Interview réalisée par Pauline Hauet, intercountry.com

En  matière  de  Technologies  de  l’Information  et  de  la  Communication,  les  entreprises  ayant  une 
activité à l’étranger sont souvent confrontées à certaines problématiques juridiques relevant du droit 
contractuel,  du  droit  d’auteur,  du  droit  fiscal,  ou  encore  du  droit  de  la  protection  et  du  stockage  des 
données personnelles. 

Le Royaume-Uni pays du Common Law
Comme  tous  pays,  la  France  et  le  Royaume‐Uni  possèdent  deux  systèmes  juridiques  différents,  l’un 
du Common Law, l’autre du droit civil. Cela entraine nécessairement certaines divergences juridiques 
et culturelles pouvant relever des relations contractuelles, des problématiques liées au droit d’auteur 
ou encore de la protection de la vie privée.   
« En France, pays de droit civil on a une acceptation beaucoup plus large de la
protection de la vie privée à l＇intérieur de l＇entreprise qu＇au Royaume-Uni ».

En  matière  de  Technologies  de  l’Information  et  de  la  Communication,  le  phénomène 
d’internationalisation  des  données  et  l’essor  du  cloud  computing  ont  engendré  de  nombreuses 
interrogations quant au stockage des données. Chaque Etat a sa propre législation et il est nécessaire 
de respecter le cadre juridique du pays au sein duquel les données sont reçues, traitées et exploitées. 
Afin  de  faciliter  les  relations  contractuelles  en  la  matière,  le  territoire  européen  dispose  d’une 
directive communautaire visant à simplifier la réglementation du stockage des données en Europe.  
Prenons  l’exemple  d’une  entreprise  française  ayant  une  filiale  au  Royaume‐Uni.  Deux  possibilités 
s’offrent  à  elle :  soit  l’entreprise  respecte  la  législation  française  et  britannique  de  manière  très 
formelle, soit l’entreprise décide d’appliquer le droit européen au sein de ses relations contractuelles 
avec sa filiale.  
Tel  est  le  cas  des  Binding  Corporate Rules  (BCR) où  l’entreprise  va  d’elle‐même  créer  son  propre 
cadre  juridique  en  matière  de  données  personnelles.  Un  cadre  juridique  qui  devra  dès  lors  être 
respecté  au  sein  de  ses  relations  contractuelles  avec  ses  différentes  filiales  en  Europe.  Les  échanges 
de données pourront alors se faire plus facilement à l’intérieur du groupe.  

Sécuriser le stockage de ses données en Europe
La Commission Nationale de l’Informatique et des Libertés (CNIL) recommande d’ailleurs de rester 
au sein de l’Union Européenne en matière de stockage de données. Les difficultés apparaissant 
lorsque le stockage a lieu en dehors de cette zone.   
« En Asie par exemple la notion de protection des données est très difficile à
mettre en œuvre. La vision de la société y est beaucoup plus collective
qu＇individuelle. »
Certains acteurs du cloud computing peuvent garantir que le stockage s’effectue au sein de la zone 
européenne. Il appartient néanmoins  à l’utilisateur du cloud de vérifier le lieu de stockage des 
données.  
En la matière, il est extrêmement important de réfléchir au cadre juridique en amont,  pour 
anticiper l’apparition d’éventuels problèmes et protéger ses relations contractuelles à l’étranger.  
Il est également recommandé de prévoir une assurance intégrant une protection juridique en 
raison des coûts de recours à la justice en cas de litige.  
Les relations franco‐britanniques bénéficient d’un socle commun qui est le droit européen. Des 
divergences jurisprudentielles existent entre les deux pays, mais tendent néanmoins à être réduites 
grâce à l’évolution permanente du droit communautaire. Un nouveau règlement européen est 
d’ailleurs attendue en la matière d’ici la fin de l’année.  
                           

