rgpd

Atteinte au RGPD et concurrence déloyale

Dans le paysage juridique contemporain, la question de la protection des données à caractère personnel est devenue un enjeu de première importance, notamment à la suite de l’adoption du Règlement général sur la protection des données, communément appelé RGPD, par l’Union européenne.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Entré en vigueur le 25 mai 2018, ce règlement a pour objectif fondamental d’assurer un niveau de protection élevé des droits et des libertés fondamentales des individus, particulièrement en ce qui concerne le traitement de leurs données personnelles. Le RGPD est le fruit d’une réflexion approfondie sur la nécessité de concilier la protection des informations personnelles avec les exigences d’une économie numérique en pleine expansion. Dans ce cadre, la problématique des pratiques commerciales déloyales, et plus spécifiquement celles touchant à la concurrence, est devenue un sujet central des débats juridiques à l’échelle européenne.

L’affaire C-21/23, jugée par la Cour de justice de l’Union européenne (CJUE) le 4 octobre 2024, illustre parfaitement les défis qui se posent lorsque des acteurs économiques, en l’occurrence des pharmaciens, se retrouvent en situation de conflit au sujet de leurs pratiques relatives au traitement des données. Cette décision de la CJUE est emblématique car elle souligne que le RGPD ne se limite pas à conférer des droits aux seules personnes concernées, mais qu’il ouvre également la voie à des actions en justice pour les concurrents qui estiment qu’une entreprise enfreint les dispositions de ce règlement. Par conséquent, la CJUE a affirmé que les États membres de l’Union européenne ont la capacité législative de permettre à un concurrent d’intenter une action contre une entreprise soupçonnée de violer le RGPD. Cette interprétation renforce non seulement la protection des données personnelles, mais également la lutte contre les comportements jugés fautifs dans le cadre des relations commerciales.


Besoin de l’aide d’un avocat pour un problème de données personnelles ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien


Il est également primordial de mettre en lumière le fait que la CJUE a clarifié que certaines données, notamment celles recueillies lors de la vente en ligne de médicaments réservés aux pharmacies, relèvent de la catégorie des données de santé au sens du RGPD. Cette classification est particulièrement significative car elle s’applique même dans les cas où les médicaments concernés ne nécessitent pas de prescription médicale. L’interprétation extensive des données de santé par la CJUE souligne l’importance d’obtenir un consentement explicite de la part des consommateurs pour le traitement de leurs informations personnelles. Ce principe de consentement éclairé entraîne des répercussions directes sur les pratiques commerciales des pharmaciens opérant en ligne, qui doivent désormais être particulièrement vigilants quant à la manière dont ils collectent et utilisent les données de leurs clients.

À travers cette décision, la CJUE éclaire non seulement les contours de la protection des données à caractère personnel, mais également les implications considérables que cela engendre pour les pratiques commerciales au sein d’un secteur où l’éthique et la conformité légale doivent impérativement converger. En effet, dans un environnement commercial de plus en plus compétitif, les entreprises doivent naviguer avec soin entre la nécessité de protéger les données personnelles des consommateurs et les exigences du marché. Par ailleurs, il est essentiel de rappeler des exemples jurisprudentiels antérieurs, tels que l’affaire Google Spain SL, où la CJUE a établi un droit à l’oubli pour les individus, renforçant ainsi la protection des données personnelles face aux exigences de l’indexation et de la recherche en ligne.

En somme, l’évolution des normes juridiques régissant la protection des données à caractère personnel, notamment à travers des décisions emblématiques de la CJUE, met en exergue la nécessité d’un cadre juridique rigoureux qui puisse à la fois protéger les droits des individus et garantir des pratiques commerciales loyales et éthiques.

Les enjeux soulevés par ces évolutions législatives et jurisprudentielles sont d’une portée considérable et appellent à une prise de conscience accrue de la part des acteurs économiques, qui doivent s’engager dans une démarche proactive en matière de conformité et d’éthique dans le traitement des données personnelles.

I. Les fondements juridiques de la protection des données à caractère personnel et leur impact sur les pratiques commerciales

A- Le RGPD : un cadre juridique protecteur et contraignant

  1. Présentation des objectifs et des principes fondamentaux du RGPD

Le Règlement général sur la protection des données (RGPD) constitue une avancée majeure en matière de protection des données personnelles. Son adoption a été motivée par la nécessité d’harmoniser les législations des États membres de l’Union européenne, tout en répondant aux préoccupations croissantes des citoyens en matière de confidentialité et de sécurité des informations personnelles.  Le RGPD est articulé autour de plusieurs principes fondamentaux, dont la légalité, la transparence et la limitation des finalités. Ce dernier impose que les données personnelles soient collectées pour des finalités déterminées, explicites et légitimes, et qu’elles ne soient pas traitées de manière incompatible avec ces finalités. Le principe de minimisation des données impose également que seules les informations strictement nécessaires soient collectées, tandis que le principe de précision exige que les données soient tenues à jour.

Enfin, le RGPD établit des obligations de responsabilité, stipulant que les responsables de traitement doivent démontrer leur conformité aux exigences du règlement. Ces principes visent à garantir non seulement la protection des données individuelles, mais aussi à instaurer un climat de confiance entre les citoyens et les entités qui traitent leurs données.

  1. Les droits des personnes concernées et les obligations des responsables de traitement

Le RGPD confère un ensemble de droits puissants aux personnes concernées. Parmi ceux-ci, on trouve le droit d’accès, qui permet aux individus de connaître les données les concernant détenues par une entreprise, ainsi que le droit de rectification, qui leur donne la possibilité de corriger des informations inexactes.

Le droit à l’effacement, souvent désigné comme le « droit à l’oubli », permet aux individus de demander la suppression de leurs données dans certaines circonstances. Par ailleurs, le droit à la portabilité des données permet aux personnes de transférer facilement leurs données d’un responsable de traitement à un autre. Les responsables de traitement, quant à eux, sont soumis à des obligations strictes. Ils doivent mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté aux risques. De plus, ils sont tenus de réaliser des analyses d’impact sur la protection des données lorsque le traitement présente un risque élevé pour les droits et libertés des personnes physiques. Ces obligations visent à renforcer la responsabilité des entreprises en matière de traitement des données personnelles et à garantir un respect rigoureux des droits des individus.

B- La concurrence et les pratiques commerciales déloyales : une interaction nécessaire avec le RGPD

  1. La capacité des concurrents à agir en justice au titre des pratiques commerciales déloyales

Dans le cadre du RGPD, les États membres ont la latitude d’établir des dispositions législatives permettant à des concurrents d’agir en justice contre des entreprises soupçonnées de pratiques contraires aux principes de protection des données. Cette faculté d’action est particulièrement pertinente dans les secteurs où les violations des données peuvent avoir des répercussions non seulement sur les consommateurs, mais également sur la concurrence. En permettant à des concurrents de contester des pratiques commerciales jugées déloyales, le législateur vise à promouvoir une concurrence équitable et à dissuader les comportements fautifs. Les actions en justice des concurrents peuvent aussi contribuer à la protection des droits des personnes concernées, en renforçant la vigilance autour des pratiques de traitement des données. Cette dynamique incite les entreprises à adopter des comportements conformes au RGPD, sachant qu’elles peuvent être tenues responsables non seulement vis-à-vis des régulateurs, mais également vis-à-vis de leurs pairs. Ainsi, la possibilité d’une action en justice par un concurrent apparaît comme un outil efficace dans la lutte contre les violations des données.

