Les outils de la compliance : l’exemple de la conformité au RGPD

complianceAlain Bensoussan évoque pour la revue du Grasco (*) les outils de la compliance en illustrant son propos par la conformité au RGPD.

A l’ère des algorithmes et de l’IA, les nouvelles technologies bouleversent tous les modèles de développement. Selon Alain Bensoussan, « les programmes de compliance, apparus dans les années 2000, n’y échappent pas, comme le démontre la conformité au RGDP qui cristallise toutes les attentions depuis plus de deux ans ».

Comme l’a défini le Cercle de la Compliance, un programme de compliance est un ensemble de processus « qui permettent d’assurer le respect des normes applicables à l’entreprise par l’ensemble de ses salariés et dirigeants, mais aussi des valeurs et d’un esprit éthique insufflé par les dirigeants  ».

C’est incontestablement le cas de la mise en conformité au Règlement général sur la protection des données  (« RGPD » ou « GDPR » en anglais), adopté le 27 avril 2016 et directement applicable dans tous les Etats membres depuis le 25 mai 2018.

Le déploiement, au sein des organisations des contraintes découlant du RGPD est une opération complexe. Selon Alain Bensoussan, « pour les entreprises, un seul mot d’ordre dans les mois à venir : assurer le maintien aux conditions opérationnelles de la conformité à la règlementation Informatique et libertés ».

Compliance RGPD : pas de conformité sans des outils dédiés

Une chose est certaine aux yeux de l’avocat-technoloque : la conformité Informatique et libertés ne peut être atteinte sans outils dédiés. Et, ajoute-t-il, « des outils s’inscrivant dans le cadre d’une logique de globalisation logicielle ».

En effet, même s’il est possible pour tout un chacun de faire par exemple l’acquisition d’un registre de traitements, d’un registre sous-traitant ou encore d’un registre violation de sécurité, voire de tout autre outil, comme une simple « brique », mieux vaut pour les organisations disposer de l’ensemble de la documentation en un seul endroit, où le responsable de traitement et le délégué à la protection des données pourront retrouver aisément l’ensemble des documents.

Conformité au RGPD et logique de globalisation logicielle

Cette approche est à ses yeux un élément majeur dans le cadre du déploiement d’un programme de conformité. En effet, plus les outils sont disparates, moins l’information sera globale et pertinente.

Cela permet, dans le cadre du suivi des traitements, mais également et surtout en cas de contrôle, de disposer de la même information à partir de différents terminaux, à toute heure du jour et de la nuit.

Et Alain Bensoussan de conclure : « la mise en place de programmes de compliance constitue un enjeu stratégique et organisationnel qui ne saurait faire l’économie de la mise en place d’outils dédiés. A l’heure de la disruption digitale, ces outils permettront d’optimiser le déploiement de due diligences dans le cadre de programme de compliance, qu’il s’agisse du RGDP, de la loi Sapin 2 et demain, d’autres projets ».

Revue du Grasco n°25, décembre 2018 : la revue du GRASCO est consultable  sur www.larevuedugrasco.eu qui renvoie sur tous les numéros de la revue ».

Eric Bonnet
Avocat, Lexing Alain Bensoussan Avocats
Directeur de la communication juridique

(*) La revue du GRASCO est un trimestriel édité par le GRASCO (Groupe de Recherches Actions Sur la Criminalité Organisée) ayant pour thème principal la prévention et la répression de la criminalité organisée dans sa dimension économique et financière à l’échelle nationale, européenne et internationale. Les contributions s’adressent à tous les acteurs de la prévention et de la répression de la criminalité organisée.




La responsabilité des témoins de Jéhovah sur les données collectées

données personnelles

La protection des personnes physiques à l’égard du traitement des données personnelles par les témoins de Jéhovah, une communauté religieuse (1).

Le 17 septembre 2013, la commission finlandaise de protection des données a adopté une décision visant à interdire à la communauté des témoins de Jéhovah de collecter ou de traiter des données à caractère personnel dans le cadre de son activité de prédication de porte-à-porte.

Les membres de la communauté, lors de leur activité rythmée par une importante organisation, prennent en note plusieurs informations concernant des personnes extérieures à la communauté, sans leur accord. Ces données à caractère personnel sont le nom, l’adresse, la conviction religieuse et la situation familiale. Ces informations sont par la suite organisées en liste et utilisées par les membres de la communauté dans le cadre de leurs activités.

La Cour administrative suprême finlandaise a demandé à la Cour de justice de l’Union européenne d’interpréter, dans le cadre d’une décision préjudicielle, les définitions de «fichier de données à caractère personnel» et de «responsable du traitement» au sens des articles 2, c) et d) et 3 de la directive, désormais abrogée, 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ainsi que le champ d’application de ladite directive, alors applicable en l’espèce. Les dispositions concernées par la décision en l’espèce sont reprises par le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (RGPD). L’objectif étant de savoir si une communauté religieuse, en l’espèce la communauté des témoins de Jéhovah, est soumise au respect des règles du droit de l’Union européenne en matière de protection des données à caractère personnel.

La Cour de justice de l’Union européenne s’est ainsi prononcée sur :

  • la qualification de fichier personnel des fichiers établis par la communauté des témoins de Jéhovah ;
  • l’application de la règlementation européenne en matière de protection des données à caractère personnel à cette communauté ;
  • la responsabilité conjointe de la communauté des témoins de Jéhovah avec ses membres prédicateurs.