Il est fréquent de voir, quelques années après leur création, des fichiers dont le but a passablement évolué.
Ces agissements peuvent être qualifiés de détournement de finalité.
Il s’agit alors d’une infraction visée à l’article 226-21 du Code pénal prévoyant que « Le fait, par toute personne détentrice de données à caractère personnel à l’occasion de leur enregistrement, de leur classement, de leur transmission ou de toute autre forme de traitement, de détourner ces informations de leur finalité telle que définie par la disposition législative, l’acte réglementaire ou la décision de la Commission nationale de l’informatique et des libertés autorisant le traitement automatisé, ou par les déclarations préalables à la mise en oeuvre de ce traitement, est puni de cinq ans d’emprisonnement et de 300 000 Euros d’amende. »

Rendez-vous à la conférence du FIC « DRH et cybersécurité : quelles obligations pour
l’employeur et le salarié ? »
de 15h à 16h Lille Grand Palais
Stand A11

Avec :
Blandine POIDEVIN , Avocate au Barreau de Lille, spécialisée en droit de l’Internet & Propriété
Intellectuelle
Florent CHABAUD , Ingénieur en chef de l’armement, Fonctionnaire à la sécurité des systèmes
d’information (FSSI), Ministère de la défense
Sabine MARCELLIN, Juriste, Crédit Agricole Corporate & Investment Bank
Animateur : Florence PUYBAREAU (Journaliste)

S’il est maintenant d’usage de considérer que l’autorisation de la personne concernée est nécessaire pour toute utilisation de cookies, rappelons que l’article 5.3 de la directive 2009/139/CE prévoit deux hypothèses dans lesquelles le consentement de l’utilisateur n’est pas requis pour utiliser un cookie :

Critère A
Lorsque le cookie « a pour finalité exclusive de permettre ou faciliter la communication par voie électronique »
Le rapport précise que la communication ne doit pas être possible sans la mise en place de ce cookie. Il doit donc être absolument nécessaire. Le législateur européen souhaite réduire au maximum le champ d’application de la disposition ;
Ce cookie peut être mis en oeuvre dans le cadre d’une des trois hypothèses suivantes :
-pour contrôler le routage de l’information sur le réseau ;
-pour permettre l’échange de paquets de données ;
-pour détecter les erreurs de transmission et les pertes de données.

Critère B
-Lorsque le cookie « est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur».
L’usage de ce cookie sans consentement doit répondre à une double condition :
-L’utilisateur doit avoir effectué un acte positif pour intégrer un service de communication en ligne dont le périmètre doit être bien délimité ;
-Le cookie est utilisé uniquement pour faire fonctionner le service. Si le cookie est désactivé, le service ne fonctionne pas.
Il doit y avoir un lien clair entre la stricte nécessité du cookie et le fonctionnement du service.

Il faut alors bien distinguer chaque fonctionnalité offerte par le service, chacune devant disposer de son propre cookie. Chaque fonctionnalité doit alors obtenir le consentement de l’utilisateur.

Caractéristiques d’un cookie.
Il existe plusieurs types de cookie : les cookies de session, les cookies permanents et les cookies tiers.

-Un cookie de session se supprime automatique quand l’utilisateur ferme son navigateur alors que le cookie permanent reste enregistré jusqu’à sa date d’expiration.
-Un cookie tiers est mis en place par un tiers qui n’opère pas sur le site visité par l’utilisateur.

Tous ces cookies de l’article 5.3 doivent prévoir une durée de validité qui est en relation direct avec leur objet et doivent expirer une fois qu’ils ne sont plus nécessaires.
Logiquement ces cookies doivent expirer à la fin de la session du navigateur internet mais, ce n’est pas forcément toujours le cas. Par exemple, dans le cadre d’un site de vente en ligne, il est souvent prévu que le cookie qui mémorise le panier d’achat persiste après que la page ait été quitté, tout simplement pour éviter les erreurs de manipulation.
Afin de déterminer si un cookie est exempt de consentement, il convient de déterminer de façon précise l’objet du cookie et pourquoi le cookie est spécifiquement mis en oeuvre.

Cookies ayant plusieurs objets.

Un cookie peut être utilisé pour plusieurs activités à la condition que chaque activité soit exempt de consentement. En pratique, il est plus facile de mettre en place un cookie par activité.

