Voici la liste des articles publiés par notre cabinet.

Tenant compte du nouveau Règlement européen sur la protection des données[1], la CNIL a mis à jour ses recommandations sur le paiement à distance par carte bancaire[2] afin de rappeler ses positions en matière de traitement des données relatives aux cartes de paiement dans le cadre d’une vente à distance.  

Quels sont les traitements visés ?

Les traitements des données relatives à la carte de paiement, lors d’un achat conclu à distance (internet, téléphone …) entre un consommateur et un professionnel.

Que recommande la CNIL ?

Sur les finalités : les données de carte de paiement peuvent être collectées afin de :

  • réaliser une transaction visant à la délivrance d’un bien ou d’une prestation ;
  • réserver d’un bien ou d’un service ;
  • régler des abonnements souscrits en ligne ;
  • offrir des solutions de paiement dédiées à la vente à distance par des prestataires de services de paiement ;
  • lutter contre la fraude à la carte de paiement.

 

Sur les données collectées : les données strictement nécessaires à la réalisation d’une transaction à distance sont le numéro de la carte, la date d’expiration et le cryptogramme visuel. La CNIL rappelle :

  • qu’il est interdit de demander une photocopie de la carte de paiement.
  • que l’identité du titulaire de la carte ne doit pas être collectée si elle n’est pas nécessaire à la transaction

 

Sur la conservation des donnéesles données sont conservées pendant la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées, à savoir s’agissant de:

  • paiements uniques : jusqu’au paiement effectif du prix ;
  • abonnements avec paiement échelonnés : jusqu’à la résiliation de l’abonnement ;
  • gestions des réclamations : 13 mois suivant la date de début ou 15 mois en cas de débit différé

 

Dans tous les cas, la conservation du cryptogramme est interdite après la réalisation de la première transaction.

Sur les droits des personnes concernées : la CNIL rappelle l’obligation générale d’information complète et claire des personnes. Elle recommande de mettre à la disposition du client un moyen simple pour retirer sans frais son consentement pour la conservation de ses données.

 

Sur les mesures de sécurité : la CNIL préconise notamment :

  • la mise en place de moyens d'authentification renforcée du titulaire de la carte de paiement permettant de s'assurer que celui-ci est bien à l'origine de l'acte de paiement à distance ;
  • la mise en place de mesures de sécurité adaptées par les sous-traitants ;
  • l’utilisation de services de paiement en ligne conformes à l’état de l’art et réglementation applicable (PCI-DSS, disponibilité, intégrité, confidentialité, traçabilité, authentification ;
  • de ne pas conserver localement les données relatives à la carte de paiement d’un client sur le terminal de ce dernier si cet équipement n’est pas conçu pour assurer la sécurité de ce type de données.


[1] Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

[2] Délibération CNILn° 2017-222 du 20 juillet 2017 portant adoption d'une recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance et abrogeant la délibération n° 2013-358 du 14 novembre 2013

Par un jugement du 22 Septembre 2017, le TGI de Paris a condamné un contrefacteur de photos au paiement de dommages et intérêts notamment au titre de la perte de chance de l’auteur photographe d’exploiter son œuvre.

Un photographe reprochait à une société d’avoir reproduit, sans son autorisation, ses photographies dans le cadre de la promotion d’une exposition, notamment sur le carton de présentation de l’exposition, des tee-shirts proposés à la vente, sur les réseaux sociaux ou encore dans des articles de presse en ligne.

Estimant avoir subi une violation de ses droits patrimoniaux et moraux sur ses œuvres (notamment de son droit de paternité), le photographe a engagé une action en contrefaçon contre cette société afin d’obtenir réparation du préjudice qu’il estimait avoir subi.

Après avoir caractérisé l’originalité des photographies litigieuses et retenu les actes de contrefaçon allégués, le tribunal a procédé à la réparation du préjudice subi par le photographe.

S’agissant de la violation des droits patrimoniaux et moraux du photographe, le tribunal a condamné la société contrefactrice à la somme de 13 425 €, se basant notamment sur les barèmes indicatifs de l’Union des photographes professionnels et de la société des auteurs dans les arts graphiques et plastiques pour fixer le montant du préjudice patrimonial.

Le tribunal a également fait droit à la demande d’indemnisation du préjudice lié à la perte de chance pour le photographe de vendre des tirages originaux de ses photographies, en raison de leur diffusion massive qui serait de nature à désintéresser les collectionneurs.

Considérant en effet que constitue une perte de chance réparable, la disparition actuelle et certaine d’une éventualité favorable, le tribunal a accordé au photographe une indemnité forfaitaire de 2000 €.

Il a toutefois rappelé que ce préjudice demeure distinct de l’avantage qu’aurait procuré cette chance si elle s’était réalisée.

