, le cabinet Alain Bensoussan Avocats Lexing est classé « Leading » (Incontournable) par le Guide Leaders League 2019 en :

  • IT & Software,
  • Internet Law,
  • Data Protection.

Dans ces matières les avocats à l’honneur sont Alain Bensoussan (IT & Software, Internet Law et data Protection) ainsi qu’à ses côtés, Jean-François Forgeron, Benoît de Roquefeuil et Frédéric Forster en IT & Software.

Télécoms : la forte notoriété du cabinet

Le cabinet est également classé comme « Hautement recommandé » (Highly recommended) dans le domaine Télécoms.

Nous sommes particulièrement fiers de la position du cabinet dans ces classements qui confirme une nouvelle fois sa pratique de très haut niveau dans les domaines concernés qui font régulièrement l’objet de nombreuses distinctions accordées, soit par les professionnels eux-mêmes, soit par des organismes qualifiés.

Eric Bonnet
Avocat, Alain Bensoussan Avocats Lexing
Directeur de la communication juridique




Décret d’application de la loi Informatique et libertés : la boucle est bouclée

Décret 2019-536Le décret 2019-536 du 29 mai 2019 achève, au niveau réglementaire, le travail d’adaptation du droit français au nouveau cadre européen issue du Règlement (UE) 2016-679 du 27 avril 2016 (RGPD).

Cette adaptation s’est faite en 3 étapes :

Ce dernier texte tire les conséquences du choix symbolique de ne pas avoir abrogé la loi fondatrice du 6 janvier 1978 et de procéder plutôt à son remaniement (forme et fond) tel qu’il résulte de l’ordonnance n° 2018-1125 du 12 décembre 2018 qui a totalement réécrit la loi « Informatique et libertés ».

Le décret n° 2019-536 pour l’application de la loi n° 78-17 réformée

Le texte opère la mise en cohérence nécessaire des dispositions remaniées au regard du droit européen. Mais surtout, il fait entrer en application la loi de 1978 telle que modifiée par l’ordonnance de 2018.

Il harmonise l’état du droit, adapte certaines règles de procédure devant la Cnil et précise les droits des personnes concernées. Enfin, il abroge également le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi de 1978.

La Cnil s’est prononcée sur l’ensemble des dispositions du décret dans une délibération du 9 mai 2019. Elle estime que le texte améliore la lisibilité du cadre juridique national et sa mise en cohérente avec le RGPD.

Des principes fondateurs pérennes

Sa publication permet l’entrée en vigueur de l’ensemble du nouveau cadre juridique « Informatique et libertés ». Les principes fondateurs posés il y a près de quarante ans demeurent toujours valables pour encadrer les systèmes d’information à caractère personnel, à savoir :

  • « l’informatique doit être au service de chaque citoyen » (L. 78-17, art. 1) ;
  • « son développement doit s’opérer dans le cadre de la coopération internationale » (L. 78-17, art. 1).

L’économie générale de la loi vise la protection la plus grande possible des droits, anciens et nouveaux (tels le droit à l’oubli et à la portabilité des données), consacrés dans le domaine numérique.

Isabelle Pottier
Avocat, Lexing Alain Bensoussan Avocats
Directeur du département Etudes et publications




Réseaux sociaux : qui est propriétaire des données collectées ?

propriétéAlain Bensoussan évoque pour RT France la propriété des données personnelles collectées et traitées par les réseaux sociaux.

Invité le 2 janvier par RT France pour évoquer une information dévoilée par l’ONG Privacy International et relayée par la chaîne d’information, selon laquelle « des applications en vogue sur Android fourniraient des données personnelles à Facebook sans en avertir leurs utilisateurs », Alain Bensoussan est revenu à cette occasion sur la question de savoir à qui appartiennent les données ainsi collectées, conservées et éventuellement cédées.

Selon l’ONG Privacy International citée par RT France, Facebook parviendrait à recueillir les données d’utilisateurs via une vingtaine d’applications Android, sans que ceux-ci n’en soient informés. Et cela, même si ces utilisateurs ne disposent pas de profil sur Facebook.

Alain Bensoussan considère qu’un tel transfert de données est, en l’état du droit : « Ce qu’il faut savoir, c’est que [personne] n’est propriétaire de ses données ».

Et l’avocat de rappeler qu’il n’existe pas de droit de propriété sur les données à caractère personnel : « le hiatus entre la sensibilité que nous avons tous sur nos données et la réalité juridique vient davantage d’un déficit de droit que d’un déficit de ces sociétés [comme Facebook] » (…) « C’est sur le terrain du consentement que la question va se poser, mais sur le plan de la protection des données, il manque aujourd’hui un droit de propriété sur celles-ci ».

Si Alain Bensoussan juge que les internautes français et européens sont, grâce au RGPD, « mieux protégés » que les autres, le consentement à certaines règles étant souvent donné un peu vite, notamment en matières de cookies (des fichiers stockés sur le disque dur de l’internaute). Et de conclure : « Chacun d’entre nous devrait être comptable de ses informations ».

Eric Bonnet
Directeur de la communication juridique

Pour aller plus loin :

A. Bensoussan, Pour un droit de propriété et une monétisation des données personnelles, Blog Figaro, 28 février 2018.
A. Bensoussan, Le Brésil consacre la propriété (titularité) sur les données personnelles, Blog Figaro, 19 décembre 2018.




Quel avenir pour le EU-US Privacy shield ?

EU-US Privacy shieldDepuis l’application du RGPD, le EU-US privacy shield est contesté, les parties au contrat doivent s’y préparer.

Bien qu’adopté trois mois après le RGPD, ce bouclier (1) censé encadrer les flux de données personnelles entre l’Union européenne et les Etats-Unis d’Amérique a déjà été évalué en octobre 2017 (2) puis par le Parlement européen (3) et récemment par la commissaire à la justice, à la consommation et à l’égalité des genres, Věra Jourová (4). Dans l’intervalle, les parties à un contrat informatique prévoyant des flux de données transatlantiques devront parer à toute éventualité et d’ores et déjà anticiper sa disparition.

La position du Parlement européen sur le EU-US privacy shield

Le Parlement européen reprend les conclusions de la Commission d’octobre 2017, en constatant que les réserves faites à l’époque n’ont pas été suivies d’effet par l’administration américaine.

La Commission souhaitait que le dispositif soit amélioré grâce à la nomination d’un ombusdman, faisant office de surveillant général et médiateur dans l’application des obligations au titre du bouclier, une coopération plus étroite entre autorités administratives et judiciaire des deux côtés de l’Atlantique.

Même si le EU-US Privacy shield avait alors passé le test de la Commission, pour toute réponse aux demandes d’amélioration, l’administration américaine a :

  • adopté le Cloud Act pour faciliter l’accès aux données personnelles des «personnes américaines» même si les données sont hébergées physiquement en Europe (4) ;
  • facilité la surveillances des communications en réactivant la section 702 du Foreign Intelligence Surveillance Act (FISA) ;
  • pris des décrets en application de cette loi renforçant la mise en place d’une surveillance généralisée (Décrets 12333 et 13768).

Dressant ce constat alarmant, le Parlement demandait à ce que, faute de réaction immédiate des autorités américaines, l’application du bouclier soit suspendu à effet au 1er septembre 2018. Il n’en a rien été car la résolution votée n’a aucune valeur contraignante. La Commission a toutefois réagi par la voix de la commissaire Věra Jourová.

La position de la commissaire en charge du EU-US privacy shield

La commissaire en charge du numérique a entendu le message du Parlement et a déclaré faire de la nomination de l’ombudsman la condition sine qua non du maintien de l’EU-US privacy shield.

Les autres conditions posées dans la résolution du Parlement ne seraient pas reprises. Le constat est que les droits du citoyen européen seraient encore plus faibles sans le privacy shield qu’avec, aussi imparfaite sa mise en œuvre puisse être.

La nomination de l’ombudsman est cependant clé car celui-ci est l’interlocuteur de l’utilisateur européen : il doit traiter les plaintes relatives à l’application du Privacy Shield. L’administration américaine devrait enfin y pourvoir d’ici le 18 octobre 2018. La Commission devant rendre son rapport annuel d’évaluation à cette même échéance selon des déclarations faites au Financial Times. A défaut, c’est bien une suspension du Privacy Shield qui est envisagée.

Dans le même temps, la Commission envisage mener le combat sur un autre terrain, celui de la lutte contre le détournement de finalité du traitement de données personnelles, à des fins politiques notamment. Ce qui est dans le viseur de la Commission est la fuite de données à l’instar du fameux scandale ayant impliqué Facebook et l’agence Cambridge analytica. Dans ce cas, l’amende maximale prévue dans le RGPD à 4% du chiffre d’affaire annuel mondial passerait à 5%.

Les réponses en cas d’éventuel disparition du EU-US privacy shield

La disparition du Safe Harbor par arrêt de la Cour de justice de l’Union européenne, fin 2015, a laissé des traces (5). Même lorsque le EU-US Privacy Shield s’applique et est visé dans le contrat, une pratique de plus en plus courante amène les parties à prendre la précaution de prévoir qu’elles s’engagent par avance à respecter tout futur accord qui pourrait s’y substituer.

En cas de sa disparition « sèche », elles peuvent aussi se référer notamment :

  • aux Binding corporates Rules (BCR) pour les contrats intragroupes,
  • aux clauses contractuelles types proposées par la Commission européenne,
  • ou encore, lorsque les flux s’y prêtent, sur le fondement d’une des exceptions à l’interdiction des flux transfrontières visées à l’article 69 de la loi Informatique et libertés.

Indispensables à l’activité économique de nombreuses sociétés, l’encadrement des flux transatlantiques se doit d’être d’autant plus rigoureux.

Eric Le Quellenec
Lexing Informatique conseil

(1) Décision d’exécution (UE) 2016/1250 de la Commission du 12 juillet 2016 conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis.
(2) Rapport annuel sur le Privacy shield, octobre 2017.
(3) Résolution du Parlement européen, juin 2018.
(4) Interviews de la Commissaire Věra Jourová, juin 2018.
(5) Etat des lieux sur l’invalidation du Safe Harbor par la CJUE, Post du 30 octobre 2015.




Lancement du Diagnostic RGPD Wolters Kluwer / Lexing

Wolters KluwerL’éditeur Wolters Kluwer lance en partenariat avec le cabinet Lexing Alain Bensoussan Avocats l’outil Diagnostic RGPD. 