  1. La contribution de cette démarche à la protection des données et à la concurrence loyale

En intégrant la possibilité pour les concurrents d’agir en justice, la législation renforce indéniablement la protection des données. Cela crée un écosystème dans lequel les entreprises sont davantage incitées à respecter les normes de conformité. En effet, lorsque les entreprises savent qu’elles peuvent être tenues responsables par leurs concurrents pour des violations potentielles, cela les pousse à investir dans des pratiques de gestion des données conformes et éthiques. Cette approche favorise également une concurrence loyale sur le marché.

Les entreprises qui respectent le RGPD et qui adoptent des pratiques transparentes de traitement des données peuvent ainsi se différencier positivement de celles qui choisissent des voies moins scrupuleuses. Une telle dynamique contribue à créer un environnement commercial plus équitable, où les consommateurs peuvent avoir confiance dans les pratiques des entreprises qui traitent leurs données. En effet, lorsque les entreprises savent qu’elles doivent se conformer aux normes du RGPD pour éviter d’éventuelles poursuites de la part de concurrents, cela limite la tentation de contourner les règles pour obtenir un avantage compétitif. Cela renforce l’idée que la conformité à la législation sur la protection des données n’est pas seulement une obligation légale, mais aussi un atout commercial. De plus, cette approche favorise l’innovation en matière de protection des données. Les entreprises sont incitées à développer des solutions technologiques et des pratiques commerciales qui respectent les droits des consommateurs.

Cela peut inclure le développement d’outils de gestion des consentements, des plateformes de transparence sur l’utilisation des données, et des systèmes de sécurité avancés pour protéger les informations sensibles. En conséquence, les entreprises qui investissent dans des pratiques conformes au RGPD peuvent non seulement éviter des sanctions, mais aussi se positionner comme des leaders dans un marché de plus en plus conscient des enjeux de la protection des données.

II. L’interprétation des données de santé et le consentement explicite dans le cadre de la vente en ligne de médicaments

A- La qualification des données de santé au sens du RGPD

  1. Analyse des informations relatives à la santé dans le cadre des commandes en ligne

Dans le cadre de la vente en ligne de médicaments, la collecte et le traitement des données personnelles relatives à la santé soulèvent des questions essentielles. Selon le RGPD, les données de santé sont considérées comme des données sensibles qui nécessitent une protection renforcée.  La Santé inclut toutes les informations concernant la santé physique ou mentale d’une personne, y compris les informations sur des traitements médicaux, des diagnostics, et des prescriptions. Lorsqu’un consommateur commande un médicament en ligne, des données telles que son historique médical ou ses allergies peuvent être collectées, ce qui augmente les obligations en matière de consentement et de sécurité. La reconnaissance des données de santé comme sensibles oblige les pharmacies en ligne à mettre en place des mesures strictes de protection des données, notamment en matière de cryptage et de contrôle d’accès. De plus, les entreprises doivent être conscientes que toute violation de ces données peut avoir des conséquences graves, tant sur le plan juridique que sur la réputation. En ce sens, l’affaire C-21/23 a mis en lumière la nécessité pour les pharmaciens de comprendre et de respecter les exigences du RGPD lorsqu’ils traitent des données de santé, même dans des cas où des médicaments ne nécessitent pas de prescription.

  1. Implications de la reconnaissance de ces données comme sensibles pour les pharmaciens

La qualification des données de santé comme sensibles a des implications significatives pour les pharmaciens, surtout dans un contexte de vente en ligne.

Tout d’abord, cela implique que les pharmaciens doivent obtenir un consentement explicite et éclairé de la part des consommateurs avant de traiter leurs données. Ce consentement doit être donné librement, spécifique, informé et univoque, ce qui signifie que les consommateurs doivent être clairement informés des finalités pour lesquelles leurs données seront utilisées.

En outre, les pharmaciens doivent s’assurer que les consommateurs comprennent les risques associés à la fourniture de leurs données personnelles. Cela nécessite de mettre en place des dispositifs de communication clairs et accessibles, expliquant comment les données seront protégées et utilisées. Les pharmacies doivent également être prêtes à répondre aux demandes de retrait de consentement, ce qui pourrait nécessiter des ajustements dans leurs systèmes de gestion des données.

B- L’importance du consentement explicite et de l’information des consommateurs

  1. Les exigences en matière de consentement pour le traitement des données de santé

Le RGPD impose des exigences strictes en matière de consentement pour le traitement des données de santé. Les pharmaciens doivent s’assurer que le consentement est recueilli de manière proactive et que les consommateurs sont pleinement conscients des implications de leur accord. Cela inclut la nécessité d’expliquer clairement quelles données seront collectées, pourquoi elles le seront, et comment elles seront utilisées. De plus, le consentement doit être documenté, et les entreprises doivent être en mesure de prouver qu’elles ont obtenu ce consentement en cas de litige. Il est également essentiel que les pharmaciens mettent en place des mécanismes permettant aux consommateurs de retirer leur consentement à tout moment. Cela renforce le contrôle des consommateurs sur leurs propres données et est conforme aux principes de transparence et de responsabilité prévus par le RGPD. De plus, les pharmacies doivent être prêtes à répondre aux demandes des consommateurs concernant l’accès à leurs données, ainsi qu’à la rectification ou à l’effacement de celles-ci.

  1. La nécessité d’informer les consommateurs de manière claire et accessible

Pour que le consentement soit valide, il est crucial que les informations fournies aux consommateurs soient claires, compréhensibles et facilement accessibles. Les pharmacies en ligne doivent donc veiller à rédiger des politiques de confidentialité qui expliquent de manière détaillée les pratiques de traitement des données, en évitant le jargon juridique complexe. Cela peut inclure des éléments tels que :

Personnelles de données collectées (par exemple, informations sur la santé, coordonnées personnelles).

– Les finalités du traitement (par exemple, la délivrance de médicaments, le suivi des commandes).

– Les droits des consommateurs concernant leurs données (accès, rectification, effacement). – Les mesures de sécurité mises en place pour protéger les données.

– Les coordonnées du responsable du traitement ou du délégué à la protection des données. En adoptant une approche proactive en matière d’information, les pharmacies peuvent non seulement se conformer aux exigences légales, mais aussi établir une relation de confiance avec leurs clients. Cela peut contribuer à renforcer la fidélité des consommateurs et à améliorer l’image de marque des entreprises dans un secteur de plus en plus concurrentiel.

