Résultats de recherche pour: cnil

18 Avr 2021

Protéger sa E.-réputation sur internet

» Nul ne sera l’objet d’immixtion arbitraire dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d’atteinte à son honneur et à sa réputation. «
(Art. 12 de la DUDH)
L’E.-réputation représente l’identité d’une personne ou d’une entreprise sur Internet. Toutes les informations disponibles sur Internet vous concernant forgent cette réputation. La responsabilisation des internautes est essentielle face à l’augmentation exponentielle des données personnelles ainsi exposées sur la toile.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Dès les années 1990, l’E.-réputation est définie (digital social life) comme la vie parallèle créée grâce aux nouvelles technologies.
Très rapidement l’importance de la vie online et des ses conséquences aussi bien pour les individus que pour les entreprises ou encore partis politiques, devient une préoccupation majeure.

En effet, de nombreux problèmes peuvent apparaître lorsque des informations personnelles online sont utilisées à des fins négatives, pour porter atteinte à la réputation.

Malgré ces éventuelles dérives, il n’existe toujours pas de » droit de l’e-réputation » à proprement parler.
Un ensemble de règles préexistantes et générales encadrent la vie virtuelle des internautes.

Face à une multiplication des plaintes en matière d’E.-réputation, les autorités publiques souhaitent aujourd’hui pallier aux écueils existants et faire de l’univers du numérique un espace de droits et de libertés.

Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez nous au : 01 43 37 75 63

ou contactez nous en cliquant sur le lien

I. L’e-réputation et le droit

Tout un panel de droit a vocation à s’appliquer pour protéger l’E.-réputation.
Mais ces transpositions du droit général à Internet ne sont pas pleinement efficaces face aux innovations permanentes des acteurs d’internet.

Le principe général est que » toute personne a le droit d’exiger des autres le respect de sa propre dignité, de sa réputation « .

Les atteintes à l’E.-réputation sont nombreuses, les plus courantes sont l’usurpation d’identité, le dénigrement, l’injure et la diffamation.

A) E-réputation et vie privée

Certaines personnes malintentionnées attaquent la réputation des internautes en divulguant des informations concernant leur vie privée.
Il est possible de faire cesser ces atteintes sur le fondement de l’article 9 du code civil qui consacre le droit au respect de sa vie privée.
Toute publication sans consentement préalable concernant la vie sentimentale, la santé ou encore l’image d’une personne est une violation de la vie privée de la personne concernée.
La » revenge porn » est l’exemple type et très actuel des atteintes à la vie privée sur Internet. Si cette pratique est bien connue des États-Unis, la première affaire française n’a été jugée qu’en 2014. L’individu en question a été condamné à 12 mois de prison avec sursis.

La ” revenge porn ” est l’exemple type et très actuel des atteintes à la vie privée sur Internet. Depuis la loi du 7 octobre 2016, le revenge porn est sanctionné à l’article 226-2-1 du Code pénal « Est puni des mêmes peines le fait, en l’absence d’accord de la personne pour la diffusion, de porter à la connaissance du public ou d’un tiers tout enregistrement ou tout document portant sur des paroles ou des images présentant un caractère sexuel, obtenu, avec le consentement exprès ou présumé de la personne ou par elle-même, à l’aide de l’un des actes prévus à l’article 226-1. ».

Cette loi est venue mettre fin à la jurisprudence du 16 mars 2016 qui avait conclu que le revenge porn n’était pas un délit. Ainsi, cette pratique est aujourd’hui sanctionnée par une peine d’emprisonnement de 2 ans et une amende de 60 000 euros.Une décision du TGI de Bobigny du 20 novembre 2018 avait également retenu que le revenge porn était une atteinte à la vie privée.

Dans un arrêt du 27 janvier 2016, la Cour d’appel de Paris est venue sanctionner le dénigrement du concurrent sur internet.
Récemment, le 23 septembre 2020, le tribunal judiciaire de Marseille a condamné pour diffamation une patiente d’une dentiste qui avait laissé un avis remettant en cause les compétences de la professionnelle, clairement identifiée. Le tribunal a caractérisé une atteinte à l’honneur de par cette diffamation.

Une limite est cependant admise au respect de la vie privée, il s’agit de l’information d’actualité.
En effet, le droit à l’information du public, pendant de la liberté d’expression, prévaut communément sur la protection de la vie privée.
Pour le CEDH, la société démocratique est le critère ultime de référence que toute juridiction doit utiliser lors de conflits relatifs à la liberté d’expression.
» La presse joue un rôle indispensable de chien de garde »

Ainsi, dès lors qu’une image illustre un fait d’actualité de façon pertinente, aucune autorisation n’est requise pour diffuser une telle image.
Toutefois, » la liberté consiste à pouvoir faire tout ce qui ne nuit pas à autrui » et il est donc possible que le droit à l’information soit limité.
La triste célèbre affaire Erignac illustre les frontières à ne pas franchir au nom de la liberté. La photo de son corps décédé avait été publiée comme illustration au slogan » La République assassinée « . Les juges avaient considéré que l’atteinte à la vie privée de la famille du préfet l’emportait sur la liberté d’expression.

Cette affaire démontre bien toute la difficulté d’une protection de la réputation virtuelle qui doit satisfaire l’équilibre entre deux droits fondamentaux le droit au respect de la vie privée et le droit à la liberté d’expression.

B) E-réputation, injures et diffamation

Toute expression outrageante, termes de mépris ou invective, qui ne renferme l’imputation d’aucuns faits (injure) ou toute allégation ou imputation d’un fait qui porte atteinte à l’honneur ou à la considération de la personne (diffamation) peut faire l’objet d’un recours.