Le Diagnostic RGPD Wolters Kluwer / Lexing

Editeur juridique de référence, Wolters Kluwer a annoncé le 14 juin 2018 le lancement en partenariat avec le cabinet Lexing Alain Bensoussan Avocats du Diagnostic RGPD, un outil logiciel disponible en mode SaaS pour accompagner les entreprises privées et organismes publics dans leur mise en conformité au RGPD.

Le Règlement Général sur la Protection des Données (RGPD) vient d’entrer en application le 25 mai dernier.

Ce texte complexe et technique opère un bouleversement complet des règles applicables à l’environnement digital des entreprises privées et organismes publics. Il impose aux acteurs de se plier à de nouvelles obligations, telles que la prise en compte de la protection de la sécurité des données, tant logique que physique, dès la conception du traitement de données concerné et l’obligation d’être, à tout moment, en mesure de démontrer la conformité du traitement avec le RGPD.

RGPD : un tournant majeur dans la régulation des données personnelles

Les organisations doivent dorénavant assumer leur pleine et entière responsabilité sur les données qu’elles traitent, et être en mesure de démontrer que les opérations de traitement qu’elles effectuent ou leurs sous-traitants respectent le règlement.

Les questions sont nombreuses et les enjeux cruciaux : en termes principalement financiers en cas d’infraction, mais également, de façon plus positive, en termes d’image, le respect des obligations découlant du RGPD pouvant s’avérer un élément marketing précieux susceptible de renforcer sa position concurrentielle.

C’est la raison pour laquelle Wolters Kluwer et le cabinet Lexing Alain Bensoussan Avocats ont élaboré de concert le « Diagnostic RGPD », progiciel en mode SaaS dédié à la conformité au RGPD.

Cet outil consiste en un rapport de diagnostic de conformité basé sur plus de 100 questions avec l’analyse d’écart, un tableau de synthèse de conformité, la «feuille de route Lexing» en 20 étapes, les priorités et le macro-calendrier.

Diagnostique RGPD : accompagner les entreprises dans leur mutation digitale

Alain Bensoussan entouré de Hubert Chemla, PDG de Wolters Kluwer France et Isabelle Bussel, DG

Selon Alain Bensoussan,  «à l’heure où le RGPD marque un tournant majeur dans la régulation des données personnelles, nous sommes heureux et fiers d’avoir élaboré en partenariat avec Wolters Kluwer, un des leaders mondiaux de son secteur, un outil intégrant les exigences du RGPD. Et ce faisant de permettre aux entreprises d’être accompagnées dans leur mutation digitale en favorisant la confiance dans le big data».

Selon Hubert Chemla, PDG de Wolters Kluwer France, «nous sommes en permanence à l’écoute des besoins des professionnels. Il nous est ainsi apparu qu’un certain nombre de dirigeants n’avaient pas encore totalement pris la mesure du nouveau RGPD, entré en application le 25 mai 2018. C’est pourquoi nous proposons aujourd’hui, avec le Cabinet Lexing Alain Bensoussan Avocats, une solution Diagnostic RGPD qui va faciliter la mise en conformité des entreprises en toute sécurité juridique, conformément à notre mission».

Le nouveau partenariat se poursuivra dans les prochains mois avec d’autres solutions d’accompagnement pour les professionnels.

Eric Bonnet
Directeur de la communication juridique

Pour plus d’information : consultez le communqué de presse sur le « Diagnostic RGPD », connectez-vous à wolterskluwerfrance.fr ou suivez le fil d’info @WoltersKluwerFr sur twitter ou le site wolterskluwer.com.




RGPD : mode d’emploi (démarche, méthodes et outils)

RGPD : mode d’emploiL’Association des Data Protection Officers organise le 5 juin 2018 un colloque dédié à l’entrée en application du RGPD.

Au lendemain du 25 mai 2018, date de l’entrée en application du Règlement Général sur la Protection des Données personnelles (RGPD), l’Association des Data Protection Officers (ADPO) consacrera sa 2ème grande réunion annuelle « Tendances ADPO » au décryptage des enjeux liés à l’entrée en application effective du RGPD.

RGPD : mode d’emploi (démarche, méthodes et outils)

L’occasion également de faire le point sur la loi relative à la protection des données personnelles actuellement en cours d’examen devant le Parlement.

Cette 2ème Journée « Tendances ADPO » se déroulera le :

Mardi 5 juin 2018 de 9H à 16H
à l’Espace Saint-Martin – 199 bis Rue Saint-Martin – 75003 Paris

Elle sera suivie à 16H15 par l’Assemblée Générale de l’ADPO avec ses membres.

Avec la participation de :

  • Alain Bensoussan, Avocat à la Cour, Lexing Alain Bensoussan Avocats, Président Fondateur de l’ADPO ;
  • Hélène Legras, CIL/DPO groupe Areva, Vice-présidente de l’ADPO ;
  • Aurélie Banck, Directeur du département Conformité RGPD Banque et Assurance, Lexing Alain Bensoussan Avocats ;
  • Xavier Beaussac, Chief Operations Officer, Cylresc ;
  • Eric Bothorel, Député LREM des Côtes d’Armor ;
  • Nathalie Chiche, Présidente de la société Dataexpert ;
  • Anthony Coquer, Directeur du département Sécurité et Organisation, Lexing Alain Bensoussan Avocats ;
  • Pierre Fuzeau, groupe Serda-Archimag ;
  • Alessandro Fiorentino, cabinet Infhotep ;
  • Groupe économique du ministère de l’Intérieur ;
  • Florence Houdot, Expert-comptable, Commissaire aux comptes, CRISC-SYC Consultants ;
  • Sébastien Montusclat, BPI ;
  • Emmanuelle Nahum, Avocate associée, Quantic Avocats ;
  • Anne Renard, Directeur de l’activité Conformité et Certification, Lexing Alain Bensoussan Avocats ;
  • Romain Robert, Contrôleur à la protection des données européen ;
  • Chloé Torrès, Directeur du département Informatique et libertés, Lexing Alain Bensoussan Avocats.

Au programme du RGPD : mode d’emploi

  • L’entrée en application du RGPD et de la loi sur la protection des données personnelles : un changement de paradigme ;
  • Le RGPD : un périmètre d’application très large (aspects comparatifs) ;
  • Le RGPD : retour sur les nouvelles obligations qui s’imposent aux entreprises (analyses d’impact, protection de la sécurité des données dès la conception du traitement de données concerné, obligation de documenter la conformité du traitement avec le RGPD) ;
  • Les sanctions encourues ;
  • La localisation des données en Europe ;
  • Les flux transfrontières ;
  • Le DPO, acteur clé de la conformité ;
  • Les effets positifs du RGPD : renforcement de la confiance des clients, partenaires et collaborateurs, et de sa position concurrentielle ;
  • Quelles actions prioriser au lendemain du 25 mai 2018 ?

Inscription en ligne : ici.

Renseignements :

Eric Bonnet
Directeur de la communication juridique
06 74 40 72 01




Fiche Google MyBusiness et données à caractère personnel

Fiche Google MyBusinessLe Tribunal de grande instance de Paris condamne Google à supprimer une fiche Google MyBusiness publiée sans autorisation (1).

Responsabilité de Google

Pour la première fois, un juge a ordonné à Google de supprimer une fiche de Google MyBusiness, l’annuaire professionnel gratuit en ligne proposé par Google, d’une personne référencée sans son autorisation. Dans son ordonnance de référé du 6 avril 2018, le Président du Tribunal de grande instance de Paris a considéré que les nom, prénom et coordonnées d’un chirurgien-dentiste étaient des données à caractère personnel, dont le traitement non conforme aux dispositions de la réglementation Informatique et libertés, est constitutif de délits.

Google My Business est un service proposé par Google. Destinée à tous les types de commerces ou entreprises, cette fonctionnalité constitue un outil de référencement géolocalisé qui permet de promouvoir la notoriété et la bonne visibilité de son entreprise.

Un chirurgien-dentiste a constaté qu’une fiche Google MyBusiness le concernant avait été mise en ligne sans son autorisation par Google.

Le président du tribunal juge que les données reprises dans cette fiche sont des données à caractère personnel et que

« la circonstance que de telles données soient relatives, comme en l’espèce, à l’activité professionnelle de la personne en question est (…) sans incidence sur cette qualification, dès lors qu’elle est désignée ou rendue identifiable, la notion n’étant pas restreinte, contrairement à ce que soutient la défenderesse, aux seules informations relatives à la vie privée ».

Le président du tribunal a ensuite précisé qu’en créant cette fiche, la société Google avait procédé à un traitement de données à caractère personnel ayant pour finalité la prospection commerciale, malgré l’opposition de la personne concernée, délit prévu et réprimé par l’article 226-18-1 du Code pénal. Comme le rappelle le président, Google utilise cette fiche pour envoyer des courriels qui proposent de payer pour des annonces publicitaires sur sa fiche afin « d’améliorer ses performances », via le service Google Adwords Express.

Le président du tribunal a donc ordonné à Google de supprimer cette fiche sous astreinte de 1 000 € par jour de retard.

Sanction prononcée contre Google

Lorsqu’on saisissait les nom et prénom du chirurgien-dentiste, apparaissait une fiche Google MyBusiness relative à son activité professionnelle, comprenant l’adresse de son cabinet, ses horaires d’ouverture et des avis relatifs à son cabinet et à son activité. Le chirurgien-dentiste a demandé à Google France et Google LLC. de supprimer cette fiche, ce que Google a refusé.

Il a donc assigné les sociétés Google France et Google LLC en référé à heure indiquée pour obtenir que le président du tribunal ordonne cette suppression.

La société Google France a été mise hors de cause par le président qui a estimé que :

Les conditions d’utilisation de Google versées aux débats précisent en première ligne que « les services sont fournis par la société Google LLC. sise au 1600 Amphitheatre Parkway, Mountain View, CA 94043, Etats-Unis » ; la fiche « nous contacter » également au dossier mentionne cette même adresse du siège social de Google Inc., désormais Google LLC.

Par ailleurs, le demandeur ne rapporte pas la preuve que la société Google France ait la qualité de mandataire de la société Google LLC.

Au vu de ces éléments, la preuve n’est pas rapportée de l’intervention de la société Google France et de sa responsabilité dans le traitement des données à caractère personnel et le fonctionnement direct du moteur de recherche Google ni sur le site google.fr, dont la société américaine est éditrice, en sorte qu’il y a lieu de prononcer sa mise hors de cause ».

