• Nos publications -fr 
Nos publications

« Droit d’auteur et Propriété intellectuelle » Blanchemaille. 06/11/2017

J’ai le plaisir d’animer, à 14h, un atelier au sein de Blanchemaille sur le thème « Droit d’auteur et propriété intellectuelle ».

Blanchemaille By euratechnologie. Rue du Fontenoy, à Roubaix

Consultation publique sur les plateformes numériques

Le Conseil national du Numérique (CNNum)a lancé le 10 octobre dernier une consultation publique sur les plateformes numériques.

Cette consultation intervient dans le cadre de la mission qui lui a été confiée par l’ancienne secrétaire d’Etat Axelle Lemaire de « proposer un cadre d’analyse de la loyauté des plateformes, et d’expérimenter une évaluation publique et transparente de leurs pratiques en s’appuyant sur un réseau ouvert de contributeurs ». 

Trois thèmes prioritaires ont été identifiés :

  • RÉGULATION 3.0 | Le CNNum ouvre deux débats sur les méthodes et les scénarios institutionnels à inventer pour une régulation plus agile.
  •  MAUVAISES PRATIQUES  | Le Conseil lance un appel à idées sur les outils et méthodes pour se faire entendre, en tant qu’usagers ou citoyens, en cas de mauvaises pratiques.
  • DISCRIMINATION et ALGORITHMES | Le Conseil propose un appel à idées sur les moyens de mieux détecter des discriminations liées aux algorithmes des plateformes.

Vous avez jusqu’au 17 novembre 2017 pour y participer!

 

La FDJ condamnée pour des paris sportifs impayés

Le Tribunal de grande instance (TGI) de Paris a tranché un litige opposant la Française des Jeux (FDJ) à un parieur, en faveur de ce dernier.

Le parieur en question était un habitué du site « Parions Web », sur lequel il avait placé  plusieurs centaines de contrats de paris en ligne avec la FDJ.

La FDJ ayant refusé d’admettre ses gains sur une cinquantaine de paris, le parieur l’a assignée afin de demander le paiement de son dû.

La FDJ contestait le bien-fondé des demandes de paiement au motif que le joueur avait bénéficié d’erreurs manifestes dans les cotes (cotes inversées, inversions de joueurs ou d’attribution de points, confusion entre deux paris, erreurs d’intitulés sur des paris, cas dans lesquels la cote d’ouverture est demeurée inchangée alors que le match se déroulait et que l’évolution du score modifiait les probabilités etc.). Elle indiquait que ces erreurs résultaient de problèmes techniques ou de défaillances humaines ou techniques dans la manipulation de l’instrument d’expression de ses offres de paris.

La FDJ s’appuyait sur une disposition de son Règlement prévoyant la possibilité d’annuler ses offres dans de tels cas d’erreurs manifestes.

 

Le TGI retient néanmoins que « ces erreurs qui sont entièrement imputables à des insuffisances de son organisation interne, étaient par conséquent faciles à éviter avec un minimum d’attention et de vigilance. Dans ces conditions, elles peuvent être reconnues inexcusables et indifférentes et elles ne peuvent être admises comme causes de nullité de contrats valablement formés par la rencontre des deux volontés ».

 

Le tribunal a donc fait droit aux demandes présentées par le parieur, à hauteur de près de 20.000 euros.

TGI Paris, 5ème ch., 1ère section, 25 avril 2017, n°15/04295

 

APB : la CNIL met en demeure le ministère!

La plate-forme Admission Post-Bac (APB) est bien connue des élèves de terminale. C’est sur celle-ci que sont recueillis les voeux des candidats à une admission en première année d’une formation post-baccalauréat.

Elle est perçue par bon nombre de ses utilisateurs comme « injuste » et « angoissante ».

La Commission Nationale de l’Informatique et des Libertés (CNIL) a été saisie, en 2016, d’une plainte à l’encontre de cette plate-forme. En cause : l’utilisation, sans intervention humaine, d’un algorithme, pour déterminer les propositions d’affectation faites aux candidats.

