protection des données personnelles

QUEL CONSENTEMENT SUR INTERNET ?

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Le consentement de la personne concernée est défini comme toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement (Règl. UE 2016/679 du 27-4-2016, art. 4-11).

Il en résulte que la personne concernée ne doit pas se sentir forcée à consentir. Si la personne concernée n’est pas véritablement en mesure d’exercer un choix, se sent contrainte de consentir ou subit des conséquences négatives importantes si elle ne donne pas son consentement, le consentement n’est pas valable.

La personne concernée a le droit de retirer son consentement à tout moment (Règl. UE 2016/679 du 27-4-2016, art. 7-3).

En outre, la locution « nécessaire à l’exécution d’un contrat » doit être interprétée de façon restrictive. Le traitement doit être nécessaire pour exécuter le contrat conclu avec chacune des personnes concernées. Dans le contexte du travail, ce principe peut par exemple autoriser le traitement des informations liées au salaire et au compte bancaire afin de pouvoir verser les salaires. Il doit exister un lien direct et objectif entre le traitement des données et l’objectif d’exécution du contrat ‘Groupe de travail « Article 29 » : Lignes directrices sur le consentement au sens du règlement 2016/679 du 10-4-2018).

Besoin de l’aide d’un avocat pour un problème de vie privée?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

Par ailleurs, le principe du consentement de la personne concernée est entouré de diverses garanties (RGPD art. 7) :

–  le responsable du traitement doit être en mesure de démontrer que le consentement a été effectivement donné ;

–  si la déclaration écrite de consentement porte également sur d’autres questions que celle du consentement et si elle est consécutive à une demande préalablement adressée à la personne concernée, cette demande doit être présentée sous une forme compréhensible et aisément accessible ; elle doit aussi être formulée en des termes clairs et simples ;

–  la personne concernée a le droit de retirer son consentement à tout moment ; ce retrait ne remet pas pour autant en cause la licéité du traitement fondé sur le consentement initial ;

–  au moment de déterminer si le consentement est donné librement, il convient, éventuellement, de s’assurer que l’exécution d’un contrat n’est pas subordonnée à un consentement non nécessaire à cette exécution (pratique du « couplage »).

Tel n’a pas été le cas dans un arrêt de la CJUE du 12 novembre 2020 qui juge qu’un contrat de fourniture de services de télécommunication qui contient une clause selon laquelle le client a consenti à la collecte et la conservation de son titre d’identité ne peut démontrer qu’il a valablement donné son consentement lorsque la case y afférente a été cochée par le responsable de traitement avant la signature du contrat. Il en est de même lorsque le consommateur est induit en erreur quant à la possibilité de conclure le contrat en cas de refus du traitement de ses données, ou lorsque le libre choix de s’opposer à cette collecte et à cette conservation est affecté par l’exigence d’un formulaire supplémentaire exprimant ce refus.

La CEDH dans une décision du 9 mai 2023 (CEDH, 9 mai 2023 n°31172/19 « Association les témoins de Jéhovah c/ Finlande) (1)  avait à se prononcer sur l’obligation imposée aux témoins de Jéhovah par la commission de protection des données personnelles, de recueillir le consentement des personnes à la collecte de leurs données personnelles dans le cadre de leurs activités de prédication. La CEDH a considéré que cette obligation n’est pas une violation de la liberté de conscience et de religion. Bien qu’il s’agisse d’une ingérence dans les droits de la communauté religieuse, cette dernière poursuivait un but légitime et était nécessaire dans une société démocratique. (7)

I. La case se référant à cette clause a été cochée par le responsable du traitement des données avant la signature de ce contrat

Selon l’article 4 § 1 du RGPD, la donnée à caractère personnel est toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée »); est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

En outre, la lettre de l’article 4 § 2 dispose que le « traitement » est toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliqués à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

Par ailleurs, le paragraphe 11 de l’article 4 du RGPD dispose que le « consentement » de la personne concernée est toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement.

Le consentement de la personne concernée reste essentiel pour traitement de ses données à caractère personnel par le responsable du traitement ou par ses sous-traitants. Le manquement à cette obligation est une faute imputable au responsable du traitement pour violation du consentement préalable de la personne avant toutes sortes de collectes de ses données.

La Cour de Justice de l’Union européenne par cet arrêt a voulu démontrer ou mettre en lumière l’objet même ou le but poursuivi par le RGPD en l’occurrence le renforcement des droits des personnes physiques concernées par tout traitement de leurs données à caractère personnel.

De plus, le consentement doit être éclairé. Cette qualité fait écho à l’obligation de transparence qui découle des articles 5 et 12 du RGPD et, plus particulièrement à l’obligation d’information qui s’impose au responsable de traitement en vertu des articles 13 et 14 du RGPD.

La CNIL considère que le recours à des cases précochées ou préactivées ne permet pas d’obtenir un consentement univoque. Dans le même esprit, la CJUE a jugé que le placement de cookies requiert un consentement actif des internautes de sorte qu’une case cochée par défaut est insuffisante. De plus, le recueil du consentement de l’utilisateur s’applique quand bien même les données concernées seraient à caractère personnel ou non.

Le Conseil d’État confirme cette observation de la CNIL, à travers une décision du 19 juin 2020 (CE, 10e et 9e chambre réunies, 19 juin 2020 n°430810) (2). Celui-ci précise qu’un consentement exprimé par défaut, tel que par une case pré-cochée, ne reflète pas une action active de la part de l’utilisateur et ne peut donc être considéré comme émanant d’un choix clair et délibéré permettant légitimement le recueil du consentement. La cour ajoute que le consentement obtenu dans le cadre de l’acceptation générale des conditions d’utilisation d’un service ne revêt pas un caractère spécifique conforme au RGPD.

Quand le responsable décide de fonder son traitement sur le consentement de la personne concernée, il doit être en mesure de démontrer qu’il a obtenu ce consentement.

La CJUE a précisé que le responsable du traitement doit être en mesure de démontrer le consentement de la personne concernée à la collecte et à la conservation de ses données à caractère personnel. La seule présence d’une clause contractuelle, cochée à l’avance par les agents de vente, précisant que le client a consenti, ne permet pas de prouver l’existence d’un consentement valable (CJUE, 11 nov. 2020, aff. C-61/19, Orange Romania).

La CNIL dans une délibération rendue le 24 novembre 2022 n°SAN-2022-021 (3), avait à se prononcer sur un contrat conclu entre la société EDF et un courtier en données. Celle-ci précise que le responsable de traitement reste garant de l’obtention du consentement des personnes prospectées et ne peut se décharger de sa responsabilité en cas de manquement de son contractant, à moins qu’il n’ait mis en place des mesures de contrôle adéquates. (8)

2. Les stipulations contractuelles dudit contrat sont susceptibles d’induire la personne concernée en erreur quant à la possibilité de conclure le contrat en question même si elle refuse de consentir au traitement de ses données

Conformément aux lignes directrices dégagées par le CEPD (Lignes directrices CEPD n° 05/2020, 4 mai 2020), le consentement est libre quand il n’est pas contraint, ni influencé. La personne doit se voir offrir un choix réel, sans avoir à subir de conséquences négatives en cas de refus. En ce sens, l’article 7 du RGPD dispose qu’« au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat ».

Cela semble revenir à l’idée que le consentement ne peut être considéré comme valable quand il est donné dans le but de profiter d’un produit ou d’un service pour la fourniture duquel un traitement de données n’est pas nécessaire. Le CEPD donne l’exemple d’un fournisseur de site web qui bloque la visibilité du contenu, sauf si l’utilisateur clique sur le bouton « Accepter les cookies ». La personne concernée ne dispose pas d’un véritable choix, son consentement n’est donc pas donné librement.

La CNIL dans une délibération rendue le 15 juin 2023 (SAN-2023-009) (4) a sanctionné une société spécialisée dans la publicité en ligne pour ne pas avoir vérifié que les personnes dont elle traite les données par l’intermédiaire de cookies avaient donné leur consentement. À cette occasion, elle détaille les conditions requises pour prouver le consentement des individus lorsque des cookies tiers sont déposés sur un site web.

