Evolutions du e-commerce en 2013 : Data Protection
11 avril 2014.
En 2013 la Commission nationale de l’informatique et des libertés (CNIL) s’était fixée pour objectif de renforcer les contrôles en matière de vidéosurveillance et de données traitées dans le cadre d’Internet. L’accent a bien été mis sur le contrôle de la vidéosurveillance, puisque cinq des sanctions prononcées par la CNIL concernaient de tels dispositifs. Les actions menées en 2012, concernant les traitements de données réalisés au travers des services des géants de l’Internet, ont été poursuivies et ont donné lieu à une sanction historique prise à l’encontre de GOOGLE Inc[1].Cette sanction pécuniaire de 150 000 €[2] intervient dans le cadre d’une action coordonnée des CNIL européennes, suite à la décision de ladite société d’unifier ses règles de confidentialité pour l’ensemble de ses services. La CNIL avait relevé plusieurs manquements, dont le défaut d’information, l’absence de définition de durée de conservation et le défaut de recueil du consentement. La société GOOGLE Inc ne s’étant pas conformée à la mise en demeure de la CNIL dans le délai imparti, la formation restreinte de la CNIL a en conséquence appliquée la sanction prévue par la Loi du 6 janvier 1978 dite Loi Informatique et Libertés. GOOGLE Inc. a répondu à cette sanction en engageant une action en référé devant le Conseil d’Etat, laquelle est toujours pendante. Parallèlement, l’autorité de protection des données espagnole[3] a prononcé à l’encontre de la société GOOGLE Inc. une amende de 900 000 € pour ces mêmes manquements.
Preuve que le droit des données personnelles est au cœur de l’actualité et montre sa transversalité, la Cour de cassation a annulé la vente d’un fichier client non déclaré à la CNIL[4]. La Cour estime qu’en l’absence de déclaration à la CNIL, le fichier doit être considéré comme « hors du commerce », et donc insusceptible de faire l’objet d’une convention. La solution a pu surprendre. Néanmoins, il convient de tempérer le poids conféré par cette décision aux déclarations CNIL. Ainsi, un employeur a pu se servir d’un moyen de contrôle des horaires comme preuve dans un contentieux prud’homal, bien que le dispositif n’ait pas fait l’objet des formalités préalables requises en vertu de la Loi Informatique et libertés[5].
Le 27 février 2013 les CNIL européennes ont fait part de leur position commune concernant les « smart devices »[6]. Le groupe de l’article 29[7] a publié un avis sur les « smart devices », ou « dispositifs intelligents ». L’avis porte sur le traitement des données dans le développement, la distribution et l’exploitation des applications sur les appareils intelligents. Ces recommandations sont destinées aux professionnels du secteur. Par exemple, l’attention des développeurs est attirée sur le respect des dispositions exigeant le consentement libre et éclairé.
Dans le cadre de ses missions, la CNIL a adopté la délibération n°2013-278 le 5 décembre 2013 portant sur les recommandations pratiques en matière de cookies, afin d’aider les responsables de traitement à prendre la mesure de leurs obligations. Ainsi et sur la base des dispositions de l’ordonnance n°2011-1012 du 24 août 2011, l’utilisateur, lors de sa première visite sur un site, doit être informé que la consultation d’une nouvelle page vaudra accord pour l’installation de cookies. Simultanément, il sera informé de la finalité des cookies. Ne sont pas concernés les cookies ayant “pour finalité exclusive de permettre ou faciliter la communication électronique” et ceux étant « strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur ».
Enfin, l’élaboration du Règlement dit « données personnelles» entre dans une phase décisive, après avoir été soumis au Parlement Européen. L’objectif de ce Règlement est de renforcer l’harmonisation européenne commencée avec la directive 95/46/CE[8] en matière de protection des données personnelles. Notons notamment quelques modifications d’importance : l’intégration du principe du droit à l’oubli, de la « portabilité » des données[9] ainsi que le concept d’accountability et l’idée de sanctions «proportionnées et dissuasives» avec un plafond des sanctions pécuniaires fixé à un million d’euro ou 5% du chiffre d’affaire mondial (ce qui n’est pas sans rappeler la question de l’impact de la décision de la CNIL contre GOOGLE Inc.). Le texte est actuellement l’objet de vifs débats, la question du « guichet unique », qui permettrait aux entreprises transnationales d’avoir un seul interlocuteur, n’est également pas encore tranchée et, en l’état, la CNIL y est opposée.
Claudia WEBER, Avocat Associée
Eloïse URBAIN, Avocat
ITLAW Avocats
[1] Sanction actuellement portée devant le Conseil d’Etat par Google Inc.
[2] La sanction de la CNIL, non définitive, est pour l’heure portée en appel devant le Conseil d’Etat par la société GOOGLE Inc.
[3] Agencia Española de Protección de Datos
[4] Cour de cassation, ch. Comm. , le 25 juin 2013, n°12 16218
[5] Cass. soc. 14 janvier 2014, n° 12-16218
[6] Opinion 02/2013 on apps on smart devices, Article 29 Data protection working party, adopted on 27 February 2013, WP202
[7] Le Groupe de travail « Article 29 » de la directive 95/46/CE réunit les CNIL européennes
[8] DIRECTIVE 95/46/CE DU PARLEMENT EUROPÉEN ET DU CONSEIL du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
[9] Le formatage et la remise des données sous un format pouvant être réutilisé.