données personelles

La CNIL et les cookies

Le délai raisonnable pour mettre en conformité les sites web et applications mobiles aux nouvelles règles en matière de cookies ne saurait excéder le 31 mars 2021.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire et un avocat enverra une lettre de mise en demeure !

Les termes de « cookie » ou « traceur » recouvrent par exemple : les cookies HTTP, les cookies « flash », le résultat du calcul d’une empreinte unique du terminal dans le cas du « fingerprinting » (calcul d’un identifiant unique du terminal basé sur des éléments de sa configuration à des fins de traçage), les pixels invisibles ou « web bugs », tout autre identifiant généré par un logiciel ou un système d’exploitation (numéro de série, adresse MAC, identifiant unique de terminal (IDFV), ou tout ensemble de données qui servent à calculer une empreinte unique du terminal (par exemple via une méthode de « fingerprinting »).

Ils peuvent être déposés et/ou lus, par exemple lors de la consultation d’un site web, d’une application mobile, ou encore de l’installation ou de l’utilisation d’un logiciel et ce, quel que soit le type de terminal utilisé : ordinateur, smartphone, tablette numérique ou console de jeux vidéo connectée à internet.

L’utilisation de ces traceurs est régie par l’article 5 de la directive ePrivacy (dir. 2002/58/CE, 12 juill. 2002, mod. dir. 2009/136/CE, 25 nov. 2009), transposée en droit français à l’article 82 de la loi n° 78-17 du 6 janvier 1978, dite loi « Informatique et Libertés » (LIL), qui renvoie pour la définition du consentement à l’article 4, 11, du Règlement général sur la protection des données (UE) 2016/679 du 27 avril 2016 (RGPD) et prévu par des lignes directrices du CEPD 05/2020 du 4 mai 2020 sur le consentement.

Auparavant, les lignes directrices de la CNIL n° 2013-378 du 5 décembre 2013 s’avéraient favorables aux exploitants des traceurs. L’entrée en vigueur du RGPD impose désormais un consentement libre, spécifique, éclairé et univoque, manifesté par un acte positif clair, rendant incompatible cette nouvelle règle avec les anciennes lignes directrices, qui se contentaient par exemple d’une simple poursuite de la navigation sur un site web pour caractériser la manifestation du consentement à l’utilisation de traceurs.

 

Besoin de l’aide d’un avocat pour un problème de données personelles ?

Téléphonez nous au : 01 43 37 75 63

ou contactez nous en cliquant sur le lien

La CNIL a ainsi édicté de nouvelles lignes directrices le 4 juillet 2019 (délib. n° 2019-093, v. Dalloz actualité, 11 sept. 2019) qui ont été partiellement censurées par le Conseil d’État le 19 juin 2020 (req. n° 434684). En parallèle, elle a élaboré un projet de recommandation précisant ses lignes directrices et qui a été soumis à consultation publique du 14 janvier au 25 février 2020.

Par ailleurs, l’article 5(3) de la directive 2002/58/CE modifiée en 2009 pose le principe :  d’un consentement préalable de l’utilisateur avant le stockage d’informations sur son terminal ou l’accès à des informations déjà stockées sur celui-ci ; sauf si ces actions sont strictement nécessaires à la fourniture d’un service de communication en ligne expressément demandé par l’utilisateur ou ont pour finalité exclusive de permettre ou faciliter une communication par voie électronique.

L’article 82 de la loi Informatique et Libertés transpose ces dispositions en droit français.

La CNIL rappelle que le consentement prévu par ces dispositions renvoie à la définition et aux conditions prévues aux articles 4(11) et 7 du RGPD. Il doit donc être libre, spécifique, éclairé, univoque et l’utilisateur doit être en mesure de le retirer, à tout moment, avec la même simplicité qu’il l’a accordé. Afin de rappeler et d’expliciter le droit applicable au dépôt et à la lecture de traceurs dans le terminal de l’utilisateur, la CNIL a adopté le 17 septembre 2020 des lignes directrices, complétées par une recommandation visant notamment à proposer des exemples de modalités pratiques de recueil du consentement.

I. Sur les opérations concernées

  1. Traceurs

Les traceurs sont définis par les lignes directrices comme « toutes les opérations visant à accéder, par voie de transmission électronique, à des informations déjà stockées dans l’équipement terminal de l’abonné ou de l’utilisateur d’un service de communications électroniques ou à inscrire des informations dans celui-ci » (pt 9). Ils incluent bien évidemment les cookies, mais aussi d’autres techniques de traçage pourvu qu’elles entrent dans le champ de l’article 82 de la LIL (pt 13). Est exclu des lignes directrices le traceur qui « soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique, soit est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur » (LIL, art. 82 ; pts 46-47), étant précisé que, si les finalités sont composites et que l’une d’entre elles au moins ne relève pas de ces exceptions, les lignes directrices s’appliquent (pt 48).

La CNIL dresse ainsi une liste des traceurs pouvant être exemptés « en l’état des pratiques portées à sa connaissance » (pt 49). La recommandation de la CNIL donne l’exemple d’un traceur gérant la préférence linguistique de l’utilisateur, bien qu’elle recommande d’informer au moins l’utilisateur de l’existence de ce traceur et de limiter son application à une période raisonnable (recommandations., pts 49-50).