L’article 10 de la loi « Informatique et Libertés » dispose en effet qu’aucune « décision produisant des effets juridiques à l’égard d’une personne ne peut être prise sur le seul fondement d’un traitement automatisé de données destiné à définir le profil de l’intéressé ou à évaluer certains aspects de sa personnalité ».

En l’espèce, la plate-forme APB repose sur un algorithme qui établit un profil des élèves à partir de trois critères d’importance décroissante, à savoir leur académie de rattachement, l’ordre des vœux qu’ils ont formulés et leur situation de famille.

Les candidats se trouvant dans une situation identique se voient attribuer par l’algorithme un nombre aléatoire permettant de les classer.

Le traitement APB adresse ensuite automatiquement aux candidats, à partir du classement effectué par l’algorithme, une proposition de formation. Les établissements ne disposent d’aucune maîtrise sur l’affectation finale proposée par celui-ci.

Dans sa mise en demeure adressée le 30 août 2017 au Ministère, la CNIL prend ainsi l’exemple d’un étudiant dont la candidature ne serait pas retenue pour une formation non sélective de son choix, du fait de la position qui lui a été attribuée par l’algorithme dans le classement. Ce candidat ne pourra intégrer cette formation par un autre moyen.

La CNIL retient ainsi « qu’une décision produisant des effets juridiques à l’égard des candidats est prise sur le seul fondement du traitement APB dès lors que celui-ci détermine les formations post-baccalauréat auxquelles ils peuvent s’inscrire. »

Aucun réexamen de la décision finale prise sur le seul fondement du traitement APB n’est effectué au vu des éléments fournis par les candidats souhaitant contester les décisions prises à leur égard.

Dans ces conditions, la CNIL retient que « les propositions d’affectation auprès de formations non sélectives dans l’enseignement supérieur s’effectuent sur la base d’un traitement entièrement automatisé permettant de déterminer les profils des candidats et n’étant assorti d’aucune intervention humaine et manuelle. »

Considérant que de tels faits constituent un manquement aux dispositions de l’article 10 précité, la CNIL a mis en demeure le Ministère de se mettre en conformité avec la loi  dans un délai de trois mois.

La réforme de la plate-forme, annoncée récemment, devra tenir compte de cette contrainte…

Pas de droit à l’oubli pour les personnes morales.

Seules les personnes physiques bénéficient du droit à l’oubli numérique (l’arrêt CJUE Google Spain du 13/05/2014 et le RGPD concernent les personnes physiques uniquement).

 
D’ailleurs, un arrêt a été rendu récemment par la CJUE s’agissant de la suppression des données du dirigeant d’une entreprise liquidée, figurant dans le registre des sociétés (arrêt 9 mars 2017 Camera di commercio di Lecce contre M X aff. 398/15 Arrêt CJUE 09/03/2017). La CJUE a alors considéré qu’il n’existait pas de droit à l’oubli pour les données à caractère personnel figurant dans le registre des sociétés. 
Résumé de l’arrêt :communiqué de presse
M. Salvatore MANNI, administrateur unique d’une société, s’est vu attribuer un marché pour la construction d’un complexe touristique. Par recours du 12 décembre 2007, M. MANNI a attrait en justice la chambre de commerce de Lecce, en affirmant que les immeubles de ce complexe ne se vendaient pas car il ressortait du registre des sociétés qu’il avait été l’administrateur unique et le liquidateur d’une société qui a fait faillite en 1992 et qui a été radiée du registre des sociétés, à l’issue d’une procédure de liquidation, le 7 juillet 2005.
 
La question préjudicielle posée à la CJUE par la Cour de cassation italienne était la suivante : la directive sur la protection des données des personnes physiques et la directive sur la publicité des actes des sociétés s’opposent-elles à ce que toute personne puisse, sans limite de temps, accéder aux données relatives aux personnes physiques figurant dans le registre des sociétés ?
 