Le caractère public des données personnelles collectées par la communauté des témoins de Jéhovah

La Cour de justice de l’Union européenne a, dans un premier temps, considéré que l’activité de prédication de porte-à-porte de la communauté des témoins de Jéhovah n’entre pas dans les exceptions prévues à l’application de la règlementation en matière de protection des données à caractère personnel.

Cette activité, en application de l’article 10, paragraphe 1 de la Charte des droits fondamentaux de l’Union européenne, est protégé par le droit fondamental à la liberté de conscience et de religion. En revanche, dépassant la sphère privée, la prédication de porte-à-porte effectuée par les témoins de Jéhovah, la Cour ne lui attribue pas un caractère exclusivement personnel ou domestique, ne remplissant alors pas les critères d’exclusions au champ d’application de la réglementation européenne en matière de protection des données.

Le champ d’application matériel des données personnelles

La Cour de justice de l’Union européenne a, ensuite, jugé que la notion de « fichier » couvre l’ensemble des données personnelles collectées durant l’activité de prédication de porte-à-porte à partir du moment où elles sont organisées pour les retrouver aisément, sur le fondement de l’article 3 de la directive 95/46/CE, repris à l’article 2 du RGPD applicable aux traitements de données à caractère personnel depuis le 25 mai 2018.

La responsabilité conjointe du traitement des données personnelles

La Cour de justice de l’Union européenne a analysé, en application de l’article 2, d) de la directive 95/46/CE, repris à l’article 26 du RGPD, la possibilité d’avoir plusieurs «responsables du traitement» impliqués en l’espèce à différents stades du traitement des données. Ainsi, il était question de savoir si une communauté religieuse pouvait être considérée responsable du traitement conjointement avec ses membres prédicateurs.

La Cour de justice de l’Union européenne a observé qu’aucune disposition ne permet de considérer que la détermination des finalités et des moyens du traitement doit s’effectuer au moyen de lignes directrices écrites ou de consignes de la part du responsable du traitement. Une personne physique ou morale qui influe, à des fins qui lui sont propres, sur le traitement des données à caractère personnel et participe à sa détermination peut être considérée comme étant responsable du traitement.

La Cour de justice de l’Union européenne, sur le fondement de l’article 17 du Traité sur le fonctionnement de l’Union européenne, considère que la communauté des témoins de Jéhovah participe à la détermination de la finalité et des moyens du traitement des données à caractère personnel des personnes démarchées mais qu’il appartient à la juridiction finlandaise d’en juger l’effectivité.

Le Cour de justice de l’Union européenne conclut que le droit de l’Union en matière de protection des données personnelles permet de considérer une communauté religieuse comme responsable avec ses membres prédicateurs, du traitement des données à caractère personnel effectué par ces derniers dans le cadre d’une activité de prédication de porte-à-porte organisée par cette communauté, sans nécessairement que toute la communauté ait eu accès aux données, ni qu’il soit établi qu’elle a donné à ses membres les consignes par écrit.

Virginie Bensoussan-Brulé
Debora Cohen
Lexing Contentieux numérique

(1) CJUE, grande chambre,10-7-2018, affaire C‑25/17.




L’administrateur d’une page Facebook est coresponsable du traitement

page Facebook

L’administrateur d’une page Facebook est coresponsable avec le réseau social des traitements mis en œuvre à l’occasion de la visite de ladite page.

Contexte de cette décision

Cette décision de la Cour de justice de l’Union européenne du 5 juin 2018 (1) fait suite à une question préjudicielle de la Cour fédérale allemande et intervient dans le cadre d’un litige opposant l’autorité allemande de protection des données du land du Schleswig-Holstein un organisme de formation.

L’organisme de formation offre des services au moyen d’une page « fan » hébergé par Facebook. Les administrateurs de pages « fan » peuvent obtenir des données statistiques anonymes concernant les visiteurs de ces pages à l’aide d’une fonction intitulé Facebook Insight mise gratuitement à leur disposition.

Ces données sont collectées via des cookies déposés par Facebook à l’occasion de la visite de cette page, sur l’ordinateur de la personne concernée.

En 2011, l’organisme de formation a été condamné par l’autorité allemande de protection des données du land du Schleswig-Holstein à désactiver sa page « fan » sous peine d’astreinte au motif que ni elle, ni Facebook n’informaient les visiteurs des traitements réalisés à l’aide des informations collectées par l’intermédiaire de ces cookies. L’organisme a contesté cette décision qui après une longue procédure a donné lieu à l’arrêt de la Cour de justice du 5 juin 2018.

La question préjudicielle

La question posée à la Cour était de préciser si l’administrateur d’une page Facebook détermine ou non, conjointement avec Facebook, les finalités et les moyens du traitement et peut à ce titre être qualifié de coresponsable du traitement.

L’analyse de la cour

Pour répondre positivement à cette question, la Cour a mis en avant plusieurs critères.

D’abord l’existence d’un contrat spécifique relatif à l’ouverture d’une page entre le réseau social et l’administrateur. En acceptant ce contrat, la Cour considère que l’administrateur souscrit à ce titre aux conditions d’utilisation de cette page, y compris à la politique des cookies.

Ensuite, la Cour souligne que l’administrateur en créant sa page offre à Facebook la possibilité de placer des cookies sur les appareils utilisés par la personne concernée pour la visiter, que cette personne dispose ou non d’un compte sur Facebook.