  1. Traceurs de mesure d’audience

Dans ses lignes directrices, la CNIL porte plus spécifiquement son attention sur les traceurs ayant pour finalité la mesure d’audience d’un site ou d’une application (pts 50-52) qui font par ailleurs l’objet d’un communiqué de presse autonome. Ne sont pas soumis à l’article 82 de la LIL « les traceurs dont la finalité se limite à la mesure de l’audience du site ou de l’application, pour répondre à différents besoins (mesure des performances, détection de problèmes de navigation, optimisation des performances techniques ou de l’ergonomie, estimation de la puissance des serveurs nécessaires, analyse des contenus consultés, etc.) [qui] sont strictement nécessaires au fonctionnement et aux opérations d’administration courante ». La CNIL insiste sur le fait que la finalité doit être strictement limitée et que les traceurs doivent « uniquement servir à produire des données statistiquement anonymes ».

  1. Données

Selon la CNIL, l’article 82 de la LIL est applicable indépendamment du fait que les données collectées sont ou non à caractère personnel (lignes directrices, pt 14), tout en précisant néanmoins que, dès lors que les traitements portent sur des données à caractère personnel, ils ne sont pas concernés par les lignes directrices puisqu’ils sont soumis au RGPD (pt 15). Elle s’exprime plus clairement en matière de traitements de mesure d’audience, qui « sont des traitements de données à caractère personnel qui sont soumis à l’ensemble des dispositions pertinentes du RGPD » (pt 52).

Si les traceurs impliquent un traitement de données à caractère personnel, les lignes directrices de la CNIL éclairent sur la manière de déterminer le statut des acteurs (pts 32-42), notamment lorsque « plusieurs acteurs contribuent à la réalisation des opérations de lecture ou écriture visées par les présentes lignes directrices (par exemple, un éditeur de site web et une régie publicitaire déposant les traceurs lors de la consultation du site web) » (pt 33). Conformément à l’arrêt Fashion ID, en effet, l’éditeur d’un site qui dépose des traceurs et les tiers qui utilisent ces traceurs sont considérés comme des responsables conjoints de traitement dès lors qu’ils agissent pour leur propre compte (CJUE 29 juill. 2019, aff. C-40/17), ce qui implique une délimitation transparente de leurs obligations respectives

 

II.  Sur le consentement

  1. Fondement

Dès lors que les opérations entrent dans le champ de l’article 82 de la LIL, les acteurs concernés doivent s’assurer que l’utilisateur ou l’abonné délivre un consentement respectant les prescriptions de l’article 4, 11, du RGPD. Dans l’hypothèse où plusieurs acteurs contribuent aux opérations de lecture ou d’écriture du traceur, les lignes directrices précisent que l’éditeur du site web ou de l’application mobile semble être le plus à même d’informer l’utilisateur et de recueillir son consentement (pt 37). Relevons également que la CNIL constate qu’en l’état actuel de la technique, « les possibilités de paramétrage des navigateurs et des systèmes d’exploitation ne peuvent, à eux seuls, permettre à l’utilisateur d’exprimer un consentement valide » (pts 43-45

  1. Consentement libre

Relevant les motifs de la censure du Conseil d’État, qui a jugé que l’interdiction générale et absolue des cookies wall prévue par une norme de droit mou relevait d’un excès de pouvoir (CE 19 juin 2020, préc.), les lignes directrices de la CNIL ne se prononcent plus sur leur validité. Ainsi expose-t-elle que « le fait de subordonner la fourniture d’un service ou l’accès à un site web à l’acceptation d’opérations d’écriture ou de lecture sur le terminal de l’utilisateur est susceptible de porter atteinte, dans certains cas, à la liberté du consentement » (pt 17).

Si la pratique est licite ajoutent les lignes directrices, l’information devrait clairement indiquer à l’utilisateur les conséquences de ses choix (pt 18). Plus généralement, les lignes directrices rappellent qu’un consentement unique pour plusieurs finalités n’est pas valide (pt 19). À cela, la recommandation indique qu’il est possible, d’une part, de proposer un bouton acceptant ou refusant toutes les finalités et, d’autre part, de donner une information de second niveau avec, à titre d’exemple, un bouton « personnaliser mes choix » (pts 24-29).

  1. Consentement spécifique

Les lignes directrices énoncent qu’une acceptation globale des conditions générales d’utilisation ne respecte pas le principe du consentement spécifique (pt 20).

  1. Consentement éclairé

L’information doit être rédigée de manière simple et compréhensible par tous, précisent les lignes directrices. La recommandation ajoute un élément relatif aux dark patterns : « afin d’être compréhensible et de ne pas induire en erreur les utilisateurs, la Commission recommande aux organismes concernés de s’assurer que les utilisateurs prennent la pleine mesure des options qui s’offrent à eux, notamment au travers du design choisi et de l’information délivrée » (pt 10).

