Voici la liste des articles publiés par notre cabinet.

Le conseil constitutionnel a censuré les dispositions de la loi relative à l’avenir professionnel définissant le contenu de la charte déterminant les conditions et modalités d’exercice de la responsabilité sociale des plateformes de mise en relation par voie électronique.

 

La loi travail du 08 août 2016 a créé un embryon de statut des travailleurs indépendants recourant, pour l'exercice de leur activité professionnelle, à une ou plusieurs plateformes de mise en relation par voie électronique.

Ce statut avait pour objet de donner aux travailleurs indépendants qui recourent à des plates-formes électroniques pour obtenir des missions courtes et répétées, comme des livraisons de repas, le transport de passagers (Deliveroo, Uber…) un certain nombre de droits familiers des salariés.

Il s’inscrivait dans le cadre des relations parfois houleuses pouvant exister entre ces plates-formes et ces travailleurs indépendants (manifestations répondant à des baisses unilatérales des tarifs, demandes de requalification de la relation en relation de travail…) et entre ces plates-formes et les organismes sociaux tels que les URSSAF (redressements de cotisations sociales).

Cette loi a créé un titre IV (articles L7341-1 et suivants) au livre III de la septième partie du code du travail, partie qui constitue une sorte de terra incognita du droit du travail.

Il a pour objet d’accorder aux travailleurs indépendants « recourant, pour l'exercice de leur activité professionnelle, à une ou plusieurs plateformes de mise en relation par voie électronique définies à l'article 242 bis du code général des impôts » un certain nombre de droits.

Ces travailleurs indépendants se sont vu reconnaitre certains droits habituellement réservés aux personnes bénéficiant d’un contrat de travail comme :

              -  l’accès à la formation,

              -  l’accès à une assurance accident du travail,

              -  la validation des acquis de l’expérience,

              - la liberté syndicale et le droit de cesser de manière concertée de fournir des prestations de services.

La loi relative à l’avenir professionnel votée le 1er août 2018 est venue compléter ce statut en ajoutant à l’article L7341-1 du code du travail plusieurs alinéas précisant que ces plateformes peuvent établir une charte déterminant les conditions et modalités d’exercice de leur responsabilité sociale, définissant leurs droits et obligations ainsi que ceux des travailleurs avec lesquels elles sont en relation.

Le texte précisait qu’une telle charte ne peut « caractériser l’existence d’un lien de subordination juridique entre la plateforme et les travailleurs », précision un peu étrange pour un texte inséré dans le code du travail.

Le conseil constitutionnel a censuré ces dispositions, issues d’un amendement introduit en première lecture, dans sa décision 2018 – 769 DC rendue le 4 septembre 2018 (lire)

Cette censure n’est pas motivée par des raisons de fond mais par le fait que la disposition en cause résulte d’un cavalier législatif, sans lien « même indirect, avec les dispositions qui figuraient dans le projet de loi ».

Ce n’est donc que partie remise.

 

Jean-Christophe Ienné, Avocat directeur du Pôle Propriété Intellectuelle, Media et audiovisuel

& Claudia Weber, Avocat fondateur

ITLAW Avocats

www.itlaw.fr

 

 

 

 

 

 

 

 

 

 

 

 

 

Le 25 juin dernier, la CNIL a mis en demeure deux sociétés pour défaut de recueil du consentement des intéressés au traitement de leurs données, notamment de géolocalisation, à des fins de ciblage publicitaire  (délibérations 2018-022 et 2018-023).

La CNIL rappelle ainsi qu’elle entend contrôler strictement la licéité des traitements reposant sur le recueil du consentement des intéressés et apporte un éclairage complémentaire sur l’appréciation de la qualité du responsable de traitement, ici reconnue au profit de sociétés spécialisées dans l’adressage de publicités ciblées pour le compte d’enseignes partenaires.

Les faits:

La CNIL a effectué des missions de contrôle auprès de deux sociétés qui avaient développé une activité permettant de collecter des données personnelles des utilisateurs de smartphones et de réaliser des campagnes de sollicitations ciblées sur leurs téléphones mobile en lien avec les enseignes partenaires à proximité. Un dispositif de géolocalisation intégré aux applications mobiles avait été mis en place à cet effet.

