Voici la liste des articles publiés par notre cabinet.

Dans le cadre de son activité de fournisseur d’électricité, la société Direct Energie, à l’occasion de l’installation du compteur communicant LINKY, a mis en place un dispositif de collecte des données de consommation à « la demi-heure » et journalière d’électricité de ses clients

La mise en place de ce dispositif de collecte de données nécessitait le consentement des personnes concernées.

Or, la CNIL, à la suite de ses contrôles, relève que le consentement au traitement de données personnelles n’était pas  « libre, éclairé et spécifique »  et met la société en demeure de se conformer à la loi sous un délai de trois mois.

La CNIL, explique que :

- s’agissant des données de consommation à la demi-heure, la CNIL relève que si l’installation du compteur électrique est obligatoire  et ne nécessite pas de consentement, en revanche le dispositif de collecte des données de consommation à la demi-heure mis en place, lui, nécessitait un consentement expresse du client.

La CNIL estime qu’en n’informant pas distinctement les personnes concernées sur le caractère non obligatoire de la collecte des données à la demi-heure, le client ne pouvait effectuer un consentement libre, éclairé et spécifique.

En outre, la CNIL relève par ailleurs que la finalité présentée du traitement, à savoir une « facturation au plus juste », « n’est pas exacte » puisque Direct Energie ne propose pas d’offres basées sur la consommation horaire.

- concernant les données de consommation journalière, Direct Energie informait bien ses clients de la collecte de ces données auprès d’ENEDIS, mais ne leur demandait pas pour autant leur consentement préalable.

Au regard du nombre de clients concernés par ces traitements (plusieurs centaines de milliers en février 2018), la CNIL a décidé de rendre publique cette mise en demeure afin « de sensibiliser les personnes quant à leurs droits et leur maîtrise des données énergétiques », susceptibles en l’espèce « de révéler de nombreuses informations sur leur vie privée : heures de lever et de coucher, périodes d’absence ou nombre d’occupants du logement. »

Si Direct Energie ne se conforme pas à cette mise en demeure dans le délai imparti, la formation restreinte de la CNIL pourra prononcer une sanction.

 

Cette décision est l’occasion de rappeler la distinction entre le devoir d’information des personnes et le recueil du consentement, parfois nécessaire, à certains traitements de données.

La CNIL souligne également l’importance des trois caractéristiques d’un consentement licite au sens de la loi informatique et libertés : il doit être libre, spécifique et éclairé. En l’espèce, la confusion créée dans l’esprit de la personne concernée lors du recueil du consentement ne permettait pas de remplir ces critères

 

Par Claudia WEBER - ITLAW Avocats

Le 10 avril 2018, la CNIL a publié son rapport annuel présentant le  bilan de ses activités au cours de l’année 2017 et les objectifs de 2018.

A la lecture de ce rapport, nous notons :

  • une augmentation importante des plaintes déposées à la CNIL par les particuliers. La CNIL annonce avoir reçu 8.360 plaintes (un record). Parmi ces plaintes :

               - 27% d’entre elles concernent « la diffusion de données personnelles sur internet »,

              - 25% des plaintes concernent le secteur marketing/commerce (ex : prospection non sollicitée)

              - 16% de ces plaintes concernent les traitement mis en œuvre dans le cadre de la gestion des ressources humaines. Ces plaintes provenant principalement de salariés alertant la CNIL notamment sur l’utilisation excessive de la vidéosurveillance ou de la géolocalisation ou encore sur la communication du dossier professionnel.

 

  • les contrôles de la CNIL ont principalement portés sur la sécurité et le respect des droits des personnes. La CNIL annonce avoir réalisé 341 contrôles (dont 256 contrôles sur place, 65 en ligne, 20 contrôles sur pièces et convocation), soit 90 de moins qu’en 2016.

Les actions de la CNIL ont principalement concerné :

              - la sécurité des données : La CNIL indique recevoir chaque semaine un à deux signalements concernant des failles de sécurité.

              - la défense du droit des personnes concernées : « Un nombre conséquent de contrôles a été mené concernant directement le respect des droits des personnes (environ 15% des vérifications). Il s’est agi notamment de vérifier la prise en compte des droits de rectification ou d’opposition de plaignants. »

 

  • les sanctions de la CNIL ont principalement concernées les manquements à la sécurité des données.

              - 79 mises en demeure ont été adoptées en 2017, 59 mises en demeure relevaient des manquements à la sécurité.

