• Français -fr 

Droit des logiciels

Médecins : comment préserver votre e-réputation

Il n’est jamais agréable de découvrir, sur Internet, des propos désagréables postés par un patient mécontent. Ca l’est encore moins lorsque rien ne justifie, au vu des actes effectués par le praticien, une telle attitude ou, même parfois, lorsque les commentaires sont le fait de médecins concurrents.

Face à ce risque, comment s’organiser pour préserver sa réputation en ligne? Vous trouverez ci-dessous quelques conseils, non exhaustifs, et qui devront être adaptés à chaque cas.

Premier conseil : faire de la veille (sur les principaux moteurs de recherche, en tapant ses nom et prénom, sur les réseaux sociaux, en créant un compte permettant, le cas échéant, de répondre directement aux propos gênants). Cette vigilance régulière permet également de s’assurer qu’il n’a pas été créé, sans votre accord, de fiche vous concernant sur des outils tels que « Google my Business ».

Deuxième conseil : conserver la trace des messages, commentaires ou propos litigieux en les faisant, le cas échéant, constater par un huissier de justice. Ca pourra servir en cas de contentieux judiciaire.

Troisième conseil : réagir vite. En effet, le délai de prescription en matière d’infractions relevant du droit de la presse (injures, diffamation…) est de 3 mois à compter de la publication! Néanmoins, il faut conserver à l’esprit que, parfois, la meilleure défense peut être le silence, afin de laisser « le soufflet » retomber.

Retrouvez plus de détails dans le guide pratique publié par l’Ordre national des Médecins pour « préserver sa e-réputation ».

Matinale « Documentation RGPD »

Nous avons réuni ce matin, autour d’un petit-déjeuner, des juristes et DPO pour un échange convivial sur la documentation à constituer dans le cadre de la compliance RGPD. Registre, LIA, gouvernance, traçabilité des consentements, politique de sécurité des données… ces différents thèmes, et bien d’autres, ont été abordés afin de tenter d’identifier les outils et meilleures pratiques à mettre en oeuvre.

Nous interrompons notre programme de matinales durant l’été, retrouvez-nous dès la rentrée avec de nouvelles thématiques d’actualité!

Droit des robots

La revue de la Gendarmerie Nationale a consacré un hors-série au Droit des Robots. Des analyses intéressantes sur les voitures connectées et / ou autonomes notamment.

Retrouvez également notre précédent article consacré aux « Enjeux juridiques de l’IA ».

APB : la CNIL met en demeure le ministère!

La plate-forme Admission Post-Bac (APB) est bien connue des élèves de terminale. C’est sur celle-ci que sont recueillis les voeux des candidats à une admission en première année d’une formation post-baccalauréat.

Elle est perçue par bon nombre de ses utilisateurs comme « injuste » et « angoissante ».

La Commission Nationale de l’Informatique et des Libertés (CNIL) a été saisie, en 2016, d’une plainte à l’encontre de cette plate-forme. En cause : l’utilisation, sans intervention humaine, d’un algorithme, pour déterminer les propositions d’affectation faites aux candidats.

L’article 10 de la loi « Informatique et Libertés » dispose en effet qu’aucune « décision produisant des effets juridiques à l’égard d’une personne ne peut être prise sur le seul fondement d’un traitement automatisé de données destiné à définir le profil de l’intéressé ou à évaluer certains aspects de sa personnalité ».

En l’espèce, la plate-forme APB repose sur un algorithme qui établit un profil des élèves à partir de trois critères d’importance décroissante, à savoir leur académie de rattachement, l’ordre des vœux qu’ils ont formulés et leur situation de famille.

Les candidats se trouvant dans une situation identique se voient attribuer par l’algorithme un nombre aléatoire permettant de les classer.

Le traitement APB adresse ensuite automatiquement aux candidats, à partir du classement effectué par l’algorithme, une proposition de formation. Les établissements ne disposent d’aucune maîtrise sur l’affectation finale proposée par celui-ci.

Dans sa mise en demeure adressée le 30 août 2017 au Ministère, la CNIL prend ainsi l’exemple d’un étudiant dont la candidature ne serait pas retenue pour une formation non sélective de son choix, du fait de la position qui lui a été attribuée par l’algorithme dans le classement. Ce candidat ne pourra intégrer cette formation par un autre moyen.

La CNIL retient ainsi « qu’une décision produisant des effets juridiques à l’égard des candidats est prise sur le seul fondement du traitement APB dès lors que celui-ci détermine les formations post-baccalauréat auxquelles ils peuvent s’inscrire. »

Aucun réexamen de la décision finale prise sur le seul fondement du traitement APB n’est effectué au vu des éléments fournis par les candidats souhaitant contester les décisions prises à leur égard.

Dans ces conditions, la CNIL retient que « les propositions d’affectation auprès de formations non sélectives dans l’enseignement supérieur s’effectuent sur la base d’un traitement entièrement automatisé permettant de déterminer les profils des candidats et n’étant assorti d’aucune intervention humaine et manuelle. »

Considérant que de tels faits constituent un manquement aux dispositions de l’article 10 précité, la CNIL a mis en demeure le Ministère de se mettre en conformité avec la loi  dans un délai de trois mois.

La réforme de la plate-forme, annoncée récemment, devra tenir compte de cette contrainte…

Votre traitement de données relève-t-il du « profilage » au sens du RGPD ?

L’entrée en application le 25 mai 2018 du Règlement Général concernant la Protection des Données (RGPD, Règlement UE 2016/679 )nous oblige à revoir nos pratiques en matière de traitement des données personnelles. Le profilage en est une illustration.