Le président a en revanche retenu la responsabilité de la société Google et l’a condamnée à la somme de 3.500 € sur le fondement de l’article 700 du Code de procédure civile.

La création et la mise en ligne d’une fiche Google MyBusiness : un traitement de données à caractère personnel

L’ordonnance du 6 avril 2018 rappelle qu’en application de « l’article 2 de la loi du 6 janvier 1978, constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ».

Ayant également précisé que les données concernées, à savoir les nom, prénom et adresse du demandeur, peu important qu’elles se rapportent à son activité professionnelle, constituent des données à caractère personnel aux termes de cet article, le Président du tribunal en a déduit alors que « le régime légal réservé aux données à caractère personnel s’applique donc aux informations délivrées au public, sur la fiche Google My Business, à propos de l’activité professionnelle » du demandeur.

Puis rappelant les disposition de l’article 226-18-1 du Code pénal : « Le fait de procéder à un traitement de données à caractère personnel concernant une personne physique malgré l’opposition de cette personne, lorsque ce traitement répond à des fins de prospection, notamment commerciale, ou lorsque cette opposition est fondée sur des motifs légitimes, est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende », il en a déduit que le délit est constitué par Google.

Le trouble manifestement illicite de l’article 809 du Code de procédure civile est ainsi caractérisé et le président ordonne la cessation de ce trouble qui se matérialise par la suppression de la fiche Google MyBusiness en question.

Chloé Legris
Géraldine Camin
Lexing e-réputation

(1) TGI de Paris, ord. réf. du 6 avril 2018, Monsieur X. c/ Google France et Google LLC.




RGPD-GDPR : le projet de loi adopté par l’Assemblée nationale

RGPD-GDPR : le projet de loi adopté par l’Assemblée nationaleDestiné à mettre le droit français en conformité avec le RGPD-GDPR, le projet de loi sur la protection des données personnelles a été adopté par l’Assemblée nationale (1).

Rappelons que le Gouvernement a engagé une procédure accélérée sur le projet de loi adaptant le droit français au règlement (2) ; ce qui signifie qu’il n’y aura en principe qu’une seule lecture par chambre.

Le projet de loi a été discuté à l’Assemblée nationale ces dernières semaines ; d’abord, en commission des lois du 23 au 25 janvier, puis en séance publique les 6 et 7 février.

De l’avis même de Mme Christine Hennion (3), rapporteure, il s’agit d’un texte « de portée mondiale, puisqu’il devra être appliqué par tout organisme traitant les données personnelles des résidents européens, (…) fondateur pour la garantie des libertés dans le monde numérisé du XXIe siècle ».

Il a donné lieu à 412 amendements (4) dont plus de la moitié a été adoptée parmi lesquels figurent quelques dispositions « clés » comme : l’élargissement de l’action de groupe, le consentement des mineurs abaissé à 15 ans, les pouvoirs renforcés de la Cnil et les montants beaucoup plus dissuasifs des amendes.

RGPD-GDPR : l’élargissement de l’action de groupe

L’action de groupe fait partie du paysage légal français depuis la loi 2016-1547 du 18 novembre 2016 (5). Ouverte lorsque plusieurs personnes physiques subissent un dommage ayant pour cause commune un manquement à la loi de 1978, cette action permet d’en obtenir la cessation.

L’action de groupe ne vise ici que l’arrêt d’un traitement illicite. Aucune réparation pour le dommage subi ne peut être demandée dans le cadre d’une action de groupe.

De son côté, le règlement général sur la protection des données (RGPD-GDPR) laisse la possibilité aux États membres d’adopter des dispositions autorisant des actions collectives avec mandat tendant à la réparation du préjudice subi.

Le RGPD prévoit un dispositif à l’article 80 qui permet à la fois de mettre fin aux manquements et d’envisager la réparation en offrant aux personnes concernées de mandater des organismes, organisations ou associations afin d’introduire une réclamation en leur nom devant l’autorité de contrôle et d’obtenir réparation sous certaines conditions (6).

RGPD-GDPR : l’intégration du droit à réparation

La question de l’intégration du droit à réparation dans notre législation interne a resurgi lors des débats. Les députés ont souhaité pousser plus loin l’action de groupe, afin qu’elle ne concerne pas uniquement la constatation du manquement, mais qu’elle puisse se traduire par des droits à réparation et, le cas échéant, par des dommages et intérêts.

Un amendement adopté lors de l’examen en commission des lois introduit la possibilité d’exercer une action de groupe dans le domaine de la protection des données personnelles aux fin de réparation du dommage causé par un manquement aux dispositions de la loi n° 78-17 relative à l’informatique, aux fichiers et aux libertés, par un responsable de traitement de données à caractère personnel ou un sous-traitant. Les victimes pourront donc demander une réparation de leur préjudice (7).

L’article 43 ter de la loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifié : Le III est remplacé par un alinéa ainsi rédigé « Cette action peut être exercée en vue soit de la cessation du manquement mentionné au deuxième alinéa, soit de l’engagement de la responsabilité de la personne ayant causé le dommage afin d’obtenir la réparation des préjudices matériels et moraux subis, soit de ces deux fins. »

RGPD-GDPR : le consentement des mineurs abaissé à 15 ans

La commission des lois a abaissé à quinze ans l’âge à partir duquel un mineur peut consentir seul au traitement des données personnelles en ce qui concerne l’offre directe de services de la société de l’information (les réseaux sociaux). Cette question a été l’occasion d’un véritable débat de fond mené lors des auditions entre l’ensemble des acteurs et la commission des lois.

L’article 8 du RGPD fixe l’âge légal du consentement des mineurs à seize mais permet aux Etats membres d’abaisser ce seuil à condition qu’il ne soit pas inférieur à treize ans. L’âge du consentement des enfants ne fait pas l’objet d’un consensus européen et l’on constate qu’il existe différentes situations : l’Irlande, la République tchèque et le Royaume-Uni s’orienteraient vers l’âge de treize ans, l’Espagne vers celui de quatorze ans, la Croatie et la Grèce vers celui de quinze ans, l’Allemagne et le Luxembourg ayant maintenu l’âge initial de seize ans (8).

La commission des lois a abaissé ce seuil de manière consensuelle, à 15 ans, « âge où le mineur entre généralement au lycée et où sa maturité lui permet en principe de maîtriser les usages sur internet », selon Madame Paula Forteza, rapporteure du texte (9).

RGPD-GDPR : l’information des mineurs

Un amendement a été adopté qui clarifie les règles applicables aux mineurs de moins de quinze ans, afin d’exiger expressément le double consentement du mineur et de ses parents pour que le traitement des données soit licite (10). Ainsi « Lorsque le mineur est âgé de moins de quinze ans, le traitement n’est licite que si le consentement est donné conjointement par le mineur concerné et le titulaire de la responsabilité parentale à l’égard de ce mineur » (Art. 7-1 nouveau, Loi 78-17).

Un autre amendement a été adopté permettant de renforcer les modalités de contrôle des responsables afin qu’ils puissent informer au mieux les mineurs de moins de quinze ans pour que ces derniers soient en mesure de savoir comment leurs données personnelles sont traitées, ainsi que la manière dont elles le sont (11).

Ainsi, « Le responsable de traitement rédige en des termes clairs et simples, aisément compréhensibles par le mineur, les informations et communications relatives au traitement qui le concerne » (Art. 7-1 nouveau, Loi 78-17). Il s’agit du droit d’être informé clairement de l’étendue du traitement réalisé.

RGPD-GDPR : les pouvoirs renforcés de la Cnil

Le projet de loi étend les pouvoirs de la Cnil. Cette dernière peut :

  • établir et publier des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements, encourager le développement de code de conduite et publier des méthodologies de référence pour la recherche médicale ;
  • prescrire des mesures de sécurité techniques et organisationnelles supplémentaires pour le traitement des données biométriques, génétiques et de santé (sauf pour les traitements mis en œuvre pour le compte de l’Etat) ;
  • décider de certifier des personnes, des produits, des systèmes de données ou des procédures de certification ;
  • établir une liste de traitements susceptibles de créer un risque élevé devant faire l’objet d’une consultation préalable de la Cnil ;
  • présenter des observations devant toute juridiction à l’occasion d’un litige relatif à l’application du RGPD ou la loi Informatique et Libertés (Art. 11, Loi 78-17).

Un amendement a en outre été adopté pour permettre à la Cnil d’être saisie par les présidents de groupes parlementaires de l’Assemblée nationale et du Sénat sur toute proposition de loi relative à la protection des données personnelles (12).

D’autres dispositions concernent le pouvoir d’investigation de la Cnil et notamment le droit des agents habilités d’utiliser une identité d’emprunt pour les investigations en ligne (Art. 44 Loi 78-17).

RGPD-GDPR : les amendes dissuasives

Le projet de loi renforce également les pouvoirs de sanctions de la Cnil avec la possibilité d’infliger des amendes pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’organisme concerné. Il modifie aussi les procédures de sanction ; la Cnil peut notamment décider d’une injonction assortie d’une astreinte d’un montant maximum de 100 000 euros par jour (Art. 45 Loi 78-17).

Le régime de sanctions s’applique non seulement au responsable de traitement mais aussi au sous-traitant conformément au RGPD.

Un amendement porté par Paula Forteza, rapporteure du texte, prévoyait que la Cnil puisse, sous certaines conditions, opérer un contrôle a posteriori des fichiers de sûreté de l’Etat (13). En l’état du droit, les pouvoirs de contrôle général de la Cnil ne s’appliquent pas à ces fichiers, et « il n’existe donc, à l’heure actuelle, aucun contrôle en aval de ces fichiers, permettant de garantir qu’ils sont mis en œuvre dans le respect de la protection des données personnelles (…) ».

Pour la Garde des Sceaux Nicole Belloubet, le contrôle de la CNCTR (14) lors de leur mise en œuvre suffit. L’amendement 124 a donc été retiré.

Les prochaines étapes

L’Assemblée nationale a donc adopté le projet de loi. Il sera transmis au Sénat qui l’examinera à son tour à partir du 20 mars. L’adoption définitive du texte devrait intervenir avant le 25 mai 2018, le règlement européen entrant en application à cette date.