Pour rappel, l’article L 331-1-3 du code de la propriété intellectuelle prévoit que, pour fixer les dommages et intérêts en matière de contrefaçon de droits d’auteur, la juridiction doit prendre en considération :

-        les conséquences économiques négatives, dont le manque à gagner, subies par la partie lésée ;

-        les bénéfices réalisés par l'auteur de l'atteinte aux droits ;

-        le préjudice moral causé au titulaire de ces droits du fait de l'atteinte.

En cas d’atteinte à vos droits d’auteur, une demande sur ce fondement pourrait avoir des chances d’aboutir  ! La difficulté résidera néanmoins dans la démonstration de l’existence d’une chance sérieuse de succès et  du caractère irrémédiable de sa disparition.

 

Trois nouveaux décrets d’application publiés le 29 septembre 2017 viennent préciser les contours des obligations d’information et de transparence des plateformes numériques à l’égard des internautes.

Les obligations d’information :

Sont désormais précisés le contenu, les modalités et les conditions d'application de l’obligation d’information « loyale, claire et transparente » des opérateurs de plateforme, dont l’activité repose sur le classement, le référencement, la mise en relation de plusieurs parties en vue de la vente, l’échange ou le partage d’un bien ou service.

Le décret précise ainsi :

-        Celles des informations qui devront être mises en ligne sur les modalités de référencement, de déréférencement et de classement ;

-        les modalités de cette mise en ligne (rubrique spécifique, information accessible sans besoin d’identification, etc.).

Devront par exemple figurer dans une rubrique spécifique les informations suivantes :

-        les règles applicables pour être référencé ;

-        les critères de classement par défaut des contenus et des offres de biens ou services, notamment leurs principaux paramètres ;

-        le cas échéant, l’existence d’un lien capitalistique ou d’une rémunération entre l’opérateur de la plateforme et les offreurs référencés dès lors que ce lien ou que cette rémunération exercent une influence sur le référencement ou le classement des contenus, des biens ou des services proposés ou mis en ligne.

A noter que les opérateurs permettant à des professionnels de conclure, par le biais de leur plateforme, des contrats de prestations de service ou de vente avec des consommateurs devront également mettre à disposition de ces professionnels un espace au sein de la plateforme pour leur permettre de communiquer les informations obligatoires préalables à la vente ou à la fourniture du service (notamment celles sur le droit de rétractation).

Le cas des avis en ligne de consommateurs

Tout opérateur de plateforme ou éditeur de site internet qui exerce à titre principal ou accessoire la collecte, la modération, la diffusion d’avis en ligne provenant de consommateurs devra, à compter du 1er janvier 2018, indiquer :

-        à proximité de l’avis, de manière claire et visible, les informations suivantes :

  • L'existence ou non d'une procédure de contrôle des avis ;
  • La date de publication de chaque avis, ainsi que celle de l'expérience de consommation concernée par l'avis ;
  • Les critères de classement des avis parmi lesquels figurent le classement chronologique.

 

-        dans une rubrique spécifique facilement accessible :

  • L'existence ou non de contrepartie fournie en échange du dépôt d'avis ;
  • Le délai maximum de publication et de conservation d'un avis.

Le décret précise également les obligations à respecter en cas de contrôle des avis, au regard notamment de la réglementation applicable en matière de protection des données à caractère personnel.

 

L’obligation de diffuser des « bonnes pratiques »

Les plateformes dont l’activité de mise en relation dépasse un seuil de connexion de 5 millions de visiteurs uniques par mois sur une année civile seront tenues de diffuser sur leur site les bonnes pratiques visant à renforcer leurs obligations de clarté, de transparence et de loyauté.

Le décret ne précise pas en revanche ce que devront contenir ces « bonnes pratiques ».

A noter :

-        le seuil de connexion s’apprécie au regard de la seule activité de mise en relation ;

-        Les opérateurs concernés ont jusqu’au 1er janvier 2019 pour rédiger et mettre en ligne ces bonnes pratiques.

Compte tenu de ce qui précède, nous vous recommandons :

-        d’ici janvier 2018 d’intégrer au sein de votre plateforme les mentions d’information obligatoires en matière de référencement / de collecte et diffusion d’avis de consommateur 

-        anticiper et initier dès maintenant la préparation des bonnes pratiques à diffuser au sein de votre plateforme à compter du 1er janvier 2019.

Ces derniers mois, la CNIL a accentué ses opérations de contrôle et la mise en place de sanctions.

La CNIL a notamment effectué un contrôle au sein des locaux d’ALLOCAB suite à une plainte d’un client concernant la conservation de ses coordonnées bancaires.