              - 14 sanctions ont été prononcées par la formation restreinte, 4 sanctions ont porté sur la non coopération avec la CNIL et 8 sanctions concernaient des manquements à la sécurité. »

 

  • les objectifs pour les futurs contrôles en 2018. La CNIL affirme vouloir adopter une approche pragmatique prenant en compte les difficultés de la mise en conformité au RGPD.

L’autorité de contrôle prévient qu’elle distinguera, lors de ses contrôles, deux types d’obligations : 

              - Les principes fondamentaux de la protection des données, qui restent pour l’essentiel inchangés : loyauté du traitement, pertinence des données, durée de conservation, sécurité des données, conditions de licéité des traitements etc. Ces principes « continueront (…) à faire l’objet de vérifications rigoureuses par la CNIL ».

              - Les nouvelles obligations ou les nouveaux droits résultant du RGPD : droit à la portabilité, droit à la limitation, analyses d’impact, privacy by design/by default, etc. Pour ces nouvelles responsabilités, la CNIL assure que les contrôles auront « essentiellement pour but, dans un premier temps, d’accompagner les organismes dans une courbe d’apprentissage vers une bonne compréhension et la mise en œuvre opérationnelle des textes ».

Le programme des contrôles de la CNIL pour l’année 2018 a été examiné en séance plénière le 12 avril et devrait être communiqué prochainement.

 

Par Claudia WEBER - ITLAW Avocats

Le 25 mai 2018, le règlement général sur la protection des données (ci-après « RGPD ») entrera en application dans l’ensemble des Etats membres de l’UE.

Dès lors, la CNIL, soucieuse d’accompagner chaque organisme dans cette transition, a publié :

 

  • des guides généraux sur la compréhension du RGPD, à savoir :

                 - une fiche explicative des principaux enjeux du RGPD,

                - un Guide pratique de sensibilisation au RGPD pour les TPE et PME,

                - un guide des « 6 étapes pour se préparer au RGPD ;

 

  • des modèles et outils de mise en conformité, à savoir :

                - Une rubrique dédiée aux étapes préalables à la désignation d’un DPO ainsi qu’un outil en ligne permettant d’effectuer cette désignation ;

               - Concernant l’Analyse d’impact relative à la protection des données (AIPD), la CNIL a notamment mis à disposition sur son site :         

                    ° Une publication décrivant les contours de cette nouvelle obligation issue du RGPD ;

                    ° Un ensemble de guides pratiques et modèles destinés à faciliter la réalisation de ces DPIA 

                    ° La mise à disposition du logiciel « PIA », téléchargeable sur le site de la CNIL, destiné à faciliter la conduite et la formalisation d’analyses d’impact sur la protection des données

                       telles que prévues par le RGPD. 

               - La mise à disposition d’un modèle de registre des traitements.

               - La publication d’un « Guide de la sécurité des données personnelles »,

               - Le « Guide du Sous-traitant »

 

Ces publications présentent un intérêt précieux pour sensibiliser les organismes aux enjeux et aux nouveaux outils introduits par le RGPD.

Néanmoins, la mise en conformité au Règlement s’inscrit nécessairement dans un contexte opérationnel donné, qui requière une analyse précise des différents traitements mis en œuvre et peut nécessiter l’accompagnement d’un professionnel.

 

 

Aujourd’hui, de plus en plus de projets IT impliquent de nombreux acteurs, des technologies multiples, voire complexes et innovantes, donnant ainsi lieu à des schémas contractuels complexifiés.

Les intégrations de systèmes, nationales ou internationales, les plateformes connectées, l’ubérisation, le collaboratif, le Cloud, les objets connectés, la réalité augmentée, l’intelligence artificielle, le blockchain, la dématérialisation, etc : comment sécuriser contractuellement vos projets en présence d’une multitude d’acteurs, de fournitures et de prestations (prestataires, éditeurs, fournisseurs, entités bénéficiaires…), de plusieurs technologies, parfois déployées dans plusieurs pays ?

1/ Définir l’architecture contractuelle :

Plusieurs organisations contractuelles sont possibles, par exemple :

  • un contrat par intervenant : prestataire, éditeur, constructeur ;
  • un contrat par groupe de services cohérents (conception, intégration, déploiement, maintenance / hébergement… ) ;
  • un contrat par pays.

Plusieurs types de contrats sont possibles, par exemple :

  • contrat de référencement ;
  • contrat cadre + contrats d’application ;
  • contrat de co-traitance - conjointe ou solidaire ;
  • contrat d’achat global du projet, puis contrats de sous-traitance entre les différents intervenants.

