Résultats de recherche pour: contrat informatique

RGPD : la question du consentement

Comme chacun sait, le 25 mai 2018, est une date butoir non seulement pour tous les acteurs du numérique, mais aussi et plus largement pour toutes les entreprises, leur mise en conformité au nouveau grand texte européen en matière de données personnelles devant être assurée d’ici là.

Le règlement général sur la protection des données (« RGPD », ou « GDPR » en anglais), à cette échéance, sera applicable dans tous les États membres de l’Union européenne. Et s’il est des notions essentielles au sein du texte, c’est bien celle du consentement.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de vie privée en passant par le formulaire !

Le droit européen des données personnelles a été longtemps régi par la directive 95/46/CE.

Adoptée en 2016, l’entrée en vigueur de la nouvelle réglementation européenne le 25 mai 2018 a permis d’adapter le droit de l’union aux changements induits par l’explosion de l’informatique et d’Internet.

Afin de garantir l’effectivité des dispositions prévues par ce règlement, toutes les entreprises qui collectent des données personnelles de personnes résidant dans l’Union européenne, sont soumises à la réglementation indépendamment de leur localisation.

Les entreprises se doivent de respecter un certain nombre de principes fondamentaux pour la protection des données, tels que la transparence, la limitation de la finalité, la minimisation des données, l’exactitude et l’intégrité des données, ainsi que la sécurité des données. L’un de ces principes est le consentement, qui est défini comme une indication claire et positive de la volonté de la personne concernée de donner son accord pour le traitement de ses données personnelles.

Le consentement demeure l’une des six bases juridiques permettant de traiter des données à caractère personnel, telles qu’énumérées à l’article 6 du RGPD. Lorsque le responsable de traitement sollicite le consentement, il a l’obligation d’évaluer si celui-ci satisfera à toutes les conditions d’obtention d’un consentement valable. S’il a été obtenu dans le plein respect du RGPD, le consentement est un outil qui confère aux personnes concernées un contrôle sur le traitement éventuel de leurs données à caractère personnel. Dans le cas contraire, le contrôle de la personne concernée devient illusoire et le consentement ne constituera pas une base valable pour le traitement des données, rendant de ce fait l’activité de traitement illicite.

Afin d’aider les responsables de traitement dans le recueil du consentement, le comité européen à la protection des données a élaboré un guide composé de lignes directrices qui permet de saisir les réflexes à adopter lors du recours au consentement comme base légale.

Par conséquent, toute entreprise qui traite des données personnelles de résidents de l’Union européenne devra donc prendre pleinement conscience de la portée des dispositions afférentes au consentement. Il conviendra dans un premier temps d’aborder les obligations liées à la nature même du consentement requis (I) et les obligations relatives à sa valeur (II). Enfin, seront traités les cas particuliers tels que le consentement du mineur (III).

I. Les conditions relatives à la nature du consentement requis

Lorsque la base légale du traitement retenue est le consentement, le RGPD impose que ce dernier soit libre, spécifique, éclairé et univoque.

A) L’obligation d’un consentement libre et éclairé

Auparavant inscrite dans la loi Informatique et Libertés, la notion de consentement a été renforcée par les dispositions du RGPD afin de permettre aux personnes concernées d’exercer un contrôle réel et effectif sur le traitement de leurs données.

Définit par l’article 4 du règlement, le consentement s’apparente à « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

L’article 7 du RGPD précise les conditions applicables au consentement.

Pour être valide, le consentement doit être accompagné d’un certain nombre d’informations communiquées à la personne avant qu’elle ne consente. Au-delà des obligations de transparence prévues aux articles 12, le responsable du traitement se doit fournir la liste d’informations mentionnée à l’article 13 afin de recueillir le consentement éclairé des personnes concernées. Il s’agit de l’identité du responsable du traitement, des finalités poursuivies, des catégories de données collectées, de l’existence d’un droit de retrait du consentement.

Le consentement est considéré comme « libre » lorsque l’utilisateur l’a donné sans pression ni influence extérieure. En outre, le caractère libre du consentement se matérialise par la possibilité de refuser et de le retirer à tout moment. Ce droit de retrait doit pouvoir être exercé dès que la personne concernée le souhaite et aussi simplement que lorsqu’elle a consenti. Le responsable du traitement doit donc mettre en place un moyen simple et efficace pour que l’utilisateur puisse retirer son consentement

Le règlement général sur la protection des données parle du consentement, comme d’une « manifestation de volonté libre […] ». Tout en reprenant le terme, déjà soutenu au sein des textes antérieurs, le législateur a cependant fait le choix d’un encadrement concis, au regard de ce principe.

Ainsi, le texte prévoit que la personne concernée dispose du droit de retirer son consentement quand elle le souhaite, aussi simplement qu’elle l’a accordé, et doit être informée de cette possibilité. Ce retrait ne remet pas en cause, pour autant, la licéité du traitement fondé sur le consentement précédemment donné, pour la période allant jusqu’au dit retrait.

Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

Par ailleurs, cette liberté signifie également que la personne ne doit pas être contrainte « d’abandonner » son consentement, notamment sous le joug du préjudice éventuel qui pourrait découler de son refus : « le consentement est présumé ne pas avoir été donné librement en cas de déséquilibre […] si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice » .

Le texte précise également que « le consentement est présumé ne pas avoir été donné librement si un consentement distinct ne peut pas être donné à différentes opérations de traitement des données à caractère personnel ».

Autrement dit, le retrait du consentement ne doit pas engendrer de frais pour la personne concernée ou encore avoir pour conséquence d’amoindrir le service fourni. Un déséquilibre des rapports de force peut également avoir lieu dans le cadre des relations de travail. Il est en effet peu probable que la personne concernée soit en mesure de refuser de donner son consentement à son employeur concernant le traitement de ses données sans craindre ou encourir des conséquences négatives suite à ce refus.

Par ailleurs, le considérant 43 du RGPD précise qu’un consentement distinct doit être obtenu pour chacune des finalités envisagées « le consentement est présumé ne pas avoir été donné librement si un consentement distinct ne peut pas être donné à différentes opérations de traitement des données à caractère personnel ». Dès lors qu’un traitement comporte plusieurs finalités, les personnes doivent pouvoir consentir indépendamment pour l’une ou l’autre de ces finalités. Elles doivent pouvoir choisir librement les finalités pour lesquelles elles consentent au traitement de leurs données.

Pour rappel, dans une décision du 21 janvier 2019, la Commission nationale de l’informatique et des libertés (CNIL) a prononcé une amende de 50 millions d’euros à l’encontre de Google, pour violation des dispositions du Règlement général sur la protection des données (RGPD).

Dans un premier temps, la formation restreinte de la CNIL a estimé qu’il y avait une violation continue des obligations de transparence et d’information (article 12 du RGPD) lors de la collecte des données personnelles (article 13 et 14 du RGPD) et que les droits des personnes n’était pas assez clair (article 15 à 22 du RGPD).

Elle relève également que des informations essentielles (finalité, durée de conservation ou catégories de données) étaient anormalement disséminées dans de multiples espaces où il était nécessaire d’activer des boutons ou onglets pour prendre connaissance des informations complémentaires.

De plus, la CNIL a remarqué que les informations fournies n’étaient pas suffisamment claires ou compréhensibles par rapport aux aspects massifs et intrusifs des différents traitements réalisés par l’entreprise et que les finalités étaient trop génériques et vagues.

Dans un second temps, la CNIL est venue sanctionner l’absence de base légale pour les traitements de personnalisation de la publicité. La société américaine indiquait se fonder sur le contentement des utilisateurs, or les agents de la Commission ont estimé que celui-ci n’était pas éclairé, spécifié et univoque. En effet, dans le prolongement de ce qui a été exposé précédemment, les informations permettant de justifier du consentement ont été réparties sur plusieurs espaces et documents en plus de présenter des cases précochées au moment de la collecte.

