• Français -fr 

Droit des logiciels

Bouton « j’aime » de Facebook : qui est le responsable de traitement?

Dans ses conclusions du 19 décembre 2018 dans l’affaire C-40/17, l’avocat général près la CJUE Michal Bobek considère que l’éditeur d’un site Internet ayant inséré le plugiciel d’un tiers, tel le bouton « j’aime » de Facebook, a la qualité de responsable conjoint de traitement avec le tiers au sens de la directive 95/46/CE.

Il considère néanmoins que la responsabilité conjointe doit être limitée aux seules phases du traitement maîtrisées par l’éditeur, à savoir la collecte et la transmission à Facebook des données à caractère personnel de l’utilisateur.

Si elle est suivie par la CJUE, cette position pourrait emporter des conséquences importantes pour tous les sites Internet intégrant des contenus de tiers.

Rappelons par ailleurs que la CJUE avait déjà eu l’occasion de juger, dans un arrêt du 5 juin 2018, que la qualification de responsable de traitement pouvait être reconnue à l’éditeur d’une page fan sur le réseau social Facebook. La Cour avait retenu l’influence exercée sur le traitement par l’éditeur, celle-ci découlant directement du choix d’héberger son site sur la page fan associé à la faculté de paramétrage des traitements statistiques d’analyse de fréquentation réalisés par défaut par Facebook, et ce quand bien même, seules des données anonymes seraient restituées à l’éditeur.

Actualités RGPD

Quelques informations récentes relatives au droit des données personnelles :

  1. Dans une décision du 7 février 2019, l’organe allemand chargé de la concurrence a déclaré que le réseau social Facebook ne devra plus recueillir des données de sources extérieures à son service sans le consentement explicite des utilisateurs.

En pratique, l’entreprise pourra continuer à recueillir les données de sources extérieures mais ne pourra plus les recouper avec celles du compte Facebook sans que l’utilisateur donne son accord explicite.

Le but est de limiter l’exploitation des informations personnelles par le réseau social. De ce fait, les applications tierces pourront poursuivre leur propre collecte de données, cependant Facebook ne pourra plus les combiner avec celles de ses utilisateurs sans leur accord.

Facebook devra soumettre dans les quatre mois une modification de ses conditions d’utilisation à l’Allemagne, qui devra ensuite les approuver.

2. Le CEPD a diffusé un nouveau projet de lignes directrices concernant l’évaluation de la proportionnalité des mesures qui limitent les droits fondamentaux à la vie privée et à la protection des données.

3. La Cour de Cassation s’est prononcée sur la légalité de l’installation d’un dispositif de vidéo-surveillance sur la voie publique aux fins de recherche des preuves d’infraction dont était saisi un juge d’instruction.

Ainsi, dans son arrêt du 11 décembre 2018, la Cour rappelle au visa des articles 8 de la CEDH et 81 du Code de procédure pénale, que si le juge d’instruction tire le pouvoir de faire procéder à une vidéo-surveillance sur la voie publique aux fins de rechercher des preuves des infractions dont il est saisi à l’encontre des personnes soupçonnées de les avoir commises, une telle ingérence dans la vie privée présentant, par sa nature même, un caractère limité et étant proportionné au regard de l’objectif poursuivi, il doit résulter des pièces de l’information que la mesure a été mise en place sous le contrôle effectif de ce magistrat, et selon les modalités qu’il a autorisées.

La haute juridiction estime qu’en l’espèce, il ne résultait d’aucune des pièces du dossier que, préalablement à la mise en place de la vidéo-surveillance critiquée, le magistrat-instructeur avait autorisé les officiers de police judiciaire auxquels il avait délivré une commission rogatoire rédigée dans des termes généraux à y procéder et qu’il en avait fixé la durée et le périmètre.

4. La Federal Trade Commission (FTC), le régulateur américain du commerce, a annoncé avoir infligé le 27 février 2019 une amende de 5,7 millions de dollars à l’éditeur chinois de l’application TIKTOK pour avoir illégalement collecté les données d’enfants de moins de 13 ans sans accord parental.

5. Le Comité Européen de la Protection des Données a adopté une note d’information sur l’éventualité d’un Brexit sans accord à l’intention des organismes dans l’Union qui transmettent des données personnelles vers le Royaume-Uni. La CNIL a complété cette communication par une série de questions/réponses destinée à se préparer au scénario du No Deal.

 

Documents administratifs contenant des données personnelles : peuvent-ils être publiés en l’état ?

Le décret n° 2018-1117 du 10 décembre 2018 apporte une réponse à cette question car il identifie les documents administratifs pouvant être rendus publics sans occultation des données personnelles s’y trouvant.

Ainsi, les documents suivants peuvent être diffusés dans leur intégralité :

  • – les organigrammes et annuaires des administrations ;
  • – le répertoire national des associations et le répertoire des entreprises et de leurs établissements dans leur intégralité ;
  • – les annuaires des professions règlementées ;
  • – les résultats obtenus par les candidats aux examens et concours administratifs ou conduisant à la délivrance des diplômes nationaux ;
  • – les conditions d’organisation et d’exercice des activités sportives ;
  • – le répertoire national des élus ;
  • – les registres des chambres d’hôtes et gîtes ;
  • – la base des permis de construire.

Obligation de sécurisation des données personnelles : nouvelle sanction infligée par la CNIL

Après la sanction infligée à UBER le 19 décembre dernier à hauteur de 400 000€ d’amende, la formation restreinte de la CNIL a prononcé une nouvelle sanction de 250 000 € à l’encontre de la société BOUYGUES TELECOM pour avoir insuffisamment protégé les données de ses clients B&You.

