A propos de Murielle Cahen

https://www.murielle-cahen.fr/

Avocat à la cour (Paris 5eme arrondissement) J'interviens principalement en droit de la propriété intellectuelle, droit des nouvelles technologies, droit civil & familial, droit pénal, droit de l'immobilier, droit du travail, droit de la consommation Consultation juridique en ligne - Réponse en 24/48h max. (€100 TTC) Titulaire du certificat de spécialisation en droit de l'informatique et droit de l'internet. Editrice du site web : Avocat Online depuis 1999. Droit de l'informatique, du logiciel et de l'Internet. Propriété intellectuelle, licence, presse, cession, transfert de technologie. droit d'auteur, des marques, négociation et arbitrage... Cabinet d'avocats à Paris. Droit internet et droit social, droit des affaires spécialisé dans les nouvelles technologies et lois internet...

Articles de Murielle Cahen:

Diffamation sur une page Facebook et sur twitter : qui est l’auteur principal ?

Comme chacun le sait, les réseaux sociaux sont le théâtre de vifs échanges fondés sur la liberté d’expression. Cette liberté de communication n’est cependant pas absolue et le délit de diffamation peut être retenu à l’encontre d’un utilisateur. Cependant, il est parfois difficile de déterminer qui est l’utilisateur, auteur des propos diffamatoires.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Il est alors intéressant de revenir sur le régime de responsabilité applicable au délit de diffamation sur une page Facebook ou sur un compte Twitter et plus particulièrement à la détermination du responsable.

L’émergence des réseaux sociaux a en effet permis à chacun de se saisir de l’actualité et d’exprimer son point de vue de manière directe. Mais cette nouvelle voie d’expression dénuée d’intermédiation peut également favoriser des propos qualifiables de diffamatoires.

Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

Les victimes de propos diffamatoires sur une page Facebook ou sur un compte Twitter ne sont pas démunies face à cette situation et la loi permet de réagir face à ces comportements délictueux.

Ainsi, en se fondant sur la loi de 1881 (loi du 29 juillet 1881 sur la liberté de la presse) réprimant les propos diffamatoires (I), la loi de 1982 (loi du 29 juillet 1982 sur la communication audiovisuelle) et la loi du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN) prévoient un régime de responsabilité en cascade (II) fondé sur la détermination de l’auteur principal.

I – APPLICABILITÉ DE LA LOI DE 1881 POUR DES PROPOS TENUS SUR UNE PAGE FACEBOOK OU UN COMPTE TWITTER

A – L’APPLICABILITÉ DE LA LOI DE 1881

Lors de l’émergence d’Internet, s’est posée la question du régime de responsabilité applicable à des propos répréhensibles. En effet, face à l’augmentation du nombre de connexions et d’échange de messages via l’Internet, un nombre croissant de contentieux est apparu. La solution est venue de la loi du 29 juillet 1982 (loi n° 82652) dite loi sur la communication audiovisuelle (Cour de cassation – Chambre criminelle 16 octobre 2018 in fine).

Par cette loi, le législateur de l’époque crée un régime de responsabilité spécial, directement fondé sur la loi du 29 juillet 1881 et notamment son article 29 qui consacre la diffamation. Ce renvoi permet d’écarter le fondement classique de la responsabilité civile fondé sur l’article 1240 du Code civil (anciennement 1382 du Code civil) qui prévoit que « tout fait quelconque de l’homme, qui cause à autrui un dommage, oblige celui par la faute duquel il est arrivé à le réparer ». Cette responsabilité spéciale permet une meilleure adaptation des recours face aux réalités de l’Internet, notamment sur les difficultés probatoires que peuvent rencontrer les victimes.

L’article 1240 du Code civil requiert en effet classiquement trois critères pour retenir la responsabilité d’une personne : une faute, un lien de causalité et un dommage. Par cette loi, le législateur reconnaît donc la spécificité des cas de responsabilités sur l’Internet.

L’assimilation faite en 1982 pour l’Internet à la loi de 1881 sur la liberté de la presse vaut aujourd’hui pour les réseaux sociaux. C’est ce que prévoit la loi de 2004 dite LCEN (Tribunal correctionnel Pau, 12 nov. 2018). La loi de 1881 réprimant les propos diffamatoires par voie de presse est donc applicable aux messages postés sur une page Facebook ou un compte Twitter (Cour d’appel de de Paris – 17 déc. 2014 n° 12/20 756).

La Cour d’appel de Pau, dans un arrêt du 16 janvier 2024, a rappelé l’article 29 de la loi de 1881 et le fait que les abus de la liberté d’expression prévus et réprimés par la loi du 29 juillet 1881 ne peuvent être réparés sur le fondement de 1240 du Code civil, l’objectif étant d’interdire aux parties de contourner, en se fondant sur le droit commun, les dispositions protectrices de la liberté d’information et d’expression de la loi de 1881.

En l’espèce, il est constant que les appelants fondent leur action sur les dispositions des articles 1240 et 1241 du Code civil. Par conséquent, la cour estime que c’est donc justement que le premier juge, retenant que les dispositions des articles 1240 et 1241 du Code civil ne permettaient pas de sanctionner les abus à la liberté d’expression, a débouté les demandeurs de l’intégralité de leurs demandes

B – LE DÉLIT DE DIFFAMATION DANS LA LOI DE 1881           

La loi du 29 juillet 1881, dispositif cardinal de la liberté d’expression dans le corpus juridique français prévoit en son article 29 un délit : la diffamation.

Cet article dispose : « toute allégation ou imputation d’un fait qui porte atteinte à l’honneur ou à la considération de la personne ou du corps auquel le fait est imputé est une diffamation. La publication directe ou par voie de reproduction de cette allégation ou de cette imputation est punissable, même si elle est faite sous forme dubitative ou si elle vise une personne ou un corps non expressément nommés, mais dont l’identification est rendue possible par les termes des discours, cris, menaces, écrits ou imprimés, placards ou affiches incriminés ».

La diffamation requiert donc la réunion de cinq éléments : une allégation ou imputation, un fait déterminé, une atteinte à l’honneur ou à la considération, une personne ou un corps identifié, une publicité des propos.

Un arrêt du 26 février 2020 rendu par la Cour d’appel de Paris (Cour d’appel de Paris, 26 févr. 2020, 10/2020) précise cette notion de diffamation : « la diffamation, qui peut se présenter sous forme d’allusion ou d’insinuation, doit être appréciée en tenant compte des éléments intrinsèques et extrinsèques au support en cause, а savoir tant du contenu même des propos que du contexte dans lequel ils s’inscrivent ».

La publicité est le caractère le plus discuté en matière de diffamation, la Cour de cassation procédant à une différence d’analyse entre les pages publiques et privées. Plusieurs affaires concernant des insultes proférées par des salariés à propos de leurs employeurs ont en effet été rejetées par la Cour.

La haute juridiction a plusieurs fois procédé à une analyse du nombre d’amis de l’intéressé : si ce nombre dépasse celui du cercle d’amis restreint, alors le message litigieux pourra être considéré comme étant public (Civ. 1re, 10 avr. 2013, n° 11–19.530). À l’inverse, si le nombre d’amis demeure comparable à un cercle d’amis restreint, le caractère public n’est pas retenu et l’auteur pourra être exonéré. Dans le cas de Twitter, l’analyse diffère : pour les comptes privés, les juges pourront procéder à une évaluation du nombre de personnes suivant le compte. Pour le cas des comptes publics, la publicité est présumée (Cass. Crim, 11 décembre 2018, 17-85.159, Inédit)

La question du caractère public ou non d’un message Facebook peut s’avérer épineuse. La Cour de cassation semble s’attacher à un autre critère : celui de la communauté d’intérêts. Elle a ainsi pu retenir le caractère public d’un message publié au sein d’un groupe partageant une « communauté d’intérêts » (Civ. 1re, 10 avr. 2013, n° 11-19.530).

Dans le cas d’une page Facebook, la question est différente puisque le caractère public est plus aisé à caractériser : n’importe quel utilisateur peut avoir accès à cette page (CAA Nantes, 21 janv. 2016, n° 14NT02263).

S’ajoute à ces éléments dits « matériels » de l’infraction, un élément moral : l’intention de porter atteinte à l’honneur ou à la considération d’une personne ou d’un corps déterminé. Ce deuxième élément est le plus souvent présumé. C’est ce que juge la Cour de cassation dans un arrêt du 19 juin 2012  : (Cour de cassation, chambre criminelle, 19 juin 2012, n° 11-84.235) : « les imputations diffamatoires sont réputées, de droit, faites avec intention de nuire, mais elles peuvent être justifiées lorsque leur auteur établit sa bonne foi, en prouvant qu’il a poursuivi un but légitime, étranger а toute animosité personnelle, et qu’il s’est conformé à un certain nombre d’exigences, en particulier de sérieux de l’enquête, ainsi que de prudence dans l’expression, étant précisé que la bonne foi ne peut être déduite de faits postérieurs à la diffusion des propos ».

II – UN RÉGIME DE RESPONSABILITÉ EN CASCADE

A – LA RESPONSABILITÉ EN CASCADE : DÉTERMINATION DE L’AUTEUR PRINCIPAL

Déterminer qui est le responsable d’un acte de diffamation peut s’avérer complexe, surtout lorsque l’acte a été commis par l’intermédiaire d’un ordinateur.

