Voici la liste des articles publiés par notre cabinet.

(Lire l’arrêt) [1]

Depuis de nombreux mois, la société Google propose sur son moteur de recherche en ligne, un service intitulé «  Google my Business ».

Ce service se présente comme une fiche d’identité sur une société comportant de nombreuses données tel que son nom, prénom, adresse, numéro de téléphone etc. Les détenteurs d’un compte de messagerie gmail peuvent effectuer un commentaire sur une fiche qui sera alors visible par l’ensemble des internautes.

Il est à noter que la société Google ne demande pas l’accord préalable des sociétés concernées pour constituer ses « fiches ».

Par ailleurs pour la société concernée, il n’est possible d’effectuer des modifications que de manière restreinte. A titre d’exemple il n’est pas possible d’effectuer un contrôle ni apriori, ni a postériori des commentaires mis en ligne sur la société, voire de les supprimer.

La société Google utilise l’outil « Google my Business » pour envoyer des emails à des fins de prospection commerciale, notamment en proposant aux professionnels répertoriés de payer pour des annonces publicitaires sur la fiche afin « d’améliorer ses performances » par le biais du service de Google AdWords.

Dans une affaire récente, un chirurgien-dentiste, mécontent de se retrouver « fiché » sans son autorisation, a souhaité s’opposer à ce procédé.

Pour ce faire, ce dernier a utilisé le droit d’opposition, prévu en matière de protection des données à caractère personnel, pour adresser une mise en demeure à la société Google sollicitant le retrait de sa « fiche ». Le moteur de recherche a refusé de répondre favorablement à cette demande. 

Le chirurgien-dentiste a alors renouvelé sa demande devant le TGI de Paris.

Le TGI pour fonder sa décision raisonne en plusieurs temps :

- « Le régime légal réservé aux données à caractère personnel s’applique donc aux informations délivrées au public, sur la fiche Google My Business, à propos de l’activité professionnelle de Monsieur X. 

- Monsieur X., après la création de la fiche effectuée sans son autorisation, (.…) en a par la suite demandé la suppression. (….)

- Dès lors, le traitement des données à caractère personnel concernant le demandeur entre dans les conditions de l’article 226-18-1[2] du Code pénal et, étant réprimé pénalement, constitue un trouble manifestement illicite qu’il y a lieu de faire cesser. 

Ainsi, le Président du Tribunal de Grande Instance de Paris a condamné Google à supprimer la fiche My Business de Monsieur X, sous astreinte de 1 000 euros par jour et à verser au demandeur la somme de 3 500 euros au titre des frais engagés par le demandeur pour se défendre.

 

Par Claudia WEBER - ITLAW Avocats 

[1] Tribunal de Grande Instance de Paris, Ordonnance de référé du 6 avril 2018

[2] Pour rappel l’article 226-18-1 du Code pénal dispose que « Le fait de procéder à un traitement de données à caractère personnel concernant une personne physique malgré l’opposition de cette personne, lorsque ce traitement répond à des fins de prospection, notamment commerciale, ou lorsque cette opposition est fondée sur des motifs légitimes, est puni de cinq ans d’emprisonnement et de 300.000 euros d’amende ».

(Lire l’arrêt)

 

Dans un arrêt du 12 avril 2018, la Cour de cassation a confirmé l’annulation d’une mesure d’expertise pour avis du CHSCT du Crédit Mutuel concernant l’introduction d’une IA dans l’entreprise permettant une meilleure gestion et répartition des courriels.

Le Crédit mutuel a souhaité introduire, en 2016, une application spécifique du programme informatique d’intelligence artificielle « Watson » de technologie cognitive.

