Voici la liste des articles publiés par notre cabinet.

La Cour de cassation considère que les juges du fond doivent apprécier au regard du principe de proportionnalité la licéité d’un dispositif de géolocalisation destiné à contrôler les temps de travail de salariés.


Dans son arrêt du 19 décembre 2018, la Chambre sociale de la Cour de cassation rappelle qu’en application du principe de proportionnalité de l’article L. 1121-1 du code du travail aux termes duquel « Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché », la mise en place d’un dispositif de géolocalisation destiné à contrôler la durée du travail des salariés est licite seulement s’il est démontré que c’est le seul moyen d’assurer ce contrôle.

La Fédération Sud soulevait l’illicéité d’un dispositif de géolocalisation mis en place par la société Médiapost et enregistrant la localisation des distributeurs de courrier à échéance régulière de dix secondes au moyen d’un boîtier mobile porté et activé par ces derniers. Le caractère  disproportionné du système, notamment au regard de l’autonomie d’organisation des distributeurs, était invoqué.

La cour d’appel de Lyon, ayant considéré que la Fédération Sud n’établissait pas qu’il existait de moyen plus proportionné, s’était prononcée en faveur de la licéité du dispositif.

Considérant que la juridiction du fond n’avait pas caractérisé le système de géolocalisation mis en place comme étant le seul moyen d’assurer le contrôle de la durée du travail des salariés, la Haute juridiction casse l’arrêt d’appel de Lyon et pose les principes selon lesquels la géolocalisation des salariés à des fins de contrôle de leur temps de travail :

  • n’est licite que lorsque ce contrôle ne peut pas être réalisé par un autre moyen, fût-il moins efficace,
  • n’est pas justifiée lorsque le salarié dispose d’une liberté dans l’organisation de son travail.

Cette décision protectrice des droits des salariés rappelle utilement le principe de proportionnalité, lequel fait écho au principe de pertinence, au cœur du dispositif relatif à la protection des données à caractère personnel.

Odile JAMI-CASTON, juriste experte, directrice du pôle Data Privacy & RGPD Compliance et Lamia El Fath, avocate 

 

L’avocat général près la Cour de justice de l’Union européenne vient, tout récemment, de rendre ses conclusions sur la question préjudicielle posée par le Conseil d’Etat dans le cadre d’un litige opposant Google à la CNIL.  

Pour rappel, Google contestait la sanction de la CNIL lui reprochant de se limiter, dans le cadre d’une demande de déréférencement, aux seuls liens apparaissant à la suite des recherches lancées à partir d’adresses IP localisées en France. La CNIL souhaitait une extension de cette mesure à l’intégralité du traitement lié au moteur de recherche, sans distinction « entre les extensions interrogées et l’origine géographique de l’internaute effectuant une recherche ».

Dans ses récentes conclusions, l’avocat général, tout en souhaitant un déréférencement « efficace et complet au niveau du territoire de l’Union », ne suit pas la CNIL.

Une décision de la CJUE d’autant plus attendue…

Odile Jami-Caston, juriste experte, directrice du pôle Data Privacy & RGPD Compliance  

 

 

Déjà pris en compte dans la pratique judiciaire, le secret des affaires, depuis la loi du 30 juillet 2018, bénéficie d’une protection nouvelle, à la fois attendue et susceptible de modifier la procédure permettant la collecte de preuves prévue à l’article 145 du Code de procédure civile.

 

Depuis la loi du 30 juillet 2018 1 sur le secret de affaires, le Code de commerce s’est enrichi d’un nouveau titre dédié à « la protection du secret des affaires ».

Désormais « Est protégée au titre du secret des affaires toute information répondant aux critères suivants :

1° Elle n'est pas, en elle-même ou dans la configuration et l'assemblage exacts de ses éléments, généralement connue ou aisément accessible pour les personnes familières de ce type d'informations en raison de leur secteur d'activité ;
2° Elle revêt une valeur commerciale, effective ou potentielle, du fait de son caractère secret ;
3° Elle fait l'objet de la part de son détenteur légitime de mesures de protection raisonnables, compte tenu des circonstances, pour en conserver le caractère secret. » 2

 
Le texte ne distingue pas selon la nature, l’objet ou le support des informations qui peuvent donc concerner des documents, formules, méthodes, technologies (codes informatiques), etc. Le bénéfice de la protection dépend de la volonté du détenteur de protéger une information qu’il estime devoir rester secrète et des mesures prises par lui pour conserver ce caractère secret.


