Résultats de recherche pour: cnil

La CNIL et les cookies

Le délai raisonnable pour mettre en conformité les sites web et applications mobiles aux nouvelles règles en matière de cookies ne saurait excéder le 31 mars 2021.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire et un avocat enverra une lettre de mise en demeure !

Les termes de « cookie » ou « traceur » recouvrent par exemple : les cookies HTTP, les cookies « flash », le résultat du calcul d’une empreinte unique du terminal dans le cas du « fingerprinting » (calcul d’un identifiant unique du terminal basé sur des éléments de sa configuration à des fins de traçage), les pixels invisibles ou « web bugs », tout autre identifiant généré par un logiciel ou un système d’exploitation (numéro de série, adresse MAC, identifiant unique de terminal (IDFV), ou tout ensemble de données qui servent à calculer une empreinte unique du terminal (par exemple via une méthode de « fingerprinting »).

Ils peuvent être déposés et/ou lus, par exemple lors de la consultation d’un site web, d’une application mobile, ou encore de l’installation ou de l’utilisation d’un logiciel et ce, quel que soit le type de terminal utilisé : ordinateur, smartphone, tablette numérique ou console de jeux vidéo connectée à internet.

L’utilisation de ces traceurs est régie par l’article 5 de la directive ePrivacy (dir. 2002/58/CE, 12 juill. 2002, mod. dir. 2009/136/CE, 25 nov. 2009), transposée en droit français à l’article 82 de la loi n° 78-17 du 6 janvier 1978, dite loi « Informatique et Libertés » (LIL), qui renvoie pour la définition du consentement à l’article 4, 11, du Règlement général sur la protection des données (UE) 2016/679 du 27 avril 2016 (RGPD) et prévu par des lignes directrices du CEPD 05/2020 du 4 mai 2020 sur le consentement.

Auparavant, les lignes directrices de la CNIL n° 2013-378 du 5 décembre 2013 s’avéraient favorables aux exploitants des traceurs. L’entrée en vigueur du RGPD impose désormais un consentement libre, spécifique, éclairé et univoque, manifesté par un acte positif clair, rendant incompatible cette nouvelle règle avec les anciennes lignes directrices, qui se contentaient par exemple d’une simple poursuite de la navigation sur un site web pour caractériser la manifestation du consentement à l’utilisation de traceurs.

 

Besoin de l’aide d’un avocat pour un problème de données personelles ?

Téléphonez nous au : 01 43 37 75 63

ou contactez nous en cliquant sur le lien

La CNIL a ainsi édicté de nouvelles lignes directrices le 4 juillet 2019 (délib. n° 2019-093, v. Dalloz actualité, 11 sept. 2019) qui ont été partiellement censurées par le Conseil d’État le 19 juin 2020 (req. n° 434684). En parallèle, elle a élaboré un projet de recommandation précisant ses lignes directrices et qui a été soumis à consultation publique du 14 janvier au 25 février 2020.

Par ailleurs, l’article 5(3) de la directive 2002/58/CE modifiée en 2009 pose le principe :  d’un consentement préalable de l’utilisateur avant le stockage d’informations sur son terminal ou l’accès à des informations déjà stockées sur celui-ci ; sauf si ces actions sont strictement nécessaires à la fourniture d’un service de communication en ligne expressément demandé par l’utilisateur ou ont pour finalité exclusive de permettre ou faciliter une communication par voie électronique.

L’article 82 de la loi Informatique et Libertés transpose ces dispositions en droit français.

La CNIL rappelle que le consentement prévu par ces dispositions renvoie à la définition et aux conditions prévues aux articles 4(11) et 7 du RGPD. Il doit donc être libre, spécifique, éclairé, univoque et l’utilisateur doit être en mesure de le retirer, à tout moment, avec la même simplicité qu’il l’a accordé. Afin de rappeler et d’expliciter le droit applicable au dépôt et à la lecture de traceurs dans le terminal de l’utilisateur, la CNIL a adopté le 17 septembre 2020 des lignes directrices, complétées par une recommandation visant notamment à proposer des exemples de modalités pratiques de recueil du consentement.

I. Sur les opérations concernées

  1. Traceurs

Les traceurs sont définis par les lignes directrices comme « toutes les opérations visant à accéder, par voie de transmission électronique, à des informations déjà stockées dans l’équipement terminal de l’abonné ou de l’utilisateur d’un service de communications électroniques ou à inscrire des informations dans celui-ci » (pt 9). Ils incluent bien évidemment les cookies, mais aussi d’autres techniques de traçage pourvu qu’elles entrent dans le champ de l’article 82 de la LIL (pt 13). Est exclu des lignes directrices le traceur qui « soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique, soit est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur » (LIL, art. 82 ; pts 46-47), étant précisé que, si les finalités sont composites et que l’une d’entre elles au moins ne relève pas de ces exceptions, les lignes directrices s’appliquent (pt 48).

La CNIL dresse ainsi une liste des traceurs pouvant être exemptés « en l’état des pratiques portées à sa connaissance » (pt 49). La recommandation de la CNIL donne l’exemple d’un traceur gérant la préférence linguistique de l’utilisateur, bien qu’elle recommande d’informer au moins l’utilisateur de l’existence de ce traceur et de limiter son application à une période raisonnable (recommandations., pts 49-50).

  1. Traceurs de mesure d’audience

Dans ses lignes directrices, la CNIL porte plus spécifiquement son attention sur les traceurs ayant pour finalité la mesure d’audience d’un site ou d’une application (pts 50-52) qui font par ailleurs l’objet d’un communiqué de presse autonome. Ne sont pas soumis à l’article 82 de la LIL « les traceurs dont la finalité se limite à la mesure de l’audience du site ou de l’application, pour répondre à différents besoins (mesure des performances, détection de problèmes de navigation, optimisation des performances techniques ou de l’ergonomie, estimation de la puissance des serveurs nécessaires, analyse des contenus consultés, etc.) [qui] sont strictement nécessaires au fonctionnement et aux opérations d’administration courante ». La CNIL insiste sur le fait que la finalité doit être strictement limitée et que les traceurs doivent « uniquement servir à produire des données statistiquement anonymes ».

