En fournissant les moyens permettant de traiter les données des membres du réseau et en déterminant la manière dont ces données peuvent être utilisées à de fins publicitaires ou commerciales, y compris la publicité fournie par des tiers, le site en question assume la qualité de responsable du traitement des données, conformément à la loi Informatique et Libertés du 6 janvier 1978.

L’avis n° 5/2009 adopté par le groupe de travail « article 29 » sur la protection des données relativement aux réseaux sociaux en ligne, rappelle qu’il leur appartient de garantir la mise en place de paramètres par défaut respectueux de la vie privée afin de limiter l’accès des données personnelles des membres aux contacts choisis par ceux-ci.

Aussi, il est nécessaire dans les conditions générales d’utilisation proposées d’indiquer aux internautes la politique appliquée à cet égard.

Il appartient également au réseau social d’assurer un niveau de sécurité approprié des données traitées, tant au moment de la conception du système de traitement, qu’au moment même du traitement.

Dans l’hypothèse où les données des membres seraient utilisées à des fins de marketing direct, ou que les données seraient partagées ou communiquées avec des tiers, ou encore dans le cas de traitement de données sensibles, il s’agira d’informer les membres de ces aspects.

Les données sensibles ne peuvent, en outre, être traitées sans le consentement explicite des membres concernés.

Par ailleurs, il appartient également au réseau social de mettre en garde les membres contre les risques d’atteinte à leur vie privée et à celle des autres, lorsqu’ils mettent des informations, images ou idées, en ligne sur le réseau social.

Aussi, il peut également être recommandé de leur conseiller de ne pas mettre en ligne des photos ou informations concernant d’autres personnes sans le consentement de celles-ci.

La page d’accueil devra également présenter un lien vers un contact à même de recevoir les réclamations des membres, relativement à la protection de leurs données.

Enfin, un délai maximal de conservation des données des membres inactifs pourrait être prévu, au delà duquel les comptes correspondants seraient supprimés.

Les membres doivent, enfin, être autorisés à prendre un pseudonyme dans leur communication via le réseau social mis en place.

Il conviendra également de procéder aux formalités préalables déclaratives auprès de la CNIL.

A cette fin, il me sera indispensable que le responsable du traitement ait une vision claire et exhaustive de l’ensemble des données traitées dans le cadre du réseau social mis en place, ainsi que des destinataires d’éventuels transferts à l’étranger et sous-traitants auxquels il peut avoir recours dans la mise en œuvre de ces traitements.

Toutefois, un service fourni à une telle échelle ne va pas sans risques, dans la mesure où il entraîne une perte de contrôle du Client sur ses données et applications, lesquelles pourront être amenées à migrer, à un niveau régional voire international et ce en l’absence de législation spécifique.
Il convient donc d’aborder les problématiques juridiques spécifiques à ce service, afin de fournir une grille de lecture et de rédaction des contrats à l’attention de ses utilisateurs.

1.La protection des données.
Les services proposés par le fournisseur d’informatique dématérialisée ou « Cloud Provider » incluent nécessairement le traitement de données personnelles dans un cadre régional, voire international. Il est donc essentiel que le Client définisse le régime de protection des données personnelles qui lui sera applicable.
Les données peuvent concerner tant les salariés que les clients, fournisseurs, partenaires, patients…
1.La protection des données en Europe
En Europe, la Directive 95/46/CE du 24 octobre 19951 est directement applicable à défaut de transposition nationale. En France, la loi Informatique et Libertés (LIL) du 6 janvier 1978, mise en conformité avec la directive 95/46 CE par la loi du 6 août 2004, encadre le traitement des données personnelles.
Selon l’article 3 de la LIL, le responsable du traitement n’est pas de la personne qui effectue le traitement mais celle qui en détermine la nature et les « finalités ». Dans le cadre du « Cloud Computing », le responsable du traitement est donc le Client et l’organe de traitement le  « Cloud Provider ». Pèsera sur le responsable du traitement la charge de recueillir le consentement de la personne après l’avoir dûment informée.
L’article 5 de la LIL soumet à la loi française les traitements de données à caractère personnel dont le responsable de traitement est établi sur le territoire français ou dont les moyens de traitement sont situés sur le territoire français, sauf lorsque le traitement consiste uniquement à faire transiter les données. A défaut, le Client devra définir si la législation applicable est la législation d’un autre pays européen selon les mêmes conditions, la législation européenne à défaut de transposition dans le pays concerné, ou la législation d’un pays tiers.