Après avoir qualifié les sociétés concernées de responsable de traitement en raison de leur rôle actif dans la détermination des finalités et des moyens des traitements et de ce qu’elles utilisent pour leur propre compte des données ainsi obtenues à des fins de ciblage, la CNIL a reconnu le manquement de base légale de ces traitements.

L’absence de base légale en raison du défaut de consentement conforme.

Le consentement ayant été invoqué par les sociétés comme base légale des traitements de données personnelles ainsi opérés, la CNIL a considéré que celui-ci faisait défaut.

  • Le consentement n’était ni informé, ni libre, ni spécifique

La CNIL a relevé que les utilisateurs de l’application mobile des partenaires n’avaient été informés, ni du traitement mis en œuvre à des fins de ciblage publicitaire, ni de l’identité du responsable de traitement.

Elle a en outre considéré que les utilisateurs ne disposaient pas de la liberté d’y consentir librement en ce que le traçage n’était pas dissociable de l’utilisation des applications partenaires.

Qu’enfin, le recueil du consentement au traitement de données de géolocalisation à des fins de ciblage publicitaire n’était pas spécifique car intégré à l’installation des applications mobiles des partenaires.

Pour ces raisons, la CNIL a considéré ce consentement non conforme et par voie de conséquence le traitement dépourvu de base légale.

 

Nos préconisations

Le consentement doit correspondre à « une manifestation de volonté libre, spécifique, éclairée et univoque».

Ainsi, si votre traitement a pour base légale le consentement des personnes concernées, veillez tout particulièrement à ce qu’il soit:

  • Informé: Par une information complète en amont du traitement des données (exhaustivité des finalités envisagées, identité du responsable de traitement, des catégories de données collectées, de l’éventuel transfert des données hors de l’Union européenne et droit de le retirer à tout moment).

Cette information doit être claire, compréhensible et aisément accessible. Plus le traitement est complexe, ce qui était le cas en l’espèce, plus les informations doivent être précises, ce qui n’était pas le cas.

  • Libre: Un refus de consentement ne doit pas avoir d’incidence sur l’exécution d’un contrat ou la fourniture d’un service. La liberté de choix de l’intéressé implique qu’il n’est pas influencé Ainsi, son consentement n’est pas libre si son refus de consentir le limite dans l’utilisation du dispositif ou en cas de déséquilibre manifeste entre l’intéressé et le responsable de traitement.
  • spécifique: Le consentement ne doit pas être recueilli de manière générale et doit porter sur chacune des finalités envisagées de manière distincte. Son recueil doit être opéré distinctement d’autres éventuelles questions.

 

  

En complément :

  • Le consentement implique un acte positif et univoque (case à cocher non pré-cochée)
  • Il doit pouvoir être retiré à tout moment et aussi simplement qu’il a été donné.
  • Attention, si le traitement repose sur cette seule base légale, il ne sera plus licite à compter du retrait de consentement.
  • Constituez-vous des preuves, en documentant toutes les mentions d’informations, en procédant à un recueil de consentement par écrit et en conservant les traces de l’acceptation.
  • Le consentement requis auprès de mineurs en deçà de 16 ans (15 ans en France) doit être accompagné, voire remplacé pour les moins de 13 ans, par celui du titulaire de l’autorité parentale. Entre 13 et 15 ans, la loi « Informatique et Libertés » impose le recueil du consentement conjoint de l’enfant et du titulaire de l’autorité parentale. En-dessous de 13 ans, seuls les titulaires de l’autorité parentale peuvent consentir au traitement de ces données.
  • Le consentement, fondement de la licéité de traitement, est à distinguer du consentement explicite dans le cas de collecte de données sensibles.

 

Claudia Weber, Avocat Fondateur & Odile Jami-Caston, Directrice du Pôle "Protection des données personnelles"

Peu de temps après la sanction de OPTICAL CENTER à payer une amende de 250 000 euros pour une atteinte à la sécurité des données, c’est au tour de la plateforme d’hébergement de contenus vidéos Dailymotion d’être sanctionnée par la CNIL pour une atteinte à la sécurité des données de ses utilisateurs.

L’amende appliquée à DAILYMOTION fut de 50 000 euros. Moins lourde, elle reste révélatrice de la particulière vigilance à adopter quant à la sécurité des données à caractère personnel.