Enfin, l’organisme pour mesurer son audience sur sa page Facebook doit procéder au paramétrage de ses statistiques de mesures d’audience. Il doit en particulier définir :

  • son audience cible : notamment déterminer des tendances en matière d’âge, de sexe, de situations amoureuse et de profession,
  • ses objectifs de gestion ou de promotion de ses activités via la collecte de données concernant les achats et le comportement d’achat en ligne des visiteurs, les catégories de produits ou de services qui les intéresse le plus et
  • des données géographiques permettant de savoir où effectuer des promotions ou organiser des événements.

Dès lors, la Cour considère que ce paramétrage « influe » et « contribue au traitement des données à caractère personnel des visiteurs de la page ». De par cette autonomie et ce pouvoir de fait, il y a lieu de considérer que l’administrateur participe à la détermination des finalités et des moyens du traitement de manière conjointe avec Facebook.

La Cour affirme cependant que le simple fait d’utiliser un réseau social tel que Facebook ne rend pas un utilisateur de Facebook coresponsable d’un traitement de données effectué par le réseau. C’est donc bien l’action de paramétrage et les choix opérés par l’administrateur qui tendent à lui donner cette qualification.

A noter enfin que le fait que les statistiques d’audience établies par Facebook soient transmises à l’administrateur de la page de manière anonymisée est sans effet sur la décision, l’établissement de ces statistiques nécessitant la collecte et le traitement de données personnelles.

Quelles actions à court terme pour les administrateurs d’une page Facebook ?

Il apparait nécessaire pour l’organisme qui créé sa page Facebook et détermine ses cibles et mesures d’audience à l’instar de l’organisme de formation de :

  • inscrire ce traitement dans son registre, s’il est tenu d’établir un registre
  • procéder à l’information des personnes concernées notamment en affichant une politique de protection des données sur sa page.

En cas de coresponsabilité, l’article 26 du RGPD (2) prévoit que les coresponsables conjoints définissent par voir d’accord leurs obligations respectives et que les grandes lignes de cet accord sont mises à disposition des personnes concernées. Il apparait cependant difficile de conclure ce type d’accord avec Facebook. Il est probable qu’il faudra attendre la publication de nouvelles conditions générales.

Quelles conséquences en termes de responsabilités des plateformes ?

La Cour rappelle que le fait pour un organisme « d’utiliser la plateforme mise en place par Facebook afin de bénéficier des services y afférents ne sauraient l’exonérer du respect de ses obligations » en matière de protection des données personnelles. C’est donc une analyse au cas par cas qui doit être effectuée afin de déterminer la part d’autonomie et le pouvoir de fait de l’organisme par rapport au traitement de données mis en œuvre par la plateforme et donc les responsabilités réciproques des parties.

En l’espèce, l’administrateur de la page détermine parmi les catégories qui lui sont proposées par Facebook, les données que la plateforme doit collecter. Dès lors, l’administrateur dans la limite de ce que lui autorise Facebook participe à la définition des données collectées et donc des moyens du traitement. La solution aurait sans doute été différente si l’organisme n’avait pas eu la possibilité de paramétrer les données collectées.

En tout état de cause et comme le rappelait l’avocat général dans ses conclusions (3), la notion de coresponsabilité n’implique pas de définir de manière équivalente les finalités et les moyens d’un traitement. Bénéficier de la finalité et définir les données collectées peut donc suffire pour établir une coresponsabilité.

La Cnil avait déjà envisagé des situations de coresponsabilités notamment s’agissant des opérateurs de Cloud computing (4). Elle pourrait cependant, suite à cette décision, élargir cette position à d’autres plateformes.

Cet arrêt pourrait bien évidemment avoir une influence sur la doctrine de la Cnil en matière de cookies mais également en matière d’outils ou modules par exemple de lutte contre la fraude dans lesquels les éditeurs permettent à leurs clients de paramétrer et choisir des critères parmi une liste qu’ils déterminent initialement eux-mêmes.

Aurélie Banck
Lexing Conformité RGPD Banque Assrance

Céline Avignon
Lexing Marketing et publicité électroniques

(1) CJUE du 5 juin 2018 affaire C‑210/16.
(2) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données RGPD).
(3) Conclusions de l’avocat général présentées le 24 octobre 2017 dans l’affaire C‑210/16.
(4) Recommandations de la Cnil pour les entreprises qui envisagent de souscrire à des services de Cloud computing.




L’action de groupe de La Quadrature du Net contre les GAFAM

Quadrature du NetL’association La Quadrature du Net a lancé douze actions de groupe auprès de la Cnil à l’encontre des GAFAM.

La Quadrature du Net est une association de défense des droits et libertés des citoyens sur internet. Son objectif est de défendre le respect des principes fondamentaux à l’ère du numérique.

La Quadrature du Net contre les GAFAM

A cette fin, La Quadrature du Net a initié, dès avril 2018, plusieurs actions de groupe contre les géants du Net, les GAFAM, à savoir :

  • Google ;
  • Apple ;
  • Facebook ;
  • Amazon ;
  • Microsoft.

Plus précisément contre :

  • Gmail ;
  • Youtube ;
  • Search ;
  • Instagram ;
  • WhatsApp ;
  • Skype ;
  • LinkedIn ;
  • Outlook ;
  • les systèmes d’exploitation IOS d’Apple et d’Android.