Le responsable peut tout d’abord mettre en œuvre un traitement nécessaire soit à l’exécution d’un contrat auquel la personne concernée est partie, soit à l’exécution de mesures précontractuelles prises à la demande de celle-ci. Comme le consentement, la base légale contractuelle se révèle être souvent utilisée en pratique.

Le responsable peut également faire reposer la licéité de son traitement sur le respect d’une obligation légale à laquelle il est soumis, la sauvegarde des intérêts vitaux de la personne concernée ou encore l’exécution d’une mission d’intérêt public ou la mise en œuvre d’un traitement relevant de l’exercice de l’autorité publique dont il est investi.

En dernier lieu, la loi du 6 janvier 1978 et le RGPD prévoient la possibilité de mettre en œuvre un traitement quand ce dernier est « nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant » (L. n° 78-17, 6 janv. 1978, art. 5, 6° RGPD, art. 6, § 1, f). C’est ainsi au responsable de déterminer à quel moment ses intérêts ou ceux d’un tiers doivent prévaloir sur ceux de la personne concernée.

La CEDH dans une décision du 8 septembre 2022 (CEDH, 5e sect., 8 sept. 2022, nos 3153/16 et 27758/18, Drelon c/ France) (5) devait se prononcer sur une collecte de données effectuée par un établissement français du sang. À cette occasion, elle a rappelé que le seul fait que le responsable de traitement puisse collecter les données personnelles au regard du but poursuivi est insuffisant à rendre ce traitement illicite. Il faut en plus que les données collectées soient exactes, mises à jour, pertinentes et non excessives au regard des finalités du traitement des données. (10)

Dans tous les cas la personne concernée doit être informée de la collecte de ses données conformément au RGPD et son consentement devra être recueilli sans ambiguïté sauf exception édictée par ledit RGPD.

 3. Le libre choix de s’opposer à cette collecte et à cette conservation est affecté indûment par ce responsable, en exigeant que la personne concernée, afin de refuser de donner son consentement, remplisse un formulaire supplémentaire faisant état de ce refus

La personne concernée est libre de consentir à la collecte de ses données à caractère personnel. Certes, le RGPD prévoit encore la possibilité pour les personnes concernées de « s’opposer à tout moment » au traitement de leurs données (art. 21 (1)). Elles ne peuvent toutefois plus le faire selon les mêmes modalités.

Aux termes du règlement européen, l’exercice du droit d’opposition n’a en effet vocation à s’appliquer qu’à l’encontre des traitements nécessaires à « l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement, ou en raison des intérêts légitimes du responsable du traitement » (RGPD, consid. no 69 et art. 21 (1), par renvoi à, art. 6 (1) e) ou f)).

Dans de telles circonstances, les seules possibilités de mettre fin au traitement seront donc soit de recourir au droit à l’effacement (RGPD, art. 17), soit de retirer son consentement (RGPD, art. 7 (3)) avec l’avantage de ne pas devoir justifier de « motif légitime » (voir en ce sens, Maisnier-Boché L., art. préc.).

Ce qui implique dans les deux hypothèses que de telles actions soient nécessairement exercées après que le traitement ait été mis en œuvre et non avant (RGPD, art. 99 (2)). Sans compter qu’aucune disposition ne semble par ailleurs pouvoir être invoquée pour faire valoir le droit d’opposition en cas de traitement de données personnelles nécessaire à l’exécution d’un contrat ou de mesures précontractuelles (RGPD, art. 6 (1) b) ; voir également en ce sens, Maisnier-Boché L., art. préc.) ou celui – mais l’exception est plus admissible compte tenu des risques encourus – nécessaire à la sauvegarde des intérêts vitaux (RGPD, art. 6 (1) d)).

Le Conseil d’État, dans une décision rendue le 20 décembre 2023 (CE, 20 décembre 2023 n°430810) (6), devait se prononcer sur le droit à l’effacement d’un politicien souhaitant obtenir le déréférencement d’un article de presse le concernant. Celui-ci, par une mise en balance du droit à la protection des données à caractère personnel et le droit à la liberté d’information du public, sur des questions d’intérêt public, a rejeté cette demande de déréférencement.(11)

À cette limite, importante donc, le règlement européen apporte au moins deux précisions utiles. La première est que le droit d’opposition vaut bien en cas de profilage et qu’il continue de s’appliquer en matière de prospection (RGPD, art. 21 (2)), à des fins commerciales comme non-commerciales notamment associatives ou politiques.

La deuxième concerne les conséquences de l’exercice du droit d’opposition. Aussi évidentes soient-elles, il n’en demeurait pas moins pertinent de rappeler que « lorsque la personne concernée s’oppose au traitement à des fins de prospection, les données à caractère personnel ne sont plus traitées à ces fins » (RGPD, art. 21 (3)). Ce qui, comme du reste actuellement, ne devrait toutefois pas avoir pour conséquence d’interdire la mise en place de listes d’opposition, justement dans la mesure où elles poursuivent une finalité propre, à savoir garantir l’exercice effectif de ce droit.

Selon l’article 6 § 1.b du RGPD, le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci.

Toutefois, lorsque le responsable du traitement coche au préalable la case de consentement de la collecte des données personnelles des clients, ce dernier ne met pas en évidence le caractère libre du client pour consentir ou non à la collecte de ses données personnelles. Autrement dit, il affecte même le caractère licite de la collecte des données personnelles des personnes concernées au regard de l’article 6 du RGPD.

Le Conseil d’État dans un arrêt du 19 juin 2020 (CE, 19 juin 2020, n°430810) a condamné la société Google sur ce fondement. Ce dernier souligne que le consentement donné au moyen d’une case pré-cochée ne résulte pas d’une action active de la part de l’utilisateur et ne peut donc être considéré comme provenant d’une décision claire et volontaire. (9)

SOURCES :

1)  CEDH, 9 mai 2023 n°31172/19 « Association les témoins de Jéhovah c/Finlande :https://hudoc.echr.coe.int/fre#{%22itemid%22:[%22002-14070%22]}

(2) CE, 10e et 9e chambre réunies, 19 juin 2020 n°430810 : https://www.legifrance.gouv.fr/ceta/id/CETATEXT000042040546
(3) CNIL, délibération SAN-2022-021 du 24 novembre 2022 : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000046650733

(4) CNIL, Délibération SAN-2023-009 du 15 juin 2023

(5) CEDH, 5e sect., 8 sept. 2022, nos 3153/16 et 27758/18, Drelon c/ France https://hudoc.echr.coe.int/fre#%7B%22itemid%22:%5B%22001-219069%22%5D%7D

(6) CE, 19 juin 2020, n°430810 : https://www.legifrance.gouv.fr/ceta/id/CETATEXT000042040546

(7) https://www-labase-lextenso-fr.ezpum.scdi-montpellier.fr/lessentiel-droit-de-la-famille-et-des-personnes/DFP201o3?em=consentement%20collecte%20des%20donn%C3%A9espar%20

(8) https://www-labase-lextenso-fr.ezpum.scdi-montpellier.fr/lessentiel-droit-de-la-distribution-et-de-la-concurrence/DDC201h3?em=responsable%20de%20traitement%20consentement

(9) https://www-labase-lextenso-fr.ezpum.scdi-montpellier.fr/gazette-du-palais/GPL383j7?em=consentement%20%C3%A9clair%C3%A9%20donn%C3%A9es

(10) https://www-labase-lextenso-fr.ezpum.scdi-montpellier.fr/lessentiel-droit-de-la-famille-et-des-personnes/DFP201a6?em=collecte%20de%20donn%C3%A9es%20

(11) https://www-labase-lextenso-fr.ezpum.scdi-montpellier.fr/gazette-du-palais/GPL459j2?em=droit%20%C3%A0%20l%27effacement

Par internet-et-droit • Tags: , , , ,

Validité juridique des testaments numériques et des héritages numériques

Dans notre société de plus en plus numérisée, de nombreuses questions juridiques émergent concernant la validité des testaments et des héritages numériques. Alors que de plus en plus de personnes stockent leurs informations et leurs biens en ligne, il est essentiel de comprendre les implications légales de ces actes.