Plusieurs manquements à la loi Informatique et Libertés ont ainsi été constatés et la Présidente de la CNIL a mis en demeure ALLOCAB de s’y conformer et notamment de :

-        définir une durée de conservation des données ;

-        ne pas conserver les données relatives aux cryptogrammes de cartes bancaires au-delà du temps nécessaire à la réalisation de la transaction ;

-        procéder à la purge des données des clients ayant demandé la suppression de leurs comptes ;

-        prendre toute mesure nécessaire pour garantir la sécurité et la confidentialité des données des personnes concernées, notamment sur les procédures relatives à la création, à la récupération et au stockage des mots de passe.

Lors d’un second contrôle sur place, la CNIL a constaté que les mesures annoncées par ALLOCAB n’avaient pas été mises en œuvre :

-        des données relatives à des comptes inactifs et des cryptogrammes de cartes bancaires étaient encore présents dans le système d’information ;

-        la sécurité des données n’était pas suffisamment assurée.

Nonobstant les dysfonctionnements techniques avancés par ALLOCAB pour justifier le fait que certains manquements aient perdurés, la formation restreinte de la CNIL sanctionné ALLOCAB d’une amende de 15.000 euros dans une décision rendue publique[1].

Si cette sanction peut sembler modique, il faut garder à l’esprit que le nouveau Règlement européen qui sera applicable à compter du 25 mai 2018 prévoit un relèvement sensible des capacités de sanctions de la CNIL : jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial total !

Pour rappel la conformité à la loi informatique et libertés impose notamment :

-        de respecter les droits des personnes concernées en accédant à leur demande d'exercice;

-        une obligation de définir et de respecter une durée de conservation des données proportionnée à la finalité du traitement ;

-        une obligation d’assurer la sécurité et la confidentialité des données è dans ce cadre il convient notamment d’adopter des mesures garantissant la robustesse des mots de passe.

èEn cas de doute dans la mise en place d’un traitement, il ne faut plus hésiter à faire valider votre politique de protection de données par un conseil juridique rompu à ces questions.



[1]Délibération de la formation restreinte n° SAN 2017-002 du 13 avril 2017 prononçant une sanction pécuniaire à l'encontre de la société ALLOCAB

La procédure d’agrément par le ministère de la Santé pour l’hébergement de données de santé va laisser sa place à une procédure de certification[1]. L’objectif :  diminuer le risque de violation des données à caractère personnel en matière de santé en renforçant les conditions de leur hébergement.

Le règlement européen du 27 avril 2016 définit les données de santé comme « les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ».

  • Qui est visé par la nouvelle certification ?

La certification HDS concerne tout hébergeur (personne physique ou morale) :

-        mettant à disposition et maintenant en condition opérationnelle :

  • des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement de données de santé ;
  • l’infrastructure matérielle ou virtuelle du système d’information utilisé pour le traitement de données de santé ;
  • la plateforme d’hébergement d’applications du système d’information utilisé pour le traitement de données de santé.

-        administrant et exploitant un système d’informations contenant des données de santé ;

-        sauvegardant des données de santé.

  • Quels changements et pourquoi ?

L’objectif poursuivi est notamment d'accroître la sécurité des données de santé hébergées et de réduire le délai d’instruction. Le coût de la certification est à la charge des hébergeurs auprès des organismes de certification accrédités à cette fin par le Comité Français d’Accréditation (COFRAC).

Cette nouvelle procédure qui remplace la procédure d’agrément et apporte également des changements concernant le contenu du contrat d’hébergement, qui devra inclure de nouvelles clauses rendues obligatoires telles que :

  • la mention de l’interdiction d’utiliser les données de santé hébergées à d’autres fins que l’exécution de l’activité d’hébergement de données de santé ;
  • l’engagement l’hébergeur de détruire les données de santé, sans en garder copie en fin de prestation.
  • Quand ?

Le régime actuel demeure applicable :

-        pour tous agrément délivré avant le 1er janvier 2018, jusqu’à leur échéance ;

-        aux agréments demandée au plus tard le 31 décembre 2017 et délivrés après le 1er Janvier 2018.

Les agréments expirant pendant l’année 2018 seront prolongés de 6 mois, l’objectif étant de permettre à l’hébergeur d’effectuer les démarches de certification nécessaires.

  • Nos recommandations :

Pour anticiper cette nouvelle certification et l’arrivée du nouveau règlement européen sur la protection des données personnelle (le RGPD), pour tout hébergeur concerné nous recommandons en particulier :

-        anticiper et préparer la certification ;

-        pour toute société traitant des données à caractère personnel, de réaliser un audit :

  • des différentes mesures de sécurité mises en place, afin d’identifier celles à modifier pour être en conformité, selon le type de données que vous traitez,
  • de vos contrats, pour intégrer les clauses nécessaires, si besoin dans le cadre d’un DPA.


[1] Ordonnance n°2017-27 publiée le 12 janvier dernier et le projet de décret pris en application de celle-ci