  1. Données

Selon la CNIL, l’article 82 de la LIL est applicable indépendamment du fait que les données collectées sont ou non à caractère personnel (lignes directrices, pt 14), tout en précisant néanmoins que, dès lors que les traitements portent sur des données à caractère personnel, ils ne sont pas concernés par les lignes directrices puisqu’ils sont soumis au RGPD (pt 15). Elle s’exprime plus clairement en matière de traitements de mesure d’audience, qui « sont des traitements de données à caractère personnel qui sont soumis à l’ensemble des dispositions pertinentes du RGPD » (pt 52).

Si les traceurs impliquent un traitement de données à caractère personnel, les lignes directrices de la CNIL éclairent sur la manière de déterminer le statut des acteurs (pts 32-42), notamment lorsque « plusieurs acteurs contribuent à la réalisation des opérations de lecture ou écriture visées par les présentes lignes directrices (par exemple, un éditeur de site web et une régie publicitaire déposant les traceurs lors de la consultation du site web) » (pt 33). Conformément à l’arrêt Fashion ID, en effet, l’éditeur d’un site qui dépose des traceurs et les tiers qui utilisent ces traceurs sont considérés comme des responsables conjoints de traitement dès lors qu’ils agissent pour leur propre compte (CJUE 29 juill. 2019, aff. C-40/17), ce qui implique une délimitation transparente de leurs obligations respectives

 

II.  Sur le consentement

  1. Fondement

Dès lors que les opérations entrent dans le champ de l’article 82 de la LIL, les acteurs concernés doivent s’assurer que l’utilisateur ou l’abonné délivre un consentement respectant les prescriptions de l’article 4, 11, du RGPD. Dans l’hypothèse où plusieurs acteurs contribuent aux opérations de lecture ou d’écriture du traceur, les lignes directrices précisent que l’éditeur du site web ou de l’application mobile semble être le plus à même d’informer l’utilisateur et de recueillir son consentement (pt 37). Relevons également que la CNIL constate qu’en l’état actuel de la technique, « les possibilités de paramétrage des navigateurs et des systèmes d’exploitation ne peuvent, à eux seuls, permettre à l’utilisateur d’exprimer un consentement valide » (pts 43-45

  1. Consentement libre

Relevant les motifs de la censure du Conseil d’État, qui a jugé que l’interdiction générale et absolue des cookies wall prévue par une norme de droit mou relevait d’un excès de pouvoir (CE 19 juin 2020, préc.), les lignes directrices de la CNIL ne se prononcent plus sur leur validité. Ainsi expose-t-elle que « le fait de subordonner la fourniture d’un service ou l’accès à un site web à l’acceptation d’opérations d’écriture ou de lecture sur le terminal de l’utilisateur est susceptible de porter atteinte, dans certains cas, à la liberté du consentement » (pt 17).

Si la pratique est licite ajoutent les lignes directrices, l’information devrait clairement indiquer à l’utilisateur les conséquences de ses choix (pt 18). Plus généralement, les lignes directrices rappellent qu’un consentement unique pour plusieurs finalités n’est pas valide (pt 19). À cela, la recommandation indique qu’il est possible, d’une part, de proposer un bouton acceptant ou refusant toutes les finalités et, d’autre part, de donner une information de second niveau avec, à titre d’exemple, un bouton « personnaliser mes choix » (pts 24-29).

  1. Consentement spécifique

Les lignes directrices énoncent qu’une acceptation globale des conditions générales d’utilisation ne respecte pas le principe du consentement spécifique (pt 20).

  1. Consentement éclairé

L’information doit être rédigée de manière simple et compréhensible par tous, précisent les lignes directrices. La recommandation ajoute un élément relatif aux dark patterns : « afin d’être compréhensible et de ne pas induire en erreur les utilisateurs, la Commission recommande aux organismes concernés de s’assurer que les utilisateurs prennent la pleine mesure des options qui s’offrent à eux, notamment au travers du design choisi et de l’information délivrée » (pt 10).

La CNIL dresse également une liste des informations à délivrer a minima dans ses lignes directrices (pt 24) tout en ajoutant quelques exemples concrets dans sa recommandation, sachant qu’une information peut tout à fait être délivrée sur plusieurs niveaux (pts 12-15). Concernant, enfin, les destinataires ou catégories de destinataires, tant les lignes directrices (pt 25) que la recommandation (pts 18-21) insiste sur le fait que l’utilisateur doit être en mesure d’identifier aisément les responsables du traitement et que la liste de ces personnes doit être exhaustive et tenue à jour. Il est utile de préciser que la tenue d’une telle liste va à contre-courant de certaines opinions figurant dans la consultation publique (p. 5), qui soulève la difficulté tant matérielle qu’informationnelle du respect de cette mesur

  1. Consentement univoque

La CNIL rappelle dans ses lignes directrices qu’un consentement suppose une action positive (pt 26). Reprenant l’arrêt Planet49 (CJUE 1er oct. 2019, aff. C-673/17), elle précise que ni la poursuite de la navigation ni l’utilisation de cases précochées ne constituent une action positive et qu’en leur absence, l’utilisateur doit être considéré comme ayant refusé (pt 27).

Concrètement, la recommandation indique qu’il est possible de manifester le consentement par l’utilisation de cases à cocher, décochées par défaut, ou par l’utilisation d’interrupteurs (sliders) tant qu’ils sont eux aussi désactivés par défaut et que le choix des utilisateurs est aisément identifiable (pt 23). Une autre allusion aux dark patterns est faite, où la CNIL recommande « de s’assurer [que l’information] n’est pas rédigée de telle manière qu’une lecture rapide ou peu attentive pourrait laisser croire que l’option sélectionnée produit l’inverse de ce que les utilisateurs pensaient choisir » (pt 23).

  1. Preuve du consentement

La preuve du consentement pèse sur les « organismes exploitants des traceurs, responsables du ou des traitements » (lignes directrices n° 2020-091, pt 29). La recommandation propose des solutions permettant la conservation de cette preuve (pts 46-48).

  1. Refus du consentement

Contrairement à l’acceptation qui doit être expresse, les lignes directrices exposent que le refus peut se déduire du silence de l’utilisateur et qu’il ne doit nécessiter aucune démarche (pt 30). Il doit également « pouvoir se traduire par une action présentant le même degré de simplicité que celle permettant d’exprimer son consentement » (ibid.). En cela, une seule action pour accepter, alors que plusieurs actions sont nécessaires pour refuser, n’est pas recommandée (recommandations, pts 30-34).