Les faits

Fin de l’année 2016, un article de presse révélait que Dailymotion était victime d’une importe fuite de données à caractère personnel, conduisant la CNIL a effectuer un contrôle de la plateforme.  

Dailymotion se défendait en évoquant un « problème de sécurité externe » et que les « mots de passe d’un certain nombre de comptes pourraient avoir été compromis » tout en précisant que « le hack semble être limité et ne concernait aucune donnée personnelle ».

Pourtant, il s’agissait d’une fuite de 82,5 millions d’adresses emails ainsi que 18,3 millions de mots de passe chiffrés ;représentant donc une fuite massive de données à caractère personnel qui permet aux hackers d’accéder aux comptes des utilisateurs et aux informations personnelles qui s’y trouvent.

La sanction

Cette sanction apparait cependant faible si nous la comparons à celle subie par OPTICAL CENTER. Quelle en est la raison ? La CNIL explique cette sanction en évoquant le contexte particulier des faits.

Tout d’abord, le fait que Dailymotion ait fait preuve de coopération dans le cadre de cette fuite, notamment en prenant immédiatement des mesures « afin d’atténuer les effets négatifs ». Quant aux données piratées à proprement dit, la CNIL précise dans sa décision que « les seules données à caractère personnel concernées sont des adresses de courriers électroniques dont une partie n’est pas identifiante car non associées à des personnes physiques mais à des comptes test ou à des noms de sociétés partenaires ».

La CNIL observe donc que ces éléments concourent « à diminuer le risque d’atteinte à la vie privée des personnes concernées ».

Nos recommandations

Une telle attaque subie, bien que sophistiquée comme le rappelle la CNIL en ce qui concerne Dailymotion, peut être évitée si les mesures en matière de sécurité sont mises en place en amont et respectées.

La CNIL précise en effet dans son communiqué que :

  • la société n’aurait pas dû stocker en clair au sein de son code source des identifiants relatifs à un compte administrateur

Dans cette situation, la CNIL considère en effet qu’un mot de passe qui permet de s’authentifier sur un système ne doit pas être divulgué comme c’était le cas en l’espèce. Il est recommandé de limiter l’accès à un mot de passe, en particulier en évitant de le stocker dans un fichier non protégé.

A retenir pour l’authentification des utilisateurs :

  • privilégier l’authentification forte
  • ne pas stocker les mots de passe dans un fichier en clair
  • limiter le nombre de tentatives d’accès
  • prévoir un renouvellement du mot de passe selon une période pertinente et raisonnable
  • stocker les mots de passe de façon sécurisée
  • encadrer les connexions à distance au réseau informatique interne par un système de filtrage des adresses IP ou un réseau privé virtuel (VPN)

A retenir pour la protection de son réseau informatique interne :

  • limiter les accès interne en bloquant les services non nécessaires
  • gérer les réseaux Wi-Fi qui doivent utiliser un chiffrement à l’état de l’art (WPA2-PSK avec un mot de passe complexe) et les réseaux ouverts aux invités doivent être séparés du réseau interne
  • prévoir un VPN pour l’accès à distance avec, si possible, une authentification forte de l’utilisation (exemple utilisez un générateur de mots de passe)
  • s’assurer qu’aucune interface d’administration n’est accessible directement depuis internet
  • limiter les flux réseaux au strict nécessaire

 

Les recommandations devant être mises en œuvre pour prévenir les atteintes à la sécurité des données sont consultables sur le guide de la sécurité des données à caractère personnel publié par la CNIL, faisant suite au renforcement des obligations des responsables de traitement avec l’application du Règlement général sur la protection des données (RGPD).

 

Claudia Weber, Avocat Fondateur & Eugénie Richard, Avocat

Le principe d’équivalence de l’envoi par lettre recommandée électronique (LRE) à l’envoi par lettre recommandée papier n’est pas nouveau en droit français.

Initialement prévu par l’Ordonnance du 16 juin 2005 (créant l’article 1369-8 du code civil), puis précisé par le Décret n°2011-144 du 2 février 2011 et le Décret n° 2011-434 du 20 avril 2011, ce principe a fait peau neuve grâce à la Loi pour une République Numérique du 7 octobre 2016 (LRN) dont l’applicabilité de l’encadrement de la LRE dépendait de la publication d’un décret d’application.