La personne physique victime de tels faits a 3 mois à compter de la publication pour demander la cessation du trouble.

Ces actions en justice sont sanctionnées comme des abus de liberté d’expression.

De plus, la loi du 6 janvier 1978, loi Informatique et libertés, permet à toute personne dont les données personnelles font l’objet d’un traitement d’exiger du responsable qu’elles soient mises à jour ou effacées lorsque ces dernières sont » périmées « .
Dès lors, cette notion d’obsolescence des données peut permettre de justifier un droit à l’oubli et au déréférencement.
Certaines personnes, habilitées par la loi de 1978, échappent à cette obligation. Il s’agit des personnes traitant des données relatives aux infractions, condamnations et mesures de sûretés.
La CNIL a néanmoins limité ce droit pour les décisions juridiques puisque les personnes les publiant doivent anonymiser les personnes physiques citées dans les décisions.

C) E-réputation, droit à l’oubli et émergence d’une personnalité numérique

Les atteintes à la réputation et à l’image des personnes sur Internet se multiplient de manière considérable sans qu’aucune amélioration ne soit faite quant à leur traitement juridique, pourtant très contesté aujourd’hui.

L’association du droit de l’informatique et de la télécommunication revendique depuis quelques années une amélioration de la protection de la personne sur Internet.
De nombreux spécialistes (universitaires, avocats, membres de la CNIL) partagent leurs points de vue sur les problématiques liées à l’e-réputation.
Tous s’accordent sur le fait que l’état du droit actuel est inadapté aux nouveaux enjeux d’Internet.
Certains évoquent la nécessité de créer une réelle personnalité numérique avec une protection et des recours particuliers.

Pour l’heure, depuis l’arrêt Costeja du 13 mai 2014 les données personnelles au regard des traitements opérés par les moteurs de recherche en Europe font l’objet d’un droit de déréférencement. Le droit au déréférencement, soumis à des conditions, est enfin consacré.

Accompagné aujourd’hui par le RGPD qui consacre en son article 17 une obligation de traitement d’effacer certaines données à caractère personnel, fixant les limites du droit à l’oubli.
Cette jurisprudence a obligé les moteurs de recherche français à gérer les questions d’atteinte à la réputation et à faire primer le respect de la vie privée sur le libre référencement et la liberté d’expression.
Un formulaire de déréférencement doit être mis en ligne pour permettre les réclamations.

Un droit à l’oubli est également envisageable lorsque les résultats concernant des particuliers sont ” obsolètes, inexacts ou excessifs “.
Cette appréciation est laissée aux moteurs de recherche.
Ce pouvoir d’arbitrage laissé aux entreprises privées, comme Google, pose un problème de sécurité juridique même si des recours sont prévus en cas de refus.
En effet, ces entreprises auront le rôle de juger et de trancher entre les droits privés d’une personne et la liberté d’expression.

Or, la réponse de Google à la CNIL, après avoir été mis en demeure d’appliquer le droit à l’oubli à l’ensemble des versions de son moteur de recherche, révèle une volonté très forte de faire primer la liberté de référencement sur la vie privée.

” Il existe d’innombrables cas dans lesquels ce qui est illégal dans un pays ne l’est pas dans un autre. Cette approche représente un nivellement par le bas : au final, Internet serait seulement aussi libre que l’endroit le moins libre du monde. ” (réponse Google du 30 juillet 2015). Toutefois lors de la délibération du 10 mars 2016, la CNIL a sanctionné Google à une amende de 100 000 euros.

De plus, dans 13 décisions du 6 décembre 2019, le Conseil d’État est venu fixer les conditions du déréférencement sur internet, que Google se devait de respecter, afin d’être conforme à l’obligation du RGPD.

II. La gestion individuelle de l’e-réputation

Malgré de récentes avancées en matière de protection sur Internet, il est primordial que les internautes ne se déresponsabilisent pas.
Le déréférencement permet bien de supprimer certaines pages indexées, mais les images ou les textes restent sur Internet. L’effacement pur et simple est illusoire.

Dès lors, chaque individu doit rester vigilant et responsable de ce qu’il choisit de publier sur Internet.

Savoir gérer sa E.-réputation en amont permettrait d’éviter des procédures juridiques longues et coûteuses.
Il est irréaliste de penser possible le contrôle absolu de sa réputation virtuelle, néanmoins certains outils permettent de limiter une exposition trop importante de sa vie privée.

La première chose à faire est de réfléchir à tout ce que l’on publie sur le net (commentaires, photos, vidéos).
Ensuite, penser à utiliser un pseudonyme peut être intéressant étant donné que rien n’est réellement secret et privé sur Internet.
Enfin, vérifier régulièrement les résultats liés à votre nom sur les moteurs de recherche.

Certaines assurances se lancent dans la protection de l’E.-réputation et proposent d’accompagner les particuliers dans la gestion de leur vie virtuelle.
SwissLife e-réputation a été le premier contrat d’assurance e-réputation et propose la défense des droits des internautes en cas d’atteinte à votre vie privée, mais, met également à disposition des spécialistes du nettoyage d’information sur le WEB.

Aujourd’hui de nombreux contrats d’assurance e-réputation existent.