Selon la CJUE, la publicité des registres des sociétés vise à assurer la sécurité juridique dans les rapports entre les sociétés et les tiers ainsi qu’à protéger notamment les intérêts des tiers par rapport aux sociétés par actions et aux sociétés à responsabilité limitée, dès lors qu’elles n’offrent comme garantie à l’égard des tiers que leur patrimoine social.
 
En outre, des questions nécessitant de disposer des données à caractère personnel figurant dans le registre des sociétés peuvent surgir encore de nombreuses années après qu’une société a cessé d’exister. 

Dans ces conditions, les États membres ne peuvent pas garantir aux personnes physiques dont les données sont inscrites dans le registre des sociétés le droit d’obtenir, après un certain délai à compter de la dissolution de la société, l’effacement des données à caractère personnel les concernant. 

Néanmoins, la Cour n’exclut pas que, dans des situations particulières, des raisons prépondérantes et légitimes tenant au cas concret de la personne puissent justifier, à titre exceptionnel, que l’accès aux données à caractère personnel la concernant soit limité, à l’expiration d’un délai suffisamment long après la dissolution de la société, aux tiers justifiant d’un intérêt spécifique à leur consultation.  

Ainsi, il serait nécessaire de fonder une demande de retrait concernant une société sur un fondement plus classique tel que le dénigrement.

« L’entrée en vigueur du CETA ou l’impact du GDPR au Canada »

L’accord économique et commercial global entre l’Union Européenne et le Canada dit « CETA » a été ratifié par le Parlement Européen le 15 février 2017. Il est entré en vigueur de manière provisoire le 21 septembre dernier, dans l’attente de son approbation définitive par les parlements nationaux et régionaux de l’Union Européenne.

Ce traité de libre-échange prévoit notamment une baisse des droits de douane, une hausse des quotas d’importation de produits canadiens dans l’Union Européenne, un accès facilité des entreprises européennes aux marchés publics canadiens ou encore, une reconnaissance mutuelle des qualifications professionnelles.

Dans ce contexte de partenariat entre l’Union Européenne et le Canada, il convient de s’intéresser au Règlement européen sur la protection des données personnelles dit « General data protection régulation » (GDPR)[1], adopté le 27 avril 2016 et entrant en vigueur le 25 mai 2018.

Compte-tenu de son champ d’application étendu, ce Règlement européen pourrait effectivement concerner les entreprises canadiennes, lesquelles devront anticiper son entrée en vigueur et se mettre en conformité avant le 25 mai 2018.

Quelles sont les entreprises concernées par le Règlement européen ?

Les entreprises concernées sont celles qui traitent des données à caractère personnel[2], en qualité de responsable de traitement[3] ou de sous-traitant[4], dès lors que ce traitement entre dans le champ d’application matériel et territorial du GDPR.

Sont exclus du champ d’application matériel du GDPR, les traitements effectués :

  1. Dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union ;
  2. Par les Etats membres dans le cadre d’activités qui relèvent du champ d’application du chapitre 2 du titre V du traité sur l’Union Européenne ;
  3. Par une personne physique dans le cadre d’une activité strictement personnelle ou domestique ;
  4. Par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales[5].

Pourquoi les entreprises canadiennes sont-elles concernées par le Règlement européen ?

Si le GDPR a pour objet d’unifier le cadre juridique relatif à la protection des données personnelles au sein de l’Union Européenne, force est de constater que son champ d’application territorial n’est pas limité à l’Europe et est susceptible de s’étendre au Canada.

En effet, le GDPR s’applique aux traitements de données à caractère personnel dont le responsable du traitement ou le sous-traitant :

  1. Est établi sur le territoire de l’Union, que ce traitement ait lieu ou non dans l’Union ;
  2. N’est pas établi sur le territoire de l’Union, dès lors que ce traitement concerne des personnes établies dans l’Union et a pour objet de leur fournir des biens ou des services ou de suivre leur comportement ;
  3. N’est pas établi sur le territoire de l’Union mais dans un lieu où le droit d’un État membre s’applique en vertu du droit international public[6].

