protection des données personnelles

DEMARCHAGE TELEPHONIQUE ET RGPD

Le 21 novembre 2019, la formation restreinte de la Commission nationale de l’informatique et des libertés a condamné la société Futura Internationale à une amende de 500 000 euros en raison de manquements graves et persistants au règlement (UE) 2016/679 du 27 avril 2016 (RGPD) dans le cadre d’opérations commerciales.

NOUVEAU : Utilisez nos services pour faire retirer par un avocat un contenu concernant votre vie privée !

Plus connu pour son encadrement des traitements de données à caractère personnel collectées en ligne, le règlement général sur la protection des données du 27 avril 2016 (RGPD) s’applique également à la pratique du démarchage téléphonique.

Par une délibération du 21 novembre 2019, la Commission nationale informatique et libertés (CNIL) a prononcé une sanction financière significative à l’encontre de la société Futura Internationale, laquelle s’est vu reprocher pas moins de cinq manquements au RGPD dans le cadre de ses opérations commerciales.

I. Une mise en demeure manifestement ignorée


Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez nous au : 01 43 37 75 63

ou contactez nous en cliquant sur le lien


Futura Internationale est une entreprise spécialisée dans la rénovation énergétique des domiciles de particuliers. Ses activités de prospection commerciale téléphonique sont sous-traitées auprès de centres d’appels pour la plupart situés hors de l’Union européenne.

Dès février 2018, la CNIL est alertée par la plainte d’une personne dénonçant le démarchage téléphonique récurant de la société Futura Internationale alors même que l’intéressée avait, plusieurs mois auparavant, exercé son droit d’opposition à la prospection, oralement puis par courrier adressé au siège de la société.

Le contrôle diligenté par la CNIL a notamment permis de constater que la société ne disposait pas de mécanisme centralisé permettant de prendre en compte les demandes d’opposition formulées par les personnes démarchées.

La délégation de la CNIL a par ailleurs observé que les données personnelles des personnes démarchées étaient associées à des commentaires excessifs, parfois injurieux ou relatifs à l’état de santé des intéressés.

Des enregistrements de conversations entre téléopérateurs et prospects ont également permis d’établir que les personnes contactées n’étaient pas systématiquement averties de l’enregistrement de l’appel et ne bénéficiaient pas d’une information relative au traitement de leurs données personnelles.

Face à ces différents manquements, la CNIL a mis en demeure Futura Internationale de se mettre en conformité avec le RGPD. Faute de réponse satisfaisante de la part de l’entreprise, une procédure de sanction a été engagée à son encontre sur décision de la présidente de la CNIL.

II. La détermination de la loi applicable

Cette affaire a tout d’abord été l’occasion pour l’autorité de contrôle de rappeler qu’en matière de manquement continu, il convient de tenir compte de la loi applicable lors du dernier état du manquement, en l’espèce le RGPD. Le contrôle de la CNIL avait débuté sous l’empire de la loi n° 78-17 du 6 janvier 1978, mais les infractions observées constituaient des manquements continus ayant perduré jusqu’à la notification du rapport de sanction, soit postérieurement à l’entrée en vigueur du RGPD. Futura Internationale a d’ailleurs tenté de justifier la persistance de ses manquements en soulignant la difficulté de se conformer à un cadre juridique nouveau dans un temps court. À cette argumentation, la CNIL n’a pas manqué d’opposer que la plupart des manquements constatés portaient sur des obligations préexistantes dans la loi de 1978.

En outre, notons que l’avènement loi n° 2020-901 du 24 juillet 2020 visant à encadrer le démarchage téléphonique et à lutter contre les appels frauduleux, dite loi Naegelen, a été marqué par la mise en place et la modification de plusieurs dispositions du Code de la consommation. Désormais, le démarchage téléphonique est conditionné par la satisfaction d’une multitude de critères dont notamment la mise en place d’une charte de bonnes pratiques, un audit de la société Bloctel, la présentation de l’identité de l’appelant ainsi que sa société, la lutte contre la fraude aux numéros surtaxés et un renforcement des sanctions en cas d’entrave aux dispositions du RGPD et du dispositif Bloctel.

Par ailleurs, en cas de manquement, la personne physique ou morale concernée s’exposerait à des amendes telles que  prévue par  l’article L242-12 du Code de la consommation  qui dispose que : « tout manquement aux obligations prévues à l’article L. 221-16 en matière de démarchage téléphonique et de prospection commerciale est passible d’une amende administrative dont le montant ne peut excéder 75 000 € pour une personne physique et 375 000 € pour une personne morale.
Cette amende est prononcée dans les conditions prévues au chapitre II du titre II du livre V. »

III. Des manquements graves et persistants (RGPD, art. 5-1, c), 12, 13, 14, 21 et 44)

L’intérêt de cette délibération de la CNIL réside également dans la pluralité, le degré et la persistance de manquements intervenant depuis la collecte des données jusqu’à leur traitement :

  • À l’expiration du délai imparti par la mise en demeure, Futura Internationale ne justifiait pas de la mise en place d’un mécanisme d’information efficace permettant aux prospects d’être avertis, dès la collecte de leurs données, d’éléments concernant le traitement de ces éléments et leur proposant d’obtenir une information plus détaillée. La CNIL a souligné que l’envoi d’un courriel à toute personne faisant l’objet d’une prospection téléphonique n’est pas de nature à répondre à l’obligation d’information, car il intervient postérieurement à la collecte. S’agissant des personnes dont les données étaient collectées indirectement, faute de communication dudit courriel, la CNIL n’a pu apprécier le caractère complet de l’information. Le manquement à l’obligation a donc été constaté par l’autorité administrative indépendante.
  • L’instruction a mis à jour que Futura Internationale ne disposait d’aucun dispositif permettant de traiter les demandes d’opposition et de les faire respecter par l’ensemble de ses sous-traitants. Au terme du délai qui lui avait été imparti pour pallier cette carence, la société ne s’était toujours pas dotée d’un mécanisme suffisamment fiable et susceptible de faire respecter ces demandes au sein des centres d’appels. Le manquement à l’obligation de respecter le droit d’opposition a donc été constaté. S’agissant de ce droit, la CNIL précise également qu’en matière d’opposition à la prospection téléphonique les informations strictement nécessaires sont les noms, prénoms et numéro de téléphone des intéressés (l’adresse postale étant exclue sauf à démontrer que son indication permet également de matérialiser l’opposition à la prospection par courrier).
  • La présence de commentaires injurieux et les informations relatives à l’état de santé des prospects dans le logiciel de gestion des clients ont conduit la CNIL à affirmer que les données personnelles détenues par la société ne répondaient pas aux exigences d’adéquation, de pertinence et de nécessité au regard des finalités pour lesquelles elles sont traitées. Malgré la suppression des commentaires litigieux en cours de procédure et la diffusion d’une information à destination des utilisateurs du logiciel, la CNIL affirme qu’il appartenait à l’entreprise de mettre en place un système contraignant permettant d’éviter la réitération de telles dérives (par exemple par l’instauration d’une revue quotidienne ou le blocage automatique de certains termes).
  • S’agissant du transfert des données personnelles vers les sous-traitants situés hors de l’Union européenne, la CNIL a estimé que ces derniers se trouvaient dans des États n’assurant pas un niveau de protection suffisant. Il appartenait donc à Futura Internationale de mettre en place des garanties adéquates. En l’espèce, la société a souhaité assurer cette protection par les biais des contrats la liant à ses sous-traitants. Or, au cours de l’instruction, les contrats produits ne satisfaisaient pas aux exigences du RGPD. Lors de la procédure de sanction, il a été observé que les contrats présentés contenaient les clauses types de la Commission européenne. Toutefois, la CNIL a constaté que le caractère incomplet de ces écrits faisait obstacle à l’existence, entre la société et ses sous-traitants, d’un cadre juridique conforme aux RGPD en matière de transfert de données personnelles hors de l’Union européenne.
  • Au cours de la procédure de contrôle et malgré les prorogations de délai qui lui ont été accordées, la société Futura Internationale n’a transmis que très peu d’éléments parmi les documents demandés par la CNIL lesquels étaient indispensables à l’exercice de sa mission. Le défaut de réponse satisfaisante à la mise en demeure a, selon la formation restreinte, également contribué à caractériser le défaut de coopération avec l’autorité de contrôle. La CNIL note toutefois qu’un dialogue s’est finalement engagé au cours de la procédure de sanction, mais rappelle à cette occasion que la mise en conformité postérieure au principe du contradictoire, si elle peut être prise en compte par l’autorité de contrôle, notamment dans l’évaluation de la sanction, n’a pas d’incidence sur une absence de coopération constatée antérieurement.

