Le projet de rapport de M. Albrecht, rapporteur de la Commission européenne sur le projet de règlement de protection des données personnelles se prononce en faveur de l’introduction d’un droit à l’oubli et à l’effacement numérique. Cette position abonde dans le sens de la CNIL, qui milite depuis de nombreuses années en faveur d’une évolution en ce sens.

Interview réalisée par Pauline Hauet, intercountry.com

En  matière  de  Technologies  de  l’Information  et  de  la  Communication,  les  entreprises  ayant  une 
activité à l’étranger sont souvent confrontées à certaines problématiques juridiques relevant du droit 
contractuel,  du  droit  d’auteur,  du  droit  fiscal,  ou  encore  du  droit  de  la  protection  et  du  stockage  des 
données personnelles. 

Le Royaume-Uni pays du Common Law
Comme  tous  pays,  la  France  et  le  Royaume‐Uni  possèdent  deux  systèmes  juridiques  différents,  l’un 
du Common Law, l’autre du droit civil. Cela entraine nécessairement certaines divergences juridiques 
et culturelles pouvant relever des relations contractuelles, des problématiques liées au droit d’auteur 
ou encore de la protection de la vie privée.   
« En France, pays de droit civil on a une acceptation beaucoup plus large de la
protection de la vie privée à l＇intérieur de l＇entreprise qu＇au Royaume-Uni ».

En  matière  de  Technologies  de  l’Information  et  de  la  Communication,  le  phénomène 
d’internationalisation  des  données  et  l’essor  du  cloud  computing  ont  engendré  de  nombreuses 
interrogations quant au stockage des données. Chaque Etat a sa propre législation et il est nécessaire 
de respecter le cadre juridique du pays au sein duquel les données sont reçues, traitées et exploitées. 
Afin  de  faciliter  les  relations  contractuelles  en  la  matière,  le  territoire  européen  dispose  d’une 
directive communautaire visant à simplifier la réglementation du stockage des données en Europe.  
Prenons  l’exemple  d’une  entreprise  française  ayant  une  filiale  au  Royaume‐Uni.  Deux  possibilités 
s’offrent  à  elle :  soit  l’entreprise  respecte  la  législation  française  et  britannique  de  manière  très 
formelle, soit l’entreprise décide d’appliquer le droit européen au sein de ses relations contractuelles 
avec sa filiale.  
Tel  est  le  cas  des  Binding  Corporate Rules  (BCR) où  l’entreprise  va  d’elle‐même  créer  son  propre 
cadre  juridique  en  matière  de  données  personnelles.  Un  cadre  juridique  qui  devra  dès  lors  être 
respecté  au  sein  de  ses  relations  contractuelles  avec  ses  différentes  filiales  en  Europe.  Les  échanges 
de données pourront alors se faire plus facilement à l’intérieur du groupe.  

Sécuriser le stockage de ses données en Europe
La Commission Nationale de l’Informatique et des Libertés (CNIL) recommande d’ailleurs de rester 
au sein de l’Union Européenne en matière de stockage de données. Les difficultés apparaissant 
lorsque le stockage a lieu en dehors de cette zone.   
« En Asie par exemple la notion de protection des données est très difficile à
mettre en œuvre. La vision de la société y est beaucoup plus collective
qu＇individuelle. »
Certains acteurs du cloud computing peuvent garantir que le stockage s’effectue au sein de la zone 
européenne. Il appartient néanmoins  à l’utilisateur du cloud de vérifier le lieu de stockage des 
données.  
En la matière, il est extrêmement important de réfléchir au cadre juridique en amont,  pour 
anticiper l’apparition d’éventuels problèmes et protéger ses relations contractuelles à l’étranger.  
Il est également recommandé de prévoir une assurance intégrant une protection juridique en 
raison des coûts de recours à la justice en cas de litige.  
Les relations franco‐britanniques bénéficient d’un socle commun qui est le droit européen. Des 
divergences jurisprudentielles existent entre les deux pays, mais tendent néanmoins à être réduites 
grâce à l’évolution permanente du droit communautaire. Un nouveau règlement européen est 
d’ailleurs attendue en la matière d’ici la fin de l’année.  
                           