  1. Retrait du consentement

« Il doit être aussi simple de retirer son consentement que de le donner », indiquent les lignes directrices (pt 31). Les solutions permettant le retrait du consentement devraient figurer dans un endroit aisément accessible et à tout moment (recommandation n° 2020-092, pts 40-45).

 

III. Conservation des choix de l’utilisateur

Seule la recommandation évoque la conservation des choix de l’utilisateur qui permet une meilleure fluidité de la navigation (pts 35-39). Ainsi, la CNIL recommande de conserver ses choix, notamment afin d’éviter que des fenêtres de consentement s’ouvrent constamment, « ce qui pourrait porter atteinte à la liberté de leur choix ». Est également recommandé de renouveler le recueil du consentement à intervalles appropriés. À ce titre, la CNIL estime qu’une conservation de six mois « constitue une bonne pratique de la part des éditeurs ».

 

IV. Cookies exemptés du recueil du consentement

L’article 82 de la loi Informatique et Libertés n’impose pas d’informer les utilisateurs sur l’existence d’opérations de lecture et écriture non soumises au consentement préalable. Par exemple, l’usage par un site web d’un cookie de préférence linguistique stockant uniquement une valeur indiquant la langue préférée de l’utilisateur est susceptible d’être couvert par l’exemption et ne constitue pas un traitement de données personnelles soumis au RGPD. Toutefois, afin d’assurer une transparence pleine et entière sur ces opérations, la CNIL recommande que les utilisateurs soient également informés de l’existence de ces cookies et de leurs finalités en intégrant, par exemple, une mention les concernant dans la politique de confidentialité.

S’agissant de la conservation des choix, la CNIL observe qu’il est, en principe, nécessaire de conserver les choix exprimés par les utilisateurs durant leur navigation sur le site. En effet, à défaut de la conservation de ces choix, les utilisateurs se verraient afficher une nouvelle fenêtre de demande de consentement à chaque page consultée, ce qui pourrait porter atteinte à la liberté de leur choix.

De plus, la CNIL recommande que, lorsque le refus peut être manifesté par la poursuite de la navigation, le message sollicitant le consentement (par exemple, la fenêtre ou le bandeau) disparaisse au bout d’un laps de temps court, de manière à ne pas gêner l’utilisation du site ou de l’application et à ne pas, ainsi, conditionner le confort de navigation de l’utilisateur à l’expression de son consentement.

De manière générale, la CNIL recommande que le choix exprimé par les utilisateurs, qu’il s’agisse d’un consentement ou d’un refus, soit enregistré de manière à ne pas les solliciter à nouveau pendant un certain laps de temps. La durée de conservation de ces choix sera appréciée au cas par cas, au regard de la nature du site ou de l’application concernée et des spécificités de son audience.

Par ailleurs, dans la mesure où le consentement peut être oublié par les personnes qui l’ont manifesté à un instant donné, la CNIL recommande aux responsables de traitement de renouveler son recueil à des intervalles appropriés. Dans ce cas, la durée de validité du consentement choisi par le responsable du traitement doit tenir compte du contexte, de la portée du consentement initial et des attentes des utilisateurs.

Au regard de ces éléments, la CNIL considère, de manière générale, que conserver ces choix (tant le consentement que le refus) pendant une durée de 6 mois constitue une bonne pratique de la part des éditeurs. (4)

 

V. Mesure d’audience

Concernant les cookies de mesure d’audience exemptés du recueil du consentement, la CNIL recommande que :

Les utilisateurs soient informés de la mise en œuvre de ces cookies, par exemple via la politique de confidentialité du site ou de l’application mobile ;

Leur durée de vie soit limitée à une durée permettant une comparaison pertinente des audiences dans le temps, comme c’est le cas d’une durée de 13 mois, et qu’elle ne soit pas prorogée automatiquement lors des nouvelles visites ;

Les informations collectées soient conservées pour une durée maximale de 25 mois ;

Les durées de vie et de conservation ci-dessus mentionnées fassent l’objet d’un examen périodique.

En éfinitive, La CNIL a ainsi attiré l’attention sur la nécessité d’engager au plus vite certaines actions :

Le bandeau cookies, apparaissant notamment sur la page d’accueil d’un site web, doit détailler les finalités pour lesquelles ces cookies sont déposés sur les appareils des utilisateurs. En effet, la seule présence d’informations générales telles que « Ce site utilise des cookies » ou « Des cookies sont utilisés pour améliorer l’efficacité des services qui vous sont proposés » n’est pas suffisante.

L’utilisateur doit pouvoir accepter ou refuser les cookies avec le même degré de simplicité. La CNIL a eu l’occasion de rappeler que l’intégration d’un bouton « Tout refuser » sur le même niveau et sur le même format que le bouton « Tout accepter » permet d’offrir un choix clair et simple pour l’internaute. Il est aussi possible, par exemple, d’offrir explicitement à l’utilisateur la possibilité de refuser les traceurs en fermant le bandeau cookies. En revanche, la seule présence d’un bouton « Paramétrer » en complément du bouton « Tout accepter » tend, en pratique, à dissuader le refus et ne permet donc pas de se mettre en conformité avec les exigences posées par le RGPD.

Pour lire une version plus complète de cet article sur la  cnil et les cookies , cliquez

SOURCES :

https://www.cnil.fr/fr/cookies-la-cnil-incite-les-organismes-prives-et-publics-auditer-leurs-sites-web-et-applications#:~:text=Le%20délai%20raisonnable%20pour%20mettre,excéder%20le%2031%20mars%202021.&text=Celles-ci%20ayant%20été%20adoptées,terme%20le%2031%20mars%202021.

https://www.dalloz-actualite.fr/flash/cookies-et-autres-traceurs-lignes-directrices-et-recommandations-de-cnil#.YCuieRHPzIV

http://curia.europa.eu/juris/document/document.jsf?docid=218462&doclang=F

https://www.cnil.fr/fr/cookies-et-traceurs-comment-mettre-mon-site-web-en-conformit

http://curia.europa.eu/juris/document/document.jsf?docid=216555&doclan

Par internet-et-droit • Tags: , , ,

COMPTEURS LINKY : LA CNIL MET EN DEMEURE ENGIE ET EDF

NOUVEAU : Utilisez nos services pour faire respecter vos droits en passant par le formulaire !