NOUVEAU : Utilisez nos services pour faire valoir vos droits en passant par le formulaire !

Le testament numérique fait référence à un document juridique qui indique comment une personne souhaite que ses biens numériques soient gérés et distribués après son décès. Ces biens numériques peuvent inclure des comptes de médias sociaux, des fichiers en ligne, des bitcoins et d’autres actifs numériques. Alors que les testaments traditionnels sont généralement rédigés sur papier et conservés physiquement, les testaments numériques sont créés et stockés électroniquement.

La validité juridique des testaments numériques soulève de nombreux défis. Tout d’abord, il est crucial de s’assurer que le testament est authentique et qu’il reflète réellement les souhaits du testateur. La question de l’authenticité peut être résolue par le recours à des mesures de sécurité, telles que l’utilisation de signatures électroniques et de méthodes de cryptage. Cependant, il est important de noter que les lois varient d’un pays à l’autre en ce qui concerne la reconnaissance des signatures électroniques et des testaments numériques.

En outre, il est essentiel de garantir que le testament numérique est clair et non ambigu. Les testateurs doivent être précis sur la distribution de leurs biens numériques et spécifier clairement les bénéficiaires et les conditions de distribution. Cela peut aider à éviter les conflits et les litiges potentiels entre les héritiers. Un autre défi majeur réside dans la préservation et l’accès aux biens numériques après le décès du testateur. Contrairement aux biens physiques qui peuvent être facilement identifiés et transférés aux héritiers, les biens numériques peuvent être dispersés sur différentes plateformes en ligne et nécessitent un accès sécurisé.

Besoin de l’aide d’un avocat pour un problème de succession ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

Les testateurs doivent prendre des mesures pour documenter et partager les informations d’identification nécessaires à l’accès à leurs comptes en ligne, tout en veillant à ce que ces informations restent confidentielles et protégées contre les abus.

Enfin, il est important de noter que les lois en matière de testaments et d’héritages numériques sont encore en évolution. De nombreux pays n’ont pas encore adopté de législation spécifique concernant ces questions. Cela crée un terrain juridique complexe et incertain pour les individus qui souhaitent créer des testaments numériques et gérer des héritages numériques.

En France, la loi pour une République numérique, promulguée en 2016, a introduit des dispositions spécifiques pour réglementer l’accès aux héritages numériques. Selon cette loi, les utilisateurs peuvent désigner un « héritier numérique » qui aura accès à leurs comptes numériques après leur décès.

I. Les Testaments Numériques

A. Définition des testaments numériques et leur pertinence dans le monde moderne.

Les testaments numériques, également connus sous le nom de testaments électroniques, sont des documents testamentaires créés et stockés sous forme électronique. Ils visent à exprimer les souhaits d’une personne quant à la distribution de ses biens après son décès, tout en utilisant des moyens numériques pour les rédiger, les stocker et les transmettre.

Dans le monde moderne, l’émergence des testaments numériques est le reflet de la dématérialisation croissante des aspects de notre vie, y compris les questions juridiques et successorales. Avec une grande partie de nos informations et possessions stockées en ligne, il devient de plus en plus pertinent d’envisager la rédaction de testaments numériques pour garantir la transmission correcte des biens et des données numériques après notre décès.

La pertinence des testaments numériques dans le monde moderne réside dans leur capacité à offrir une flexibilité accrue et une accessibilité améliorée par rapport aux testaments traditionnels. Les testaments numériques permettent souvent une mise à jour plus facile et rapide des dispositions testamentaires, ainsi qu’une conservation sécurisée des informations numériques importantes pour les héritiers. Cependant, la validité juridique des testaments numériques soulève des questions complexes en raison de la nécessité de garantir l’authenticité, l’intégrité et la volonté réelle du testateur.

En France, bien que les testaments numériques ne soient pas encore pleinement réglementés, leur reconnaissance et leur validité peuvent dépendre de divers facteurs, tels que l’identification du testateur, la preuve de sa volonté claire et libre de toute pression, et la sécurisation adéquate du document.

Ainsi, les testaments numériques offrent une alternative moderne aux testaments papier traditionnels, mais leur validité juridique nécessite une attention particulière pour s’assurer qu’ils respectent les exigences légales et les normes de sécurité nécessaires pour protéger les droits des parties concernées.

B. Analyse des lois françaises actuelles concernant la validité des testaments numériques.

En France, la validité des testaments numériques est régie par le Code civil, qui reconnaît la liberté de forme pour la rédaction d’un testament. Cela signifie que les testaments peuvent être rédigés sur support électronique, tels que les documents numériques ou les e-mails, et ils sont considérés comme valides s’ils respectent certaines conditions.

Tout d’abord, le testateur doit être en pleine capacité mentale au moment de la rédaction du testament. Cela signifie qu’il doit être capable de comprendre la portée de ses actes et de prendre des décisions en toute lucidité.

De plus, le testateur doit clairement exprimer sa volonté de transmettre ses biens à des bénéficiaires spécifiques. Il est donc important d’être précis et sans équivoque dans la rédaction du testament numérique.

En ce qui concerne la signature du testament numérique, le Code civil permet l’utilisation de la signature électronique pour attester de la validité du document. La signature électronique est définie par le Code civil comme « l’ensemble des données attachées, associées ou logiquement liées à d’autres données électroniques, utilisées par le signataire pour signer ». Ainsi, la signature électronique peut prendre différentes formes, comme un mot de passe, un code PIN, une empreinte digitale ou une signature numérique. Cependant, il convient de noter que la validité des testaments numériques peut être contestée en cas de litige. Par exemple, si des doutes subsistent quant à la capacité mentale du testateur au moment de la rédaction du testament ou si la validité de la signature électronique est remise en question, il est possible que le tribunal examine attentivement les circonstances entourant le testament numérique et prenne une décision en conséquence.

En outre, il est important de souligner que les règles concernant les testaments numériques peuvent varier en fonction des pays.

Il est donc recommandé de consulter un professionnel du droit spécialisé en droit des successions pour obtenir des conseils juridiques spécifiques à votre situation. En conclusion, les lois françaises reconnaissent la validité des testaments numériques, à condition qu’ils respectent les conditions énoncées par le Code civil. Cependant, il est essentiel de prendre en compte les spécificités de chaque situation et de consulter un expert en droit des successions pour s’assurer de la validité juridique d’un testament numérique.

C. Conditions requises pour qu’un testament numérique soit considéré comme valide en France.

Pour qu’un testament numérique soit considéré comme valide en France, plusieurs conditions doivent généralement être remplies. Voici quelques-unes des conditions requises pour qu’un testament numérique soit considéré comme valide en France :

  1. Identification du Testateur : Le testament numérique doit clairement identifier le testateur, la personne qui rédige le testament et exprime sa volonté quant à la distribution de ses biens après son décès. Une identification précise du testateur est essentielle pour garantir l’authenticité du testament.
  2. Manifestation de la Volonté : Le testament numérique doit clairement exprimer la volonté du testateur en ce qui concerne la répartition de ses biens. La volonté du testateur doit être formulée de manière non ambiguë, sans équivoque, et doit refléter ses souhaits de manière précise.
  3. Absence de Pression : Il est crucial que le testateur rédige le testament numérique de manière libre et sans pression extérieure. Tout élément de coercition, de manipulation ou d’influence indue peut remettre en question la validité du testament.
  4. Forme et Contenu : Le testament numérique doit respecter les formes légales requises. Il doit être rédigé dans un format électronique approprié, être daté et signé électroniquement par le testateur. De plus, le contenu du testament doit être complet et détaillé, incluant une liste précise des biens à transmettre et des bénéficiaires désignés.
  5. Sécurisation du Document : Il est crucial de garantir la sécurité et l’intégrité du testament numérique pour éviter toute altération ou manipulation ultérieure. Des mesures de sécurité adéquates doivent être prises pour protéger le document contre toute falsification ou accès non autorisé.
  6. Signature électronique : Le testament numérique doit être signé électroniquement par le testateur. La signature électronique est définie par le Code civil comme « l’ensemble des données attachées, associées ou logiquement liées à d’autres données électroniques, utilisées par le signataire pour signer ».

