Catégorie : Données Personnelles

Après plus de quatre ans de négociation, le nouveau règlement sur les données personnelles (le « Règlement ») a enfin été adopté le 24 mai 2016[1]. Toutefois, il ne sera applicable qu’à compter du 24 mai 2018. Les entreprises responsables de traitements de données personnelles et leurs sous-traitants auront jusqu’à cette date pour se mettre en conformité avec le Règlement y compris pour les traitements déjà mis en œuvre à cette date.

Le Règlement a pour objectif d’adapter les règles sur les données personnelles au monde du numérique et de les harmoniser au sein des pays de l’Union Européenne (UE). Ce texte remplacera donc la règlementation existante jusqu’à aujourd’hui.

Son champ d’application est large puisqu’il s’appliquera dès lors que (i) les données personnelles collectées concernent un citoyen résidant dans l’UE, que le responsable de traitement se trouve ou non sur ce territoire; (ii) le responsable du traitement ou son sous-traitant réside dans l’UE, c’est-à-dire que le Règlement s’appliquerait à un citoyen non-européen dont les données seraient collectées ou traitées par une société de l’UE. Le critère du lieu d’établissement du responsable de traitement, jusqu’alors retenu pour définir la loi applicable au traitement de données, est donc largement dépassé. Le but est notamment de permettre d’encadrer les traitements effectués sur Internet lorsque l’une des personnes impliquées dans le traitement (le responsable de traitement ou la personne dont les données sont traitées) est située en dehors de l’Espace Economique Européen.

Les points essentiels à retenir de ce Règlement sont les suivants:

  • Etablissement d’un niveau élevé de protection et de contrôle des citoyens sur leurs données personnelles, notamment par la création d’un droit à la portabilité des données personnelles et la consécration du droit à l’oubli;
  • Modifications profondes du régime de la responsabilité. A titre d’exemple, les responsables de traitement ne sont plus soumis à l’obligation de déclaration (le régime d’autorisation est quant à lui maintenu dans certains cas) et devront prouver qu’ils ont respecté les dispositions du Règlement; les sous-traitants se voient désormais appliquer directement une série d’obligations légales;
  • Les sanctions administratives sont renforcées en cas de non respect de ces règles puisqu’elles pourront s’élever jusqu’à 4% du chiffres d’affaire annuel mondial de l’entreprise et à 10 ou 20 millions d’euros dans les autres cas.

 Plus particulièrement, parmi les obligations mises à la charge des sociétés effectuant des traitements de données personnelles, il convient de relever que celles-ci devront désormais:

  • Mettre en œuvre des mesures techniques et organisationnelles appropriées et être capable de démontrer cette conformité au Règlement à tout moment (principe « d’accountability»). A ce titre, les responsables de traitement de données devront par exemple garantir la confidentialité du traitement ou veiller à ce que, par défaut, seules les données strictement nécessaires au regard de chaque finalité soient traitées (principe dit de « minimisation »);
  • Si la société comporte plus de 250 salariés (sauf exception), tenir un registre des activités de traitements comparable à un inventaire des traitements;
  • Désigner un délégué aux données personnelles si la société appartient au secteur public, si son activité principale l’amène à réaliser un traitement systématique de données personnelles à grande échelle ou enfin si son activité principale l’amène à traiter (toujours à grande échelle) des données dites « sensibles » ou relatives à des condamnations;
  • Notifier aux autorités (et aux personnes concernées si cette violation est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne) les failles de sécurité 
dans un délai de 72 heures après en avoir pris connaissance.

Dans la mesure où le Règlement s’appliquera pour les traitements déjà mis en œuvre en mai 2018, les entreprises ont tout intérêt à se préparer dès maintenant à ces nouvelles règles qui impliquent une nouvelle organisation, en particulier pour les sous-traitants soumis pour la première fois à des obligations légales.