Il est fréquent de voir, quelques années après leur création, des fichiers dont le but a passablement évolué.
Ces agissements peuvent être qualifiés de détournement de finalité.
Il s’agit alors d’une infraction visée à l’article 226-21 du Code pénal prévoyant que « Le fait, par toute personne détentrice de données à caractère personnel à l’occasion de leur enregistrement, de leur classement, de leur transmission ou de toute autre forme de traitement, de détourner ces informations de leur finalité telle que définie par la disposition législative, l’acte réglementaire ou la décision de la Commission nationale de l’informatique et des libertés autorisant le traitement automatisé, ou par les déclarations préalables à la mise en oeuvre de ce traitement, est puni de cinq ans d’emprisonnement et de 300 000 Euros d’amende. »

S’il est maintenant d’usage de considérer que l’autorisation de la personne concernée est nécessaire pour toute utilisation de cookies, rappelons que l’article 5.3 de la directive 2009/139/CE prévoit deux hypothèses dans lesquelles le consentement de l’utilisateur n’est pas requis pour utiliser un cookie :

Critère A
Lorsque le cookie « a pour finalité exclusive de permettre ou faciliter la communication par voie électronique »
Le rapport précise que la communication ne doit pas être possible sans la mise en place de ce cookie. Il doit donc être absolument nécessaire. Le législateur européen souhaite réduire au maximum le champ d’application de la disposition ;
Ce cookie peut être mis en oeuvre dans le cadre d’une des trois hypothèses suivantes :
-pour contrôler le routage de l’information sur le réseau ;
-pour permettre l’échange de paquets de données ;
-pour détecter les erreurs de transmission et les pertes de données.

Critère B
-Lorsque le cookie « est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur».
L’usage de ce cookie sans consentement doit répondre à une double condition :
-L’utilisateur doit avoir effectué un acte positif pour intégrer un service de communication en ligne dont le périmètre doit être bien délimité ;
-Le cookie est utilisé uniquement pour faire fonctionner le service. Si le cookie est désactivé, le service ne fonctionne pas.
Il doit y avoir un lien clair entre la stricte nécessité du cookie et le fonctionnement du service.

Il faut alors bien distinguer chaque fonctionnalité offerte par le service, chacune devant disposer de son propre cookie. Chaque fonctionnalité doit alors obtenir le consentement de l’utilisateur.

Caractéristiques d’un cookie.
Il existe plusieurs types de cookie : les cookies de session, les cookies permanents et les cookies tiers.

-Un cookie de session se supprime automatique quand l’utilisateur ferme son navigateur alors que le cookie permanent reste enregistré jusqu’à sa date d’expiration.
-Un cookie tiers est mis en place par un tiers qui n’opère pas sur le site visité par l’utilisateur.

Tous ces cookies de l’article 5.3 doivent prévoir une durée de validité qui est en relation direct avec leur objet et doivent expirer une fois qu’ils ne sont plus nécessaires.
Logiquement ces cookies doivent expirer à la fin de la session du navigateur internet mais, ce n’est pas forcément toujours le cas. Par exemple, dans le cadre d’un site de vente en ligne, il est souvent prévu que le cookie qui mémorise le panier d’achat persiste après que la page ait été quitté, tout simplement pour éviter les erreurs de manipulation.
Afin de déterminer si un cookie est exempt de consentement, il convient de déterminer de façon précise l’objet du cookie et pourquoi le cookie est spécifiquement mis en oeuvre.

Cookies ayant plusieurs objets.

Un cookie peut être utilisé pour plusieurs activités à la condition que chaque activité soit exempt de consentement. En pratique, il est plus facile de mettre en place un cookie par activité.

Exemple d’utilisation des cookies :
cookie d’authentification utilisé pour s’authentifier, (présent pour la durée de la session). Critère B.
cookie utilisé pour le suivi d’un utilisateur dans sa session (ex: achat en ligne), Critère B.
cookie utilisé pour augmenter la sécurité de navigation. (ex : cookies utilisés pour contrôler les abus de connexion). Critère B.
cookie multimédia utilisé pour lire des fichiers audio ou vidéo (ex: flash player). Critère B.
cookies utilisés pour dispatcher des requêtes sur plusieurs serveurs, (présent pour la durée de la session) Critère A.
cookie de modification de l’interface utilisateur, (présent pour la durée de la cession). Critère B.
cookie plug-in de réseaux sociaux pour fournir une fonctionnalité aux utilisateurs identifiés sur un autre site internet. Critère B.

Cookies non exemptés de consentement :

-cookies de réseaux sociaux utilisés pour de la publicité comportementale et des analyses de marché ;
-cookies publicitaires tiers pour de la publicité comportementale ;
-cookies destinés à effectuer des statistiques d’audience.