La possibilité d’introduire ces actions de groupe

La loi sur la protection des données personnelles (1) qui adapte la loi Informatique et libertés (2) au règlement général sur la protection des données (RGPD) (3) intègre dans le droit français, la possibilité d’exercer une action de groupe afin d’introduire une réclamation auprès de la Cnil si le traitement de données à caractère personnel des membres de cette action constitue une violation du RGPD (article 77).

Ainsi, le 28 mai 2018, suite à l’entrée en application du RGPD, La Quadrature du Net a engagé une action contre ces GAFAM.

L’adhésion à l’une de ces actions de groupe

Ce sont, en tout, douze actions de groupe auquel La Quadrature du Net propose d’adhérer. Pour rejoindre l’une ou plusieurs de ces actions, La Quadrature du Net a créée une page dédiée : https://gafam.laquadrature.net/

On retrouve sur cette page des vidéos expliquant les motifs de ces actions contre chacun des GAFAM, ainsi qu’un résumé de ces actions et le formulaire pour y adhérer.

Pour adhérer à l’une des actions, il convient d’être utilisateur du service concerné. La Quadrature du Net précise qu’une personne est utilisatrice dès lors qu’elle a eu recours, au moins une fois, au service concerné, ne serait-ce que par une simple visite du site.

La Quadrature du Net précise que l’adhésion n’emporte aucun frais et ne permet aucun gain. Les plaignants ne prennent aucun risque légal ou économique.

L’adhérant donne mandat à La Quadrature du Net d’effectuer cette action en son nom, ainsi que les suites de cette action.

Les fondements de ces actions de groupe

L’entrée en application du RGPD est l’occasion pour les géants du Net de s’assurer de la conformité de leurs services à la loi Informatique et libertés et, à depuis le 25 mai 2018, au règlement européen.

A ce titre, l’article 6 du RGPD dispose qu’un traitement n’est licite que si :

– le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ;
– le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;
– le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;
– le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;
– le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant ;
– la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques.

Les GAFAM, en leur qualité de responsable du traitement, se fonde sur le consentement de la personne concernée pour exploiter leurs données à caractère personnel.

C’est ce point que La Quadrature du Net attaque à l’occasion de ces actions, l’absence de liberté dans le consentement donné par la personne concernée.

L’absence de consentement libre

La Quadrature du Net explique que la surveillance de masse dont les géants du Net sont les acteurs, n’est rendu possible que grâce au consentement donné par l’utilisateur de ces services.

Or, selon cette association, ce consentement n’est pas donné librement. En effet, ces services demandent le consentement de la personne concernée afin de collecter et traiter ses données mais dans le même temps, l’empêche d’accéder aux services dans le cas où la personne refuse de donner son consentement.

L’utilisateur est donc contraint de donner son consentement afin d’utiliser leurs services.

Cette exigence est contraire aux dispositions de l’article 4, §11 du RGPD, disposant que pour être valide, le consentement doit être une «manifestation de volonté, libre, spécifique, éclairée et univoque».

De plus, l’article 7, §4 du RGPD précise qu’ «au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat».

En l’espèce, La Quadrature du Net s’appuie sur cette subordination de l’utilisation du service au consentement de la personne concernée pour fonder son action. En conséquence, le consentement ne serait pas donné librement, rendant ainsi le traitement des données à caractère personnel illicite.

L’absence de consentement

La Quadrature du Net explique également que dans certains cas, la personne concernée n’aurait pas consenti au traitement de ses données. Il s’agit des services de Google, par Gmail, dont les données contenues dans les courriels sont collectées et traitées par Google LLC, comprenant ainsi les données de l’interlocuteur de la personne concernée, non utilisateur du service Gmail.

Virginie Bensoussan Brulé
Debora Cohen
Lexing Contentieux numérique

(1) Loi sur la protection des données personnelles, Dossier législatif.
(2) Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée.
(3) Règlement (UE) 2016/679 du 27-4-2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, art. 80.




Le réseau EBEN aux côtés de ses membres dans la transition RGPD

Le cabinet Lexing Alain Bensoussan Avocats accompagne le réseau EBEN dans la transition RGPD de ses membres.

Applicable à partir du 25 mai 2018 à l’ensemble de l’Union européenne, le règlement européen sur la protection des données (RGPD/GDPR) confère davantage de protection pour les citoyens tout en imposant plus de responsabilités à ceux qui collectent, stockent, échangent ou transfèrent des données personnelles.

 

Lexing pour EBEN : des fiches pratiques RGPD

La Fédération EBEN met à disposition de ses membres deux fiches pratiques élaborées par le cabinet Lexing Alain Bensoussan Avocats, afin de les accompagner dans leur démarche de mise en conformité :

  • la première à destination des responsables de traitement et
  • la seconde à destination des sous-traitants.

Issue du regroupement de plusieurs associations professionnelles (FNEBIM, SEBI, FFP, et plus récemment FEB et FICOME), la Fédération EBEN rassemble les entreprises de distribution de produits et services pour l’environnement de travail :

  • Papeterie et fournitures de bureau,
  • Mobilier de bureau et collectivités,
  • Solutions d’impression (copieurs et imprimantes),
  • Produits et solutions informatiques,
  • Solutions de communication électronique, télécoms et réseaux.