 

[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE

0

Par une décision du 26 janvier 2016, la CNIL a constaté que les traitements de données personnelles effectués par les sociétés Facebook inc. et Facebook Ireland ne respectaient pas la loi française et a par conséquent mis en demeure ces dernières de s’y conformer. Il convient de noter que dans sa décision, la CNIL prévoit que chaque manquement à la loi française fait l’objet d’une mise en demeure et de sanctions financières distinctes et cumulatives.

Si cette décision permet de mettre en lumière les pratiques des sociétés Facebook dans le traitement des données qu’elle opère (que la CNIL a jugé illicites), ce qu’il convient de retenir, c’est que la CNIL s’est, pour la première fois, considérée compétente pour analyser et sanctionner les traitements de données personnelles effectués par le géant californien en application de la loi française qu’elle déclare applicable aux faits de l’espèce. Jusqu’alors, la CNIL n’avait adressé à ce dernier que de simples lettres. La CNIL considérait en effet que dans la mesure où la loi française n’était pas applicable, elle n’était pas en mesure de prendre de sanctions en cas d’absence de réponse de Facebook. La donne a changé.

En substance, pour reconnaître l’application de la loi française aux sociétés Facebook inc. et Facebook Ireland, la CNIL reprend à son compte les récentes décisions Google Spain (C-131/12) et Weltimmo (C-230/14) rendues par la CJUE qui ont considérablement élargi le critère d’ « établissement », critère permettant de déterminer la loi applicable au traitement de données effectué par un responsable de traitement situé en dehors de l’Espace Économique Européen (conformément aux articles 4 de la directive 95/46/CE et 5 de la Loi Informatique et libertés n° 78-17 du 6 janvier 1978).

Ainsi, dès lors qu’un responsable de traitement dispose d’un « établissement » sur un territoire de l’UE – un établissement n’étant pas forcément constitué par une société enregistrée mais par toute installation stable qui sans effectuer elle même le traitement des données intervient dans le cadre des activités de celui-ci (en assurant la promotion et la vente d’espaces publicitaires par exemple) – la loi nationale de cet Etat sera applicable.

En tirant bénéfice de l’élargissement du critère d’établissement et en déclarant la loi française désormais applicable (sans préciser d’ailleurs les circonstances de l’espèce), la CNIL démontre sa volonté de s’inscrire comme fer de lance de la protection des données personnelles en Europe (cette décision marque le premier acte contraignant d’un office de protection des données personnelles européen à l’encontre d’un géant du Web) et dans la dynamique toujours plus grande de voir engager la responsabilité des acteurs de l’internet basés à l’étranger affichée par la Commission Européenne[1].

Ainsi, il y a fort à parier que d’autres sociétés étrangères procédant à des traitements de données en France feront bientôt, à leur tour, l’objet d’enquêtes de la CNIL et peut-être de sanctions si les obligations de la loi française n’étaient pas respectées.

Compte tenu du préjudice d’image indéniable que représente des telles sanctions et du caractère cumulatif des amendes encourues, les responsables de traitement qui pensaient pouvoir échapper à la loi française devront réfléchir à deux fois avant de mettre en place leur traitement. D’autant plus, avec l’entrée en vigueur du Règlement européen qui prévoit que les amendes administratives des autorités de contrôle pourront être indexées sur un pourcentage du chiffre d’affaires annuel mondial du responsable de traitement (dans la limite de 1.000.000 d’euros).

La conformité des entreprises avec le droit de l’Union et notamment avec le droit français est aujourd’hui une priorité.

 

[1] Le futur Règlement européen prévoit en effet que le droit de l’Union sera applicable, aux traitements de données à caractère personnel relatifs aux personnes ayant leur domicile sur le territoire de l’Union dès lors que les activités de traitement sont liées i) à l’offre de biens ou services, ou ii) à l’observation de leur comportement.