SOURCES
http://ereputation.paris.fr/
http://www.cnil.fr/fileadmin/documents/Vos_libertes/Droit_au_dereferencement-Interpretation-Arret.pdf
http://www.lefigaro.fr/secteur/high-tech/2014/09/25/32001-20140925ARTFIG00004-j-ai-teste-mon-droit-a-l-oubli-sur-google.php
https://www.cnil.fr/fr/reglement-europeen-protection-donnees
LOI n° 2016-1321 du 7 octobre 2016 pour une République numérique
https://www.legifrance.gouv.fr/loda/id/JORFTEXT000033202746/
Article 226-2-1 du code pénal
https://www.legifrance.gouv.fr/codes/id/LEGIARTI000042193566/2020-08-01#:~:text=Article%20226%2D2%2D1,-Cr%C3%A9ation%20LOI%20n&text=Lorsque%20les%20d%C3%A9lits%20pr%C3%A9vus%20aux,60%20000%20%E2%82%AC%20d’amende.
Crim. 16 mars 2016, 15-82.676
https://www.legifrance.gouv.fr/juri/id/JURITEXT000032263441/
TGI de Bobigny, ch.5/sec.3, jugement contentieux du 20 novembre 2018
https://www.legalis.net/jurisprudences/tgi-de-bobigny-ch-5sec-3-jugement-contentieux-du-20-novembre-2018/
Cour d’appel de Paris, Pôle 5, 27 janvier 2016, n° 2013/10 846
Tribunal judiciaire de Marseille, ordonnance de référé du 23 septembre 2020
https://www.legalis.net/jurisprudences/tribunal-judiciaire-de-marseille-ordonnance-de-refere-du-23-septembre-2020/
Délibération CNIL 2016-054 du 10 mars 2016
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000032291946/
Les 13 décisions du 9 décembre 2019
https://www.conseil-etat.fr/actualites/actualites/droit-a-l-oubli-le-conseil-d-etat-donne-le-mode-d-emploi

Par Murielle Cahen • internet-et-droit, Protection des échanges • • Tags: diffamation, droit à l'oubli, fichier, injures, mail, référencement, réputation, vie privée

16 Avr 2021

Email marketing et vie privée

La prospection est une étape stratégique essentielle dans le processus de développement d’une entreprise. La société va alors constituer ou acquérir une base de données d’informations clients/prospects permettant de mettre en place un plan de prospection. Néanmoins, la collecte d’informations personnelles n’est pas libre et les entreprises doivent respecter un certain nombre de règles pour garantir le respect de la vie privée des prospects.

L’essor des outils de communication a permis le développement de cette nouvelle forme de publicité directe.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Quatre outils principaux sont à la disposition des entreprises à l’heure actuelle, le mailing, le faxing, le phoning ou le meeting.

Le choix des techniques de prospection diffère selon les objectifs de la société. Une société voulant accroître son nombre de clients n’aura pas la même approche que celle voulant optimiser sa clientèle existante.
Face à une réelle prise de conscience du risque d’intrusion dans la vie privée liée à l’utilisation des données personnelles, les consommateurs sont de plus en plus demandeurs de protection contre l’abus de la prospection.

Besoin de l’aide d’un avocat pour un problème de vie privée?

Téléphonez nous au : 01 43 37 75 63

ou contactez nous en cliquant sur le lien

Dès lors, les législateurs français et européens entreprennent depuis de nombreuses années la mise en place d’un encadrement efficace de ces nouvelles méthodes, afin de garantir les libertés individuelles et la confidentialité des données personnelles.

I. Les sources de la protection de la vie privée et la prospection

L’avènement de l’informatique change considérablement la nature des problèmes posés par la notion de vie privée. L’informatisation des données entraîne inévitablement le risque de pouvoir y avoir accès de manière non contrôlée.

Dans un premier temps, la prospection est encadrée par des principes généraux du droit commun.

En effet, toute atteinte à l’intimité de la vie privée peut être sanctionnée sur le fondement de l’article 9 du Code civil. Au niveau européen, la CEDH a dans sa décision du 13 septembre 2018 Big Brother Watch c/ Royaume-Uni, a condamné le système britannique de surveillance électronique de masse, pour atteinte au respect à la vie privée, protégée par l’article 8 de la Convention européenne des droits de l’Homme.

De telles atteintes peuvent, également, faire l’objet de mesures pénales. L’article 226-16 condamne, par exemple, les atteintes aux droits des personnes résultant des traitements informatiques.

Dans un second temps, le législateur crée des outils juridiques propres à l’utilisation informatique des données personnelles.

« L’informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».

La CNIL veille au respect des lois et autres textes protégeant spécifiquement ces données.

La loi n° 78-17 du 6 janvier 1978, plus connue sous le nom de loi informatique et Liberté, réglemente la pratique du fichage et l’utilisation des données personnelles. Le RGPD du 25 mai 2018, réglemente la conservation et le traitement des données personnelles.

La loi 6 août 2004 n° 2004-801, transposition de la directive 95/46/CE, met en place une harmonisation des règles de déclaration des fichiers entre secteur privé et public, prévoit certaines exemptions ou simplifications de déclaration et étend l’obligation de demande d’autorisation appliquée aux entreprises privées à de nouvelles catégories de données.

La loi du 17 mars 2014 relative à la consommation réglemente spécifiquement les conditions de démarchage téléphonique. Elle fut complétée par la loi du 24 juillet 2020.

II. L’utilisation des données personnelles à des fins de prospection

Cet arsenal législatif se traduit, pour les entreprises exploitant des données personnelles, par un certain nombre d’obligations.

La création de fichiers clients/prospects s’inscrivait dans le respect de la loi informatique et libertés. Dès lors, la mise en œuvre de tels fichiers faisait, jusqu’en 2018 , l’objet de formalités préalables auprès de l’autorité administrative compétente, la CNIL. Depuis le 25 mai 2018, date d’entrée en vigueur du RGPD, les fichiers relatifs à la gestion des clients et des prospects n’ont plus à être déclarés auprès de la CNIL.

