Le projet de rapport de M. Albrecht, rapporteur de la Commission européenne sur le projet de règlement de protection des données personnelles se prononce en faveur de l’introduction d’un droit à l’oubli et à l’effacement numérique. Cette position abonde dans le sens de la CNIL, qui milite depuis de nombreuses années en faveur d’une évolution en ce sens.

S’il est maintenant d’usage de considérer que l’autorisation de la personne concernée est nécessaire pour toute utilisation de cookies, rappelons que l’article 5.3 de la directive 2009/139/CE prévoit deux hypothèses dans lesquelles le consentement de l’utilisateur n’est pas requis pour utiliser un cookie :

Critère A
Lorsque le cookie « a pour finalité exclusive de permettre ou faciliter la communication par voie électronique »
Le rapport précise que la communication ne doit pas être possible sans la mise en place de ce cookie. Il doit donc être absolument nécessaire. Le législateur européen souhaite réduire au maximum le champ d’application de la disposition ;
Ce cookie peut être mis en oeuvre dans le cadre d’une des trois hypothèses suivantes :
-pour contrôler le routage de l’information sur le réseau ;
-pour permettre l’échange de paquets de données ;
-pour détecter les erreurs de transmission et les pertes de données.

Critère B
-Lorsque le cookie « est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur».
L’usage de ce cookie sans consentement doit répondre à une double condition :
-L’utilisateur doit avoir effectué un acte positif pour intégrer un service de communication en ligne dont le périmètre doit être bien délimité ;
-Le cookie est utilisé uniquement pour faire fonctionner le service. Si le cookie est désactivé, le service ne fonctionne pas.
Il doit y avoir un lien clair entre la stricte nécessité du cookie et le fonctionnement du service.

Il faut alors bien distinguer chaque fonctionnalité offerte par le service, chacune devant disposer de son propre cookie. Chaque fonctionnalité doit alors obtenir le consentement de l’utilisateur.

Caractéristiques d’un cookie.
Il existe plusieurs types de cookie : les cookies de session, les cookies permanents et les cookies tiers.

-Un cookie de session se supprime automatique quand l’utilisateur ferme son navigateur alors que le cookie permanent reste enregistré jusqu’à sa date d’expiration.
-Un cookie tiers est mis en place par un tiers qui n’opère pas sur le site visité par l’utilisateur.

Tous ces cookies de l’article 5.3 doivent prévoir une durée de validité qui est en relation direct avec leur objet et doivent expirer une fois qu’ils ne sont plus nécessaires.
Logiquement ces cookies doivent expirer à la fin de la session du navigateur internet mais, ce n’est pas forcément toujours le cas. Par exemple, dans le cadre d’un site de vente en ligne, il est souvent prévu que le cookie qui mémorise le panier d’achat persiste après que la page ait été quitté, tout simplement pour éviter les erreurs de manipulation.
Afin de déterminer si un cookie est exempt de consentement, il convient de déterminer de façon précise l’objet du cookie et pourquoi le cookie est spécifiquement mis en oeuvre.

Cookies ayant plusieurs objets.

Un cookie peut être utilisé pour plusieurs activités à la condition que chaque activité soit exempt de consentement. En pratique, il est plus facile de mettre en place un cookie par activité.

Exemple d’utilisation des cookies :
cookie d’authentification utilisé pour s’authentifier, (présent pour la durée de la session). Critère B.
cookie utilisé pour le suivi d’un utilisateur dans sa session (ex: achat en ligne), Critère B.
cookie utilisé pour augmenter la sécurité de navigation. (ex : cookies utilisés pour contrôler les abus de connexion). Critère B.
cookie multimédia utilisé pour lire des fichiers audio ou vidéo (ex: flash player). Critère B.
cookies utilisés pour dispatcher des requêtes sur plusieurs serveurs, (présent pour la durée de la session) Critère A.
cookie de modification de l’interface utilisateur, (présent pour la durée de la cession). Critère B.
cookie plug-in de réseaux sociaux pour fournir une fonctionnalité aux utilisateurs identifiés sur un autre site internet. Critère B.

Cookies non exemptés de consentement :

-cookies de réseaux sociaux utilisés pour de la publicité comportementale et des analyses de marché ;
-cookies publicitaires tiers pour de la publicité comportementale ;
-cookies destinés à effectuer des statistiques d’audience.

Le Groupe 29 suggère de revoir l’article 5.3 de la directive afin d’ajouter une troisième exemption pour les cookies qui sont strictement limités à faire des statistiques anonymes. Il convient de bien distinguer les pratiques faites par le site internet qui pourraient être autorisées de celles faites par les tiers qui présentent un risque.