Exemple d’utilisation des cookies :
cookie d’authentification utilisé pour s’authentifier, (présent pour la durée de la session). Critère B.
cookie utilisé pour le suivi d’un utilisateur dans sa session (ex: achat en ligne), Critère B.
cookie utilisé pour augmenter la sécurité de navigation. (ex : cookies utilisés pour contrôler les abus de connexion). Critère B.
cookie multimédia utilisé pour lire des fichiers audio ou vidéo (ex: flash player). Critère B.
cookies utilisés pour dispatcher des requêtes sur plusieurs serveurs, (présent pour la durée de la session) Critère A.
cookie de modification de l’interface utilisateur, (présent pour la durée de la cession). Critère B.
cookie plug-in de réseaux sociaux pour fournir une fonctionnalité aux utilisateurs identifiés sur un autre site internet. Critère B.

Cookies non exemptés de consentement :

-cookies de réseaux sociaux utilisés pour de la publicité comportementale et des analyses de marché ;
-cookies publicitaires tiers pour de la publicité comportementale ;
-cookies destinés à effectuer des statistiques d’audience.

Le Groupe 29 suggère de revoir l’article 5.3 de la directive afin d’ajouter une troisième exemption pour les cookies qui sont strictement limités à faire des statistiques anonymes. Il convient de bien distinguer les pratiques faites par le site internet qui pourraient être autorisées de celles faites par les tiers qui présentent un risque.

Recommandations finales :
-dans l’hypothèse de l’usage du critère B, il est important d’examiner ce qui est strictement nécessaire du point de vue de l’utilisateur et non du point de vue du service fourni ;
-si un cookie est utilisé pour plusieurs activités, il peut bénéficier de l’exemption de consentement si chaque activité peut être exemptée.
Les cookies du site consulté seront exempts d’autorisation plus facilement que les cookies tierces. Toutefois, il est toujours important d’analyser si les exemptions peuvent s’appliquer.

En toute hypothèse, s’il est difficile après examen de savoir si le consentement doit être requis, il convient de prévoir un consentement qui permettra d’éviter une incertitude juridique.

Blandine Poidevin et Edouard Verbecq

1 – Les mentions légales

La Loi pour la Confiance dans l’Economie Numérique (LCEN) impose à l’éditeur d’un site Internet d’indiquer, dans un standard ouvert, un certain nombre de mentions légales :

la dénomination ou raison sociale de la société, le siège social, un numéro de téléphone ainsi qu’une adresse de courrier électronique, le numéro d’inscription au RCS, le capital social et l’adresse du siège social,

le nom du directeur de la publication,

le nom, la dénomination sociale, l’adresse et le numéro de téléphone de l’hébergeur du site.

Aussi, nous vous avons transmis un modèle de mentions légales qu’il conviendra de mettre en ligne sur votre site Internet de manière accessible à tous, à chacune des pages de la navigation.

2 – Les données à caractère personnel

La collecte de données à caractère personnel est réglementée par la loi Informatique et Libertés du 6 janvier 1978.

La loi prévoit en son article 6 que le traitement de données n’est valable que si les données sont collectées et traitées de manière loyale et licite pour des finalités déterminées.

Les données recueillies doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et doivent être complètes et mises à jour.

Ces données doivent être conservées pour une durée n’excédant pas la durée nécessaire aux finalités pour lesquelles elles sont collectées.

Il vous appartient en tant que responsable des traitements de données, d’accomplir certaines obligations :

2.1 – Demande d’autorisation pour traiter des données sensibles

Une donnée sensible est une information qui concerne : l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, la santé ou la vie sexuelles.

En principe, ces données ne peuvent être recueillies et exploitées qu’avec le consentement explicite de la personne.

Le traitement informatique de données personnelles qui présentent des risques particuliers d’atteinte aux droits et libertés doivent, avant leur mise en œuvre, être soumis à l’autorisation de la CNIL.

Il vous appartient donc de procéder à une demande d’autorisation auprès de la CNIL concernant le traitement de données sensibles.