En premier lieu, la société doit s’assurer de la licéité de la constitution de ses fichiers.

Le principe général est celui du consentement préalable des personnes visées. Principe général lié au RGPD, en effet, la décision du Conseil d’État du 19 juin 2020, vient rappeler l’importance du consentement de l’utilisateur. Le consentement éclairé étant nécessaire à l’autorisation du traitement et la conservation des données personnelles.

En effet, chaque personne concernée doit ainsi donner son accord préalablement à toute utilisation commerciale de ses données.

Or cela nécessite que la personne soit être informée de la finalité de la collecte, de la durée de conservation, des conséquences d’une absence de réponse et des modalités d’exercice du droit d’accès et de rectification.

Dans le cas contraire, le Code pénal prévoit une peine de 5 ans d’emprisonnement et 300 000 euros d’amende. Art. 226-18-1 du Code pénal.

En pratique, les entreprises remplissent cette obligation en prévoyant une case à cocher, qui doit être décochée par défaut. Cette méthode permet de donner son accord à la réception de messages publicitaires.

Du côté de l’entreprise effectuant la collecte, cette dernière doit s’assurer que les informations traitées soient uniquement limitées aux informations nécessaires à la relation commerciale, il s’agit du principe de minimisation. L’entreprise doit également s’assurer de la mise en place de mesures de sécurité adaptées aux risques. De plus, l’entreprise doit s’assurer que la conservation des données soit limitée dans le temps, cette obligation peut être légale. Enfin, il est nécessaire que la société inscrive les fichiers relatifs à la gestion des clients et des prospects dans le Registre des activités de traitements.

Les entreprises doivent être en mesure de justifier, à tout moment, le consentement de toutes personnes destinataires de messages commerciaux.

Deux exceptions sont prévues au principe de consentement préalable.

La première vise la prospection de « produits ou services analogues » à ceux déjà fournis par la société. Le consentement préalable n’est pas requis lorsque la personne a été informée de cette éventualité lors de la collecte.

La deuxième concerne l’envoi de courrier électronique aux adresses professionnelles des particuliers. Lorsque ces courriers sont en rapport avec la fonction professionnelle occupée par la personne, le consentement préalable n’est pas nécessaire.

En sus de ces obligations générales, des règles spéciales sont attachées aux différents supports de prospection.

Le phoning, démarchage téléphonique

La loi du 24 juillet 2020, prévoit que les opérateurs de téléphonie sont dans l’obligation d’offrir à leurs abonnés la possibilité de s’inscrire gratuitement sur une liste d’opposition au démarchage.

La liste rouge permet de ne pas mentionner les coordonnées de la personne inscrites sur les listes d’abonnés ou d’utilisateurs.

La liste orange, quant à elle, permet de ne plus communiquer les coordonnées à des entreprises commerciales en vue d’une utilisation à des fins de prospection directe. Les coordonnées peuvent donc subsister dans l’annuaire.

Néanmoins, l’annuaire n’est pas le seul support qu’utilisent les entreprises. En effet, les fichiers clients/prospects sont couramment utilisés et font l’objet d’une circulation entre les sociétés.

Dès lors, le gouvernement a souhaité créer une liste spéciale afin de lutter contre la prolifération du démarchage non désiré.

Depuis la loi du 24 juillet 2020, une liste d’opposition applicable à tous les professionnels interdit le démarchage téléphonique des consommateurs y figurant. Tout manquement à cette obligation est passible d’une amende administrative de 75 000 euros pour les personnes physiques, et 375 000 euros pour les personnes morales.

Le consommateur qui souhaite s’y inscrire peut le faire par voie électronique. Son inscription sera valable 3 ans (renouvelable).

Les professionnels ont l’obligation de contacter régulièrement (au moins mensuellement) l’organisme de gestion de la liste afin d’actualiser leurs fichiers de prospection.

L’e-mailing, démarchage par internet

L’e-mailing est l’outil phare de publicité sur internet. Les cybermarchands en sont friands eu égard de son faible coût et de sa rapidité.

Néanmoins, la loi pour la confiance en l’économie numérique de 2004 a posé un principe clair que ses utilisateurs doivent respecter. Avant toute prospection par mail, le cybermarchand doit avoir recueilli le consentement de la personne visée. Il s’agit d’un système d’opt-in, il faut obtenir l’accord de la personne concernée en préalable de la communication. Cette pratique s’oppose à l’opt-out, où l’émetteur à légalement la possibilité d’envoyer des messages publicitaires et c’est au destinataire de faire connaître sa volonté contraire. Il s’agit d’un système moins protecteur pour le destinataire, qui n’a donc pas été retenu par le législateur.
Par ailleurs, toute personne ayant donné son accord à un programme d’e-mailing doit avoir la possibilité de se désabonner dès qu’il le souhaite.

Les mêmes règles s’appliquent à l’envoi de SMS dans le but de prospection.

Les sollicitations commerciales deviennent de plus en plus souvent une source de désagréments pour les destinataires, c’est pour ça qu’il est aujourd’hui possible de les limiter ou même de les faire cesser.

Cependant le spamming, envoi massif et répété de courriers non sollicités, reste un outil de publicité illégal face auquel les particuliers ne sont pas encore protégés de manière efficace.

Récemment, le 31 décembre 2020, la CNIL a condamné de manière sévère PERFORMECLIC, société qui utilisait les Spams par courriels, à une amende de 7 300 euros, amende proportionnelle à la taille et la situation financière de la société, afin de prononcer une amende dissuasive et proportionnée. Par le passé les amendes de la CNIL, en matière de spamming avaient atteint une somme de 20 000 euros, après un recours devant le Conseil d’État, la sanction a été confirmée et jugée proportionnée.