Par conséquent, le responsable du traitement devra procéder dans le respect des principes posés par la législation (équité, légalité, proportionnalité, nécessité du traitement, information des sujets, la sécurité des données,) et sous le contrôle de la CNIL. Le Client sera seul responsable vis-à-vis des autorités ainsi que du sujet dont les données sont traitées, même en cas d’externalisation2 au « Cloud Provider ».
Suivant les principes posés par la Directive, le transfert de ces données dans ou via un pays n’assurant pas un niveau suffisant de protection ne pourra s’effectuer qu’avec l’accord du sujet – obtenu après information exhaustive – ou lorsque d’autres procédures sont en place, qu’elles soient privées (clauses contractuelles standardisées) ou publiques (à l’instar des « Safe Harbour Principles »)
Afin d’éviter la mise en jeu de sa responsabilité, le Client devra vérifier que la clause de protection des données personnelles au sein du contrat reprendra l’ensemble de ses propres obligations en la matière à la charge du « Cloud Provider » ou s’assurera de la coopération de ce dernier. Une part importante sera dédiée à la sécurisation des données.
Le « Cloud Provider » verra sa responsabilité engagée en cas d’illégalité du contenu, responsabilité partagée avec le Client3, ainsi qu’au niveau de la gestion des infrastructures physiques.
Un audit pourra être prévu afin de vérifier la conformité dans la durée des engagements souscrits.
2.La protection des données personnelles hors Europe.

La protection des données personnelles dans des pays tiers implique la rédaction de clauses standardisées mettant à la charge du « Cloud Provider » des obligations en matière de protection des données personnelles semblables à celles qu’impose la Directive.
Cas particulier : Les difficultés d’application des Safe Harbour Principles

Les « Safe Harbour Principles » sont des principes de bonne conduite élaborés par le ministère du commerce américain afin que les entreprises nationales respectent la Directive Européenne 95 /46/CE pour les données en provenance de l’Union Européenne. Toutefois, ces principes n’ont manifestement pas été respectés au nom du « Patriot Act », lequel donne au gouvernement Américain le droit d’accéder à toute donnée stockée sur son territoire, en cas d’urgence ou s’il juge que cela est nécessaire pour assurer la sécurité nationale.
La Commission européenne a lancé un projet de mandat de négociation d’accord avec les Etats-Unis sur le transfert des données bancaires à des fins de lutte contre le terrorisme, projet contenant d’importantes garanties en matière de protection des données personnelles. Dans l’intervalle, la révision annoncée du « Patriot Act » devrait permettre une meilleure protection des données personnelles.

En toute hypothèse, il est utile de connaître le lieu d’implantation des serveurs et de prévoir, notamment pour les sauvegardes, une procédure d’anonymisation des données.

2.Confidentialité

Les informations confiées au « Cloud Provider » peuvent nécessiter un secret absolu, d’où l’importance d’une clause ou d’un accord de confidentialité ainsi que du niveau d’engagement attend, les personnes concerneés et sa durée. Il est important qu’elle s’applique aux salariés et aux propres sous-traitants du prestataire.
En cas d’intrusion dans le système par un tiers non autorisé, la confidentialité des données du Client sera mise à mal, provoquant un préjudice tant pour le fournisseur que pour le Client. Le « Cloud Provider » pourra agir sur le fondement des articles L 323-1 et suivants du Code pénal. Le Client, quant à lui, devra prouver cette atteinte, opération nécessitant les informations techniques dont dispose le fournisseur. Par conséquent, il sera nécessaire que le Client prenne des garanties contractuelles pour s’assurer de la coopération du « Cloud Provider » afin de faire valoir son préjudice (par exemple, via la communication au Client d’un rapport en cas d’atteinte au système).
3.Propriété intellectuelle
Dans le cadre d’un service fournissant logiciels, plateformes et infrastructures informatiques, les droits de propriété intellectuelle sont inévitables. Ces droits peuvent constituer l’apport du Client, à savoir les services, données et applications transférés au « Cloud Provider ». Il peut également s’agir de droits créés par l’utilisation du service, à savoir le développement d’un logiciel via une plate-forme fournie par le « Cloud Provider », ou de procédés mis au point par les deux parties, à l’instar d’un système de gestion des données. En l’absence de clauses définissant les droits de chacun, ces objets originaux risquent d’être réutilisés en dehors du service par une des parties sans l’accord de l’autre, provoquant un contentieux nuisible au service.
Les parties doivent donc déterminer au sein du contrat quels sont leurs droits respectifs sur les objets qu’elles apportent ou entendent réaliser ainsi que leurs possibilités respectives d’utilisation desdits objets (possibilité de concéder une licence à un tiers ou pas par exemple, allocation d’une redevance à l’autre partie, etc.).
4.Faute professionnelle
En cas de défaillance du service externalisé, plusieurs responsabilités sont susceptibles d’être engagées : responsabilité du fournisseur de service vis-à-vis de son Client, du Client vis-à-vis de ses propres Clients, du Client vis-à-vis de ses salariés. Par conséquent, lors de la conclusion du contrat, il convient d’établir toutes les responsabilités pouvant être soulevées en relation avec le service fourni et effectuer un partage de ces responsabilités  au sein de la clause limitative de responsabilité ou clause responsabilité.
La question de la réparation (et de son assurance) doit être abordée, elle nécessite de définir les fonctions stratégiques de l’entreprise cliente et les impacts possibles d’une défaillance sur son activité.
5.Intuitu personae 
Que le contrat soit négocié ou non par le Client, ce dernier contracte avec le « Cloud Provider » pour partie du fait de sa réputation. En ce sens, le contrat conclu est un contrat intuitu personae. Par conséquent, cette relation de confiance sera mise en danger en cas de rachat du prestataire par un tiers, ou l’arrivée d’un nouvel actionnaire ou en cas de recours du prestataire à un sous -raitant. Si le Client souhaite prévenir ces éventualités, il devra en fixer les termes dans le contrat.
Conclusion
En l’absence de législation harmonisée et mondialement partagée, il est nécessaire que le Client prête une extrême attention aux documents contractuels auxquels il adhèrera ou qu’il négociera, l’outil contractuel étant son principal atout pour se protéger, de « l’envol de ses données dans le nuage ». Ces contrats renverront fréquemment à des Service Level Agreement (SLA) spécifiques par objectif (ex : sécurité, anonymisation des données hébergées, sauvegarde etc.).