B) L’obligation d’un consentement explicite

Le terme explicite se rapporte à la façon dont le consentement est exprimé par la personne concernée. Il implique que la personne concernée doit formuler une déclaration de consentement exprès.

Le consentement peut se matérialiser de diverses façons. Le considérant 32 du RGPD  nous apporte quelques précisions, ainsi « Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale […] Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité ».

Le consentement peut être recueilli au moyen d’une déclaration écrite ou orale (enregistrée), y compris par voie électronique. Ainsi, un consentement tacite n’est pas valable, et le recueil du consentement nécessite une formalisation. Le consentement ne peut donc pas être obtenu par défaut ou par inaction de l’utilisateur. A ce titre, il convient de bien différencier la case cochée par défaut, de la case à cocher, qui constitue en soi l’expression d’un consentement exprès au sens du texte susvisé. Le RGPD n’autorise pas non plus le recours à des options de refus nécessitant une action de la personne concernée pour signaler son refus (par exemple des « cases de refus »).

L’article 4 du Règlement, déjà cité, fait allusion au caractère « express » du consentement, en ce que celui-ci doit découler d’une décision « par laquelle une personne concernée accepte, par une déclaration ou par un acte positif clair » le traitement de ses données.

Cette formulation constitue une différence clef entre les « anciens textes » et celui à paraître, puisque la directive 95/46 omet toute mention en ce sens. A contrario, le RGPD souligne expressément « qu’il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité.

Attention, il convient de bien différencier la case cochée par défaut, de la case à cocher, qui constitue en soi l’expression d’un consentement express au sens du texte susvisé.

De même, l’acceptation d’un contrat ou de conditions générales ne rend pas compte d’un tel consentement éclairé, tandis qu’un accord donné par voie écrite, orale ou électronique vaudra acceptation, tant que le sens d’une telle action n’est pas ambiguë.

Si la pratique du « double opt-in » est avancée par le G29 dans ses conclusions, elle demeure non seulement facultative, mais paraît également inefficace à certains égards : « ce double opt-in […] est lourd à mettre en place. Il est bien évidemment redouté notamment par les professionnels du marketing qui savent que la collecte d’un consentement impliquant deux actions positives d’un prospect ou d’un client est très illusoire », la plupart des utilisateurs étant peu enclins à communiquer deux fois leur consentement.

A l’occasion d’un arrêt du 1er octobre 2021, la CJUE statue sur la notion de consentement explicite, et rappelle que le recueil du consentement doit être explicite avant tout traitement des données personnelles, ainsi le consentement doit être donné activement et expressément au site web par les utilisateurs. En l’espèce, la CJUE considère que le consentement recueilli n’est pas explicite, car la case était cochée par défaut, et l’utilisateur devait décocher cette case pour refuser de donner son consentement. Par ailleurs, la CJUE dispose dans cet arrêt que le consentement doit être spécifique ce qui n’est pas le cas en l’espèce, car le bouton de participation au jeu promotionnel « ne suffit pas pour considérer que l’utilisateur a valablement donné son consentement au placement de cookies. »

Enfin, il convient de rappeler que le consentement de la personne est systématiquement requis pour certains traitements, encadrés par des dispositions légales spécifiques. L’article 5 de la directive ePrivacy impose ainsi le recours au consentement avant le dépôt de cookies sur le terminal de l’utilisateur. Il en va de même dans le cadre de la prospection électronique (L34-5 du code des postes et télécommunications).

II. Les conditions relatives à la valeur du consentement requis

La valeur du consentement récolté dépendra principalement de deux facteurs : son fondement (A), qui caractérise sa nécessité, et sa matérialisation, nécessaire au responsable de traitement en matière de preuve (B).

 A) L’importance du fondement du traitement

Il paraît évident que tous les développements précédents, relatifs au consentement des personnes, s’appliquent avant-même la récolte des données personnelles en question.

Pour autant, il convient de distinguer les différentes situations sur la base desquelles le consentement est requis.

En effet, si l’article 6 du RGPD prévoit le régime général des dispositions relatives au consentement, l’article 7, en son paragraphe 4, dénote d’un régime particulier en ce que « au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat » .

Ainsi, et comme le rappelle assez justement le G29, « si le traitement n’est pas nécessaire à l’exécution du contrat, cette exécution ne peut être conditionnée par le consentement au traitement ».

Selon le G29, les deux bases juridiques que sont le consentement et l’exécution d’un contrat ne doivent pas être amalgamées et fusionnées : la conclusion d’un contrat ne doit pas être conditionné à l’acceptation d’un traitement de données « non nécessaires » à l’exécution d’un contrat.

À l’évidence, un traitement rendu obligatoire pour la bonne exécution d’un contrat n’implique donc pas le recueil du consentement quant à un tel traitement.

Il est essentiel de garder à l’esprit, par ailleurs, que le fondement de la licéité du traitement ne peut être modifié après que les données ont été recueillies et traitées. De fait, si un problème se pose quant à la conformité du traitement, il est impossible, pour le responsable de traitement , de basculer sur un autre régime pour justifier le traitement en question.

B) La charge de la preuve

La preuve, au regard de telles exigences, est primordiale. C’est le premier paragraphe de l’article 7 du RGPD qui en précise l’aménagement, en rappelant que « dans le cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant ».

L’article 7 du RGPD requiert que le consentement soit démontrable, ce qui implique deux conditions.
Tout d’abord, il est nécessaire d’identifier de manière certaine la personne qui donne son consentement. Ensuite, il est important de conserver ce consentement sous une forme qui puisse prouver son existence. Si une personne donne son consentement en se connectant à un compte en ligne avec un code d’accès qui lui est propre, comme c’est le cas sur un espace de banque en ligne par exemple, la première condition peut être considérée comme remplie. Cependant, cette situation est relativement rare, car de nombreux consentements sont demandés sans que l’identité de la personne ne soit vérifiée

Suivant ces dispositions, la charge de la preuve incombe donc au responsable de traitement, qui devra démontrer par des arguments convaincants le respect du consentement des personnes concernées par le traitement.

Cette dernière précision fait notamment écho aux traitements obligatoires pour la bonne exécution des contrats, où la preuve devra être jugée comme « suffisante ».

Pour autant, le texte ne donne pas plus d’indications concernant la forme de la preuve. Des avis sont cependant fournis par des institutions nationales, à l’image de l’autorité de protection des données du Royaume-Uni, l’« ICO » (« Information Commissionner’s Office ») , qui conseille de conserver toute trace relative aux personnes concernées, à la date et aux méthodes de consentement, etc.

D’un côté, cette souplesse pourrait inquiéter au sujet des éventuelles dérives relatives à la collecte et la réutilisation de ces données ; pour autant, est-il pertinent de cloisonner ce type de preuve, au risque d’une rigidité certaine du texte ?

Quoi qu’il en soit, ces dispositions sont encore à l’étude, et il conviendra d’en observer la pratique pour en comprendre réellement l’étendue.

La CNIL préconise que le responsable de traitement tienne un registre des consentements. Elle rappelle également qu’une fois le traitement terminé, la preuve du consentement ne doit pas être conservée plus longtemps que le temps nécessaire à l’exercice ou à la défense de ses droits en justice par le responsable de traitement. Enfin, il convient de noter que le RGPD ne fixe pas de durée de validité du consentement. Cette durée dépendra du contexte, de la portée du consentement initial.

III. Les cas particuliers

A. Les conditions applicables au consentement des enfants

En vertu de l’article 8 du RGPD, dans le cas où le consentement est donné par un mineur, il doit être donné avec l’autorisation des détenteurs de l’autorité parentale, sauf si le droit national prévoit que l’enfant est en mesure de donner un consentement valable sans autorisation parentale.