Pour lire une version plus courte de cet article sur l’email marketing, cliquez sur ce lien

SOURCES
http://www.ys-avocats.com/pj/Article_NS_48_CNIL.pdf
https://www.service-public.fr/particuliers/actualites/007971
http://sosconso.blog.lemonde.fr/2015/05/07/spams-par-sms-sanction-confirmee-pour-une-societe-immobiliere/
http://www.fftelecoms.org/articles/pour-lutter-contre-le-spam-sms-et-le-spam-vocal-un-reflexe-le-33700
CEDH 13 septembre 2018 Big Brother Watch c/ Royaume-Uni
Règlement général sur la protection des données
https://www.cnil.fr/fr/reglement-europeen-protection-donnees
LOI n° 2020-901 du 24 juillet 2020 visant à encadrer le démarchage téléphonique et à lutter contre les appels frauduleux
https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000042148119/
Conseil d’Etat, 19 juin 2020, N° 430810
https://www.conseil-etat.fr/ressources/decisions-contentieuses/dernieres-decisions-importantes/conseil-d-etat-19-juin-2020-sanction-infligee-a-google-par-la-cnil
Décision CNIL 31 décembre 2020
https://www.cnil.fr/fr/prospection-commerciale-sanction-publique-lencontre-de-la-societe-performeclic

Par Murielle Cahen • Commerce electronique, internet-et-droit, Protection des échanges • • Tags: courrier électronique, fichier, phoning, spamming, vie privée

19 Mar 2021

Usage de la blockchain en matière de contrat commercial

Comment utiliser la technique de la blockchain dans les contrats commerciaux ?

Qu’est – ce – qu’une BLOCKCHAIN ? Il n’existe pas de définition officielle. En France, un seul texte fait référence à la blockchain, sans toutefois la citer : l’ordonnance du 28 avril 2016 relative aux minibons (titres financiers), qui la présente comme « un dispositif d’enregistrement électronique permettant l’authentification de ces opérations ».

La blockchain est généralement présentée comme une base de données, ou encore un registre électronique, contenant l’enregistrement horodaté de toutes les opérations effectuées par ses utilisateurs.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire et un avocat enverra une lettre de mise en demeure !

La blockchain ne doit pas être confondue avec une technologie de stockage ou d’hébergement de données (comme le cloud). En effet, ce qui est enregistré sur la blockchain, ce n’est en principe pas une donnée, ni un document original (comme un contrat), mais une empreinte cryptographique.

Un document original (papier ou numérique) dont l’empreinte cryptographique sera enregistrée sur une blockchain, devra donc être, en parallèle, conservé en lieu sûr.

Besoin de l’aide d’un avocat pour un problème de contrat ?

Téléphonez nous au : 01 43 37 75 63

ou contactez nous en cliquant sur le lien

Le registre blockchain est celui d’un réseau distribué, c’est – à – dire que sa conservation n’est pas centralisée à un seul endroit, sur un serveur informatique unique, mais dupliquée sur plusieurs serveurs / ordinateur compris dans ce réseau détient, quasiment au même moment, un exemplaire intégral de ce registre et des informations cryptées qu’il contient.

Le registre blockchain est réputé infalsifiable, c’est – à – dire quasiment non piratable. C’est cet aspect fondamental de la blockchain qui fait son intérêt principal. Le niveau de sécurité informatique qu’elle présente serait exceptionnel. Cela est dû, selon les experts, à la combinaison de la cryptographie et, d’un protocole algorithmique innovant réalisé par les « nœuds du réseau », c’est – à – dire par plusieurs serveurs / ordinateurs du réseau sur lequel elle est distribuée, protocole destiné à vérifier, avant enregistrement, que l’information est exacte.

La blockchain permet « d’historiser », en leur donnant une date certaine, les informations qu’elles enregistre. On parle souvent d’horodatage mais ça n’est pas totalement exact puisque les informations sont enregistrées non pas une par une, mais par bloc.

Le registre est en principe transparent. Chaque membre du réseau peut en théorie vérifier les informations enregistrées sur le registre. Ce registre peut permettre d’assurer la traçabilité des opérations enregistrées sur la blockchain.

I. Les types de blockchain

A ) Une blockchain publique

La blockchain appartient à tous les membres de la communauté du réseau distribué.

Le logiciel qui sous-tend une blockchain publique est un logiciel libre dont les codes sources sont entièrement publics. Chaque membre peut participer librement à l’amélioration de ce logiciel.

Chaque membre du réseau distribué a potentiellement les mêmes droits (d’accès, de lecture, de lecture, de décision, de participation au protocole de vérification des informations figurant sur le registre).

Le registre d’une blockchain publique est en théorie immuable : les informations enregistrées sont inscrites pour toujours et il n’est en principe plus possible de les effacer.

B) Une Blockchain privée

Les règles ici sont très différentes. Elle fonctionne comme un réseau privé (à l’instar d’intranet) et appartient à un acteur déterminé qui décide seul des règles de fonctionnement et, en particulier des droits d’accès, de modification et de validation du registre. Le protocole peut donc être modifié selon le bon vouloir de l’administrateur du système.

C)Une blockchain « permissioned » ou de « consortium »

Elle se situe entre la blockchain privée et la blockchain publique. Les droits de consultations, d’écriture et de modification du registre des participants diffèrent selon des règles préétablies par une ou plusieurs personnes. Ce type de blockchain peut permettre de conjuguer les avantages d’une blockchain publique (notamment de sécurité informatique), une régulation humaine du système et de l’adaptation des règles de fonctionnement.

