Données à caractère personnel

Collecte excessive de données d’utilisateurs sur Windows 10 : MICROSOFT mis en demeure publiquement de se conformer à la loi Informatique et Libertés.

Le 20 juillet 2016, la présidente de la CNIL a mis en demeure MICROSOFT CORPORATION de cesser la collecte excessive de données et le suivi de la navigation des utilisateurs sans leur consentement. La CNIL exige de l’entreprise informatique qu’elle assure davantage de sécurité et de confidentialité concernant les données des utilisateurs et ce dans un délai de trois mois.

A la suite du lancement du nouveau système d’exploitation Windows 10 en juillet 2015, des partis politiques, entre autres, ont attiré l’attention de la CNIL sur une potentielle collecte excessive de données personnelles. En parallèle, un groupe de plusieurs autorités de protection au sein de G29 a été constitué pour mener des investigations concernant les Etats membres concernés.

Les vérifications entreprises par la CNIL afin de vérifier la conformité du logiciel à la loi Informatique et Libertés ont permis de révéler de nombreux manquements tels que des données collectées non pertinentes ou excessives, un défaut de sécurité (notamment dans le nombre de tentatives de saisie de code PIN pour l’authentification afin d’accéder aux services en ligne), une absence de consentement des personnes, une absence d’information et de possibilité de s’opposer au dépôt de cookies ou encore la persistance de transferts internationaux sur la base du Safe harbor (pourtant invalidé par la Cour de justice de l’UE le 6 octobre 2015).

Données à caractère personnel

Adoption du Privacy Shield par la Commission européenne

 Dans une décision du 12 juillet 2016, la Commission européenne a adopté la décision d’adéquation « Privacy Shield » qui vise à remplacer le « Safe Harbour » invalidé par la Cour de Justice de l’Union européenne le 6 octobre 2015.

Ainsi, cette décision autorise les transferts des données à caractère personnel depuis l’Union européenne vers les entreprises établies aux Etats-Unis utilisant ce dispositif et reconnait au mécanisme « EU-U.S  Privacy Shield » un niveau de protection essentiellement équivalent aux exigences européennes.

La décision entrera en vigueur à compter de sa notification dans chacun des pays membres de l’UE. L’applicabilité aux entreprises concernées sera subordonnée à l’enregistrement de celles-ci auprès des autorités américaines en charge du dispositif.

Pour mémoire, le G29 avait réagi à la publication du projet de cette décision par un avis en date d’avril 2016 dans lequel il faisait part de ses préoccupations, notamment sur :

  • l’absence de  limitation de durée de conservation
  • l’absence d’interdiction des décisions automatisées
  • le manque de précision sur les moyens d’écarter la possibilité d’une surveillance massive et indiscriminée des données des citoyens européens
  • la véritable indépendance du médiateur (Ombudsperson) et ses pouvoirs, qui ne lui semblaient pas suffisants pour exercer son rôle de façon efficace et obtenir un recours satisfaisant en cas de désaccord avec l’administration.

Le G29 mène actuellement une analyse de la décision « Privacy Shield ».

Données à caractère personnel

Une décision très attendue à la suite de l’appel formulé par Microsoft contre le mandat de perquisition lui ordonnant de fournir le contenu d’un compte email d’un client non US hébergé en Irlande. 

En Décembre 2013, un juge fédéral américain avait émis à la demande des procureurs fédéraux un mandat de perquisition (« warrant ») sur le fondement de l’article 2703 (a) du SCA (Stored Communications Act), ordonnant à Microsoft de fournir le contenu dudit compte.

Pour mémoire, la loi SCA a été adoptée aux USA dans le cadre de la Loi sur la protection des renseignements personnels des communications électroniques de 1986. Elle interdit aux prestataires de services internet de divulguer le contenu des e-mails et autres communications stockées sous réserves de certaines exceptions strictement encadrées.

Microsoft avait vainement tenté d’obtenir, en avril 2014, l’annulation du mandat auprès du magistrat l’ayant autorisé.

Selon le Gouvernement américain, il n’y avait pas de problème d’extraterritorialité dans cette affaire car le mandat était signifié à Microsoft aux Etats-Unis pour récupérer les données d’un compte à partir de ses bureaux situés aux Etats-Unis.