Le Groupe 29 suggère de revoir l’article 5.3 de la directive afin d’ajouter une troisième exemption pour les cookies qui sont strictement limités à faire des statistiques anonymes. Il convient de bien distinguer les pratiques faites par le site internet qui pourraient être autorisées de celles faites par les tiers qui présentent un risque.

Recommandations finales :
-dans l’hypothèse de l’usage du critère B, il est important d’examiner ce qui est strictement nécessaire du point de vue de l’utilisateur et non du point de vue du service fourni ;
-si un cookie est utilisé pour plusieurs activités, il peut bénéficier de l’exemption de consentement si chaque activité peut être exemptée.
Les cookies du site consulté seront exempts d’autorisation plus facilement que les cookies tierces. Toutefois, il est toujours important d’analyser si les exemptions peuvent s’appliquer.

En toute hypothèse, s’il est difficile après examen de savoir si le consentement doit être requis, il convient de prévoir un consentement qui permettra d’éviter une incertitude juridique.

Blandine Poidevin et Edouard Verbecq

Ayant beaucoup d’interrogations à ce sujet, voici quelques recommandations en la matière.

Conformément au nouveau cadre juridique relatif à l’utilisation des cookies établi par l’Ordonnance n°2011-102012 du 24 août 2011, je vous recommande de prévoir d’informer les utilisateurs de la mise en place de cookies dans une rubrique spécifique dédiée à la vie privée et non plus d’intégrer cette information dans les mentions légales ou les conditions générale applicables.

Il s’agira d’expliquer la finalité d’utilisation des cookies, le type d’informations recueillies, le procédé utilisé pour recueillir l’information et la possibilité, pour l’utilisateur, d’accepter ou de refuser l’enregistrement du cookie dans son terminal.

La durée de conservation des informations de navigation collectées devra également être précisée.

Je vous rappelle également que, depuis la modification résultant de cette Ordonnance, l’utilisateur doit exprimer son accord préalable à la mise en place de cookies.

Ce choix peut se faire par un dispositif de connexion (exemple via le navigateur internet) ou par le biais d’autres dispositifs placés sous le contrôle de l’utilisateur tels qu’une plateforme de choix accessible en ligne permettant à l’utilisateur d’accepter ou refuser totalement ou partiellement les cookies, ou encore d’un fichier ou logiciel mémorisant le choix de l’utilisateur dans le terminal.

L’analyse des flux internet via un serveur proxy permet de vérifier la sécurité de la navigation internet afin d’éviter par exemple une infection virale.

L’analyse porte généralement sur les flux HTTP qui est le protocole standard sur Internet.

Le protocole HTTPS est une variante sécurisée du protocole HTTP. La navigation internet devient chiffrée pour éviter tout piratage. Ce protocole est souvent utilisé sur les sites des banques en ligne, pour le paiement sur les sites de e-commerce et même maintenant sur certains réseaux sociaux comme Facebook.

Les éditeurs en question proposent donc d’analyser les flux https, c’est à dire déchiffrer le flux sécurisé pour en contrôler l’intégrité et ensuite rechiffrer le flux et permettre la navigation.

Une différence importante entre l’analyse d’un flux HTTP et l’analyse d’un flux HTTPS réside dans le fait que le flux HTTPS comprend des données dites «sensibles» ex : données de carte bancaire, données personnelles…

I/ Analyse du flux internet au regard de la LCEN.

Du point de vue juridique, il s’agit d’un moyen de cryptologie tel que définit par la LCEN à l’article 29 : «On entend par moyen de cryptologie tout matériel ou logiciel conçu ou modifié pour transformer des données, qu’il s’agisse d’informations ou de signaux, à l’aide des convention secrètes ou pour réaliser l’opération inverse avec ou sans convention secrète. Ces moyens de cryptologie ont principalement pour objet de garantir la sécurité du stockgae ou de la transmission des données, en permettant d’assurer leur confidentialité, leur authentification ou le contrôle de leur intégrité.»

En vertu de l’article 30 aliéna 1er de la LCEN, l’utilisation de moyens de cryptologie est libre. Donc l’entreprise qui utilise un outil d’analyse de flux https peut le faire librement.