Si le montant de la sanction (500 000 €) peut, à première vue, paraître particulièrement élevé, il est indéniable que le défaut manifeste et persistant de coopération de Futura Internationale, l’atteinte portée aux droits des personnes et le risque qu’elle a fait peser sur les données personnelles des prospects ont convaincu la CNIL de réprimer sévèrement des manquements dont elle ne manque pas de rappeler la gravité et une attitude qui traduit selon elle « un désintérêt flagrant » pour la protection des données personnelles.

La CNIL avait pris le soin de réaffirmer également, le 26 janvier 2022, que l’autorisation des démarchages téléphoniques est conditionnée par la faculté offerte aux personnes concernées au moment de la collecte de leur numéro de téléphone

  • d’être informées de l’utilisation de leurs données à des fins de prospection ;
  • d’être en mesure de s’opposer à cette utilisation de manière simple et gratuite. »

A cet effet, la CNIL insiste sur l’importance de simplifier l’exercice du droit d’opposition, et ce, afin de permettre aux personnes visées d’exprimer facilement leur opposition.

Pour lire une version plus approfondie de cet article sur le démarchage et le rgpd, cliquez

SOURCES :

https://www.cnil.fr/fr/reglement-europeen-protection-donnees
https://donnees-rgpd.fr/sanctio
https://www.cnil.fr/fr/la-prospection-commerciale-par-courrier-postal-et-appel-telephonique
LOI n° 2020-901 du 24 juillet 2020 visant à encadrer le démarchage téléphonique et à lutter contre les appels frauduleux ; https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000042155944

LE CROWDSOURCING

Pratique permettant aux sites internet d’utiliser la créativité, l’imagination des internautes afin de créer leur contenu et cela à moindre coût, le crowdsourcing touche plusieurs domaines, comme les encyclopédies, ou encore le graphisme.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Le terme de « Crowdsourcing » (« Production participative » en français) est un néologisme utilisé pour la première fois par Jeff Howe et Mark Robinson en 2006, dans un article parût chez Wired Magazine intitulé « The rise of Crowdsourcing ».

Il s’agit du fait de faire appel à des acteurs externes (« to outsource ») pour parvenir à l’exécution d’une activité, à un résultat. Cette « sous-traitance » permet donc de mobiliser le savoir-faire d’un grand nombre d’acteurs autres que les acteurs classiques (généralement les employés d’une entreprise, ou des entrepreneurs) pour parvenir à un résultat qui n’aurait pu être obtenu autrement.


Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


Aujourd’hui, le crowdsourcing est devenu un phénomène largement répandu, à l’heure où le Web 2.0 s’est véritablement installé dans la manière dont on conçoit Internet. Wikipédia est, à ce titre, un exemple très concret du crowdsourcing, puisque le principe consiste à faire appel à de très nombreux contributeurs pour arriver à une base de données conséquente, que quelques contributeurs n’auraient jamais pu constituer à eux seuls.

Au sens strict, le crowdsourcing vise les sites Internet mettant à contribution les internautes qui peuvent gagner quelques euros en contribuant à la création du contenu. Cette pratique est différente des sites dits « citoyens ».

Néanmoins, le crowdsourcing désigne aussi des sites Internet dont la finalité n’est pas réellement d’être une banque de données (au sens large) mais bien un espace interactif entre Internautes, et donc sans rémunération.

Plusieurs questions peuvent se poser, notamment quant à l’intérêt à consacrer du temps à une activité non rémunérée, ou encore d’autres questions d’ordre juridique touchant au droit de la propriété intellectuelle. Enfin des dérives apparaissent, comme avec tout nouveau phénomène.

Le crowdsourcing n’est pas un emploi fixe et rémunéré. Tandis qu’un emploi au sens général du terme est un échange de main d’œuvre contre salaire entre un employé et son employeur, le crowdsourcing est la mise à disposition par des milliers de particuliers de leurs savoirs et compétence, en échange de l’assurance de trouver le moment réponse à une interrogation.

Il est indéniable que cela peut même être source de débat d’idées entre internautes, commentateurs de l’actualité d’un jour. En tout état de cause, le crowdsourcing pour les particuliers est un loisir, qui peut éventuellement conduire à recevoir un peu d’argent de poche.

En effet, il s’agit plus de « troc d’infos » que de travail au sens strict. Ainsi, bien les sites Internet pratiquant le crowdsourcing soient des sociétés commerciales, celles-ci ne peuvent fonctionner qu’avec ce genre de contenus et emploient toujours du personnel rémunéré. De plus, le plus souvent ces sites Internet ont plus une vocation participative qu’une ambition commerciale. En effet, le concept serait bien plus critiquable si les informations, images ou toutes autres données « crowdsourcées » étaient vendues à prix fort par la société commerciale, sans aucune redistribution aux Internautes.

Une autre question essentielle est posée par le crowdsourcing à savoir celle de la propriété intellectuelle, qu’en est-il des droits d’auteurs ? L’exemple adapté en l’occurrence concerne certaines écoles de commerce, en partenariat avec de grandes firmes, qui organisent des concours pour le compte de ces entreprises et dont le but est de réaliser une étude marketing complète ainsi qu’une campagne de publicité.