Conscient de cette problématique, le législateur a instauré un système de responsabilité en cascade, permettant dans la plupart des cas, de déterminer un responsable. Ainsi, l’article 93-3 de la loi du 29 juillet 1982 prévoit que « l’auteur, et à défaut de l’auteur, le producteur seront poursuivis comme auteur principal ».

Appliqué à une page Facebook ou à un compte Twitter et à défaut d’auteur identifiable, il s’agira du producteur. Producteur au sens de celui « ayant pris linitiative de créer un service de communication au public » (Cass. crim., 16 févr. 2010 n°09-81.064) c’est-à-dire la personne physique qui fournit le service. Sachant que la jurisprudence considère que « le titulaire dun compte Facebook en est en conséquence le directeur de la publication » (Tribunal correctionnel de Pau, 12 nov. 2018). Cela vaut aussi pour un compte Twitter dont l’auteur n’est pas identifiable.

Cependant, le créateur ou animateur d’un site de communication au public, en tant que producteur, pourra se voir exonérer de toute responsabilité vis-à-vis du contenu du message adressé par un utilisateur s’il n’avait pas connaissance du message avant sa mise en ligne (Conseil constitutionnel, 16 sept. 2011, n° 2011-164 QPC). Pour une page Facebook.

Dans un arrêt rendu le 13 novembre 2020 par la Cour Administrative d’Appel de Paris (4e chambre de l’instruction), la personne mise en cause, animatrice d’une page Facebook contestait sa responsabilité, arguant que l’ordinateur utilisé pour administrer sa page se trouvait dans un lieu accessible au public et que plusieurs personnes pouvaient de fait, y avoir eu accès, sans son contrôle (la personne ne s’étant pas déconnectée de son compte personnel).

Elle cherchait ainsi à s’exonérer de sa responsabilité. La Cour a cependant refusé ce raisonnement en se fondant sur le fait qu’elle ne pouvait nier sa responsabilité. Le message litigieux provenant de son compte personnel et non d’un compte tiers : l’auteur avait utilisé les codes d’accès de l’administrateur de la page, sans que cette dernière ne puisse démontrer qui était cette personne. L’administrateur a donc était désigné comme responsable.

Ainsi, peut-être retenu comme auteur principal et donc responsable au sens de la loi du 29 juillet 1881, l’auteur du texte litigieux et à défaut l’administrateur de la page Facebook ou du compte Twitter (pour Facebook : Cour de cassation – Chambre criminelle, 1 septembre 2020, n° 19-84.505 – pour Twitter : Cour de cassation – Chambre criminelle, 10 mai 2017, 16.81-555)

Dans le cas précis de Twitter, il faut noter une spécificité : les membres apparaissent souvent sous pseudonyme, rendant l’exercice d’identification encore plus complexe (Cass. Crim. 8 janv. 2019). Afin de lutter plus efficacement contre les agissements de personnes non identifiables, la loi pour la confiance dans l’économie (loi du 21 juin 2004, précitée) a mis en place un régime de responsabilité spécifique. Ainsi, les hébergeurs ont l’obligation de supprimer les tweets illicites qui leur ont été signalés. Et ceux dans les plus brefs délais.

Dans un arrêt du 16 février 2023, la Cour d’appel de Versailles a établi que que la demande formulée par l’appelant n’a pas pour objet l’engagement de la responsabilité des sociétés Google Ireland Limited et Google LLC sur le fondement de la loi du 29 juillet 1881, aucune des infractions de presse prévues par ce texte ne leur étant reprochée et aucune des qualités mentionnées ne pouvant leur être appliquées, seul demeure au débat à hauteur de la cour, le respect de leurs obligations en matière de traitement de données personnelles. Par conséquent, la cour considère que la fin de non-recevoir tirée de ce moyen sera rejetée.

B –  LE RÉGIME D’EXONÉRATION

Il existe en finalité peu de cas d’exonération de responsabilité pour des propos diffamatoires sur une page Facebook ou un compte Twitter. Le principal cas pour l’auteur n’en est pas réellement un : cela recouvre la situation dans laquelle il n’est pas identifiable. Un autre cas d’exonération pour l’auteur peut être celui d’arguer la non-publicité de la diffamation ou le manque d’un critère constitutif de la diffamation. Mais encore une fois ce il ne s’agit pas d’un réel cas d’exonération.

Pour l’administrateur, l’exonération peut venir de la démonstration que les propos diffamatoires publiés sur sa page n’avaient pas été portés à sa connaissance avant publication. Dans le cas où son identité a été usurpée et qu’un usage malveillant de son compte Facebook ou Twitter a été perpétré, l’administrateur pourra se voir exonérer de toute responsabilité pour des propos diffamatoires. Il devra pour cela rapporter la preuve de l’usurpation (en lien : Tribunal correctionnel de Paris 18 avril 2019).

Tel ne fut pas le cas dans l’affaire précitée du 13 novembre 2020 (Cour Administrative d’Appel de Paris, 4e chambre de l’instruction).

Dans le cas où une personne publie un message à caractère diffamatoire sur une page Facebook ou un compte Twitter qu’elle n’administre pas et si l’administrateur intervient promptement pour supprimer le commentaire, alors sa responsabilité pourra être écartée. C’est le même mécanisme que celui prévu par la LCEN (Loi sur la Confiance dans l’Économie Numérique du 21 juin 2004), pour les hébergeurs.

En somme, la responsabilité en cascade prévue par la loi du 29 juillet 1982 réduit considérablement les cas d’exonérations pour des cas de diffamation.

Pour lire cet article sur la diffamation sur les réseaux sociaux, Facebook et Twitter en version plus détaillée, cliquez

SOURCES :

Par internet-et-droit, Newsletter • Tags: , , , , , ,

RGPD : la question du consentement

Comme chacun sait, le 25 mai 2018, est une date butoir non seulement pour tous les acteurs du numérique, mais aussi et plus largement pour toutes les entreprises, leur mise en conformité au nouveau grand texte européen en matière de données personnelles devant être assurée d’ici là.

Le règlement général sur la protection des données (« RGPD », ou « GDPR » en anglais), à cette échéance, sera applicable dans tous les États membres de l’Union européenne. Et s’il est des notions essentielles au sein du texte, c’est bien celle du consentement.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de vie privée en passant par le formulaire !

Le droit européen des données personnelles a été longtemps régi par la directive 95/46/CE.

Adoptée en 2016, l’entrée en vigueur de la nouvelle réglementation européenne le 25 mai 2018 a permis d’adapter le droit de l’union aux changements induits par l’explosion de l’informatique et d’Internet.

Afin de garantir l’effectivité des dispositions prévues par ce règlement, toutes les entreprises qui collectent des données personnelles de personnes résidant dans l’Union européenne, sont soumises à la réglementation indépendamment de leur localisation.

Les entreprises se doivent de respecter un certain nombre de principes fondamentaux pour la protection des données, tels que la transparence, la limitation de la finalité, la minimisation des données, l’exactitude et l’intégrité des données, ainsi que la sécurité des données. L’un de ces principes est le consentement, qui est défini comme une indication claire et positive de la volonté de la personne concernée de donner son accord pour le traitement de ses données personnelles.

Le consentement demeure l’une des six bases juridiques permettant de traiter des données à caractère personnel, telles qu’énumérées à l’article 6 du RGPD. Lorsque le responsable de traitement sollicite le consentement, il a l’obligation d’évaluer si celui-ci satisfera à toutes les conditions d’obtention d’un consentement valable. S’il a été obtenu dans le plein respect du RGPD, le consentement est un outil qui confère aux personnes concernées un contrôle sur le traitement éventuel de leurs données à caractère personnel. Dans le cas contraire, le contrôle de la personne concernée devient illusoire et le consentement ne constituera pas une base valable pour le traitement des données, rendant de ce fait l’activité de traitement illicite.

Afin d’aider les responsables de traitement dans le recueil du consentement, le comité européen à la protection des données a élaboré un guide composé de lignes directrices qui permet de saisir les réflexes à adopter lors du recours au consentement comme base légale.

Par conséquent, toute entreprise qui traite des données personnelles de résidents de l’Union européenne devra donc prendre pleinement conscience de la portée des dispositions afférentes au consentement. Il conviendra dans un premier temps d’aborder les obligations liées à la nature même du consentement requis (I) et les obligations relatives à sa valeur (II). Enfin, seront traités les cas particuliers tels que le consentement du mineur (III).

I. Les conditions relatives à la nature du consentement requis

Lorsque la base légale du traitement retenue est le consentement, le RGPD impose que ce dernier soit libre, spécifique, éclairé et univoque.

A) L’obligation d’un consentement libre et éclairé

Auparavant inscrite dans la loi Informatique et Libertés, la notion de consentement a été renforcée par les dispositions du RGPD afin de permettre aux personnes concernées d’exercer un contrôle réel et effectif sur le traitement de leurs données.

Définit par l’article 4 du règlement, le consentement s’apparente à « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

L’article 7 du RGPD précise les conditions applicables au consentement.