En revanche, le régime est différent s’agissant de la fourniture de moyens de cryptologie.
Si l’objet de l’analyse est d’assurer exclusivement des fonctions d’authentification ou de contrôle d’intégrité, la fourniture de moyens de cryptologie est libre alors que si elle dépasse ces fonctions, elle devra faire l’objet d’une déclaration préalable auprès de la DCSSI.
La déclaration doit être faite par celui qui fournit les moyens de cryptologie, c’est à dire l’éditeur de solutions de proxy internet.

S’agissant de la fourniture de prestations de cryptologie, il faudra en toute hypothèse effectuer une déclaration préalable auprès de la DCSSI qui devra être effectuée par celui qui fournit le service.

Il convient donc de bien préciser l’objet de l’analyse qui ne sera dans la plupart des cas qu’un contrôle d’intégrité des données.

La forme et le contenu de la déclaration est précisé par un arrêté du 25 mai 2007 :

http://www.legifrance.gouv.fr/jopdf/common/jo_pdf.jsp?numJO=0&dateJO=20070603&numTexte=1&pageDebut=10013&pageFin=10017

II/ Analyse du flux internet au regard de la loi informatique et libertés.

Il est possible de considérer que cette analyse correspond à un traitement de données personnelles. En effet, le protocole HTTPS a pour effet en général de protéger des données confidentielles même si tous les flux ne comportent pas forcément des données personnelles.

Pour rappel, constitue des données à caractère personnel : «toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.» selon l’article 2 alinéa 2 de la loi informatique et libertés.

L’article 2 aliéna 3 définit le traitement de donnés à caractère personnel comme étant : « toute opération portant sur des données personnelles, que que soit le procédé utilisé, et notamment (…) l’extraction, la consultation, (…), le verrouillage. »

Au regard de ces deux définitions, la loi informatique s’applique. Toutes les conditions relatives au traitement des données personnelles doivent être respectées. Le traitement doit avoir recueilli le consentement de la personne concernée, doit être établit dans un intérêt légitime ne portant pas atteinte aux droits et libertés fondamentaux des personnes. (Article 7 de la loi informatique et libertés).

Le traitement doit alors faire l’objet d’une déclaration préalable selon l’article 22 de la loi informatique et libertés. La déclaration est effectuée par le responsable du traitement qui est dans le cas d’espèce celui qui effectue l’analyse des flux https.

Il convient en revanche de vérifier qu’il n’y ait pas de stockage de données personnelles en tant que tel.

Le décret appliquant le règlement européen sur les communications électroniques est paru le 30 mars.
Il comporte notamment un titre II relatif à la procédure de notification à la CNIL des violations de données à caractère personnel. Les détails de la procédure intéresseront les professionnels.
On retiendra également que la CNIL peut contraindre le fournisseur à informer la personne dont les coordonnées auraient été violées.

Selon son article 25
(…) La notification d’une violation des données à caractère personnel (…) est adressée à la Commission nationale de l’informatique et des libertés par lettre remise contre signature qui précise la nature et les conséquences de la violation des données à caractère personnel, les mesures déjà prises ou proposées par le fournisseur de services de communications électroniques accessibles au public pour y remédier et les personnes auprès desquelles des informations supplémentaires peuvent être obtenues et, lorsque cela est possible, une estimation du nombre de personnes susceptibles d’être impactées par la violation en cause (…).
Article 26
(…) Constitue une mesure de protection appropriée, au sens de l’article 34 bis de la loi du 6 janvier 1978, toute mesure technique efficace destinée à rendre les données incompréhensibles à toute personne qui n’est pas autorisée à y avoir accès.
(…)- La Commission nationale de l’informatique et des libertés vérifie dans un délai de deux mois si les mesures de protection appropriées ont été mises en œuvre et appliquées et apprécie la gravité au cas particulier de la violation de données à caractère personnel.

(…)Si le fournisseur n’a pas déjà averti la personne intéressée de la violation de ces données en application de l’article 91-2, la commission peut en outre, lorsqu’elle estime la violation grave, mettre le fournisseur en demeure de l’informer en application du dernier alinéa du II de l’article 34 bis de la loi du 6 janvier 1978 dans un délai qui ne peut être supérieur à un mois.

Le cabinet Jurisexpert a le plaisir de vous informer qu’il a rejoint l’AFCDP, l’association française des correspondants aux données personnelles.
Le cabinet est correspondant informatique et libertés de 6 PME à ce jour.

De nombreuses chartes informatiques ont été rédigées au moment des jurisprudences nikon et suivantes.
Une relecture s’impose afin de les adapter à la jurisprudence actuelle et à l’évolution du droit des données personnelles.