III. Les enjeux de la conformité et des sanctions en matière de protection des données dans le secteur pharmaceutique

A- Les conséquences juridiques de la non-conformité au RGPD

  1. Les types de sanctions encourues par les entreprises

La non-conformité au RGPD peut entraîner des sanctions lourdes pour les entreprises, notamment des amendes financières qui peuvent atteindre jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, selon le montant le plus élevé. De plus, les entreprises peuvent faire face à des actions en justice de la part des consommateurs ou d’organismes de régulation, ce qui peut entraîner des coûts juridiques significatifs et nuire à la réputation de l’entreprise. Outre les sanctions financières, une non-conformité peut également entraîner des mesures correctives imposées par les autorités de protection des données, telles que l’obligation de cesser certaines pratiques de traitement ou d’implémenter des audits réguliers. Cela peut perturber les opérations commerciales et entraîner des pertes de revenus.

  1. L’impact sur la réputation et la confiance des consommateurs

Les conséquences de la non-conformité ne se limitent pas aux sanctions financières. En effet, la perception du public envers une entreprise peut être gravement affectée par une violation de données ou une non-conformité au RGPD. Les consommateurs sont de plus en plus sensibles aux questions de protection des données et peuvent choisir de ne pas faire affaire avec des entreprises qui ne respectent pas leurs droits. La réputation d’une entreprise peut être difficile à rétablir après une violation, et les consommateurs peuvent partager leurs expériences négatives sur les réseaux sociaux, amplifiant ainsi l’impact sur la réputation de la marque. En revanche, les entreprises qui démontrent un engagement fort en matière de protection des données peuvent bénéficier d’une amélioration de leur image de marque et d’une fidélisation accrue de leur clientèle.

B- Les bonnes pratiques pour garantir la conformité au RGPD

  1. Mise en place d’une culture de la protection des données au sein de l’entreprise

Pour garantir la conformité au RGPD, il est essentiel d’instaurer une culture de la protection des données au sein de l’entreprise. Cela inclut la sensibilisation et la formation des employés sur les enjeux de la protection des données, ainsi que sur les obligations légales qui en découlent. Les entreprises doivent veiller à ce que tous les employés comprennent leurs responsabilités en matière de traitement des données et soient conscients des conséquences potentielles de la non-conformité.

  1. Élaboration de politiques et de procédures claires de protection des données

Les entreprises doivent établir des politiques et des procédures claires concernant le traitement des données personnelles, y compris des protocoles pour la collecte, le stockage, le partage et la destruction des données. Cela inclut la mise en place de mesures de sécurité techniques et organisationnelles appropriées pour protéger les données, ainsi que des procédures pour gérer les violations de données.

Pour lire une version plus détaillée de cet article sur la collecte des données personnelles et la concurrence déloyale, cliquez

Sources :

CJUE : atteinte au RGPD contestée en justice par un concurrent comme pratique commerciale déloyale – LE MONDE DU DROIT : le magazine des professions juridiques
CURIA – Documents
Guide de la sécurité des données personnelles 2024
RGPD : Qu’est-ce qu’une donnée sensible ? – Définition

RGPD : la question du consentement

Comme chacun sait, le 25 mai 2018, est une date butoir non seulement pour tous les acteurs du numérique, mais aussi et plus largement pour toutes les entreprises, leur mise en conformité au nouveau grand texte européen en matière de données personnelles devant être assurée d’ici là.

Le règlement général sur la protection des données (« RGPD », ou « GDPR » en anglais), à cette échéance, sera applicable dans tous les États membres de l’Union européenne. Et s’il est des notions essentielles au sein du texte, c’est bien celle du consentement.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de vie privée en passant par le formulaire !

Le droit européen des données personnelles a été longtemps régi par la directive 95/46/CE.

Adoptée en 2016, l’entrée en vigueur de la nouvelle réglementation européenne le 25 mai 2018 a permis d’adapter le droit de l’union aux changements induits par l’explosion de l’informatique et d’Internet.

Afin de garantir l’effectivité des dispositions prévues par ce règlement, toutes les entreprises qui collectent des données personnelles de personnes résidant dans l’Union européenne, sont soumises à la réglementation indépendamment de leur localisation.

Les entreprises se doivent de respecter un certain nombre de principes fondamentaux pour la protection des données, tels que la transparence, la limitation de la finalité, la minimisation des données, l’exactitude et l’intégrité des données, ainsi que la sécurité des données. L’un de ces principes est le consentement, qui est défini comme une indication claire et positive de la volonté de la personne concernée de donner son accord pour le traitement de ses données personnelles.

Le consentement demeure l’une des six bases juridiques permettant de traiter des données à caractère personnel, telles qu’énumérées à l’article 6 du RGPD. Lorsque le responsable de traitement sollicite le consentement, il a l’obligation d’évaluer si celui-ci satisfera à toutes les conditions d’obtention d’un consentement valable. S’il a été obtenu dans le plein respect du RGPD, le consentement est un outil qui confère aux personnes concernées un contrôle sur le traitement éventuel de leurs données à caractère personnel. Dans le cas contraire, le contrôle de la personne concernée devient illusoire et le consentement ne constituera pas une base valable pour le traitement des données, rendant de ce fait l’activité de traitement illicite.

Afin d’aider les responsables de traitement dans le recueil du consentement, le comité européen à la protection des données a élaboré un guide composé de lignes directrices qui permet de saisir les réflexes à adopter lors du recours au consentement comme base légale.

Par conséquent, toute entreprise qui traite des données personnelles de résidents de l’Union européenne devra donc prendre pleinement conscience de la portée des dispositions afférentes au consentement. Il conviendra dans un premier temps d’aborder les obligations liées à la nature même du consentement requis (I) et les obligations relatives à sa valeur (II). Enfin, seront traités les cas particuliers tels que le consentement du mineur (III).

I. Les conditions relatives à la nature du consentement requis

Lorsque la base légale du traitement retenue est le consentement, le RGPD impose que ce dernier soit libre, spécifique, éclairé et univoque.

A) L’obligation d’un consentement libre et éclairé

Auparavant inscrite dans la loi Informatique et Libertés, la notion de consentement a été renforcée par les dispositions du RGPD afin de permettre aux personnes concernées d’exercer un contrôle réel et effectif sur le traitement de leurs données.

Définit par l’article 4 du règlement, le consentement s’apparente à « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

L’article 7 du RGPD précise les conditions applicables au consentement.

Pour être valide, le consentement doit être accompagné d’un certain nombre d’informations communiquées à la personne avant qu’elle ne consente. Au-delà des obligations de transparence prévues aux articles 12, le responsable du traitement se doit fournir la liste d’informations mentionnée à l’article 13 afin de recueillir le consentement éclairé des personnes concernées. Il s’agit de l’identité du responsable du traitement, des finalités poursuivies, des catégories de données collectées, de l’existence d’un droit de retrait du consentement.

Le consentement est considéré comme « libre » lorsque l’utilisateur l’a donné sans pression ni influence extérieure. En outre, le caractère libre du consentement se matérialise par la possibilité de refuser et de le retirer à tout moment. Ce droit de retrait doit pouvoir être exercé dès que la personne concernée le souhaite et aussi simplement que lorsqu’elle a consenti. Le responsable du traitement doit donc mettre en place un moyen simple et efficace pour que l’utilisateur puisse retirer son consentement

Le règlement général sur la protection des données parle du consentement, comme d’une « manifestation de volonté libre […] ». Tout en reprenant le terme, déjà soutenu au sein des textes antérieurs, le législateur a cependant fait le choix d’un encadrement concis, au regard de ce principe.