Ainsi, le GDPR s’applique aux traitements de données à caractère personnel mis en œuvre sur le territoire canadien lorsque le responsable du traitement ou le sous-traitant est établi sur le territoire de l’Union Européenne.

En outre, le GDPR s’applique aux traitements effectués par un responsable ou un sous-traitant canadien lorsque leur objet est de fournir des biens ou des services à des résidents de l’Union Européenne ou de suivre leur comportement.

Quelles formalités pour les entreprises canadiennes qui mettent en œuvre un traitement visant à fournir des biens ou des services à des résidents européens ou à suivre leur comportement ?

Dans une telle hypothèse, le GDPR prévoit la désignation d’un « Représentant sur le territoire de l’Union Européenne »[7]. Cette désignation est obligatoire à moins que :

  1. le traitement ne soit qu’occasionnel, n’implique pas un traitement à grande échelle de données sensibles ou de données relatives à des condamnations pénales ou à des infractions et soit peu susceptible d’engendrer un risque pour les droits et libertés des personnes physiques compte tenu de la nature, du contexte, de la porté et des finalités du traitement.
  2. le responsable du traitement soit une autorité publique ou un organisme public.

Le « représentant » est défini comme une personne physique ou morale établie dans l’Union Européenne désignée par écrit par le responsable du traitement ou le sous-traitant et qui les représente en ce qui concerne leurs obligations respectives en vertu du GDPR[8].

Selon la CNIL, autorité française de contrôle en matière de protection des données personnelles, le représentant peut être une filiale, un représentant juridique, un avocat ou toute autre personne.

Le représentant doit être établi dans un des États membres dans lesquels se trouvent les personnes physiques dont les données à caractère personnel font l’objet d’un traitement lié à l’offre de biens ou de services, ou dont le comportement fait l’objet d’un suivi[9].

Il est mandaté par le responsable du traitement ou le sous-traitant pour être la personne à qui les autorités de contrôle et les personnes concernées doivent s’adresser, en plus ou à la place du responsable du traitement ou du sous-traitant, pour toutes les questions relatives au traitement, aux fins d’assurer le respect du GDPR. Néanmoins, sa désignation est sans incidence sur la responsabilité du responsable du traitement et du sous-traitant.

Quelles obligations pour les entreprises concernées par le Règlement européen (responsables de traitement ou sous-traitants) ?

Les responsables de traitement et les sous-traitants devront désormais respecter le principe de « privacy by design » qui implique de limiter la quantité de données traitées dès le départ et de protéger les données dès la conception et par défaut.

En outre, en application du principe « d’accountability » (responsabilisation des entreprises), les responsables de traitement devront être à même de démontrer leur conformité au Règlement à tout moment. Pour cela, ils devront notamment constituer et regrouper la documentation nécessaire : registre des traitements, analyses d’impact, encadrement des transferts hors de l’Union Européenne, modèles de recueil du consentement des personnes concernées, etc.

En contrepartie de cette responsabilisation des entreprise, il est à noter que le GDPR supprime les formalités déclaratives auprès des autorités de protection des données personnelles et met à disposition des responsables de traitement des outils de conformité : mécanismes de certification, adhésion à des codes de conduite, désignation d’un délégué à la protection des données (DPO)[10] etc.

Par ailleurs, le GDPR soumet les responsables de traitement et les sous-traitants à de nouvelles obligations. Le responsable du traitement devra notamment tenir un registre des traitements pour les entreprises de plus de 250 salariés[11], répondre au droit d’accès des personnes concernées dans un délai d’un mois[12], notifier et communiquer les violations de données personnelles[13] ou réaliser des analyses d’impact en cas de risque élevé pour les droits et libertés des personnes physiques[14].