Enjeux des Dark analytics : aux frontières du Big data

Dark analyticsLes Dark analytics semblent promettre la gestion technico-économique la plus efficiente des données pour l’entreprise.

La notion de Dark data

Gartner définit les « Dark data » ou « données sombres » comme les données qui constituent la base de la valeur informationnelle d’une organisation, collectées, traitées et stockées dans le cadre de ses activités commerciales régulières, mais qui, de manière générale, ne sont pas exploitées pour d’autres finalités (par exemple, les analyses, les relations d’affaires et la monétisation directe) (1).

Le poids important des « Dark data » est souvent négligé dans les organisations, alors qu’il recouvre un très grand nombre de données en état de « latence », qui ne sont prises en compte, ni dans le cadre de stratégies économiques, ni de transformation digitale, pourtant dans le contexte du déploiement de projets Big data dans tous les secteurs d’activité (2).

Gartner et IBM estiment ainsi que la plupart des organisations n’utilisent que 10%, en moyenne, des données qu’elles collectent (3).

L’enjeu pour les entreprises, revient à déterminer comment analyser et exploiter ces données afin de révéler leur valeur en tant qu’actifs, par l’utilisation des technologies d’analyse et de croisement des données (aujourd’hui la catégorie prioritaire d’investissement IT (4)), en particulier, l’intelligence artificielle, les algorithmes prédictifs, et le « Deep learning » ou « Machine learning ».

Une opportunité économique

L’introduction de Dark analytics consistant à faire parler les « Dark data », constitue un enjeu d’autant plus important et stratégique que leur collecte, stockage et sécurisation entraîne généralement plus de monopolisation de ressources, de temps, et donc de frais, que de valeur.

A travers le monde, les organisations procédant à l’analyse de l’ensemble des données pertinentes pour leur activité pourraient atteindre un gain de productivité de 430 milliards de dollars par rapport à celles qui n’y procèdent pas, d’ici à 2020 (5).

Par ailleurs, les Dark analytics devraient être portées par les « Data brokers », acteurs de l’achat-vente ou revente de données inter-entreprises (en particulier les données marketing), dans la mesure notamment où les organisations qui ne les analysent pas elles-mêmes pourront les vendre à ceux qui en ont les moyens technologiques.

Une « zone des bermudes » juridique

Le déploiement de technologies de Dark analytics est confronté à des risques important en termes de responsabilité de l’organisation et notamment du DSI, tenant à la nature même des données en question puisqu’il s’agit d’analyser des informations « dormantes » de l’entreprise, qui n’ont a priori pas fait l’objet d’une analyse ou qui seront analysées pour des finalités différentes à l’avenir :

  • des données non structurées (images, photos ou vidéos) qui peuvent aujourd’hui être exploitées par des technologies d’analyse ou de data mining (par exemple l’analyse de la satisfaction client au moyen de la photographie ou vidéo de visages) ;
  • des données semi-structurées (donnés issues de textes, méls, notes et documents, logs) généralement non exploitées par les entreprises ;
  • des données accessibles sur le web invisible (« deep web ») qui ne sont pas indexées par les moteurs de recherche;
  • l’ensemble des données issues de capteurs (issues de l’IOT ou « Internet of things »).

Ce n’est pas parce que ces données n’ont pas été exploitées, ou l’ont déjà été, qu’elles ne sont pas moins protégées juridiquement dans le cadre de leur traitement ultérieur.

Au contraire, les enjeux juridiques classiquement liés au déploiement d’un projet Big data sont décuplés, notamment au regard des risques de violation :

  • des droits de propriété intellectuelle sur les données en question, notamment lorsque l’auteur et/ou le producteur disposent de droits sur les bases de données dans lesquelles figurent les données utilisées ;
  • des droits de propriété intellectuelle des outils utilisés pour l’analyse des données, en particulier s’agissant des outils sous licence open source ;
  • des conditions contractuelles encadrant l’utilisation des données ;
  • du droit à la vie privée ou du droit à l’image des personnes concernées ;
  • de la confidentialité attachée aux données ou du devoir légal de secret (secret médical ou secret professionnel) ;
  • ainsi qu’un risque majeur de violation de la règlementation Informatique et libertés :
  • par un détournement de ces données au regard de la finalité du traitement initialement invoqué et porté à l’information des personnes concernées ;
  • par l’interconnexion et le rapprochement de fichiers ;
  • par la collecte indirecte des données à caractère personnel (par exemple lors de l’aspiration des données du « deep web » ou sur les réseaux sociaux).

Présentées comme l’une des opportunités technologique ou « Trend tech » incontournable de 2017 (5), les Dark analytics n’en décuplent pas moins l’ensemble des risques juridiques liés au Big data (6), puisque précisément il s’agit d’exploiter le Big data à son efficience maximale à partir des données qui, initialement, n’y étaient pas destinées.

Dans ces conditions il convient donc d’être attentif, en amont, aux problématiques suivantes :

  • quelles données sont/peuvent être traitées?
  • quels mécanismes peuvent être mis en œuvre afin de s’assurer du respect de la règlementation et minimiser les risques ?

Il convient par ailleurs de tenir compte de la règlementation sectorielle et du modèle contractuel à adopter (7).

Un traitement de données de masse ? RGPD Versus Dark analytics

Le Règlement européen relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel (« RGPD ») adopté le 27 avril 2016 marque un tournant majeur dans la régulation et sera directement applicable dans les Etats membres de l’Union européenne le 25 mai 2018.