Ainsi, le texte prévoit que la personne concernée dispose du droit de retirer son consentement quand elle le souhaite, aussi simplement qu’elle l’a accordé, et doit être informée de cette possibilité. Ce retrait ne remet pas en cause, pour autant, la licéité du traitement fondé sur le consentement précédemment donné, pour la période allant jusqu’au dit retrait.


Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien


Par ailleurs, cette liberté signifie également que la personne ne doit pas être contrainte « d’abandonner » son consentement, notamment sous le joug du préjudice éventuel qui pourrait découler de son refus : « le consentement est présumé ne pas avoir été donné librement en cas de déséquilibre […] si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice » .

Le texte précise également que « le consentement est présumé ne pas avoir été donné librement si un consentement distinct ne peut pas être donné à différentes opérations de traitement des données à caractère personnel ».

Autrement dit, le retrait du consentement ne doit pas engendrer de frais pour la personne concernée ou encore avoir pour conséquence d’amoindrir le service fourni. Un déséquilibre des rapports de force peut également avoir lieu dans le cadre des relations de travail. Il est en effet peu probable que la personne concernée soit en mesure de refuser de donner son consentement à son employeur concernant le traitement de ses données sans craindre ou encourir des conséquences négatives suite à ce refus.

Par ailleurs, le considérant 43 du RGPD précise qu’un consentement distinct doit être obtenu pour chacune des finalités envisagées « le consentement est présumé ne pas avoir été donné librement si un consentement distinct ne peut pas être donné à différentes opérations de traitement des données à caractère personnel ». Dès lors qu’un traitement comporte plusieurs finalités, les personnes doivent pouvoir consentir indépendamment pour l’une ou l’autre de ces finalités. Elles doivent pouvoir choisir librement les finalités pour lesquelles elles consentent au traitement de leurs données.

Pour rappel, dans une décision du 21 janvier 2019, la Commission nationale de l’informatique et des libertés (CNIL) a prononcé une amende de 50 millions d’euros à l’encontre de Google, pour violation des dispositions du Règlement général sur la protection des données (RGPD).

Dans un premier temps, la formation restreinte de la CNIL a estimé qu’il y avait une violation continue des obligations de transparence et d’information (article 12 du RGPD) lors de la collecte des données personnelles (article 13 et 14 du RGPD) et que les droits des personnes n’était pas assez clair (article 15 à 22 du RGPD).

Elle relève également que des informations essentielles (finalité, durée de conservation ou catégories de données) étaient anormalement disséminées dans de multiples espaces où il était nécessaire d’activer des boutons ou onglets pour prendre connaissance des informations complémentaires.

De plus, la CNIL a remarqué que les informations fournies n’étaient pas suffisamment claires ou compréhensibles par rapport aux aspects massifs et intrusifs des différents traitements réalisés par l’entreprise et que les finalités étaient trop génériques et vagues.

Dans un second temps, la CNIL est venue sanctionner l’absence de base légale pour les traitements de personnalisation de la publicité. La société américaine indiquait se fonder sur le contentement des utilisateurs, or les agents de la Commission ont estimé que celui-ci n’était pas éclairé, spécifié et univoque. En effet, dans le prolongement de ce qui a été exposé précédemment, les informations permettant de justifier du consentement ont été réparties sur plusieurs espaces et documents en plus de présenter des cases précochées au moment de la collecte.

B) L’obligation d’un consentement explicite

Le terme explicite se rapporte à la façon dont le consentement est exprimé par la personne concernée. Il implique que la personne concernée doit formuler une déclaration de consentement exprès.

Le consentement peut se matérialiser de diverses façons. Le considérant 32 du RGPD  nous apporte quelques précisions, ainsi « Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale […] Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité ».

Le consentement peut être recueilli au moyen d’une déclaration écrite ou orale (enregistrée), y compris par voie électronique. Ainsi, un consentement tacite n’est pas valable, et le recueil du consentement nécessite une formalisation. Le consentement ne peut donc pas être obtenu par défaut ou par inaction de l’utilisateur. A ce titre, il convient de bien différencier la case cochée par défaut, de la case à cocher, qui constitue en soi l’expression d’un consentement exprès au sens du texte susvisé. Le RGPD n’autorise pas non plus le recours à des options de refus nécessitant une action de la personne concernée pour signaler son refus (par exemple des « cases de refus »).

L’article 4 du Règlement, déjà cité, fait allusion au caractère « express » du consentement, en ce que celui-ci doit découler d’une décision « par laquelle une personne concernée accepte, par une déclaration ou par un acte positif clair » le traitement de ses données.

Cette formulation constitue une différence clef entre les « anciens textes » et celui à paraître, puisque la directive 95/46 omet toute mention en ce sens. A contrario, le RGPD souligne expressément « qu’il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité.

Attention, il convient de bien différencier la case cochée par défaut, de la case à cocher, qui constitue en soi l’expression d’un consentement express au sens du texte susvisé.

De même, l’acceptation d’un contrat ou de conditions générales ne rend pas compte d’un tel consentement éclairé, tandis qu’un accord donné par voie écrite, orale ou électronique vaudra acceptation, tant que le sens d’une telle action n’est pas ambiguë.

Si la pratique du « double opt-in » est avancée par le G29 dans ses conclusions, elle demeure non seulement facultative, mais paraît également inefficace à certains égards : « ce double opt-in […] est lourd à mettre en place. Il est bien évidemment redouté notamment par les professionnels du marketing qui savent que la collecte d’un consentement impliquant deux actions positives d’un prospect ou d’un client est très illusoire », la plupart des utilisateurs étant peu enclins à communiquer deux fois leur consentement.

A l’occasion d’un arrêt du 1er octobre 2021, la CJUE statue sur la notion de consentement explicite, et rappelle que le recueil du consentement doit être explicite avant tout traitement des données personnelles, ainsi le consentement doit être donné activement et expressément au site web par les utilisateurs. En l’espèce, la CJUE considère que le consentement recueilli n’est pas explicite, car la case était cochée par défaut, et l’utilisateur devait décocher cette case pour refuser de donner son consentement. Par ailleurs, la CJUE dispose dans cet arrêt que le consentement doit être spécifique ce qui n’est pas le cas en l’espèce, car le bouton de participation au jeu promotionnel « ne suffit pas pour considérer que l’utilisateur a valablement donné son consentement au placement de cookies. »

Enfin, il convient de rappeler que le consentement de la personne est systématiquement requis pour certains traitements, encadrés par des dispositions légales spécifiques. L’article 5 de la directive ePrivacy impose ainsi le recours au consentement avant le dépôt de cookies sur le terminal de l’utilisateur. Il en va de même dans le cadre de la prospection électronique (L34-5 du code des postes et télécommunications).

II. Les conditions relatives à la valeur du consentement requis

La valeur du consentement récolté dépendra principalement de deux facteurs : son fondement (A), qui caractérise sa nécessité, et sa matérialisation, nécessaire au responsable de traitement en matière de preuve (B).

 A) L’importance du fondement du traitement

Il paraît évident que tous les développements précédents, relatifs au consentement des personnes, s’appliquent avant-même la récolte des données personnelles en question.