Le sous-traitant devra, quant à lui, obtenir l’autorisation du responsable de traitement pour faire de la sous-traitance, aider le responsable à s’acquitter de ses propres obligations, notifier au responsable toute violation de données personnelles ou encore, mettre à disposition du responsable les informations attestant du respect de ses obligations et permettant la réalisation d’audits.

De plus, les responsables de traitement et les sous-traitants devront respecter les droits des personnes concernées. Ces droits ont été renforcés par le GDPR et comprennent notamment : l’exigence d’un consentement clair et explicite[15], le droit à l’oubli[16], le droit à la portabilité des données[17], le droit de s’opposer au traitement et au profilage[18], le droit d’être informé en cas de piratage de ses données[19] etc.

Enfin, il convient de souligner que les amendes administratives pourront désormais atteindre 2 à 4% du chiffre d’affaires annuel mondial de l’entreprise ou 10 à 20 millions d’euros pour les autres organismes.

 

Quid des transferts de données depuis l’Union Européenne vers le Canada ?

Avec l’entrée en vigueur du CETA, il est probable que des transferts de données à caractère personnel aient lieu entre l’Union Européenne et le Canada.

Les transferts de données à caractère personnel depuis l’Union Européenne vers un pays tiers, tel que le Canada, sont strictement encadrés par le GDPR.

Le GDPR prévoit que de tels transferts ne peuvent avoir lieu que si la Commission Européenne a reconnu, par voie de décision, que ce pays tiers assurait un niveau de protection adéquat des données personnelle ou, à défaut, si des garanties appropriées sont prises par le responsable du traitement ou le sous-traitant[20].

S’agissant du Canada, la Commission européenne a reconnu que la loi canadienne sur « la protection des renseignements personnels et les documents électroniques » assurait un niveau de protection adéquat des données personnelles[21]. Par conséquent, les transferts de données personnelles depuis un Etat membre de l’Union Européenne vers un destinataire canadien assujetti à cette loi ne nécessitent pas de garantie supplémentaire.

 

[1] Règlement (UE) n°2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

[2] Traitement de données à caractère personnel : « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utili­sation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rappro­chement ou l’interconnexion, la limitation, l’effacement ou la destruction »

[3] Responsable du traitement : « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement »

[4] Sous-traitant : « la personne physique ou morale, l’autorité́ publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement »

[5] Article 2 du Règlement (UE) n°2016/679

[6] Article 3 du Règlement (UE) n°2016/679

[7] Considérant 80 et article 27 du Règlement (UE) n°2016/679

[8] Article 4-17° du Règlement (UE) n°2016/679

[9] Article 27 du Règlement (UE) n°2016/679

 

[10] Article 37 du Règlement (UE) n°2016/679

[11] Article 30 du Règlement (UE) n°2016/679

[12] Article 12-3 du Règlement (UE) n°2016/679

[13] Articles 33 et 34 du Règlement (UE) n°2016/679

[14] Article 35 du Règlement (UE) n°2016/679

[15] Consentement : « acte positif par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement (considérant 32) »

[16] Article 17 du Règlement (UE) n°2016/679

[17] Article 20 du Règlement (UE) n°2016/679

[18] Article 21 du Règlement (UE) n°2016/679

[19] Article 34 du Règlement (UE) n°2016/679

[20] Article 44 du Règlement (UE) n°2016/679

[21] Décision d’adéquation 2002/2/EC du 20 décembre 2001 modifiée par la décision d’exécution (UE) 2016/2295

« Happy Hour de la sécurité – Quand la technologie facilite le GDPR » Lille. 21/09/2017

J’aurai le plaisir de participer, aux côtés d’Advens et de l’éditeur Varonis, le jeudi 21 septembre à 17h30, au » Happy Hour »  sur le thème de la technologie au service du GDPR.

Evènement