C’est désormais chose faite avec la publication du décret n°2018-347 du 9 mai 2018.

Ce décret, qui entrera en vigueur le 1er janvier 2019, fixe les modalités d’application de l’article 93 de la LRN, qui vise à garantir le principe d’équivalence précité et à unifier les règles régissant l’utilisation de la LRE, désormais encadrée par le seul article L-100 du code des postes et des communications électroniques (CPCE).

L’avènement d’un nouveau régime unifié

L’envoi de lettres recommandées électroniques n’est plus cantonné au cadre des relations contractuelles, l’article 93 de la LRN ayant abrogé l’article 1127-5 du code civil qui disposait : « Une lettre recommandée relative à la conclusion ou à l'exécution d'un contrat peut être envoyée par courrier électronique à condition que (…) ».

A compter du 1er janvier 2019, l’envoi d’une lettre recommandée électronique sera, pour toutes ses potentielles utilisations, équivalent à un envoi réalisé par recommandé papier.

Une limite importante à cette utilisation subsiste néanmoins : lorsque le destinataire n’est pas un professionnel, l’expéditeur devra recueillir le consentement préalable du destinataire à la réception d’une lettre recommandée sous forme électronique.

Il est également à noter que les envois de lettres recommandées effectuées en application de l’ancien régime restent régis par les dispositions du Décret n°2011-144 du 2 février 2011.

Un renvoi aux normes européennes

Dans la lignée du décret d’application relatif à la signature électronique (n° 2017-1416 du 28 septembre 2017), le nouveau décret du 9 mai 2018 (créant les articles 53-1 à 53-4 du CPCE) renvoie directement, s’agissant des critères fiabilité et de validité du dispositif de LRE, aux exigences du Règlement Européen 910/2014 du 23 juillet 2014 dit « Règlement e-IDAS » (en particulier son article 44) ainsi qu’à celles du règlement d’exécution 2015/1502 du 8 septembre 2015.

Le droit français laisse ainsi le soin à ces deux textes européens de définir les obligations pesant sur les prestataires de LRE en matière de vérification d’identité, de preuve du dépôt et d’information du destinataire de la LRE.

Vérification d’identité

A partir du 1er janvier 2019, la vérification de l’identité de l'expéditeur et celle du destinataire devront être assurées par le prestataire de lettre recommandée dans les conditions prévues par ce même Règlement e-DIAS.

Postérieurement à cette identification, le Prestataire pourra leur attribuer un moyen d'identification électronique que ces derniers utiliseront pour attester de leur identité à chaque envoi ou réception.

Preuve du dépôt

Ce même prestataire doit délivrer à l'expéditeur une preuve du dépôt électronique de l'envoi, qu’il devra conserver pendant un an. La preuve de dépôt comporte les informations suivantes :

  • Le nom et le prénom ou la raison sociale de l'expéditeur, ainsi que son adresse électronique ;
  • Le nom et le prénom ou la raison sociale du destinataire ainsi que son adresse électronique ;
  • Un numéro d'identification unique de l'envoi attribué par le prestataire ;
  • La date et l'heure du dépôt électronique de l'envoi indiquées par un horodatage électronique qualifié tel que défini par l'article 3 du Règlement e-IDAS ;
  • La signature électronique avancée ou le cachet électronique avancé tels que définis par l'article 3 du Règlement e-IDAS utilisé par le prestataire de services qualifié lors de l'envoi.

Information du destinataire

Le prestataire de LRE informe le destinataire, par voie électronique, qu'une LRE lui est destinée et qu'il a la possibilité, pendant un délai de quinze jours à compter du lendemain de l'envoi de cette information, d'accepter ou non sa réception.

Le destinataire n'est pas informé de l'identité de l'expéditeur.

En cas d'acceptation par le destinataire de la LRE, le prestataire procède à sa transmission.

Le prestataire conserve une preuve de la réception par le destinataire des données transmises et du moment de la réception, pour une durée qui ne peut être inférieure à un an. Cette preuve comporte notamment la date et l'heure de réception de l'envoi, indiquées par un horodatage électronique qualifié.