Pour autant, il convient de distinguer les différentes situations sur la base desquelles le consentement est requis.

En effet, si l’article 6 du RGPD prévoit le régime général des dispositions relatives au consentement, l’article 7, en son paragraphe 4, dénote d’un régime particulier en ce que « au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat » .

Ainsi, et comme le rappelle assez justement le G29, « si le traitement n’est pas nécessaire à l’exécution du contrat, cette exécution ne peut être conditionnée par le consentement au traitement ».

Selon le G29, les deux bases juridiques que sont le consentement et l’exécution d’un contrat ne doivent pas être amalgamées et fusionnées : la conclusion d’un contrat ne doit pas être conditionné à l’acceptation d’un traitement de données « non nécessaires » à l’exécution d’un contrat.

À l’évidence, un traitement rendu obligatoire pour la bonne exécution d’un contrat n’implique donc pas le recueil du consentement quant à un tel traitement.

Il est essentiel de garder à l’esprit, par ailleurs, que le fondement de la licéité du traitement ne peut être modifié après que les données ont été recueillies et traitées. De fait, si un problème se pose quant à la conformité du traitement, il est impossible, pour le responsable de traitement , de basculer sur un autre régime pour justifier le traitement en question.

B) La charge de la preuve

La preuve, au regard de telles exigences, est primordiale. C’est le premier paragraphe de l’article 7 du RGPD qui en précise l’aménagement, en rappelant que « dans le cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant ».

L’article 7 du RGPD requiert que le consentement soit démontrable, ce qui implique deux conditions.
Tout d’abord, il est nécessaire d’identifier de manière certaine la personne qui donne son consentement. Ensuite, il est important de conserver ce consentement sous une forme qui puisse prouver son existence. Si une personne donne son consentement en se connectant à un compte en ligne avec un code d’accès qui lui est propre, comme c’est le cas sur un espace de banque en ligne par exemple, la première condition peut être considérée comme remplie. Cependant, cette situation est relativement rare, car de nombreux consentements sont demandés sans que l’identité de la personne ne soit vérifiée

Suivant ces dispositions, la charge de la preuve incombe donc au responsable de traitement, qui devra démontrer par des arguments convaincants le respect du consentement des personnes concernées par le traitement.

Cette dernière précision fait notamment écho aux traitements obligatoires pour la bonne exécution des contrats, où la preuve devra être jugée comme « suffisante ».

Pour autant, le texte ne donne pas plus d’indications concernant la forme de la preuve. Des avis sont cependant fournis par des institutions nationales, à l’image de l’autorité de protection des données du Royaume-Uni, l’« ICO » (« Information Commissionner’s Office ») , qui conseille de conserver toute trace relative aux personnes concernées, à la date et aux méthodes de consentement, etc.

D’un côté, cette souplesse pourrait inquiéter au sujet des éventuelles dérives relatives à la collecte et la réutilisation de ces données ; pour autant, est-il pertinent de cloisonner ce type de preuve, au risque d’une rigidité certaine du texte ?

Quoi qu’il en soit, ces dispositions sont encore à l’étude, et il conviendra d’en observer la pratique pour en comprendre réellement l’étendue.

La CNIL préconise que le responsable de traitement tienne un registre des consentements. Elle rappelle également qu’une fois le traitement terminé, la preuve du consentement ne doit pas être conservée plus longtemps que le temps nécessaire à l’exercice ou à la défense de ses droits en justice par le responsable de traitement. Enfin, il convient de noter que le RGPD ne fixe pas de durée de validité du consentement. Cette durée dépendra du contexte, de la portée du consentement initial.

III. Les cas particuliers

A. Les conditions applicables au consentement des enfants

En vertu de l’article 8 du RGPD, dans le cas où le consentement est donné par un mineur, il doit être donné avec l’autorisation des détenteurs de l’autorité parentale, sauf si le droit national prévoit que l’enfant est en mesure de donner un consentement valable sans autorisation parentale.

En France, l’âge de la majorité numérique est fixé à 15 ans. Conformément à l’article 45 de la loi informatique et libertés, les enfants de 15 ans ou plus peuvent donc consentir eux-mêmes au traitement de leurs données fondé sur le consentement dans le cadre des services de la société d’information. En-dessous de 15 ans, la loi « Informatique et Libertés » impose le recueil du consentement conjoint de l’enfant et du titulaire de l’autorité parentale.

Les raisons de cette protection sont précisées au considérant 38 du RGPD « Les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu’ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel […] »

Il est cependant regrettable de constater qu’aucune mesure de contrôle de l’âge n’est actuellement déployée par les plateformes. Il est néanmoins possible de noter qu’une proposition de loi visant à instaurer une majorité numérique et à lutter contre la haine en ligne a été déposée le 17 janvier 2023 à l’Assemblée nationale. Elle tend à compléter la loi du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN) afin contraindre les réseaux sociaux de refuser l’inscription à leurs services des enfants de moins de 15 ans, sauf si les parents ont donné leur accord. Pour se faire, ces plateformes devront mettre en place une solution technique permettant de vérifier l’âge de leurs utilisateurs et l’autorisation des parents.

Il est important de noter que les âges de majorité numérique peuvent varier d’un pays à l’autre en Europe, et que certains pays peuvent également avoir des règles spécifiques pour certaines activités en ligne (par exemple, les réseaux sociaux ou les jeux en ligne) qui peuvent avoir leur propre âge minimum pour le consentement. En Allemagne cette majorité est fixée à l’âge de 16 ans tandis qu’en Belgique ou au Portugal elle est atteinte dès l’âge de 13 ans.

Enfin, les enfants ont le droit de retirer leur consentement à tout moment. Les responsables du traitement doivent donc veiller à ce que les enfants soient informés de leur droit de retirer leur consentement et à ce qu’il soit facilement d’exerçable.

B. Le consentement au traitement de données sensibles

Le RGPD catégorise certaines données personnelles comme étant sensibles. Définit à l’article 9 du règlement, ces données sont celles qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, les données de santé ou encore les données biométriques. En raison de leur caractère « sensible » et des risques que leur traitement entraîne pour la vie privée ou pour les droits des personnes, ces données ne peuvent être traitées qu’avec des garanties supplémentaires.

Le consentement donné en matière de données sensibles doit être encore plus explicite que celui donné pour les données à caractère personnel. Le consentement explicite est requis dans certaines situations où un risque sérieux lié à la protection des données survient, et où un niveau élevé de contrôle sur les données à caractère personnel par la personne concernée est de ce fait jugé approprié.

Une manière évidente de s’assurer que le consentement est explicite serait de confirmer expressément le consentement dans une déclaration écrite. Le cas échéant, le responsable du traitement pourrait s’assurer que la déclaration écrite est signée par la personne concernée afin de prévenir tout doute potentiel et toute absence potentielle de preuve à l’avenir. Il est également possible d’obtenir un consentement explicite moyennant une conversation téléphonique, à condition que les informations relatives au choix soient loyales, compréhensibles et claires et qu’elle demande une confirmation spécifique de la part de la personne concernée.

Il est important de noter que le consentement n’est pas toujours la base légale utilisée pour le traitement des données sensibles.