La CNIL dresse également une liste des informations à délivrer a minima dans ses lignes directrices (pt 24) tout en ajoutant quelques exemples concrets dans sa recommandation, sachant qu’une information peut tout à fait être délivrée sur plusieurs niveaux (pts 12-15). Concernant, enfin, les destinataires ou catégories de destinataires, tant les lignes directrices (pt 25) que la recommandation (pts 18-21) insiste sur le fait que l’utilisateur doit être en mesure d’identifier aisément les responsables du traitement et que la liste de ces personnes doit être exhaustive et tenue à jour. Il est utile de préciser que la tenue d’une telle liste va à contre-courant de certaines opinions figurant dans la consultation publique (p. 5), qui soulève la difficulté tant matérielle qu’informationnelle du respect de cette mesur

  1. Consentement univoque

La CNIL rappelle dans ses lignes directrices qu’un consentement suppose une action positive (pt 26). Reprenant l’arrêt Planet49 (CJUE 1er oct. 2019, aff. C-673/17), elle précise que ni la poursuite de la navigation ni l’utilisation de cases précochées ne constituent une action positive et qu’en leur absence, l’utilisateur doit être considéré comme ayant refusé (pt 27).

Concrètement, la recommandation indique qu’il est possible de manifester le consentement par l’utilisation de cases à cocher, décochées par défaut, ou par l’utilisation d’interrupteurs (sliders) tant qu’ils sont eux aussi désactivés par défaut et que le choix des utilisateurs est aisément identifiable (pt 23). Une autre allusion aux dark patterns est faite, où la CNIL recommande « de s’assurer [que l’information] n’est pas rédigée de telle manière qu’une lecture rapide ou peu attentive pourrait laisser croire que l’option sélectionnée produit l’inverse de ce que les utilisateurs pensaient choisir » (pt 23).

  1. Preuve du consentement

La preuve du consentement pèse sur les « organismes exploitants des traceurs, responsables du ou des traitements » (lignes directrices n° 2020-091, pt 29). La recommandation propose des solutions permettant la conservation de cette preuve (pts 46-48).

  1. Refus du consentement

Contrairement à l’acceptation qui doit être expresse, les lignes directrices exposent que le refus peut se déduire du silence de l’utilisateur et qu’il ne doit nécessiter aucune démarche (pt 30). Il doit également « pouvoir se traduire par une action présentant le même degré de simplicité que celle permettant d’exprimer son consentement » (ibid.). En cela, une seule action pour accepter, alors que plusieurs actions sont nécessaires pour refuser, n’est pas recommandée (recommandations, pts 30-34).

  1. Retrait du consentement

« Il doit être aussi simple de retirer son consentement que de le donner », indiquent les lignes directrices (pt 31). Les solutions permettant le retrait du consentement devraient figurer dans un endroit aisément accessible et à tout moment (recommandation n° 2020-092, pts 40-45).

 

III. Conservation des choix de l’utilisateur

Seule la recommandation évoque la conservation des choix de l’utilisateur qui permet une meilleure fluidité de la navigation (pts 35-39). Ainsi, la CNIL recommande de conserver ses choix, notamment afin d’éviter que des fenêtres de consentement s’ouvrent constamment, « ce qui pourrait porter atteinte à la liberté de leur choix ». Est également recommandé de renouveler le recueil du consentement à intervalles appropriés. À ce titre, la CNIL estime qu’une conservation de six mois « constitue une bonne pratique de la part des éditeurs ».

 

IV. Cookies exemptés du recueil du consentement

L’article 82 de la loi Informatique et Libertés n’impose pas d’informer les utilisateurs sur l’existence d’opérations de lecture et écriture non soumises au consentement préalable. Par exemple, l’usage par un site web d’un cookie de préférence linguistique stockant uniquement une valeur indiquant la langue préférée de l’utilisateur est susceptible d’être couvert par l’exemption et ne constitue pas un traitement de données personnelles soumis au RGPD. Toutefois, afin d’assurer une transparence pleine et entière sur ces opérations, la CNIL recommande que les utilisateurs soient également informés de l’existence de ces cookies et de leurs finalités en intégrant, par exemple, une mention les concernant dans la politique de confidentialité.

S’agissant de la conservation des choix, la CNIL observe qu’il est, en principe, nécessaire de conserver les choix exprimés par les utilisateurs durant leur navigation sur le site. En effet, à défaut de la conservation de ces choix, les utilisateurs se verraient afficher une nouvelle fenêtre de demande de consentement à chaque page consultée, ce qui pourrait porter atteinte à la liberté de leur choix.

De plus, la CNIL recommande que, lorsque le refus peut être manifesté par la poursuite de la navigation, le message sollicitant le consentement (par exemple, la fenêtre ou le bandeau) disparaisse au bout d’un laps de temps court, de manière à ne pas gêner l’utilisation du site ou de l’application et à ne pas, ainsi, conditionner le confort de navigation de l’utilisateur à l’expression de son consentement.

De manière générale, la CNIL recommande que le choix exprimé par les utilisateurs, qu’il s’agisse d’un consentement ou d’un refus, soit enregistré de manière à ne pas les solliciter à nouveau pendant un certain laps de temps. La durée de conservation de ces choix sera appréciée au cas par cas, au regard de la nature du site ou de l’application concernée et des spécificités de son audience.

Par ailleurs, dans la mesure où le consentement peut être oublié par les personnes qui l’ont manifesté à un instant donné, la CNIL recommande aux responsables de traitement de renouveler son recueil à des intervalles appropriés. Dans ce cas, la durée de validité du consentement choisi par le responsable du traitement doit tenir compte du contexte, de la portée du consentement initial et des attentes des utilisateurs.