Pour être valide, le consentement doit être accompagné d’un certain nombre d’informations communiquées à la personne avant qu’elle ne consente. Au-delà des obligations de transparence prévues aux articles 12, le responsable du traitement se doit fournir la liste d’informations mentionnée à l’article 13 afin de recueillir le consentement éclairé des personnes concernées. Il s’agit de l’identité du responsable du traitement, des finalités poursuivies, des catégories de données collectées, de l’existence d’un droit de retrait du consentement.

Le consentement est considéré comme « libre » lorsque l’utilisateur l’a donné sans pression ni influence extérieure. En outre, le caractère libre du consentement se matérialise par la possibilité de refuser et de le retirer à tout moment. Ce droit de retrait doit pouvoir être exercé dès que la personne concernée le souhaite et aussi simplement que lorsqu’elle a consenti. Le responsable du traitement doit donc mettre en place un moyen simple et efficace pour que l’utilisateur puisse retirer son consentement

Le règlement général sur la protection des données parle du consentement, comme d’une « manifestation de volonté libre […] ». Tout en reprenant le terme, déjà soutenu au sein des textes antérieurs, le législateur a cependant fait le choix d’un encadrement concis, au regard de ce principe.

Ainsi, le texte prévoit que la personne concernée dispose du droit de retirer son consentement quand elle le souhaite, aussi simplement qu’elle l’a accordé, et doit être informée de cette possibilité. Ce retrait ne remet pas en cause, pour autant, la licéité du traitement fondé sur le consentement précédemment donné, pour la période allant jusqu’au dit retrait.

Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

Par ailleurs, cette liberté signifie également que la personne ne doit pas être contrainte « d’abandonner » son consentement, notamment sous le joug du préjudice éventuel qui pourrait découler de son refus : « le consentement est présumé ne pas avoir été donné librement en cas de déséquilibre […] si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice » .

Le texte précise également que « le consentement est présumé ne pas avoir été donné librement si un consentement distinct ne peut pas être donné à différentes opérations de traitement des données à caractère personnel ».

Autrement dit, le retrait du consentement ne doit pas engendrer de frais pour la personne concernée ou encore avoir pour conséquence d’amoindrir le service fourni. Un déséquilibre des rapports de force peut également avoir lieu dans le cadre des relations de travail. Il est en effet peu probable que la personne concernée soit en mesure de refuser de donner son consentement à son employeur concernant le traitement de ses données sans craindre ou encourir des conséquences négatives suite à ce refus.

Par ailleurs, le considérant 43 du RGPD précise qu’un consentement distinct doit être obtenu pour chacune des finalités envisagées « le consentement est présumé ne pas avoir été donné librement si un consentement distinct ne peut pas être donné à différentes opérations de traitement des données à caractère personnel ». Dès lors qu’un traitement comporte plusieurs finalités, les personnes doivent pouvoir consentir indépendamment pour l’une ou l’autre de ces finalités. Elles doivent pouvoir choisir librement les finalités pour lesquelles elles consentent au traitement de leurs données.

Pour rappel, dans une décision du 21 janvier 2019, la Commission nationale de l’informatique et des libertés (CNIL) a prononcé une amende de 50 millions d’euros à l’encontre de Google, pour violation des dispositions du Règlement général sur la protection des données (RGPD).

Dans un premier temps, la formation restreinte de la CNIL a estimé qu’il y avait une violation continue des obligations de transparence et d’information (article 12 du RGPD) lors de la collecte des données personnelles (article 13 et 14 du RGPD) et que les droits des personnes n’était pas assez clair (article 15 à 22 du RGPD).

Elle relève également que des informations essentielles (finalité, durée de conservation ou catégories de données) étaient anormalement disséminées dans de multiples espaces où il était nécessaire d’activer des boutons ou onglets pour prendre connaissance des informations complémentaires.

De plus, la CNIL a remarqué que les informations fournies n’étaient pas suffisamment claires ou compréhensibles par rapport aux aspects massifs et intrusifs des différents traitements réalisés par l’entreprise et que les finalités étaient trop génériques et vagues.

Dans un second temps, la CNIL est venue sanctionner l’absence de base légale pour les traitements de personnalisation de la publicité. La société américaine indiquait se fonder sur le contentement des utilisateurs, or les agents de la Commission ont estimé que celui-ci n’était pas éclairé, spécifié et univoque. En effet, dans le prolongement de ce qui a été exposé précédemment, les informations permettant de justifier du consentement ont été réparties sur plusieurs espaces et documents en plus de présenter des cases précochées au moment de la collecte.

B) L’obligation d’un consentement explicite

Le terme explicite se rapporte à la façon dont le consentement est exprimé par la personne concernée. Il implique que la personne concernée doit formuler une déclaration de consentement exprès.

Le consentement peut se matérialiser de diverses façons. Le considérant 32 du RGPD  nous apporte quelques précisions, ainsi « Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale […] Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité ».

Le consentement peut être recueilli au moyen d’une déclaration écrite ou orale (enregistrée), y compris par voie électronique. Ainsi, un consentement tacite n’est pas valable, et le recueil du consentement nécessite une formalisation. Le consentement ne peut donc pas être obtenu par défaut ou par inaction de l’utilisateur. A ce titre, il convient de bien différencier la case cochée par défaut, de la case à cocher, qui constitue en soi l’expression d’un consentement exprès au sens du texte susvisé. Le RGPD n’autorise pas non plus le recours à des options de refus nécessitant une action de la personne concernée pour signaler son refus (par exemple des « cases de refus »).

L’article 4 du Règlement, déjà cité, fait allusion au caractère « express » du consentement, en ce que celui-ci doit découler d’une décision « par laquelle une personne concernée accepte, par une déclaration ou par un acte positif clair » le traitement de ses données.

Cette formulation constitue une différence clef entre les « anciens textes » et celui à paraître, puisque la directive 95/46 omet toute mention en ce sens. A contrario, le RGPD souligne expressément « qu’il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité.

Attention, il convient de bien différencier la case cochée par défaut, de la case à cocher, qui constitue en soi l’expression d’un consentement express au sens du texte susvisé.

De même, l’acceptation d’un contrat ou de conditions générales ne rend pas compte d’un tel consentement éclairé, tandis qu’un accord donné par voie écrite, orale ou électronique vaudra acceptation, tant que le sens d’une telle action n’est pas ambiguë.

Si la pratique du « double opt-in » est avancée par le G29 dans ses conclusions, elle demeure non seulement facultative, mais paraît également inefficace à certains égards : « ce double opt-in […] est lourd à mettre en place. Il est bien évidemment redouté notamment par les professionnels du marketing qui savent que la collecte d’un consentement impliquant deux actions positives d’un prospect ou d’un client est très illusoire », la plupart des utilisateurs étant peu enclins à communiquer deux fois leur consentement.

A l’occasion d’un arrêt du 1er octobre 2021, la CJUE statue sur la notion de consentement explicite, et rappelle que le recueil du consentement doit être explicite avant tout traitement des données personnelles, ainsi le consentement doit être donné activement et expressément au site web par les utilisateurs. En l’espèce, la CJUE considère que le consentement recueilli n’est pas explicite, car la case était cochée par défaut, et l’utilisateur devait décocher cette case pour refuser de donner son consentement. Par ailleurs, la CJUE dispose dans cet arrêt que le consentement doit être spécifique ce qui n’est pas le cas en l’espèce, car le bouton de participation au jeu promotionnel « ne suffit pas pour considérer que l’utilisateur a valablement donné son consentement au placement de cookies. »

Enfin, il convient de rappeler que le consentement de la personne est systématiquement requis pour certains traitements, encadrés par des dispositions légales spécifiques. L’article 5 de la directive ePrivacy impose ainsi le recours au consentement avant le dépôt de cookies sur le terminal de l’utilisateur. Il en va de même dans le cadre de la prospection électronique (L34-5 du code des postes et télécommunications).

II. Les conditions relatives à la valeur du consentement requis

La valeur du consentement récolté dépendra principalement de deux facteurs : son fondement (A), qui caractérise sa nécessité, et sa matérialisation, nécessaire au responsable de traitement en matière de preuve (B).

 A) L’importance du fondement du traitement

Il paraît évident que tous les développements précédents, relatifs au consentement des personnes, s’appliquent avant-même la récolte des données personnelles en question.

Pour autant, il convient de distinguer les différentes situations sur la base desquelles le consentement est requis.

En effet, si l’article 6 du RGPD prévoit le régime général des dispositions relatives au consentement, l’article 7, en son paragraphe 4, dénote d’un régime particulier en ce que « au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat » .

Ainsi, et comme le rappelle assez justement le G29, « si le traitement n’est pas nécessaire à l’exécution du contrat, cette exécution ne peut être conditionnée par le consentement au traitement ».

Selon le G29, les deux bases juridiques que sont le consentement et l’exécution d’un contrat ne doivent pas être amalgamées et fusionnées : la conclusion d’un contrat ne doit pas être conditionné à l’acceptation d’un traitement de données « non nécessaires » à l’exécution d’un contrat.

À l’évidence, un traitement rendu obligatoire pour la bonne exécution d’un contrat n’implique donc pas le recueil du consentement quant à un tel traitement.