Le Gouvernement a enfin fait le choix de conserver, dans un souci d’intelligibilité, l’architecture de la loi « informatique et libertés ». Les modifications apportées à notre droit par ce projet de loi seront codifiées, par voie d’ordonnance, dans la loi fondatrice de 1978 afin d’offrir un cadre juridique lisible à chaque citoyen et acteur économique (15).

Alain Bensoussan
Isabelle Pottier
Lexing Alain Bensoussan Avocats

(1) TA n° 84 Ass. Nat. 13 février 2018, scrutin public n° 389.
(2) Cf. notre post du 15 décembre 2017.
(3) Rapport d’information (n° 577) de Mme Christine Hennion déposé par la commission des affaires européennes portant observations sur le projet de loi relatif à la protection des données personnelles (n° 490).
(4) 162 amendements en 1ère lecture en hémicycle à l’Assemblée nationale les 6 et 7 février 2018 et 174 amendements en 1ère lecture à la Commission de lois de l’Assemblée nationale du 23 au 25 janvier 2018.
(5) Loi 2016-1547 de modernisation de la justice du XXIe siècle, voir « Action de groupe et protection des données personnelles », post du 22 décembre 2016.
(6) Cf. notre Ouvrage, « Le Règlement européen sur la protection des données : textes, commentaires et orientations pratiques », Editions Larcier 2e éd. 2018.
(7) Amendement n° 262 portant article additionnel avant l’article 16 adopté, présenté par Mme Forteza, rapporteure.
(8) Compte rendu intégral de la deuxième séance du mercredi 07 février 2018.
(9) Rapport n° 592 de Mme Paula Forteza, p. 155.
(10) Amendement n° 103 portant article additionnel avant l’article 14 adopté, présenté par Mme Forteza, rapporteure.
(11) Amendement n° 154 portant article additionnel après l’article 14 adopté, présenté par M. Philippe Gosselin.
(12) Amendement n° 104 portant sur l’article 1er adopté, présenté par M. Stéphane Peu.
(13) Huit fichiers sont aujourd’hui concernés : les fichiers de la direction générale de la sécurité intérieure (DGSI) ; de la direction générale de la sécurité extérieure (DGSE) ; SIREX de la direction du renseignement et de la sécurité de la défense (DRSD) ; de la direction du renseignement militaire (DRM) ; BCR-DNRED de la direction nationale du renseignement et des enquêtes douanières (DNRED) ; de personnes étrangères mis en œuvre par la DRM, dénommé Gestion du terrorisme et des extrémismes violents (GESTEREXT) ; mis en œuvre par la préfecture de police et le fichier dénommé “ BIOPEX ” mis en œuvre par la DRM.
(14) Commission nationale de contrôle des techniques de renseignement.
(15) Communiqué de la Chancellerie du 13 décembre 2017.




La localisation des données en Europe dans le cadre du RGPD

La localisation des données en Europe dans le cadre du RGPDLe cabinet a organisé le 15 mars 2018 un petit-déjeuner débat sur la localisation des données en Europe dans le cadre du RGPD, animé par Alain Bensoussan, Eric Le Quellenec, Laurent Seror (Outscale) et Elie Cohen (Consort).

En France, le règlement européen sur la protection des données (RGPD) sera concrètement mis en œuvre par le projet de loi relatif à la révision de la loi Informatique et libertés du 6 janvier 1978 qui a été présenté le 13 décembre 2017 en Conseil des ministres.

Le règlement, dont les dispositions seront directement applicables dans les Etats membres de l’Union européenne le 25 mai 2018, s’applique dès lors que le responsable du traitement ou le sous-traitant est établi sur le territoire de l’Union européenne ou que le responsable du traitement ou le sous-traitant met en œuvre des traitements visant à fournir des biens et des services aux résidents européens.

Le périmètre du RGPD est donc particulièrement large puisqu’il couvre les entreprises et organisations qui utilisent ou stockent des informations personnelles des citoyens européens et de personnes physiques dans l’Union européenne ou de sociétés opérant au sein de celle-ci.

C’est donc la quasi-totalité des entreprises traitant des données personnelles de citoyens européens qui est concernée par le Règlement, soit la plupart des organisations partout dans le monde.

La localisation des données, un enjeu stratégique

A l’heure où, globalisation des échanges oblige, le nombre de transferts de données hors de France et de l’Union européenne ne cesse de croître, il est indispensable pour les entreprises de maîtriser la localisation exacte de leurs données.

Choisir le lieu d’hébergement et de stockage de ses données et garantir que celles-ci sont stockées sur le territoire de l’Union européenne est devenu dans le cadre du RGPD une véritable exigence pour la stratégie de gestion des risques de toute entreprise.

Cela passera, notamment, par le choix d’un cloud souverain pour garantir le stockage et le traitement des données sur le territoire français.

Autant de questions qui ont été abordées dans le cadre de ce petit-déjeuner débat auquel participaient :

  • Alain Bensoussan, avocat à la Cour, Lexing Alain Bensoussan Avocats
  • Laurent Seror, fondateur & CEO, Outscale
  • Elie Cohen, directeur général, Consort

Le petit-déjeuner débat s’est déroulé de 9h30 à 11h00 dans nos locaux, 58 boulevard Gouvion-Saint-Cyr, 75017 Paris.

Inscriptions closes.




IT Tour 2017 : problématique et enjeux liés au RGPD

IT Tour 2017Céline Avignon intervient à Reims le 9 novembre dans le cadre du IT Tour 2017 organisé par Le Monde informatique.

« Les clés de votre performance IT » : tel est l’intitulé des matinées-débats de ce IT Tour 2017 organisé en région du 28 septembre au 7 décembre.

Il s’agit d’un évenement qui concentre l’ensemble des acteurs IT : DSI, RSSI, responsables informatiques et directeurs de la transformation numérique ainsi que de prestigieux prestataires et éditeurs, pour aborder les tendances IT qui feront le système d’information de demain.

IT Tour 2017 : le RGPD au coeur des débats

A chaque étape du IT Tour, un avocat du cabinet Lexing Alain Bensoussan Avocats intervient sur la problématique et les enjeux liés au Règlement général sur la protection des données.

Après Aix-en-Provence début octobre, ce sera, pour Céline Avignon, Reims le 9 novembre et l’occasion de revenir sur les points clés d’une démarche de mise en conformité au RGPD ou GDPR et faire un point sur les bonnes pratiques dans ce domaine.

Pour retrouver le programme du IT Tour du Monde Informatique à Reims et vous inscrire  : http://www.it-tour.fr/programme-reims/

Eric Bonnet
Directeur du Département Communication juridique




Publication du premier référentiel mondial de conformité au RGPD

Publication du premier référentiel mondial de conformité au RGPDLexing® et Bureau Veritas publient le premier référentiel de conformité de la protection des données au RGPD. Bureau Veritas Certification a annoncé le 3 juin 2017 avec Lexing Alain Bensoussan Avocats le lancement d’un référentiel et d’une certification pour accompagner les entreprises dans leur mutation digitale et favoriser la confiance dans le big data.

Bureau VeritasLa nouvelle certification de Bureau Veritas Certification est basée sur le premier référentiel mondial de gestion de la protection des données à caractère personnel par les entreprises, élaboré en partenariat avec Lexing Alain Bensoussan Avocats.

Anticiper la mise en application du RGPD

L’objectif: anticiper la mise en application du Règlement général sur la protection des données (RGPD) en mai 2018 dans l’ensemble des 28 États membres de l’Union européenne.

Toute entreprise basée dans ou hors de l’Union européenne et détenant des données personnelles de citoyens de l’Union européenne est concernée par ce Règlement.

Par ailleurs, 80% à 90% des citoyens se disent inquiets au sujet de la protection de leurs données personnelles.

Violations de données, cyberattaque mondiale ou diffusion d’informations classifiées ne sont plus aujourd’hui des cas isolés.

Ce climat de défiance tend à s’amplifier avec le big data et cela même si, le RGPD va exiger des acteurs du traitement des données une mise à niveau conséquente de leur conformité.

« La responsabilité digitale des entreprises se dessine comme l’un des enjeux majeurs des années à venir. Sans changer les processus et l’organisation des entreprises, notre référentiel les complète en y intégrant les exigences de la gestion de la protection des données personnelles, à savoir le recueil du consentement, la proportionnalité, les durées de conservation entres autres » a déclaré Sébastien Fox, Vice-Président, Business Line Certification du groupe Bureau Veritas.

Redonner confiance

Il est nécessaire pour les entreprises de prendre les devants et d’anticiper la transformation numérique en allant plus loin qu’une simple mise en conformité. Au-delà du respect de la réglementation, le management des données sera pour les entreprises certifiées un moyen supplémentaire de protéger et différencier leurs marques, et redonner confiance aux consommateurs, clients, patients…

Selon Alain Bensoussan, « à l’heure où le Règlement marque un tournant majeur dans la régulation des données personnelles, nous sommes heureux et fiers d’avoir élaboré, en partenariat avec Bureau Veritas, leader mondial de son secteur, un outil de mise en conformité au RGPD. Ce premier référentiel va permettre aux entreprises d’attester de leur mise en conformité au regard des nouvelles obligations découlant du règlement, et leur permettre, face à ce bouleversement de leur environnement numérique et des règles du jeu de la data, de s’assurer qu’elles ont anticipé et mis en œuvre l’essentiel des mesures nécessaires pour être prêtes en 2018 ».

Téléchargerla norme technique de Bureau Veritas pour la protection des données.
Dépêche Afp du 3 octobre 2017.

Eric Bonnet
Directeur du Département Communication juridique




Hébergement et traitement illicite de données de santé

traitement illicite de données de santéUn médecin hospitalier est sanctionné pour avoir procédé à un traitement illicite de données de santé. Les décisions faisant application des règles relatives au traitement et à l’hébergement de données de santé sont suffisamment rares pour que le jugement rendu par le Tribunal de grande instance de Marseille le 7 juin 2017 (1) soit commenté.

Les faits de l’espèce

Dans cette affaire, un patient de l’Assistance publique – Hôpitaux de Marseille (ci-après, l’« AP-HM ») a déposé une plainte du chef de violation du secret professionnel à l’encontre de cet hôpital, expliquant qu’il avait pu retrouver sur internet, en tapant son nom et son prénom, ses données et notamment son numéro de sécurité sociale, ainsi que le dossier médical concernant la naissance de son fils. Il pouvait également accéder et modifier l’ensemble des dossiers médicaux présents sur cette plateforme internet, sans qu’aucune identification ou authentification ne lui soit demandée.