Recommandations finales :
-dans l’hypothèse de l’usage du critère B, il est important d’examiner ce qui est strictement nécessaire du point de vue de l’utilisateur et non du point de vue du service fourni ;
-si un cookie est utilisé pour plusieurs activités, il peut bénéficier de l’exemption de consentement si chaque activité peut être exemptée.
Les cookies du site consulté seront exempts d’autorisation plus facilement que les cookies tierces. Toutefois, il est toujours important d’analyser si les exemptions peuvent s’appliquer.

En toute hypothèse, s’il est difficile après examen de savoir si le consentement doit être requis, il convient de prévoir un consentement qui permettra d’éviter une incertitude juridique.

Blandine Poidevin et Edouard Verbecq

En matière de données personnelles, la CNIL a mis en place un certain nombre de dispenses de déclaration dans les cas de fichiers ne posant pas de problème quant à la préservation de ces données. Il s’agit notamment de données peu sensibles.
La dispense de déclaration n°7 concerne les fichiers de communication non commerciale regroupant des données relatives à l’identité, la vie professionnelle et les centres d’intérêts à l’exceptions des données à caractère politique, religieux ou portant sur l’origine ethnique ou raciale.
Une Cvthèque rentre dans le cadre de la dispense n°7 à condition de se limiter aux expériences professionnelles et aux centres d’intérêts autres que religieux, politiques, etc… et à condition de ne pas tenir compte des origines ethniques et raciales des personnes.
Il semblerait, au regard des textes législatifs et réglementaires et de la documentation de la CNIL qu’il faille entendre par «utilisation à des fins commerciales» la revente des fichiers à des entreprises extérieures qui en font un usage publicitaire (pub, spam, démarchage téléphonique…).
Dès lors que la création d’une Cvthèque entre dans le cadre de la dispense de déclaration n°7 et qu’elle respecte les prescriptions de celle-ci, ne demande pas d’autres informations ni n’utilise ce fichier à des fins commerciales, elle ne sera soumise à aucune démarche préalable, dans les autres cas, le fichier devrait être déclaré à la CNIL.
Bien entendu, l’éditeur du service reste soumis aux obligations du droit à l’information, droit d’accès et de communication.

La Cour d’Appel de Montpellier (CA Montpellier, 5ème chambre, section A, 15 décembre 2011) a rendu une décision intéressante en faveur d’un internaute participant à des forums de discussion sous un pseudonyme et dont la véritable identité avait été révélée. L’internaute en question demandait à la société gérant le site overblog.com, qui propose des forums de discussion, la suppression des informations mises en ligne par des tiers révélant sa véritable identité (nom, prénom, ville et adresse mail), divulgant des informations touchant sa vie privée et propageant des calomnies.

La Cour a fait droit aux demandes de l’internaute, en se fondant à la fois sur l’atteinte à la vie privée résultant de l’article 9 du Code civil, mais également sur l’article 38 de la loi Informatique et Libertés prévoyant un droit d’opposition au traitement de données personnelles, et enfin de l’article 6 I 8 de la loi pour la Confiance dans l’Economie Numérique permettant au juge de prescrire à l’hébergeur toute mesure propre à faire cesser un dommage occasionné par le contenu d’un service de communication au public en ligne.

Les mentions légales de vos sites internet utilisant des cookies doivent être modifiées afin de prendre en considération l’ordonnance du 24 août 2011.
En effet, l’utilisation de cookies devient soumise à l’autorisation préalable de l’utilisateur, c’est-à-dire avant l’installation du cookie.
Cette autorisation ne pourra être tacite.

Le cadre juridique applicable aux réseaux sociaux n’est pas exactement identique à celle d’un site standard.

En fournissant les moyens permettant de traiter les données des membres du réseau et en déterminant la manière dont ces données peuvent être utilisées à de fins publicitaires ou commerciales, y compris la publicité fournie par des tiers, le site en question assume la qualité de responsable du traitement des données, conformément à la loi Informatique et Libertés du 6 janvier 1978.

L’avis n° 5/2009 adopté par le groupe de travail « article 29 » sur la protection des données relativement aux réseaux sociaux en ligne, rappelle qu’il leur appartient de garantir la mise en place de paramètres par défaut respectueux de la vie privée afin de limiter l’accès des données personnelles des membres aux contacts choisis par ceux-ci.