Depuis  2018 tous les acteurs du numérique, mais aussi et plus largement pour toutes les entreprises, doivent être en conformité au nouveau grand texte européen en matière de données personnelles.

Guillaume Gouffier-Cha interroge Mme la ministre de la transition écologique et solidaire sur les problématiques relatives à la collecte des données par les compteurs Linky en France. La mise en place des compteurs d’électricité connectés Linky soulève depuis leur lancement craintes et interrogations. L’enregistrement et le stockage de ces données personnelles ainsi que leur utilisation, notamment leur diffusion à des tiers, posent particulièrement question. Le 11 février 2020, la CNIL a envoyé une mise en demeure à EDF et Engie pour la non-conformité du compteur communicant avec le règlement général sur la protection des données (RGPD).

L’instance reproche deux points aux fournisseurs d’énergies : un manque de clarté dans le recueil du consentement sur les données de consommation journalières ou à la demi-heure et une durée de conservation des données trop longue après la résiliation du contrat. EDF garde ainsi les consommations quotidiennes à la demi-heure cinq ans après la résiliation tandis qu’Engie garde les données de consommations mensuelles huit ans en archivage intermédiaire.

La CNIL juge ces durées « non justifiées ». En outre, ces données fournissent des informations précieuses sur les habitudes des consommateurs (à quelle heure ils sont à leur domicile, combien de personnes s’y trouvent, le type d’appareils utilisés) et sont susceptibles d’être revendues à des acteurs commerciaux. C’est donc la remise en cause du respect de la vie privée qui est en jeu. Pour toutes ces raisons, il lui demande des éclaircissements sur le respect du RGPD dans le cadre du déploiement des compteurs Linky en France.

 

Besoin de l’aide d’un avocat pour un données personelles ?

Téléphonez nous au : 01 43 37 75 63

ou contactez nous en cliquant sur le lien

La CNIL a mis en demeure les sociétés de se conformer au droit en vigueur par deux délibérations du 30 décembre 2019, rendues publiques le 11 février 2020 principalement pour deux raisons : le nombre d’utilisateurs concernés, 35 millions de compteurs seront installés d’ici 2021, et l’impact des informations communiquées sur la vie privée (révélation des heures de lever et de coucher, des périodes d’absences, du nombre de personnes présentes dans le logement). Véritables cas d’école, ces décisions opèrent une mise au point sur les modalités à respecter pour obtenir le consentement préalable des personnes concernées et sur la notion de durée de conservation.

 

1. Un consentement non spécifique et insuffisamment éclairé

Une des particularités des compteurs communicants est de permettre aux fournisseurs d’énergie de collecter des données de consommation quotidiennes et fines, en l’espèce à la demi-heure, à la condition, rappelle la CNIL, d’avoir obtenu l’accord préalable de l’abonné. Aux termes de l’article 4.11 du RGPD, ce consentement est valable lorsqu’il a été donné de manière libre, spécifique, éclairée et univoque. À défaut, il ne peut pas servir de base légale au traitement au sens de l’article 6.1, a, du règlement.

Le caractère spécifique implique que « la personne concernée doit être en mesure de donner son consentement de façon indépendante et distincte pour chaque finalité poursuivie », précise la Commission (RGPD, consid. 43 ; G29, Lignes directrices WP 259 rev.01, 28 nov. 2017, révisées le 10 avr. 2018, p. 11).

Elle ajoute que le caractère éclairé oblige à informer « la personne concernée de certains éléments cruciaux pour opérer un choix [tels que] […] (ii) la finalité de chacune des opérations de traitement pour lesquelles le consentement est sollicité (iii) les [types de] données collectées et utilisées » (WP 259 préc., p. 15).

Pour la CNIL, le consentement de l’utilisateur du compteur Linky n’est pas spécifique puisqu’il active globalement la collecte de ses données de consommation quotidienne et à la demi-heure par le biais d’une seule case à cocher, et ce pour deux (Engie) ou trois (EDF) finalités différentes, à savoir l’affichage dans l’espace client des consommations quotidiennes, l’affichage dans cet espace des consommations à la demi-heure et l’obtention de conseils personnalisés.

La Commission estime également que le consentement du client n’est pas éclairé. Dans sa délibération MED 2019-35 relative à EDF, elle critique la rédaction de la mention accompagnant la case à cocher qui fait référence à « la consommation d’électricité quotidienne (toutes les 30 minutes) ». Cette formulation risque d’induire l’abonné en erreur sur la portée de son engagement.

Les deux informations « sont présentées comme étant équivalentes, alors que les données à la demi-heure sont plus révélatrices des habitudes de vie des personnes que les données quotidiennes ». Pour Engie, le grief n’est pas explicitement formulé dans la délibération MED 2019-36, on le retrouve dans le communiqué de l’autorité de contrôle. Elle reproche au fournisseur de ne donner aucune « information suffisamment précise […] avant de recueillir le consentement, pour permettre à l’utilisateur de comprendre la différence de portée entre la collecte de “l’index quotidien” (données de consommation journalière) et la collecte de la “courbe de charge” (données de consommation fines à l’heure ou la demi-heure) ».

 

2. Des durées de conservation excessives

Selon l’article 5.1, e, du RGPD, les données à caractère personnel doivent être conservées pendant une durée qui n’excède pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.

En optant pour une conservation de cinq ans après la fin du contrat pour toutes les données de consommation, quotidiennes et à la demi-heure, en base active sans effectuer d’archivage intermédiaire, EDF a méconnu ce principe de proportionnalité. Pour la CNIL, les obligations de facturation et de mise à disposition de l’historique de consommation dans l’espace client excluent la fixation d’une durée de conservation aussi longue.

De même, en choisissant de conserver trois ans à l’issue de la résiliation du contrat les données relatives aux consommations mensuelles avant de les archiver, Engie a méconnu les règles susvisées. Cette durée n’est justifiée ni par un impératif de prospection commerciale ni par la nécessité de mettre à disposition les données dans l’espace client après la résiliation du contrat dans la mesure où le fournisseur a limité cette obligation à un an.