En respectant ces conditions et en veillant à ce que le testament numérique soit rédigé conformément aux exigences légales en vigueur, il est plus probable que le testament soit considéré comme valide en France.

II. Les Héritages Numériques

A. Explication des héritages numériques et de leur gestion après le décès du titulaire.

Un héritage numérique fait référence à l’ensemble des biens et des données numériques qu’une personne laisse derrière elle après son décès. Il peut s’agir de comptes en ligne, de fichiers numériques, de médias sociaux, de courriels, de photos, de vidéos et d’autres éléments numériques qui ont une valeur sentimentale, financière ou juridique. La gestion d’un héritage numérique après le décès du titulaire peut être complexe et soulève plusieurs questions juridiques et pratiques.

Voici quelques éléments à prendre en compte :

  1. Identification des actifs numériques : Il est important de dresser une liste complète des comptes en ligne, des appareils électroniques et des fichiers numériques que le défunt possédait. Cela peut inclure les médias sociaux, les comptes de messagerie, les comptes bancaires en ligne, les plateformes de streaming, les services de stockage en ligne, etc.
  2. Accès aux comptes : Pour gérer les héritages numériques, il est essentiel d’avoir accès aux comptes en ligne du défunt. Il peut être nécessaire de fournir des documents légaux, tels qu’un certificat de décès, pour obtenir l’accès à certains comptes. Certaines plateformes offrent également des procédures spécifiques pour gérer les comptes d’une personne décédée.
  3. Désignation d’un exécuteur numérique : Il peut être utile de désigner une personne de confiance comme exécuteur numérique dans votre testament ou dans un document spécifique. Cette personne sera chargée de gérer vos actifs numériques après votre décès, en respectant vos souhaits et en se conformant aux règles et politiques des différentes plateformes.
  4. Transfert ou suppression des comptes : En fonction de vos souhaits et des politiques des différentes plateformes, il peut être nécessaire de transférer les comptes à un bénéficiaire désigné ou de les supprimer. Certains services offrent également la possibilité de conserver les comptes en tant que mémorial ou de les fermer définitivement.
  5. Protection des données sensibles : Il est important de prendre des mesures pour protéger les données sensibles du défunt, telles que les informations financières ou les informations personnelles. Cela peut inclure la suppression des données, le changement des mots de passe ou le transfert des informations à des bénéficiaires désignés. Il convient de noter que les lois et les politiques concernant les héritages numériques varient d’un pays à l’autre.

La gestion des héritages numériques après le décès d’une personne peut être complexe. Il est important de dresser une liste des actifs numériques, d’obtenir l’accès aux comptes en ligne, de désigner un exécuteur numérique et de prendre des mesures pour protéger les données sensibles.

B. Présentation des dispositions légales en France régissant la transmission des données numériques.

En France, la question de la transmission des héritages numériques est devenue de plus en plus pertinente avec la numérisation croissante de nos vies. Les données numériques telles que les comptes en ligne, les médias sociaux, les documents stockés sur le cloud et autres actifs numériques peuvent avoir une grande valeur sentimentale et financière pour les héritiers. Afin de régir la transmission de ces héritages numériques, la France a mis en place des dispositions légales spécifiques :

  1. Loi pour une République Numérique (2016) : Cette loi a introduit des dispositions relatives à la gestion des données numériques après le décès d’une personne en France. Elle permet aux utilisateurs de services en ligne de désigner une personne de confiance chargée de gérer leurs données après leur décès.
  2. Règlement Général sur la Protection des Données (RGPD) : Le RGPD, en vigueur dans l’Union européenne, inclut des dispositions sur la protection des données personnelles, y compris après le décès de l’individu. Les héritiers peuvent avoir des droits spécifiques concernant les données personnelles du défunt.
  3. Legs Numérique : La notion de « legs numérique » est émergente et vise à reconnaître les actifs numériques comme faisant partie de la succession. Il peut être judicieux d’inclure des dispositions spécifiques concernant la gestion et la transmission des actifs numériques dans un testament.
  4. Politiques des Fournisseurs de Services en Ligne : Certains fournisseurs de services en ligne ont des politiques spécifiques concernant la gestion des comptes après le décès de l’utilisateur. Il est important de connaître ces politiques et de prendre des mesures pour faciliter la transmission des données numériques.

En résumé, la France a mis en place des cadres juridiques et des dispositions visant à régir la transmission des héritages numériques. Il est recommandé aux individus de planifier la gestion de leurs données numériques après leur décès en prenant en compte ces aspects légaux et en communiquant clairement leurs souhaits à leurs héritiers.

C. Recommandations pour une planification efficace des héritages numériques.

La planification efficace des héritages numériques est devenue de plus en plus importante à mesure que nos vies deviennent de plus en plus numériques. Voici quelques recommandations pour une planification efficace des héritages numériques en France :

  1. Inventaire des Actifs Numériques : Commencez par dresser un inventaire de tous vos actifs numériques, tels que les comptes en ligne, les médias sociaux, les comptes bancaires en ligne, les documents stockés sur le cloud, les photos, les vidéos, etc. Identifiez les éléments de valeur et ceux qui pourraient nécessiter une gestion spécifique.
  2. Désignation d’un Exécuteur Numérique : Désignez une personne de confiance chargée de gérer vos actifs numériques après votre décès. Assurez-vous de lui fournir toutes les informations nécessaires pour accéder à vos comptes en ligne et gérer vos données numériques conformément à vos souhaits.
  3. Rédaction d’un Testament Numérique : Si vous avez des actifs numériques importants, envisagez de rédiger un testament numérique spécifiant comment vous souhaitez que vos données numériques soient gérées et transmises après votre décès. Consultez un professionnel du droit pour vous assister dans cette démarche.
  4. Informations et Instructions Claires : Fournissez des instructions claires à votre exécuteur numérique sur la manière de gérer vos actifs numériques, y compris la suppression de comptes, la conservation de souvenirs numériques, ou la transmission de certaines données à des proches.
  5. Conservation des Mots de Passe : Assurez-vous que votre exécuteur numérique a accès à vos mots de passe et informations d’identification nécessaires pour accéder à vos comptes en ligne. Vous pouvez utiliser des gestionnaires de mots de passe pour stocker et partager ces informations en toute sécurité.
  6. Mise à Jour Régulière : Pensez à mettre à jour régulièrement votre planification des héritages numériques en fonction des changements dans votre vie numérique, tels que la création de nouveaux comptes en ligne, la modification des mots de passe, etc.

En suivant ces recommandations et en planifiant efficacement la gestion de vos héritages numériques, vous pouvez faciliter la transmission de vos données numériques après votre décès et garantir qu’elles sont gérées conformément à vos souhaits.

Pour lire un article plus complet sur les testaments et héritages numériques, cliquez

Sources :

LOI n° 2016-1321 du 7 octobre 2016 pour une République numérique (1) – Légifrance (legifrance.gouv.fr)
Le cadre européen | CNIL

Par internet-et-droit • Tags: , , , , , , ,

DEMARCHAGE TELEPHONIQUE ET RGPD

Le 21 novembre 2019, la formation restreinte de la Commission nationale de l’informatique et des libertés a condamné la société Futura Internationale à une amende de 500 000 euros en raison de manquements graves et persistants au règlement (UE) 2016/679 du 27 avril 2016 (RGPD) dans le cadre d’opérations commerciales.

NOUVEAU : Utilisez nos services pour faire retirer par un avocat un contenu concernant votre vie privée !

Plus connu pour son encadrement des traitements de données à caractère personnel collectées en ligne, le règlement général sur la protection des données du 27 avril 2016 (RGPD) s’applique également à la pratique du démarchage téléphonique.