L’entreprise partenaire offre au lauréat un stage de 6 mois au sein de son équipe, mais les autres candidats ne gagnent rien, si ce n’est d’avoir réalisé un travail susceptible d’être utilisé par l’entreprise, qui conserve toutes les propositions faites dans le cadre du concours. C’est ainsi que le lauréat ne verra jamais son œuvre utilisée, tandis qu’un autre concurrent voit sa campagne placardée sur d’immenses affiches sous le nom de l’entreprise.

Est-ce légal ? Tout à fait, dès lors que la législation des concours a été respectée (présence d’un huissier, disponibilité des règles, etc.), mais surtout dès l’instant où tous les concurrents ont cédé leurs droits d’auteurs.

Le Code de propriété intellectuelle consacre, dans son article L112-1, une protection de « toutes les œuvres de l’esprit, quels qu’en soient le genre, la forme d’expression, le mérite ou la destination. ».

En outre, les dispositions de l’article L122-7 du Code de propriété intellectuelle affirment qu’une telle cession est tout à fait possible à titre gratuit. De même, l’article L122-7-1 dispose que tout auteur est libre de mettre gratuitement son œuvre à la disposition du public, avec un système de licence gratuite. Ainsi, une société, bien que commerciale, peut mettre ses Internautes à contribution dans le cadre d’un concours (légalement organisé cela va de soi), mais aussi dans le cadre d’une mise à disposition du support de diffusion avec licence gratuite, sans cession des droits d’auteurs.

Il convient de préciser que l’article L.131-1 du Code de la Propriété intellectuelle dispose que : « La cession globale des œuvres futures est nulle. ». Ainsi, les contrats de cession sont prévus postérieurement à la création.

Cela étant, les problèmes apparaissent dès lors que les sociétés commerciales en question souhaitent utiliser le crowdsourcing comme moyen de créer du contenu à faible coût. Alors qu’auparavant des sociétés avaient recours à l’outsourcing, qui consistait à sous-traiter dans des lieux où les coûts sont moindres, certaines aujourd’hui espèrent carrément proposer des produits ou services de qualité à prix fort, sans avoir déboursé grand-chose.

Il s’agit de ce qu’on appelle le « perverted crowdsourcing ». Cette pratique trouve ses origines aux États-Unis plus précisément dans l’exploitation d’une faille de la loi américaine. Malheureusement, la loi française n’est pas plus complète. Il n’est pas fait référence au principe selon lequel il est interdit de travailler gratuitement pour le compte d’une société commerciale.

Le but est de sanctionner les sociétés ayant recours au crowdsourcing afin de vendre à prix fort les contenus générés par les internautes. Il est également possible pour stopper une telle pratique de se fonder sur le droit de la propriété intellectuelle, en l’absence de cession régulière des droits d’auteurs, puisque seuls l’auteur ou le titulaire des droits ont la faculté de diffuser, distribuer ou représenter l’œuvre.

Nul ne doute que, des actions seront menées contre de telles pratiques qui sont très éloignées du souhait originel de liberté d’accès à la culture par et pour tous.

Pour lire une version plus complète de cet article sur le crowdsourcing, cliquez

LES RISQUES JURIDIQUES DES LOGICIELS DE RECONNAISSANCE FACIALE

Aujourd’hui, les logiciels de reconnaissance faciale gagnent en performance et en fiabilité. Les plus avancés peuvent ainsi travailler avec des images de basse qualité telles que celles fournies par les caméras de vidéosurveillance. De plus en plus présente dans nos vies, cette technologie génère des inquiétudes et pose de véritables problèmes d’atteinte à la vie privée.

Dès leur avènement aux années 1990, les logiciels de biométrie sont devenus de plus en plus performants notamment en termes de rapidité de traitement et de fiabilité. Comment fonctionne ce procédé ? Le visage est capturé à l’aide de n’importe quel capteur, caméra ou appareil photo, et l’image est ensuite traitée par un logiciel qui repère en général la position des yeux pour procéder à un alignement.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de vie privée en passant par le formulaire !

Grâce à mécanisme, le logiciel fait un relevé des différents points caractéristiques du visage (nez, sourcils, écartement des yeux, etc.). Ensuite, ces informations sont codées sous forme de fichier, le gabarit, dans lequel s’effectueront les recherches. Il est ensuite possible de repérer les similitudes entre les captures de visage et les gabarits présents en base de données.

Ce procédé était utilisé par la police grâce à la technique du bertillonnage, et ce, avant même de la naissance de la technologie. Il s’agit d’une technique criminalistique mise au point par Alphonse Bertillon en 1879 et reposant sur l’analyse biométrique accompagnée de photographies de face et de profil. Le principe était de réaliser des mesures sur les criminels, de noter entre autres l’écartement entre les yeux, la taille du visage, les oreilles… afin de réaliser un fichier d’identification permettant de les reconnaître plus facilement en cas de nouvelle arrestation.

Désormais, les technologies utilisent les mêmes techniques grâce à un algorithme qui permet de comparer un visage à une photo de sa base de données. Jugées peu fiables à l’époque, elles permettent dorénavant un taux de rejet de plus en plus faible. Les réseaux sociaux ont profondément contribué à cette évolution et tous les géants technologiques se sont approprié ce savoir-faire d’identification des visages. Le logiciel d’Apple « iphoto », l’application « Picassa » et le réseau social Facebook utilisent tous ce système de reconnaissance faciale.


Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


Le paradoxe de Facebook résulte dans le fait que ce sont les utilisateurs eux-mêmes qui abreuvent chaque jour le réseau de centaines de millions de photographies. Selon ce dernier, 100 millions de noms sont mis en légende sous des visages quotidiennement.

Ce processus permet, dès lors, au réseau de posséder de précieuses informations sur ses utilisateurs, notamment concernant ses données personnelles, sur lesquelles les « géants du net » basent leur système économique.

Il convient de préciser que ces utilisations par les entreprises privées de la reconnaissance faciale ne font pas figure de seuls exemples : récemment, certaines villes chinoises se dotaient de cette technologie à des fins de fluidité du trafic.

Ainsi, quand la ville de Shenzhen affiche aux coins des carrefours de grands panneaux analysant les visages des passants, la mégalopole de Shanghaï inflige des contraventions aux personnes qui traversent « au rouge », leur visage placardé sur les écrans des arrêts de bus du quartier grâce à une capture via reconnaissance faciale.

Ces pratiques, toutefois, induisent de possibles dérives bien évidentes, à la limite des romans de science-fiction et du Big Brother de George Orwell…

Le tribunal administratif de Marseille, dans une décision rendue le 27 février 2020, avait annulé la délibération du conseil régional de Provence-Alpes-Côte d’Azur qui consistait à lancer à titre expérimental un dispositif de reconnaissance faciale dans deux lycées.