En France, l’âge de la majorité numérique est fixé à 15 ans. Conformément à l’article 45 de la loi informatique et libertés, les enfants de 15 ans ou plus peuvent donc consentir eux-mêmes au traitement de leurs données fondé sur le consentement dans le cadre des services de la société d’information. En-dessous de 15 ans, la loi « Informatique et Libertés » impose le recueil du consentement conjoint de l’enfant et du titulaire de l’autorité parentale.

Les raisons de cette protection sont précisées au considérant 38 du RGPD « Les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu’ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel […] »

Il est cependant regrettable de constater qu’aucune mesure de contrôle de l’âge n’est actuellement déployée par les plateformes. Il est néanmoins possible de noter qu’une proposition de loi visant à instaurer une majorité numérique et à lutter contre la haine en ligne a été déposée le 17 janvier 2023 à l’Assemblée nationale. Elle tend à compléter la loi du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN) afin contraindre les réseaux sociaux de refuser l’inscription à leurs services des enfants de moins de 15 ans, sauf si les parents ont donné leur accord. Pour se faire, ces plateformes devront mettre en place une solution technique permettant de vérifier l’âge de leurs utilisateurs et l’autorisation des parents.

Il est important de noter que les âges de majorité numérique peuvent varier d’un pays à l’autre en Europe, et que certains pays peuvent également avoir des règles spécifiques pour certaines activités en ligne (par exemple, les réseaux sociaux ou les jeux en ligne) qui peuvent avoir leur propre âge minimum pour le consentement. En Allemagne cette majorité est fixée à l’âge de 16 ans tandis qu’en Belgique ou au Portugal elle est atteinte dès l’âge de 13 ans.

Enfin, les enfants ont le droit de retirer leur consentement à tout moment. Les responsables du traitement doivent donc veiller à ce que les enfants soient informés de leur droit de retirer leur consentement et à ce qu’il soit facilement d’exerçable.

B. Le consentement au traitement de données sensibles

Le RGPD catégorise certaines données personnelles comme étant sensibles. Définit à l’article 9 du règlement, ces données sont celles qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, les données de santé ou encore les données biométriques. En raison de leur caractère « sensible » et des risques que leur traitement entraîne pour la vie privée ou pour les droits des personnes, ces données ne peuvent être traitées qu’avec des garanties supplémentaires.

Le consentement donné en matière de données sensibles doit être encore plus explicite que celui donné pour les données à caractère personnel. Le consentement explicite est requis dans certaines situations où un risque sérieux lié à la protection des données survient, et où un niveau élevé de contrôle sur les données à caractère personnel par la personne concernée est de ce fait jugé approprié.

Une manière évidente de s’assurer que le consentement est explicite serait de confirmer expressément le consentement dans une déclaration écrite. Le cas échéant, le responsable du traitement pourrait s’assurer que la déclaration écrite est signée par la personne concernée afin de prévenir tout doute potentiel et toute absence potentielle de preuve à l’avenir. Il est également possible d’obtenir un consentement explicite moyennant une conversation téléphonique, à condition que les informations relatives au choix soient loyales, compréhensibles et claires et qu’elle demande une confirmation spécifique de la part de la personne concernée.

Il est important de noter que le consentement n’est pas toujours la base légale utilisée pour le traitement des données sensibles.

Le traitement des données sensibles sans recourir au consentement peut être autorisé pour des raisons de santé publique. Il peut, par exemple, s’avérer nécessaire de collecter et de traiter des données sensibles pour lutter contre la propagation d’une maladie contagieuse (circonstances que nous avons rencontré lors de la crise du Coronavirus). Dans ce cas, la collecte et le traitement de ces données peuvent être autorisés par des lois ou des réglementations nationales ou européennes, même si l’utilisateur n’a pas donné son consentement explicite.

De même, dans le cadre de la lutte contre le terrorisme ou la criminalité, il peut être nécessaire de collecter et de traiter des données sensibles pour prévenir ou détecter des infractions graves. Dans ce cas également, la législation peut autoriser le traitement de ces données sensibles, même en l’absence de consentement explicite de l’utilisateur.

Pour une version plus détaillée sur le RGDP et le consentement, cliquez sur les mots RGDP et consentement

SOURCES :
http://www.avistem.com/fr/le-rgpd-en-focus-focus-2-le-recueil-du-consentement
http://www.privacy-regulation.eu/fr/r43.htm
https://cnpd.public.lu/content/dam/cnpd/fr/actualites/national/2017/10/séances-information–gdpr/gdpr-info-sessions-fr-11h05-consentement.pdf
https://www.cnil.fr/fr/reglement-europeen/lignes-directrices
http://www.privacy-regulation.eu/fr/r32.htm
https://fr.mailjet.com/rgpd/consentement/
http://www.privacy-regulation.eu/fr/7.htm
https://ico.org.uk/media/about-the-ico/consultations/2013551/draft-gdpr-consent-guidance-for-consultation-201703.pdf
Délibération, 21 janvier 2019, SAN-2019-001
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000038032552/
CJUE, 1er octobre 2019, C-673/17
https://curia.europa.eu/juris/document/document.jsf;jsessionid=CA644C7436D43DA19729CD95998C7383?text=&docid=218462&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=6352664
https://asso-generationnumerique.fr/enquetes/
F. Mattatia « RGPD et droit des données personnelles », 5° édition – Edition EYROLLES – 2021
Comité Européen à la protection des données – Guide lignes directrices – 2020 : https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052020-consent-under-regulation-2016679_fr
CNIL – Capacité des mineurs en ligne : https://www.cnil.fr/fr/recommandation-1-encadrer-la-capacite-dagir-des-mineurs-en-ligne

Par internet-et-droit • Tags: , , ,

RGPD et SOUS-TRAITANTS

La prise en compte du statut de sous-traitant, tant au regard de sa définition que des responsabilités en découlant, est une des mesures phares du Règlement général sur la protection des données ( » RGPD « ).

Le texte européen, qui est entré en application le 25 mai 2018, pousse non seulement les entreprises, mais aussi les acteurs publics concernés à vérifier et assurer leur mise en conformité d’ici là.

NOUVEAU ! Pour faire un audit concernant les données personnelles et le RGPD, vous pouvez utiliser le service d’audit des données personnelles mis en place par le cabinet Murielle-Isabelle CAHEN.

Si certaines dispositions demeurent presque inchangées par rapport aux  anciens textes actuellement en vigueur (on pense à la Loi Informatique et Libertés de 1978, comme à la directive 95/46), d’autres naissent pratiquement avec le Règlement.

Ce règlement européen est entré en vigueur le 25 mai 2018 et vise non seulement les entreprises, mais également les acteurs publics afin de garantir leur mise en conformité au texte.

Le 7 juillet 2021, le Comité européen de la protection des données (CEPD) a adopté, des lignes directrices finales qui précisent les critères permettant l’identification des différents acteurs des traitements de données à caractère personnel.

Est considérée comme sous-traitant toute entité qui remplit deux critères : elle doit être distincte du responsable du traitement et doit agir pour le compte de ce dernier. Elle doit agir sur délégation et suivre les instructions du responsable du traitement selon les dispositions de l’article 29 du RGPD.

Besoin de l’aide d’un avocat pour un audit des données personnelles et du RGPD ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

Néanmoins, le sous-traitant dispose d’une marge de manœuvre lui permettant de déterminer la manière la plus efficace afin de servir au mieux les intérêts du responsable du traitement. Il peut choisir les moyens techniques et organisationnels adéquats.

Cela dit, lorsque le sous-traitant traite des données pour ses propres finalités et sans instructions du responsable de traitement, il sera lui-même considéré comme étant un responsable du traitement mis en œuvre sur la base de ces données et, par conséquent, sa responsabilité pourrait être engagée à ce titre.