Après avoir requis la fermeture du site internet, l’AP-HM a également déposé plainte, après avoir identifié un praticien hospitalier comme étant responsable de la mise en place de la plateforme internet contenant des dossiers patients et une base épidémiologique. Cette plateforme avait été créée à l’initiative de ce praticien et permettait à son équipe, de suivre la prise en charge des patients.

Dans le cadre de l’enquête, il a été découvert que l’hébergeur de la base de données n’était pas agréé pour l’hébergement de données de santé et que l’identification et l’authentification à la base n’étaient pas sécurisées.

Les trois personnes suivantes ont été poursuivies :

  • le responsable de la Direction des Systèmes d’Information et de l’Organisation (DSIO) de l’AP-HM pour avoir procédé ou fait procéder à un traitement de données à caractère personnel sans prendre les mesures de sécurité nécessaires ;
  • le praticien à l’initiative du traitement, pour avoir procédé ou fait procéder à un traitement de données à caractère personnel sans autorisation de la Cnil ;
  • le gérant de la société ayant procédé à la création de la plateforme internet qui servait à la réalisation du traitement, d’une part, pour avoir procédé au traitement sans prendre les mesures de sécurité nécessaires et, d’autre part, pour avoir hébergé des données de santé à caractère personnel sans agrément ou choisi un hébergement non agréé.

Traitement illicite de données de santé

Le praticien a été condamné à une amende de cinq mille euros pour traitement de données à caractère personnel sans autorisation de la part de la Cnil.

En effet, certains traitements de données de santé à caractère personnel, visés à l’article 25 de la loi Informatique et libertés (L. 78-17), sont soumis à autorisation de la Cnil. Le montant de la sanction pour non-respect des obligations découlant de cette loi peut atteindre jusqu’à trois millions d’euros depuis la loi pour une République numérique (art. 65 qui a modifié l’art. 47 de la L. 78-17).

Il appartenait ainsi au praticien, en tant que responsable du traitement, d’effectuer cette demande d’autorisation, en particulier en ce qu’il avait été à l’initiative de la création de la plateforme, avait rédigé son cahier des charges technique et fait appel à un prestataire technique pour sa réalisation.

Quant aux deux autres personnes mises en cause, elles ont été relaxées dans la mesure où, d’une part, le DSIO n’avait pas participé au développement de la plateforme et, d’autre part, le gérant de la société ayant procédé à la création et à la mise en ligne de la plateforme sur internet n’avait pas la qualité de responsable du traitement.

L’AP-HM aurait pu être mise en cause si le praticien n’avait pas agi seul et que la plateforme avait été développée en partenariat avec l’AP-HM, par le biais, par exemple, de contributions humaines et financières.

Hébergement illégal de données de santé

Il est ensuite reproché au gérant de la société ayant conçu la plateforme et l’ayant mise en ligne de ne pas être agréé en tant qu’hébergeur de données de santé à caractère personnel ou de ne pas avoir choisi un hébergeur agréé pour l’hébergement de données de santé à caractère personnel.

En effet, en application du premier alinéa de l’article L. 1111-8 du Code de la santé publique :

« Toute personne qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil desdites données ou pour le compte du patient lui-même, doit être agréée à cet effet ».

L’article L. 1115-1 du Code de la santé publique sanctionne tout hébergeur de données de santé n’ayant pas été agréé pour l’hébergement de données de santé à caractère personnel conformément à l’article L. 1111-8 précité.

Toutefois, le gérant est également relaxé de ce chef.

En effet, d’une part, il n’est pas l’hébergeur des données, celui-ci ayant seulement procédé à la création de la plateforme ainsi qu’à sa mise en ligne temporaire et, d’autre part, l’article L. 1115-1 précité ne sanctionne pas le fait d’avoir fait appel à un hébergeur tiers non agréé mais seulement le fait d’héberger des données de santé sans agrément.

Seul le véritable hébergeur de la plateforme internet, s’il avait été mis en cause dans cette affaire, aurait pu être condamné sur ce fondement.

Marguerite Brac de La Perrière
Chloé Gaveau
Lexing Santé numérique

(1) TGI de Marseille, 6ème ch. corr., 7-6-2017.




Le RGPD offre le niveau de protection le plus élevé au monde

RGPD offre le niveau de protectionAlain Bensoussan répond à infoprotection sur le règlement européen sur la protection des données personnelles (RGPD).

Dès le 25 mai 2018, le RGPD entrera directement en vigueur dans les systèmes légaux existants, mettant à néant les textes qui lui sont contraires.

Interrogé par Erick Haehnsen, Alain Bensoussan nous livre les grandes lignes de la conférence qu’il donnera sur la protection des données à l’occasion du salon APS (26-28 septembre à la porte de Versailles).

Le règlement européen a fait l’objet d’un très large consensus entre les États-membres de l’Union européenne (UE). Surtout, il offre le niveau de protection le plus élevé au monde en matière de données personnelles. A la différence d’une directive européenne, les État-membres n’ont pas à transposer ce règlement dans leur droit national, précise Alain Bensoussan.

Pour sa mise en application au 25 mai 2018, les entreprises doivent maîtriser 28 programmes de protection plus ou moins différents dans l’UE. Le RGPD va considérablement simplifier cette situation. Cependant, il va aussi radicalement augmenter les obligations et les sanctions pour les entreprises.

Les entreprises devront également mettre en œuvre de nouvelles obligations issues du règlement telle que :

  • la protection des données dès la conception des systèmes d’information ou des applications (« Privacy by Design) ;
  • la sécurité des données par défaut (« Security by Default ») : le système d’information doit garantir que les données utilisées seront limitées au système qui les met en œuvre ;
  • le principe de responsabilité (« Accountability ») : exigence de documentation et de renversement de la charge de la preuve.

Aujourd’hui, c’est à la Commission Informatique et Libertés (CNIL) qu’il incombe de démontrer que tel traitement de données n’est pas conforme. Demain, avec le RGPD, c’est le responsable du traitement qui devra prouver qu’il est conforme. »

Pour pallier cette difficulté, le cabinet Alain Bensoussan Avocats Lexing® vient d’établir avec le bureau Veritas un référentiel de certification dans le cadre de la conformité au RGPD qui sera certainement très utile aux entreprises.

Alain Bensoussan pour infoprotection, « Données personnelles : le RGPD offre le niveau de protection le plus élevé au monde », 30 juin 2017.




Un module RGPD monitoring des zones libres pour éditeurs

RGPD monitoring des zones libresCompliance au règlement : éditeurs de logiciels, développez un outil spécifique RGPD monitoring des zones libres. Ces zones libres sont, pour les responsables de traitement, des zones de risques Informatique et libertés pouvant nuire à leur compliance.

A la suite de notre article « Editeurs, proposez-vous des habilitations RGPD compliant ? », nous poursuivons notre exploration des modules et fonctionnalités qui devraient être intégrés par les éditeurs dans leurs produits pour permettre à leurs clients de faciliter la compliance informatique et libertés.

Dans cette série, notre présent article s’intéresse aux zones libres ou zones de commentaires libres.

RGPD monitoring des zones libres : gérer ces zones de commentaires à risque

Le RGPD impose aux responsables de traitement d’adopter, concernant la mise en œuvre de leurs traitements, une démarche de protection dès la conception et de sécurité par défaut. Mais il impose également le principe de responsabilité.

Dans ce nouveau paradigme, où le responsable de traitement se doit de démontrer qu’il a mis en œuvre des politiques et procédures permettant de s’assurer du respect des contraintes Informatique et libertés, un besoin pressant d’outils de monitoring et de contrôle se fait jour.

Dans ce contexte, les éditeurs de logiciels, s’ils veulent être sélectionnés par les responsables de traitement, vont devoir intégrer dans leurs offres des modules leur permettant de respecter leurs obligations en matière de protection des données.

Les outils RGPD monitoring des zones libres sont nécessaires à la compliance

En tant que zones à risques de compliance, les zones libres ou de commentaires libres requièrent des outils de monitoring.

En effet, les zones de commentaires libres présentent des risques au regard de la vie privée puisqu’elles permettent la saisie d’informations qui ne sont, ni adéquates et pertinentes, ni non-excessives (Cnil, Délib. 2016-370 du 1-12-2016).

Si la responsabilité de la collecte et du traitement de ces données pèse sur le responsable de traitement, il n’en demeure pas moins vrai que l’éditeur qui propose un module RGPD monitoring des zones libres, facilitera le contrôle de ces zones par le responsable de traitement. Parmi les outils que devraient intégrer les éditeurs dans leurs produits figurent :

  • Un bandeau d’avertissement à proximité des zones de saisie ;
  • Un process de monitoring et de filtrage consistant à remplacer, à priori ou à posteriori, les mots interdits ;
  • Un dictionnaire de mots interdits ;
  • Un outil d’analyse sémantique qui fonctionne sur la base d’un dictionnaire, et un outil d’administration de l’outil d’analyse ;
  • Une traçabilité pour faciliter la sensibilisation et la formation des utilisateurs.

Ces outils ne sont que des exemples de ceux qui devraient être intégrés dans les logiciels. Ils ne sont pas exhaustifs mais représentent un minimum pour permettre aux responsables de traitement faisant l’acquisition d’un logiciel ayant un module RGPD monitoring des zones libres, de gérer ces zones à risque. Bien évidemment, le responsable de traitement devra accompagner ces outils d’audits réguliers ainsi que d’actions de sensibilisation et de formation afin de responsabiliser ses utilisateurs.

Lexing Alain Bensoussan Avocats
Lexing Publicité et Marketing électronique

1) Délibération Cnil n° 2017-015 du 19-1-2017 autorisant la Direction des Services Départementaux de l’Education Nationale de Meurthe-et-Moselle à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la gestion et le suivi de l’absentéisme scolaire.




La conformité au Règlement Data Protection: c’est maintenant !

La conformité au Règlement Data Protection: c'est maintenant !L’Acsel organise, le 10 mai 2017, en partenariat avec le Barreau de Paris, un colloque sur le Règlement Data Protection.

Le Règlement européen 2016/679 sur la protection des données du 27 avril 2016, dit Règlement général « Data Protection » (RGDP), dont les dispositions seront applicables dans l’ensemble des Etats membres de l’Union européenne le 25 mai 2018, va profondément modifier les règles applicables à l’environnement digital des entreprises.