 

3. La mise en demeure

Pour corriger ces manquements, l’autorité enjoint aux sociétés de mettre en place de nouvelles procédures de recueil du consentement, par exemple sous forme d’une case à cocher par opération de traitement.

Les modifications devront s’appliquer aux clients dont les données de consommation ont déjà été enregistrées. À défaut, il conviendra de supprimer ces dernières. La CNIL exige aussi des sociétés qu’elles revoient leurs politiques de durée de conservation et qu’elles purgent, au besoin, les données non conformes aux nouvelles règles.

Les sociétés Engie et EDF ont trois mois pour se mettre en conformité à compter de la notification de la mise en demeure et éviter ainsi le prononcé de l’une des sanctions prévues par l’article 20 de la loi du 6 janvier 1978 modifiée. Nul doute qu’elles le feront, car, dans le cas contraire, elles risquent de se voir infliger une amende administrative pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent.

Pour lire un version plus complète de cet article sur les compteurs linky et la Cnil, cliquez

SOURCES :

https://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000034731377&cidTexte=LEGITEXT000006069565&dateTexte=20170701

Par internet-et-droit • Tags: , , , ,

Jouets connectés : la CNIL intervient au sujet des poupées « Cayla » et du robot « i-Que »

En décembre 2016, l’association de consommateur « UFC-Que-Choisir » écrivait à la CNIL au sujet de la poupée « My Friend Cayla » et du robot « i-Que », deux jouets connectés présentant d’importantes failles techniques. La CNIL, par un rapport du 04 décembre 2017 , a mis en demeure la société à l’origine des produits.

On peut définir l’objet connecté  comme celui dont « la connexion à un réseau plus large, que ce soit directement par Wi-Fi par exemple, par l’intermédiaire du smartphone de l’utilisateur (souvent via une connexion Bluetooth) ou grâce à des protocoles de communications qui leur sont propres » va permettre de « répondre » à l’usager en cherchant la réponse adéquate sur ces réseaux.

Les jouets connectés « Cayla » et « i-Que », comme l’indique la CNIL, « répondent aux questions posées par les enfants […] sont équipés d’un microphone et d’un haut-parleur et sont associés à une application mobile. La réponse est extraite d’Internet par l’application et donnée à l’enfant par l’intermédiaire des jouets? ».

Néanmoins, les informations issues des échanges vocaux entre l’enfant et le jouet connecté, ou encore celles issues du formulaire d’inscription de l’application « My Friend Cayla App » sont des données qui sont récoltées par la société basée à Hong-Kong. Il s’avère que l’entreprise n’a intégré aucun dispositif de sécurité quant à l’usage de ces jouets connectés par les consommateurs.

La question se pose donc de savoir quels risques fait encourir l’usage des jouets connectés « Cayla » et « i-Que » aux enfants et à leurs parents, aussi bien au regard de leur propre sécurité (I) qu’au regard de la confidentialité de leurs données (II).

I. Le risque d’un usage détourné des jouets connectés lié au défaut de sécurité

Le risque réside ici dans l’usage détourné des fonctionnalités des jouets (A), sans qu’aucun système sécuritaire ne puisse prévenir une telle manœuvre (B).

A) Un risque lié au détournement des fonctionnalités du produit

Pour rappel, une application mobile  permet d’interagir avec les jouets, par le biais de commandes vocales auxquelles les jouets vont répondre, par le biais d’une connexion Bluetooth établie.

Cependant, il s’avère qu’une connexion aux jouets peut être établie à plus de 9 mètres. La présence d’obstacles, comme un mur ou une fenêtre, ne pose d’ailleurs aucun souci à un tel appariement.

Le domicile, tout autant que les lieux publics, demeure donc un lieu à risque, au regard de cette distance d’accessibilité du produit.

La CNIL a également pu constater que l’application permettait non seulement l’enregistrement des « conversations », mais aussi de dialoguer directement avec l’enfant par le biais de messages enregistrés ou par l’utilisation du jouet en « kit mains libres ».

Ces atteintes constituent une atteinte grave à la sécurité et la vie privée  des personnes concernées, « ?L’absence de sécurisation des jouets, permettant à toute personne de possédant un dispositif équipé d’un système de communication Bluetooth de s’y connecter, à l’insu des enfants ou des propriétaires des jouets et d’avoir accès aux discussions échangées dans un cercle familial ou amical (…)? »? », comme l’indique le rapport de la CNIL.

Ces questions de sécurité se posent d’autant plus que l’entreprise fabricante n’a pas pris soin de doter ses produits de systèmes d’authentification.

B) Un risque accru par manque de système d’authentification

Aucun dispositif d’identification n’est rattaché aux jouets en question, si bien que « l’intrusion » dans le système sera la plupart du temps indétectable pour l’enfant comme pour les parents.

Les contrôleurs de la CNIL constatent ainsi « qu’une personne peut connecter un téléphone mobile aux jouets […] sans avoir à s’identifier (par exemple, avec un code PIN ou un bouton sur le jouet) ».

Aujourd’hui le nombre d’objets connectés est en forte croissance, et la question reste entière de savoir si un enfant en bas-âge s’avère capable ou non de discerner le fonctionnement « normal » du robot de l’utilisation « malveillante » qui peut en être faite.

À la vue de ces risques, l’Allemagne avait d’ailleurs interdit la commercialisation de ces jouets sur le territoire . En France, la présidente de la CNIL a « mis en demeure la société GENESIS INDUSTRIES LIMITED de procéder à la sécurisation [des] jouets connectés à destination d’enfants ».

Par ailleurs, la CNIL a également soulevé le « défaut d’information des utilisateurs des jouets ».

II. Le risque d’un usage détourné des données collectées par les jouets en question

La collecte des données à l’insu des consommateurs constitue non seulement une violation des dispositions en vigueur concernant la protection des données (A), mais également un risque du fait de la fragilité de la protection accordée à ces données (B).

A) Le problème de la collecte et de la gestion des données à l’insu des consommateurs

L’association de consommateurs, dans son rapport du 06 décembre 2016, soulignait que « les conditions contractuelles autorisent [les fabricants], sans consentement express, à collecter les données vocales enregistrées par Cayla et i-Que, et ce, pour des raisons étrangères au strict fonctionnement du service ». Elle soutient également que « ces données peuvent ensuite être transmises, notamment à des fins commerciales, à des tiers non identifiés (…) hors de l’Union européenne, sans le consentement des parents ».

