Voici la liste des articles publiés par notre cabinet.

(Lire l’arrêt)

 

Dans un arrêt du 12 avril 2018, la Cour de cassation a confirmé l’annulation d’une mesure d’expertise pour avis du CHSCT du Crédit Mutuel concernant l’introduction d’une IA dans l’entreprise permettant une meilleure gestion et répartition des courriels.

Le Crédit mutuel a souhaité introduire, en 2016, une application spécifique du programme informatique d’intelligence artificielle « Watson » de technologie cognitive.

Ce projet avait pour objectif d’optimiser le travail des chargés de clientèle et chargés d’affaires. Le programme informatique Watson permettait, en effet, d’aider les salariés à traiter la masse importante de courriels reçus en :

- réorientant les courriels à partir des mots clés vers des guichets spécifiques définis,

- les traitant par ordre de priorité en raison de l’urgence,

- proposant par une déclinaison de situations d’adapter et fournir une réponse appropriée à la question posée,

Pour rappel, le CHSCT doit obligatoirement être consulté avant toute décision « d’aménagement important modifiant […] les conditions de travail » des salariés d’une entreprise, par exemple en cas de modification de l’outillage, de changement de produit ou d’organisation du travail, ou de modification des cadences et normes de productivité des salariés[1].

Dans le cadre de sa consultation, le CHSCT peut solliciter l’avis d’un expert dans des conditions particulières, notamment en présence d’un risque grave présenté par un projet d’ampleur modifiant les conditions de travail[2].

En l’espèce, le CHSCT du Crédit mutuel, consulté dans le cadre de l’introduction du programme Watson précité, a souhaité demander l’avis d’un expert technique sur les conséquences de l’introduction de cette nouvelle technologie pour les salariés.

Selon le CHSCT, « le projet de technologie cognitive constitué par le logiciel Watson mis en place pour optimiser le travail des chargés de clientèles portait en lui-même la potentialité d’un redécoupage des missions des salariés au sein d’une agence et donc une modification notable des conditions de travail ».

La Cour de Cassation dans son arrêt du 12 avril 2018, a confirmé la décision du Tribunal de Grande Instance de Lyon qui avait prononcé l’annulation de la mesure d’expertise demandée par le CHSCT.

La Cour de Cassation a particulièrement motivé sa décision en les termes suivants :

- « l’introduction du programme informatique Watson va aider les chargés de clientèle à traiter les abondants courriels qu’ils reçoivent soit en les réorientant à partir des mots clés qu’ils contiennent vers le guichet où ils pourront être directement traités en raison des compétences préalablement définies par le chef d’agence au vu de la demande, soit en les traitant par ordre de priorité en raison de l’urgence qu’ils présentent et qui leur sera signalée, soit encore à y répondre d’une manière appropriée en proposant une déclinaison de situations permettant d’adapter sans oublis la réponse à la question posée,

- qu’elle se traduit donc directement en termes de conséquences mineures dans les conditions de travail directes des salariés dont les tâches vont se trouver facilitées »,

- et en déduit que « l’existence d’un projet important modifiant les conditions de santé et de sécurité ou les conditions de travail des salariés n’était pas démontrée ».

Vous qui prévoyez d’introduire une IA dans vos services, avez-vous pensé aux enjeux sur les conditions de travail de vos salariés et la procédure de mise en place d’une telle technologie ?  

 

Par Claudia WEBER - ITLAW Avocats

[1] Article L. 4612-8 du Code du travail.

[2] Article L. 4614-12 du Code du travail.

Alors que l’application du Règlement Général relatif à la Protection des Données personnelles (« RGPD ») est imminente[1], le Parlement français a définitivement adopté, le 14 mai 2018, le Projet de loi relatif à la protection des données à caractère personnel. Cette loi a pour vocation d’adapter le droit français aux obligations nouvelles issues du RGPD.

Le texte est accessible : [ici]

Tel qu’il l’avait été annoncé le Conseil constitutionnel a été saisi par 60 députés le 16 mai dernier.