Il convient tout d’abord d’informer les instances représentatives du personnel par lettre recommandée avec accusé de réception avant toute notification à la CNIL.

Un courrier doit être adressé au représentant de votre personnel.

La CNIL doit ensuite être informée par courrier recommandé avec demande d’avis de réception, de la désignation du correspondant, à l’aide du formulaire que vous trouverez également joint à ce pli.

La désignation prendra effet un mois après la date de réception de la notification par la CNIL.

Toute modification substantielle affectant les informations mentionnées dans la désignation précédemment notifiée, devra être portée à la connaissance de la CNIL par LRAR, de même qu’un remplacement du correspondant.

En effet, la loi n° 78-17 du 6 janvier 1978 relative à l’Informatique, aux Fichiers et aux Libertés, prévoit « que toute personne utilisatrice des réseaux de communication électronique doit être informée de manière claire et complète par le responsable du traitement ou son représentant :

de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations stockées dans son équipement terminal de connexion, ou à inscrire, par la même voie, des informations dans son équipement terminal de connexion ;

des moyens dont elle dispose pour s’y opposer.

Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur :

soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;
soit est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. »

Ainsi, il peut s’agir d’ajouter la mention suivante :

« Pour le bon fonctionnement du site, des cookies sont installés sur le disque dur de l’ordinateur de l’Utilisateur. Ces cookies permettent de vous identifier à chacune de vos connections sur le site et de vous fournir des services personnalisés adaptés vos besoins ou de servir à ___ [l’éditeur du site] à des fins statistiques pour étudier l’usage du site par les internautes.
L’Utilisateur peut s’opposer à l’enregistrement de cookies ou être prévenu avant d’accepter les cookies, en configurant son ordinateur de la manière suivante :

a)Pour Microsoft Internet Explorer 6.0 et 7.0 :
Choisir le menu « Outils » (ou « Tools »), puis « Options Internet » (ou « Internet Options »).
Cliquer sur l’onglet « Confidentialité » (ou « Confidentiality »).
Sélectionner le niveau souhaité à l’aide du curseur ou cliquez sur le bouton « avancé » pour personnaliser votre gestion des cookies.
b)Pour Microsoft Internet Explorer 5 :
Choisir le menu « Outils » (ou « Tools »), puis « Options Internet » (ou « Internet Options »).
Cliquer sur l’onglet « Sécurité » (ou « Security »).
Sélectionner « Internet » puis « Personnaliser le niveau » (ou « CustomLevel »).
Repérez la rubrique « cookies » et choisir l’option qui convient.
c)Pour Mozilla Firefox 1.5.X et 2.0.X :
Choisir le menu « Outils », puis « Options… ».
Cliquer sur l’icône « Vie privée » puis sur l’onglet « Cookies » ou « Afficher les cookies… ».
Personnaliser les options qui conviennent.
Toutefois le refus de l’implantation de cookies sur l’ordinateur de l’Internaute est susceptible d’altérer les fonctionnalités du site voire de l’empêcher d’accéder à son espace personnalisé. »

Centre de formation
HOTEL IBIS ARQUEBUSE GARE
15A Avenue Albert Premier
LEGALITE DES PREUVES INFORMATIQUES

Mardi 15 Juin 2010
9h00 à 12h30 – 13h30 à 17h00

Cette journée sera ponctuée de 3 ateliers et s’achèvera par une conférence puis d’un cocktail. Les thèmes abordés seront :

Atelier 1 : Mettre en place une cellule de veille en entreprise. Atelier pratique sur ordinateurs

Atelier 2 : Salon à l’international : menaces opportunités. Faire du salon un outil de veille tout en se prémunissant d’attaques éventuelles

Atelier 3 : Développer un pare-feu humain : Première faille de sécurité informatique : les comportements des collaborateurs…phénomène accentué par les réseaux sociaux, … En France les attaques concurrentielles sont négligées. Or ce sont souvent les PME et PMI qui sont la cible d’espionnage économique. A savoir que 80% des menaces sont internes et d’origine humaine.