De plus, les jouets en question sont également utilisés à des fins de publicités ciblées par l’entreprise, prononçant « ?régulièrement des phrases préprogrammées, faisant la promotion de certains produits […] les conditions contractuelles [supposant] que le simple fait de visualiser une publicité ciblée constitue un accord express à recevoir de telles publicités ciblées? ».

Toutes ces informations violent évidemment et non seulement la loi Informatique et Libertés, mais également le Règlement général sur la protection des données, nouveau grand texte européen en la matière, amené à entrer en vigueur en mai prochain.

B) Le problème du vol des données à l’insu des entreprises

En effet, quand on sait qu’aucun système de traitement des données n’est complètement sécurisé, et à l’heure où de grandes compagnies basant leur modèle économique sur la donnée (Uber par exemple) font l’objet de fuites massives, le souci d’une gestion fiable de nos données par des entreprises aussi peu soucieuses de la sécurité et des lois en vigueur se pose.

Des produits similaires ont déjà fait l’objet de fuites : en début d’année 2017, l’entreprise américaine « Spiral Toys » a été victime d’une cyberattaque à l’origine du vol de plus de 800?000 messages vocaux enregistrés par les poupées « Cloudpets » sur deux bases de données  non sécurisées.

Cette affaire ne manque donc pas d’alarmer au regard des problèmes posés par la poupée Cayla et du robot i-Que, et porte à s’interroger sur la façon dont le droit français pourrait venir réguler ces questions.
L’association de consommateur précitée a, en 2016, saisi la Direction Générale de la Concurrence, de la Consommation et de la Répression des Fraudes (« DGCCRF ») dans le but d’obtenir des sanctions « pour tout manquement aux dispositions légales et réglementaires ».
La mise en demeure de la CNIL est un premier pas en ce sens. Reste à voir comment les entreprises à l’origine de ces produits réagiront non seulement face à cette alerte, mais aussi et surtout dans les faits face à l’exploitation de plus en plus récurrente de ces failles.

Pour lire l’article sur les jouets connectés en version plus complète

SOURCES :

https://www.troyhunt.com/data-from-connected-cloudpets-teddy-bears-leaked-and-ransomed-exposing-kids-voice-messages/

Par Commerce electronique, internet-et-droit • Tags: , , , , , ,

QUEL CONSENTEMENT SUR INTERNET ?

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Le consentement de la personne concernée est défini comme toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement (Règl. UE 2016/679 du 27-4-2016, art. 4-11).

Il en résulte que la personne concernée ne doit pas se sentir forcée à consentir. Si la personne concernée n’est pas véritablement en mesure d’exercer un choix, se sent contrainte de consentir ou subit des conséquences négatives importantes si elle ne donne pas son consentement, le consentement n’est pas valable.

La personne concernée a le droit de retirer son consentement à tout moment (Règl. UE 2016/679 du 27-4-2016, art. 7-3).

En outre, la locution « nécessaire à l’exécution d’un contrat » doit être interprétée de façon restrictive. Le traitement doit être nécessaire pour exécuter le contrat conclu avec chacune des personnes concernées. Dans le contexte du travail, ce principe peut par exemple autoriser le traitement des informations liées au salaire et au compte bancaire afin de pouvoir verser les salaires. Il doit exister un lien direct et objectif entre le traitement des données et l’objectif d’exécution du contrat ‘Groupe de travail « Article 29 » : Lignes directrices sur le consentement au sens du règlement 2016/679 du 10-4-2018).

Besoin de l’aide d’un avocat pour un problème de vie privée?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

Par ailleurs, le principe du consentement de la personne concernée est entouré de diverses garanties (RGPD art. 7) :

–  le responsable du traitement doit être en mesure de démontrer que le consentement a été effectivement donné ;

–  si la déclaration écrite de consentement porte également sur d’autres questions que celle du consentement et si elle est consécutive à une demande préalablement adressée à la personne concernée, cette demande doit être présentée sous une forme compréhensible et aisément accessible ; elle doit aussi être formulée en des termes clairs et simples ;

–  la personne concernée a le droit de retirer son consentement à tout moment ; ce retrait ne remet pas pour autant en cause la licéité du traitement fondé sur le consentement initial ;

–  au moment de déterminer si le consentement est donné librement, il convient, éventuellement, de s’assurer que l’exécution d’un contrat n’est pas subordonnée à un consentement non nécessaire à cette exécution (pratique du « couplage »).

Tel n’a pas été le cas dans un arrêt de la CJUE du 12 novembre 2020 qui juge qu’un contrat de fourniture de services de télécommunication qui contient une clause selon laquelle le client a consenti à la collecte et la conservation de son titre d’identité ne peut démontrer qu’il a valablement donné son consentement lorsque la case y afférente a été cochée par le responsable de traitement avant la signature du contrat. Il en est de même lorsque le consommateur est induit en erreur quant à la possibilité de conclure le contrat en cas de refus du traitement de ses données, ou lorsque le libre choix de s’opposer à cette collecte et à cette conservation est affecté par l’exigence d’un formulaire supplémentaire exprimant ce refus.

La CEDH dans une décision du 9 mai 2023 (CEDH, 9 mai 2023 n°31172/19 « Association les témoins de Jéhovah c/ Finlande) (1)  avait à se prononcer sur l’obligation imposée aux témoins de Jéhovah par la commission de protection des données personnelles, de recueillir le consentement des personnes à la collecte de leurs données personnelles dans le cadre de leurs activités de prédication. La CEDH a considéré que cette obligation n’est pas une violation de la liberté de conscience et de religion. Bien qu’il s’agisse d’une ingérence dans les droits de la communauté religieuse, cette dernière poursuivait un but légitime et était nécessaire dans une société démocratique. (7)

I. La case se référant à cette clause a été cochée par le responsable du traitement des données avant la signature de ce contrat

Selon l’article 4 § 1 du RGPD, la donnée à caractère personnel est toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée »); est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

En outre, la lettre de l’article 4 § 2 dispose que le « traitement » est toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliqués à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

Par ailleurs, le paragraphe 11 de l’article 4 du RGPD dispose que le « consentement » de la personne concernée est toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement.