Au regard de ces éléments, la CNIL considère, de manière générale, que conserver ces choix (tant le consentement que le refus) pendant une durée de 6 mois constitue une bonne pratique de la part des éditeurs. (4)

 

V. Mesure d’audience

Concernant les cookies de mesure d’audience exemptés du recueil du consentement, la CNIL recommande que :

Les utilisateurs soient informés de la mise en œuvre de ces cookies, par exemple via la politique de confidentialité du site ou de l’application mobile ;

Leur durée de vie soit limitée à une durée permettant une comparaison pertinente des audiences dans le temps, comme c’est le cas d’une durée de 13 mois, et qu’elle ne soit pas prorogée automatiquement lors des nouvelles visites ;

Les informations collectées soient conservées pour une durée maximale de 25 mois ;

Les durées de vie et de conservation ci-dessus mentionnées fassent l’objet d’un examen périodique.

En éfinitive, La CNIL a ainsi attiré l’attention sur la nécessité d’engager au plus vite certaines actions :

Le bandeau cookies, apparaissant notamment sur la page d’accueil d’un site web, doit détailler les finalités pour lesquelles ces cookies sont déposés sur les appareils des utilisateurs. En effet, la seule présence d’informations générales telles que « Ce site utilise des cookies » ou « Des cookies sont utilisés pour améliorer l’efficacité des services qui vous sont proposés » n’est pas suffisante.

L’utilisateur doit pouvoir accepter ou refuser les cookies avec le même degré de simplicité. La CNIL a eu l’occasion de rappeler que l’intégration d’un bouton « Tout refuser » sur le même niveau et sur le même format que le bouton « Tout accepter » permet d’offrir un choix clair et simple pour l’internaute. Il est aussi possible, par exemple, d’offrir explicitement à l’utilisateur la possibilité de refuser les traceurs en fermant le bandeau cookies. En revanche, la seule présence d’un bouton « Paramétrer » en complément du bouton « Tout accepter » tend, en pratique, à dissuader le refus et ne permet donc pas de se mettre en conformité avec les exigences posées par le RGPD.

Pour lire une version plus complète de cet article sur la  cnil et les cookies , cliquez

SOURCES :

https://www.cnil.fr/fr/cookies-la-cnil-incite-les-organismes-prives-et-publics-auditer-leurs-sites-web-et-applications#:~:text=Le%20délai%20raisonnable%20pour%20mettre,excéder%20le%2031%20mars%202021.&text=Celles-ci%20ayant%20été%20adoptées,terme%20le%2031%20mars%202021.

https://www.dalloz-actualite.fr/flash/cookies-et-autres-traceurs-lignes-directrices-et-recommandations-de-cnil#.YCuieRHPzIV

http://curia.europa.eu/juris/document/document.jsf?docid=218462&doclang=F

https://www.cnil.fr/fr/cookies-et-traceurs-comment-mettre-mon-site-web-en-conformit

http://curia.europa.eu/juris/document/document.jsf?docid=216555&doclan

Par internet-et-droit • Tags: , , ,

COMPTEURS LINKY : LA CNIL MET EN DEMEURE ENGIE ET EDF

NOUVEAU : Utilisez nos services pour faire respecter vos droits en passant par le formulaire !

Depuis  2018 tous les acteurs du numérique, mais aussi et plus largement pour toutes les entreprises, doivent être en conformité au nouveau grand texte européen en matière de données personnelles.

Guillaume Gouffier-Cha interroge Mme la ministre de la transition écologique et solidaire sur les problématiques relatives à la collecte des données par les compteurs Linky en France. La mise en place des compteurs d’électricité connectés Linky soulève depuis leur lancement craintes et interrogations. L’enregistrement et le stockage de ces données personnelles ainsi que leur utilisation, notamment leur diffusion à des tiers, posent particulièrement question. Le 11 février 2020, la CNIL a envoyé une mise en demeure à EDF et Engie pour la non-conformité du compteur communicant avec le règlement général sur la protection des données (RGPD).

L’instance reproche deux points aux fournisseurs d’énergies : un manque de clarté dans le recueil du consentement sur les données de consommation journalières ou à la demi-heure et une durée de conservation des données trop longue après la résiliation du contrat. EDF garde ainsi les consommations quotidiennes à la demi-heure cinq ans après la résiliation tandis qu’Engie garde les données de consommations mensuelles huit ans en archivage intermédiaire.

La CNIL juge ces durées « non justifiées ». En outre, ces données fournissent des informations précieuses sur les habitudes des consommateurs (à quelle heure ils sont à leur domicile, combien de personnes s’y trouvent, le type d’appareils utilisés) et sont susceptibles d’être revendues à des acteurs commerciaux. C’est donc la remise en cause du respect de la vie privée qui est en jeu. Pour toutes ces raisons, il lui demande des éclaircissements sur le respect du RGPD dans le cadre du déploiement des compteurs Linky en France.

 

Besoin de l’aide d’un avocat pour un données personelles ?

Téléphonez nous au : 01 43 37 75 63

ou contactez nous en cliquant sur le lien

La CNIL a mis en demeure les sociétés de se conformer au droit en vigueur par deux délibérations du 30 décembre 2019, rendues publiques le 11 février 2020 principalement pour deux raisons : le nombre d’utilisateurs concernés, 35 millions de compteurs seront installés d’ici 2021, et l’impact des informations communiquées sur la vie privée (révélation des heures de lever et de coucher, des périodes d’absences, du nombre de personnes présentes dans le logement). Véritables cas d’école, ces décisions opèrent une mise au point sur les modalités à respecter pour obtenir le consentement préalable des personnes concernées et sur la notion de durée de conservation.