Le compte à rebours a commencé : celles-ci vont très vite devoir prendre la mesure de ce texte fondamental qui consacre de nouveaux concepts, et repenser leur politique de conformité Informatique et libertés, sous peine de se voir exposées à des risques d’atteinte à leur réputation et de condamnations civiles et même pénales.

Une chose est certaine : dans un monde hyper connecté et à quasiment un an jour pour jour de l’entrée en vigueur ce Règlement, la protection des données à caractère personnel n’a jamais été autant au cœur des préoccupations des entreprises, lesquelles doivent tout mettre en œuvre pour se mettre en conformité, compte tenu des sanctions encourues.

Autant d’enjeux qui seront abordés le 10 mai 2017, à la Maison du Barreau, dans le cadre de cette seconde Grande matinée juridique de l’Acsel, le Hub de la transformation digitale, organisée en partenariat avec la Commission ouverte Marchés émergents, audiovisuel et numérique du Barreau de Paris, à travers trois tables rondes.

CIL / DPO : un nouvel acteur de la protection des données

Le RGDP crée le Data Protection Officer (DPO), nouvel acteur essentiel des données personnelles. Traduit dans la version française du Règlement en « délégué à la protection des données », le DPO se voit doté de compétences élargies par rapport au Correspondant Informatique et Libertés (CIL). Dans quel cas la désignation d’un DPO est-elle impérative ? Quels critères président à sa désignation ? Quelle est l’étendue des missions qui lui sont dévolues ? Quel degré de compétences requis au regard du large spectre couvert par ses missions ? Une chose est sûre : la désignation d’un DPO sera une étape essentielle de la mise en conformité au RGPD.

Nouveaux droits, nouvelles obligations

Le RGDP consacre de nouveaux concepts et impose aux entreprises de « disrupter » leurs pratiques et de revoir leur politique de conformité Informatique et Libertés. Si les formalités administratives sont simplifiées, les obligations sont renforcées pour assurer une meilleure protection des données personnelles : démarche de « Protection by design » et de « Protection by default », règles d’accountability, étude d’impact avant mise en œuvre de certains traitements, nouveaux droits fondamentaux des personnes (droit à l’oubli et à la portabilité des données…).

Les obligations en termes de sécurité

Le RGDP consacre l’obligation d’assurer la « Protection by default » des données à caractère personnel. Cette règle impose aux organismes de disposer d’un système d’information ayant les fonctionnalités minimales requises en matière de sécurité à toutes les étapes. En outre, la sécurité du système d’information doit être assurée dans tous ses éléments, physiques ou logiques. Enfin, cette règle implique que l’état de la sécurité du système d’information puisse être connu à tout moment. Quelles sont les exigences requises en la matière ? Quels sont les outils techniques et documentaires à mettre en œuvre afin de s’y conformer ? Comment, de façon générale, identifier les mesures techniques et informationnelles permettant d’être en conformité avec la règle « Protection by default » ?

Avec la participation de (par ordre alphabétique) :

  • Céline Avignon, Avocat à la Cour, Directeur du département Publicité et Marketing électronique, cabinet Alain Bensoussan Avocats Lexing ;
  • Gérald Bigle, Avocat à la Cour, cabinet Bigle Law Firm, responsable de la Commission ouverte Marchés émergents, audiovisuel et numérique du Barreau de Paris ;
  • Jean-Philippe Gaulier, RSSI, Orange ;
  • Edouard Geffray, Secrétaire Général de la Cnil ;
  • Nicolas Herbreteau, Directeur des relations institutionnelles France, Edenred ;
  • Hélène Legras, CIL mutualisé Groupe Areva, Data Protection Officer, Vice-Présidente de l’ADPO ;
  • Pedro Lucas, Président de Netplus ;
  • Jean Olive, Associé, responsable des activités de cybersécurité (PASSI) et d’Amoa Sécurité, CGI Business Consulting ;
  • Amal Taleb, Directrice adjointe des Affaires publiques, SAP, Vice-Présidente du Conseil National du Numérique ;
  • André Vidal, Président de la Fédération Eben.

Lieu :

Maison du Barreau, Auditorium Louis-Edmond Pettiti,
2, rue de Harlay
75001 Paris

Date et Horaires :

Mercredi 10 mai 21017, de 9H à 12H

Inscriptions : cliquer ici

Eric Bonnet
Directeur du Département Communication juridique




Parution de l’ouvrage “General data protection regulation”

General data protection regulation : texts, commentaries & practical guidelines“General data protection regulation : texts, commentaries & practical guidelines” est publié chez Wolters Kluwer.

Il est rédigé par Alain Bensoussan, Jean-François Henrotte (Lexing Belgique), Marc Gallardo (Lexing Espagne) et Sébastien Fanti (Lexing Suisse).

Le règlement européen sur la protection des données du 27 avril 2016, dont les dispositions seront applicables dans l’ensemble des Etats membres de l’Union européenne dans quasiment un an jour pour jour (le 25 mai 2018), marque un tournant dans la régulation des données personnelles (1).

Le compte à rebours a commencé : les entreprises vont très vite devoir prendre la mesure de ce texte fondamental qui consacre de nouveaux concepts, et repenser leur politique de conformité Informatique et libertés.

A défaut, elles risquent de se voir exposées à des risques d’atteinte à leur réputation et de condamnations civiles et même pénales.

L’enjeu est primordial : les sanctions susceptibles d’être prononcées sont très élevées, jusqu’à 2 ou 4 % du chiffre d’affaires mondial !

Une chose est certaine : dans un monde hyper connecté, la protection des données à caractère personnel n’a jamais été autant au cœur des préoccupations des entreprises.

C’est la raison pour laquelle il a semblé utile aux membres du réseau international Lexing, fondé par Alain Bensoussan, de brosser un tableau des nouvelles contraintes pesant dans ce domaine sur les entreprises, en publiant en langue anglaise ce premier commentaire, article par article, du règlement 2016/679.

Cette publication s’adresse principalement à tous ceux qui sont concernés par l’application du règlement et la mise en conformité au regard de ses dispositions, en vue de son application en 2018 : juristes d’entreprises, avocats, correspondants informatique et libertés (CIL) délégués à la protection des données (DPO), mais aussi responsables de la sécurité des systèmes d’information (RSSI) et responsables de la conformité.

L’ouvrage a été préfacé par Isabelle Falque-Pierrotin, présidente de la Commission nationale de l’informatique et des libertés (Cnil) et présidente du Groupe de l’article 29 (G29).

General data protection regulation
Texts, commentaries and practical guidelines
Alain Bensoussan, Jean-François Henrotte, Marc Gallardo, Sébastien Fanti
Prefaced by Isabelle Falque-Pierrotin, Chair of the Article 29 Data Protection Working Party (WP29),
Editions Wolters Kluwer 2017, également disponible en version e-book – 528 p.

Eric Bonnet
Directeur du Département Communication juridique

(1)  Voir déjà « Règlement européen sur la protection des données », par Alain Bensoussan,  Céline Avignon, Virginie Bensoussan-Brulé et Chloé Torres, Larcier, octobre 2016




L’Acsel auditionnée à l’Assemblée nationale sur le RGPD

L'Acsel auditionnée à l'Assemblée nationale sur le RGPDCéline Avignon a été auditionnée sur les nouvelles normes européennes en matière de data protection.

Le cabinet Lexing Alain Bensoussan Avocats est membre du conseil d’administration de l’Acsel, le hub de la transformation digitale, interface de référence de l’écosystème numérique pour les entreprises, organismes et pouvoirs publics engagés dans la transformation digitale.

Nicolas Hebreteau, administrateur de l’Acsel et Céline Avignon, membre de la commission juridique de l’Acsel et experte en droit de la protection des données personnelles ont été auditionnés par la Commission des lois de l’Assemblée nationale le 24 janvier 2017 sur les incidences du règlement européen relatif à la protection des données personnelles sur la législation française.

A cette occasion, des échanges sont intervenus sur ses impacts sur les organismes publics et les entreprises privées, sa perception par les responsables de traitements, ainsi que sur les principales questions qu’il pose.

L’audition était menée par Madame Anne-Yvonne Le Dain, présidente-rapporteure de la mission d’information sur les incidences des nouvelles normes européennes en matière de protection des données personnelles sur la législation française, et Monsieur Philippe Gosselin, vice-président-rapporteur.

Retrouvez ces échanges sur le site de l’Assemblée nationale, ainsi que sur celui de l’Acsel.

Eric Bonnet
Directeur du Département Communication juridique




Les enjeux juridiques de l’éclairage public intelligent

Les enjeux juridiques de l’éclairage public intelligentL’éclairage public intelligent se développe afin de diminuer l’empreinte énergétique et fluidifier la circulation.

La ville intelligente ou smart city tente de répondre et de s’adapter aux nouvelles réalités. Elle se connecte et se relie à ses habitants, visiteurs et entreprises pour leur fournir de nouveaux services ou améliorer les anciens. L’enjeu de l’éclairage public pour la ville intelligente est d’une part d’améliorer ce service et d’autre part d’exploiter au mieux ce service.

L’empreinte énergétique de la ville intelligente

D’un point de vue pratique, la ville intelligente c’est aussi la recherche d’économie et de baisse d’empreinte énergétique.

Ainsi des solutions ont été recherchées pour l’éclairage public qui est un poste important de dépense pour les municipalités : 9,3 euros en moyenne par habitant pour une commune de plus de 500 habitants (1).

Des entreprises comme Kawantech et Carré Products proposent un éclairage LED de basse consommation dont l’intensité peut être modulée. Des capteurs posés sur le lampadaire permettent de contrôler l’éclairage en fonction de la présence ou non de piétons ou véhicules. Les capteurs détectent l’arrivée d’un piéton ou d’un véhicule et transmettent l’information afin que l’éclairage suive la personne ou le véhicule.

Les avantages de l’éclairage public intelligent

La ville intelligente modère le coût de l’éclairage public tout en répondant à la demande de ses usagers de maintenir un éclairage la nuit pour des raisons de sécurité.

Cette solution parait n’avoir que des bénéfices néanmoins elle soulève des questions d’un point de vue juridique. En effet les données ainsi captées peuvent relever de la catégorie des données personnelles si elles permettent d’identifier les personnes. C’est le cas par exemple des plaques d’immatriculation que les caméras implantés sur ces éclairages publics intelligents peuvent capter et partager. L’enjeu pour la ville est alors d’avoir la garantie que la réglementation informatique et libertés est respectée par ses prestataires et pour ses habitants.