Le traitement des données sensibles sans recourir au consentement peut être autorisé pour des raisons de santé publique. Il peut, par exemple, s’avérer nécessaire de collecter et de traiter des données sensibles pour lutter contre la propagation d’une maladie contagieuse (circonstances que nous avons rencontré lors de la crise du Coronavirus). Dans ce cas, la collecte et le traitement de ces données peuvent être autorisés par des lois ou des réglementations nationales ou européennes, même si l’utilisateur n’a pas donné son consentement explicite.

De même, dans le cadre de la lutte contre le terrorisme ou la criminalité, il peut être nécessaire de collecter et de traiter des données sensibles pour prévenir ou détecter des infractions graves. Dans ce cas également, la législation peut autoriser le traitement de ces données sensibles, même en l’absence de consentement explicite de l’utilisateur.

Pour une version plus détaillée sur le RGDP et le consentement, cliquez sur les mots RGDP et consentement

SOURCES :
http://www.avistem.com/fr/le-rgpd-en-focus-focus-2-le-recueil-du-consentement
http://www.privacy-regulation.eu/fr/r43.htm
https://cnpd.public.lu/content/dam/cnpd/fr/actualites/national/2017/10/séances-information–gdpr/gdpr-info-sessions-fr-11h05-consentement.pdf
https://www.cnil.fr/fr/reglement-europeen/lignes-directrices
http://www.privacy-regulation.eu/fr/r32.htm
https://fr.mailjet.com/rgpd/consentement/
http://www.privacy-regulation.eu/fr/7.htm
https://ico.org.uk/media/about-the-ico/consultations/2013551/draft-gdpr-consent-guidance-for-consultation-201703.pdf

Délibération, 21 janvier 2019, SAN-2019-001
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000038032552/
CJUE, 1er octobre 2019, C-673/17
https://curia.europa.eu/juris/document/document.jsf;jsessionid=CA644C7436D43DA19729CD95998C7383?text=&docid=218462&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=6352664
https://asso-generationnumerique.fr/enquetes/
F. Mattatia « RGPD et droit des données personnelles », 5° édition – Edition EYROLLES – 2021
Comité Européen à la protection des données – Guide lignes directrices – 2020 : https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052020-consent-under-regulation-2016679_fr
CNIL – Capacité des mineurs en ligne : https://www.cnil.fr/fr/recommandation-1-encadrer-la-capacite-dagir-des-mineurs-en-ligne

RGPD et SOUS-TRAITANTS

La prise en compte du statut de sous-traitant, tant au regard de sa définition que des responsabilités en découlant, est une des mesures phares du Règlement général sur la protection des données ( » RGPD « ).

Le texte européen, qui est entré en application le 25 mai 2018, pousse non seulement les entreprises, mais aussi les acteurs publics concernés à vérifier et assurer leur mise en conformité d’ici là.

NOUVEAU ! Pour faire un audit concernant les données personnelles et le RGPD, vous pouvez utiliser le service d’audit des données personnelles mis en place par le cabinet Murielle-Isabelle CAHEN.

Si certaines dispositions demeurent presque inchangées par rapport aux  anciens textes actuellement en vigueur (on pense à la Loi Informatique et Libertés de 1978, comme à la directive 95/46), d’autres naissent pratiquement avec le Règlement.

Ce règlement européen est entré en vigueur le 25 mai 2018 et vise non seulement les entreprises, mais également les acteurs publics afin de garantir leur mise en conformité au texte.

Le 7 juillet 2021, le Comité européen de la protection des données (CEPD) a adopté, des lignes directrices finales qui précisent les critères permettant l’identification des différents acteurs des traitements de données à caractère personnel.

Est considérée comme sous-traitant toute entité qui remplit deux critères : elle doit être distincte du responsable du traitement et doit agir pour le compte de ce dernier. Elle doit agir sur délégation et suivre les instructions du responsable du traitement selon les dispositions de l’article 29 du RGPD.


Besoin de l’aide d’un avocat pour un audit des données personnelles et du RGPD ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien


Néanmoins, le sous-traitant dispose d’une marge de manœuvre lui permettant de déterminer la manière la plus efficace afin de servir au mieux les intérêts du responsable du traitement. Il peut choisir les moyens techniques et organisationnels adéquats.

Cela dit, lorsque le sous-traitant traite des données pour ses propres finalités et sans instructions du responsable de traitement, il sera lui-même considéré comme étant un responsable du traitement mis en œuvre sur la base de ces données et, par conséquent, sa responsabilité pourrait être engagée à ce titre.

De surcroît, en vertu du RGPD, le responsable de traitement doit s’assurer à ce que le sous-traitant présente certaines garanties suffisantes. À ce titre, le Comité européen de la protection des données précise dans sa ligne directrice les éléments qui doivent être pris en compte dans l’évaluation de ces garanties. Ces éléments se résument à la fiabilité, l’expertise, les ressources ainsi que la réputation sur le marché du sous-traitant. (1)

Le régime de responsabilité pleine et entière des sous-traitants, s’il en existe des prémisses au sein de la loi, fait pourtant bien partie de cette seconde catégorie : « Avant le RGPD, il y avait une distinction relativement claire entre le responsable de traitement et le sous-traitant. Ce n’est plus le cas avec les nouvelles dispositions imposées par le RGPD » . Il convient donc de bien distinguer, désormais, un sous-traitant de son client (responsable de traitement).

De fait, c’est non seulement l’encadrement du statut-même de sous-traitant qui semble être revu par le texte européen (I), mais également leur rôle quant au traitement des données qui leur incombe (II).

I) L’encadrement du statut de sous-traitant au sein du RGPD

Si la définition du sous-traitant est précisée par le RGPD (A), c’est non seulement pour mettre en lumière leur rôle, mais également et parallèlement les sanctions applicables en cas de manquement de leur part (B).

A) La définition du sous-traitant

La CNIL a pu rappeler que le sous-traitant est celui qui traite de données personnelles « pour le compte, sur instruction et sous l’autorité d’un responsable de traitement », lui-même défini au sein de l’article 4§8 du RGPD comme celui « qui détermine les finalités et les moyens d’un traitement ».

Dès lors, tout prestataire ayant accès à des données personnelles et les traitant dans de telles conditions relève d’un tel régime. Notez cependant que dans le cas où cette personne « détermine la finalité et les moyens » du traitement, elle sera qualifiée non pas de sous-traitant, mais bien évidemment de responsable de traitement .

Il peut s’agir de prestataires informatiques d’hébergement et de maintenance, de prestataire de paye, etc.

Notez cependant que dans le cas où cette personne « détermine la finalité et les moyens » du traitement, elle sera qualifiée non pas de sous-traitant, mais bien évidemment de responsable de traitement.

Il sera de même, d’ailleurs, au regard des données traitées par le prestataire pour son propre compte.

Ceci étant, les entreprises comme les personnes publiques amenées à traiter de telles données n’ont parfois pas conscience de l’exactitude de leur statut : à cet égard, le G29 s’est attaché à faciliter cette définition en dégageant plusieurs critères  pouvant constituer un faisceau d’indices, comme « ?le niveau d’instruction donnée par le client au prestataire? », le degré de contrôle du client sur ce dernier, etc.