De surcroît, en vertu du RGPD, le responsable de traitement doit s’assurer à ce que le sous-traitant présente certaines garanties suffisantes. À ce titre, le Comité européen de la protection des données précise dans sa ligne directrice les éléments qui doivent être pris en compte dans l’évaluation de ces garanties. Ces éléments se résument à la fiabilité, l’expertise, les ressources ainsi que la réputation sur le marché du sous-traitant. (1)

Le régime de responsabilité pleine et entière des sous-traitants, s’il en existe des prémisses au sein de la loi, fait pourtant bien partie de cette seconde catégorie : « Avant le RGPD, il y avait une distinction relativement claire entre le responsable de traitement et le sous-traitant. Ce n’est plus le cas avec les nouvelles dispositions imposées par le RGPD » . Il convient donc de bien distinguer, désormais, un sous-traitant de son client (responsable de traitement).

De fait, c’est non seulement l’encadrement du statut-même de sous-traitant qui semble être revu par le texte européen (I), mais également leur rôle quant au traitement des données qui leur incombe (II).

I) L’encadrement du statut de sous-traitant au sein du RGPD

Si la définition du sous-traitant est précisée par le RGPD (A), c’est non seulement pour mettre en lumière leur rôle, mais également et parallèlement les sanctions applicables en cas de manquement de leur part (B).

A) La définition du sous-traitant

La CNIL a pu rappeler que le sous-traitant est celui qui traite de données personnelles « pour le compte, sur instruction et sous l’autorité d’un responsable de traitement », lui-même défini au sein de l’article 4§8 du RGPD comme celui « qui détermine les finalités et les moyens d’un traitement ».

Dès lors, tout prestataire ayant accès à des données personnelles et les traitant dans de telles conditions relève d’un tel régime. Notez cependant que dans le cas où cette personne « détermine la finalité et les moyens » du traitement, elle sera qualifiée non pas de sous-traitant, mais bien évidemment de responsable de traitement .

Il peut s’agir de prestataires informatiques d’hébergement et de maintenance, de prestataire de paye, etc.

Notez cependant que dans le cas où cette personne « détermine la finalité et les moyens » du traitement, elle sera qualifiée non pas de sous-traitant, mais bien évidemment de responsable de traitement.

Il sera de même, d’ailleurs, au regard des données traitées par le prestataire pour son propre compte.

Ceci étant, les entreprises comme les personnes publiques amenées à traiter de telles données n’ont parfois pas conscience de l’exactitude de leur statut : à cet égard, le G29 s’est attaché à faciliter cette définition en dégageant plusieurs critères  pouvant constituer un faisceau d’indices, comme « ?le niveau d’instruction donnée par le client au prestataire? », le degré de contrôle du client sur ce dernier, etc.

Néanmoins, l’avis du groupe de travail institué en vertu de l’article 29 de la directive 95/46/CE (G29) a été remplacé par les premières lignes directrices adoptées par Comité européen de la protection des données, le 2 septembre 2020, sur les notions de responsable du traitement et de sous-traitant.

Le CEPD fait la distinction entre les moyens « essentiels du traitement » qui sont déterminés par le responsable du traitement et les moyens « non-essentiels » qui sont déterminés par le sous-traitant. En principe, le sous-traitant est chargé de la réalisation du traitement pour le compte de l’autre partie, à savoir, le responsable du traitement, conformément aux instructions de ce dernier.

Toutefois, le CEPD précise que le sous-traitant est en mesure de prendre des décisions s’agissant de certains moyens « non-essentiels ». (2)

Enfin, une énième distinction est faite au regard du principe de territorialité : ainsi, le RGPD  prévoit que le statut de sous-traitant concerne aussi bien les prestataires établis au sein du territoire de l’Union européenne, que ceux basés à l’étranger, mais dont les « activités de traitement sont liées à l’offre de biens ou de services à des personnes concernées dans l’UE [ou] au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’UE » .

B) Les sanctions en cas de manquement

La Loi Informatique et Libertés de 1978 ne prévoyait aucunement de pénaliser les manquements de ce type de prestataire. C’est désormais chose faite, à travers le RGPD, qui instaure un principe de « responsabilisation de tous les acteurs impliqués dans le traitement des données personnelles ».

A cette fin, l’assise de la responsabilité se base sur un régime de sanction pour les sous-traitants n’ayant pas respecté de telles obligations. Les sous-traitants peuvent également être contrôlés par la CNIL et faire l’objet des sanctions administratives prévues par le RGPD.

Ainsi, et comme le prévoit l’article 82 du RGPD : « toute personne ayant subi un dommage matériel ou moral du fait d’une violation du règlement européen peut obtenir la réparation intégrale de son préjudice de la part du responsable de traitement ou du sous-traitant ».

Ces sanctions peuvent s’élever à un montant de plus de 20 millions d’euros ou, pour les entreprises, jusqu’à 4 % du chiffre d’affaires annuel mondial de l’exercice précédent.

Ces amendes se veulent incitatives pour les entreprises, et particulièrement envers celles dont le modèle économique se fonde exclusivement sur le traitement des données. La question demeure de savoir qu’elles sont les obligations des sous-traitants en la matière.

La formation restreinte de la CNIL, par une décision rendue le 27 janvier 2021, a sanctionné un responsable de traitement et son sous-traitant sur le fondement de l’article 32 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, au paiement des sommes de 150 000 euros et 75 000 euros.

L’article 32 du RGPD dispose que : « le responsable de traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».

En l’espèce, la formation restreinte de la CNIL avait estimé que le responsable de traitement et son sous-traitant avaient manqué à leurs obligations en matière de sécurité de traitement. Ces derniers, après avoir fait l’objet d’attaques répétées de credential stuffing sur le site internet, avaient opté pour le développement d’un outil permettant la détection et le blocage de ces attaques. Toutefois, le développement de cet outil n’a été finalisé qu’après un an et durant toute cette période les données des utilisateurs étaient exposées à des violations potentielles. La CNIL relève que durant cet intervalle, plusieurs autres mesures produisant des effets plus rapides auraient pu être envisagées afin d’empêcher de nouvelles attaques ou d’en atténuer les conséquences négatives pour les personnes.

Certes, de nouvelles obligations incombent aux sous-traitants (A) : encore faut-il prévoir leur mise en application pratique (B).

A) Les obligations du sous-traitant

L’article 28 précédemment cité souligne expressément que le sous-traitant devra « offrir à son client des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée ».

De ce régime général découlent plusieurs obligations pour le responsable de traitement, qui peuvent être regroupées en différentes catégories :

  • Une obligation de transparence, qui permettra d’informer précisément le client des formalités effectuées relatives aux traitements;
  • Une obligation de protection des données, mise en œuvre par tout moyen nécessaire et dès la conception du produit ou service en question ;
  • Une obligation de sécurisation des données, assurée par la confidentialité de ces données, la notification de toute violation  de celle-ci au client, ou encore la suppression des données au terme de la prestation ;
  • Une obligation de sécurisation des données, assurée par la confidentialité de ces données, la notification de toute violation  de celle-ci au client, ou encore la suppression des données au terme de la prestation;
  • Une obligation d’assistance, relative à la bonne exécution du traitement, impliquant une aide au client quant au respect des droits des personnes, à la sécurité des données, ou encore quand une directive du client vous semble contraire aux textes en vigueur.

B) La mise en œuvre de ces obligations

Tout d’abord, il est important de garder à l’esprit qu’au regard de tous ces changements, vous devrez certainement revoir l’ensemble des contrats avec vos clients.

En effet, ces nouvelles dispositions rendent fort probable le manque de conformité des contrats en vigueur. L’intégration de clauses en permettant leur mise en conformité apparaît ici essentielle.

D’autre part, gardez à l’esprit que si vous êtes libre de déléguer certains traitements à un sous-traitant (après autorisation écrite de votre client), celui-ci sera soumis à ces mêmes obligations, mais vous devrez répondre de ses manquements à votre client.