Aussi, il est nécessaire dans les conditions générales d’utilisation proposées d’indiquer aux internautes la politique appliquée à cet égard.

Il appartient également au réseau social d’assurer un niveau de sécurité approprié des données traitées, tant au moment de la conception du système de traitement, qu’au moment même du traitement.

Dans l’hypothèse où les données des membres seraient utilisées à des fins de marketing direct, ou que les données seraient partagées ou communiquées avec des tiers, ou encore dans le cas de traitement de données sensibles, il s’agira d’informer les membres de ces aspects.

Les données sensibles ne peuvent, en outre, être traitées sans le consentement explicite des membres concernés.

Par ailleurs, il appartient également au réseau social de mettre en garde les membres contre les risques d’atteinte à leur vie privée et à celle des autres, lorsqu’ils mettent des informations, images ou idées, en ligne sur le réseau social.

Aussi, il peut également être recommandé de leur conseiller de ne pas mettre en ligne des photos ou informations concernant d’autres personnes sans le consentement de celles-ci.

La page d’accueil devra également présenter un lien vers un contact à même de recevoir les réclamations des membres, relativement à la protection de leurs données.

Enfin, un délai maximal de conservation des données des membres inactifs pourrait être prévu, au delà duquel les comptes correspondants seraient supprimés.

Les membres doivent, enfin, être autorisés à prendre un pseudonyme dans leur communication via le réseau social mis en place.

Il conviendra également de procéder aux formalités préalables déclaratives auprès de la CNIL.

A cette fin, il me sera indispensable que le responsable du traitement ait une vision claire et exhaustive de l’ensemble des données traitées dans le cadre du réseau social mis en place, ainsi que des destinataires d’éventuels transferts à l’étranger et sous-traitants auxquels il peut avoir recours dans la mise en œuvre de ces traitements.

De nombreuses chartes informatiques ont été rédigées au moment des jurisprudences nikon et suivantes.
Une relecture s’impose afin de les adapter à la jurisprudence actuelle et à l’évolution du droit des données personnelles.

Dans un arrêt du 15 décembre 2010, la Cour de Cassation a rappelé que, si la conservation de fichiers à caractère pornographique sur le poste de travail d’un salarié, ne constitue pas en soi un usage abusif affectant le travail et justifiant son licenciement, ce comportement peut, néanmoins, être sanctionné si la Charte Informatique, intégrée dans le règlement intérieur de l’entreprise, le prévoit.

Dans cet arrêt, la Cour de Cassation a approuvé l’arrêt de la Cour d’Appel de METZ qui avait considéré que l’utilisation par un salarié de la messagerie électronique de l’entreprise pour la réception et l’envoi d’un nombre conséquent de documents pornographiques et leur conservation sur son disque dur, constituait un manquement répété à l’interdiction posée par la Charte en question et donc, une faute grave de nature à justifier son licenciement immédiat.

A l’inverse, dans une autre affaire dans laquelle aucune Charte n’avait été signée, la Cour de Cassation a considéré que le licenciement intervenu était abusif.

Recommandation: Il convient de vérifier les usages interdits au titre de la Charte, afin de pouvoir sanctionner ce type de comportement.

Alors que la Cour de Cassation a reconnu dans un arrêt de mai 2010 le harcèlement par email dans le cadre d’un supérieur hiérarchique qui s’était fait passé par une femme sous pseudo auprès de son subordonné et ce pendant un an, le baromètre Tns Sofres (pour Microsoft) sur la vie privée des français revêt tout son intérêt :
53% des internautes ont déjà fait une recherche sur une personne de leur entourage en tapant son nom dans un moteur de recherche, de même les internautes censés être les plus avertis sont aussi ceux qui sont le moins au fait de certains risques associés (fichage commercial), ou ceux qui s’en soucient le moins même si majoritairement, les Français se disent inquiets de l’usage qui peut être fait de leurs données…

Dans ce contexte, on peut s’interroger sur la légitimité des suggestions faites par Google quand on tape le nom d’une personne connue, suggestion présentant un caractère intime, religieux etc.
Après les litiges relatifs au dénigrement des produits ou de sociétés, à quand une réelle protection de la vie privée ?
Il me semble trop facile de considérer qu’aucune réponse ne peut être apportée à partir du moment où la suggestion est traitée automatiquement par un robot…

Nous profiterons de cette manifestation organisée par l’Ordre des avocats de Lille pour débattre de ces thèmes autour d’Alex Turk, président de la CNIL et sénateur du Nord.

http://www.clusif.asso.fr/fr/infos/event/#conf090604