0

La décision de la Cour de Justice de l’Union Européenne (CJUE) du 6 Octobre 2015[1] a invalidé avec grand bruit le mécanisme «  Safe Habor » permettant depuis 2000[2] le transfert de données personnelles depuis l’Union Européenne vers des entreprises situées aux Etats-Unis bénéficiant d’une certification «  Safe Habor ».

Pour rappel, les Etats-Unis n’offrant pas un niveau de protection adéquat, le transfert de données personnelles vers des entreprises situées dans ce pays est de manière générale interdit[3]. Toutefois, à titre d’exception, il était jusqu’alors permis aux sociétés européennes de transférer des données à caractère personnel à des prestataires américains si et seulement si ces derniers i) bénéficiaient d’une certification « Safe Harbor » aux termes de laquelle ils déclaraient s’engager à mettre en œuvre des mécanismes permettant d’assurer un niveau de protection adéquat ou ii) concluaient des contrats avec un responsable de traitement européen insérant les clauses contractuelles types édictées par la Commission européenne[4].

Dans la décision du 6 octobre 2015, la CJUE a notamment considéré que, eu égard aux révélations d’Edward Snowden en 2013 sur les programmes de surveillance de masse de la NSA, la certification « Safe Habor » ne présentait plus les garanties suffisantes pour la protection de la vie privée. Cette décision étant d’application immédiate, tous les transferts de données personnelles effectués sur la base de cette certification sont donc illégaux et doivent en théorie faire l’objet de régularisation.

Suite à cette décision, la CNIL et ses homologues européens (G29) se sont réunis le 15 octobre dernier pour élaborer un plan d’action commun permettant aux acteurs de s’adapter au nouveau contexte juridique. A ce titre, le G29 a appelé les institutions et les gouvernements européens à construire un nouveau cadre juridique permettant de procéder à des transferts de données entre l’Europe et les Etats-Unis, et ceci, avant le 31 janvier 2016. De telles solutions pourraient intervenir dans le cadre de négociations d’un accord intergouvernemental et la mise en place d’un nouveau « Safe Harbor » pourrait être envisagé.

Le G29 poursuit son analyse de l’impact de la décision de la CJUE sur les autres outils permettant d’effectuer un transfert des données vers les Etats-Unis et notamment concernant les clauses contractuelles type précitées. Le G29 a indiqué qu’en attendant la mise en place de nouvelles règles, cet outil pouvait encore être utilisé par les entreprises européennes pour transférer des données personnelles aux Etats-Unis.

Toutefois, cet outil ne permettant pas plus que le « Safe Harbor » de prévenir une éventuelle intrusion de la NSA dans les données personnelles des européens confiées à des prestataires américains, les entreprises ne sont pas à l’abri de voir cette solution invalidée à son tour par décision de justice ou recommandation de la CNIL[5].

Dans l’attente de la signature d’un nouvel accord intergouvernemental ou de la mise en place d’un nouvel outil de transfert, comment les entreprises doivent-elles réagir aujourd’hui ?

Dans ce contexte, les entreprises européennes désireuses de transférer leurs données aux Etats-Unis doivent agir avec prudence.

Elles doivent ainsi mettre en œuvre des solutions juridiques et techniques pour limiter les risques éventuels qu’elles prennent en transférant leurs données personnelles, ce qui implique essentiellement de mettre en place des clauses contractuelles contraignantes vis-à-vis des prestataires qui recevront les données aux Etats-Unis.