Ce projet avait pour objectif d’optimiser le travail des chargés de clientèle et chargés d’affaires. Le programme informatique Watson permettait, en effet, d’aider les salariés à traiter la masse importante de courriels reçus en :

- réorientant les courriels à partir des mots clés vers des guichets spécifiques définis,

- les traitant par ordre de priorité en raison de l’urgence,

- proposant par une déclinaison de situations d’adapter et fournir une réponse appropriée à la question posée,

Pour rappel, le CHSCT doit obligatoirement être consulté avant toute décision « d’aménagement important modifiant […] les conditions de travail » des salariés d’une entreprise, par exemple en cas de modification de l’outillage, de changement de produit ou d’organisation du travail, ou de modification des cadences et normes de productivité des salariés[1].

Dans le cadre de sa consultation, le CHSCT peut solliciter l’avis d’un expert dans des conditions particulières, notamment en présence d’un risque grave présenté par un projet d’ampleur modifiant les conditions de travail[2].

En l’espèce, le CHSCT du Crédit mutuel, consulté dans le cadre de l’introduction du programme Watson précité, a souhaité demander l’avis d’un expert technique sur les conséquences de l’introduction de cette nouvelle technologie pour les salariés.

Selon le CHSCT, « le projet de technologie cognitive constitué par le logiciel Watson mis en place pour optimiser le travail des chargés de clientèles portait en lui-même la potentialité d’un redécoupage des missions des salariés au sein d’une agence et donc une modification notable des conditions de travail ».

La Cour de Cassation dans son arrêt du 12 avril 2018, a confirmé la décision du Tribunal de Grande Instance de Lyon qui avait prononcé l’annulation de la mesure d’expertise demandée par le CHSCT.

La Cour de Cassation a particulièrement motivé sa décision en les termes suivants :

- « l’introduction du programme informatique Watson va aider les chargés de clientèle à traiter les abondants courriels qu’ils reçoivent soit en les réorientant à partir des mots clés qu’ils contiennent vers le guichet où ils pourront être directement traités en raison des compétences préalablement définies par le chef d’agence au vu de la demande, soit en les traitant par ordre de priorité en raison de l’urgence qu’ils présentent et qui leur sera signalée, soit encore à y répondre d’une manière appropriée en proposant une déclinaison de situations permettant d’adapter sans oublis la réponse à la question posée,

- qu’elle se traduit donc directement en termes de conséquences mineures dans les conditions de travail directes des salariés dont les tâches vont se trouver facilitées »,

- et en déduit que « l’existence d’un projet important modifiant les conditions de santé et de sécurité ou les conditions de travail des salariés n’était pas démontrée ».

Vous qui prévoyez d’introduire une IA dans vos services, avez-vous pensé aux enjeux sur les conditions de travail de vos salariés et la procédure de mise en place d’une telle technologie ?  

 

Par Claudia WEBER - ITLAW Avocats

[1] Article L. 4612-8 du Code du travail.

[2] Article L. 4614-12 du Code du travail.

Alors que l’application du Règlement Général relatif à la Protection des Données personnelles (« RGPD ») est imminente[1], le Parlement français a définitivement adopté, le 14 mai 2018, le Projet de loi relatif à la protection des données à caractère personnel. Cette loi a pour vocation d’adapter le droit français aux obligations nouvelles issues du RGPD.

Le texte est accessible : [ici]

Tel qu’il l’avait été annoncé le Conseil constitutionnel a été saisi par 60 députés le 16 mai dernier.

 

[1] La date d’application du RGPD étant le 25 mai 2018

Le traitement « SNIIRAM » (Système national d’information inter-régimes de l’assurance maladie) est opéré par la « CNAMTS » (Caisse nationale de l’assurance maladie des travailleurs salariés) et vise à améliorer la gestion des politiques de santé. Sa base de données contient des milliards de données relatives à la santé des assurés sociaux : actes médicaux, feuilles de soins, séjours hospitaliers, entre autres. Ces données sont par ailleurs accessibles par de très nombreux organismes : les caisses gestionnaires des régimes d’assurance maladie, les agences régionales de santé, des ministères, l’institut national des données de santé et des organismes de recherche.

Alertée par un rapport de la Cour des comptes (2016) faisant état d’une sécurité insuffisante sur ce traitement, la CNIL a conduit plusieurs contrôles auprès de la CNAMTS, de certains de ses prestataires techniques et de caisses primaires d’assurance maladie.