 

1. Un consentement non spécifique et insuffisamment éclairé

Une des particularités des compteurs communicants est de permettre aux fournisseurs d’énergie de collecter des données de consommation quotidiennes et fines, en l’espèce à la demi-heure, à la condition, rappelle la CNIL, d’avoir obtenu l’accord préalable de l’abonné. Aux termes de l’article 4.11 du RGPD, ce consentement est valable lorsqu’il a été donné de manière libre, spécifique, éclairée et univoque. À défaut, il ne peut pas servir de base légale au traitement au sens de l’article 6.1, a, du règlement.

Le caractère spécifique implique que « la personne concernée doit être en mesure de donner son consentement de façon indépendante et distincte pour chaque finalité poursuivie », précise la Commission (RGPD, consid. 43 ; G29, Lignes directrices WP 259 rev.01, 28 nov. 2017, révisées le 10 avr. 2018, p. 11).

Elle ajoute que le caractère éclairé oblige à informer « la personne concernée de certains éléments cruciaux pour opérer un choix [tels que] […] (ii) la finalité de chacune des opérations de traitement pour lesquelles le consentement est sollicité (iii) les [types de] données collectées et utilisées » (WP 259 préc., p. 15).

Pour la CNIL, le consentement de l’utilisateur du compteur Linky n’est pas spécifique puisqu’il active globalement la collecte de ses données de consommation quotidienne et à la demi-heure par le biais d’une seule case à cocher, et ce pour deux (Engie) ou trois (EDF) finalités différentes, à savoir l’affichage dans l’espace client des consommations quotidiennes, l’affichage dans cet espace des consommations à la demi-heure et l’obtention de conseils personnalisés.

La Commission estime également que le consentement du client n’est pas éclairé. Dans sa délibération MED 2019-35 relative à EDF, elle critique la rédaction de la mention accompagnant la case à cocher qui fait référence à « la consommation d’électricité quotidienne (toutes les 30 minutes) ». Cette formulation risque d’induire l’abonné en erreur sur la portée de son engagement.

Les deux informations « sont présentées comme étant équivalentes, alors que les données à la demi-heure sont plus révélatrices des habitudes de vie des personnes que les données quotidiennes ». Pour Engie, le grief n’est pas explicitement formulé dans la délibération MED 2019-36, on le retrouve dans le communiqué de l’autorité de contrôle. Elle reproche au fournisseur de ne donner aucune « information suffisamment précise […] avant de recueillir le consentement, pour permettre à l’utilisateur de comprendre la différence de portée entre la collecte de “l’index quotidien” (données de consommation journalière) et la collecte de la “courbe de charge” (données de consommation fines à l’heure ou la demi-heure) ».

 

2. Des durées de conservation excessives

Selon l’article 5.1, e, du RGPD, les données à caractère personnel doivent être conservées pendant une durée qui n’excède pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.

En optant pour une conservation de cinq ans après la fin du contrat pour toutes les données de consommation, quotidiennes et à la demi-heure, en base active sans effectuer d’archivage intermédiaire, EDF a méconnu ce principe de proportionnalité. Pour la CNIL, les obligations de facturation et de mise à disposition de l’historique de consommation dans l’espace client excluent la fixation d’une durée de conservation aussi longue.

De même, en choisissant de conserver trois ans à l’issue de la résiliation du contrat les données relatives aux consommations mensuelles avant de les archiver, Engie a méconnu les règles susvisées. Cette durée n’est justifiée ni par un impératif de prospection commerciale ni par la nécessité de mettre à disposition les données dans l’espace client après la résiliation du contrat dans la mesure où le fournisseur a limité cette obligation à un an.

 

3. La mise en demeure

Pour corriger ces manquements, l’autorité enjoint aux sociétés de mettre en place de nouvelles procédures de recueil du consentement, par exemple sous forme d’une case à cocher par opération de traitement.

Les modifications devront s’appliquer aux clients dont les données de consommation ont déjà été enregistrées. À défaut, il conviendra de supprimer ces dernières. La CNIL exige aussi des sociétés qu’elles revoient leurs politiques de durée de conservation et qu’elles purgent, au besoin, les données non conformes aux nouvelles règles.

Les sociétés Engie et EDF ont trois mois pour se mettre en conformité à compter de la notification de la mise en demeure et éviter ainsi le prononcé de l’une des sanctions prévues par l’article 20 de la loi du 6 janvier 1978 modifiée. Nul doute qu’elles le feront, car, dans le cas contraire, elles risquent de se voir infliger une amende administrative pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent.

Pour lire un version plus complète de cet article sur les compteurs linky et la Cnil, cliquez

SOURCES :

https://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000034731377&cidTexte=LEGITEXT000006069565&dateTexte=20170701

Par internet-et-droit • Tags: , , , ,

La nouvelle voie de recours de protection des données crée par la CJUE

Dans une décision du 1er octobre 2019 (JOUE L 261/97, 14 oct. 2019), la Cour de justice de l’Union européenne a mis en place un mécanisme interne de contrôle sous la forme d’une nouvelle voie de recours en matière de traitement des données à caractère personnel effectué dans le cadre des fonctions juridictionnelles de la Cour.