Par une délibération du 21 novembre 2019, la Commission nationale informatique et libertés (CNIL) a prononcé une sanction financière significative à l’encontre de la société Futura Internationale, laquelle s’est vu reprocher pas moins de cinq manquements au RGPD dans le cadre de ses opérations commerciales.

I. Une mise en demeure manifestement ignorée

Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien

Futura Internationale est une entreprise spécialisée dans la rénovation énergétique des domiciles de particuliers. Ses activités de prospection commerciale téléphonique sont sous-traitées auprès de centres d’appels pour la plupart situés hors de l’Union européenne.

Dès février 2018, la CNIL est alertée par la plainte d’une personne dénonçant le démarchage téléphonique récurant de la société Futura Internationale alors même que l’intéressée avait, plusieurs mois auparavant, exercé son droit d’opposition à la prospection, oralement puis par courrier adressé au siège de la société.

Le contrôle diligenté par la CNIL a notamment permis de constater que la société ne disposait pas de mécanisme centralisé permettant de prendre en compte les demandes d’opposition formulées par les personnes démarchées.

La délégation de la CNIL a par ailleurs observé que les données personnelles des personnes démarchées étaient associées à des commentaires excessifs, parfois injurieux ou relatifs à l’état de santé des intéressés.

Des enregistrements de conversations entre téléopérateurs et prospects ont également permis d’établir que les personnes contactées n’étaient pas systématiquement averties de l’enregistrement de l’appel et ne bénéficiaient pas d’une information relative au traitement de leurs données personnelles.

Face à ces différents manquements, la CNIL a mis en demeure Futura Internationale de se mettre en conformité avec le RGPD. Faute de réponse satisfaisante de la part de l’entreprise, une procédure de sanction a été engagée à son encontre sur décision de la présidente de la CNIL.

II. La détermination de la loi applicable

Cette affaire a tout d’abord été l’occasion pour l’autorité de contrôle de rappeler qu’en matière de manquement continu, il convient de tenir compte de la loi applicable lors du dernier état du manquement, en l’espèce le RGPD. Le contrôle de la CNIL avait débuté sous l’empire de la loi n° 78-17 du 6 janvier 1978, mais les infractions observées constituaient des manquements continus ayant perduré jusqu’à la notification du rapport de sanction, soit postérieurement à l’entrée en vigueur du RGPD. Futura Internationale a d’ailleurs tenté de justifier la persistance de ses manquements en soulignant la difficulté de se conformer à un cadre juridique nouveau dans un temps court. À cette argumentation, la CNIL n’a pas manqué d’opposer que la plupart des manquements constatés portaient sur des obligations préexistantes dans la loi de 1978.

En outre, notons que l’avènement loi n° 2020-901 du 24 juillet 2020 visant à encadrer le démarchage téléphonique et à lutter contre les appels frauduleux, dite loi Naegelen, a été marqué par la mise en place et la modification de plusieurs dispositions du Code de la consommation. Désormais, le démarchage téléphonique est conditionné par la satisfaction d’une multitude de critères dont notamment la mise en place d’une charte de bonnes pratiques, un audit de la société Bloctel, la présentation de l’identité de l’appelant ainsi que sa société, la lutte contre la fraude aux numéros surtaxés et un renforcement des sanctions en cas d’entrave aux dispositions du RGPD et du dispositif Bloctel.

Pour faire suite à cette loi, l’encadrement des jours, horaires et fréquence des appels téléphoniques à des fins de prospection commerciale non-sollicitée ont été précisées par un décret en date du 13 octobre 2022. Applicable à partir du 1er Mars 2023, ce décret a pour objectif de protéger la vie privée des consommateurs et mettre fin au démarchage téléphonique abusif à toute heure. (7)

Le démarchage téléphonique des consommateurs pourra avoir lieu uniquement du lundi au vendredi, de 10 heures à 13 heures et de 14 heures à 20 heures. Il ne sera pas autorisé le samedi, le dimanche et les jours fériés. Les consommateurs ne pourront pas être sollicités plus de quatre fois par mois par voie téléphonique à des fins de prospection par le même professionnel ou par une personne agissant pour son compte.

Cet encadrement s’avère protecteur puisqu’il a vocation à s’appliquer aussi bien aux personnes non-inscrites sur la liste d’opposition au démarchage téléphonique Bloctel qu’à celles inscrites, mais sollicitées dans le cadre d’un contrat en cours. L’entrée en vigueur de ce décret permet de responsabiliser les services de démarchage téléphonique en les soumettant à de nouvelles obligations et dans le même temps, d’alléger la charge des recours qui pèsent sur les personnes démarchées pour les faire cesser.

Par ailleurs, en cas de manquement, la personne physique ou morale concernée s’exposerait à des amendes telles que  prévue par  l’article L242-12 du Code de la consommation  qui dispose que : « tout manquement aux obligations prévues à l’article L. 221-16 en matière de démarchage téléphonique et de prospection commerciale est passible d’une amende administrative dont le montant ne peut excéder 75 000 € pour une personne physique et 375 000 € pour une personne morale.
Cette amende est prononcée dans les conditions prévues au chapitre II du titre II du livre V. »

III. Des manquements graves et persistants (RGPD, art. 5-1, c), 12, 13, 14, 21 et 44)

L’intérêt de cette délibération de la CNIL réside également dans la pluralité, le degré et la persistance des manquements intervenant depuis la collecte des données jusqu’à leur traitement :

  • À l’expiration du délai imparti par la mise en demeure, Futura Internationale ne justifiait pas de la mise en place d’un mécanisme d’information efficace permettant aux prospects d’être avertis, dès la collecte de leurs données, d’éléments concernant le traitement de ces éléments et leur proposant d’obtenir une information plus détaillée. La CNIL a souligné que l’envoi d’un courriel à toute personne faisant l’objet d’une prospection téléphonique n’est pas de nature à répondre à l’obligation d’information, car il intervient postérieurement à la collecte. S’agissant des personnes dont les données étaient collectées indirectement, faute de communication dudit courriel, la CNIL n’a pu apprécier le caractère complet de l’information. Le manquement à l’obligation a donc été constaté par l’autorité administrative indépendante.
  • L’instruction a mis à jour que Futura Internationale ne disposait d’aucun dispositif permettant de traiter les demandes d’opposition et de les faire respecter par l’ensemble de ses sous-traitants. Au terme du délai qui lui avait été imparti pour pallier cette carence, la société ne s’était toujours pas dotée d’un mécanisme suffisamment fiable et susceptible de faire respecter ces demandes au sein des centres d’appels. Le manquement à l’obligation de respecter le droit d’opposition a donc été constaté. S’agissant de ce droit, la CNIL précise également qu’en matière d’opposition à la prospection téléphonique les informations strictement nécessaires sont les noms, prénoms et numéro de téléphone des intéressés (l’adresse postale étant exclue sauf à démontrer que son indication permet également de matérialiser l’opposition à la prospection par courrier).
  • La présence de commentaires injurieux et les informations relatives à l’état de santé des prospects dans le logiciel de gestion des clients ont conduit la CNIL à affirmer que les données personnelles détenues par la société ne répondaient pas aux exigences d’adéquation, de pertinence et de nécessité au regard des finalités pour lesquelles elles sont traitées. Malgré la suppression des commentaires litigieux en cours de procédure et la diffusion d’une information à destination des utilisateurs du logiciel, la CNIL affirme qu’il appartenait à l’entreprise de mettre en place un système contraignant permettant d’éviter la réitération de telles dérives (par exemple par l’instauration d’une revue quotidienne ou le blocage automatique de certains termes).
  • S’agissant du transfert des données personnelles  vers les sous-traitants situés hors de l’Union européenne, la CNIL a estimé que ces derniers se trouvaient dans des États n’assurant pas un niveau de protection suffisant. Il appartenait donc à Futura Internationale de mettre en place des garanties adéquates. En l’espèce, la société a souhaité assurer cette protection par les biais des contrats la liant à ses sous-traitants. Or, au cours de l’instruction, les contrats produits ne satisfaisaient pas aux exigences du RGPD. Lors de la procédure de sanction, il a été observé que les contrats présentés contenaient les clauses types de la Commission européenne. Toutefois, la CNIL a constaté que le caractère incomplet de ces écrits faisait obstacle à l’existence, entre la société et ses ses sous-traitants, d’un cadre juridique conforme aux RGPD en matière de transfert de données personnelles hors de l’Union européenne.(chapitre V du RGPD).
  • Au cours de la procédure de contrôle et malgré les prorogations de délai qui lui ont été accordées, la société Futura Internationale n’a transmis que très peu d’éléments parmi les documents demandés par la CNIL lesquels étaient indispensables à l’exercice de sa mission. Le défaut de réponse satisfaisante à la mise en demeure a, selon la formation restreinte, également contribué à caractériser le défaut de coopération avec l’autorité de contrôle. La CNIL note toutefois qu’un dialogue s’est finalement engagé au cours de la procédure de sanction, mais rappelle à cette occasion que la mise en conformité postérieure au principe du contradictoire, si elle peut être prise en compte par l’autorité de contrôle, notamment dans l’évaluation de la sanction, n’a pas d’incidence sur une absence de coopération constatée antérieurement.