Il est essentiel de garder à l’esprit, par ailleurs, que le fondement de la licéité du traitement ne peut être modifié après que les données ont été recueillies et traitées. De fait, si un problème se pose quant à la conformité du traitement, il est impossible, pour le responsable de traitement , de basculer sur un autre régime pour justifier le traitement en question.

B) La charge de la preuve

La preuve, au regard de telles exigences, est primordiale. C’est le premier paragraphe de l’article 7 du RGPD qui en précise l’aménagement, en rappelant que « dans le cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant ».

L’article 7 du RGPD requiert que le consentement soit démontrable, ce qui implique deux conditions.
Tout d’abord, il est nécessaire d’identifier de manière certaine la personne qui donne son consentement. Ensuite, il est important de conserver ce consentement sous une forme qui puisse prouver son existence. Si une personne donne son consentement en se connectant à un compte en ligne avec un code d’accès qui lui est propre, comme c’est le cas sur un espace de banque en ligne par exemple, la première condition peut être considérée comme remplie. Cependant, cette situation est relativement rare, car de nombreux consentements sont demandés sans que l’identité de la personne ne soit vérifiée

Suivant ces dispositions, la charge de la preuve incombe donc au responsable de traitement, qui devra démontrer par des arguments convaincants le respect du consentement des personnes concernées par le traitement.

Cette dernière précision fait notamment écho aux traitements obligatoires pour la bonne exécution des contrats, où la preuve devra être jugée comme « suffisante ».

Pour autant, le texte ne donne pas plus d’indications concernant la forme de la preuve. Des avis sont cependant fournis par des institutions nationales, à l’image de l’autorité de protection des données du Royaume-Uni, l’« ICO » (« Information Commissionner’s Office ») , qui conseille de conserver toute trace relative aux personnes concernées, à la date et aux méthodes de consentement, etc.

D’un côté, cette souplesse pourrait inquiéter au sujet des éventuelles dérives relatives à la collecte et la réutilisation de ces données ; pour autant, est-il pertinent de cloisonner ce type de preuve, au risque d’une rigidité certaine du texte ?

Quoi qu’il en soit, ces dispositions sont encore à l’étude, et il conviendra d’en observer la pratique pour en comprendre réellement l’étendue.

La CNIL préconise que le responsable de traitement tienne un registre des consentements. Elle rappelle également qu’une fois le traitement terminé, la preuve du consentement ne doit pas être conservée plus longtemps que le temps nécessaire à l’exercice ou à la défense de ses droits en justice par le responsable de traitement. Enfin, il convient de noter que le RGPD ne fixe pas de durée de validité du consentement. Cette durée dépendra du contexte, de la portée du consentement initial.

III. Les cas particuliers

A. Les conditions applicables au consentement des enfants

En vertu de l’article 8 du RGPD, dans le cas où le consentement est donné par un mineur, il doit être donné avec l’autorisation des détenteurs de l’autorité parentale, sauf si le droit national prévoit que l’enfant est en mesure de donner un consentement valable sans autorisation parentale.

En France, l’âge de la majorité numérique est fixé à 15 ans. Conformément à l’article 45 de la loi informatique et libertés, les enfants de 15 ans ou plus peuvent donc consentir eux-mêmes au traitement de leurs données fondé sur le consentement dans le cadre des services de la société d’information. En-dessous de 15 ans, la loi « Informatique et Libertés » impose le recueil du consentement conjoint de l’enfant et du titulaire de l’autorité parentale.

Les raisons de cette protection sont précisées au considérant 38 du RGPD « Les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu’ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel […] »

Il est cependant regrettable de constater qu’aucune mesure de contrôle de l’âge n’est actuellement déployée par les plateformes. Il est néanmoins possible de noter qu’une proposition de loi visant à instaurer une majorité numérique et à lutter contre la haine en ligne a été déposée le 17 janvier 2023 à l’Assemblée nationale. Elle tend à compléter la loi du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN) afin contraindre les réseaux sociaux de refuser l’inscription à leurs services des enfants de moins de 15 ans, sauf si les parents ont donné leur accord. Pour se faire, ces plateformes devront mettre en place une solution technique permettant de vérifier l’âge de leurs utilisateurs et l’autorisation des parents.

Il est important de noter que les âges de majorité numérique peuvent varier d’un pays à l’autre en Europe, et que certains pays peuvent également avoir des règles spécifiques pour certaines activités en ligne (par exemple, les réseaux sociaux ou les jeux en ligne) qui peuvent avoir leur propre âge minimum pour le consentement. En Allemagne cette majorité est fixée à l’âge de 16 ans tandis qu’en Belgique ou au Portugal elle est atteinte dès l’âge de 13 ans.

Enfin, les enfants ont le droit de retirer leur consentement à tout moment. Les responsables du traitement doivent donc veiller à ce que les enfants soient informés de leur droit de retirer leur consentement et à ce qu’il soit facilement d’exerçable.

B. Le consentement au traitement de données sensibles

Le RGPD catégorise certaines données personnelles comme étant sensibles. Définit à l’article 9 du règlement, ces données sont celles qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, les données de santé ou encore les données biométriques. En raison de leur caractère « sensible » et des risques que leur traitement entraîne pour la vie privée ou pour les droits des personnes, ces données ne peuvent être traitées qu’avec des garanties supplémentaires.

Le consentement donné en matière de données sensibles doit être encore plus explicite que celui donné pour les données à caractère personnel. Le consentement explicite est requis dans certaines situations où un risque sérieux lié à la protection des données survient, et où un niveau élevé de contrôle sur les données à caractère personnel par la personne concernée est de ce fait jugé approprié.

Une manière évidente de s’assurer que le consentement est explicite serait de confirmer expressément le consentement dans une déclaration écrite. Le cas échéant, le responsable du traitement pourrait s’assurer que la déclaration écrite est signée par la personne concernée afin de prévenir tout doute potentiel et toute absence potentielle de preuve à l’avenir. Il est également possible d’obtenir un consentement explicite moyennant une conversation téléphonique, à condition que les informations relatives au choix soient loyales, compréhensibles et claires et qu’elle demande une confirmation spécifique de la part de la personne concernée.

Il est important de noter que le consentement n’est pas toujours la base légale utilisée pour le traitement des données sensibles.

Le traitement des données sensibles sans recourir au consentement peut être autorisé pour des raisons de santé publique. Il peut, par exemple, s’avérer nécessaire de collecter et de traiter des données sensibles pour lutter contre la propagation d’une maladie contagieuse (circonstances que nous avons rencontré lors de la crise du Coronavirus). Dans ce cas, la collecte et le traitement de ces données peuvent être autorisés par des lois ou des réglementations nationales ou européennes, même si l’utilisateur n’a pas donné son consentement explicite.

De même, dans le cadre de la lutte contre le terrorisme ou la criminalité, il peut être nécessaire de collecter et de traiter des données sensibles pour prévenir ou détecter des infractions graves. Dans ce cas également, la législation peut autoriser le traitement de ces données sensibles, même en l’absence de consentement explicite de l’utilisateur.

Pour une version plus détaillée sur le RGDP et le consentement, cliquez sur les mots RGDP et consentement

SOURCES :
http://www.avistem.com/fr/le-rgpd-en-focus-focus-2-le-recueil-du-consentement
http://www.privacy-regulation.eu/fr/r43.htm
https://cnpd.public.lu/content/dam/cnpd/fr/actualites/national/2017/10/séances-information–gdpr/gdpr-info-sessions-fr-11h05-consentement.pdf
https://www.cnil.fr/fr/reglement-europeen/lignes-directrices
http://www.privacy-regulation.eu/fr/r32.htm
https://fr.mailjet.com/rgpd/consentement/
http://www.privacy-regulation.eu/fr/7.htm
https://ico.org.uk/media/about-the-ico/consultations/2013551/draft-gdpr-consent-guidance-for-consultation-201703.pdf
Délibération, 21 janvier 2019, SAN-2019-001
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000038032552/
CJUE, 1er octobre 2019, C-673/17
https://curia.europa.eu/juris/document/document.jsf;jsessionid=CA644C7436D43DA19729CD95998C7383?text=&docid=218462&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=6352664
https://asso-generationnumerique.fr/enquetes/
F. Mattatia « RGPD et droit des données personnelles », 5° édition – Edition EYROLLES – 2021
Comité Européen à la protection des données – Guide lignes directrices – 2020 : https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052020-consent-under-regulation-2016679_fr
CNIL – Capacité des mineurs en ligne : https://www.cnil.fr/fr/recommandation-1-encadrer-la-capacite-dagir-des-mineurs-en-ligne

Par internet-et-droit • Tags: , , ,

Règlementation drones civils

À l’heure où Amazon promet des livraisons de petits colis en 30 minutes chrono, d’autres rêvent de se faire livrer des pizzas, des médicaments ou bien rêvent de réaliser des films…  Pour le simple plaisir ou pour capter des images et vidéos exceptionnelles, l’utilisation de ces drones connaît un succès aujourd’hui exponentiel.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

La commission nationale de l’informatique et des libertés (CNIL) défini le drone au sens strict comme un appareil sans pilote à bord. Il est généralement piloté à distance par un opérateur humain, mais peut avoir un degré plus ou moins important d’autonomie (par exemple pour éviter des collisions ou gérer les conditions aérologiques). Un drone est avant tout une plateforme de capteurs mobiles. C’est un engin d’observation, d’acquisition et de transmission de données géolocalisées.