Choisir l’architecture contractuelle est critique pour la bonne organisation et la sécurisation juridique de votre projet. En effet, pour assurer la réussite de votre projet il est indispensable d’assurer la qualité de chaque sous-ensemble et donc d’obtenir de chaque intervenant des obligations et des garanties cohérentes et croisées. Pour anticiper et bien gérer le dérapage d’un ou plusieurs des acteurs impliqués il est nécessaire de disposer des droits utiles pour réagir de manière adaptée et efficace. C’est aussi le rôle des contrats que de mettre en place les outils pertinents pour gérer les dérapages et les conflits.

Les acteurs étant dépendants les uns des autres, pour assurer le fonctionnement de la solution finale, il est impératif que l’architecture contractuelle choisie soit cohérente avec cette nécessaire interaction entre les différents acteurs, tout en limitant la responsabilité de chacun sur son propre périmètre.

2/ Gérer les interconnexions entre contrats :

Le principe de l’autonomie des contrats conduit notamment :

  • à une dispersion des responsabilités, une absence d’implication globale au niveau individuel des acteurs ;
  • à ce que la résiliation d’un des contrats, en cas de pluralité de contrats, n’entraine pas la résiliation des autres contrats.

C’est pourquoi, nous recommandons d’insérer des clauses spécifiques pour lier les contrats pertinents entre eux, notamment en termes de responsabilité, de durée, de résiliation et de réversibilité, ainsi que pour assurer une gouvernance globale et transversale du projet, sans oublier les garanties permettant au client d’être assuré de l’évolution de sa solution en cas d’évolution légale ou technologique.

3/ Ne pas oublier de gérer les données personnelles :

Le RGPD impose la rédaction de certaines clauses, notamment en matière de confidentialité, de sécurité et de collaboration à l’égard du responsable de traitement.

Dans les projets informatiques complexes, nous recommandons d’ajouter à ces obligations légales, des obligations contractuelles permettant au client d’être en conformité avec le RGDP mais aussi de mettre en cause la pleine responsabilité de celui des acteurs qui aurait mis le client dans une situation mettant en jeu sa responsabilité.

 

En conclusion, lorsqu’un projet informatique implique la présence de plusieurs acteurs, nous recommandons que l’ensemble contractuel correspondant soit construit de manière cohérente et adaptée aux enjeux du projet pour l’entreprise cliente, tout en l’inscrivant dans une dynamique d’évolution et d’amélioration continue notamment en termes de conformité aux nouvelles réglementations et de sécurité.

Dans un arrêt du 31 octobre 2017, la Cour d’Appel de Versailles conclu qu’une proposition de rupture amiable ne peut pas s’analyser en une rupture unilatérale de contrat dès lors que le cocontractant pouvait ou non l’accepter.

En l’espèce, une société a confié par contrat la maintenance de ses équipements à un prestataire informatique. Aux termes de ce contrat, le prestataire devait notamment :

-        auditer le réseau du client avant le début des prestations ;

-        assurer la maintenance des équipements informatiques du client, notamment les PC et les serveurs.

L’exécution des prestations s’est avérée compliquée pour le prestataire, puisqu’en dépit du rapport d’audit précontractuel qui n’a fait apparaitre aucun dysfonctionnement majeur, le client s’est trouvé confronté à des problèmes techniques :

-        les courriels ne parvenaient pas à leurs destinataires, sans que l’expéditeur en soit avisé ;

-        la sauvegarde ne s’effectuait pas correctement et a même cessé pendant 6 semaines.

Compte tenu de ces manquements, le client a demandé au prestataire « de bien vouloir accepter l’arrêt du contrat » à la fin du mois de Juin 2015. Assimilant cette proposition à une rupture unilatérale sans mise en demeure préalable, le prestataire a facturé au client une indemnité de résiliation égale à 6 mois de prestation, ce que le client n’a pas accepté.

Saisie, la cour d’appel de Versailles a estimé que :

-        les termes mêmes du courrier que le client a adressé au prestataire ne pouvaient s’analyser en une rupture unilatérale du contrat, mais bien en une proposition de rupture amiable, que le prestataire pouvait ou non accepter ; 

-        ce dernier ne pouvait donc, sans dénaturer le contenu du courrier, l’interpréter en une mesure de rupture contractuelle dont il s’est contenté de prendre acte ; 

-        le prestataire devait être débouté de sa demande d’indemnité de résiliation du contrat pour une rupture intervenue à ses propres torts exclusifs. 

Lorsque vous recevez ou lorsque vous souhaiter adresser à votre partenaire une demande de résiliation du contrat : nous vous recommandons de bien faire la distinction entre ce qui relève d’une demande de résiliation que vous pouvez accepter ou refuser, et ce qui relève plutôt d’une véritable résiliation ; ces deux concepts juridique n’ayant pas les même effets.