La formation restreinte a constaté que le défaut de sécurité trouvait son origine dans l’oubli de réactiver sur le site, après une phase de test, la fonction d’authentification à l’espace client qui avait été désactivée pour les besoins de ces tests.  Elle a estimé  qu’il appartenait à la société d’être particulièrement vigilante quant à l’effectivité de son mécanisme d’authentification, compte tenu de son choix de ne pas mettre en place de mesures de sécurité complémentaires. A cette occasion, la CNIL considère que la revue manuelle du code source lié à l’authentification du site web aurait dû être effectuée.

La formation restreinte a tenu compte de la grande réactivité de l’opérateur dans la résolution de l’incident de sécurité ainsi que des nombreuses mesures mises en place par la société pour limiter ses conséquences.

CNIL : amende record à l’encontre de Google

Amende record de 50 millions d’euros à l’encontre de Google pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité à la suite de plaintes déposées par les associations None of Your Business et La Quadrature du Net.

L’amende de 50 millions d’euros a notamment été déterminée par la CNIL en fonction du chiffre d’affaires de la société mère américaine Google LLC sur 2017, à savoir environ 96 milliards d’euros. La sanction maximum encourue était donc de 3,8 milliards d’euros (4% du CA).

Université des DPO de l’AFCDP

Nous participerons, le 16 janvier prochain, à l’Université des DPO organisée par l’AFCDP. Une bonne occasion d’échanger sur l’actualité du droit des données personnelles : https://afcdp.net/IMG/pdf/programme_universite_afcdp_des_dpo_-_16_janvier_2019.pdf.

Le droit à l’oubli des ex-détenus

La justice passe, Internet demeure…

 

Il est fréquent que des personnes ayant fait l’objet de condamnations judiciaires lourdes voient, une fois leur peine purgée, leur réintégration dans la société rendue compliquée par les informations les concernant qui restent accessibles sur Internet longtemps après leur procès.

 

L’article 17 du Règlement Général relatif à la Protection des Données (RGPD) dispose que :

 

« La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque l’un des motifs suivants s’applique :

  • Les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière ;

(…) »

 

En l’espèce, les données à caractère personnel concernant les personnes concernées ont, le plus souvent, été collectées et traitées dans le cadre de la couverture du procès au terme duquel elles ont été condamnées.

 

Si, conformément à l’article 17 précité du RGPD, l’exercice du droit à la liberté d’information peut être opposé par les éditeurs de presse dont les articles restent accessibles à tous sur Internet longtemps après le procès, il y a lieu, néanmoins, de tenir compte du juste équilibre à trouver entre le droit au respect de la vie privée garantie par l’article 8 de la Convention Européenne des Droits de l’Homme et ladite liberté d’information au public garantie par l’article 10 de la Convention.

 

Le fait que la personne concernée soit une « simple » personne privée totalement inconnue du public qui n’a qu’une volonté : retomber dans l’anonymat afin de pouvoir vivre sa vie privée et professionnelle, peut jouer en sa faveur. C’est aussi le cas lorsque la personne a, depuis le temps de sa condamnation, conservé une discrétion et un silence absolus.

 

Il convient de rappeler que la condamnation pénale a aussi pour objectif l’amendement du condamné et sa réinsertion.

 

Dans ce cadre, le droit à l’oubli apparaît comme une composante de la vie privée de tout citoyen.

 

Ainsi, s’il est légitime que la vie privée d’un citoyen soit mise sur la scène publique pendant le temps du procès, c’est uniquement parce qu’une telle exposition se fait l’écho d’une situation sociale particulière.

 

Il est nécessaire d’articuler avec justesse et mesure le droit à la liberté d’information et le droit au respect de la vie privée dû aux personnes condamnées.

 

Si la presse a légitimement le droit de traiter des informations relatives à l’actualité judiciaire pour répondre à l’intérêt légitime du public à être informé, il y a toutefois lieu de retenir que cet intérêt pâlit avec le temps au profit des droits de la personne à sa vie privée, son image, son honneur et sa réinsertion.

 

En effet, le législateur a, par ailleurs, pris de nombreuses précautions destinées à limiter la diffusion des informations judiciaires.

 

Il en est ainsi, par exemple, de l’accès au casier judiciaire et à son effacement, susceptible d’être privé de tout sens si un journaliste, au nom de sa liberté d’expression et du droit du public à être informé, passait outre en portant ces faits au grand public et en les maintenant dans un temps excessif.

 

De même, l’affichage des décisions de condamnations prévu à l’article 131-10 du Code Pénal est conçu comme une peine complémentaire et est limitée dans le temps afin de permettre à la personne concernée d’entamer sa reconstruction.

 

Rappelons également que différents textes pénitentiaires prévoient expressément, au nom de la réinsertion des personnes détenues, que leur consentement écrit soit donné avant toute diffusion ou utilisation de leur image ou de leur voix.

 

Enfin, la CNIL a aussi donné son avis sur le sujet, dans sa délibération n°01-057 du 29 novembre 2001 portant recommandation sur la diffusion de données personnelles sur internet par les banques de données de jurisprudences. Cette délibération recommande que « les éditeurs de base de données de décisions de justice librement accessibles sur des sites internet devaient s’abstenir, dans le souci du respect de la vie privée des personnes physiques concernées et de l’indispensable droit à l’oubli, d’y faire figurer le nom et l’adresse des parties au procès ou des témoins ».

 

Cette recommandation pourrait, par extension, être opposée (sous conditions) aux éditeurs de presse dans la mesure où, dans les articles demeurant en ligne sont mentionnés les faits à l’origine du procès d’Assises, la juridiction amenée à se prononcer, les noms des parties, des témoins et de la victime, ainsi que la teneur de la sanction prononcée. Il est ainsi envisageable de rapprocher les obligations incombant aux éditeurs de base de données de ce qui concerne les éditeurs de presse pour de tels articles.