Défini par le dictionnaire Larousse comme un « petit avion télécommandé utilisé pour des tâches diverses (missions de reconnaissance tactiques à haute altitude, surveillance du champ de bataille et guerre électronique). Les drones sont aussi utilisés dans le secteur civil pour des missions de surveillance (manifestations, pollution maritime, incendies de forêt, etc.), des prises de vues et divers loisirs (la photo, notamment). »

Cette dernière référence aux drones civils qui va nous intéresser tout particulièrement. Si la définition appuie spécifiquement sur les possibilités offertes par les drones pour diverses missions, de plus en plus de ces engins sont proposés au grand public, et à des prix toujours plus accessibles.

Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

Si jusqu’à récemment, les drones étaient en effet surtout connus pour leur usage militaire sur lequel la France accuse d’un retard criant, leur utilisation à des fins commerciales et civiles est dorénavant en expansion croissante et touche une vaste quantité de domaines : activités civiles de loisirs dans le cadre de l’aéromodélisme, surveillance de l’environnement, sécurité des sites sensibles, lutte anti-incendie, contrôle de l’intégrité d’ouvrages d’art, inspections techniques, moyens de transport, prises de vue…

Les catégories de drones sont multiples, allant d’appareils de quelques centaines de grammes ayant un rayon et une durée de vol limités à des appareils de plusieurs dizaines voire centaines de kilos pouvant parcourir de longues distances et voler à plusieurs centaines de mètres d’altitude.

Dès lors que les engins volants pèsent moins de 150 kg, ce sont les législations et autorités nationales qui sont compétentes. Du moins, c’était le cas jusqu’à ce que le règlement (UE) 2018/1139 du Parlement européen et du Conseil du 4 juillet 2018 traitant des règles communes dans l’aviation civile n’institue une Agence de l’Union européenne pour la sécurité aérienne (AESA) habilitée à apporter son expertise à la Commission européenne pour réglementer toutes formes de drones.

Ainsi, la France a été le premier pays à avoir instauré une réglementation spécifique par deux arrêtés de 2012 définissant une législation adéquate à des cas simples. Pour les autres drones, il a été nécessaire de faire des analyses et traitements au cas par cas afin d’assurer le développement progressif de cette nouvelle technologie ainsi que l’encadrement des pratiques des particuliers par un cadre adapté.

Ces textes relatifs d’une part à la conception, l’utilisation et aux capacités requises pour faire voler de tels engins, et d’autre part, à l’utilisation de l’espace aérien par ces aéronefs, visent à garantir la sécurité publique. Le législateur français avait introduit plusieurs catégories d’appareils volants (sauf ballons-sondes, fusées, cerfs-volants). Ainsi, pour un engin non doté d’une caméra et pesant moins de 25 kg les règles étaient plutôt permissives puisque pour la grande majorité des appareils vendus pour le loisir (catégorie A), l’arrêté obligeait seulement à ce que le drone reste en vue directe.

Cela signifie que l’appareil et son conducteur devaient rester en contact visuel et ne pas voler plus haut qu’une altitude de 150 mètres (désormais 120 mètres) ou à proximité d’une zone dangereuse ou interdite. En revanche, lorsque le drone est muni d’un appareil à captation d’images photo ou vidéos, la réglementation se durcit. Le développement de ces engins risque en effet de porter atteinte d’une part au respect de la vie privée lorsqu’ils disposent de tels dispositifs de captation d’images, et d’autre part à la sécurité lorsqu’ils transportent des matériaux dangereux ou illégaux.

S’il a donc été important pour le législateur français, au vu de la croissance phénoménale de l’utilisation des drones civils, de séparer les enjeux légaux liés à l’encadrement des drones disposant d’une caméra (I) de ceux qui n’en n’ont pas (II), c’est finalement l’Union européenne qui s’est emparée de la réglementation en la matière (III).

I- Les drones disposant d’une caméra

Concernant les drones qui permettent la captation d’images photo photo ou vidéos, la réglementation française se faisait plus stricte (A) car des atteintes à la vie privée peuvent être caractérisées (B).

A) La réglementation

Ces drones permettent la prise de clichés et de vidéos via des angles jusque-là impossibles à atteindre sans utiliser un hélicoptère. Il est ainsi possible de manier aisément un engin aux caractéristiques intéressantes en utilisant de simples commandes ou un smartphone. Mais concernant la réglementation applicable, elle s’est faite plus stricte.

En effet, une distinction entre usage personnel et professionnel a cessé d’être opérée par la loi qui énonçait que des autorisations préfectorales devaient être demandées en fonction de la zone survolée. À titre d’exemple, une autorisation était indispensable concernant des vols en agglomération ou à proximité de personnes ou d’animaux, en vue directe et à une distance horizontale maximale de 100 mètres du pilote.

De plus, s’il le souhaitait, un conducteur de drone pouvait effectuer un vol hors vue directe et en dehors d’une zone peuplée, mais à condition d’également obtenir une autorisation au plus tard 24 heures avant le vol et d’informer le ministère chargé de l’aviation civile. Le conducteur devait alors pendant le vol être accompagné d’une seconde personne étant en mesure de prendre de contrôle de l’appareil à tout moment.

Étant précisé également par l’arrêté qu’il n’était pas possible de faire évoluer un aéronef télépiloté si le conducteur était lui-même à bord d’un autre véhicule en déplacement, situation nécessitant également l’obtention d’une autorisation du ministre chargé de l’aviation civile.

Ainsi, pour ne pas avoir respecté la réglementation, un jeune homme de 18 ans avait été convoqué devant le tribunal pour « mise en danger délibérée de la vie d’autrui » pour avoir, en janvier 2014, survolé et filmé la ville de Nancy à l’aide d’un drone équipé d’une caméra GoPro, avant de diffuser son film sur internet. Nul n’étant censé ignorer la loi, il a dû répondre de ses actes devant le tribunal correctionnel.

B) Les atteintes à la vie privée

Ces drones équipés de dispositifs de captation photo, vidéo ou sonore peuvent être très intrusifs et menacer le respect à la vie privée. En effet, se posait et se pose toujours la question de certaines caméras ayant des performances techniques telles qu’elles pourraient identifier des personnes physiques à leur insu.

Plus généralement, les drones équipés peuvent collecter, stocker et transmettre des informations ainsi que surveiller les comportements et déplacements de personnes, ce qui pose de graves enjeux en matière de libertés individuelles.

Il est intéressant de remarquer dans un premier temps que lorsqu’un aéronef fixe l’image d’une personne physique, le droit à l’image a vocation à s’appliquer. L’article 9 du Code civil ainsi que la jurisprudence énoncent que toute personne a sur son image et sur l’utilisation qui en est faite un droit exclusif et peut donc s’opposer à sa diffusion sans son autorisation. Pour faire respecter ce droit à l’image, tout télépilote d’un drone qui viendrait à capter l’image d’une personne par le biais d’une vidéo ou d’une photo, pourrait ainsi, sous réserve d’obtention du consentement de la personne concernée, publier cette image.

En pratique, il s’avère cependant très difficile de retrouver la personne concernée et de recueillir son consentement. C’est pourquoi la jurisprudence a assoupli ce principe concernant les personnes se trouvant dans des lieux publics sous réserve de certaines conditions.

En effet, pour que la publication ne soit pas subordonnée à l’accord des personnes qui apparaissent sur les images, la photographie ne doit pas permettre d’individualiser une personne en particulier, l’image ne doit pas porter atteinte à la dignité humaine et dans le cas d’évènements d’actualité, la publication de l’image ne doit pas dépasser les limites du droit à l’information (par exemple lors de manifestations publiques). A défaut, les personnes photographiées ou filmées à leur insu pourraient poursuivre juridiquement l’utilisateur du drone pour atteinte au droit à l’image.

Par ailleurs, le droit à la preuve ne peut justifier la production d’éléments portant atteinte à la vie privée qu’à la condition que l’atteinte soit proportionnée au but poursuivi. Constitue ainsi une atteinte à la vie privée la prise de vue aérienne d’une propriété privée sans l’accord des propriétaires et ce, même si elle n’en montre pas ses occupants (Paris, 15 mai 2019, n°18/26775).

Ensuite, comme le rappelle le Conseil d’Etat la captation de l’image d’une personne physique par un drone équipé d’une caméra correspond à un enregistrement de données personnelles protégé par la loi informatique et Liberté (CE 13 novembre 2020, n°401214). En effet, cette loi encadre la collecte et le traitement des données à caractère personnel en faisant peser des obligations sur le responsable du traitement. Les drones opèrent un changement de paradigme en matière de captation de données personnelles.

Enfin, des atteintes peuvent surgir concernant la surveillance des personnes par les autorités publiques. Ainsi, le CISR du 2 octobre 2015 préconisait par exemple l’utilisation de drones dans le domaine de la sécurité routière.

Comme le relève le Conseil d’Etat dans une décision du 22 décembre 2020, en l’absence d’encadrement législatif, le dispositif de surveillance par drone transmettant, même après floutage des images à la préfecture de police de Paris pour un visionnage en temps réel, constitue un traitement illégal de données à caractère personnel.