Ces clauses devront notamment inclure :

(i) à minima, toutes les obligations prévues dans les clauses contractuelles types ;

(ii) des obligations supplémentaires pour les prestataires américains opérant un service de Cloud Computing :

  • informations relatives à la manière dont les traitements sont effectués (respect de la loi informatique et libertés[6], définition des moyens de traitement mis en place, consentement du client en cas de recours à un tiers pour la réalisation du traitement, limitation de la durée de conservation et report des obligations dans les contrats de sous-traitance) ;
  • mise en place d’un système de remontée des plaintes et failles de sécurité ;
  • possibilité pour le client de procéder à un audit du prestataire ;
  • destruction et restitution des données à la fin de la prestation ou en cas de rupture anticipée du contrat dans un format choisi par le client ;
  • indication des obligations incombant au prestataire en matière de sécurité des données (notamment, mesures de sécurités physiques et techniques, traçabilité, continuité du services, niveau de service, sauvegardes) et précision que ce dernier ne peut agir que sur instruction du client ;
  • devoir de coopération de la part du prestataire avec les autorités de protection des données compétentes et obligation de fournir au client toute information utile permettant de procéder à la déclaration du traitement auprès desdites autorités ;
  • indication claire et exhaustive des pays dans lesquels les données sont hébergées et assurance d’une protection adéquate dans les pays en question.

(iii) enfin et surtout, afin de prévenir tout éventuel revirement de la CNIL, des obligations particulières pour s’assurer la licéité du transfert en toute circonstance :

  • obligation de s’adapter en prenant les mesures techniques et juridiques nécessaires pour se conformer aux évolutions de la loi informatique et libertés et aux recommandations de la CNIL ;
  • en cas d’incapacité ou d’impossibilité de respecter les évolutions de la loi informatique et libertés, prévoir une clause de résiliation automatique du contrat avec restitution (interopérabilité) et suppression des données sans frais supplémentaires pour le client.

Jusqu’à présent, le recours à des sous-traitants bénéficiant du « Safe Harbor » s’effectuait dans la grande majorité des cas par la signature de conditions générales ou de contrats d’adhésion dans lesquels les clients européens ne pouvaient négocier la moindre clause. L’actuel flou dans lequel sont placés les prestataires américains autrefois « Safe Harbor » les obligera nécessairement à modifier leurs contrats et à les adapter aux exigences de leurs clients européens. La décision de la CJUE aura peut-être le mérite de rééquilibrer les forces entre responsables de traitement européens et prestataires de services américain.

[1] Arrêt CJUE du 6 octobre 2015, Affaire C-362-14 Maximillian Schrems v. Data Protection Commissionner

[2] Décision de la Commission du 26 juillet 2000

[3] Rappelons en effet qu’aux termes de la directive 95/46, lorsqu’un pays tiers à l’Union Européenne n’offre pas un niveau de protection adéquat, le transfert de données à caractère personnel vers ce pays doit être interdit

[4] Précisons qu’un autre moyen contractuel de transfert était prévu pour les entreprises d’un même groupe (« Binding Corporate Rules »)

[5] A ce titre, il convient de préciser qu’une autorité de protection allemande s’est déjà prononcée en exprimant son souhait d’invalider également les clauses contractuelles types et de n’autoriser le transfert des données aux Etats-Unis que sous réserve du changement de leur législation

[6] Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés

 

0

Les questions relatives à la loi applicable et/ou au choix de la société contre laquelle agir en justice peuvent s’avérer particulièrement complexes lors d’un litige né sur Internet et notamment en matière de protection des données personnelles.

L’hypothèse  est la suivante : un responsable de traitement (éditeur de site Internet, FAI,  moteur de recherche etc.) situé sur un territoire étranger mais ayant une filiale en France porte atteinte aux données personnelles d’un internaute français.

L’internaute français qui souhaite intenter une action contre le responsable du traitement doit se poser les deux questions suivantes :

  • la loi française est-elle applicable pour statuer sur la responsabilité du responsable du traitement ?
  • contre quelle entité l’internaute français doit-il agir ? Peut-il rendre responsable la filiale française de l’atteinte portée à ses données personnelles ?

Ce sont les questions auxquelles a répondu très récemment le Tribunal de grande instance de Paris grâce à deux Ordonnances de référé des 16 septembre et 19 décembre 2014, concernant le moteur de recherche Google auquel des particuliers, invoquant leur droit à l’oubli, avaient demandé de déréférencer des liens Internet.