L’application de l’article 145 du CPC

Le secret des affaires est souvent un enjeu de la mise en œuvre de l’article 145 du Code de procédure civile. Selon ce texte, « s'il existe un motif légitime de conserver ou d'établir avant tout procès la preuve de faits dont pourrait dépendre la solution d'un litige, les mesures d'instruction légalement admissibles peuvent être ordonnées à la demande de tout intéressé, sur requête ou en référé. »

Parfois appelée « référé probatoire », cette procédure peut être non contradictoire, ce qui présente l’intérêt de ne pas informer préalablement la personne concernée et de limiter ainsi le risque de dissimulation des preuves recherchées. Cependant, il existe un risque d’atteinte au secret des affaires.

Lorsqu’une telle atteinte est caractérisée, les conséquences pour l’initiateur de la procédure ne sont pas négligeables : annulation de la procédure, destruction des pièces saisies ou encore condamnation à des dommages et intérêts. Elles le sont également pour la personne visée par la mesure.

Avant la loi de juillet 2018, le recours, dans la pratique judiciaire, à la mise sous séquestre des éléments obtenus lors de l’exécution de la mesure d’instruction, protégeait déjà le secret des affaires.

Avec cette loi, et son décret d’application du 11 décembre 2018, les modalités de la recherche de l’équilibre entre l’accès aux preuves et la protection du secret des affaires sont précisées et encadrées.

 

Vers une modification des pratiques

Selon notre expérience, deux points peuvent d’ores et déjà être soulignés :

  • la définition du secret des affaires donnée par le Code de commerce apparaît restrictive. Désormais pour bénéficier de cette protection, il est nécessaire de prouver l’existence de mesures mises en œuvre pour conserver à l’information son caractère secret. Cette définition sera-t-elle retenue dans le cadre de l’application de l’article 145 du Code de procédure civile ? Le juge saisi demandera-t-il au défendeur de la mesure d’apporter cette preuve ?
  • la création de nouveaux pouvoirs pour le juge qui peut notamment, dès lors qu’une partie invoque l’atteinte au secret des affaires « prendre connaissance seule de cette pièce (…) [ou] décider de limiter la communication ou la production de cette pièce à certains de ses éléments, en ordonner la communication ou la production sous une forme de résumé ou en restreindre l'accès, pour chacune des parties, au plus à une personne physique et une personne habilitée à l'assister ou la représenter ». 3

 

En conclusion, la nouvelle définition du secret des affaires, sans interdire ni restreindre la mise en œuvre de la procédure au visa de l’article 145, va indéniablement conduire à une modification des pratiques en la matière.

Dans l’attente des premières décisions, on ne peut qu’insister sur la nécessité pour l’entreprise d’identifier ce qu’elle considère être ses secrets d’affaire et de mettre en place les procédures garantissant la pérennité de leur caractère secret.

 

[1] Loi du 30 juillet 2018 n°2018-670 transposant en droit français la directive européenne 2016/943

[2] Article L.153-1 du Code de commerce

[3] Articles L.153-1 et R.152-1 du Code de commerce


Jean-Christophe Ienné, avocat directeur du pôle PI, Internet, médias et audiovisuel et Marine Hardy, avocate responsable du pôle Innovations & sécurité

Le Journal du management n°68, Dossier droit du contentieux et arbitrage, Legi Team Editions, janvier-février 2019

 

 

Les précisions apportées par la grande chambre de la CJUE, dans son arrêt du 10 juillet 2018, quant à l’interprétation de la directive de 1995 sont utiles à la compréhension des concepts repris dans le RGPD.

Les faits, datant de 2013, portaient sur une interdiction faite par le contrôleur de protection des données finlandaises à la communauté des témoins de Jéhovah de collecter et de traiter des données à caractère personnel dans le cadre  des activités de porte-à-porte de ses membres au mépris des dispositions légales.

Un recours contre cette décision ayant été porté devant le tribunal administratif d’Helsinki, celle-ci a été annulée, le tribunal administratif ayant considéré que la communauté en cause n’était pas responsable du traitement des données personnelles ainsi constitué.