Pour information, le non-accomplissement des formalités auprès de la CNIL est sanctionné de 5 ans d’emprisonnement et de 300 000 euros d’amende (article 226-16 du Code pénal).

2.2 – Information des personnes concernées

Par ailleurs, l’article 32 de la loi Informatique et Libertés impose au responsable du traitement d’informer les personnes dont les données à caractère personnel sont traitées, de l’identité du responsable du traitement, de la finalité du traitement opéré, ainsi que des destinataires desdites données.

Les personnes concernées peuvent ainsi exercer un droit d’accès, de rectification et d’opposition aux données les concernant.

A cet égard, un contact au sein de l’effectif du responsable du traitement doit être mentionné afin de permettre l’exercice effectif de ces droits.

2.3 – Cookies

Dans l’hypothèse où vous mettez en place un système de cookies, il vous appartient de respecter certaines règles.

L’article 32 de la loi Informatique et Libertés prévoit que les personnes concernées doivent donner leur accord à la mise en place d’un tel fichier, préalablement à l’accès ou à l’inscription de leurs données sur le terminal de communication électronique.

Ainsi, je recommande de faire mention sur le site Internet d’une case à cocher validant l’accord de l’internaute.

Cette règle du consentement préalable ne s’applique, toutefois, pas aux cookies ayant pour seule finalité de permettre ou faciliter la communication par voie électronique ou qui sont strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.

Ainsi, dans l’hypothèse où les cookies implantés le seraient à des fins exclusives de réalisation des statistiques de fréquentation, de décompte du nombre de visiteurs, de mémorisation de l’information de connexion durant la visite, notamment, le recueil du consentement préalable de l’internaute n’est pas nécessaire.

3 – Sur les droits de propriété intellectuelle

Il est utile d’enregistrer une marque correspondant au nom de domaine.
Si la marque a été déposée à titre personnel une licence de cette marque au profit de la société qui l’exploitera, doit être mise en place et publiée.

En outre, dans l’hypothèse où vous exploitez un logo , il pourrait également être déposé.

De même, les droits d’auteur du créateur de site, infographiste, et plus général de tout contenu mis en ligne doivent être respectés.

Ayant beaucoup d’interrogations à ce sujet, voici quelques recommandations en la matière.

Conformément au nouveau cadre juridique relatif à l’utilisation des cookies établi par l’Ordonnance n°2011-102012 du 24 août 2011, je vous recommande de prévoir d’informer les utilisateurs de la mise en place de cookies dans une rubrique spécifique dédiée à la vie privée et non plus d’intégrer cette information dans les mentions légales ou les conditions générale applicables.

Il s’agira d’expliquer la finalité d’utilisation des cookies, le type d’informations recueillies, le procédé utilisé pour recueillir l’information et la possibilité, pour l’utilisateur, d’accepter ou de refuser l’enregistrement du cookie dans son terminal.

La durée de conservation des informations de navigation collectées devra également être précisée.

Je vous rappelle également que, depuis la modification résultant de cette Ordonnance, l’utilisateur doit exprimer son accord préalable à la mise en place de cookies.

Ce choix peut se faire par un dispositif de connexion (exemple via le navigateur internet) ou par le biais d’autres dispositifs placés sous le contrôle de l’utilisateur tels qu’une plateforme de choix accessible en ligne permettant à l’utilisateur d’accepter ou refuser totalement ou partiellement les cookies, ou encore d’un fichier ou logiciel mémorisant le choix de l’utilisateur dans le terminal.

Le décret appliquant le règlement européen sur les communications électroniques est paru le 30 mars.
Il comporte notamment un titre II relatif à la procédure de notification à la CNIL des violations de données à caractère personnel. Les détails de la procédure intéresseront les professionnels.
On retiendra également que la CNIL peut contraindre le fournisseur à informer la personne dont les coordonnées auraient été violées.