II. L’impact de la blockchain dans les contrats commerciaux

A) Blockchain et contrat commercial

Pour le commerce électronique, ces contrats intelligents permettent des transactions directes entre les vendeurs et les acheteurs. Les contrats intelligents peuvent être programmés pour s’exécuter uniquement lorsque les obligations spécifiées ont été remplies. Par exemple, un acheteur peut envoyer le prix déterminé d’un produit en crypto-monnaie au contrat.

Le vendeur envoie la preuve de propriété au contrat intelligent et lie le contrat intelligent à l’entreprise transportant le produit vendu. Une fois que le vendeur a rempli toutes ses obligations, le contrat intelligent enverra automatiquement les fonds au porte-monnaie du vendeur. Ce n’est que l’une des nombreuses applications des contrats intelligents. La même logique que celle décrite ci-dessus peut également s’appliquer à l’ensemble des chaînes d’approvisionnement, aux procédures de comptabilité organisationnelle, à la gouvernance, à la logistique et à bien d’autres processus organisationnels.

Ainsi en septembre dernier, une première transaction commerciale aurait-elle été effectuée, peut-être la première transaction immobilière au monde, entièrement basée sur cette technologie de registre de transactions sécurisées : un appartement en Ukraine a été acheté par Michael Arrington, co-fondateur du site TechCrunch en utilisant le réseau public Ethereum MainNet.

Dans le domaine du trade finance, des banques ont développé un prototype fondé sur la solution Hyperledger (Projet Blockchain en collaboration avec IBM). L’application réplique les opérations liées à une lettre de crédit en partageant les informations entre les exportateurs, les importateurs et leurs banques respectives par le biais d’un registre distribué privé. Cela permet d’exécuter une opération commerciale automatiquement grâce à une série de contrats intelligents.

En matière de commerce d’œuvres d’art, la blockchain permettrait d’attribuer un passeport digital à chacune des œuvres en les authentifiant et en traçant leurs changements de propriétaire. La technologie a vocation à remplacer tout type de registre. Le registre cadastral en constitue une application. Une réflexion est en cours pour le registre du commerce et des sociétés.

B) Blockchain et données personnelles

Les smarts contracts sont des applications qui permettent l’exécution automatisée de contrats. Il s’agit de supprimer au maximum l’intervention de l’humain et du juge. La CNIL ne pouvait qu’y être sensible dans la mesure où par exemple le profilage est strictement encadré. Une place à l’intervention humaine doit être réservée.

Pour la CNIL, il serait possible d’arriver à une limitation de l’utilisation des données dans les smart contracts, simplement en le prévoyant en amont dans le programme. Il apparaît que la décision entièrement automatisée provenant d’un smart contract est nécessaire à son exécution, dans la mesure où elle permet de réaliser l’essence même du contrat (ce pourquoi les parties se sont engagées). En ce qui concerne les mesures appropriées, la personne concernée devrait pouvoir obtenir une intervention humaine, exprimer son point de vue et contester la décision après que le smart contract ait été exécuté. Il convient donc que le responsable de traitement prévoie la possibilité d’une intervention humaine qui permette de remettre en cause la décision en permettant à la personne concernée de contester la décision, même si le contrat a déjà été exécuté, et ceci indépendamment de ce qui est inscrit dans la blockchain.

Cette position sonne le glas des conceptions quelque peu utopistes des partisans de l’automatisation à outrance du contrat. Le smart contract y perd néanmoins une grande part de son intérêt.

Pour lire une version plus complète de cet article sur les contrats commerciaux et la blockchain, cliquez

SOURCES :

Par Murielle Cahen • internet-et-droit • • Tags: agent commercial, blockchain, commmerce, confiance, contrat, réseau, sécurité informatique

17 Mar 2021

LE DROIT À L’OUBLI

Le règlement général sur la protection des données (RGPD), entré en vigueur le 25 mai 2018, au sein d’une section consacrée aux droits de la personne concernée, affecte son article 17 à la notion de « Droit à l’effacement » des données à caractère personnel.

Prévu par l’article 17 du RGPD et également connu sous l’appellation de « droit à l’oubli » ou « droit à l’oubli numérique », le droit à l’effacement des données permet à tout citoyen résidant dans un pays membre de l’Union européenne de demander à un organisme d’effacer les données personnelles qui le concernent

Si le droit à l’oubli n’est pas nouveau, les frontières de cette notion ont continuellement été débattues et font toujours l’objet de nombreuses controverses. L’avènement du numérique, en démultipliant la quantité de données échangées et instantanément disponibles sur internet, n’a fait que renforcer l’intérêt porté à ce droit qui revêt désormais une importance cruciale.

I. Le principe du droit à l’oubli

A) La portée du droit à l’oubli

Le droit à l’oubli est initialement un concept européen. Les premiers jalons d’un droit à l’effacement ont été posés par la loi informatique et liberté de 1978, mais aussi par la directive européenne 95/46 (Directive 95/46/CE du 24/10/1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ) dont l’article 12 b) (désormais abrogé) dispose que toute personne a un droit d’obtenir d’un responsable de traitement, l’effacement des données personnelles qui la concernent lorsque celles-ci sont incomplètes ou erronées.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire et un avocat enverra une lettre de mise en demeure !

Toutefois, ce droit à l’effacement a rapidement montré ses limites, notamment en raison des facultés de stockage des données sur internet qui dépassent largement les capacités humaines.

En effet, les moteurs de recherche peuvent conserver les données relatives à un individu pour une période quasi illimitée, et ce, sans faire la distinction entre celles qui mériteraient d’être référencées et celles qui ne devraient plus l’être.