Le profilage de données fait l’objet d’un encadrement juridique plus strict que d’autres traitements en terme, par exemple, d’information des personnes physiques, d’étude d’impact à réaliser pour le responsable de traitement…

A ce titre, l’article 4-4° du RGPD définit le profilage comme : « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique ».

En conséquence, les traitements qui ne sont pas automatisés (c’est-à-dite intervention humaine) sont donc exclus de la notion de profilage.

Le considérant 24 du Règlement indique que le profilage permet de prendre des décisions concernant une personne physique OU d’analyser ou prédire ses préférences, ses comportements ou ses dispositions d’esprit.

L’article 22 du Règlement dispose que : « la personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire ».

Concernant la notion de « traitement automatisé produisant des effets juridiques concernant la personne physique ou l’affectant de manière significative », le considérant 71 du Règlement donne l’exemple du rejet automatique d’une demande de crédit en ligne ou des pratiques de recrutement en ligne, sans aucune intervention humaine.

En outre, il indique que ce type de traitement inclut le profilage, dès lors que ce dernier produit des effets juridiques concernant la personne en question ou qu’il l’affecte de façon similaire, de manière significative.

Toutefois, le cadre juridique n’est pas définitif, le G29 (groupe européen réunissant les autorités nationales en matière de protection des données) n’a pas encore publié ses lignes directives, celles publiées à ce jour relatives au règlement concernent le Data Privacy Officer, la portabilité, l’autorité nationale chef de file et l’analyse d’impact.

De même, la CNIL indique que ces lignes directrices sont « en cours d’élaboration » et devraient être publiées au second semestre 2017. Nous aurons donc bientôt plus de précision sur cette notion de profilage.

En mars 2017, la CNIL avait consulté les professionnels afin de recueillir leurs questions et leurs difficultés d’interprétation, notamment sur le profilage, afin d’orienter le G29. Elle a publié sa synthèse des contributions le 23 mai dernier.  Il ressort de cette synthèse les demandes suivantes de la part des professionnels :

  • Une demande de définitions plus précises de certaines notions abordées dans les articles du Règlement européen relatifs au profilage (profilage, impact significatif, traitement automatisé etc.) ;
  • Une interrogation sur l’étendue des droits des personnes, notamment vis-à-vis du degré de précision de l’information à fournir à la personne concernée ainsi que de son consentement ;
  • Une argumentation visant à prouver la nécessité du profilage dans certains secteurs d’activité, notamment en matière de marketing (publicité ciblée), du secteur public et dans le domaine des ressources humaines.

Il convient de rester attentif à cette notion particulièrement sensible dans le BtoC.

Droit d’accès aux données personnelles par les héritiers d’une personne décédée

Mme A.B. avait fait usage, auprès de la Mutuelle de sa mère décédée, d’une demande de droit d’accès aux informations concernant cette dernière, en application de l’article 39 de la loi Informatique et Libertés du 6 janvier 1978.

Cette demande était présentée en marge d’une procédure judiciaire relative à un accident de la circulation, engagée par la mère, décédée entre temps.

Estimant qu’il n’avait pas été répondu à sa demande, Mme A.B a adressé une plainte auprès de la CNIL. Celle-ci a été rejetée par la Commission, qui a estimé que le droit d’accès est un droit personnel qui ne se transmet pas aux héritiers.

Mme A.B. demandait l’annulation de cette décision devant le Conseil d’Etat.

Le Conseil d’Etat a estimé que « lorsque la victime a engagé une action en réparation avant son décès ou lorsque ses héritiers ont ultérieurement eux-mêmes engagé une telle action, ces derniers doivent être regardés comme des  » personnes concernées  » au sens de l’article 39 de la loi précitée pour l’exercice de leur droit d’accès aux données à caractère personnel concernant le défunt, dans la mesure nécessaire à l’établissement du préjudice que ce dernier a subi en vue de sa réparation et pour les seuls besoins de l’instance engagée ».

Il a, dès lors, été fait droit à la demande d’annulation du refus opposé par la CNIL.

Conseil d’État, 10ème – 9ème ch. réunies, décision du 7 juin 2017

CNIL : programme de contrôle 2017

 

La CNIL a dévoilé son programme de contrôle pour l’année 2017. Rappelons que les thématiques figurant dans ce programme représentent, en général, environ un quart de l’activité totale de la Commission.Les 3 thématiques retenues pour l’année 2017 sont les suivantes :

  • La confidentialité des données de santé traitées par les sociétés d’assurance : Rappelons qu’un pack de conformité a été publié par la CNIL en novembre 2014, qui encadre notamment le traitement de données de santé au regard de l’obligation de secret médical.
  • Les fichiers de renseignement. Il s’agit notamment des fichiers de prévention des atteintes à la sécurité publique autorisés par décret et mis en œuvre par les services du ministère de l’Intérieur, dans lesquels ont été versés les anciens dossiers des renseignements généraux : PASP (Prévention des Atteintes à la Sécurité Publique), GIPASP (Gestion de l’Information et Prévention des Atteintes à la Sécurité Publique) et EASP (Enquêtes Administratives liées à la Sécurité Publique).
  • Les télévisions connectées (« Smart TV »). Les informations recueillies par ces dispositifs sont en effet susceptibles de révéler de nombreux aspects de la vie privée des utilisateurs, en particulier leurs habitudes de vie.

 

La CNIL envisage également de continuer à entretenir une activité élevée de contrôle des dispositifs de vidéosurveillance et de vidéoprotection.