L’utilisation première de l’éclairage public est en soi un enjeu juridique mais c’est également le cas de son utilisation secondaire.

Fluidité de la circulation de la ville intelligente

L’éclairage public intelligent peut également permettre d’améliorer la fluidité de la circulation dans la ville.

L’entreprise Libelium qui travaille sur les objets connectés propose de connecter les lampadaires afin de mesurer la vitesse du trafic. L’analyse de ces données devrait lui permettre de localiser les embouteillages afin d’informer les conducteurs.

Pour aller encore plus loin, des start-up prévoient pour la ville intelligente des véhicules autonomes et un équipement routier communiquant afin d’optimiser les déplacements des automobilistes. La ville de Lyon a d’ailleurs déjà mis en place dans le quartier Confluence un service de navette autonome avec des véhicules sans conducteur. De plus, selon une étude de Machina Research, il y aura 1,8 milliard de connexions IoT automobiles d’ici 2022 et plus de 700 millions de voitures connectées.

Ces innovations posent l’éternelle question de la responsabilité. Si un accident est causé par le défaut ou la mauvaise communication entre l’éclairage public, l’équipement routier et le véhicule autonome à qui imputer la faute ?

De multiples intervenants pourraient voir leur responsabilité engagée, la municipalité, le constructeur automobile, le propriétaire du véhicule…

Se pose également la question des limites de l’utilisation de ces données par la municipalité et la collecte de l’accord des habitants.

On voit dès lors que tant du point de vue de la responsabilité (2) que du point de vue du respect de de la réglementation informatique et libertés (3) le développement de la ville intelligente et de son éclairage public ne cessera de soulever des questions.

Nathalie Plouviet
Claire Van Mol
Lexing Droit de l’Internet des objets

(1) Association française de l’éclairage (AFE), Dossier « Eclairage public : les chiffres clés ».
(2) C. civ., art. 1240 et s.
(3) Loi 78-17 du 6-1-1978.




Le véhicule connecté selon la démarche « privacy by design »

Le véhicule connecté selon la démarche « privacy by design »Si le pack « véhicule connecté » est en cours de finalisation, la Cnil fournit ses premières préconisations.

Le pack « véhicule connecté » de la Cnil : outil de compliance

La Cnil, qui se positionne résolument en faveur des technologies avancées, travaille à la définition d’un pack de conformité « véhicule connecté ».

Les packs de conformité traduisent la volonté de la Commission de fournir aux responsables de traitements des outils leur facilitant la mise en conformité de leurs traitements dans le cadre d’une démarche de compliance.

Ces packs sont établis en concertation et pour les besoins des professionnels et des secteurs d’activités concernés.

A titre d’exemple, le secteur social, les bailleurs sociaux, les assurances et les banques, sont autant de secteurs qui ont pu bénéficier de ces outils.

La démarche proposée pour les véhicules connectés (1) est similaire à celle adoptée par la Cnil pour les compteurs intelligents.

Les premières recommandations de la Cnil

A l’occasion du mondial de l’automobile, la Cnil publie ses premières réflexions résultant des discussions intervenues avec l’ensemble de l’écosystème des véhicules connectés.

Elle confirme que l’enjeu recherché est « d’intégrer la dimension « protection des données personnelles » dès la phase de conception des produits et assurer la transparence et le contrôle par les personnes de leurs données ».

Pour atteindre ces objectifs la Cnil, anticipant la future entrée en vigueur du règlement européen, recommande d’adopter une approche de protection des données dès la conception ou « privacy by design ».

Dans le cadre de cette démarche, les acteurs, parties prenantes à un projet de véhicule connecté, doivent intégrer dès l’origine les contraintes de protection des données et notamment, prévoir les fonctionnalités nécessaires pour assurer la conformité de leur projet.

A ce titre, tout projet doit intégrer des mécanismes visant, non seulement, à assurer, la sécurité et la confidentialité des données, mais également, l’information des personnes ou encore le principe de minimisation des données …

IN => IN, IN => OUT et IN => OUT => IN

La Cnil insiste aussi sur l’importance de l’information des personnes voir, sur le recueil de leur consentement préalable.

De ce point de vue, elle reprend la démarche qu’elle avait adoptée dans son pack « compteurs communicants » en distinguant trois situations correspondant à trois caractéristiques différentes de traitement de données dans le cadre du véhicule connecté, à savoir :

  • IN => IN les données demeurent dans le véhicule, sans aucune communication à l’extérieur ;
  • IN => OUT les données collectées via le véhicule connecté sont transmises à un tiers en vue de la fourniture d’une prestation de service à la personne concernée ;
  • IN => OUT => IN les données collectées dans le véhicule sont transmises à l’extérieur pour déclencher une action automatique dans le véhicule.

Compte tenu de la volonté de la Cnil d’encourager l’innovation, même si au regard de ces premières réflexions elle privilégie le IN => IN, il ne fait pas de doute que son pack définira les conditions dans lesquelles les projets IN => OUT et IN => OUT => IN devront s’inscrire pour répondre aux impératifs de protection des données.

Démarche prospective en attente du pack « véhicule connecté »

D’ores et déjà, à l’instar des recommandations de la Cnil en matière de compteurs communicants, il est recommandé aux constructeurs et autres acteurs de l’écosystème des véhicules connectés de procéder à une double analyse :

  • d’impact sur la vie privée ;
  • des risques ;

pour déterminer les mesures et mécanismes de garantie à mettre en œuvre pour assurer la protection des données des personnes concernées.

A cet effet, la Cnil insiste sur la nécessité de mettre en place des outils permettant aux personnes concernées de maitriser leurs données selon le concept d’ « empowerment ».

Si à ce stade, la démarche adoptée par la Cnil est similaire à celle adoptée pour les compteurs communicants, il faudra attendre la publication du pack pour permettre aux acteurs d’identifier les spécificités du véhicule connecté.

Nathalie Plouviet
Lexing Droit de l’internet des Objets
Céline Avignon
Lexing Publicité et Marketing électronique

(1) Cnil, Dossier « Pack de conformité : Les compteurs communicants » 5-2014 ; Lire également notre Post du 3-7-2014.




Loi Lemaire : succès de la Matinée juridique de l’Acsel

Loi Lemaire : la Grande Matinée Juridique de l’AcselC’est dans un auditorium de la Maison du Barreau comble que s’est déroulée la Grande Matinée Juridique de l’Acsel.

Le timing était parfait : alors que l’après-midi du 28 septembre 2016, le Sénat devait adopter définitivement le projet de loi pour une République numérique, le matin même, la commission juridique de l’Acsel (1) – le Hub de la transformation digitale – organisait en partenariat avec l’Ordre des avocats de Paris sa « Grande Matinée juridique de décryptage de la loi pour une République numérique ».

On le sait, cette loi, comme le fut en son temps la loi pour la confiance dans l’économie numérique, va marquer profondément le droit du numérique.

Grande matinée juridique Acsel Cyril ZimmermannLes trois sujets qui méritent une attention tout à fait particulière dans le texte portée devant le Parlement par Axelle Lemaire, Secrétaire d’État chargée du Numérique et de l’Innovation, avaient été retenus par la Commission juridique de l’Acsel, comme autant de thèmes des trois tables rondes de la matinée:

  • la création d’un véritable droit de l’open data ;
  • un renforcement du droit des plateformes ;
  • une révision du droit des données à caractère personnel.

L’occasion de donner la parole, après des propos introductifs de Cyril Zimmermann, Président de l’Acsel, aux experts, personnalités du monde politique et de l’entreprise pour en débattre.

Loi Lemaire et Open data

Tout le monde en parle mais c’est bien la loi Lemaire qui, pour la première fois en France, fixe le cadre juridique de l’open data (ouverture des données publiques).

Grande matinée juridique Acsel 1ère table rondeQu’est-ce que l’open data ? Faut-il distinguer les données brutes et les données enrichies ? Quels sont les nouveaux droits fixés par la loi ? Qu’en est-il des exceptions comme l’exception scientifique ?

Autant de questions abordées au sein de la première table ronde animée par Gérald Bigle, président de la Commission « Marchés émergents, audiovisuel et numérique » du Barreau de Paris (2), qui réunissait Luc Belot, Député du Maine-et-Loire, rapporteur de la Loi, Renaud Fabre, directeur de l’information scientifique et technique au CNRS, Mathieu Caps, Responsable des affaires publiques, Open Data Soft, et Pascale Vinot, Chef de projet Data tourisme, Tourisme et Territoires.

Loi Lemaire et droit des plateformes

Les plateformes cristallisent un nombre impressionnant de questions pour ne pas dire de crispations.

La loi fixe comme exigence un renforcement de certaines obligations comme la « loyauté » ou crée de nouvelles obligations comme la portabilité des données ou encore le droit des « avis en ligne ».

Grande matinée juridique Acsel 2e table rondeLà encore, de nombreuses questions se posent. Qu’est-ce qu’une plateforme ? Faut-il leur imposer des droits spécifiques au point de les stigmatiser ? Les plateformes bénéficient-elles ou non du cadre de responsabilité spécifique des hébergeurs ? Qu’est-ce que la neutralité ?

Cette table-ronde réunissait Laure de la Raudière, députée d’Eure-et-Loir, Olivier Mathiot, P.D-G de Price Minister, Franck Avignon, Legal counsel France, Airbnb, et Corinne Lejbowicz, P. D-G de Prestashop..

Loi Lemaire et données personnelles

La loi comporte un certain nombre de dispositions nouvelles sur le droit des données personnelles mais aussi les pouvoirs de la Cnil. Elle anticipe sur certains aspects le Règlement européen sur les données personnelles.

Grande matinée juridique Acsel 3e table ronde

La troisième table ronde était présidée par Nicolas Herbreteau, directeur des relations institutionnelles d’Endered. Son objectif était est de brosser un tour d’horizon des nouvelles obligations issues non seulement de la loi Lemaire mais également d’aborder les incidences du règlement européen sur les données à caractère personnel et la mort du Safe Harbor remplacé par le Privacy Shield.

Participaient à cette réunion Hélène Legras, Correspondant informatique et libertés/Data Protection Officer des sociétés du groupe Areva auprès de la Cnil – Vice-Présidente de l’ADPO ; Marc Mossé, Directeur Affaires juridiques et affaires publiques, Microsoft, Vice-Président de l’AFJE ; Edouard Geffray, Secrétaire général de la Cnil ; Amal Taleb, Vice-Présidente du Conseil National du Numérique.