Face à ce constat, l’idée de créer un véritable « droit à l’oubli » a suscité de nombreux débats, notamment entre les régulateurs et les entreprises du net.

Avant le RGPD, le droit à l’oubli numérique ou droit à l’oubli en ligne était un concept qui permettait à tout internaute de demander le déréférencement d’une ou de plusieurs pages contenant des informations sur lui. Il a été instauré par le fameux arrêt Google Spain c/AEPD et Costeja Gonzales de la CJUE daté du 13 mai 2014.

Besoin de l’aide d’un avocat pour un problème de droit à l’oubli?

Téléphonez nous au : 01 43 37 75 63

ou contactez nous en cliquant sur le lien

Cet arrêt affirmait qu’en respectant certaines conditions, une personne physique a le droit de demander à un moteur de recherche de supprimer de la liste des résultats des liens pointant vers des pages contenant ses données personnelles une fois que l’on saisit son nom dans la barre de recherche.

Depuis la mise en application du RGPD, le droit à l’oubli a été en quelque sorte renforcé par la consécration d’un droit à l’effacement

Selon l’article 17 du RGPD qui s’applique en France à compter du 25 mai 2018, la personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais lorsque l’un des motifs suivants s’applique :

a) les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière ;
b) la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l’article 6, paragraphe 1, point a), ou à l’article 9, paragraphe 2, point a), et il n’existe pas d’autre fondement juridique au traitement ;
c) la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 1, et il n’existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 2 ;
d) les données à caractère personnel ont fait l’objet d’un traitement illicite ;
e) les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis ;
f) les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information visée à l’article 8, paragraphe 1.

Lorsqu’il a rendu publiques les données à caractère personnel et qu’il est tenu de les effacer en vertu du paragraphe 1, le responsable du traitement, compte tenu des technologies disponibles et des coûts de mise en œuvre, prend des mesures raisonnables, y compris d’ordre technique, pour informer les responsables du traitement qui traitent ces données à caractère personnel que la personne concernée a demandé l’effacement par ces responsables du traitement de tout lien vers ces données à caractère personnel, ou de toute copie ou reproduction de celles-ci.

Cette notion de droit à l’oubli peut être définie par sa finalité, en écartant les éventuels risques qu’un individu soit atteint de manière durable par l’utilisation des données qui le concerne à son insu, que celles-ci soient présentes en ligne par sa propre initiative, ou par celle d’une tierce personne.

En plus d’obtenir du responsable du traitement l’effacement des données ayant un caractère personnel, le droit à l’oubli numérique prévoit également d’effacer la diffusion de ces données personnelles, et en particulier quand la personne concernée n’accorde plus son consentement pour leur utilisation.

B) Les limites du droit à l’oubli

Le droit à l’effacement est écarté dans un nombre de cas limité. Il ne doit pas aller à l’encontre :

De l’exercice du droit à la liberté d’expression et d’information ;
Du respect d’une obligation légale (ex. délai de conservation d’une facture = 10 ans) ;
De l’utilisation de vos données si elles concernent un intérêt public dans le domaine de la santé ;
De leur utilisation à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques ;
De la constatation, de l’exercice ou de la défense de droits en justice.

C) Ouverture sur un déréférencement mondial au cas par cas

Dans sa décision du 27 mars 2020, le Conseil d’État a précisé la portée géographique du droit au déréférencement. La CNIL prend acte de cette décision qui tire les conséquences automatiques de l’arrêt de la Cour de justice de l’Union européenne (CJUE) du 24 septembre 2019.

En effet, lorsque le moteur de recherche répond à l’affirmative, il ne supprime toutefois que les résultats qui apparaissent sur le site de l’État de nationalité du requérant. Or, cette restriction territoriale suscite des controverses. Selon la CNIL, le refus de Google de déréférencer les liens sur toutes les extensions du nom de domaine du moteur de recherche représente une violation des droits d’opposition et d’effacement reconnus aux personnes faisant l’objet d’un traitement de données personnelles, dans la mesure où les liens demeurent « accessibles à tout utilisateur effectuant une recherche à partir des autres extensions du moteur de recherche ».

La CNIL a ainsi déjà mis en demeure Google d’effectuer les déréférencements sur toutes ses extensions dans un délai de quinze jours (CNIL, décis. N ° 2015-047, 21/05/2015). De son côté, Google considère que les pouvoirs de la CNIL se limitent à la France et que celle-ci ne saurait valablement se prononcer sur les extensions des autres pays, soutenant qu’un déréférencement mondial serait excessif et limiterait la liberté d’expression.

La CJUE a été saisie par le Conseil d’État le 24 février 2017 pour se prononcer sur des questions préjudicielles ayant trait à la portée du droit au déréférencement et ses conditions de mise en œuvre (CE, Assemblée, 24/02/2017, n° 391000).

Dans l’attente de la réponse de la Cour, l’avocat général de la CJUE a rendu un avis le 10 janvier 2019 aux termes duquel il donne partiellement l’avantage à Google en soutenant que « l’exploitant d’un moteur de recherche n’est pas tenu, lorsqu’il fait droit à une demande de déréférencement, d’opérer ce déréférencement sur l’ensemble des noms de domaine de son moteur ».

Contrairement à la CNIL qui s’est largement positionnée en faveur de l’ « amnésie générale », le Conseil d’État proposait que le droit à l’oubli ne s’applique qu’en Europe, laissant ainsi la possibilité de consulter un contenu référencé en France depuis l’étranger.