Sachez, par ailleurs, que si vous êtes une autorité ou un organisme public sous-traitant, ou que vous êtes amené à traiter, pour le compte de vos clients, de données sensibles ou à grande échelle, vous avez l’obligation de désigner un délégué à la protection des données , chargé de vous accompagner dans ces tâches et de s’assurer de la conformité de ces traitements.

Enfin, et puisque le RGPD poursuit cette volonté d’unifier les règles en vigueur au sein de l’UE, il paraît logique que dans le cas où vous êtes établi au sein de plusieurs pays de l’Union, vous bénéficiez effectivement du mécanisme de guichet unique, qui vous permet de dialoguer avec une seule autorité nationale de contrôle (en l’occurrence, celle de votre établissement principal).

Assurez-vous , en tant que sous-traitant, de prendre pleinement conscience des obligations qui vous incombent d’ici là, et de les mettre en œuvre le plus rapidement possible.

Pour lire une version plus complète de l’article sur le RGPD et les sous-traitants, cliquez

SOURCES :
(1) https://www.dpms.eu/rgpd/guide-rgpd-accompagner-sous-traitant/
(2) https://www.cnil.fr/sites/default/files/atoms/files/rgpd-guide_sous-traitant-cnil.pdf
(3) http://www.privacy-regulation.eu/fr/4.htm
(4) https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article28
(5) https://cnpd.public.lu/content/dam/cnpd/fr/publications/groupe-art29/wp169_fr.pdf(6) https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre1 # Article

Par internet-et-droit • Tags: , , ,

Les Smart Contracts

Il s’agit d’un contrat reposant sur un code informatique, dont l’exécution répond à des conditions prédéfinies. Malgré ce que son intitulé laisse penser, un smart contract n’est donc pas si intelligent qu’on l’imagine. Hébergé sur un réseau décentralisé comme une blockchain, il devient en revanche autonome et éternellement accessible à tous.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant , de contrefaçon ou de rédaction de contrat en passant par le formulaire !

Les smart contracts offrent un potentiel révolutionnaire en transformant la manière dont les transactions numériques sont effectuées. Leur automatisation, leur transparence, leur sécurité et leur efficacité en font des outils puissants qui peuvent réduire les coûts, simplifier les processus et renforcer la confiance entre les parties impliquées. Alors que la technologie continue de se développer, les smart contracts sont destinés à jouer un rôle de plus en plus crucial dans notre économie numérique.

Les smart contracts, ou contrats intelligents, ont émergé en tant que technologie révolutionnaire basée sur la blockchain, offrant des possibilités d’automatisation et d’exécution des contrats de manière transparente et sécurisée. Cependant, l’une des principales préoccupations juridiques entourant les smart contracts réside dans leur absence de réglementation spécifique. Cet article explore les implications juridiques de l’absence de réglementation pour les smart contracts et les défis qui en découlent.

Besoin de l’aide d’un avocat pour un problème de contrats ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

En outre, leur reconnaissance légale en France soulève des questions importantes.

De plus, les smart contracts, ou contrats intelligents, basés sur la technologie de la blockchain, offre une transparence et une immuabilité des données. Dans cet article, nous allons examiner également comment les smart contracts peuvent contribuer à renforcer la confidentialité et la protection des données personnelles.

Par ailleurs, bien que les smart contracts offrent de nombreux avantages, ils ne sont pas à l’abri des erreurs de programmation. Dans cet article, nous allons examiner les risques liés aux erreurs de programmation dans les smart contracts et les précautions à prendre pour les éviter.

Enfin, l’interprétation des termes et conditions des smart contracts soulève des défis uniques. Cet article explorera les implications de l’interprétation des termes et conditions des smart contracts et les perspectives pour surmonter ces défis.

I. Interprétation des termes et conditions

  • Complexité des termes et conditions : Les smart contracts sont souvent basés sur un code informatique complexe, ce qui rend les termes et conditions difficiles à interpréter. Les clauses contractuelles sont rédigées en langage de programmation, ce qui peut être déroutant pour les parties non techniques. Cette complexité peut entraîner des ambiguïtés ou des erreurs de programmation qui peuvent affecter la façon dont les termes et conditions sont interprétés et exécutés.
  • Interprétation objective vs subjective : L’interprétation des termes et conditions des smart contracts peut soulever la question de savoir si elle doit être objective ou subjective. Dans les contrats traditionnels, l’interprétation est souvent basée sur l’intention des parties, ce qui peut être sujet à des différences d’opinions. Dans le cas des smart contracts, l’interprétation peut être basée uniquement sur le code informatique, ce qui donne une interprétation plus objective. Cependant, cela peut conduire à des résultats imprévus ou injustes dans certaines situations.
  • Responsabilité des parties : L’interprétation des termes et conditions des smart contracts soulève également des questions de responsabilité des parties. En cas de litige concernant l’exécution d’un smart contract, il peut être difficile de déterminer qui est responsable, notamment en cas d’erreur de programmation ou d’interprétation différente des termes. Les parties peuvent se retrouver dans une situation où elles doivent assumer des conséquences imprévues ou injustes en raison de l’interprétation des termes et conditions.
  • Perspectives pour surmonter les défis : Pour surmonter les défis liés à l’interprétation des termes et conditions des smart contracts, plusieurs perspectives peuvent être envisagées. Tout d’abord, une meilleure compréhension et une éducation accrue des parties concernées, y compris des avocats et des développeurs, peuvent aider à clarifier les termes et conditions des smart contracts. De plus, l’introduction de mécanismes de résolution des litiges basés sur la blockchain, tels que l’arbitrage automatisé, peut permettre une interprétation plus rapide et plus efficace des termes et conditions.

L’interprétation des termes et conditions des smart contracts présente des défis complexes en raison de la complexité du code informatique et des différences entre l’interprétation objective et subjective. Il est essentiel de trouver un équilibre entre l’objectivité et la justice pour garantir que les parties sont traitées équitablement dans l’exécution des smart contracts. Une meilleure compréhension, une éducation accrue et l’utilisation de mécanismes de résolution des litiges basés sur la blockchain peuvent contribuer à surmonter ces défis et à renforcer la confiance dans cette technologie prometteuse.

II. Absence de réglementation spécifique

  • Cadre légal incertain : L’absence de réglementation spécifique crée un cadre légal incertain pour les smart contracts. Les lois existantes ne sont pas adaptées pour traiter les problèmes uniques posés par cette technologie. Les principes juridiques traditionnels peuvent ne pas s’appliquer directement aux smart contracts, ce qui peut entraîner une incertitude quant à leur validité, leur exécution et leur interprétation. Cette situation peut rendre difficile pour les parties impliquées de comprendre leurs droits et obligations.
  • Validation et force exécutoire : La question de la validation et de la force exécutoire des smart contracts est un sujet de préoccupation majeur en l’absence de réglementation spécifique. Dans de nombreux pays, les contrats traditionnels sont généralement valides et exécutoires si certaines conditions sont remplies, telles que l’offre, l’acceptation et la contrepartie. Cependant, les smart contracts peuvent nécessiter des critères différents pour être considérés comme valides et exécutoires. L’absence de réglementation claire peut rendre difficile la détermination de la manière dont les smart contracts doivent être formés et appliqués légalement.
  • Responsabilité contractuelle : L’absence de réglementation spécifique soulève également des questions concernant la responsabilité contractuelle des parties impliquées dans les smart contracts. En cas de litige ou de non-respect des termes contractuels, il peut être difficile d’identifier les recours disponibles et de déterminer la responsabilité des parties en l’absence de directives légales claires. Cela peut conduire à des défis juridiques dans la résolution des litiges et la protection des droits des parties.
  • Protection des consommateurs : L’absence de réglementation spécifique peut également avoir un impact sur la protection des consommateurs dans le contexte des smart contracts. Les consommateurs peuvent être confrontés à des risques tels que des termes contractuels injustes, des erreurs de programmation ou des pratiques commerciales déloyales. Sans une réglementation claire, il peut être difficile de garantir que les consommateurs sont adéquatement protégés lorsqu’ils utilisent des smart contracts.