En l’espèce, lors d’une réunion datant du 14 décembre 2018, ce conseil avait délibéré en vue de lancer cette expérimentation qui visait à assurer le contrôle de l’accès au lycée des lycéens que le système identifiera. En outre, ce dispositif de reconnaissance faciale devait permettre de suivre la trajectoire de non seulement les lycéens, mais également les visiteurs occasionnels que le système ne pourrait pas identifier.

Le tribunal administratif a donc considéré que cette expérimentation portait atteinte aux dispositions du Règlement général sur la protection des données (RGPD). En effet, le tribunal administratif de Marseille s’est aligné sur la position de la CNIL qui avait considéré que cette expérimentation particulière était « contraire aux principes fondamentaux de proportionnalité et de minimisation des données issues du RGPD ». (1)

Quid des craintes sur le respect de la vie privée, sur la possibilité que la police utilise ce système pour mener des enquêtes illégales ou pour que des gens malintentionnés s’en servent à mauvais escient ? Ces inquiétudes sont non seulement légitimes, mais laissent également penser à quel point cette technique nécessite un encadrement pour éviter les dérives.

Il convient, dès lors, de se pencher sur les risques d’atteinte à la vie privée liés aux logiciels biométriques (I), pour envisager un cadre efficace face aux éventuelles dérives (II).

I- Logiciels biométriques et risques d’atteinte à la vie privée

A) Le droit à l’image

Ces techniques permettent de transformer les visages en données électroniques qu’il est désormais possible de regrouper, d’analyser et de classer. Or, ces données sont sensibles et précieuses, car elles sont une caractéristique de notre corps et un élément de notre identité.

Il est incontestable que certaines utilisations de la reconnaissance faciale sont bénéfiques notamment en ce qui concerne l’authentification des employés autorisés à avoir accès à une centrale nucléaire ou la lutte contre la fraude visant les individus qui présentent des demandes de passeport sous différents noms.

Ceci étant, la reconnaissance faciale a également des répercussions sur le respect de notre vie privée et certains auteurs estiment que cette technologie signe la fin de l’anonymat. La base de données d’images de Facebook est certainement la plus importante au monde.

Sur ce réseau planétaire, l’utilisateur a notamment la possibilité de « taguer » une photographie pour y associer un nom et un profil. En 2011, Facebook lance un système de rconnaissance faciale qui permet, à partir d’un nom, de retrouver sur le réseau et le web, toutes les images représentant la personne.

En septembre 2012, ce système a été abandonné par Facebook pour l’Europe à la suite d’une série de plaintes déposées par un étudiant autrichien, Max Schrems, devant l’autorité irlandaise chargée de la protection des données privées.

Parmi les projets en développement, Facebook va frapper fort avec son programme de recherche DeepFace qui sera dévoilé en détail à la fin du mois de juin. La société qui possède 250 milliards de photos personnelles pourra bientôt identifier tout un chacun avec son système de reconnaissance faciale. Ce système ne devrait pas être destiné aux utilisateurs.

Récemment, le 2 novembre 2021, le vice-président de l’intelligence artificielle auprès de Meta (Facebook) avait annoncé l’abandon de la reconnaissance faciale pour ses applications et la suppression des données biométriques pour plus d’un milliard de personnes. En effet, Facebook prévoit de supprimer, d’ici décembre 2021, plus d’un milliard de modèles de reconnaissance faciale. Néanmoins, Meta n’éliminera pas son programme DeepFace. (3)

B) Utilisation des données personnelles et sécurisation des données

La question de la sécurisation des données en ligne se pose à ce stade. L’application Snapchat, prisée par les jeunes, car elle promet l’autodestruction des photos partagées en quelques secondes, a admis de graves failles. Accusée d’avoir récolté les carnets d’adresses des utilisateurs sans leur consentement et de les avoir trompés sur la disparition des fichiers échangés, l’application Snapchat qui n’avait pas sécurisé sa base d’utilisateurs a été victime de pirates qui ont pu récupérer noms et numéros.

Une application actuellement en deuxième période d’essai nommée NameTag fonctionne sur les Google Glass et permet de scanner n’importe quelle personne dans la rue puis de l’envoyer vers les serveurs de FacialNetwork afin de dresser une comparaison avec une base de données contenant pour le moment 2,5 millions de portraits.

C’est après une analyse par le logiciel, le nom de la personne est présenté avec la possibilité de consulter les informations rendues publiques sur divers réseaux sociaux communautaires tels que Facebook, Twitter, Linkedln ou Instagram. La société dispose également de 450 000 fiches issues de la base américaine des agresseurs sexuels et autres criminels. Pour ses lunettes, Google a strictement interdit les applications de reconnaissance faciale reconnaissant la violation de la vie privée.

En ce qui concerne de police judiciaire, les avancées permises par ces logiciels sont certaines. En 2012, le FBI avait investi un milliard de dollars dans ce qui devait être un « programme d’identification de nouveau générateur » permettant de constituer une base de données nationale photographique des criminels puis quelques informations concernant leurs données biométriques.

Auparavant, les défenseurs de la vie privée s’inquiétaient déjà que des personnes au casier vierge et non suspectes puissent figurer dans ce fichier et se retrouver surveillées. Cette crainte semble aujourd’hui se justifier d’après des documents récupérés par la Fondation Electronic Frontier, une ONG à but non lucratif, selon lesquels 4,3 millions de clichés ont été récupérés sans aucune implication criminelle ou enquête en cours.

Il est possible d’imaginer plusieurs situations : celle dans laquelle un innocent se retrouve au cœur d’une enquête criminelle, mais aussi celle où la technologie est utilisée à mauvais escient pour atteindre d’autres objectifs visés par les pouvoirs publics notamment pour réprimer la dissidence. La protection des données biométriques et leur vulnérabilité au piratage et aux utilisations malveillantes suscitent des inquiétudes.

La reconnaissance faciale est encadrée par la loi informatique et liberté du 6 janvier 1978. Mais en 2018 un nouveau règlement européen est entré en vigueur mettant en place de nouvelles règles dans ce domaine.

Ce texte européen n’est autre que le règlement général sur la protection des données adoptée par le parlement européen en avril 2016 et entrée en vigueur le 25 mai 2018. Selon ce nouveau texte, les données biométriques doivent être considérées comme des données sensibles. Or il s’avère que ce règlement interdit le traitement des données sensibles à l’article 9.1. En principe la reconnaissance faciale est donc interdite par ce texte.

Le droit français a été adapté à ce nouveau texte européen par le biais de la loi du 20 juin 2018 qui a substantiellement modifié la loi informatique et liberté tout en faisant usage des marges de manœuvre accordées aux États membres par le RGPD. Ensuite, l’ordonnance n° 2018-1125 du 12 décembre 2018 est intervenue afin de réécrire et de remettre en cohérence la loi du 6 janvier 1978 ainsi que d’autres lois françaises qui traitent de la protection des données.