En cas de refus de réception ou de non-réclamation par le destinataire, le prestataire met à disposition de l'expéditeur, au plus tard le lendemain de l'expiration du délai de quinze jours, une preuve de ce refus ou de cette non-réclamation. Là encore, cette preuve précise notamment la date et l'heure du refus telles qu'indiquées par un horodatage électronique qualifié.

Le prestataire conserve la preuve de refus ou de non-réclamation du destinataire pour une durée qui ne peut être inférieure à un an.

Recours de l’expéditeur

En cas de retard dans la réception ou en cas de perte des données, la responsabilité du prestataire peut être engagée, mais les indemnités susceptibles d’être mise à sa charge ne pourront excéder la somme de 16 euros (article R2-1 du CPCE).

 

Claudia Weber, Avocat Fondateur & Arthur Poirier, Avocat

L’autorité de contrôle évoque le nouveau cadre légal en place, notamment par la modification de la loi Informatique et Libertés et de son décret d’application, dont la lisibilité sera améliorée par une ordonnance qui devrait arriver dans les six mois.

Les professionnels, conscients de leurs nouvelles obligations

Du côté des professionnels, les obligations sont bien comprises et les démarches de mise en conformité progressives. La première étape étant la mise en place d’une gouvernance « Informatique et libertés », la CNIL dresse le constat de la nomination de DPO au sein de 24 500 organismes, soit 13 000 DPO (seulement 5 000 correspondants informatique et libertés désignés jusqu’alors).   

S’agissant de la sécurité des données, la CNIL a reçu, à ce jour, 600 notifications de violations de données. Un constat qui doit alerter sur la nécessité de mettre en place des mesures appropriées de sécurité.

Les professionnels sont de plus en plus nombreux à prendre contact avec la CNIL qui relève plus de 45% d’appels téléphoniques sur les 7 premiers mois de 2018 et plus de 83% de consultations en ligne. Un volume important de demandes d’autorisation dans le secteur de la santé est aussi à noter.

Enfin, le site de la CNIL a vu son trafic fortement augmenter (3 millions de visites depuis mai 2018), notamment pour accéder aux outils de conformité qu’elle met à disposition du public (son modèle de registre simplifié a été téléchargé 150 000 fois).

Les particuliers, conscients de leurs droits

La CNIL a constaté une « prise de conscience inédite » des personnes concernées par les traitements s’agissant des nouveaux droits qui leur sont conférés. Ceux-ci n’hésitent pas à saisir la CNIL de plaintes (64% en plus par rapport à la même période en 2017), la forte médiatisation autour de l’entrée en application du RGPD et de certaines affaires liées à la confidentialité des données, notamment sur les réseaux sociaux, étant vraisemblablement à l’origine de cette recrudescence. Enfin, plus de 200 plaintes transfrontalières sont traitées actuellement, elles portent, pour la plupart, sur le consentement des mineurs. Mais ce sont aussi des organismes qui ont saisi la CNIL de plaintes collectives.

Les « CNIL » européennes coopèrent de manière engagée

Depuis mai 2018, le Contrôleur européen de la protection des données (CEPD), qui remplace le G29 dont la mission est de coordonner l’action des différentes autorités de contrôle nationales, a défini 18 lignes directrices, sept supplémentaires étant en cours d’élaboration. La CNIL lui a transmis la « liste des traitements devant faire l’objet d’une analyse d’impact » qui sera publiée ultérieurement de sorte à permettre aux responsables de traitement d’identifier les traitements à risques et de savoir s’ils sont soumis ou non à cette l’obligation.

De nouveaux outils proposés par la CNIL à venir

La CNIL annonce enfin de nouveaux outils de régulation, parmi lesquels trois référentiels (gestion clients et prospects, ressources humaines et vigilances sanitaires) qui seront soumis à concertation auprès des professionnels concernés et, pour certains, portés par la CNIL au niveau européen. Sont aussi attendus, un règlement-type portant sur la biométrie, une procédure de certification « DPO », l’adaptation de plusieurs packs de conformité, plusieurs codes de conduite, un MOOC pédagogique et de nouvelles fiches pratiques.

Autant d’outils destinés à réussir au mieux sa mise en conformité au RGPD !

 

Claudia WEBER, Avocat Fondateur & Eugénie Richard, Avocat

ITLAW Avocats