L’absence de réglementation spécifique pour les smart contracts pose des défis juridiques importants. Le cadre légal incertain, la validation et la force exécutoire, la responsabilité contractuelle et la protection des consommateurs sont des questions qui nécessitent une attention particulière. Il est essentiel que les autorités réglementaires et les législateurs travaillent en collaboration pour élaborer des réglementations adaptées aux smart contracts, tout en prenant en compte les avantages qu’ils offrent. Une réglementation appropriée peut aider à établir des normes claires, à protéger les droits des parties impliquées et à favoriser l’adoption et la confiance dans cette technologie prometteuse.

  • Erreurs de programmation
  • Les risques d’erreurs de programmation : Comme tout programme informatique, les smart contracts peuvent contenir des erreurs de programmation. Cependant, les erreurs dans les smart contracts peuvent avoir des conséquences financières importantes, car ils sont auto-exécutables et irréversibles une fois déployés sur la blockchain. Les erreurs de programmation peuvent conduire à des failles de sécurité, des vols de fonds ou des comportements indésirables.
  • Les principales erreurs de programmation : Certaines des erreurs de programmation les plus courantes dans les smart contracts incluent les problèmes liés aux conditions, aux boucles infinies, aux problèmes de sécurité et aux problèmes de manipulation des données. Ces erreurs peuvent être dues à une mauvaise conception, à une implémentation incorrecte ou à une absence de tests rigoureux.
  • Précautions pour éviter les erreurs de programmation : Pour minimiser les risques d’erreurs de programmation, il est essentiel de suivre certaines précautions. Tout d’abord, il est important de concevoir et de planifier soigneusement le smart contract avant de le développer. Cela inclut la définition claire des objectifs, la spécification des conditions et l’identification des risques potentiels. De plus, il est essentiel de suivre les meilleures pratiques de programmation, telles que l’utilisation de bibliothèques sécurisées et l’adoption de tests rigoureux.
  • L’importance des audits de sécurité : Les audits de sécurité jouent un rôle essentiel dans la prévention des erreurs de programmation dans les smart contracts. Les experts en sécurité peuvent examiner le code du smart contract, identifier les vulnérabilités et recommander des améliorations. Faire appel à des auditeurs indépendants et expérimentés peut contribuer à renforcer la confiance dans la sécurité du smart contract.

Les smart contracts offrent de nombreuses opportunités, mais ne sont pas sans risques. Les erreurs de programmation peuvent avoir des conséquences financières importantes. Il est donc essentiel de prendre des précautions pour minimiser ces risques. En planifiant soigneusement, en suivant les meilleures pratiques de programmation et en faisant appel à des audits de sécurité, nous pouvons contribuer à renforcer la sécurité des smart contracts et à éviter les problèmes liés aux erreurs de programmation.

II. Confidentialité et protection des données

  • Transparence et immuabilité des données : Grâce à la technologie de la blockchain, les smart contracts offrent une transparence totale, permettant à toutes les parties impliquées dans une transaction d’accéder aux informations nécessaires. Cependant, cette transparence doit être équilibrée avec la protection des données personnelles. Les smart contracts peuvent garantir que seules les informations nécessaires sont partagées, tout en préservant la confidentialité des données sensibles.
  • Consentement et contrôle des utilisateurs : Les smart contracts peuvent être programmés de manière à ce que les utilisateurs aient un contrôle total sur leurs données personnelles. Par exemple, un utilisateur peut spécifier les conditions dans lesquelles ses données peuvent être utilisées et partager uniquement les informations nécessaires. Cette approche permet aux utilisateurs de donner leur consentement éclairé et de garder le contrôle sur leurs données.
  • Cryptographie et protection des données : Les smart contracts utilisent des techniques de cryptographie avancées pour protéger les données personnelles. Les informations sensibles peuvent être chiffrées avant d’être stockées sur la blockchain, ce qui garantit que seules les parties autorisées peuvent y accéder. De plus, les smart contracts peuvent être conçus pour supprimer automatiquement les données sensibles une fois que les conditions prédéfinies sont remplies.
  • Respect de la réglementation sur la protection des données : Les smart contracts peuvent être conçus pour être conformes aux réglementations sur la protection des données, telles que le Règlement général sur la protection des données (RGPD) de l’Union européenne. En intégrant des mécanismes de confidentialité et de protection des données dès la conception des smart contracts, les entreprises peuvent éviter les risques de non-conformité et garantir la confidentialité des données personnelles de leurs utilisateurs.

Les smart contracts offrent de nombreuses opportunités pour renforcer la confidentialité et la protection des données personnelles. (5) Grâce à leur transparence, leur consentement et leur cryptographie avancée, ils permettent aux utilisateurs de garder le contrôle sur leurs données tout en respectant les réglementations en matière de protection des données. En intégrant ces principes dès la conception des smart contracts, nous pouvons construire un avenir où la technologie et la protection des données personnelles vont de pair.

Par ailleurs, les smart contracts peuvent impliquer la transmission et le stockage de données sensibles, telles que des informations financières ou personnelles. La confidentialité et la protection des données sont donc des préoccupations majeures. Les risques de violation de la vie privée, de piratage informatique et de divulgation non autorisée des données doivent être pris en compte et atténués pour assurer une utilisation sécurisée des smart contracts.

III. Reconnaissance légale

  • Cadre juridique existant : En France, les smart contracts ne sont pas expressément réglementés. Cependant, la législation existante offre certains outils pour leur reconnaissance légale. Par exemple, le Code civil français reconnaît la validité des contrats conclus électroniquement, ce qui peut inclure les smart contracts. De plus, le règlement européen eIDAS sur l’identification électronique fournit un cadre pour l’authentification et la validité des contrats électroniques, y compris les smart contracts.
  • Interprétation des principes juridiques : La reconnaissance légale des smart contracts en France dépend souvent de l’interprétation des principes juridiques existants. Les tribunaux français peuvent examiner les éléments essentiels d’un contrat, tels que l’intention des parties, l’offre, l’acceptation et la contrepartie, afin de déterminer la validité d’un smart contract. Cependant, l’interprétation peut varier d’un tribunal à l’autre, ce qui peut créer une certaine incertitude juridique.
  • Initiatives réglementaires en cours : Pour clarifier la reconnaissance légale des smart contracts, la France a pris des initiatives réglementaires. Par exemple, la loi PACTE (Plan d’Action pour la Croissance et la Transformation des Entreprises) adoptée en 2019 a introduit un cadre juridique pour les titres financiers émis sur la blockchain. Bien que cela ne concerne pas directement les smart contracts, cela démontre une volonté de réglementation dans le domaine de la technologie blockchain, ce qui pourrait éventuellement s’étendre aux smart contracts.
  • Perspectives d’évolution : L’évolution de la reconnaissance légale des smart contracts en France dépendra de plusieurs facteurs. Tout d’abord, la prise de conscience et la compréhension des smart contracts par les acteurs juridiques et les institutions gouvernementales joueront un rôle clé. Ensuite, la réglementation spécifique des smart contracts pourrait être envisagée pour clarifier les questions liées à leur validité et à leur exécution. Enfin, la coopération internationale et l’harmonisation des réglementations pourraient faciliter la reconnaissance légale des smart contracts à l’échelle mondiale.

En France, la reconnaissance légale des smart contracts repose actuellement sur l’interprétation des principes juridiques existants. Bien que certaines bases juridiques soient en place, des efforts supplémentaires sont nécessaires pour clarifier leur statut et leur réglementation spécifique.

Les initiatives réglementaires en cours et une plus grande compréhension des smart contracts peuvent contribuer à établir un cadre plus solide pour leur reconnaissance légale en France. Il est essentiel de suivre de près les évolutions dans ce domaine pour garantir la sécurité juridique et promouvoir l’adoption des smart contracts dans le pays.