La Cour Fédérale d’appel du second district ne l’a pas suivi et vient, dans une décision du 14 juillet 2016, d’interdire au Gouvernement américain de saisir le contenu de comptes emails stockés hors des USA (Case No. 14-2985 – 2d Circuit July 14, 2016).

La Cour a rappelé que si la loi SCA prescrit les méthodes par lesquelles le gouvernement peut obtenir l’accès à des informations à des fins d’application de la loi, c’est dans le strict respect de la protection du contenu de l’utilisateur, dans le contexte des nouvelles technologies qui nécessite une interaction entre l’utilisateur et le service fourni. Elle en conclut qu’un mandat de perquisition de la SCA permet d’atteindre seulement les données stockées dans la limite territoriale des Etats-Unis.

Cette décision n’est pas définitive en ce sens qu’elle peut faire l’objet d’un appel devant la Cour Suprême ou être contredite par une autre Cour Fédéral que celle du second circuit. Mais elle est à marquer d’une pierre blanche dans la bataille judiciaire des fournisseurs de solution Cloud US contre les pratiques du Gouvernement US et pour la protection de la vie privée chère aux acteurs du marché européen.

Données à caractère personnel

Pas d’accès d’un ayant-droit aux données à caractère personnel d’une personne décédée

Dans une décision du 8 juin 2016, le Conseil d’Etat s’est prononcé sur la définition de la “personne concernée“, au sens de l’article 2 de la Loi informatique et libertés (LIL) de 1978 en considérant qu’elle ne pouvait comprendre l’ayant-droit d’une personne décédée.

Pour mémoire, cet article 2 détermine que la personne concernée est “celle  à laquelle se rapportent les données qui font l’objet du traitement“.

Or, seule la personne concernée est titulaire des droits d’accès, de rectification ou de suppression de ses données à caractère personnel.

Ainsi, le Conseil d’Etat a rejeté le recours en excès de pouvoir qui lui était présenté et, par là-même, approuvé la décision de la CNIL (Commission nationale informatique et libertés) de refuser cet accès à l’ayant-droit d’une personne décédée.

En l’espèce, les ayants-droit d’une employée décédée de la Banque de France ont demandé à cette dernière la communication de relevés des appels téléphoniques passés depuis le poste de la défunte. La Banque de France ayant refusé cet accès, les ayants-droit ont porté plainte auprès de la CNIL qui a confirmé le refus.

Lire la décision

Données à caractère personnel

Le Parlement européen adopte le règlement sur la protection des données à caractère personnel : le changement, c’est maintenant

Après quatre années de travail intensif, le Parlement européen a adopté le nouveau règlement sur la protection des données à caractère personnel le 14 avril 2016. Le règlement a été voulu “à l’épreuve du temps” par les parlementaires, notamment en étant neutre en termes de technologies et adapté au Big Data, afin d’être applicable aux futures innovations.

Le règlement sera applicable le 25 mai 2018 dans tous les pays membres de l’Union européenne, ce qui laisse une période de deux ans aux Etats membres avant sa mise en œuvre.

Les autorités de contrôle européennes (notamment la CNIL) ainsi que le G29 sont engagés dans l’accompagnement des entreprises aux nouveaux principes adoptés.

A ce titre, le règlement permet, entre autres :

  • Un renforcement des droits existants
  • Un traitement des données clair, accessible et compréhensible pour les personnes concernées
  • Le droit d’information en cas d’atteinte ou de divulgation des données
  • Le renforcement du droit à l’oubli
  • Un nouveau droit à la portabilité des données
  • Une simplification des formalités pour les entreprises
  • Un cadre juridique unifié
  • Une augmentation des sanctions administratives jusqu’à 4% du chiffre d’affaires mondial

Le règlement permettra également d’encourager l’usage des techniques permettant le respect de la vie privée, comme la “pseudonimysation”, l’anonymisation, le cryptage et la protection des données “by design”.

Pour approfondir

Réseaux sociaux

La clause des CGU de Facebook imposant un tribunal californien est abusive

Dans un arrêt du 12 février 2016, la cour d’appel de Paris a jugé que la clause attributive de juridiction des conditions générales d’utilisation de Facebook qui donne compétence aux tribunaux de l’Etat de Californie (US) constitue une clause abusive.
La Cour d’appel a ainsi considéré que :
  • l’internaute ayant assigné Facebook pour obtenir la réactivation de son compte est un consommateur
  • Facebook est un professionnel, bien que son service soit gratuit pour l’utilisateur, puisqu’elle retire des bénéfices importants de ses services, notamment via la publicité.