Le traitement de données en masse inhérent aux Dark analytics est susceptible de tomber notamment sous l’application de son article 35 (8), dans la mesure où il présenterait un risque élevé pour les droits et libertés des personnes physiques. Cet article prévoit :

« Lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel. Une seule et même analyse peut porter sur un ensemble d’opérations de traitement similaires qui présentent des risques élevés similaires ».

Si cet article apporte une liste non-exhaustive des traitements présentant un « risque élevé », le G29 précise au sein de ses lignes directrices sur l’analyse d’impact relative à la protection des données (9) que doivent être notamment pris en compte les éléments suivants qui caractérisent plus communément le projet Big data de Dark analytics :

  • les données sont traitées à grand échelle, au regard notamment du nombre de personnes concernées, du volume de données traitées, la durée ou permanence des traitements et leur étendue géographique ;
  • plusieurs ensembles de données ont été fusionnées ou combinées ;
  • les traitements sont opérés au moyen de l’application de solutions technologiques ou organisationnelles innovantes.

Aussi dans le ce cadre, le principe d’ « Accountability » pourra imposer la réalisation d’une étude ou analyse d’impact préalablement à la mise en œuvre des traitements concernés, de sorte à pouvoir être communiquée à la Cnil à sa demande et à rapporter la preuve, de la mise en place des mesures de protection appropriées.

Dans le cadre d’un projet Big data ambitieux, surtout lorsqu’il est orienté Dark analytics, les entreprises doivent dès à présent repenser leurs pratiques politique de conformité Informatique et libertés, sous peine de se voir exposées à des risques d’atteinte à leur réputation et de condamnations financières.

Il s’agit d’un enjeu crucial au regard des sanctions encourues (de 2 à 4% du chiffre d’affaires mondial) d’une part, en termes de compétitivité d’autre part.

Jean-François Forgeron
Benjamin-Victor Labyod
Lexing Droit de l’informatique

(1) Site Gartner, IT Glossary « Dark data » ;
(2) Jean-François Forgeron & Jennifer Knight, « Big data agricole » : quel encadrement contractuel ?, Alain-Bensoussan.com 3-5-2016 ;
(3) Silicon Angle : “Digging up dark data: What puts IBM at the forefront of insight economy”, 11-3-2015;
(4) “Dark analytics, Illuminating opportunities hidden within unstructured data”, Deloitte Tech Trends 2017, 7-2-2017 ;
(5) “IDC FutureScape: Worldwide big data, business analytics, and cognitive software 2017 predictions,” December 2016, International Data Corporation ;
(6) Avocat Big Data Alain-Bensoussan.com ;
(7) Jean-François Forgeron « Vous avez dit Big Data ? », Alain-Bensoussan.com 3-5-2012 ;
(8) Article 35 du Règlement UE 2016/679 du 27-4-2016, Règlement général sur la protection des données « Analyse d’impact relative à la protection des données » ;
(9) G29, “Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679”, 4-4-2017.




Des changements importants pour les mentions d’information

Des changements importants pour les mentions d’informationLes mentions d’information ont été modifiées au niveau national et le seront bientôt par le règlement européen.

Loi Informatique et libertés

L’article 32 (1) de la loi 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, dite loi « Informatique et libertés », impose à tout responsable du traitement d’informer les personnes concernées des traitements qu’il met en œuvre les concernant.

Cet article exigeait que les informations suivantes soient communiquées à la personne concernée :

  • l’identité du responsable du traitement et, le cas échéant, celle de son représentant ;
  • la finalité poursuivie par le traitement auquel les données sont destinées ;
  • le caractère obligatoire ou facultatif des réponses ;
  • les conséquences éventuelles, à son égard, d’un défaut de réponse ;
  • les destinataires ou catégories de destinataires des données ;
  • les droits qu’elle tient (droit d’accès, de rectification, d’opposition) ;
  • le cas échéant, les transferts de données à caractère personnel envisagés à destination d’un Etat non membre de l’Union européenne.

Dans le cas où il s’agit d’un formulaire de collecte de données, seules les informations relatives à l’identité, aux finalités, au caractère obligatoire ou facultatif des réponses et aux droits de la personne devaient figurer dans les mentions d’information.

Loi pour une République numérique

La loi pour une République numérique du 7 octobre 2016 (2) modifie, par ses articles 57 et 63, l’article 32 (1) de la loi Informatique et libertés. En effet, elle ajoute deux éléments à spécifier dans les mentions d’information :

  • la durée de conservation des catégories de données traitées ou, en cas d’impossibilité, des critères utilisés permettant de déterminer cette durée ;
  • le droit de définir des directives relatives au sort de ses données à caractère personnel après sa mort.

L’information relative à la durée de conservation qui doit figurer dans les mentions d’information est également prévue par le règlement européen.

Concernant le sort des données après la mort de la personne concernée, cet élément est nouveau. Les conditions de sa mise en œuvre sont développées à l’article 40-1 (3) de la loi Informatique et libertés.

Toute personne a désormais le droit de faire respecter sa volonté sur le devenir de ses données publiées en ligne après son décès auprès des fournisseurs de service en ligne ou d’un tiers de confiance numérique certifié par la Cnil, en définissant des directives à la fois générales et particulières relatives à la conservation, à l’effacement et à la communication de ses données à caractère personnel.