Les smart contracts offrent des avantages significatifs en matière d’automatisation et d’efficacité des transactions. Cependant, il est essentiel de comprendre les risques juridiques associés à cette technologie. L’interprétation des termes et conditions, l’absence de réglementation spécifique, les erreurs de programmation, la confidentialité des données et la reconnaissance légale sont autant de défis à relever. En abordant ces risques de manière proactive et en adoptant une approche réfléchie, il est possible de tirer pleinement parti des smart contracts tout en minimisant les risques juridiques.

Pour lire une version plus détaillée de cet article sur les smarts contratcts et leurs risques juridiques, cliquez

Sources :

  1. Développement de contrats intelligents | Chaîne de chaux (limechain.tech)
  2. Comment la blockchain change l’usage des contrats (latribune.fr)
  3. L’entreprise à la conquête de la « blockchain » et des « smart contracts » — Siècle Digital (siecledigital.fr)
  4. Audit Données Personnelles RGPD – Avocats Murielle Cahen (murielle-cahen.com)
  5. Donnée personnelle | CNIL
  6. Notifier une violation de données personnelles | CNIL

Par Newsletter

Qu’est-ce qu’un traitement « illicite » ?

L’article 4.1 du RGPD définit les «données à caractère personnel» comme toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»).

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Ainsi est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

De plus, l’article 6 de la loi informatique et liberté prévoit une liste des données dites sensibles. Le traitement de ces dernières est par principe interdit, en effet « Il est interdit de traiter des données à caractère personnel qui révèlent la prétendue origine raciale ou l’origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne physique ou de traiter des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique. »

Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

Quant au « traitement », c’est toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

Revenons à notre interrogation de l’article intitulée « qu’est-ce qu’un traitement illicite ».

Le 7 mai 2019, un demandeur d’asile a déposé une demande de protection internationale auprès de l’Office fédéral allemand.

Sa demande a été rejetée en se basant sur les informations contenues dans le dossier électronique « MARIS ». Ce dossier, compilé par l’Office fédéral, contient des données personnelles relatives aux demandeurs, telles que leur identité, leurs antécédents et les motifs de leur demande de protection.

Suite à ce rejet, le demandeur a décidé de contester la décision devant le tribunal administratif de Wiesbaden, en Allemagne. Dans le cadre de cette procédure, le dossier électronique « MARIS » a été transmis au tribunal.

Cependant, la légalité de cette transmission a été remise en question par le tribunal, car l’Office fédéral n’a pas été en mesure de prouver qu’il respectait les obligations prévues par le RGPD, notamment en ce qui concerne :

(1) la tenue d’un registre des activités de traitement (art. 30 RGPD) et

(2) l’établissement d’un accord pour une responsabilité conjointe (art.26 RGPD).

Le tribunal s’interroge au premier chef sur les conséquences de ces potentielles violations : le traitement en devient-il illicite au sens de l’article 17 d) RGPD, entrainant dès lors l’effacement des données ?

Avant de nous prononcer sur la l’illicéité d’un traitement de données personnelles (II), examinons la question de la licéité du traitement (I).

I. La licéité du traitement des données personnelles

A. La « base légale » d’un traitement de données personnelles ?

La base légale d’un traitement est ce qui autorise légalement sa mise en œuvre, ce qui donne le droit à un organisme de traiter des données à caractère personnel. On peut également parler de « fondement juridique » ou de « base juridique » du traitement.

Quelles sont les bases légales prévues par le RGPD ?

Il est permis de traiter des données personnelles lorsque le traitement repose sur une des 6 bases légales mentionnées à l’article 6 du RGPD :

le consentement : la personne a consenti au traitement de ses données ;

le contrat : le traitement est nécessaire à l’exécution ou à la préparation d’un contrat avec la personne concernée ;

l’obligation légale : le traitement est imposé par des textes légaux ;

la mission d’intérêt public : le traitement est nécessaire à l’exécution d’une mission d’intérêt public ;

l’intérêt légitime : le traitement est nécessaire à la poursuite d’intérêts légitimes de l’organisme qui traite les données ou d’un tiers, dans le strict respect des droits et intérêts des personnes dont les données sont traitées ;

la sauvegarde des intérêts vitaux : le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée, ou d’un tiers.

Lorsqu’un même traitement de données poursuit plusieurs finalités, c’est-à-dire plusieurs objectifs, une base légale doit être définie pour chacune de ces finalités. En revanche, il n’est pas possible de « cumuler » des bases légales pour une même finalité : il faut en choisir une seule.

Exemple : un fichier « clients et prospects » d’une entreprise peut poursuivre plusieurs finalités, qui doivent chacune reposer sur une base légale : le contrat pour la gestion des commandes, des livraisons ou du service après-vente ; l’obligation légale pour la tenue de la comptabilité ; le consentement pour les opérations de prospection commerciale par voie électronique ; etc.

B. Licéité et consentement

Le consentement est défini comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

Le consentement n’est pas un concept nouveau, puisqu’il était déjà inscrit dans la loi Informatique et Libertés. Le RGPD complète néanmoins sa définition et précise cette notion sur certains aspects, afin de permettre aux personnes concernées d’exercer un contrôle réel et effectif sur le traitement de leurs données.

Le consentement est une des 6 bases légales prévues par le RGPD autorisant la mise en œuvre de traitements de données à caractère personnel.

Le responsable de traitement doit être en mesure de démontrer la validité du recours à cette base légale.

Tout changement important des conditions de mise en œuvre du traitement (finalité, données, durées de conservation, etc.) est susceptible d’avoir une incidence sur la validité de la base légale retenue : la démarche d’évaluation de cette validité doit donc, dans ce cas, être réitérée.

4 critères cumulatifs doivent être remplis pour que le consentement soit valablement recueilli. Le consentement doit être :

Libre : le consentement ne doit pas être contraint ni influencé. La personne doit se voir offrir un choix réel, sans avoir à subir de conséquences négatives en cas de refus.

Le caractère libre du consentement doit faire l’objet d’une attention particulière dans le cas de l’exécution d’un contrat, y compris pour la fourniture d’un service : refuser de consentir à un traitement qui n’est pas nécessaire à l’exécution du contrat ne doit pas avoir de conséquence sur son exécution ou sur la prestation du service.

Par exemple, un opérateur de téléphonie mobile recueille le consentement de ses clients pour l’utilisation de leurs coordonnées par des partenaires à des fins de prospection commerciale. Le consentement est considéré comme libre à condition que le refus des clients n’impacte pas la fourniture du service de téléphonie mobile.

Spécifique : un consentement doit correspondre à un seul traitement, pour une finalité déterminée.

Dès lors, pour un traitement qui comporte plusieurs finalités, les personnes doivent pouvoir consentir indépendamment pour l’une ou l’autre de ces finalités. Elles doivent pouvoir choisir librement les finalités pour lesquelles elles consentent au traitement de leurs données.

Par exemple, un organisateur d’évènements culturels souhaite recueillir le consentement des spectateurs pour deux types de prestations : la conservation de leurs coordonnées de paiement (carte bancaire) afin de faciliter leurs prochaines réservations ; la collecte de leur adresse électronique pour leur adresser des courriels concernant des prochaines représentations. Pour que le consentement soit valide, les spectateurs doivent pouvoir consentir librement et séparément pour chacun de ces deux traitements : la conservation des coordonnées bancaires et l’utilisation de leur adresse électronique.

Eclairé : pour qu’il soit valide, le consentement doit être accompagné d’un certain nombre d’informations communiquées à la personne avant qu’elle ne consente.