Si sans surprise, dans sa décision du 27 mars 2020 le Conseil d’État confirme l’impossibilité d’un droit au déréférencement mondial et général, il ouvre cependant la porte à une application mondiale de ce droit, au cas par cas. Les deux parties peuvent ainsi trouver satisfaction dans cet arrêt : Google qui voit sa sanction annulée et le confinement du droit au déréférencement aux frontières de l’UE confirmé et la CNIL qui voit le Conseil d’État l’autoriser à permettre l’abolition des frontières, au cas par cas.

Par une décision du 10 mars 2016, la CNIL avait prononcé une sanction de 100 000 euros à l’encontre de Google Inc. en raison de son refus d’appliquer le droit au déréférencement à l’ensemble des extensions de nom de domaine de son moteur de recherche. Saisi par le moteur de recherche, le Conseil d’État avait sursis à statuer, pour demander à la CJUE son interprétation du RGPD en matière de territorialité. La cour de Luxembourg avait rappelé que, si le RGPD n’impose pas un déréférencement sur l’ensemble des versions du moteur de recherche, il ne l’interdit pas non plus. Et c’est dans cette brèche que le Conseil d’État s’est glissé, approuvant ainsi le raisonnement de la CNIL.

La CJUE considère qu’il n’existe pas un droit au déréférencement mondial, sur la base du RGPD

Néanmoins, elle rappelle que les autorités des États membres demeurent compétentes pour effectuer, à l’aune des standards nationaux de protection des droits fondamentaux, une mise en balance entre, d’une part, le droit de la personne concernée au respect de sa vie privée et à la protection des données et, d’autre part, le droit à la liberté d’information, et, qu’au terme de cette mise en balance, elle peut enjoindre, le cas échéant, à l’exploitant de ce moteur de recherche de procéder à un déréférencement portant sur l’ensemble des versions dudit moteur.

Faute pour la CNIL d’avoir effectué cette mise en balance dans le contentieux qui l’opposait à Google, elle a vu confirmer l’annulation de sa décision du 10 mars 2016.

II. Le droit à l’oubli en pratique

A) Identifier l’organisme à contacter

L’exercice du droit à l’effacement est une procédure relativement simple. Dans un premier temps, la personne concernée doit identifier l’organisme à contacter, c’est-à-dire l’entreprise qui assure le traitement des données.

Il faudra ensuite se rendre sur la page d’information consacrée à l’exercice des droits sur la plateforme de ladite entreprise, en cliquant entre autres sur « politique vie privée », « politique confidentialité » ou « mentions légales »

B) Exercer le droit à l’effacement auprès de l’organisme

L’exercice du droit d’effacement peut être exercé par divers moyens : par voie électronique (formulaire de déréférencement, adresse mail, bouton de téléchargement, etc.) ou par courrier, par exemple.

A la suite de l’affaire Google Spain de 2014, Google a mis en place un formulaire de requête en ligne permettant aux internautes de faire une demande de déréférencement. Lorsque Google est saisi d’une requête en déréférencement, le moteur de recherche effectue une analyse au cas par cas pour déterminer si le lien litigieux donne accès à des informations qui s’avèrent « inadéquates, pas ou plus pertinentes ou excessives au regard des finalités du traitement en cause ».

Depuis les mêmes formulaires de déréférencement existe pour les moteurs de recherche YAHOO, BING, QWANT notamment.

En outre, il est très important d’indiquer précisément quelles sont les données que vous souhaitez effacer.

En effet, l’exercice de ce droit n’entraîne pas la suppression simple et définitive de toutes les données vous concernant qui sont détenues par l’organisme.

Par exemple, une demande d’effacement de votre photo sur un site n’aboutira pas à la suppression de votre compte. De même, une demande de suppression de votre compte n’entraînera pas la suppression des factures et autres documents comptables relatifs à vos achats, pour lesquels une obligation légale de conservation existe.

Si et seulement si, l’organisme à des doutes raisonnables sur votre identité, il peut vous demander de joindre tout document permettant de prouver votre identité, par exemple pour éviter les usurpations d’identité.

En revanche, il ne peut pas vous demander des pièces justificatives qui seraient abusives, non pertinentes et disproportionnées par rapport à votre demande.

La conservation d’une copie des différentes démarches est toujours conseillée, notamment lorsque la personne concernée souhaite saisir la CNIL en cas d’absence de réponse ou de réponse non satisfaisante du responsable de traitement.

D) Que faire en cas de refus ou d’absence de réponse

Le responsable du fichier droit procéder à l’effacement dans les meilleurs délais et au plus tard dans un délai d’un mois, qui peut être porté à trois compte tenu de la complexité de la demande.

Dans ce dernier cas, l’organisme doit vous informer des raisons de cette prolongation. En cas de réponse insatisfaisante ou d’absence de réponse sous un mois, vous pouvez également saisir la CNIL afin de procéder au dépôt d’une plainte en ligne.

En outre, le responsable du traitement qui décide de ne pas donner suite à une demande d’exercice du droit à l’effacement se voit dans l’obligation de justifier son refus auprès du propriétaire des données.

Suite à l’application des nouvelles dispositions du RGPD, les entreprises traitant les données personnelles doivent mettre en place les meilleurs mécanismes qui permettent de vérifier que les données collectées ne sont pas conservées au-delà du délai nécessaire, compte tenu des finalités annoncées au départ.

Pour lire une version plus complète du droit à l’oubli, cliquez

SOURCES :

https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016R0679

https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000886460

https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000697074&categorieLien=id

https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A62012CJ0131

https://www.cnil.fr/sites/default/files/atoms/files/decision_du_conseil_detat_-_dereferencement_-_27_mars_2020.pdf

Par Murielle Cahen • internet-et-droit • • Tags: cnil, droit à l'effacement, droit à l'oubli, google, référencement, rgpd