Si le montant de la sanction (500 000 €) peut, à première vue, paraître particulièrement élevé, il est indéniable que le défaut manifeste et persistant de coopération de Futura Internationale, l’atteinte portée aux droits des personnes et le risque qu’elle a fait peser sur les données personnelles des prospects ont convaincu la CNIL de réprimer sévèrement des manquements dont elle ne manque pas de rappeler la gravité et une attitude qui traduit selon elle « un désintérêt flagrant » pour la protection des données personnelles.

La CNIL avait pris le soin de réaffirmer également, le 26 janvier 2022, que l’autorisation des démarchages téléphoniques est conditionnée par la faculté offerte aux personnes concernées au moment de la collecte de leur numéro de téléphone

  • D’être informées de l’utilisation de leurs données à des fins de prospection ;
  • D’être en mesure de s’opposer à cette utilisation de manière simple et gratuite. »

A cet effet, la CNIL insiste sur l’importance de simplifier l’exercice du droit d’opposition, et ce, afin de permettre aux personnes visées d’exprimer facilement leur opposition.

Pour lire une version plus approfondie de cet article sur le démarchage et le rgpd, cliquez

SOURCES :

Par internet-et-droit • Tags: , , , ,

CLOUD COMPUTING ET RISQUES JURIDIQUES

Le Cloud Computing a fait émerger, en dépit de son caractère récent, une foule de questions notamment sur les avantages, mais surtout sur les risques liés à ce Cloud Computing. Alors doit-on se méfier ou au contraire approuver le Cloud ?

Le monde est fait de révolutions industrielles et de « modes » 1990 : le PC Windows, 2000 : Internet dans les entreprises, et… 2010 : le Cloud Computing !

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Le Cloud Computing ou « l’informatique dans les nuages », fait référence à une technique de service informatique qui permets aux utilisateurs tiers d’accéder aux ressources Internet d’un hébergeur, sans être contraints d’acquérir ou de louer le matériel informatique ou le logiciel ou encore de conclure des contrats de maintenance et de prestation de services y afférents. Plus précisément, cette technologie permet d’utiliser la puissance de serveurs informatiques à distance par l’intermédiaire d’un réseau.

Le National Institute of Standards and Technology (NIST) définit le cloud computing comme étant « l’accès via un réseau de télécommunications, à la demande et en libre-service, à des ressources informatiques partagées configurables ».

Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien

Les multiples utilisateurs peuvent partager certaines données, générer automatiquement leurs propres fichiers et communiquer en ligne avec des tiers auxquels ils auront préalablement autorisé l’accès auxdites données, et ce, grâce à un système d’authentification (mot de passe et codes d’authentification. Mais l’usage de cet outil novateur que constitue le Cloud Computing contient, en son sein, des risques juridiques liés à la protection des données qu’il permet de traiter.

Dans ce sens, le début de la première initiative s’était concrétisé par le partenariat entre les entreprises Intel, Hewlett Packard et Yahoo! fin juillet 2008 dans le but de promouvoir la recherche dans ce domaine du Cloud Computing. On parlait alors de « cloud computing test bed », ayant pour objectif de créer un « environnement distribué » à l’échelle mondiale, permettant notamment la recherche sur les logiciels et le matériel informatique, ainsi que la centralisation de données.

Ensuite, le gouvernement américain suivait cette ligne en lançant le 22 novembre 2010 sa politique de « cloud prioritaire ».

Aujourd’hui, les services de cloud computing, qui déjà lancés par un certain nombre de sociétés dont Amazon et Google, et même Microsoft avec sa plateforme cloud Azure qui répond déjà aux attentes des développeurs, pourraient bien révolutionner l’informatique des entreprises.

Le cloud computing, permettant désormais d’externaliser l’utilisation de la mémoire ainsi que les capacités de calcul d’ordinateurs et de serveurs répartis dans le monde entier, offre en effet aux entreprises une formidable puissance informatique s’adaptant de surcroît à la demande. Mais le cloud computing présente également un certain nombre de risques juridiques dont il convient de se prémunir dans le cadre d’un contrat adapté.

Les dépenses mondiales en services de cloud computing devraient augmenter de 23 % en 2023, selon un récent rapport de CanalysLes réalités de la dégradation des conditions macroéconomiques et de la récession imminente ont entraîné un ralentissement du volume et du rythme de la migration vers le cloud au quatrième trimestre, notamment de la part des entreprises, qui ont généralement des charges de travail plus importantes.

Il s’agit d’une technique qui diffère des contrats classiques d’outsourcing aux termes desquels un prestataire tiers sera en charge du traitement technique des données (données personnelles comprises).

Le droit français et la majorité des lois nationales relatives à la protection des données personnelles au sens de la directive n° 95/46/CE du 24 octobre 1995, considèrent en principe ce prestataire tiers (hébergeur du système de Cloud Computing) comme un sous-traitant des données agissant conformément aux instructions d’un responsable du traitement des données.

Le RGPD, dans son article 28, impose l’existence d’un contrat liant le responsable de traitement, à savoir le client, et le sous-traitant qui n’est autre que le prestataire de services de cloud.

Néanmoins, il peut s’avérer que cette qualification peut s’avérer plus complexe comme ses conséquences sur le plan contractuel. L’affaire Swift, concernant une société de droit belge, qui assure le transfert de fonds internationaux à des établissements financiers, témoigne de cette complexité.

La société Swift prétendait qu’elle était le sous-traitant des données en question lorsqu’elle exportait des données personnelles et des données financières hors de l’Union européenne dans le cadre d’opérations financières. Et la Justice belge a en effet considéré que les établissements financiers impliqués dans ces opérations étaient les responsables des données personnelles en question et que Swift devait ainsi être considéré comme sous-traitant de ces données de fait et délégué desdits établissements financiers. Cette affaire révèle assez clairement les risques juridiques qu’entretient l’innovation du Cloud Computing.

Enfin, le cloud permet à l’entreprise de s’affranchir des contraintes traditionnelles (la bonne appréciation du nombre de serveurs, de la capacité nécessaire) et d’avoir une approche modulaire en fonction des besoins. Sur le plan juridique, on se rapproche du cas dans lequel une entreprise déciderait d’externaliser tout ou partie de son système d’information.

Une démarche prudente consiste en l’appréhension des risques et la prise des mesures nécessaires à la garantie la continuité du service, la sécurité des données, la qualité du service, la réversibilité… Finalement, la question liée à la confidentialité doit rester une préoccupation centrale. Ces différents sujets sont très similaires à ceux de l’outsourcing. Donc, dans l’ensemble, des réponses existent déjà et pourraient être mises en œuvre.

Il conviendra donc d’exposer ce qu’est le concept de cloud computing (1), pour ensuite définir et se prémunir des risques juridiques liés à son utilisation (2).