Cette législation, cependant, comporte également beaucoup d’exceptions à ce principe. La reconnaissance faciale peut être autorisée sur les personnes qui consentent à son utilisation. L’État peut lui aussi recourir à un système de reconnaissance faciale lorsque l’intérêt public est en jeu. Mais il faut pour cela respecter une certaine procédure.

Cette procédure se résume au dépôt d’un décret devant le Conseil d’État ainsi que la sollicitation de l’avis de la CNIL (Commission nationale de l’informatique et des libertés). Le procédé est également autorisé s’il utilise des données à caractère personnelles, mais qui sont rendues publiques par la personne concernée. Si la technologie de reconnaissance faciale est intégrée dans un système comme un téléphone ou un ordinateur alors son utilisation peut aussi être autorisée.

II- La nécessité d’un encadrement afin d’éviter les dérives

A) Le contrôle de la CNIL en France

Conformément à une étude effectuée à la demande de la CNIL par TNS Sofres, les technologies de reconnaissance faciale qui permettent d’associer automatiquement un nom suscitent des inquiétudes pour 41 % des participants, malgré une faible utilisation pour le moment (12 % des internautes). La CNIL est chargée d’encadrer les pratiques liées à la biométrie faciale.

Un cadre légal s’impose face à cette technologie. À moins d’avoir nommé un correspondant Informatique et Liberté (CIL), une déclaration auprès de la CNIL est nécessaire en cas d’usage de vidéosurveillance.

S’agissant des usages privés, la CNIL a surtout un rôle d’information générale et d’éducation des internautes quant à leur utilisation des réseaux sociaux. Elle a émis plusieurs recommandations dans certains articles de son site afin de sensibiliser les citoyens sur ces pratiques et d’éviter les dérives.

En France, la reconnaissance faciale appliquée à la sécurisation des accès dans les entreprises ou dans les lieux publics est soumise à l’autorisation de la CNIL. Si l’application est mise en œuvre pour le compte de l’État, il faut un décret en Conseil d’État après un avis préalable de la commission. Au contraire, si l’application biométrique est limitée à un usage exclusivement personnel, elle ne sera pas soumise à la loi informatique et liberté (exemple : reconnaissance faciale qui sécurise l’accès aux ordinateurs domestiques, à un Smartphone).

Alors qu’en France, la surveillance globale est un concept toujours lointain, il existe à New York des caméras installées dans la ville qui permettent d’observer les citoyens et de pouvoir effectuer une analyse biométrique de leur visage afin de le comparer à une base de données dans un but de protection contre le terrorisme.

L’idée consiste à ce que les autorités puissent identifier toute personne marchant dans la rue est inquiétante et attentatoire à la vie privée. La législation devra sûrement s’adapter avec l’arrivée de ces nouvelles technologies telles que les lunettes connectées ou encore les drones .

La CNIL n’est donc pas opposée par principe à l’utilisation de la reconnaissance faciale, mais elle réclame que son utilisation s’accompagne d’une prise de conscience sur les dangers potentiels que pourrait représenter cette technologie.

A cet égard, en septembre 2018 elle avait appelé à la tenue d’un débat démocratique sur le sujet. Ce débat devait déboucher sur l’instauration de gardes fous pour préserver la sécurité des citoyens et empêcher que cet outil ne soit utilisé à mauvais escient. Elle demandait ainsi de trouver « un juste équilibre entre les impératifs de sécurisation notamment des espaces publics et la préservation des droits et libertés de chacun ».

Dans ce but, la CNIL a apporté, le 7 novembre 2019, une première contribution de méthode à ce débat et qui poursuit les quatre objectifs suivants :

  • La présentation technique de ce qu’est la reconnaissance faciale et à quoi elle sert.
  • La mise en lumière des risques technologiques, éthiques, sociétaux, liés à cette technologie.
  • Le rappel du cadre s’imposant aux dispositifs de reconnaissance faciale et à leurs expérimentations.
  • La précision du rôle de la CNIL dans l’éventuel déploiement de nouveaux dispositifs de reconnaissance faciale à titre expérimental. (2)

La CNIL a imposé, dans ce contexte, certaines exigences en matière de reconnaissance faciale pour concrétiser cet objectif. Elle tient donc à ce que les risques technologiques, éthiques et sociétaux que cette technologie comporte soient mis en lumière.

Elle demande en particulier aux acteurs ayant une activité dans le domaine de faire en sorte que son utilisation se fasse en toute transparence. Toutefois les risques liés à cette technologie sont si importants que la CNIL distingue entre ceux qui ne sont pas acceptables, car ils auraient des conséquences beaucoup trop importantes dans une société démocratique et ceux qui peuvent être assumés moyennant des garanties appropriées.

Elle exige de ce fait une étude d’impact avant toute utilisation de la reconnaissance faciale pour évaluer les dommages qu’elle pourrait causer. S’ils sont trop importants ou s’il n’existe aucun moyen pour s’assurer que les principes démocratiques seront préservés alors l’emploi de ce dispositif ne sera pas autorisé. Elle préconise donc une étude au cas par cas.

Selon la commission le respect des personnes doit être placé au cœur des systèmes utilisant la reconnaissance faciale. La CNIL réclame donc que les entreprises mettant cette technologie à disposition du public respectent les règles édictées par le RGPD notamment le recueil du consentement et la garantie du contrôle des données.

Récemment, la Présidente de la CNIL a adressé, le 18 février 2021, un avertissement à un club sportif en matière de reconnaissance faciale. Le club sportif en question envisageait de recourir à un système de reconnaissance faciale dans le but d’identifier automatiquement les personnes qui font l’objet d’une interdiction commerciale de stade.

En effet, en l’absence d’une disposition législative ou réglementaire spéciale, la mise en œuvre de ce dispositif de reconnaissance faciale par ce club sportif à des fins de « lutte antiterroriste » est considérée comme illicite. Ainsi, ce projet a été considéré par la CNIL comme non conforme au RGPD et à la loi informatique et liberté.

B) Rebondissements à l’échelle internationale

Dans de nombreux pays, des réflexions sur le sujet ont été menées. En mars 2012, le Groupe de travail « Article 29 sur la protection des données de l’Union européenne » a exprimé son opinion concernant la reconnaissance faciale dans les services en ligne et mobiles en vue d’une réflexion sur le cadre juridique approprié et de la formulation de recommandations. Ce groupe de travail mentionne l’absence de consentement, les mesures de sécurité insuffisantes et le fait que ces technologies pourraient sonner le glas de l’anonymat.