Le consentement de la personne concernée reste essentiel pour traitement de ses données à caractère personnel par le responsable du traitement ou par ses sous-traitants. Le manquement à cette obligation est une faute imputable au responsable du traitement pour violation du consentement préalable de la personne avant toutes sortes de collectes de ses données.

La Cour de Justice de l’Union européenne par cet arrêt a voulu démontrer ou mettre en lumière l’objet même ou le but poursuivi par le RGPD en l’occurrence le renforcement des droits des personnes physiques concernées par tout traitement de leurs données à caractère personnel.

De plus, le consentement doit être éclairé. Cette qualité fait écho à l’obligation de transparence qui découle des articles 5 et 12 du RGPD et, plus particulièrement à l’obligation d’information qui s’impose au responsable de traitement en vertu des articles 13 et 14 du RGPD.

La CNIL considère que le recours à des cases précochées ou préactivées ne permet pas d’obtenir un consentement univoque. Dans le même esprit, la CJUE a jugé que le placement de cookies requiert un consentement actif des internautes de sorte qu’une case cochée par défaut est insuffisante. De plus, le recueil du consentement de l’utilisateur s’applique quand bien même les données concernées seraient à caractère personnel ou non.

Le Conseil d’État confirme cette observation de la CNIL, à travers une décision du 19 juin 2020 (CE, 10e et 9e chambre réunies, 19 juin 2020 n°430810) (2). Celui-ci précise qu’un consentement exprimé par défaut, tel que par une case pré-cochée, ne reflète pas une action active de la part de l’utilisateur et ne peut donc être considéré comme émanant d’un choix clair et délibéré permettant légitimement le recueil du consentement. La cour ajoute que le consentement obtenu dans le cadre de l’acceptation générale des conditions d’utilisation d’un service ne revêt pas un caractère spécifique conforme au RGPD.

Quand le responsable décide de fonder son traitement sur le consentement de la personne concernée, il doit être en mesure de démontrer qu’il a obtenu ce consentement.

La CJUE a précisé que le responsable du traitement doit être en mesure de démontrer le consentement de la personne concernée à la collecte et à la conservation de ses données à caractère personnel. La seule présence d’une clause contractuelle, cochée à l’avance par les agents de vente, précisant que le client a consenti, ne permet pas de prouver l’existence d’un consentement valable (CJUE, 11 nov. 2020, aff. C-61/19, Orange Romania).

La CNIL dans une délibération rendue le 24 novembre 2022 n°SAN-2022-021 (3), avait à se prononcer sur un contrat conclu entre la société EDF et un courtier en données. Celle-ci précise que le responsable de traitement reste garant de l’obtention du consentement des personnes prospectées et ne peut se décharger de sa responsabilité en cas de manquement de son contractant, à moins qu’il n’ait mis en place des mesures de contrôle adéquates. (8)

2. Les stipulations contractuelles dudit contrat sont susceptibles d’induire la personne concernée en erreur quant à la possibilité de conclure le contrat en question même si elle refuse de consentir au traitement de ses données

Conformément aux lignes directrices dégagées par le CEPD (Lignes directrices CEPD n° 05/2020, 4 mai 2020), le consentement est libre quand il n’est pas contraint, ni influencé. La personne doit se voir offrir un choix réel, sans avoir à subir de conséquences négatives en cas de refus. En ce sens, l’article 7 du RGPD dispose qu’« au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat ».

Cela semble revenir à l’idée que le consentement ne peut être considéré comme valable quand il est donné dans le but de profiter d’un produit ou d’un service pour la fourniture duquel un traitement de données n’est pas nécessaire. Le CEPD donne l’exemple d’un fournisseur de site web qui bloque la visibilité du contenu, sauf si l’utilisateur clique sur le bouton « Accepter les cookies ». La personne concernée ne dispose pas d’un véritable choix, son consentement n’est donc pas donné librement.

La CNIL dans une délibération rendue le 15 juin 2023 (SAN-2023-009) (4) a sanctionné une société spécialisée dans la publicité en ligne pour ne pas avoir vérifié que les personnes dont elle traite les données par l’intermédiaire de cookies avaient donné leur consentement. À cette occasion, elle détaille les conditions requises pour prouver le consentement des individus lorsque des cookies tiers sont déposés sur un site web.

Le responsable peut tout d’abord mettre en œuvre un traitement nécessaire soit à l’exécution d’un contrat auquel la personne concernée est partie, soit à l’exécution de mesures précontractuelles prises à la demande de celle-ci. Comme le consentement, la base légale contractuelle se révèle être souvent utilisée en pratique.

Le responsable peut également faire reposer la licéité de son traitement sur le respect d’une obligation légale à laquelle il est soumis, la sauvegarde des intérêts vitaux de la personne concernée ou encore l’exécution d’une mission d’intérêt public ou la mise en œuvre d’un traitement relevant de l’exercice de l’autorité publique dont il est investi.

En dernier lieu, la loi du 6 janvier 1978 et le RGPD prévoient la possibilité de mettre en œuvre un traitement quand ce dernier est « nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant » (L. n° 78-17, 6 janv. 1978, art. 5, 6° RGPD, art. 6, § 1, f). C’est ainsi au responsable de déterminer à quel moment ses intérêts ou ceux d’un tiers doivent prévaloir sur ceux de la personne concernée.

La CEDH dans une décision du 8 septembre 2022 (CEDH, 5e sect., 8 sept. 2022, nos 3153/16 et 27758/18, Drelon c/ France) (5) devait se prononcer sur une collecte de données effectuée par un établissement français du sang. À cette occasion, elle a rappelé que le seul fait que le responsable de traitement puisse collecter les données personnelles au regard du but poursuivi est insuffisant à rendre ce traitement illicite. Il faut en plus que les données collectées soient exactes, mises à jour, pertinentes et non excessives au regard des finalités du traitement des données. (10)

Dans tous les cas la personne concernée doit être informée de la collecte de ses données conformément au RGPD et son consentement devra être recueilli sans ambiguïté sauf exception édictée par ledit RGPD.

 3. Le libre choix de s’opposer à cette collecte et à cette conservation est affecté indûment par ce responsable, en exigeant que la personne concernée, afin de refuser de donner son consentement, remplisse un formulaire supplémentaire faisant état de ce refus

La personne concernée est libre de consentir à la collecte de ses données à caractère personnel. Certes, le RGPD prévoit encore la possibilité pour les personnes concernées de « s’opposer à tout moment » au traitement de leurs données (art. 21 (1)). Elles ne peuvent toutefois plus le faire selon les mêmes modalités.