Ces directives peuvent désigner une personne chargée de leur exécution. Celle-ci a alors qualité, lorsque la personne est décédée, pour prendre connaissance des directives et demander leur mise en œuvre aux responsables de traitement concernés. A défaut de désignation ou, sauf directive contraire, en cas de décès de la personne désignée, ses héritiers ont qualité pour prendre connaissance des directives au décès de leur auteur et demander leur mise en œuvre aux responsables de traitement concernés. En l’absence de directives ou de mention contraire dans lesdites directives, les héritiers de la personne concernée peuvent exercer après son décès ces droits, et ce, aux fins notamment d’organisation du règlement de la succession du défunt.

Il convient de relever que la durée de conservation des données n’a pas à figurer en bas d’un formulaire de collecte de données.

Règlement général sur la protection des données

Le règlement européen sur la protection des données entre en application à compter du 25 mai 2018. Il vient également modifier prochainement les mentions d’information. A ce titre, il différencie les mentions à insérer lorsque les données ont été recueillies de manière directe  (4) auprès de la personne concernée ou de manière indirecte (5).

Informations collectées auprès de la personne

Lorsque les données ont été recueillies de manière directe, il convient d’ajouter les éléments suivants à ceux déjà exigés par la loi Informatique et libertés (6) :

  • les coordonnées du responsable du traitement et, le cas échéant, celles du représentant du responsable du traitement ;
  • le cas échéant, les coordonnées du délégué à la protection des données ;
  • la base juridique du traitement ;
  • les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers lorsque ces intérêts légitimes sont la condition de licéité du traitement ;
  • le cas échéant, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données vers un pays tiers ou une organisation internationale et l’existence ou l’absence d’une décision d’adéquation rendue par la Commission ou la référence aux garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition ;
  • la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
  • l’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s’opposer au traitement et du droit à la portabilité des données ;
  • lorsque le traitement est fondé sur le consentement de la personne concernée, l’existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci ;
  • le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
  • des informations sur la question de savoir si l’exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données ;
  • l’existence d’une prise de décision automatisée, y compris un profilage et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée ;
    – lorsque le responsable du traitement a l’intention d’effectuer un traitement ultérieur pour une finalité autre que celle pour laquelle les données sont collectées, il fournit préalablement des informations sur cette autre finalité.
Informations non collectées auprès de la personne

Lorsque les données sont collectées de manière indirecte, il conviendra d’ajouter les éléments suivants à ceux exigés par l’article 32 de la loi Informatique et libertés (1) :

  • les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement ;
  • le cas échéant, les coordonnées du délégué à la protection des données ;
    – la base juridique du traitement ;
  • le cas échéant, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données à caractère personnel à un destinataire dans un pays tiers ou une organisation internationale, et l’existence ou l’absence d’une décision d’adéquation rendue par la Commission ou la référence aux garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition ;
  • la durée pendant laquelle les données à caractère personnel seront conservées ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
  • les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers lorsque ces intérêts légitimes sont la condition de licéité du traitement ;
  • l’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ainsi que du droit de s’opposer au traitement et du droit à la portabilité des données ;
  • lorsque le traitement est fondé sur le consentement de la personne concernée, l’existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci ;
  • le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
  • la source d’où proviennent les données à caractère personnel et, le cas échéant, une mention indiquant qu’elles sont issues ou non de sources accessibles au public ;
  • l’existence d’une prise de décision automatisée, y compris un profilage et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée ;
  • lorsque le responsable du traitement a l’intention d’effectuer un traitement ultérieur pour une finalité autre que celle pour laquelle les données sont collectées, il fournit préalablement des informations sur cette autre finalité.

Ces informations doivent être fournies dans le respect de délais prévus par le règlement européen, et ce, entre le moment de la première communication des données à la personne concernée ou au destinataire et un mois.

Recommandations relatives aux mentions d’information

En conclusion, il s’avère que le contenu des mentions d’information se complexifie. Par conséquent, il est recommandé de :

  • les auditer ;
  • vérifier leur conformité ;
  • les modifier dès à présent, en respectant les dispositions en vigueur et celles à venir.

Lexing Alain Bensoussan Avocats
Lexing Informatique et libertés

(1) Loi 78-17 du 6-1-1978, art. 32.
(2) Loi 2016-1321 du 7-10-2016, art. 57 et 63.
(3) Loi 78-17 du 6-1-1978, art. 40-1.
(4) Règlement UE 2016-679 du 27-4-2016, art. 13.
(5) Règlement UE 2016-679 du 27-4-2016, art. 14.
(6) Loi 78-17 du 6-1-1978.




Cookies : la Cnil surveille les professionnels non éditeurs

Cookies : la Cnil surveille les professionnels non éditeurs

La Cnil étend ses contrôles aux partenaires publicitaires des éditeurs de sites émettant aussi des cookies.

Dans un article publié sur son site internet le 27 juillet 2016, la Cnil rappelle les principes clés du traitement des cookies et explique les motifs de l’extension de ses contrôles aux partenaires publicitaires, des éditeurs de sites webs.

Responsabilité des éditeurs de sites webs et des partenaires publicitaires émettant des cookies

Les règles en matière de dépôt de cookies imposent au responsable de traitement de recueillir le consentement libre et révocable des utilisateurs avant tout dépôt de cookies.