Néanmoins, l’avis du groupe de travail institué en vertu de l’article 29 de la directive 95/46/CE (G29) a été remplacé par les premières lignes directrices adoptées par Comité européen de la protection des données, le 2 septembre 2020, sur les notions de responsable du traitement et de sous-traitant.

Le CEPD fait la distinction entre les moyens « essentiels du traitement » qui sont déterminés par le responsable du traitement et les moyens « non-essentiels » qui sont déterminés par le sous-traitant. En principe, le sous-traitant est chargé de la réalisation du traitement pour le compte de l’autre partie, à savoir, le responsable du traitement, conformément aux instructions de ce dernier.

Toutefois, le CEPD précise que le sous-traitant est en mesure de prendre des décisions s’agissant de certains moyens « non-essentiels ». (2)

Enfin, une énième distinction est faite au regard du principe de territorialité : ainsi, le RGPD  prévoit que le statut de sous-traitant concerne aussi bien les prestataires établis au sein du territoire de l’Union européenne, que ceux basés à l’étranger, mais dont les « activités de traitement sont liées à l’offre de biens ou de services à des personnes concernées dans l’UE [ou] au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’UE » .

B) Les sanctions en cas de manquement

La Loi Informatique et Libertés de 1978 ne prévoyait aucunement de pénaliser les manquements de ce type de prestataire. C’est désormais chose faite, à travers le RGPD, qui instaure un principe de « responsabilisation de tous les acteurs impliqués dans le traitement des données personnelles ».

A cette fin, l’assise de la responsabilité se base sur un régime de sanction pour les sous-traitants n’ayant pas respecté de telles obligations. Les sous-traitants peuvent également être contrôlés par la CNIL et faire l’objet des sanctions administratives prévues par le RGPD.

Ainsi, et comme le prévoit l’article 82 du RGPD : « toute personne ayant subi un dommage matériel ou moral du fait d’une violation du règlement européen peut obtenir la réparation intégrale de son préjudice de la part du responsable de traitement ou du sous-traitant ».

Ces sanctions peuvent s’élever à un montant de plus de 20 millions d’euros ou, pour les entreprises, jusqu’à 4 % du chiffre d’affaires annuel mondial de l’exercice précédent.

Ces amendes se veulent incitatives pour les entreprises, et particulièrement envers celles dont le modèle économique se fonde exclusivement sur le traitement des données. La question demeure de savoir qu’elles sont les obligations des sous-traitants en la matière.

La formation restreinte de la CNIL, par une décision rendue le 27 janvier 2021, a sanctionné un responsable de traitement et son sous-traitant sur le fondement de l’article 32 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, au paiement des sommes de 150 000 euros et 75 000 euros.

L’article 32 du RGPD dispose que : « le responsable de traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».

En l’espèce, la formation restreinte de la CNIL avait estimé que le responsable de traitement et son sous-traitant avaient manqué à leurs obligations en matière de sécurité de traitement. Ces derniers, après avoir fait l’objet d’attaques répétées de credential stuffing sur le site internet, avaient opté pour le développement d’un outil permettant la détection et le blocage de ces attaques. Toutefois, le développement de cet outil n’a été finalisé qu’après un an et durant toute cette période les données des utilisateurs étaient exposées à des violations potentielles. La CNIL relève que durant cet intervalle, plusieurs autres mesures produisant des effets plus rapides auraient pu être envisagées afin d’empêcher de nouvelles attaques ou d’en atténuer les conséquences négatives pour les personnes.

Certes, de nouvelles obligations incombent aux sous-traitants (A) : encore faut-il prévoir leur mise en application pratique (B).

A) Les obligations du sous-traitant

L’article 28 précédemment cité souligne expressément que le sous-traitant devra « offrir à son client des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée ».

De ce régime général découlent plusieurs obligations pour le responsable de traitement, qui peuvent être regroupées en différentes catégories :

  • Une obligation de transparence, qui permettra d’informer précisément le client des formalités effectuées relatives aux traitements;
  • Une obligation de protection des données, mise en œuvre par tout moyen nécessaire et dès la conception du produit ou service en question ;
  • Une obligation de sécurisation des données, assurée par la confidentialité de ces données, la notification de toute violation  de celle-ci au client, ou encore la suppression des données au terme de la prestation ;
  • Une obligation de sécurisation des données, assurée par la confidentialité de ces données, la notification de toute violation  de celle-ci au client, ou encore la suppression des données au terme de la prestation;
  • Une obligation d’assistance, relative à la bonne exécution du traitement, impliquant une aide au client quant au respect des droits des personnes, à la sécurité des données, ou encore quand une directive du client vous semble contraire aux textes en vigueur.

B) La mise en œuvre de ces obligations

Tout d’abord, il est important de garder à l’esprit qu’au regard de tous ces changements, vous devrez certainement revoir l’ensemble des contrats avec vos clients.

En effet, ces nouvelles dispositions rendent fort probable le manque de conformité des contrats en vigueur. L’intégration de clauses en permettant leur mise en conformité apparaît ici essentielle.

D’autre part, gardez à l’esprit que si vous êtes libre de déléguer certains traitements à un sous-traitant (après autorisation écrite de votre client), celui-ci sera soumis à ces mêmes obligations, mais vous devrez répondre de ses manquements à votre client.

Sachez, par ailleurs, que si vous êtes une autorité ou un organisme public sous-traitant, ou que vous êtes amené à traiter, pour le compte de vos clients, de données sensibles ou à grande échelle, vous avez l’obligation de désigner un délégué à la protection des données , chargé de vous accompagner dans ces tâches et de s’assurer de la conformité de ces traitements.

Enfin, et puisque le RGPD poursuit cette volonté d’unifier les règles en vigueur au sein de l’UE, il paraît logique que dans le cas où vous êtes établi au sein de plusieurs pays de l’Union, vous bénéficiez effectivement du mécanisme de guichet unique, qui vous permet de dialoguer avec une seule autorité nationale de contrôle (en l’occurrence, celle de votre établissement principal).

Assurez-vous , en tant que sous-traitant, de prendre pleinement conscience des obligations qui vous incombent d’ici là, et de les mettre en œuvre le plus rapidement possible.

Pour lire une version plus complète de l’article sur le RGPD et les sous-traitants, cliquez

SOURCES :
(1) https://www.dpms.eu/rgpd/guide-rgpd-accompagner-sous-traitant/
(2) https://www.cnil.fr/sites/default/files/atoms/files/rgpd-guide_sous-traitant-cnil.pdf
(3) http://www.privacy-regulation.eu/fr/4.htm
(4) https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article28
(5) https://cnpd.public.lu/content/dam/cnpd/fr/publications/groupe-art29/wp169_fr.pdf(6) https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre1 # Article

Protection de la vie privée

La protection de la vie privée est un principe essentiel aujourd’hui. Cependant, l’arrivée d’internet a complètement modifié les mœurs, c’est pourquoi il est nécessaire de s’arrêter sur la protection de la vie privée dans le cadre d’internet.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de vie privée en passant par le formulaire !