Alertée en effet par les enjeux considérables en la matière, la CNIL engage depuis 2012 des réflexions prospectives au sujet de l’utilisation des drones et du respect à la vie privée. Un des axes majeurs consiste à s’assurer que les nouveaux usages n’entraînent pas de dérives en matière de surveillance.

Lors du confinement du printemps 2020, des drones équipés de caméras ont été utilisés par les forces de l’ordre afin de surveiller le respect des mesures de confinement. Après les décisions du Conseil d’État, des 18 mai et 22 décembre 2020, qui interdisent leur utilisation, c’est au tour de la CNIL de sanctionner le ministère de l’Intérieur. Dans sa délibération du 12 janvier 2021, la formation restreinte de la Commission nationale de l’informatique et des libertés (CNIL) a sanctionné le ministère de l’intérieur à la suite de l’usage de drones équipés de caméras.

En réponse à ces décisions, le législateur a entendu donner naissance à un cadre légal à l’utilisation par les forces de l’ordre des caméras aéroportées (précisément embarquée à bord d’un drone), en adoptant la loi n° 2021-646 du 25 mai 2021 pour une sécurité globale. Les dispositions concernées ont été censurées par le Conseil constitutionnel le 20 mai 2021, car méconnaissant le droit au respect de la vie privée (Cons. constit., 20 mai 2021, n° 12021-817 DC).

Depuis le législateur a adopté la loi n°2022-52 du 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure. Plusieurs articles réécrivent, à la suite de la censure par le Conseil Constitutionnel, certaines dispositions de la loi du 25 mai 2021, le cadre juridique pour l’usage des caméras et des drones par les forces de l’ordre à la fois pour des finalités de police administrative et judiciaire.

Le 20 avril 2023 le décret relatif à la mise en œuvre de traitements d’images au moyen de dispositifs de captation installés sur des aéronefs pour des missions de police administrative a été publié.

Le 20 avril 2023 le décret relatif à la mise en œuvre de traitements d’images au moyen de dispositifs de captation installés sur des aéronefs pour des missions de police administrative a été publié. Rendue dans la foulée, une nouvelle délibération de la Cnil, enjoint que lui soient transmises les doctrines d’emploi, qui ne figurent pas dans le décret et qui devront préciser les « cas d’usage, les conditions d’emploi et les conduites à tenir », en particulier s’agissant de « l’information » du public concerné. La Commission réclame aussi un chiffrement des enregistrements « directement au niveau des caméras » pour une garantie d’intégrité et de sécurité « jusqu’à leur effacement ».

 

II- Les drones ne disposant pas d’une caméra

Si le droit français est venu réguler l’utilisation classique des aéronefs non équipés de dispositif de captation d’images (A), cette réglementation semblerait pourtant inefficace face aux utilisations illicites menaçant la sécurité des personnes (B).

A) La réglementation

Avant que la réforme européenne n’intervienne, la France opérait une classification de A à G des drones civils dépendamment de facteurs tels que leur masse, leur type de propulsion ou les types d’activités concernés. De ces catégories ainsi que de l’utilisation faite du drone découlaient des obligations contraignant la vitesse, la hauteur de vol, vol en vue ou hors vue, le type de zone survolable (selon la présence d’individus ou non), et la finalité du vol (ce que le droit définit sous l’appellation de scénario).

Ainsi, à titre d’exemple, seuls les aéronefs de moins de 25 kg comportant un seul type de propulsion et ne disposant pas de caméra et ne pouvant voler qu’en vue directe, ce qui correspondait à la catégorie A, étaient dispensés de document de navigabilité et ne requéraient aucune condition particulière à propos des capacités du télépilote pour l’autoriser à voler.

En revanche, pour toutes les autres catégories d’aéronefs et toujours dépendamment de l’utilisation qui est faite du drone, une autorisation délivrée par le ministre chargé de l’aviation civile et l’installation sur l’aéronef de dispositifs spécifiques pouvait être requise. Il était exigé pour le télépilote d’avoir une certaine maîtrise en pilotage et de détenir certains documents spécifiques.

B) Les atteintes à la sécurité

Bien que l’utilisation des drones civils soit réglementée, elle reste problématique sur certains points. D’abord, en matière de sécurité, l’état actuel de la technologie des aéronefs civils ne permet pas de leur prêter une confiance totale. Un rapport du Congrès américain mettait en exergue, à ce titre, en septembre 2012, que n’étant pas technologiquement capables d’éviter d’éventuels objets volant à basse altitude, les drones civils présentent un dangereux risque de collision avec des ULM, hélicoptères ou avions en phase de décollage ou d’atterrissage par exemple. C’est d’ailleurs pour cette raison que sont en ce moment développées par les constructeurs des technologies de détection et d’évitement dites de « sense and avoid ».

De plus, ces appareils émettant entre autres des ondes WiFi présentent également un risque d’être piratés et donc de pouvoir être détournés de leur mission initiale, et ce, par de potentielles personnes mal intentionnées. À ce titre, dans le cadre de protestations contre la surveillance excessive de la société civile, le Parti pirate allemand avait en septembre 2013 fait atterrir un drone aux pieds de la chancelière allemande Angela Merkel. La farce de mauvais goût aurait alors, entre de mauvaises mains telles que celles d’États ou de groupes hostiles, pu facilement tourner au drame national si un terroriste avait fait atterrir le même drone avec une charge explosive déclenchée à l’atterrissage. Un risque d’utilisation de drones à des fins terroristes est à prendre en compte, voire à anticiper, bien que, fort heureusement, aucun accident de la sorte ne soit à ce jour à déplorer.

Par ailleurs, concernant le problème du transport de matériaux illégaux, là où le directeur d’Amazon voit dans les drones le futur de la livraison de petits colis, des délinquants pourraient également à terme faire usage de ce mode de livraison dans le cadre de trafic de stupéfiants. C’est à ce titre qu’un Australien de 28 ans a été arrêté pour avoir tenté de livrer par drone un stock de drogues dans une prison de Melbourne.

Appareils pilotables à distance, aux capacités de chargement croissantes et aux prix sans cesse plus accessibles pour tout un chacun, il est fort probable que les drones élargissent durablement le champ de la criminalité.

En 2021, les craintes d’une utilisation détournée se sont confirmées lorsqu’un drone, de type « professionnel », d’une envergure de 4,3 mètres et d’une autonomie de vol de 7 heures a été saisi par les agents de la Policia Nacional dans le cadre d’une affaire de lutte contre le trafic de stupéfiants entre l’Espagne et la France.  

Plus récemment en France, un drone a été utiliser pour voler 150.000 euros d’un distributeur de billets.

Bien que ces cas restent isolés, ils soulèvent de nombreuses questions sur l’utilisation et les potentielles atteintes qui pourraient en découler.

C’est en toute conscience de ces enjeux que la Commission européenne s’est alors saisie de la question en créant en 2013 un groupe de travail ayant eu pour mission de penser et proposer l’intégration sécurisée des drones civils dans le système d’aviation européen dès 2016.

III- La nouvelle réglementation européenne pour les UAS

Si la nouvelle réglementation européenne présente des enjeux de taille aux conséquences diverses (A), elle engendre à court terme de multiples répercussions au sein du droit national (B).

A) La réglementation

La Commission, le Parlement ainsi que le Conseil européens se sont accordés pour donner à l’Union européenne la compétence de la réglementation relative à la sécurité des drones et ce, quelle que soit leur masse. Dans cette logique elle a d’abord adopté le règlement du 4 juillet 2018 qui étend aux drones l’essentiel des dispositions applicables aux autres catégories d’aéronefs.

Dans la foulée, la Commission a procédé à l’élaboration de deux règlements visant à harmoniser en Europe le statut des drones.

D’une part, le règlement délégué (UE) 2019/945 de la Commission du 12 mars 2019 relatif aux systèmes d’aéronefs sans équipage à bord (ci-après UAS, acronyme de l’anglais « Unmanned Aerial Systems ») et aux exploitants, issus de pays tiers, d’UAS, et d’autre part, le règlement d’exécution (UE) 2019/947 de la Commission du 24 mai 2019 concernant les règles et procédures applicables à l’exploitation d’aéronefs sans équipage à bord.

Ainsi, la catégorie « ouverte » désignant les opérations à faible risque au cours desquelles l’UAS vole en vue et à faible hauteur se distingue de la catégorie « spécifique » désignant les opérations à risque modéré au cours desquelles l’aéronef vole à vue ou hors vue dans des conditions différentes de la catégorie précédente, elle-même se distinguant de la catégorie « certifiée » qui désigne les opérations hautement risquées nécessitant une importante fiabilité dans l’aéronef, et impliquant par exemple de transporter des personnes ou des marchandises dangereuses.

Les règlements européens précités sont d’application directe dans les États membres et doivent se substituer à la réglementation nationale dès leur entrée en vigueur le 31 décembre 2020.

Cependant, les exigences de la réglementation nationale et européenne sont parfois incohérentes. Ainsi, malgré l’application de la réglementation européenne sur les drones, la gestion de l’espace aérien relève toujours du droit français, à l’exception de certaines spécificités comme des restrictions ou conditions de pénétration dans les ex-catégories loisirs et autres activités particulières désormais régies par la nouvelle catégorisation européenne.