 

[1] La date d’application du RGPD étant le 25 mai 2018

Le traitement « SNIIRAM » (Système national d’information inter-régimes de l’assurance maladie) est opéré par la « CNAMTS » (Caisse nationale de l’assurance maladie des travailleurs salariés) et vise à améliorer la gestion des politiques de santé. Sa base de données contient des milliards de données relatives à la santé des assurés sociaux : actes médicaux, feuilles de soins, séjours hospitaliers, entre autres. Ces données sont par ailleurs accessibles par de très nombreux organismes : les caisses gestionnaires des régimes d’assurance maladie, les agences régionales de santé, des ministères, l’institut national des données de santé et des organismes de recherche.

Alertée par un rapport de la Cour des comptes (2016) faisant état d’une sécurité insuffisante sur ce traitement, la CNIL a conduit plusieurs contrôles auprès de la CNAMTS, de certains de ses prestataires techniques et de caisses primaires d’assurance maladie.

La CNIL a relevé plusieurs insuffisances en matière de sécurité des données, à savoir :

- « la pseudonymisation des données,

- les procédures de sauvegarde,

- l’accès aux données par les utilisateurs du SNIIRAM et par des prestataires,

-  la sécurité des postes de travail des utilisateurs du SNIIRAM,

- les extractions de données individuelles du SNIIRAM ainsi que la mise à disposition d’extractions de données agrégées du SNIIRAM aux partenaires »

Prenant en compte à la fois la sensibilité des données traitées, leur volume et le nombre important d’organismes habilités à y accéder, la Présidente de la CNIL met en demeure publiquement la CNAMTS de prendre, dans un délai de 3 mois, « toute mesure pour garantir la sécurité et la confidentialité des données » des assurés sociaux, conformément aux exigences de l’article 34 de la loi Informatique et Libertés.

 

Cette décision souligne l’importance d’envisager le recours à un mécanisme de pseudonymisation des données en tant que mesure de sécurité.

La pseudonymisation est définie, dans le RGPD comme  « le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable. »

La pseudonymisation se distingue de l’anonymisation, qui permet d’empêcher l’identification d’une personne concernée de façon irréversible, et qui soustrait du même coup le traitement au champ d’application de la loi informatique et libertés.

 

Par Claudia WEBER - ITLAW Avocats

Dans le cadre de son activité de fournisseur d’électricité, la société Direct Energie, à l’occasion de l’installation du compteur communicant LINKY, a mis en place un dispositif de collecte des données de consommation à « la demi-heure » et journalière d’électricité de ses clients

La mise en place de ce dispositif de collecte de données nécessitait le consentement des personnes concernées.

Or, la CNIL, à la suite de ses contrôles, relève que le consentement au traitement de données personnelles n’était pas  « libre, éclairé et spécifique »  et met la société en demeure de se conformer à la loi sous un délai de trois mois.

La CNIL, explique que :

- s’agissant des données de consommation à la demi-heure, la CNIL relève que si l’installation du compteur électrique est obligatoire  et ne nécessite pas de consentement, en revanche le dispositif de collecte des données de consommation à la demi-heure mis en place, lui, nécessitait un consentement expresse du client.

La CNIL estime qu’en n’informant pas distinctement les personnes concernées sur le caractère non obligatoire de la collecte des données à la demi-heure, le client ne pouvait effectuer un consentement libre, éclairé et spécifique.

En outre, la CNIL relève par ailleurs que la finalité présentée du traitement, à savoir une « facturation au plus juste », « n’est pas exacte » puisque Direct Energie ne propose pas d’offres basées sur la consommation horaire.

- concernant les données de consommation journalière, Direct Energie informait bien ses clients de la collecte de ces données auprès d’ENEDIS, mais ne leur demandait pas pour autant leur consentement préalable.