En effet dans le cadre de leur travail, il est fréquent que les institutions européennes soient amenées à procéder au traitement des données personnelles de citoyens avec lesquelles ils échangent. (1)

Dans ce cadre, étant destinataire et détenteur d’informations à caractère personnel, il était nécessaire que le règlement s’applique aussi au traitement des données à caractère personnel dans le cadre de la mission juridictionnelle de l’Union européenne.

Il est possible de constater suite à cette récente décision, que les instituions de l’Union européenne ne peuvent se soustraire aux obligations relatives à la protection des données personnelles. Le règlement de l’Union européenne 2018/1725 émanant du parlement européen ainsi que du Conseil en date du 23 octobre 2018 concernant la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union prévoit un alignement des règles applicables aux institutions de l’Union européenne avec le Règlement général à la protection des données . (2)

Les institutions et organes de l’UE sont parfois amenés à traiter des informations à caractère personnel communiquées par des citoyens sous forme électronique, écrite ou visuelle.

Le règlement (UE) 2018/1725 précise un ensemble de règles en matière de protection des données au sein des institutions de l’Union européenne, crée une autorité de contrôle – le contrôleur des données – et en définit les fonctions et les compétences, la mission de ce dernier ne s’étend pas au traitement effectué par la Cour dans l’exercice de ses fonctions juridictionnelles. Toutefois, le règlement ménage la possibilité de la création d’un mécanisme interne de contrôle (§ 74).

 « La compétence en matière de contrôle dont est investi le Contrôleur européen de la protection des données ne devrait pas concerner le traitement des données à caractère personnel effectué par la Cour dans l’exercice de ses fonctions juridictionnelles, afin de préserver l’indépendance de la Cour dans l’accomplissement de ses missions judiciaires, y compris lorsqu’elle prend des décisions. Pour ce type d’opérations de traitement, la Cour devrait mettre en place un contrôle indépendant, conformément à l’article 8, paragraphe 3, de la Charte, par exemple au moyen d’un mécanisme interne. »

Or, comme le rappelle la Cour dans sa décision, les données à caractère personnel bénéficient de la protection au titre de l’article 19, au titre III « disposition relatives aux institutions »  du Traité de l’Union européenne et l’article 8 de la Charte des droits fondamentaux.

L’article 8, § 3, de la Charte prévoit que toute personne a droit à la protection des données à caractère personnel la concernant. Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi.

Toute personne dispose du droit à droit d’accéder aux données collectées la concernant et d’en obtenir la rectification. Le respect de ces règles est soumis au contrôle d’une autorité indépendante. (3) & (4)

La CJUE s’appuie sur le dernier point celui du contrôle soumis à une autorité indépendante, sur ce fondement, la Cour décide donc de créer une procédure de réclamation en deux temps.

Nous allons observer les précédentes voies de recours offertes au justiciable (I) avant d’observer de quelle manière s’articule la nouvelle voie de recours instaurer par la Cour de justice de l’Union européenne (II).

I. Les voies de recours existantes offertes au justiciable

Il faut ici observer la réclamation auprès d’une autorité de contrôle (A) mais aussi le droit de réclamation accordée au justiciable contre un responsable de traitement ou un sous-traitant (B).

A) La réclamation auprès et à l’encontre d’une autorité de contrôle

L’article 77 du règlement à la protection des données précise un droit de réclamation auprès d’une autorité de contrôle «  Sans préjudice de tout autre recours administratif ou juridictionnel, toute personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle, en particulier dans l’État membre dans lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation aurait été commise, si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du présent règlement (https://www.murielle-cahen.com/publications/etude-sites.asp).

L’autorité de contrôle auprès de laquelle la réclamation a été introduite informe l’auteur de la réclamation de l’état d’avancement et de l’issue de la réclamation, y compris de la possibilité d’un recours juridictionnel en vertu de l’article 78. (5)

On retrouve au terme de cet article l’ensemble des conditions requises afin de procéder à une réclamation auprès d’une autorité de contrôle.

L’article 78 du règlement à la protection des données précise qu’il est possible de déposer une réclamation à l’encontre d’une autorité de contrôle, il faut comme pour l’article 77 que sans préjudice de tout autre recours administratif ou extrajudiciaire, il faut être une personne physique ou morale afin de former le recours contre une décision juridiquement contraignante d’une autorité de contrôle la concernant. Il est nécessaire l’autorité de contrôle compétente en vertu des articles 55 et 56 ne traite pas la réclamation ou que celle-ci n’informe pas la personne concernée dans un délai de trois mois de la réclamation introduite au titre de l’article 77 du règlement à la protection des données.

L’action devra être intentée devant les juridictions de l’État membre sur le territoire duquel l’autorité est établie. Dans le cas d’une action intentée contre une décision d’une autorité précédée d’un avis ou d’une décision du comité dans le cadre du mécanisme de contrôle cohérence, l’autorité de contrôle transmet l’avis ou la décision en question à la juridiction concernée.

B) Le droit à un recours contre un responsable de traitement ou un sous-traitant

L’article 79 du règlement à la protection des données précise que chaque personne concernée a droit à un recours juridictionnel effectif dès le moment où elle considère que les droits que lui confère le présent règlement ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation du présent règlement.