J’animerai l’atelier 3. Cet atelier mettra en avant les mesures de sécurité minimum et l’intérêt d’encadrer le comportement humain par une charte de sécurité «informatique» respectant le cadre législatif et règlementaire. Quelle est la responsabilité du dirigeant ?

Cette journée se déroule le 17 juin et cet atelier se déroulera dans l’après midi de 15h30 à 17h00 environ.

La dernière affaire en date concerne le « code de conduite des affaires » mis en place par la société DASSAULT Systèmes afin de rappeler les règles à respecter par les salariés dans l’exercice de leur activité professionnelle.

Ce code comprenait la mise en place d’un dispositif d’alerte professionnelle permettant aux salariés de signaler tout manquement via une adresse électronique dédiée.

La CNIL a, le 8 décembre 2005, adopté une autorisation unique de traitement automatisé de données à caractère personnel, mise en œuvre dans le cadre de dispositifs d’alerte professionnelle.

De tels dispositifs sont définis comme des systèmes mis à la disposition des employés d’un organisme public ou privé, pour les inciter, en complément des modes normaux d’alerte sur les dysfonctionnements de l’organisme, à signaler à leur employeur des comportements qu’ils estiment contraires aux règles applicables et pour organiser la vérification de l’alerte ainsi recueillie au sein de l’organisme concerné.

La CNIL considère que ces dispositifs de whistleblowing constituent des traitements automatisés de données à caractère personnel susceptibles, du fait de leur portée, d’exclure des personnes du bénéfice de leur contrat de travail, en l’absence de toutes dispositions législatives ou réglementaires.

Elle a donc pris le soin d’établir, dans sa délibération, des conditions d’autorisation de mise en œuvre de tels traitements, en conformité avec la loi Informatique et Libertés.

La finalité du dispositif mis en œuvre doit ainsi être limitée à l’établissement de procédure de contrôle interne dans les domaines financiers comptables, bancaires et de la lutte contre la corruption.

La CNIL recommande également d’entourer le traitement d’une alerte transmise par un salarié de précaution particulière telle qu’un examen préalable par son premier destinataire de l’opportunité de sa diffusion dans le cadre du dispositif.

L’employeur doit s’abstenir d’inciter les personnes ayant vocation à utiliser le dispositif à le faire de manière anonyme et la publicité faite sur l’existence du dispositif doit en tenir compte.

La société DASSAULT Systèmes a, préalablement à la mise en place de son dispositif d’alerte professionnelle, effectué une déclaration de conformité à l’autorisation unique n°4 élaborée par la CNIL.

Saisie par le Fédération des Travailleurs de la Métallurgie CGT, la Cour de Cassation a eu l’occasion de se prononcer sur la légalité du Code of Business Conduct, mis en place par la société DASSAULT Systèmes.

Dans son Arrêt n° 2524 de la Chambre Sociale du 8 décembre 2009, les Magistrats retiennent qu’aucune mesure d’information et de protection des personnes n’était prévue dans ce dispositif d’alerte professionnelle de manière conforme aux exigences de la Loi Informatique et Libertés et de la délibération de la CNIL portant autorisation unique.

La Cour de Cassation relève également, qu’à partir du moment où le dispositif d’alerte faisant l’objet de l’engagement de conformité à l’autorisation unique transmis par la société DASSAULT Systèmes, avait une finalité différente de celle prévue dans l’autorisation unique, celui-ci devait faire l’objet d’une demande d’autorisation spécifique auprès de la CNIL.

En effet, tandis que la délibération du 8 décembre 2005 de la CNIL prévoit que le traitement mis en œuvre doit répondre à une obligation législative ou règlementaire visant à l’établissement de procédure de contrôle interne dans les domaines financiers, comptables, bancaires et de lutte contre la corruption pouvant être élargi à tout domaine lorsque l’intérêt vital de la société ou l’intégrité physique ou morale de ses employées est en jeu, la société DASSAULT Systèmes permettait plus généralement à ses employés de dénoncer les faits de délits d’initiés, de conflits d’intérêt, de harcèlement, de discrimination ou de divulgation d’informations confidentielles.

La Cour de Cassation a, en conséquence, invalidé le dispositif mis en place.

En conséquence, comme souvent en matière de droit des données personnelles, le débat porte sur la finalité réelle du procédé mis en place.