La CNIL a relevé plusieurs insuffisances en matière de sécurité des données, à savoir :

- « la pseudonymisation des données,

- les procédures de sauvegarde,

- l’accès aux données par les utilisateurs du SNIIRAM et par des prestataires,

-  la sécurité des postes de travail des utilisateurs du SNIIRAM,

- les extractions de données individuelles du SNIIRAM ainsi que la mise à disposition d’extractions de données agrégées du SNIIRAM aux partenaires »

Prenant en compte à la fois la sensibilité des données traitées, leur volume et le nombre important d’organismes habilités à y accéder, la Présidente de la CNIL met en demeure publiquement la CNAMTS de prendre, dans un délai de 3 mois, « toute mesure pour garantir la sécurité et la confidentialité des données » des assurés sociaux, conformément aux exigences de l’article 34 de la loi Informatique et Libertés.

 

Cette décision souligne l’importance d’envisager le recours à un mécanisme de pseudonymisation des données en tant que mesure de sécurité.

La pseudonymisation est définie, dans le RGPD comme  « le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable. »

La pseudonymisation se distingue de l’anonymisation, qui permet d’empêcher l’identification d’une personne concernée de façon irréversible, et qui soustrait du même coup le traitement au champ d’application de la loi informatique et libertés.

 

Par Claudia WEBER - ITLAW Avocats

Dans le cadre de son activité de fournisseur d’électricité, la société Direct Energie, à l’occasion de l’installation du compteur communicant LINKY, a mis en place un dispositif de collecte des données de consommation à « la demi-heure » et journalière d’électricité de ses clients

La mise en place de ce dispositif de collecte de données nécessitait le consentement des personnes concernées.

Or, la CNIL, à la suite de ses contrôles, relève que le consentement au traitement de données personnelles n’était pas  « libre, éclairé et spécifique »  et met la société en demeure de se conformer à la loi sous un délai de trois mois.

La CNIL, explique que :

- s’agissant des données de consommation à la demi-heure, la CNIL relève que si l’installation du compteur électrique est obligatoire  et ne nécessite pas de consentement, en revanche le dispositif de collecte des données de consommation à la demi-heure mis en place, lui, nécessitait un consentement expresse du client.

La CNIL estime qu’en n’informant pas distinctement les personnes concernées sur le caractère non obligatoire de la collecte des données à la demi-heure, le client ne pouvait effectuer un consentement libre, éclairé et spécifique.

En outre, la CNIL relève par ailleurs que la finalité présentée du traitement, à savoir une « facturation au plus juste », « n’est pas exacte » puisque Direct Energie ne propose pas d’offres basées sur la consommation horaire.

- concernant les données de consommation journalière, Direct Energie informait bien ses clients de la collecte de ces données auprès d’ENEDIS, mais ne leur demandait pas pour autant leur consentement préalable.

Au regard du nombre de clients concernés par ces traitements (plusieurs centaines de milliers en février 2018), la CNIL a décidé de rendre publique cette mise en demeure afin « de sensibiliser les personnes quant à leurs droits et leur maîtrise des données énergétiques », susceptibles en l’espèce « de révéler de nombreuses informations sur leur vie privée : heures de lever et de coucher, périodes d’absence ou nombre d’occupants du logement. »

Si Direct Energie ne se conforme pas à cette mise en demeure dans le délai imparti, la formation restreinte de la CNIL pourra prononcer une sanction.

 

Cette décision est l’occasion de rappeler la distinction entre le devoir d’information des personnes et le recueil du consentement, parfois nécessaire, à certains traitements de données.

La CNIL souligne également l’importance des trois caractéristiques d’un consentement licite au sens de la loi informatique et libertés : il doit être libre, spécifique et éclairé. En l’espèce, la confusion créée dans l’esprit de la personne concernée lors du recueil du consentement ne permettait pas de remplir ces critères

 

Par Claudia WEBER - ITLAW Avocats