Toute action contre un responsable du traitement ou un sous-traitant (https://www.murielle-cahen.com/publications/rgpd-soustraitant.asp) est intentée devant les juridictions de l’État membre dans lequel le responsable du traitement (https://www.murielle-cahen.com/publications/facebook-responsabilite.asp) ou le sous-traitant dispose d’un établissement.

Mais une telle action peut aussi être intentée devant les juridictions de l’État membre dans lequel la personne concernée a sa résidence habituelle, sauf si le responsable du traitement ou le sous-traitant est une autorité publique d’un État membre agissant dans l’exercice de ses prérogatives de puissance publique.

II. L’ouverture d’une nouvelle voie de recours

La CJUE de par cette décision a permis l’ouverture d’une nouvelle voie de recours, en commençant par la saisine du greffier de la CJUE (A) et un recours concernant les décisions du greffier (B).

A) La saisine du greffier de la CJUE

Dans un premier temps afin de mettre en application la nouvelle voie de recours, il sera nécessaire de saisir le greffier de la Cour, responsable du traitement des données à caractère personnel dans le cadre des fonctions juridictionnelles de la Cour de justice.

Celui-ci aura deux mois pour notifier sa décision au justiciable arguant de la violation de son droit à la protection de ses données personnelles. Un silence au-delà de ce délai vaudra par ailleurs décision implicite de rejet.

B) Une décision susceptible de recours devant le comité

Dans un second temps la nouvelle procédure réside dans un mécanisme de recours des décisions du greffier, auprès d’un nouvel organe interne créer à cet effet «  le comité ».

Le comité sera composé d’un président et de deux membres choisis parmi les juges et les avocats généraux de la Cour de justice et désignés par la Cour sur proposition de son président, le comité est assisté par le conseiller juridique pour les affaires administratives de la Cour et se réunit sur convocation du président.

Le requérant disposera d’un délai de deux mois afin de faire valoir et présenter sa réclamation, à compter de la notification de la décision ou de la date à laquelle la personne en a eu connaissance.

Une fois la réclamation jugée recevable, le Comité décidera de faire passer un entretien à toute personne dont il juge l’audition utile.

Le comité se verra confier de multiples pouvoir en effet celui-ci pourra annuler, réformer, ou conformer la décision litigieuse. Il devra en notifier l’auteur de la réclamation dans un délai de quatre mois à compter de l’introduction de la réclamation. Enfin, l’introduction d’un recours juridictionnel contre ladite décision mettra fin à la compétence du comité.

Pour lire un version plus complète de cet article sur la protection des données au niveau européen, cliquez

SOURCES :

Par internet-et-droit • Tags: , , , ,

Règlement général sur les données personnelles (GDPR)

En adoptant la directive 95/46/CE, l’Union Européenne a voulu encadrer le droit aux protections des données. Les États avaient cependant une marge pour appliquer cette directive. L’Union a donc décidé aujourd’hui en avril 2016, par le règlement GDPR, d’uniformiser le droit des données personnelles en Europe.

Le Parlement Européen a adopté le 14 avril 2016 le règlement GDPR qui entrera en vigueur le 24 mai 2018. Il contient la nouvelle législation européenne en matière de données personnelles . Il abroge la directive 95/46/CE qu’il remplace.

Les données représentent toutes les informations relatives à une personne identifiée ou pouvant être identifiée. Elles comprennent tant les noms et prénoms que les numéros de sécurité sociale des individus. De par leur importance, il est évident qu’elles doivent faire l’objet d’une protection spécifique.

Le législateur français a très vite protégé les données personnelles par une  » Loi relative à l’informatique, aux fichiers et aux libertés  » de 1978. Cette loi pose les principes de base de la protection des données personnelles en créant notamment la Commission Nationale de l’informatique et des libertés, la CNIL, et en citant les droits principaux des individus concernés, comme le droit d’opposition .

Plus tard, ça sera la directive européenne 95/46/CE, transposée par une loi de 2004, qui constituera le droit applicable en la matière, harmonisant ainsi le droit des données en Europe.

C’est aujourd’hui le règlement européen GDPR qui va constituer le droit positif européen. En tant que règlement, il s’appliquera directement sans transposition dans tous les 27 États membres de l’Union. Il a pour vocation principale d’étendre les droits des citoyens, ainsi que la fonction de contrôle de la CNIL et des différentes autorités de protection européennes.

I. L’impact du GDPR sur les sujets de droit

A. L’impact sur les citoyens

Le règlement GDPR a pour ambition première d’étendre les droits des citoyens européens en matière de donnée personnelle.

Pour ce faire, il pose les bases d’un encadrement des données personnelles des enfants de moins de 16 ans. Ceux-ci devront désormais obtenir une autorisation parentale pour s’inscrire sur les différents réseaux sociaux comme Facebook. Cette innovation parait logique, si bien que la plupart des États européens s’étaient déjà dotés d’une législation similaire. Ainsi, pour ne pas brusquer ces lois, le règlement permet aux États de baisser la limite d’âge jusqu’à 13 ans.

En second lieu, le règlement tend à renforcer les droits du citoyen. Il impose ainsi de donner un  » consentement explicite et positif « . En fait, pour chaque traitement de données, le consommateur devra donner explicitement son consentement . Son accord ne saurait être déduit de son comportement.
Ce droit au consentement s’accompagne de la consécration du droit à l’oubli. Grâce à ce droit, un individu peut demander le retrait, l’effacement de toute information nuisant à sa vie privée, à moins que le responsable de traitement n’invoque un  » motif légitime « , qui s’apparente à l’intérêt général.
Le GDPR oblige aussi les différentes entreprises et organismes à informer le citoyen du piratage de ses données. L’utilisateur pourra donc prendre les mesures nécessaires pour se protéger.