Par ailleurs, le droit français motive ses réglementations par des considérations de sûreté publique (telle la compétence nationale sur les dispositifs de signalement électronique), tandis que la réglementation européenne porte quant à elle sur des questions de sécurité aérienne.

Afin de permettre tout de même une transition progressive vers la nouvelle réglementation européenne, certains textes nationaux sont maintenus. C’est par exemple le cas de la nouvelle catégorie « spécifique » au moyen de laquelle il est encore possible de voler selon des scénarios standard nationaux jusqu’au 2 décembre 2023 au plus tard, après quoi il y aura obligation de voler selon l’un des scénarios standards européens (STS).

B) Les répercussions dans le droit national

Le droit français visant donc à modifier a minima la réglementation actuelle dans le but de répondre aux nouvelles exigences européennes, plusieurs arrêtés ont alors été publiés au JORF du 10 décembre 2020.

L’un, relatif aux dispositions transitoires de reconnaissance de la formation et des titres des pilotes à distance, crée des modalités de reconnaissance des compétences actuelles des télépilotes pour la catégorie « ouverte » limitée.

Cependant, les drones de cette catégorie, marqués ‘CE’ depuis la réglementation européenne et pouvant être utilisés depuis le 31 décembre 2020, présentent l’inconvénient de ne pas encore être disponibles sur le marché. C’est pourquoi des drones pourtant non conformes à la nouvelle réglementation européenne pourront voler jusqu’au 1er janvier 2023 s’ils sont utilisés selon une catégorie « ouverte » dite « limitée ». Leurs utilisateurs devront néanmoins finir par acquérir un drone avec mention de classe pour pouvoir voler sans trop de problèmes.

Un deuxième arrêté, relatif à l’exploitation d’aéromodèles au sein d’associations d’aéromodélisme, autorise ces associations à pouvoir continuer d’exercer suivant les mêmes règles qu’avant la réforme, et ce jusqu’au 1er janvier 2023, la nouvelle réglementation européenne donnant la possibilité aux États membres de définir leur propre réglementation pour les clubs et associations d’aéromodélisme.

Un troisième arrêté concerne cette fois la définition des scénarios standard nationaux et fixe les conditions applicables aux missions d’UAS exclues du champ d’application du règlement (UE) 2018/1139 du 4 juillet 2018, précité, relatif aux règles communes dans le domaine de l’aviation civile (et instituant l’AESA).

Cet arrêté reprend trois des scénarios standard nationaux (S1, S2, S3) pour qu’ils puissent continuer d’être utilisés en catégorie « spécifique » jusqu’au 2 décembre 2023. Il inclut également des exigences spécifiques applicables aux exploitants de drones qui n’entrent pas dans le champ de la nouvelle réglementation européenne, à savoir pour des missions de secours, de police ou encore de lutte contre les incendies par exemple.

Un quatrième arrêté permanent relatif aux exigences applicables aux pilotes à distance dans le cadre d’opérations relevant de la catégorie « ouverte » fixe l’âge minimal de 14 ans pour les pilotes de drones dans cette catégorie. En effet, si la réglementation européenne fixe pourtant l’âge minimal à 16 ans dans cette catégorie, elle laisse en fait également aux États membres le choix de réduire cet âge minimum.

Cinquièmement, un arrêté permanent relatif à l’utilisation de l’espace aérien par les aéronefs sans équipage à bord fait entre autres passer la hauteur de vol maximale de 150 mètres à 120 mètres afin de se conformer avec la nouvelle réglementation européenne bien que la France demeure compétente en la matière, s’agissant de la gestion de l’espace aérien.

Enfin, un sixième arrêté relatif aux exigences applicables aux opérations conduites sur certains aéronefs captifs visés à l’annexe I du même règlement (UE) 2018/1139 précité, régit la conception, production, maintenance et exploitation de certains UAS captifs énumérés à l’alinéa 2 de cette même annexe.

Pour conclure, la réglementation européenne des aéronefs sans équipage à bord entrée en application le 31 décembre 2020 vient remplacer, notamment au terme d’une période de transition, la réglementation nationale en matière de sécurité aérienne et opère une classification des drones sous un angle différent, non plus selon la finalité de l’opération, mais selon le niveau de risque qu’elle présente.

Face au développement des usages, la Commission a adopté le 29 novembre 2022 une nouvelle stratégie intitulée « Drone 2.0 ». Ce texte défini les objectifs des institutions européennes d’ici à 2030 en matière de développement, de l’exploitation commerciale des drones à grande échelle, qu’il s’agisse des services d’urgence, de la cartographie, l’imagerie, l’inspection et la surveillance dans le respect du cadre légal applicable, ainsi que la livraison urgente de petits envois, tels que des échantillons biologiques ou des médicaments ou encore les taxis aériens.

Toutefois, le droit européen n’a pas vocation à se substituer à la réglementation nationale dont certaines dispositions continueront d’être applicables. Tel est le cas pour tout ce qui concerne la sûreté, la gestion de l’espace aérien ainsi que les drones utilisés par l’État dans le cadre d’activités miliaires, de douanes, de police, de recherche et sauvetage, de lutte contre l’incendie, de contrôle aux frontières et de surveillance côtière qui relèvent d’un régime particulier.

Pour lire une version plus complète de cet article sur les drones, cliquez

Sources :
http://www.village-justice.com/articles/essor-utilisation-drones-usage-civil,16348.html
http://vision-du-ciel.com/images_vierges/tableau-synthese-aeronefs-telepilotes.pdf
http://www.numerama.com/magazine/28431-drones-civils-ce-que-dit-la-loi-en-france.html
Communiqué de la Commission européenne, 19 juin 2013 « Les drones stimulent l’innovation et créent des emplois »
Règlement (UE) 2018/1139 du Parlement européen et du Conseil du 4 juillet 2018
Règlement délégué (UE) 2019/945 de la Commission du 12 mars 2019
Règlement d’exécution (UE) 2019/947 de la Commission du 24 mai 2019
Laurent Archambault et Cassandra Rotilly, Dalloz IP/IT : 2021 (Dalloz, 22 mars 2021) N° 3 p.163
Décret n° 2023-283 du 19 avril 2023 relatif à la mise en œuvre de traitements d’images au moyen de dispositifs de captation installés sur des aéronefs pour des missions de police administrative : https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000047464659

Par Commerce electronique, internet-et-droit, Protection des achats • Tags: , , , , ,

RGPD et SOUS-TRAITANTS

La prise en compte du statut de sous-traitant, tant au regard de sa définition que des responsabilités en découlant, est une des mesures phares du Règlement général sur la protection des données ( » RGPD « ).

Le texte européen, qui est entré en application le 25 mai 2018, pousse non seulement les entreprises, mais aussi les acteurs publics concernés à vérifier et assurer leur mise en conformité d’ici là.

NOUVEAU ! Pour faire un audit concernant les données personnelles et le RGPD, vous pouvez utiliser le service d’audit des données personnelles mis en place par le cabinet Murielle-Isabelle CAHEN.

Si certaines dispositions demeurent presque inchangées par rapport aux  anciens textes actuellement en vigueur (on pense à la Loi Informatique et Libertés de 1978, comme à la directive 95/46), d’autres naissent pratiquement avec le Règlement.

Ce règlement européen est entré en vigueur le 25 mai 2018 et vise non seulement les entreprises, mais également les acteurs publics afin de garantir leur mise en conformité au texte.

Le 7 juillet 2021, le Comité européen de la protection des données (CEPD) a adopté, des lignes directrices finales qui précisent les critères permettant l’identification des différents acteurs des traitements de données à caractère personnel.

Est considérée comme sous-traitant toute entité qui remplit deux critères : elle doit être distincte du responsable du traitement et doit agir pour le compte de ce dernier. Elle doit agir sur délégation et suivre les instructions du responsable du traitement selon les dispositions de l’article 29 du RGPD.

Besoin de l’aide d’un avocat pour un audit des données personnelles et du RGPD ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

Néanmoins, le sous-traitant dispose d’une marge de manœuvre lui permettant de déterminer la manière la plus efficace afin de servir au mieux les intérêts du responsable du traitement. Il peut choisir les moyens techniques et organisationnels adéquats.

Cela dit, lorsque le sous-traitant traite des données pour ses propres finalités et sans instructions du responsable de traitement, il sera lui-même considéré comme étant un responsable du traitement mis en œuvre sur la base de ces données et, par conséquent, sa responsabilité pourrait être engagée à ce titre.

De surcroît, en vertu du RGPD, le responsable de traitement doit s’assurer à ce que le sous-traitant présente certaines garanties suffisantes. À ce titre, le Comité européen de la protection des données précise dans sa ligne directrice les éléments qui doivent être pris en compte dans l’évaluation de ces garanties. Ces éléments se résument à la fiabilité, l’expertise, les ressources ainsi que la réputation sur le marché du sous-traitant. (1)

Le régime de responsabilité pleine et entière des sous-traitants, s’il en existe des prémisses au sein de la loi, fait pourtant bien partie de cette seconde catégorie : « Avant le RGPD, il y avait une distinction relativement claire entre le responsable de traitement et le sous-traitant. Ce n’est plus le cas avec les nouvelles dispositions imposées par le RGPD » . Il convient donc de bien distinguer, désormais, un sous-traitant de son client (responsable de traitement).

