Données à caractère personnel

Pas d’accès d’un ayant-droit aux données à caractère personnel d’une personne décédée

Dans une décision du 8 juin 2016, le Conseil d’Etat s’est prononcé sur la définition de la “personne concernée“, au sens de l’article 2 de la Loi informatique et libertés (LIL) de 1978 en considérant qu’elle ne pouvait comprendre l’ayant-droit d’une personne décédée.

Pour mémoire, cet article 2 détermine que la personne concernée est “celle  à laquelle se rapportent les données qui font l’objet du traitement“.

Or, seule la personne concernée est titulaire des droits d’accès, de rectification ou de suppression de ses données à caractère personnel.

Ainsi, le Conseil d’Etat a rejeté le recours en excès de pouvoir qui lui était présenté et, par là-même, approuvé la décision de la CNIL (Commission nationale informatique et libertés) de refuser cet accès à l’ayant-droit d’une personne décédée.

En l’espèce, les ayants-droit d’une employée décédée de la Banque de France ont demandé à cette dernière la communication de relevés des appels téléphoniques passés depuis le poste de la défunte. La Banque de France ayant refusé cet accès, les ayants-droit ont porté plainte auprès de la CNIL qui a confirmé le refus.

Lire la décision

Données à caractère personnel

Le Parlement européen adopte le règlement sur la protection des données à caractère personnel : le changement, c’est maintenant

Après quatre années de travail intensif, le Parlement européen a adopté le nouveau règlement sur la protection des données à caractère personnel le 14 avril 2016. Le règlement a été voulu “à l’épreuve du temps” par les parlementaires, notamment en étant neutre en termes de technologies et adapté au Big Data, afin d’être applicable aux futures innovations.

Le règlement sera applicable le 25 mai 2018 dans tous les pays membres de l’Union européenne, ce qui laisse une période de deux ans aux Etats membres avant sa mise en œuvre.

Les autorités de contrôle européennes (notamment la CNIL) ainsi que le G29 sont engagés dans l’accompagnement des entreprises aux nouveaux principes adoptés.

A ce titre, le règlement permet, entre autres :

  • Un renforcement des droits existants
  • Un traitement des données clair, accessible et compréhensible pour les personnes concernées
  • Le droit d’information en cas d’atteinte ou de divulgation des données
  • Le renforcement du droit à l’oubli
  • Un nouveau droit à la portabilité des données
  • Une simplification des formalités pour les entreprises
  • Un cadre juridique unifié
  • Une augmentation des sanctions administratives jusqu’à 4% du chiffre d’affaires mondial

Le règlement permettra également d’encourager l’usage des techniques permettant le respect de la vie privée, comme la “pseudonimysation”, l’anonymisation, le cryptage et la protection des données “by design”.

Pour approfondir

Réseaux sociaux

La clause des CGU de Facebook imposant un tribunal californien est abusive

Dans un arrêt du 12 février 2016, la cour d’appel de Paris a jugé que la clause attributive de juridiction des conditions générales d’utilisation de Facebook qui donne compétence aux tribunaux de l’Etat de Californie (US) constitue une clause abusive.
La Cour d’appel a ainsi considéré que :
  • l’internaute ayant assigné Facebook pour obtenir la réactivation de son compte est un consommateur
  • Facebook est un professionnel, bien que son service soit gratuit pour l’utilisateur, puisqu’elle retire des bénéfices importants de ses services, notamment via la publicité.

Elle s’est donc fondée sur le Code de la consommation pour juger que :

“la clause de compétence au profit des juridictions californiennes contenue dans le contrat a pour effet de créer, au détriment du non-professionnel ou du consommateur, un déséquilibre significatif entre les droits et les obligations des parties au contrat ; qu’elle a également pour effet de créer une entrave sérieuse pour un utilisateur français à l’exercice de son action en justice.”
La clause attributive de juridiction est donc réputée nulle et non écrite et la détermination du tribunal compétent repose sur la législation applicable, en l’espèce le règlement européen du 22 décembre 2000 qui dispose qu’un consommateur peut intenter une action devant le tribunal du lieu où il est domicilié.
Par conséquent, le Tribunal de grande instance est compétent pour juger du litige opposant Facebook à un internaute domicilié à Paris.
La Cour d’appel confirme par là-même l’ordonnance du Tribunal de grande instance de Paris en date du 5 mars 2015.