Elle s’est donc fondée sur le Code de la consommation pour juger que :

“la clause de compétence au profit des juridictions californiennes contenue dans le contrat a pour effet de créer, au détriment du non-professionnel ou du consommateur, un déséquilibre significatif entre les droits et les obligations des parties au contrat ; qu’elle a également pour effet de créer une entrave sérieuse pour un utilisateur français à l’exercice de son action en justice.”
La clause attributive de juridiction est donc réputée nulle et non écrite et la détermination du tribunal compétent repose sur la législation applicable, en l’espèce le règlement européen du 22 décembre 2000 qui dispose qu’un consommateur peut intenter une action devant le tribunal du lieu où il est domicilié.
Par conséquent, le Tribunal de grande instance est compétent pour juger du litige opposant Facebook à un internaute domicilié à Paris.
La Cour d’appel confirme par là-même l’ordonnance du Tribunal de grande instance de Paris en date du 5 mars 2015.

E-commerce

Le TGI de Paris compétent pour un site italien visant un public français

Par un jugement en date du 14 janvier 2016, le Tribunal de grande instance de Paris s’est déclaré compétent dans un litige portant sur la contrefaçon d’une marque française par une société italienne sur son site internet italien.

En effet, le TGI a considéré que le site italien visait un public français et présentait donc un lien significatif et suffisant avec la France du fait de :

  • la traduction de son contenu  en français
  • la présence des coordonnées d’un distributeur en France des produits de la société italienne.

Voir le jugement

Données à caractère personnel

Safe Harbor, la suite : l’analyse de la décision de la CJUE par le G29

Les 2 et 3 février dernier, le G29, groupe composé des différentes autorités de contrôle européennes (dont la CNIL en France), a évalué les conséquences de la décision de la Cour de justice ayant invalidé l’accord de Safe Harbor relatif aux transferts de données à caractère personnel depuis l’Union Européenne vers les États-Unis.

Le G29 a salué l’accord dit « EU-U.S. Privacy Shield », conclu entre les États-Unis et la Commission Européenne mais a néanmoins rappelé que cet accord devait être analysé par ses soins d’ici avril prochain afin de déterminer s’il respecte les garanties européennes essentielles identifiées par le G29 depuis l’arrêt du 6 octobre 2015, à savoir:

  • « Les traitements doivent reposer sur des règles claires précises et compréhensibles » ;
  • « La proportionnalité au regard de la finalité poursuivie doit être démontrée »;
  • « Un mécanisme de contrôle indépendant doit exister »; et
  • « Une possibilité de recours effectif doit être offerte aux citoyens ».

En attend l’analyse du G29, les BCR (Binding Corporate Rule) comme les clauses contractuelles type de la Commission Européenne restent les seuls outils disponibles pour les entreprises dans le cadre d’un transfert de données à caractère personnel en dehors de l’UE.

Pour en savoir plus

Protection des bases de données

La nécessaire distinction entre création des éléments constitutifs et investissements spécifiques

Dans un arrêt du 12 novembre 2015, la Cour de cassation rappelle que, pour motiver un rejet de protection de bases de données, il ne suffit pas de considérer que le producteur d’une base de données n’a pas rapporté la preuve d’investissements spécifiques pour la création et la constitution de ladite base mais qu’il est nécessaire de définir précisément quels investissements liés à la collecte des données et à leur diffusion relèvent de la création des éléments constitutifs du contenu de la base de donnée et quels investissements relèvent des investissements spécifiques à la création et à la constitution de la base de données.

Voir l’arrêt

Droit de la presse

L’externalisation de la fonction de modérateur d’un site n’exonère pas le directeur de la publication de sa responsabilité pénale

Dans un arrêt du 3 novembre dernier, la Cour de cassation a considéré que le directeur de publication d’un espace de contributions personnelles ne pouvait se prévaloir

  • ni de l’externalisation de la fonction de modérateur auprès d’un prestataire,
  • ni des dispositions relatives à la responsabilité pénale des hébergeurs du site internet

pour dégager sa propre responsabilité pénale en cas de publication de propos diffamatoires sur ledit espace.

Voir l’arrêt