Selon son article 25
(…) La notification d’une violation des données à caractère personnel (…) est adressée à la Commission nationale de l’informatique et des libertés par lettre remise contre signature qui précise la nature et les conséquences de la violation des données à caractère personnel, les mesures déjà prises ou proposées par le fournisseur de services de communications électroniques accessibles au public pour y remédier et les personnes auprès desquelles des informations supplémentaires peuvent être obtenues et, lorsque cela est possible, une estimation du nombre de personnes susceptibles d’être impactées par la violation en cause (…).
Article 26
(…) Constitue une mesure de protection appropriée, au sens de l’article 34 bis de la loi du 6 janvier 1978, toute mesure technique efficace destinée à rendre les données incompréhensibles à toute personne qui n’est pas autorisée à y avoir accès.
(…)- La Commission nationale de l’informatique et des libertés vérifie dans un délai de deux mois si les mesures de protection appropriées ont été mises en œuvre et appliquées et apprécie la gravité au cas particulier de la violation de données à caractère personnel.

(…)Si le fournisseur n’a pas déjà averti la personne intéressée de la violation de ces données en application de l’article 91-2, la commission peut en outre, lorsqu’elle estime la violation grave, mettre le fournisseur en demeure de l’informer en application du dernier alinéa du II de l’article 34 bis de la loi du 6 janvier 1978 dans un délai qui ne peut être supérieur à un mois.

Je participerai le 3/04 à 16h30 à une table ronde dans le cadre du salon buzzness mobile à Paris sur la thématique suivante :

Conférence : CRM Mobile, l’éthique et la loi.
Le digital snail trail : nous laissons derrière nous les traces numériques de notre utilisation d’un smartphone. Tout y est : où nous sommes et à quelle heure, qui nous connaissons et avec qui nous interagissons, ce que nous regardons, ce que nous cherchons. Mais toutes ces données ne sont pas destinées à être partagées et utilisées ou vendues. L’actualité nous rappelle qu’il existe un cadre législatif européen et national très développé et évolutif. C’est là tout l’enjeu du CRM : savoir construire une expérience pertinente et non-intrusive, transparente, en optimisant les données générées par le trafic mobile. Les intervenants de cette table ronde passeront en revue les bonnes pratiques et aideront les marques à choisir entre l’éthique et la loi.
Autres Intervenants :
Edouard BARREIRO, Responsable du Département des Etudes – UFC Que choisir
Guillaume BORNICHE, Responsable Marketing Mobile – Phoceis
Animateur :
François JULLIEN, Directeur éditorial – Buzzness Mobile

En matière de données personnelles, la CNIL a mis en place un certain nombre de dispenses de déclaration dans les cas de fichiers ne posant pas de problème quant à la préservation de ces données. Il s’agit notamment de données peu sensibles.
La dispense de déclaration n°7 concerne les fichiers de communication non commerciale regroupant des données relatives à l’identité, la vie professionnelle et les centres d’intérêts à l’exceptions des données à caractère politique, religieux ou portant sur l’origine ethnique ou raciale.
Une Cvthèque rentre dans le cadre de la dispense n°7 à condition de se limiter aux expériences professionnelles et aux centres d’intérêts autres que religieux, politiques, etc… et à condition de ne pas tenir compte des origines ethniques et raciales des personnes.
Il semblerait, au regard des textes législatifs et réglementaires et de la documentation de la CNIL qu’il faille entendre par «utilisation à des fins commerciales» la revente des fichiers à des entreprises extérieures qui en font un usage publicitaire (pub, spam, démarchage téléphonique…).
Dès lors que la création d’une Cvthèque entre dans le cadre de la dispense de déclaration n°7 et qu’elle respecte les prescriptions de celle-ci, ne demande pas d’autres informations ni n’utilise ce fichier à des fins commerciales, elle ne sera soumise à aucune démarche préalable, dans les autres cas, le fichier devrait être déclaré à la CNIL.
Bien entendu, l’éditeur du service reste soumis aux obligations du droit à l’information, droit d’accès et de communication.

J’interviendrai demain sur la thématique de la géolocalisation, des technologies nomades et des données personnelles, de 9h30 à 10h30.