I. Qu’est-ce que le cloud computing ?

Il convient de définir le cloud computing (A), ainsi que ses avantages (B).

A) La définition du cloud computing

Le cloud computing présente un concept récent permettant d’utiliser de la mémoire et des capacités de calcul d’ordinateurs et de serveurs répartis dans le monde entier et liés par un réseau tel Internet. Le cloud computing permet ainsi de disposer, à la demande, de capacités de stockage et de puissance informatique sans disposer matériellement de l’infrastructure correspondante.

Le cloud computing est la prestation de services informatiques (comme des logiciels, des bases de données, des serveurs et des réseaux) sur Internet. Cela signifie que les utilisateurs finaux peuvent accéder aux logiciels et aux applications, peu importe où ils se trouvent. Pour les utilisateurs, le « Cloud » est synonyme de connexion permanente à des applications web, au stockage de données, au traitement et à d’autres ressources informatiques.

L’infrastructure du fournisseur est ainsi totalement autonome et déconnectée de celle du client, ce qui permet à ce dernier de s’affranchir de tout investissement préalable (homme ou machine). L’accès aux données et aux applications peut ainsi se faire à partir de n’importe quel périphérique connecté, le plus souvent au moyen d’un simple navigateur Internet.

Il existe également des clouds computing publics qui constituent des services partagés auxquels toute personne peut accéder à l’aide d’une connexion Internet et d’une carte de paiement, sur une base d’utilisation sans abonnement. Ce sont donc des infrastructures virtualisées que se partagent plusieurs utilisateurs.

Les clouds privés (ou d’entreprise), quant à eux, ils tendent à reprendre le même modèle de distribution des clouds computing publics, à la différence qu’ils sont détenus et gérés de manière privée, l’accès pouvant être limité à une seule entreprise ou à une partie de celle-ci. Ces derniers peuvent ainsi apparaître comme plus sûrs en termes de sécurité, de stabilité, de confidentialité et de persistance des données.

Globalement, le cloud computing constitue une nouvelle forme d’informatique à la demande, à géométrie variable, que l’on pourrait classer d’un point de vue juridique, au croisement des services d’externalisation, et des services ASP et SaaS.

En effet, les services d’externalisation (ou « outsourcing ») consistent à confier la totalité d’une fonction ou d’un service à un prestataire externe spécialisé, pour une durée pluriannuelle. Grâce à de tels contrats, le client peut s’exonérer des contraintes de gestion et de maintenance d’un système informatique.

Les services « ASP » (pour « Application Service Provider ») dérivent des contrats d’outsourcing. Sauf que dans les contrats ASP, le client ne fait que louer un droit d’accès et d’utilisation du système informatique auprès du prestataire. Le client dispose ainsi d’un accès à distance à des applications sur un serveur extérieur, ce qui le dispense d’acquérir lui-même une infrastructure informatique, des licences d’utilisation de progiciels etc.

Les services SaaS (pour « Software As A Service »), sont quant à eux des dérivés des contrats ASP dont ils constituent une forme particulière (application personnalisée), en externalisant le système informatique du client, auquel celui-ci à accès exclusivement par Internet.

B) Les apports du cloud computing

L’adoption du Cloud a été rapide et globale. A l’origine, les trois principes raison qui envoient les entreprises à adopter les services Cloud sont : la flexibilité de la fourniture des services, les équipements géographiques et l’offre.

En effet, le Cloud computing offre la possibilité d’étendre le système d’information d’une entreprise à la simple demande de celle-ci, en fonction de l’utilisation attendue (pics d’activité, pics de fréquentation, etc.).

Les services fournis dans le cadre du cloud computing sont vastes. L’entreprise peut notamment bénéficier d’une capacité de traitement de l’information (sans acquérir des ordinateurs et ressources nécessaires), d’infrastructures informatiques (de type réseaux), de capacités de stockage et d’archivage (sans avoir à se doter de serveurs spécifiques) mais aussi d’applications informatiques (sans avoir à acquérir les licences correspondantes).

Ainsi, le cloud computing permet, sans investissement majeur en termes d’infrastructure et de dépenses en capitaux, de bénéficier d’un service à moindre coût fondé sur la consommation, de type « pay-per-use », et par suite d’optimiser la gestion des coûts d’une entreprise.

De ce fait, le prix d’un tel service est calculé en fonction de la consommation effective d’une entreprise, tout comme pour l’utilisation du gaz ou de l’électricité. L’entreprise achète en quelque sorte la possibilité d’utiliser de la puissance informatique sur demande.

Au-delà du service en lui-même, les avantages du cloud computing, résident donc d’une part dans la simplicité et la rapidité de mise en œuvre dudit service, et d’autre part dans la grande flexibilité liée à l’offre sur demande que celui-ci permet.

Enfin, il convient de noter que techniquement, il est possible de mettre n’importe quelle application dans un cloud computing. Néanmoins, ses usages principaux concerneront essentiellement le management lié aux nouvelles technologies, la collaboration, les applications personnelles ou d’entreprise, le développement ou le déploiement des applications et enfin les capacités serveurs et de stockage.

A titre d’illustration, Microsoft a investi des centaines de millions de dollars cette année pour construire et améliorer les centres de données (le dernier, ouvert à Chicago, compte 300000 serveurs !) qui rendent ses ambitions de cloud computing possibles. Malgré la crise économique, Microsoft a investi 9 milliards de $ en R&D, 10 % de plus que l’année dernière, et les spécialistes prédisent déjà que le géant américain, malgré les critiques faites à son encontre, sera l’acteur le plus prééminent et le plus rentable en la matière.

Le cloud computing constitue donc un service mutualisé et virtualisé, dont le coût varie uniquement en fonction de l’utilisation effective, qu’il conviendra d’encadrer spécifiquement sur un plan juridique.

 

II . Les risques juridiques liés à l’utilisation du cloud computing

Les principaux risques juridiques du cloud computing sont inhérents aux données (A). Il convient de s’en prémunir dans des contrats sécurisés (B).

A) La sécurité et la sécurisation des données

Le cloud computing se base sur l’hypothèse selon laquelle la majeure partie de l’informatique s’effectue sur une machine souvent distante qui diffère de celle en cours d’utilisation. Les données recueillies lors de ce processus sont stockées et traitées par des serveurs distants (aussi connus sous le nom de « serveurs Cloud »), ce qui signifie que l’appareil qui accède au Cloud est moins sollicité.

Ces serveurs libèrent la mémoire et la puissance de calcul des ordinateurs personnels puisque ce sont eux qui hébergent les logiciels, les plates-formes et les données. Les utilisateurs accèdent aux services Cloud de manière sécurisée : il leur suffit d’utiliser les identifiants transmis par le fournisseur de cloud computing.
Comme le cloud computing implique d’héberger la charge de travail de l’ordinateur d’un utilisateur sur une machine différente, le Cloud est donc accessible partout et disponible dès lors qu’une connexion Internet l’est également.

Certaines sociétés ont leur propre infrastructure Cloud pour conserver les données utilisateur (Google dispose par exemple de ses propres serveurs, tout comme Salesforce). Toutefois, un Cloud peut aussi consister en un nombre restreint d’ordinateurs. Ainsi, il existe des Clouds publics et privés, qui peuvent être autohébergés ou hébergés par un tiers. Pour les Clouds privés, les utilisateurs doivent disposer de plates-formes ou de sessions appropriées (comme un navigateur web ou un compte en ligne) pour pouvoir accéder aux serveurs et aux données qu’ils contiennent.

La mise en place de services de cloud computing n’est pas sans risques, notamment au regard de la sécurité et de sécurisation des données. En effet, l’accès aux données et aux applications est réalisé entre le client et la multiplicité des serveurs distants. Ce risque se trouve donc amplifié par la mutualisation des serveurs et par la délocalisation de ceux-ci.

L’accès aux services induira donc des connexions sécurisées et une authentification des utilisateurs. Se posera alors le problème de la gestion des identifiants et celui des responsabilités (accès non autorisé, perte ou vol d’identifiants, niveau d’habilitation, démission ou licenciement, etc.).