Il convient de rappeler qu’en avril 2012, le groupe de travail a rendu publique une opinion qui indique qu’il faut obtenir le consentement de l’intéressé pour stocker et utiliser des données biométriques. De ce fait, Facebook a été contraint de désactiver son système de reconnaissance faciale qui contrevenait aux lois sur la protection des données de l’UE et à supprimer les photos qu’il avait recueillies en Allemagne.

En outre, un avis commun sur la proposition de règlement de la Commission européenne sur l’intelligence artificielle a été rendu le 21 juin 2021. Dans cet avis, la CNIL européenne (European Data Protection Board) et l’European Data Protection Supervisor (EDPS) affirment leur volonté de vouloir interdire les outils de reconnaissance faciale dans l’espace public.

Andrea Jelinek, la présidente du comité européen de la protection des données, et Wojciech Wiewiórowski, CEPD ont déclaré que : « le déploiement de l’identification biométrique à distance dans les espaces accessibles au public signifie la fin de l’anonymat dans ces lieux. Les applications comme la reconnaissance faciale en direct interfèrent avec les droits et libertés fondamentaux dans une telle mesure qu’elles pourraient remettre en cause l’essence même de ces droits et libertés ». (5)

Également intéressée par ces questions, La Federal Trade Commission a rendu publiques des pratiques exemplaires (autorisation des clients) à l’intention des entreprises ayant recours aux technologies de détection des visages. D’ailleurs aux États-Unis, la reconnaissance faciale gagne de plus en plus de terrain. L’organisme d’audit du Congrès des États-Unis (Government Accountability Office (GAO)) a publié, le 24 août, un rapport selon parmi 24 agences interrogées, dix envisagent d’intensifier leur utilisation de la reconnaissance faciale d’ici 2023. (4)

En conclusion, il est incontestable que la reconnaissance faciale confère une nouvelle dimension à la surveillance du fait qu’elle permet d’identifier les individus beaucoup plus rapidement et aisément. Elle constitue l’un des enjeux majeurs de ces prochaines années face au développement de ces nouvelles technologies et d’autant plus avec l’arrivée de la géolocalisation.

Pour lire une version plus complète de cet article sur la reconnaissance faciale, cliquez

Sources :

CLOUD COMPUTING ET RISQUES JURIDIQUES

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Le Cloud Computing a fait émerger, en dépit de son caractère récent, une foule de questions notamment sur les avantages, mais surtout sur les risques liés à ce Cloud Computing. Alors doit-on se méfier ou au contraire approuver le Cloud ?

Le monde est fait de révolutions industrielles et de « modes » 1990 : le PC Windows, 2000 : Internet dans les entreprises, et… 2010 : le Cloud Computing !

Le Cloud Computing ou « l’informatique dans les nuages », fait référence à une technique de service informatique qui permets aux utilisateurs tiers d’accéder aux ressources Internet d’un hébergeur, sans être contraints d’acquérir ou de louer le matériel informatique ou le logiciel ou encore de conclure des contrats de maintenance et de prestation de services y afférents. Plus précisément, cette technologie permet d’utiliser la puissance de serveurs informatiques à distance par l’intermédiaire d’un réseau.

Le National Institute of Standards and Technology (NIST) définit le cloud computing comme étant « l’accès via un réseau de télécommunications, à la demande et en libre-service, à des ressources informatiques partagées configurables ».


Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


Les multiples utilisateurs peuvent partager certaines données, générer automatiquement leurs propres fichiers et communiquer en ligne avec des tiers auxquels ils auront préalablement autorisé l’accès auxdites données, et ce, grâce à un système d’authentification (mot de passe et codes d’authentification. Mais l’usage de cet outil novateur que constitue le Cloud Computing contient, en son sein, des risques juridiques liés à la protection des données qu’il permet de traiter.

Dans ce sens, le début de la première initiative s’était concrétisé par le partenariat entre les entreprises Intel, Hewlett Packard et Yahoo! fin juillet 2008 dans le but de promouvoir la recherche dans ce domaine du Cloud Computing. On parlait alors de « cloud computing test bed », ayant pour objectif de créer un « environnement distribué » à l’échelle mondiale, permettant notamment la recherche sur les logiciels et le matériel informatique, ainsi que la centralisation de données.

Ensuite, le gouvernement américain suivait cette ligne en lançant le 22 novembre 2010 sa politique de « cloud prioritaire ».

Aujourd’hui, les services de cloud computing, qui déjà lancés par un certain nombre de sociétés dont Amazon et Google, et même Microsoft avec sa plateforme cloud Azure qui répond déjà aux attentes des développeurs, pourraient bien révolutionner l’informatique des entreprises.

Le cloud computing, permettant désormais d’externaliser l’utilisation de la mémoire ainsi que les capacités de calcul d’ordinateurs et de serveurs répartis dans le monde entier, offre en effet aux entreprises une formidable puissance informatique s’adaptant de surcroît à la demande. Mais le cloud computing présente également un certain nombre de risques juridiques dont il convient de se prémunir dans le cadre d’un contrat adapté.

Il s’agit d’une technique qui diffère des contrats classiques d’outsourcing aux termes desquels un prestataire tiers sera en charge du traitement technique des données (données personnelles comprises).

Le droit français et la majorité des lois nationales relatives à la protection des données personnelles au sens de la directive n° 95/46/CE du 24 octobre 1995, considèrent en principe ce prestataire tiers (hébergeur du système de Cloud Computing) comme un sous-traitant des données agissant conformément aux instructions d’un responsable du traitement des données.

Le RGPD, dans son article 28, impose l’existence d’un contrat liant le responsable de traitement, à savoir le client, et le sous-traitant qui n’est autre que le prestataire de services de cloud.

Néanmoins, il peut s’avérer que cette qualification peut s’avérer plus complexe comme ses conséquences sur le plan contractuel. L’affaire Swift, concernant une société de droit belge, qui assure le transfert de fonds internationaux à des établissements financiers, témoigne de cette complexité.

La société Swift prétendait qu’elle était le sous-traitant des données en question lorsqu’elle exportait des données personnelles et des données financières hors de l’Union européenne dans le cadre d’opérations financières. Et la Justice belge a en effet considéré que les établissements financiers impliqués dans ces opérations étaient les responsables des données personnelles en question et que Swift devait ainsi être considéré comme sous-traitant de ces données de fait et délégué desdits établissements financiers. Cette affaire révèle assez clairement les risques juridiques qu’entretient l’innovation du Cloud Computing.

Enfin, le cloud permet à l’entreprise de s’affranchir des contraintes traditionnelles (la bonne appréciation du nombre de serveurs, de la capacité nécessaire) et d’avoir une approche modulaire en fonction des besoins. Sur le plan juridique, on se rapproche du cas dans lequel une entreprise déciderait d’externaliser tout ou partie de son système d’information.