Jusqu’alors, les éditeurs étaient les principaux acteurs visés par les contrôles de la Cnil lorsqu’ils affichaient une publicité accompagnée d’un traçage ou d’un dépôt de cookies.

Cependant, la Cnil soulève la difficulté des éditeurs à assumer seuls la responsabilité du respect de ces obligations. Certains cookies sont issus de serveurs tiers et sont liés à l’activité de leurs partenaires. Les éditeurs n’ont dès lors aucune maîtrise sur le respect de règles relatives à ces traceurs.

A l’occasion de sa recommandation du 5 décembre 2013, la Cnil avait déjà affirmé que l’obligation d’information et de recueil du consentement s’imposait tant aux éditeurs de sites, systèmes d’exploitation et applications, qu’aux partenaires publicitaires, aux réseaux sociaux et aux éditeurs de solutions de mesures d’audience.

A cet égard, le Règlement européen sur la protection des données à caractère personnel confirme que « lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement » (1).

C’est à ce titre que la Cnil étend ses contrôles aux tiers et partenaires publicitaires des éditeurs de sites webs qui doivent également être considérés comme responsables de traitement. En effet, les données ne sont pas uniquement collectées et traitées pour les éditeurs de sites. Les partenaires traitent et exploitent eux-aussi ces données pour des finalités qui leur sont propres.

Les obligations des professionnels non éditeurs

Dès lors, les professionnels non éditeurs émettant des cookies doivent se conformer aux dispositions de la loi Informatique et libertés, ainsi qu’à celles du règlement européen applicables en 2018, au même titre que les éditeurs de sites.

La Cnil énonce quelques unes des obligations incombant tant aux partenaires qu’aux éditeurs webs :

  • limitation de la durée de conservation des données qui ne peut excéder 13 mois pour les cookies ;
  • collecte loyale des données : à cette fin, un certain nombre d’informations doivent être accessibles aux internautes, à savoir l’identité du partenaire, la finalité du traitement qu’il effectue, les destinataires ou les catégories de destinataires qui vont recevoir ces données, les droits dont les personnes concernées disposent (opposition, rectification, accès, etc.) ;
  • mise en place de moyens permettant aux personnes concernées d’exercer ces droits de manière effective.

La Cnil recommande la mise en place d’un système permettant de clarifier l’existence des divers acteurs intervenant dans le traitement des données des internautes. Elle conseille ainsi la tenue d’une liste des partenaires afin que soient rassemblées et facilement accessibles les informations de ces tiers émettant des cookies. Cette liste devrait comprendre un lien propre vers une page individuelle contenant les informations devant être portées à la connaissance des internautes.

Cependant, ce futur afflux d’informations ne doit pas noyer l’internaute. Ce dernier doit pouvoir accéder de façon transparente et claire aux informations nécessaires concernant chacun des traitements effectués, quel qu’en soit l’acteur.

Virginie Bensoussan – Brulé
Lexing Contentieux numérique

(1) Règlement (UE) 2016/679 du 27-4-2016 sur la protection des données à caractère personnel, art. 26.




Protection des données personnelles : matinée-débats

Protection des données personnelles : matinée-débatsAlain Bensoussan intervient lors d’une matinée-débats Lamy sur la réforme de la protection des données.

Cette matinée-débats Lamy, initiée en partenariat avec Le Lamy Droit du Numérique, Le Lamy Droit des médias et de la Communication et la Revue Lamy Droit de l’Immatériel, se déroulera le mardi 28 juin 2016.

Le règlement européen 2016/679 du 27 avril 2016 vise à instaurer des mécanismes visant à assurer une application cohérente de la législation en matière de protection des données dans l’ensemble de l’Union européenne.

Adopté par les parlementaires à l’issue de quatre années de travaux et de débats, il est entré en vigueur 20 jours après sa publication au Journal officiel de l’Union européenne.

Les initiateurs de cet événement ont souhaité confier à Alain Bensoussan la co-direction des débats afin de permettre aux entreprise d’évaluer les impacts et les conséquences induites de la réforme des données personnelles sur la vie pratique des entreprises.

Ces dernières disposent en effet d’un délai de deux ans pour se conformer aux nouvelles exigences prévues par le règlement.

Cette mise en conformité est assortie de sanctions susceptibles d’être prononcées à l’égard de tout responsable de traitement ou sous-traitant qui ne respecterait pas les dispositions du règlement. Le montant, très élevé, pourrait atteindre jusqu’à 2 % ou 4 % du chiffre d’affaires mondial.

Les débats porteront sur les thématiques suivantes :

  • objectifs et points clefs de la réforme des données à caractère personnel introduite par le règlement européen 2016/679 du 27 avril 2016 ;
  • l’obligation pour les entreprises d’informer les autorités de contrôle national de toute violation de données personnelles ;
  • les sanctions encourues en cas de non-respect de cette obligation d’information ;
  • la difficulté de concilier ce règlement et la stratégie des opérations marketing de l’entreprise.

Des cas pratiques ponctueront les débats, tels que l’étude du formulaire Google ou encore les modalités d’établissement d’un formulaire de déclaration de demande d’autorisation auprès de la Cnil.

Cette conférence a vocation à concerner dédiée principalement  les juristes, directeurs administratifs et financiers, directeurs marketing, directeurs informatique, présidents, administrateurs et gérants, chefs d’entreprises et gestionnaires de contrats.

Programme et inscription à tarif préférentiel (-20%) à l’aide du Formulaire ci-joint.