Il existe également un risque de perte de données qu’il conviendra de prendre en considération, d’évaluer et d’anticiper dans le cadre de procédures de sauvegarde adaptées (stockage dans des espaces privés, en local, en environnement public, etc.). De même, il existe également des risques au regard de la confidentialité des données (fuites), vu le nombre de serveurs et la délocalisation de ceux-ci.

De surcroît, la réalisation des services de cloud computing étant assurée par un prestataire externe, celle-ci comporte des risques au regard de la qualité de service obtenue, et de la propriété et de l’intégrité des données et/ou applications confiées, risques qu’il conviendra donc de prévoir contractuellement.

En outre, la mise en place de ce type de service peut parfois s’avérer onéreuse. Il existe en effet des risques financiers liés aux outils de contrôle servant à évaluer la consommation du cloud computing, et sa facturation. Il conviendra ainsi de définir contractuellement une unité de mesure du stockage, et des ressources informatiques utilisées, ou encore du nombre d’utilisateurs actifs, afin que cela reste avantageux pour l’entreprise concernée.

Finalement, la mise en place de services de cloud computing fait naître pour l’entreprise un certain nombre de risques au regard des données personnelles et des formalités imposées par la CNIL. Ces risques sont aggravés en cas de transfert de données hors de l’Union européenne (UE). La rédaction de contrats de cloud computing devra donc également prendre en considération ces problématiques.

En effet, le contrat doit tenir compte de ces contraintes, d’autant que le fait de confier ses données à un sous-traitant n’exonère pas le responsable du traitement de ses obligations. Cette question prend une ampleur particulière, car les serveurs sont délocalisés et le client n’a pas à connaître la localisation des serveurs.

Cependant, la loi impose, pour les transferts de données à caractère personnel hors de l’Union européenne, des formalités d’autorisation. Il est donc prudent d’imposer au prestataire de cloud computing soit un engagement de maintenir ses serveurs au sein de l’Union européenne, soit de veiller à être bien informés dans le cas d’un transfert hors Union européenne.

Il convient de distinguer entre les données personnelles telles que définies par le Règlement général sur la protection des données (RGPD) et les données commerciales non personnelles. Le RGPD, dans son article 4, définit les données personnelles comme toute information relative à une personne physique identifiée ou identifiable de manière directe ou indirecte par référence à des éléments qui lui sont propres. Sachant que les données à caractère personnel sont protégées par ce règlement, les données commerciales, quant à elles, sont régies par les dispositions de la loi n° 2018-670 du 30 juillet 2018 relative à la protection du secret des affaires et plus précisément en vertu l’article L151-1 du Code de commerce. (1)

B) Les précautions juridiques nécessaires à la rédaction d’un contrat de cloud computing

Il conviendra d’un point de vue général de mettre en place, pour pallier les risques précédemment évoqués, comme dans le cadre de tout projet d’externalisation, une convention de niveau de service, également appelée « SLA » (pour « Service Level Agreement »), permettant au client d’obtenir du prestataire une qualité de service convenue contractuellement.

En outre, la convention pourra comporter des indications quant aux attentes du client relatives à la réalisation des obligations du prestataire et notamment instaurer un système de malus ou de pénalités.

Il s’avère primordial de contractualiser un plan de réversibilité permettant d’assurer le transfert des services à d’autres prestataires, et ce, pour assurer une pérennité des services de cloud computing.

Plus particulièrement, il conviendra de prévoir les facteurs déclencheurs de cette réversibilité (carence du prestataire, libre choix du client après un certain nombre d’années), les conditions de cette réversibilité (simple discontinuité du service, ou arrêt total du service) et enfin le coût de celle-ci.

Il sera préconisé de prévoir la réplication des données sur plusieurs sites distants ou l’obligation de résultat de restauration des données dans des délais contractuels définis afin de palier leur perte. L’accord de Cloud Computing devra aussi stipuler une garantie de paiement d’une indemnité aux personnes physiques concernées par les données personnelles, en cas de traitement illicite ou de perte de ces dernières.

Le contrat prendra soin de préciser que l’ensemble des traitements ne seront opérés par l’hébergeur que sur instructions et contrôle des utilisateurs, c’est-à-dire sans prise d’initiative sans instructions expresses des utilisateurs considérés comme responsables de traitements.

En ce qui concerne l’intégrité et de la confidentialité des données, il pourra être prévu une clause d’audits externes, chargés d’une mission de contrôle acceptée par l’hébergeur du service. Notons aussi qu’il conviendra de s’assurer de la bonne rédaction de la clause de responsabilité du contrat, et d’encadrer tout particulièrement la traçabilité, l’accès frauduleux, l’atteinte à l’intégrité, voire la perte de données sensibles.

Mais s’agissant plus particulièrement les données sensibles que sont les données personnelles, le client pourra exiger que celles-ci restent localisées sur des serveurs exclusivement situés dans l’UE et prévoir les moyens de contrôle de cette obligation.

Le client s’exonérera ainsi d’un ensemble de formalités CNIL liées au transfert de données personnelles en dehors de l’UE. Pour se prémunir, il pourra aussi stipuler une interdiction pour l’hébergeur de regrouper, ou de stocker sur des serveurs identiques, un fichier de données avec d’autres fichiers comportant des données dites sensibles (par exemple : des fichiers comportant des informations bancaires et financières).

Enfin, nouveau modèle d’intégration de services informatiques, utilisables à la demande via Internet, reposant sur l’hébergement et l’accès à distance, attractif pour les entreprises, le cloud computing reste complexe à maîtriser.

Naturellement le bénéficiaire du cloud computing aura intérêt à s’assurer que le contrat de cloud comporte une clause intuitu personae, à encadrer autant que possible les conséquences de la disparition de son cocontractant.

Il conviendra par conséquent pour les entreprises de mettre en place un cadre contractuel adapté. L’encadrement juridique est en effet primordial pour prévenir les risques liés à ce service, qui, d’ici 2020, permettra aux entreprises de faire migrer l’essentiel de leurs applications dans les « nuages ».

Cela étant, il est intéressant d’évoquer le Cloud Act (Clarifying Lawful Overseas Use of Data Act) qui avait été adopté, le 8 mars 2018, par le Congrès américain. Ce Cloud Act permet aux agences de renseignement américaines ou aux forces de l’ordre d’obtenir les informations stockées dans les serveurs des opérateurs de télécoms et des fournisseurs de services de Cloud computing.

En effet, les prestataires de services sont obligés de communiquer « les contenus de communications électroniques et tout enregistrement ou autre information relative à un client ou abonné, qui sont en leur possession ou dont ils ont la garde ou le contrôle, que ces communications, enregistrements ou autres informations soient localisés à l’intérieur ou à l’extérieur des États-Unis ». (2)

Suivant l’exemple américain, les instances européennes ont entamé le travail sur un Cloud Act européen ayant pour objectif l’établissement d’un cadre juridique permettant d’instaurer une souveraineté de l’Union européenne sur son propre cloud. Ces mesures se justifient par les difficultés de mises en œuvre inhérentes au recours au cloud. Comme l’a formulé Frédéric Forster : « Si le recours au cloud a la particularité d’être aisé et convivial, il ne se heurte toutefois pas à des difficultés juridiques de mise en œuvre, voire à des convoitises dont il est évidemment indispensable qu’elles soient régulées et coordonnées ». (3)

Pour lire une version plus complète de cet article sur les risques juridiques du cloud computing, cliquez

Sources

Par internet-et-droit • Tags: , , , ,

1 2 3

# Nos catégories juridiques

# Poser une question en ligne

Si vous avez une question précise à poser au cabinet d’avocats, dont vous ne trouvez pas la réponse sur le site, posez votre question en ligne.
La question sera alors payante et le montant est de 150 euros TTC. Paiement sécurisé par Paypal ou Crédit Mutuel »

# Nos articles avocat Paris

© Murielle Cahen Cabinet d’avocats Paris 2024
Powered by WordPressThemify WordPress Themes