Au regard du nombre de clients concernés par ces traitements (plusieurs centaines de milliers en février 2018), la CNIL a décidé de rendre publique cette mise en demeure afin « de sensibiliser les personnes quant à leurs droits et leur maîtrise des données énergétiques », susceptibles en l’espèce « de révéler de nombreuses informations sur leur vie privée : heures de lever et de coucher, périodes d’absence ou nombre d’occupants du logement. »

Si Direct Energie ne se conforme pas à cette mise en demeure dans le délai imparti, la formation restreinte de la CNIL pourra prononcer une sanction.

 

Cette décision est l’occasion de rappeler la distinction entre le devoir d’information des personnes et le recueil du consentement, parfois nécessaire, à certains traitements de données.

La CNIL souligne également l’importance des trois caractéristiques d’un consentement licite au sens de la loi informatique et libertés : il doit être libre, spécifique et éclairé. En l’espèce, la confusion créée dans l’esprit de la personne concernée lors du recueil du consentement ne permettait pas de remplir ces critères

 

Par Claudia WEBER - ITLAW Avocats

Le 10 avril 2018, la CNIL a publié son rapport annuel présentant le  bilan de ses activités au cours de l’année 2017 et les objectifs de 2018.

A la lecture de ce rapport, nous notons :

  • une augmentation importante des plaintes déposées à la CNIL par les particuliers. La CNIL annonce avoir reçu 8.360 plaintes (un record). Parmi ces plaintes :

               - 27% d’entre elles concernent « la diffusion de données personnelles sur internet »,

              - 25% des plaintes concernent le secteur marketing/commerce (ex : prospection non sollicitée)

              - 16% de ces plaintes concernent les traitement mis en œuvre dans le cadre de la gestion des ressources humaines. Ces plaintes provenant principalement de salariés alertant la CNIL notamment sur l’utilisation excessive de la vidéosurveillance ou de la géolocalisation ou encore sur la communication du dossier professionnel.

 

  • les contrôles de la CNIL ont principalement portés sur la sécurité et le respect des droits des personnes. La CNIL annonce avoir réalisé 341 contrôles (dont 256 contrôles sur place, 65 en ligne, 20 contrôles sur pièces et convocation), soit 90 de moins qu’en 2016.

Les actions de la CNIL ont principalement concerné :

              - la sécurité des données : La CNIL indique recevoir chaque semaine un à deux signalements concernant des failles de sécurité.

              - la défense du droit des personnes concernées : « Un nombre conséquent de contrôles a été mené concernant directement le respect des droits des personnes (environ 15% des vérifications). Il s’est agi notamment de vérifier la prise en compte des droits de rectification ou d’opposition de plaignants. »

 

  • les sanctions de la CNIL ont principalement concernées les manquements à la sécurité des données.

              - 79 mises en demeure ont été adoptées en 2017, 59 mises en demeure relevaient des manquements à la sécurité.

              - 14 sanctions ont été prononcées par la formation restreinte, 4 sanctions ont porté sur la non coopération avec la CNIL et 8 sanctions concernaient des manquements à la sécurité. »

 

  • les objectifs pour les futurs contrôles en 2018. La CNIL affirme vouloir adopter une approche pragmatique prenant en compte les difficultés de la mise en conformité au RGPD.

L’autorité de contrôle prévient qu’elle distinguera, lors de ses contrôles, deux types d’obligations : 

              - Les principes fondamentaux de la protection des données, qui restent pour l’essentiel inchangés : loyauté du traitement, pertinence des données, durée de conservation, sécurité des données, conditions de licéité des traitements etc. Ces principes « continueront (…) à faire l’objet de vérifications rigoureuses par la CNIL ».

              - Les nouvelles obligations ou les nouveaux droits résultant du RGPD : droit à la portabilité, droit à la limitation, analyses d’impact, privacy by design/by default, etc. Pour ces nouvelles responsabilités, la CNIL assure que les contrôles auront « essentiellement pour but, dans un premier temps, d’accompagner les organismes dans une courbe d’apprentissage vers une bonne compréhension et la mise en œuvre opérationnelle des textes ».

Le programme des contrôles de la CNIL pour l’année 2018 a été examiné en séance plénière le 12 avril et devrait être communiqué prochainement.

 

Par Claudia WEBER - ITLAW Avocats