Le contrôleur de protection des données a contesté ce jugement devant la Cour administrative suprême de Finlande, laquelle a décidé de surseoir à statuer et a saisi la Cour de justice de l’Union européenne (CJUE) de différentes questions préjudicielles parmi lesquelles nous retiendrons ici :

  1. Un ensemble de données à caractère personnel collectées de manière non automatisée constitue-t-il un fichier, dès lors que les données peuvent être aisément retrouvées aux fins d’une utilisation ultérieure ?
  2. Une communauté religieuse qui organise une activité dans le cadre de laquelle des données personnelles sont collectées pour un traitement auquel seuls les prédicateurs ont accès en est-elle la responsable de traitement ?


1.    Sur la notion de fichier

Les données à caractère personnel collectées dans le cadre d’une activité de prédication de porte-à-porte comportant les noms, adresses et indications relatives aux personnes interrogées relèvent-elles du traitement des données à caractère personnel ?

Une réponse positive est apportée par la CJUE du fait :

  • de la répartition des fiches par secteur géographique destinées à faciliter les visites ultérieures des personnes déjà démarchées,
  • des informations relatives au contenu des conversations portant sur les convictions des personnes ainsi que leur nom et adresse,
  • de la mise en place de listes gérées par les paroisses de la communauté destinées à exclure des visites les personnes réfractaires.

Ces critères ainsi réunis permettent de retenir le caractère structuré de la collecte des données dont l’objectif est de préparer les visites ultérieures, d’exclure les personnes ne souhaitant plus être démarchées et de retrouver aisément les données relatives à des personnes déterminées.

2.    Sur la qualification de responsable de traitement

La CJUE a considéré la communauté des témoins de Jehovah comme responsable conjoint, avec ses membres, du traitement ainsi constitué par ces derniers dans le cadre d’une activité de prédication, organisée, coordonnée et encouragée par la communauté et dont l’objectif était de la servir en diffusant sa foi.

Cette décision traduit l’importance de la prise en considération de la finalité générale du traitement, comme l’a d’ailleurs tout récemment rappelé la formation restreinte de la CNIL dans une délibération du 19 décembre 2018 prononçant une sanction à l’encontre de la société Uber France.

Dans cette délibération, la CNIL rappelle la position du G 29 dans son avis du 16 février 2010 sur les notions de responsable du traitement et de sous-traitant. La qualification des acteurs doit ainsi reposer sur une analyse plus factuelle que formelle. En l’espèce, la détermination de la finalité du traitement l’emporte sur la détermination des moyens pour qualifier l’acteur comme responsable de traitement.

 

Odile Jami-Caston, juriste experte, directrice du pôle Data Privacy & RGPD Compliance

 

 

Le ministère de l’Economie et des Finances et le ministère de l’Education nationale et de la Jeunesse s’engagent dans la mise en conformité de leurs services avec le RGPD, par des actions à l’horizon 2019.

La commande publique s’adapte aux exigences du RGPD du fait de la publication, par le ministère de l’Economie et des Finances, d’une nouvelle version du formulaire de déclaration de sous-traitance à utiliser dans le cadre des procédures de passation de marchés publics. Ce formulaire comprend notamment une rubrique dédiée aux obligations entrant dans le champ de la relation de prestation de services. Par cette démarche, le ministère de l’Economie et des Finances initie une action de mise en conformité qu’il a annoncé poursuivre tout au long de l’année 2019.

Le ministre de l’Education nationale et de la Jeunesse, en parallèle, a signé une convention avec la présidente de la CNIL le 5 décembre dernier, par laquelle il s’engage à intégrer le protection des données personnelles dans les usages numériques de l’éducation. Cet engagement porte plus spécifiquement sur la sensibilisation et la formation de la communauté éducative et des parents à la protection des données personnelles et à la responsabilisation à l’usage du numérique. Il s’agit, par ailleurs, d’accompagner les structures éducatives dans leur mise en conformité au RGPD, notamment par un réseau de délégués à la protection des données.

La mise en place de mesures concrètes permet ainsi d’avancer progressivement dans l’application de la réglementation européenne et d’atteindre l’objectif collectif de protection des données à caractère personnel.

Odile Jami-Caston, directrice du pôle Data Privacy & RGPD Compliance