A l’issue de cette matinée, on apprenait que le Sénat avait voté définitivement le texte de loi (3).

Eric Bonnet
Directeur du département Communication juridique

(1) Acsel, Communiqué sur la Grande Matinée Juridique du 28-9-2016.
(2) Barreau de Paris, présentation de la « Commission Marchés émergents, audiovisuel et droit du numérique ».
(3) Sénat, Texte n°185 du 28-9-2016, Petite loi. Voir également le Post du 29-9-2016 et le Post du 30-9-2016




La décision d’adéquation pour l’EU-US Privacy Shield

La décision d’adéquation pour l’EU-US privacy shieldLa commission européenne vient d’adopter, le 12 juillet 2016, une décision d’adéquation visant à reconnaître aux  mécanismes EU–US Privacy Shield, le niveau de protection essentiellement équivalent aux exigences européennes définies par la directive 95/46/CE (1).

Cette adoption met fin à la période d’incertitude ouverte suite à l’invalidation de la décision d’adéquation du Safe Harbor par la Cour de Justice de l’Union européenne d’octobre 2015 (2).

Elle va permettre aux entreprises européennes de bénéficier d’un fondement pour justifier les transferts de données vers les États-Unis, sans passer par les mécanismes de clauses contractuelles types ou autres règles contraignantes d’entreprise.

La décision d’adéquation entre vigueur après qu’elle ait été notifiée à chacun des états membres. Elle sera alors contraignante pour ces derniers.

Pour bénéficier de la décision d’adéquation, les entreprises américaines devront s’auto-certifier. Elles devront respecter les principes définis par l’UE – US Privacy Shield. Si ces principes doivent être respectés dès la certification, il existe néanmoins des dispositions transitoires pour les entreprises qui ont d’ores et déjà établi des relations commerciales.

Cette exception à l’application immédiate des principes du Privacy Shield s’explique par la recherche d’un équilibre entre la protection des données et le temps nécessaire pour les entreprises de s’adapter et se mettre en conformité avec ces nouveaux principes. En tout état de cause, ces entreprises doivent se mettre en conformité dès que possible et au plus tard dans les neuf mois qui suivent l’auto-certification pourvu que cette auto-certification soit mise en place sous les deux mois qui suivent le jour où l’accord Privacy Shield est devenu effectif. Ainsi, pour pouvoir bénéficier de la procédure d’adéquation dans le cadre de la mise en œuvre de flux de données vers les États-Unis, les responsables de traitement européens devront attendre que les entreprises américaines adhèrent au Privacy Shield.

Le département de commerce américain a annoncé qu’il commencerait à accepter les certifications à compter du 1er août 2016.

Si tout semble acquis, il ne faut pas oublier que la décision d’adéquation peut faire l’objet d’un recours devant la Cour de justice de l’Union européenne (CJUE). En effet, les actes des institutions de l’Union produisent des effets juridiques aussi longtemps qu’ils n’ont pas été retirés, annulés dans le cadre d’un recours en annulation ou déclarés invalide à la suite d’un renvoi préjudiciel ou d’une exception d’illégalité. La CJUE est seule compétente pour constater la validité d’un acte de l’union conformément à l’article 263 du Traité traité sur le fonctionnement de l’Union européenne (TFUE).

Ce risque de recours existe compte tenu notamment des réserves effectuées par certains.

Par ailleurs, il convient de noter que les autorités nationales de contrôle saisies d’une demande même en présence d’une décision de la commission constatant qu’un pays tiers offre un niveau de protection adéquat des données, peuvent examiner si le transfert des données d’une personne vers ce pays respecte les exigences de la législation de l’Union relative à la protection de ces données. Elles peuvent également saisir les juridictions nationales au même titre que la personne concernée afin qu’elles procèdent à un renvoi préjudiciel au fin de l’examen par la CJUE de la validité de cette décision.

Enfin, compte tenu des difficultés rencontrées pour aboutir à cette décision d’adéquation, il est rassurant de relever que le règlement européen prévoit que les décisions d’adéquation rendues sur le fondement de l’article 25 § 6 de la directive 95/46/CE abrogée demeurent en vigueur jusqu’à leurs modifications, remplacement ou abrogation par une décision de la commission adoptée conformément à l’article 45 du règlement UE 2016/679.

Céline Avignon
Alain Bensoussan

(1) Décision adéquation du 12 juillet 2016 Bouclier vie privée UE-EU Privacy Shield EU-US (FR).
(2) CJUE, 6-10-2015, Aff. C-362/14, Maximillian S. c/ Data Protection Commissioner, voir notre post du 30-10-2015.




La loi ivoirienne de protection des données personnelle

Frédéric Forster - séminaire AFAPDP 13 05 2016Sur  RTI 1, Frédéric Forster s’est confié la loi ivoirienne de protection des données à caractère personnel.

Cette interview faisait echo à la participé au séminaire de l’AFAPDP (1) qui s’est déroulé les 9, 10 et 11 mai 2016 à Abidjan.

Ce séminaire, initié par L’Autorité de régulation des télécommunications/TIC de Côte d’Ivoire (ARTCI) (2), a rassemblé nombre de représentants des 89 pays membres, dont 13 pays africains.

Il a eu pour vocation de sensibiliser les populations à la mise en œuvre pratique de la loi du 19 juin 2013 relative à la protection des données à caractère personnel (3).

Aux termes de cette loi, protectrice des droits des individus à l’égard des administrations publiques comme des organismes privés, le consentement des personnes doit être recueilli préalablement à la collecte des données les concernant.

Ces dernières doivent être informées de la finalité du traitement, de la durée de conservation, ainsi que du lieu de stockage des données. Elles bénéficient également d’un droit d’accès, d’opposition et de suppression des données personnelles, qu’elles sont susceptibles d’exercer auprès de l’ARTCI, plus précisément auprès d’un service dédié à la protection des données, constitué au sein de la Direction des Affaires juridiques de l’Autorité.

A l’occasion de cet événement, Frédéric Forster s’est confié à la chaîne de télévision ivoirienne RTI (4), l’interview ayant été retransmis dans le cadre du journal de 13 heures de RTI 1 du 13 mai 2016 (5).

Il a rappelé que le nom, le prénom, comme le lieu de naissance sont autant de données qui définissent un individu. Il importe que les populations aient conscience de l’existence d’un droit de propriété sur leurs données, droit opposable tant aux administrations qu’aux entreprises.

(1) Association francophone des autorités de protection des données personnelles (AFAPDP).
(2) Site de l’ARTCI.
(3) Loi 2013-450 du 19-6-2013.
(4) Radiodiffusion télévision ivoirienne (RTI).
(5) Vidéo du Journal de RTI 1.

 




Bilan 2015 : forte augmentation de l’activité de la Cnil

Bilan 2015 : forte augmentation de l’activité de la CnilAvec 7908 plaintes, la Cnil enregistre un nombre record dans son bilan d’activité de l’année 2015.

Si le bilan 2014 de la Cnil plaçait les données personnelles au « cœur du débat public et des préoccupations des Français », le bilan 2015 constate une augmentation et une diversification des demandes auprès de la Cnil et en particulier des plaintes.

En effet, le rapport de 2015 (1) recense au moins sept typologies différentes de plaintes :

  • internet et communications électroniques (36 %) ;
  • commerce et marketing (26 %) ;
  • travail et gestion des ressources humaines (16 %) ;
  • banque et crédit (10 %) ;
  • libertés publiques (5 %) ;
  • santé sociale (3 %) ;
  • police et justice (1 %).

Ce « nombre record » s’explique en partie par la mise en place en mars 2015, d’un service de dépôt de plaintes en ligne directement sur le site de la Cnil. Ainsi, 65 % des demandes ont été effectuées en ligne.

La e-réputation inquiète de plus en plus les internautes, notamment à la suite de l’affaire Maximillian Schrems (2). Pour autant, les demandes de déréférencement adressées directement à la Cnil ne se limitent pas au contexte de cette décision, qui ne visait que les particuliers. En effet, le bilan 2015 constate que les plaintes proviennent de personnes physiques, mais aussi de personnes morales.

Les demandes de droit d’accès indirect ont également augmenté de 12 % avec 5890 demandes et portent notamment sur les fichiers de police, de gendarmerie, de renseignement et sur le fichier national des comptes bancaires et assimilés (Ficoba).

Si le Ficoba représente une part importante des demandes d’accès indirect, le bilan 2015 met en avant le contexte actuel d’état d’urgence et de risques terroristes qui a grandement contribué à leur hausse. Avec le profiling, la surveillance et la collecte de données à caractère personnel, les particuliers veulent davantage connaître et contrôler les informations les concernant.

De même, le bilan 2015 rappelle que la Cnil a été fortement sollicitée pour contrôler les dispositions législatives et réglementaires d’urgence afin de vérifier la proportionnalité entre les mesures de traitement ou de blocage et le but recherché.

Enfin, avec 501 contrôles, la Cnil a suivi de près la mise en conformité des organismes avec la loi Informatique et libertés. Malgré cela, elle a tout de même constaté une augmentation de ses mises en demeure, 93 en 2015 contre 62 en 2014, et a prononcé une dizaine de sanctions définitives.

Avec ce bilan, la Cnil s’est fixée de nouveaux objectifs pour l’année 2016. Elle sera déjà chargée de garantir la mise en place effective du Règlement européen sur la protection des données personnelles pour tous les acteurs nationaux concernés.

De plus, la Cnil va continuer d’aider les différents acteurs privés et publics à s’adapter au Big data et aux différents outils permettant de garantir la protection des données.

Enfin, en matière de chiffrement, la Cnil ne compte pas l’empêcher mais l’encadrer rigoureusement, son but étant de favoriser la coopération des personnes concernées avec les autorités et de s’assurer que le chiffrement n’est mis en œuvre que lorsque toutes les autres voies possibles ont été épuisées.

Avec le projet de loi pour une République numérique et le règlement européen sur la protection des données personnelles, le champ d’action de la Cnil va aller en grandissant, ainsi que les plaintes et les réclamations du grand public.

Anne Renard
Lexing Publicité et marketing électronique

(1) Cnil, Bilan d’activité 2015 de la Cnil
(2) CJUE, 6-10-2015, Aff. C-362/14, Maximillian S. c/ Data Protection Commissioner