De fait, c’est non seulement l’encadrement du statut-même de sous-traitant qui semble être revu par le texte européen (I), mais également leur rôle quant au traitement des données qui leur incombe (II).

I) L’encadrement du statut de sous-traitant au sein du RGPD

Si la définition du sous-traitant est précisée par le RGPD (A), c’est non seulement pour mettre en lumière leur rôle, mais également et parallèlement les sanctions applicables en cas de manquement de leur part (B).

A) La définition du sous-traitant

La CNIL a pu rappeler que le sous-traitant est celui qui traite de données personnelles « pour le compte, sur instruction et sous l’autorité d’un responsable de traitement », lui-même défini au sein de l’article 4§8 du RGPD comme celui « qui détermine les finalités et les moyens d’un traitement ».

Dès lors, tout prestataire ayant accès à des données personnelles et les traitant dans de telles conditions relève d’un tel régime. Notez cependant que dans le cas où cette personne « détermine la finalité et les moyens » du traitement, elle sera qualifiée non pas de sous-traitant, mais bien évidemment de responsable de traitement .

Il peut s’agir de prestataires informatiques d’hébergement et de maintenance, de prestataire de paye, etc.

Notez cependant que dans le cas où cette personne « détermine la finalité et les moyens » du traitement, elle sera qualifiée non pas de sous-traitant, mais bien évidemment de responsable de traitement.

Il sera de même, d’ailleurs, au regard des données traitées par le prestataire pour son propre compte.

Ceci étant, les entreprises comme les personnes publiques amenées à traiter de telles données n’ont parfois pas conscience de l’exactitude de leur statut : à cet égard, le G29 s’est attaché à faciliter cette définition en dégageant plusieurs critères  pouvant constituer un faisceau d’indices, comme « ?le niveau d’instruction donnée par le client au prestataire? », le degré de contrôle du client sur ce dernier, etc.

Néanmoins, l’avis du groupe de travail institué en vertu de l’article 29 de la directive 95/46/CE (G29) a été remplacé par les premières lignes directrices adoptées par Comité européen de la protection des données, le 2 septembre 2020, sur les notions de responsable du traitement et de sous-traitant.

Le CEPD fait la distinction entre les moyens « essentiels du traitement » qui sont déterminés par le responsable du traitement et les moyens « non-essentiels » qui sont déterminés par le sous-traitant. En principe, le sous-traitant est chargé de la réalisation du traitement pour le compte de l’autre partie, à savoir, le responsable du traitement, conformément aux instructions de ce dernier.

Toutefois, le CEPD précise que le sous-traitant est en mesure de prendre des décisions s’agissant de certains moyens « non-essentiels ». (2)

Enfin, une énième distinction est faite au regard du principe de territorialité : ainsi, le RGPD  prévoit que le statut de sous-traitant concerne aussi bien les prestataires établis au sein du territoire de l’Union européenne, que ceux basés à l’étranger, mais dont les « activités de traitement sont liées à l’offre de biens ou de services à des personnes concernées dans l’UE [ou] au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’UE » .

B) Les sanctions en cas de manquement

La Loi Informatique et Libertés de 1978 ne prévoyait aucunement de pénaliser les manquements de ce type de prestataire. C’est désormais chose faite, à travers le RGPD, qui instaure un principe de « responsabilisation de tous les acteurs impliqués dans le traitement des données personnelles ».

A cette fin, l’assise de la responsabilité se base sur un régime de sanction pour les sous-traitants n’ayant pas respecté de telles obligations. Les sous-traitants peuvent également être contrôlés par la CNIL et faire l’objet des sanctions administratives prévues par le RGPD.

Ainsi, et comme le prévoit l’article 82 du RGPD : « toute personne ayant subi un dommage matériel ou moral du fait d’une violation du règlement européen peut obtenir la réparation intégrale de son préjudice de la part du responsable de traitement ou du sous-traitant ».

Ces sanctions peuvent s’élever à un montant de plus de 20 millions d’euros ou, pour les entreprises, jusqu’à 4 % du chiffre d’affaires annuel mondial de l’exercice précédent.

Ces amendes se veulent incitatives pour les entreprises, et particulièrement envers celles dont le modèle économique se fonde exclusivement sur le traitement des données. La question demeure de savoir qu’elles sont les obligations des sous-traitants en la matière.

La formation restreinte de la CNIL, par une décision rendue le 27 janvier 2021, a sanctionné un responsable de traitement et son sous-traitant sur le fondement de l’article 32 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, au paiement des sommes de 150 000 euros et 75 000 euros.

L’article 32 du RGPD dispose que : « le responsable de traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».

En l’espèce, la formation restreinte de la CNIL avait estimé que le responsable de traitement et son sous-traitant avaient manqué à leurs obligations en matière de sécurité de traitement. Ces derniers, après avoir fait l’objet d’attaques répétées de credential stuffing sur le site internet, avaient opté pour le développement d’un outil permettant la détection et le blocage de ces attaques. Toutefois, le développement de cet outil n’a été finalisé qu’après un an et durant toute cette période les données des utilisateurs étaient exposées à des violations potentielles. La CNIL relève que durant cet intervalle, plusieurs autres mesures produisant des effets plus rapides auraient pu être envisagées afin d’empêcher de nouvelles attaques ou d’en atténuer les conséquences négatives pour les personnes.

Certes, de nouvelles obligations incombent aux sous-traitants (A) : encore faut-il prévoir leur mise en application pratique (B).

A) Les obligations du sous-traitant

L’article 28 précédemment cité souligne expressément que le sous-traitant devra « offrir à son client des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée ».

De ce régime général découlent plusieurs obligations pour le responsable de traitement, qui peuvent être regroupées en différentes catégories :

  • Une obligation de transparence, qui permettra d’informer précisément le client des formalités effectuées relatives aux traitements;
  • Une obligation de protection des données, mise en œuvre par tout moyen nécessaire et dès la conception du produit ou service en question ;
  • Une obligation de sécurisation des données, assurée par la confidentialité de ces données, la notification de toute violation  de celle-ci au client, ou encore la suppression des données au terme de la prestation ;
  • Une obligation de sécurisation des données, assurée par la confidentialité de ces données, la notification de toute violation  de celle-ci au client, ou encore la suppression des données au terme de la prestation;
  • Une obligation d’assistance, relative à la bonne exécution du traitement, impliquant une aide au client quant au respect des droits des personnes, à la sécurité des données, ou encore quand une directive du client vous semble contraire aux textes en vigueur.

B) La mise en œuvre de ces obligations

Tout d’abord, il est important de garder à l’esprit qu’au regard de tous ces changements, vous devrez certainement revoir l’ensemble des contrats avec vos clients.

En effet, ces nouvelles dispositions rendent fort probable le manque de conformité des contrats en vigueur. L’intégration de clauses en permettant leur mise en conformité apparaît ici essentielle.

D’autre part, gardez à l’esprit que si vous êtes libre de déléguer certains traitements à un sous-traitant (après autorisation écrite de votre client), celui-ci sera soumis à ces mêmes obligations, mais vous devrez répondre de ses manquements à votre client.

Sachez, par ailleurs, que si vous êtes une autorité ou un organisme public sous-traitant, ou que vous êtes amené à traiter, pour le compte de vos clients, de données sensibles ou à grande échelle, vous avez l’obligation de désigner un délégué à la protection des données , chargé de vous accompagner dans ces tâches et de s’assurer de la conformité de ces traitements.

Enfin, et puisque le RGPD poursuit cette volonté d’unifier les règles en vigueur au sein de l’UE, il paraît logique que dans le cas où vous êtes établi au sein de plusieurs pays de l’Union, vous bénéficiez effectivement du mécanisme de guichet unique, qui vous permet de dialoguer avec une seule autorité nationale de contrôle (en l’occurrence, celle de votre établissement principal).

Assurez-vous , en tant que sous-traitant, de prendre pleinement conscience des obligations qui vous incombent d’ici là, et de les mettre en œuvre le plus rapidement possible.

Pour lire une version plus complète de l’article sur le RGPD et les sous-traitants, cliquez

SOURCES :
(1) https://www.dpms.eu/rgpd/guide-rgpd-accompagner-sous-traitant/
(2) https://www.cnil.fr/sites/default/files/atoms/files/rgpd-guide_sous-traitant-cnil.pdf
(3) http://www.privacy-regulation.eu/fr/4.htm
(4) https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article28
(5) https://cnpd.public.lu/content/dam/cnpd/fr/publications/groupe-art29/wp169_fr.pdf(6) https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre1 # Article

Par internet-et-droit • Tags: , , ,

«< 2 3 4 5 6 >»

# Nos catégories juridiques

# Poser une question en ligne

Si vous avez une question précise à poser au cabinet d’avocats, dont vous ne trouvez pas la réponse sur le site, posez votre question en ligne.
La question sera alors payante et le montant est de 150 euros TTC. Paiement sécurisé par Paypal ou Crédit Mutuel »

# Nos articles avocat Paris

© Murielle Cahen Cabinet d’avocats Paris 2024
Powered by WordPressThemify WordPress Themes