Une démarche prudente consiste en l’appréhension des risques et la prise des mesures nécessaires à la garantie la continuité du service, la sécurité des données, la qualité du service, la réversibilité… Finalement, la question liée à la confidentialité doit rester une préoccupation centrale. Ces différents sujets sont très similaires à ceux de l’outsourcing. Donc, dans l’ensemble, des réponses existent déjà et pourraient être mises en œuvre.

Il conviendra donc d’exposer ce qu’est le concept de cloud computing (1), pour ensuite définir et se prémunir des risques juridiques liés à son utilisation (2).

I. Qu’est-ce que le cloud computing ?

Il convient de définir le cloud computing (A), ainsi que ses avantages (B).

A) La définition du cloud computing

Le cloud computing présente un concept récent permettant d’utiliser de la mémoire et des capacités de calcul d’ordinateurs et de serveurs répartis dans le monde entier et liés par un réseau tel Internet. Le cloud computing permet ainsi de disposer, à la demande, de capacités de stockage et de puissance informatique sans disposer matériellement de l’infrastructure correspondante.

L’infrastructure du fournisseur est ainsi totalement autonome et déconnectée de celle du client, ce qui permet à ce dernier de s’affranchir de tout investissement préalable (homme ou machine). L’accès aux données et aux applications peut ainsi se faire à partir de n’importe quel périphérique connecté, le plus souvent au moyen d’un simple navigateur Internet.

Il existe également des clouds computing publics qui constituent des services partagés auxquels toute personne peut accéder à l’aide d’une connexion Internet et d’une carte de paiement, sur une base d’utilisation sans abonnement. Ce sont donc des infrastructures virtualisées que se partagent plusieurs utilisateurs.

Les clouds privés (ou d’entreprise), quant à eux, ils tendent à reprendre le même modèle de distribution des clouds computing publics, à la différence qu’ils sont détenus et gérés de manière privée, l’accès pouvant être limité à une seule entreprise ou à une partie de celle-ci. Ces derniers peuvent ainsi apparaître comme plus sûrs en termes de sécurité, de stabilité, de confidentialité et de persistance des données.

Globalement, le cloud computing constitue une nouvelle forme d’informatique à la demande, à géométrie variable, que l’on pourrait classer d’un point de vue juridique, au croisement des services d’externalisation, et des services ASP et SaaS.

En effet, les services d’externalisation (ou « outsourcing ») consistent à confier la totalité d’une fonction ou d’un service à un prestataire externe spécialisé, pour une durée pluriannuelle. Grâce à de tels contrats, le client peut s’exonérer des contraintes de gestion et de maintenance d’un système informatique.

Les services « ASP » (pour « Application Service Provider ») dérivent des contrats d’outsourcing. Sauf que dans les contrats ASP, le client ne fait que louer un droit d’accès et d’utilisation du système informatique auprès du prestataire. Le client dispose ainsi d’un accès à distance à des applications sur un serveur extérieur, ce qui le dispense d’acquérir lui-même une infrastructure informatique, des licences d’utilisation de progiciels etc.

Les services SaaS (pour « Software As A Service »), sont quant à eux des dérivés des contrats ASP dont ils constituent une forme particulière (application personnalisée), en externalisant le système informatique du client, auquel celui-ci à accès exclusivement par Internet.

B) Les apports du cloud computing

Le cloud computing offre la possibilité d’étendre le système d’information d’une entreprise à la simple demande de celle-ci, en fonction de l’utilisation attendue (pics d’activité, pics de fréquentation, etc.).

Les services fournis dans le cadre du cloud computing sont vastes. L’entreprise peut notamment bénéficier d’une capacité de traitement de l’information (sans acquérir des ordinateurs et ressources nécessaires), d’infrastructures informatiques (de type réseaux), de capacités de stockage et d’archivage (sans avoir à se doter de serveurs spécifiques) mais aussi d’applications informatiques (sans avoir à acquérir les licences correspondantes).

Ainsi, le cloud computing permet, sans investissement majeur en termes d’infrastructure et de dépenses en capitaux, de bénéficier d’un service à moindre coût fondé sur la consommation, de type “pay-per-use”, et par suite d’optimiser la gestion des coûts d’une entreprise.

De ce fait, le prix d’un tel service est calculé en fonction de la consommation effective d’une entreprise, tout comme pour l’utilisation du gaz ou de l’électricité. L’entreprise achète en quelque sorte la possibilité d’utiliser de la puissance informatique sur demande.

Au-delà du service en lui-même, les avantages du cloud computing, résident donc d’une part dans la simplicité et la rapidité de mise en œuvre dudit service, et d’autre part dans la grande flexibilité liée à l’offre sur demande que celui-ci permet.

Enfin, il convient de noter que techniquement, il est possible de mettre n’importe quelle application dans un cloud computing. Néanmoins, ses usages principaux concerneront essentiellement le management lié aux nouvelles technologies, la collaboration, les applications personnelles ou d’entreprise, le développement ou le déploiement des applications et enfin les capacités serveurs et de stockage.

A titre d’illustration, Microsoft a investi des centaines de millions de dollars cette année pour construire et améliorer les centres de données (le dernier, ouvert à Chicago, compte 300000 serveurs !) qui rendent ses ambitions de cloud computing possibles. Malgré la crise économique, Microsoft a investi 9 milliards de $ en R&D, 10 % de plus que l’année dernière, et les spécialistes prédisent déjà que le géant américain, malgré les critiques faites à son encontre, sera l’acteur le plus prééminent et le plus rentable en la matière.

Le cloud computing constitue donc un service mutualisé et virtualisé, dont le coût varie uniquement en fonction de l’utilisation effective, qu’il conviendra d’encadrer spécifiquement sur un plan juridique.

 

II . Les risques juridiques liés à l’utilisation du cloud computing

Les principaux risques juridiques du cloud computing sont inhérents aux données (A). Il convient de s’en prémunir dans des contrats sécurisés (B).

A) La sécurité et la sécurisation des données

La mise en place de services de cloud computing n’est pas sans risques, notamment au regard de la sécurité et de sécurisation des données. En effet, l’accès aux données et aux applications est réalisé entre le client et la multiplicité des serveurs distants. Ce risque se trouve donc amplifié par la mutualisation des serveurs et par la délocalisation de ceux-ci.

L’accès aux services induira donc des connexions sécurisées et une authentification des utilisateurs. Se posera alors le problème de la gestion des identifiants et celui des responsabilités (accès non autorisé, perte ou vol d’identifiants, niveau d’habilitation, démission ou licenciement, etc.).

Il existe également un risque de perte de données qu’il conviendra de prendre en considération, d’évaluer et d’anticiper dans le cadre de procédures de sauvegarde adaptées (stockage dans des espaces privés, en local, en environnement public, etc.). De même, il existe également des risques au regard de la confidentialité des données (fuites), vu le nombre de serveurs et la délocalisation de ceux-ci.