E-commerce

Le TGI de Paris compétent pour un site italien visant un public français

Par un jugement en date du 14 janvier 2016, le Tribunal de grande instance de Paris s’est déclaré compétent dans un litige portant sur la contrefaçon d’une marque française par une société italienne sur son site internet italien.

En effet, le TGI a considéré que le site italien visait un public français et présentait donc un lien significatif et suffisant avec la France du fait de :

  • la traduction de son contenu  en français
  • la présence des coordonnées d’un distributeur en France des produits de la société italienne.

Voir le jugement

Données à caractère personnel

Safe Harbor, la suite : l’analyse de la décision de la CJUE par le G29

Les 2 et 3 février dernier, le G29, groupe composé des différentes autorités de contrôle européennes (dont la CNIL en France), a évalué les conséquences de la décision de la Cour de justice ayant invalidé l’accord de Safe Harbor relatif aux transferts de données à caractère personnel depuis l’Union Européenne vers les États-Unis.

Le G29 a salué l’accord dit « EU-U.S. Privacy Shield », conclu entre les États-Unis et la Commission Européenne mais a néanmoins rappelé que cet accord devait être analysé par ses soins d’ici avril prochain afin de déterminer s’il respecte les garanties européennes essentielles identifiées par le G29 depuis l’arrêt du 6 octobre 2015, à savoir:

  • « Les traitements doivent reposer sur des règles claires précises et compréhensibles » ;
  • « La proportionnalité au regard de la finalité poursuivie doit être démontrée »;
  • « Un mécanisme de contrôle indépendant doit exister »; et
  • « Une possibilité de recours effectif doit être offerte aux citoyens ».

En attend l’analyse du G29, les BCR (Binding Corporate Rule) comme les clauses contractuelles type de la Commission Européenne restent les seuls outils disponibles pour les entreprises dans le cadre d’un transfert de données à caractère personnel en dehors de l’UE.

Pour en savoir plus

Protection des bases de données

La nécessaire distinction entre création des éléments constitutifs et investissements spécifiques

Dans un arrêt du 12 novembre 2015, la Cour de cassation rappelle que, pour motiver un rejet de protection de bases de données, il ne suffit pas de considérer que le producteur d’une base de données n’a pas rapporté la preuve d’investissements spécifiques pour la création et la constitution de ladite base mais qu’il est nécessaire de définir précisément quels investissements liés à la collecte des données et à leur diffusion relèvent de la création des éléments constitutifs du contenu de la base de donnée et quels investissements relèvent des investissements spécifiques à la création et à la constitution de la base de données.

Voir l’arrêt

Droit de la presse

L’externalisation de la fonction de modérateur d’un site n’exonère pas le directeur de la publication de sa responsabilité pénale

Dans un arrêt du 3 novembre dernier, la Cour de cassation a considéré que le directeur de publication d’un espace de contributions personnelles ne pouvait se prévaloir

  • ni de l’externalisation de la fonction de modérateur auprès d’un prestataire,
  • ni des dispositions relatives à la responsabilité pénale des hébergeurs du site internet

pour dégager sa propre responsabilité pénale en cas de publication de propos diffamatoires sur ledit espace.

Voir l’arrêt

E-commerce

Promos sans prix de référence et pratiques commerciales déloyales

Dans un arrêt du 8 septembre 2015, la Cour de justice de l’Union européenne a considéré que l’arrêté français du 31 décembre 2008 qui prohibe de manière générale les annonces proposant des réductions de prix sans affichage du prix de référence était non conforme à la directive européenne sur les pratiques commerciales déloyales.