Au-delà des obligations liées à la transparence, le responsable du traitement devrait fournir les informations suivantes aux personnes concernées pour recueillir leur consentement éclairé :

l’identité du responsable du traitement ;

les finalités poursuivies ;

les catégories de données collectées ;

l’existence d’un droit de retrait du consentement ;

selon les cas : le fait que les données seront utilisées dans le cadre de décisions individuelles automatisées ou qu’elles feront l’objet d’un transfert vers un pays hors Union européenne.

Univoque : le consentement doit être donné par une déclaration ou tout autre acte positif clairs. Aucune ambiguïté quant à l’expression du consentement ne peut demeurer.

Les modalités suivantes de recueil du consentement ne peuvent pas être considérées comme univoques :

les cases pré-cochées ou pré-activées

les consentements « groupés » (lorsqu’un seul consentement est demandé pour plusieurs traitements distincts)

l’inaction (par exemple, l’absence de réponse à un courriel sollicitant le consentement)

II. L’illicéité du traitement

La notion de licéité apparait ici et là dans le règlement, sans que l’on perçoive toujours la portée exacte du terme. On sent l’importance de la notion, transversale, mais moins bien sa portée exacte.

Si l’on adopte une approche restrictive, la licéité du traitement se limite à respecter les conditions de l’article 6 intitulé … « licéité du traitement ». Dans cette approche restrictive, l’illicéité du traitement viserait les hypothèses de violation de l’article 6.

Si l’on adopte à l’inverse une approche large, dans laquelle est illicite tout ce qui ne respecte pas la règle de droit ou la norme de bon comportement, l’illicéité du traitement viserait la violation de n’importe quelle disposition du RGPD.

La question est importante, non seulement par rapport aux dommages et intérêts ou aux mesures correctrices que l’autorité peut prendre, mais aussi par rapport aux dispositions du RGPD qui visent spécifiquement les hypothèses d’illicéité. La première d’entre elles étant l’article 17 d) consacré au droit à l’oubli lorsque « les données à caractère personnel ont fait l’objet d’un traitement illicite. »

A. Le rejet de l’approche restrictive

On savait déjà que l’approche restrictive n’est pas celle retenue par la CJUE.

Dans l’arrêt Google Spain, la Cour a considéré que le caractère illicite peut résulter « non seulement du fait que ces données sont inexactes mais, en particulier, aussi du fait qu’elles sont inadéquates, non pertinentes ou excessives au regard des finalités du traitement, qu’elles ne sont pas mises à jour ou qu’elles sont conservées pendant une durée excédante celle nécessaire, à moins que leur conservation s’impose à des fins historiques, statistiques ou scientifiques ».

Il en découle :

d’une part, que la Cour élargit la notion d’illicéité au-delà de la violation du seul article 6 et y englobe l’article 5 ; et

d’autre part, que la Cour semble considérer qu’une illicéité fondée sur l’article 5 peut naitre de la violation de n’importe quel principe énoncé au 1er paragraphe de cette disposition : licéité, loyauté, transparence ; limitation des finalités ; minimisation des données ; exactitude ; limitation de la conservation ; intégrité et confidentialité.

La Cour rejetait donc clairement une approche restrictive qui limiterait le concept d’illicéité aux seules violations de l’article 6.

B. Le rejet d’une approche (trop) extensive

En substance, la question préjudicielle posée par le tribunal administratif allemand porte sur l’élasticité du concept d’illicéité : une violation des articles 26 et 30, consacrés respectivement à l’établissement de règles entre responsables conjoints du traitement et à l’obligation de tenue d’un registre, constituerait-elle une illicéité au sens de l’article 17 d) (droit à l’oubli) ?

La logique du juge allemand n’est pas dénuée de logique. Puisque la CJUE a elle-même élargi la notion d’illicéité à tous les principes énoncés à l’article 5.1, pourquoi ne pas aller au bout de la logique et considérer que toute violation du RGPD est une violation du principe de responsabilité énoncé à l’article 5.2 et, dès lors, une illicéité au sens de l’article 17 d) ?

La CJUE s’y refuse.

Avant de se consacrer à l’illicéité visée à l’article 17 d), la Cour commence par s’intéresser à la notion de licéité.

Elle rappelle tout d’abord sa jurisprudence selon laquelle « tout traitement de données à caractère personnel doit être conforme aux principes relatifs au traitement des données énoncés à l’article 5, paragraphe 1, de ce règlement et satisfaire aux conditions de licéité du traitement énumérées à l’article 6 dudit règlement [voir, notamment, arrêts du 6 octobre 2020, La Quadrature du Net e.a., C‑511/18, C‑512/18 et C‑520/18, EU:C:2020:791, point 208 ; du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité), C‑439/19, EU:C:2021:504, point 96, ainsi que du 20 octobre 2022, Digi, C‑77/21, EU:C:2022:805, points 49 et 56] ».

La Cour ajoute ensuite une précision importante pour la suite du raisonnement : les articles 7 à 11 du RGPD, qui figurent, à l’instar des articles 5 et 6 de celui-ci, dans le chapitre II relatif aux principes, ont pour objet de préciser la portée des obligations incombant au responsable du traitement en vertu de l’article 5, paragraphe 1, sous a), et de l’article 6, paragraphe 1.

Il s’ensuit, selon la Cour que « le traitement de données à caractère personnel, afin d’être licite, doit également respecter, ainsi qu’il ressort de la jurisprudence de la Cour, ces autres dispositions dudit chapitre qui concernent, en substance, le consentement, le traitement de catégories particulières de données personnelles à caractère sensible et le traitement de données personnelles relatives aux condamnations pénales et aux infractions ».

Ayant posé les bases, la Cour s’attache enfin à l’hypothèse spécifique d’une violation des articles 26 et 30 : pareille violation, à la supposer établie, est-elle une illicéité au sens de l’article 17 d) qui autorise la personne concernée à exiger l’effacement de données, le lien entre les deux étant le concept de responsabilité (accountability) énoncé à l’article 5.2 ?

Elle répond par la négative, soulignant que :

Les articles 26 et 30 ne font pas partie du chapitre 2 consacré aux « principes » ;

La distinction opérée entre le chapitre 2 et le reste du règlement se reflète dans les dispositions relatives aux amendes administratives et aux mesures correctrices, qui varient selon le niveau de gravité des violations constatées ;

Cette interprétation est également corroborée par l’objectif du règlement qui est de garantir un niveau élevé de protection aux personnes concernées. Or relève la Cour, autant une violation des principes est susceptible de mettre en cause cet objectif, autant on ne peut affirmer de manière générale qu’une violation des articles 26 et 30 porte, en tant que telle, atteinte à cet objectif.

En conséquence, la Cour juge qu’une violation des articles 26 et 30 n’est pas une illicéité au sens des articles 17.1 d) (oubli) et 18.1 b) (limitation) dès lors qu’une telle méconnaissance n’implique pas, en tant que telle, une violation par le responsable du traitement du principe de « responsabilité » tel qu’énoncé à l’article 5, paragraphe 2, dudit règlement, lu conjointement avec l’article 5, paragraphe 1, sous a), et l’article 6, paragraphe 1, premier alinéa, de ce dernier.

Pour lire une version plus complète de cet article sur le traitement illicite des données, cliquez

Sources :
https://curia.europa.eu/juris/document/document.jsf?text=&docid=273289&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=12884265
https://www.cnil.fr/fr/les-bases-legales/liceite-essentiel-sur-les-bases-legales
https://www.cnil.fr/fr/les-bases-legales/consentement

Par internet-et-droit • Tags: , , ,

«< 3 4 5 6 7 >»

# Nos catégories juridiques

# Poser une question en ligne

Si vous avez une question précise à poser au cabinet d’avocats, dont vous ne trouvez pas la réponse sur le site, posez votre question en ligne.
La question sera alors payante et le montant est de 150 euros TTC. Paiement sécurisé par Paypal ou Crédit Mutuel »

# Nos articles avocat Paris

© Murielle Cahen Cabinet d’avocats Paris 2024
Powered by WordPressThemify WordPress Themes