De surcroît, la réalisation des services de cloud computing étant assurée par un prestataire externe, celle-ci comporte des risques au regard de la qualité de service obtenue, et de la propriété et de l’intégrité des données et/ou applications confiées, risques qu’il conviendra donc de prévoir contractuellement.

En outre, la mise en place de ce type de service peut parfois s’avérer onéreuse. Il existe en effet des risques financiers liés aux outils de contrôle servant à évaluer la consommation du cloud computing, et sa facturation. Il conviendra ainsi de définir contractuellement une unité de mesure du stockage, et des ressources informatiques utilisées, ou encore du nombre d’utilisateurs actifs,  afin que cela reste avantageux pour l’entreprise concernée.

Finalement, la mise en place de services de cloud computing fait naître pour l’entreprise un certain nombre de risques au regard des données personnelles et des formalités imposées par la CNIL. Ces risques sont aggravés en cas de transfert de données hors de l’Union européenne (UE). La rédaction de contrats de cloud computing devra donc également prendre en considération ces problématiques.

En effet, le contrat doit tenir compte de ces contraintes, d’autant que le fait de confier ses données à un sous-traitant n’exonère pas le responsable du traitement de ses obligations. Cette question prend une ampleur particulière, car les serveurs sont délocalisés et le client n’a pas à connaître la localisation des serveurs.

Cependant, la loi impose, pour les transferts de données à caractère personnel hors de l’Union européenne, des formalités d’autorisation. Il est donc prudent d’imposer au prestataire de cloud computing soit un engagement de maintenir ses serveurs au sein de l’Union européenne, soit de veiller à être bien informés dans le cas d’un transfert hors Union européenne.

Il convient de distinguer entre les données personnelles telles que définies par le Règlement général sur la protection des données (RGPD) et les données commerciales non personnelles. Le RGPD, dans son article 4, définit les données personnelles comme toute information relative à une personne physique identifiée ou identifiable de manière directe ou indirecte par référence à des éléments qui lui sont propres. Sachant que les données à caractère personnel sont protégées par ce règlement, les données commerciales, quant à elles, sont régies par les dispositions de la loi n° 2018-670 du 30 juillet 2018 relative à la protection du secret des affaires et plus précisément en vertu l’article L151-1 du Code de commerce. (1)

B) Les précautions juridiques nécessaires à la rédaction d’un contrat de cloud computing

Il conviendra d’un point de vue général de mettre en place, pour pallier les risques précédemment évoqués, comme dans le cadre de tout projet d’externalisation, une convention de niveau de service, également appelée « SLA » (pour « Service Level Agreement »), permettant au client d’obtenir du prestataire une qualité de service convenue contractuellement.

En outre, la convention pourra comporter des indications quant aux attentes du client relatives à la réalisation des obligations du prestataire et notamment instaurer un système de malus ou de pénalités.

Il s’avère primordial de contractualiser un plan de réversibilité permettant d’assurer le transfert des services à d’autres prestataires, et ce, pour assurer une pérennité des services de cloud computing.

Plus particulièrement, il conviendra de prévoir les facteurs déclencheurs de cette réversibilité (carence du prestataire, libre choix du client après un certain nombre d’années), les conditions de cette réversibilité (simple discontinuité du service, ou arrêt total du service) et enfin le coût de celle-ci.

Il sera préconisé de prévoir la réplication des données sur plusieurs sites distants ou l’obligation de résultat de restauration des données dans des délais contractuels définis afin de palier leur perte. L’accord de Cloud Computing devra aussi stipuler une garantie de paiement d’une indemnité aux personnes physiques concernées par les données personnelles, en cas de traitement illicite ou de perte de ces dernières.

Le contrat prendra soin de préciser que l’ensemble des traitements ne seront opérés par l’hébergeur que sur instructions et contrôle des utilisateurs, c’est-à-dire sans prise d’initiative sans instructions expresses des utilisateurs considérés comme responsables de traitements.

En ce qui concerne l’intégrité et de la confidentialité des données, il pourra être prévu une clause d’audits externes, chargés d’une mission de contrôle acceptée par l’hébergeur du service. Notons aussi qu’il conviendra de s’assurer de la bonne rédaction de la clause de responsabilité du contrat, et d’encadrer tout particulièrement la traçabilité, l’accès frauduleux, l’atteinte à l’intégrité, voire la perte de données sensibles.

Mais s’agissant plus particulièrement les données sensibles que sont les données personnelles, le client pourra exiger que celles-ci restent localisées sur des serveurs exclusivement situés dans l’UE et prévoir les moyens de contrôle de cette obligation.

Le client s’exonérera ainsi d’un ensemble de formalités CNIL liées au transfert de données personnelles en dehors de l’UE. Pour se prémunir, il pourra aussi stipuler une interdiction pour l’hébergeur de regrouper, ou de stocker sur des serveurs identiques, un fichier de données avec d’autres fichiers comportant des données dites sensibles (par exemple : des fichiers comportant des informations bancaires et financières).

Enfin, nouveau modèle d’intégration de services informatiques, utilisables à la demande via Internet, reposant sur l’hébergement et l’accès à distance, attractif pour les entreprises, le cloud computing reste complexe à maîtriser.

Il conviendra par conséquent pour les entreprises de mettre en place un cadre contractuel adapté. L’encadrement juridique est en effet primordial pour prévenir les risques liés à ce service, qui, d’ici 2020, permettra aux entreprises de faire migrer l’essentiel de leurs applications dans les « nuages ».

Cela étant, il est intéressant d’évoquer le Cloud Act (Clarifying Lawful Overseas Use of Data Act) qui avait été adopté, le 8 mars 2018, par le Congrès américain. Ce Cloud Act permet aux agences de renseignement américaines ou aux forces de l’ordre d’obtenir les informations stockées dans les serveurs des opérateurs de télécoms et des fournisseurs de services de Cloud computing.

En effet, les prestataires de services sont obligés de communiquer « les contenus de communications électroniques et tout enregistrement ou autre information relative à un client ou abonné, qui sont en leur possession ou dont ils ont la garde ou le contrôle, que ces communications, enregistrements ou autres informations soient localisés à l’intérieur ou à l’extérieur des États-Unis ». (2)

Suivant l’exemple américain, les instances européennes ont entamé le travail sur un Cloud Act européen ayant pour objectif l’établissement d’un cadre juridique permettant d’instaurer une souveraineté de l’Union européenne sur son propre cloud. Ces mesures se justifient par les difficultés de mises en œuvre inhérentes au recours au cloud. Comme l’a formulé Frédéric Forster : « Si le recours au cloud a la particularité d’être aisé et convivial, il ne se heurte toutefois pas à des difficultés juridiques de mise en œuvre, voire à des convoitises dont il est évidemment indispensable qu’elles soient régulées et coordonnées ». (3)

Pour lire une version plus complète de cet article sur les risques juridiques du cloud computing, cliquez

Sources