En effet, selon la Cour, la directive s’oppose aux dispositions nationales qui prévoient des interdiction générales sans évaluation au cas par cas permettant d’en établir le caractère déloyal. Seules 31 pratiques commerciales sont listées dans la directive comme “réputées déloyales” et ne nécessitent pas d’examen au cas par cas. Or, la proposition d’un prix réduit sans affichage du prix de référence ne figure pas dans cette liste.

La Cour de cassation, auteur de la question préjudicielle, va donc statuer prochainement à la lumière de cette décision sur un arrêt de la Cour d’appel de Bordeaux ayant condamné Cdiscount pour avoir proposé une réduction de prix sans affichage du prix de référence. Elle doit se prononcer sur la question de savoir si l’affichage du prix de référence est une modalité de mise en œuvre d’une pratique commerciale ou une pratique commerciale.

Voir l’arrêt

Données à caractère personnel & conformité

Critères d’application du droit national & protection des données à caractère personnel

Dans un arrêt du 1er octobre dernier, la Cour de justice de l’Union européenne s’est prononcée sur la loi applicable au responsable de traitement de données à caractère personnel en adoptant une conception élargie de la notion d’établissement.

Pour mémoire, le responsable de traitement est la personne physique ou morale qui décide de la finalité du traitement c’est-à-dire de l’objectif pour lequel les données à caractère personnel sont collectées et traitées. Être responsable de traitement dans un État membre de l’UE implique le respect des obligations légales mises en œuvre par le droit national de chaque État membre. Ces obligations peuvent notamment être relatives :

  • aux droits des personnes concernées,
  • aux formalités déclaratives auprès des autorités de contrôle nationales (en France la CNIL)
  • au transfert hors UE des données traitées.

Comment déterminer le droit national applicable à un responsable de traitement ?

La directive 95/46/CE dispose que la loi applicable est celle :

  • du territoire sur lequel est établi le responsable de traitement,
  • si le responsable de traitement n’est pas établi sur le territoire d’un État membre, du territoire via lequel il a recours à des moyens de traitement de données à caractère personnel (sauf moyens à seule fin de transit sur le territoire).

Quels sont les critères qui permettent de déterminer qu’un responsable de traitement dispose d’un établissement sur le territoire d’un État membre ?

La notion d’établissement est déterminée en droit européen par l’exercice d’une activité effective et réelle, même minime, au moyen d’une installation stable sur le territoire d’un État membre.

Dans son arrêt du 1er octobre 2015, la Cour de justice, tout en précisant que la nationalité des personnes concernées par un traitement est « dénuée de pertinence » pour déterminer la loi applicable au responsable de traitement, a considéré que :

  • l’activité effective et réelle du responsable dudit traitement peut être caractérisée par l’exploitation d’un site internet dans la langue d’un État membre « principalement, voire entièrement, tournée vers ledit État membre »
  • l’installation stable sur le territoire de l’État membre peut être caractérisée par le fait que « ce responsable dispose d’un représentant dans ledit État membre, qui est chargé de recouvrer les créances résultant de cette activité ainsi que de le représenter dans des procédures administrative et judiciaire relatives au traitement des données concernées ».

Quelles sont les conséquences de l’inapplicabilité de la loi locale pour l’autorité de contrôle nationale ?

La Cour de justice s’est prononcée sur l’étendue des prérogatives de l’autorité de contrôle nationale (en France, la CNIL) dont la loi ne serait pas applicable :

  • l’autorité de contrôle pourra procéder à des investigations mais sans pouvoir de sanction en dehors du territoire de son État
  • l’autorité de contrôle devra coopérer avec son homologue de l’État membre dont la loi est applicable et lui demander « de constater une éventuelle infraction et d’imposer des sanctions […] en s’appuyant, le cas échéant, sur les informations […]».

Voir l’arrêt

Contrats et gestion des projets informatiques

CGV & devoir de conseil du prestataire informatique

Lire la suite