Aux termes du règlement européen, l’exercice du droit d’opposition n’a en effet vocation à s’appliquer qu’à l’encontre des traitements nécessaires à « l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement, ou en raison des intérêts légitimes du responsable du traitement » (RGPD, consid. no 69 et art. 21 (1), par renvoi à, art. 6 (1) e) ou f)).

Dans de telles circonstances, les seules possibilités de mettre fin au traitement seront donc soit de recourir au droit à l’effacement (RGPD, art. 17), soit de retirer son consentement (RGPD, art. 7 (3)) avec l’avantage de ne pas devoir justifier de « motif légitime » (voir en ce sens, Maisnier-Boché L., art. préc.).

Ce qui implique dans les deux hypothèses que de telles actions soient nécessairement exercées après que le traitement ait été mis en œuvre et non avant (RGPD, art. 99 (2)). Sans compter qu’aucune disposition ne semble par ailleurs pouvoir être invoquée pour faire valoir le droit d’opposition en cas de traitement de données personnelles nécessaire à l’exécution d’un contrat ou de mesures précontractuelles (RGPD, art. 6 (1) b) ; voir également en ce sens, Maisnier-Boché L., art. préc.) ou celui – mais l’exception est plus admissible compte tenu des risques encourus – nécessaire à la sauvegarde des intérêts vitaux (RGPD, art. 6 (1) d)).

Le Conseil d’État, dans une décision rendue le 20 décembre 2023 (CE, 20 décembre 2023 n°430810) (6), devait se prononcer sur le droit à l’effacement d’un politicien souhaitant obtenir le déréférencement d’un article de presse le concernant. Celui-ci, par une mise en balance du droit à la protection des données à caractère personnel et le droit à la liberté d’information du public, sur des questions d’intérêt public, a rejeté cette demande de déréférencement.(11)

À cette limite, importante donc, le règlement européen apporte au moins deux précisions utiles. La première est que le droit d’opposition vaut bien en cas de profilage et qu’il continue de s’appliquer en matière de prospection (RGPD, art. 21 (2)), à des fins commerciales comme non-commerciales notamment associatives ou politiques.

La deuxième concerne les conséquences de l’exercice du droit d’opposition. Aussi évidentes soient-elles, il n’en demeurait pas moins pertinent de rappeler que « lorsque la personne concernée s’oppose au traitement à des fins de prospection, les données à caractère personnel ne sont plus traitées à ces fins » (RGPD, art. 21 (3)). Ce qui, comme du reste actuellement, ne devrait toutefois pas avoir pour conséquence d’interdire la mise en place de listes d’opposition, justement dans la mesure où elles poursuivent une finalité propre, à savoir garantir l’exercice effectif de ce droit.

Selon l’article 6 § 1.b du RGPD, le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci.

Toutefois, lorsque le responsable du traitement coche au préalable la case de consentement de la collecte des données personnelles des clients, ce dernier ne met pas en évidence le caractère libre du client pour consentir ou non à la collecte de ses données personnelles. Autrement dit, il affecte même le caractère licite de la collecte des données personnelles des personnes concernées au regard de l’article 6 du RGPD.

Le Conseil d’État dans un arrêt du 19 juin 2020 (CE, 19 juin 2020, n°430810) a condamné la société Google sur ce fondement. Ce dernier souligne que le consentement donné au moyen d’une case pré-cochée ne résulte pas d’une action active de la part de l’utilisateur et ne peut donc être considéré comme provenant d’une décision claire et volontaire. (9)

SOURCES :

1)  CEDH, 9 mai 2023 n°31172/19 « Association les témoins de Jéhovah c/Finlande :https://hudoc.echr.coe.int/fre#{%22itemid%22:[%22002-14070%22]}

(2) CE, 10e et 9e chambre réunies, 19 juin 2020 n°430810 : https://www.legifrance.gouv.fr/ceta/id/CETATEXT000042040546
(3) CNIL, délibération SAN-2022-021 du 24 novembre 2022 : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000046650733

(4) CNIL, Délibération SAN-2023-009 du 15 juin 2023

(5) CEDH, 5e sect., 8 sept. 2022, nos 3153/16 et 27758/18, Drelon c/ France https://hudoc.echr.coe.int/fre#%7B%22itemid%22:%5B%22001-219069%22%5D%7D

(6) CE, 19 juin 2020, n°430810 : https://www.legifrance.gouv.fr/ceta/id/CETATEXT000042040546

(7) https://www-labase-lextenso-fr.ezpum.scdi-montpellier.fr/lessentiel-droit-de-la-famille-et-des-personnes/DFP201o3?em=consentement%20collecte%20des%20donn%C3%A9espar%20

(8) https://www-labase-lextenso-fr.ezpum.scdi-montpellier.fr/lessentiel-droit-de-la-distribution-et-de-la-concurrence/DDC201h3?em=responsable%20de%20traitement%20consentement

(9) https://www-labase-lextenso-fr.ezpum.scdi-montpellier.fr/gazette-du-palais/GPL383j7?em=consentement%20%C3%A9clair%C3%A9%20donn%C3%A9es

(10) https://www-labase-lextenso-fr.ezpum.scdi-montpellier.fr/lessentiel-droit-de-la-famille-et-des-personnes/DFP201a6?em=collecte%20de%20donn%C3%A9es%20

(11) https://www-labase-lextenso-fr.ezpum.scdi-montpellier.fr/gazette-du-palais/GPL459j2?em=droit%20%C3%A0%20l%27effacement

Par internet-et-droit • Tags: , , , ,

1 2 3 4 5 >»

# Nos catégories juridiques

# Poser une question en ligne

Si vous avez une question précise à poser au cabinet d’avocats, dont vous ne trouvez pas la réponse sur le site, posez votre question en ligne.
La question sera alors payante et le montant est de 150 euros TTC. Paiement sécurisé par Paypal ou Crédit Mutuel »

# Nos articles avocat Paris

© Murielle Cahen Cabinet d’avocats Paris 2024
Powered by WordPressThemify WordPress Themes