Enfin, il ouvre la voie à la  » class-action « , à l’action collective en cas de violations de données personnelles. Comme pour les consommateurs, ce seront des associations qui seront habilitées à mener tels recours.

B. L’impact sur les entreprises et les professionnels

Le règlement a aussi pour ambition de responsabiliser les entreprises qui traitent les données. D’abord procéduralement. Le droit des données s’appliquera en effet tant aux responsables de traitement qu’aux sous-traitants, à partir du moment où ils sont établis sur le territoire de l’Union.

Le second moyen de responsabiliser les entreprises est par l’établissement de protections conformes et adéquates, qui peuvent être contrôlées à tout moment. Pour aider les entreprises dans cette tâche, le règlement leur impose de désigner un  » DPO « , Délégué à la protection des données (http://www.murielle-cahen.com/publications/p_cnil.asp) qui a pour rôle la mise à jour constante des protections pour qu’elles répondent aux exigences européennes.

Les entreprises doivent aussi informer l’utilisateur du piratage et de la violation de ses données par une notification qui doit être envoyée dans les 72 heures suivant la violation.

Le règlement pose aussi la limite des  » données sensibles « , qui sont celles traitant par exemple de l’orientation politique ou religieuse d’un individu. Pour éviter un effet de « profilage « , les responsables de traitement doivent réaliser une étude d’impact pour déterminer si les données sensibles sont prépondérantes.

II. L’impact du GDPR sur les organismes de contrôle

 A. Le renouvellement des prérogatives des  » CNIL  » européennes

C’est d’abord géographiquement que le GDPR révolutionne les autorités de protection. En effet, les citoyens pourront dorénavant saisir l’organisme de leur propre État, quel que soit le lieu d’établissement de l’entreprise de traitement, pour n’importe quelle violation.

Les autorités de protection se voient aussi dotées d’un pouvoir de sanction administrative  agrandi. Ils pourront ordonner la rectification ou l’effacement des données aux entreprises de traitement des données.
Mais principalement, ils pourront infliger des amendes administratives pouvant être comprises entre 2 à 4% du chiffre d’affaires annuel mondial de l’entreprise, ou de 10 à 20M si l’amende est dirigée contre un organisme.

Enfin, les différentes autorités de protection européennes auront aussi un devoir de coopération lors d’opérations transnationales, c’est-à-dire qu’il concernera les citoyens de plusieurs États membres. Il y aura dans le cadre de chaque opération une  » autorité-chef de fil  » qui définira la conduite à suivre par les autres autorités de protection. Les décisions seront néanmoins prises conjointement.

B. La création d’un organisme de contrôle au niveau européen, le CEPD

Le CEPD, Comité Européen de Protection des Données, a vocation à remplacer en 2018 le G29.
Le G29 est l’organe européen indépendant qui s’occupe de la protection des données. Il a principalement un rôle consultatif auprès de la Commission Européenne à laquelle il donne des avis, il émet aussi des recommandations aux entreprises. Pour 2016, il s’est fixé quatre objectifs principaux, dont l’un est la préparation de la mise en place du CEPD en lui fixant des lignes directrices.

Le règlement dresse déjà le portrait du CEPD. Il interviendra principalement lors de la coopération des différentes autorités de protection nationales, en s’assurant de l’uniformité sur le territoire de l’Union Européenne du droit de la protection des données.

D’abord, les différentes autorités de protections nationales comme la CNIL seront toutes représentées au sein du CEPD.
Aussi, dans les opérations de coopération, l’autorité  » chef de file  » propose les mesures et les décisions. Si celles-ci font l’objet d’objection, l’affaire est portée devant le CEPD qui rendra un avis contraignant, c’est-à-dire que l’autorité  » chef de file  » aura l’obligation de suivre cet avis.

Concrètement, le CEPD représentera l’autorité suprême européenne en matière de protection des données, comme le Conseil d’État ou la Cour de cassation pour le droit français. En effet, le citoyen s’adresse en premier lieu à l’autorité nationale en cas de litige, et celle-ci s’adressera en dernier ressort au CEPD dont la décision sera définitive. Il reprendra également le rôle de conseiller auprès de la Commission Européenne qu’a actuellement le G29.

Articles en relation :

Données
Vie privée
Spamming
Consentement
Non concurrence
Cnil

Sources :

– https://www.cnil.fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-professionnels
– http://www.europarl.europa.eu/news/fr/news-room/20151217IPR08112/Protection-des-donn%C3%A9es-les-citoyens-aux-commandes

Par internet-et-droit • Tags: , ,

1 2

# Nos catégories juridiques

# Poser une question en ligne

Si vous avez une question précise à poser au cabinet d’avocats, dont vous ne trouvez pas la réponse sur le site, posez votre question en ligne.
La question sera alors payante et le montant est de 150 euros TTC. Paiement sécurisé par Paypal ou Crédit Mutuel »

# Nos articles avocat Paris

© Murielle Cahen Cabinet d’avocats Paris 2024
Powered by WordPressThemify WordPress Themes