Dans un arrêt du 15 décembre 2010, la Cour de Cassation a rappelé que, si la conservation de fichiers à caractère pornographique sur le poste de travail d’un salarié, ne constitue pas en soi un usage abusif affectant le travail et justifiant son licenciement, ce comportement peut, néanmoins, être sanctionné si la Charte Informatique, intégrée dans le règlement intérieur de l’entreprise, le prévoit.

Dans cet arrêt, la Cour de Cassation a approuvé l’arrêt de la Cour d’Appel de METZ qui avait considéré que l’utilisation par un salarié de la messagerie électronique de l’entreprise pour la réception et l’envoi d’un nombre conséquent de documents pornographiques et leur conservation sur son disque dur, constituait un manquement répété à l’interdiction posée par la Charte en question et donc, une faute grave de nature à justifier son licenciement immédiat.

A l’inverse, dans une autre affaire dans laquelle aucune Charte n’avait été signée, la Cour de Cassation a considéré que le licenciement intervenu était abusif.

Recommandation: Il convient de vérifier les usages interdits au titre de la Charte, afin de pouvoir sanctionner ce type de comportement.

Si l’adoption des chartes informatiques a aujourd’hui tendance à se généraliser dans les entreprises et organismes publics, il est permis de s’interroger sur la pertinence de l’inclusion dans ce document des aspects relatifs aux traitements de données à caractère personnel.

Destinées à organiser les conditions d’utilisation par les salariés du système d’information de l’employeur, les chartes informatiques ont d’abord pour objet l’emploi de la messagerie électronique, d’Internet et, plus généralement, des fichiers matériels et logiciels utilisés par les salariés dans le cadre de l’accomplissement de leurs fonctions.

L’adoption d’une charte informatique se justifie par le rappel des droits et obligations des salariés en la matière et vise la recherche d’un équilibre entre vie privée du salarié et protection des intérêts légitimes de son employeur.

La particularité des règles applicables aux traitements de données à caractère personnel, suffit à légitimer l’adoption d’un document distinct de la Charte Informatique, dans lequel seront rappelés les principes essentiels applicables à la collecte, au traitement et à la conservation de données à caractère personnel.

La loi Informatique et Libertés n° 78-17 du 6 janvier 1978, modifiée le 6 août 2004, définit une donnée à caractère personnel comme « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ».

Qu’il s’agisse de la création d’un fichier destiné à gérer la relation client, d’un traitement mis en place afin d’assurer la paie des salariés ou encore de la collecte d’adresse de courrier électronique à des fins d’envoi d’une newsletter, l’ensemble des traitements de données à caractère personnel mis en œuvre dans l’entreprise, sont assujettis aux règles résultant de la loi Informatique et Libertés et peuvent utilement faire l’objet d’un code de bonne conduite, imposé par l’employeur à ses salariés.

Annexée au règlement intérieur, la Charte Informatique et Libertés se dote, alors, de l’objectif de sensibiliser son personnel sur les sanctions pénales et administratives applicables au non respect des prescriptions légales en la matière et leur rappelle les conditions de conformité des traitements effectués.

Ainsi, des aspects relatifs à la finalité, aux destinataires du traitement, pourront être rappelés, de même que le nécessaire respect de la durée de conservation des données traitées, et l’information des personnes concernées sur leurs droits d’accès de modification et de suppression des données les concernant.

La Charte Informatique et Libertés doit également aborder la problématique du transfert des données à caractère personnel en dehors de l’Union Européenne, notamment envers des états n’assurant pas une protection suffisante de ces données.

La Charte Informatique et Libertés est également le support approprié pour rappeler la politique suivie par l’employeur en matière de traitement de données à caractère personnel.

Ainsi, dans les entreprises dotées d’un correspondant Informatique et Libertés, la Charte sera l’occasion de rappeler son existence et les conditions de son intervention et de son indépendance.

Plus généralement, l’adoption d’une telle Charte, inscrit entreprises et organismes publics, dans une démarche plus professionnelle de traitement des données à caractère personnel.

La multiplication des contrôles effectués par la CNIL, comme le renforcement des pouvoirs de sanction confiés à celle-ci, risquent de donner raison à ceux ayant fait le choix d’une sensibilisation claire de leurs salariés sur le plan des principes essentiels à respecter, des sanctions pénales et administratives applicables comme sur celui du rappel des règles de déontologie et de sécurité à respecter.