La protection de la vie privée est un principe essentiel aujourd’hui. A l’ère du numérique la vie privée peut être menacée par une variété de facteurs, tels que les réseaux sociaux, les caméras de surveillance, les drones, les employeurs, les gouvernements et les pirates informatiques. Les préoccupations liées à la vie privée ont été amplifiées avec l’augmentation de la quantité de données personnelles autorisées en ligne et la facilité avec laquelle ces données peuvent être pondérées, analysées et partagées.

Il existe plusieurs lois et normes qui sont destinées à protéger la vie privée des individus. Il est possible de citer le Règlement européen sur la protection des données (RGPD) entrée en vigueur le 25 mai 2018 qui a permis d’instaurer un cadre européen harmonisé qui contribue au respect de la vie privée des utilisateurs en ligne.


Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien


Est-il légal d’adresser un e mail (ou un SMS) à un prospect qui n’a a priori pas fait de démarches pour recevoir ces messages ?

En France, les responsables de traitement, c’est-à-dire tous les organismes ou entreprises qui traitent des données à caractère personnel (RGPD) sont soumises au respect des dispositions du Règlement européen à la protection des données.

Le RGPD requiert que tout traitement de données à caractère personnel respecte un socle de principes fixés en son article 5 et soit fondé sur une des bases légales prévues à l’article 6 pour être licites.

La prospection commerciale par courriel est possible, mais la personne concernée doit d’abord en être informée. En effet, le consentement de la personne est systématiquement requis préalablement s’il s’agit de particuliers ou pouvoir s’y opposer s’il s’agit de professionnels (L34-5 du code des postes et télécommunications). Si le consentement n’a pas été requis, la prospection électronique sera considérée comme du spam.

Le consentement requiert pour être valable de respecter les dispositions de l’article 7 du RGPD. D’une part il doit être libre, éclairé et univoque. D’autre part, il requiert, pour être valable, une action positive et spécifique de la personne concernée. La CNIL recommande que le consentement préalable ou le droit d’opposition soit recueilli par le biais d’une case à cocher.

Pour rappel, l’utilisation d’une case précochée est interdite en matière de recueil du consentement. Il est donc recommandé d’utiliser une case décochée par défaut pour permettre aux personnes de s’opposer.

Par ailleurs chaque message électronique devra comprendre des mentions obligatoires. D’une part il conviendra de préciser l’identité de l’annonceur et d’autre part, d’intégrer un moyen de s’opposer à la réception de nouvelles sollicitations en vertu du droit de retrait.

Un fichier de prospects dit « qualifié » peut-il être revendu à un tiers ? (par exemple, une société vient de racheter une start up qui vient de déposer le bilan afin d’utiliser son fichier, est ce légal ?)

Un fichier de prospects dit « qualifié » est une liste de contacts potentiels pour une entreprise qui ont été évalués et classés en fonction de leur intérêt et de leur capacité à acheter les produits ou services de l’entreprise. L’avantage d’un fichier de prospects qualifiés est qu’il permet de se concentrer sur les contacts les plus pertinents et les plus susceptibles de générer des ventes.

La vente d’un fichier clients n’est pas interdite par le RGPD, mais doit se faire dans le respect de certaines obligations précises. La CNIL rappelle les règles qu’un vendeur et un acquéreur doivent respecter lors de la vente d’un fichier à des fins commerciales notamment s’agissant des droits des personnes.

Tout d’abord, seuls les fichiers qui ont été constitués dès le départ dans le respect de la réglementation peuvent faire l’objet d’une vente. La vente d’un fichier clients a pour conséquence de permettre à l’acquéreur de démarcher les personnes concernées, ce qui ne sera possible que si le vendeur respecte certaines règles. Pour se faire, plusieurs conditions sont requises.

Pour commencer, les données des clients utilisées à des fins de prospection commerciale peuvent être conservées pendant la relation commerciale, puis, sauf exception, pour une durée de 3 ans à compter de la fin de cette relation commerciale, autrement dit, à partir de la dernière action du client.

Les données des clients qui ne sont conservées qu’à des fins administratives (comptabilité, contentieux, etc.) ne devront pas être transmises.

Les données des clients qui se sont opposés à leur transmission à des fins de prospection par voie postale ou téléphonique et ceux qui n’ont pas consenti à la transmission des données à des fins de prospection par voie électronique devront être supprimées du fichier avant que celui-ci ne soit transmis à l’acquéreur.

Comme le rappelle la CNIL, les conditions de transmission et de remise des données entre le vendeur et l’acquéreur devront s’effectuer de façon à garantir la sécurité et la confidentialité des données.

Le nouveau responsable de traitement devra par conséquent assurer le respect de l’ensemble des obligations posées par le RGPD. Il s’agira par exemple de s’assurer du respect des durées de conservation des données, d’assurer la sécurité des données ou encore de garantir le respect des demandes d’exercice de droit de la personne concernée.

Par ailleurs, elle indique que la partie qui acquiert les données devra informer les personnes, dès que possible. Elle recommande de le faire dès le premier contact avec la personne concernée et, au plus tard, dans un délai d’un mois sauf si les personnes ont déjà reçu les informations nécessaires.

 

Ou en est le droit français à l’heure actuelle sur la protection des données ? (et notamment sur la revente des fichiers)

En France, la loi « Informatique et Libertés », adoptée en 1978 et modifiée à plusieurs reprises au cours des vingt dernières années, a longtemps été considérée comme le texte fondamental régissant le droit des données personnelles. Elle a notamment institué la Commission nationale de l’informatique et des libertés (CNIL) chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques.

Les dispositions de la LIL ont été renforcées en 2004 suite à la transposition de la directive 95/46/CE.

Adoptée en 2016, l’entrée en vigueur de la nouvelle réglementation européenne le 25 mai 2018 a permis d’adapter le droit de l’union aux changements induits par l’explosion de l’informatique et d’Internet.

Afin de garantir l’effectivité des dispositions prévues par ce règlement, toutes les entreprises qui collectent des données personnelles de personnes résidant dans l’Union européenne sont soumises à la réglementation indépendamment de leur localisation. Le choix d’un règlement se justifie par une forte volonté d’harmoniser le volet de la protection des données sur le territoire de l’Union européenne.

Une partie de cette réglementation a donc radicalement remplacé certaines dispositions de la loi « Informatiques et Libertés » et a par conséquent conduit à l’abrogation de la directive 95/46/CE.

Cependant, il convient de rappeler que le RGPD ne couvre pas la totalité du droit des données (lutte contre les infractions pénales et menaces à la sécurité publique par exemple) et laisse des marges de manœuvre nationales sur certains points (majorité numérique par exemple).

En 2018, le législateur a procédé à la modification de la loi « Informatiques et Libertés » ce qui a permis de réorganiser l’ensemble de la loi en cinq titres différents.

Pour lire une version plus compète de cet article sur la protection de la vie privée, cliquez

SOURCES :

https://www.cnil.fr/fr/la-prospection-commerciale-par-sms-mms
https://www.cnil.fr/fr/la-prospection-commerciale-par-courrier-electronique
https://www.cnil.fr/fr/reglement-europeen-protection-donnees