1/ Sur la loi applicable

Il convient de rappeler que l’Article 5 de la loi Informatique et Libertés (Loi n°78-17 du 6 janvier 1978) dispose :

« Sont soumis à la présente loi les traitements de données à caractère personnel :

Dont le responsable est établi sur le territoire français. Le responsable d’un traitement qui exerce une activité sur le territoire français dans le cadre d’une installation, quelle que soit sa forme juridique, y est considéré comme établi …».

En application de l’article précité, dès lors qu’un établissement situé sur le territoire français est responsable de traitements, la loi française aura vocation à s’appliquer.

Qu’en est-il pour Google ?

Il convient de préciser que le traitement de données personnelles effectué via le moteur de recherche est initié et contrôlé par la société Google Inc., basée aux Etats-Unis. Le géant américain n’a en réalité recours à ses filiales locales (dont la France) que pour promouvoir, faciliter et effectuer la vente de produits et de services de publicité en ligne dans l’Etat dans lequel la filiale est implantée. Cette dernière n’opère nullement un traitement de données personnelles.

Pourtant, le Tribunal de grande instance de Paris a retenu que la société Google France, bien que ne réalisant aucun traitement de donnée, peut être qualifiée d’établissement au sens de l’article 5-1 (précité), et ce, en raison du fait que ses activités relatives aux espaces publicitaires sont indissociablement liées à celles de l’exploitant du moteur de recherche.

La loi française est dès lors applicable concernant le traitement de données effectué par Google.

2/ Contre quelle société agir ?

La question de la loi applicable étant réglée, reste à déterminer contre quelle société agir. Sur cette question, force est de constater que le Tribunal de grande instance de Paris rencontre certaines difficultés puisque les deux Ordonnances étudiées sont, à ce sujet, parfaitement contradictoires.

En effet, dans un premier temps (Ordonnance du 16 septembre 2014), le Tribunal a reconnu que les demandes du requérant dirigées contre Google France étaient recevables et a enjoint à cette dernière de déréférencer plusieurs liens renvoyant à des contenus jugés diffamatoires.

Pour arriver à cette solution, le Tribunal a fait sienne l’argumentation de la CJUE dans sa célèbre décision du 13 mai 2014 consacrant le droit à l’oubli, et retient notamment que :

  1. si la société Google Inc. est certes l’exploitant du moteur de recherche, Google France, qui en est une filiale à 100%, a pour activité la promotion et la vente d’espaces publicitaires liés à des termes recherchés au moyen du moteur édité par Google Inc, et assure ainsi, par l’activité qu’elle déploie, le financement de ce moteur de recherche,
  2. que « les activités de l’exploitant du moteur de recherche et celles de son établissement situé dans l’Etat membre concerné sont indissociablement liées ».

En revanche, étonnamment, dans son Ordonnance la plus récente du 19 décembre 2014, le Tribunal de grande instance de Paris a décidé que le droit à l’oubli ne pouvait être exercé que contre Google Inc. et non contre Google France. Cette dernière n’exploitant pas directement ou indirectement le moteur de recherche et n’ayant pas la qualité de responsable de traitement.

En conséquence, la question du choix de l’entité contre laquelle agir, qui semblait avoir été tranchée par la CJUE, est remise en question et plonge les internautes dans une grande incertitude. En attendant que la question soit définitivement tranchée, toute personne désireuse d’invoquer son droit à l’oubli pour faire supprimer des liens redirigeant vers des sites diffamatoires devra, dans le doute, saisir Google France et Google Inc. pour être certaine de voir son recours aboutir.

En pratique, cette incertitude est regrettable pour le demandeur qui, contraint d’agir contre Google Inc., se verra imposer des délais de procédure plus longs et, par conséquent, devra supporter plus longuement les articles publiés sur Internet lui portant préjudice.

0