• Français -fr 

vie privée

La biométrie et le droit, Biometrics Alliance Initiative Summit, Euratechnologies, 28/10/14, Lille

J’ai eu le plaisir de participer à la 1ère journée d’étude sur l’évaluation et les usages, l’implantation et l’environnement juridique des technologies biométriques de Biometrics Alliance Initiative, le 28 octobre dernier, à Euratechnologies.

Le thème principal abordé était : « Droit et biométrie : une introduction sous l’angle des objets connectés et des données de santé« .

Objets connectés

Je suis intervenue hier au Biometrics Initiative Alliance Summit, qui avait lieu à Euratechnologies, sur le sujet des objets connectés.

Voici une synthèse des thèmes abordés :

Selon les projections courantes, le monde devrait compter, d’ici 2020, plus de 26 milliards d’objets connectés, qui constituent, ensemble, l’internet des objets. Il s’agira probablement de la troisième vague de croissance d’internet.

Le terme « internet des objets » renvoie en effet à la notion générale d’objets (électroniques ou d’usage courant) lisibles, reconnaissables, adressables, localisables ou contrôlables à distance via internet (résolution du parlement européen du 15 juin 2010).

L’internet des objets, c’est la perspective de mettre en réseau des milliards de machines capables de dialoguer et d’interagir par le biais de technologies sans fil.

De nombreuses applications existent déjà :

  • les bracelets connectés, de type fitbit, qui permettent de suivre son activité physique et ses paramètres de santé (rythme cardiaque, rythme du sommeil, calories ingérées etc.)

  • la station Mother, qui repose sur l’utilisation de différents capteurs, appelés cookies mesurant 5 cm et pèsant 6g et se fixant sur tout objet afin de le transformer en objet connecté et suivre ainsi leurs déplacements -la finalité est, par exemple, de s’assurer que les enfants ont bien, en l’absence des parents, pris leurs médicaments, de savoir si le réfrigérateur a été ouvert …),

  • la e-cigarette smokio, permettant au fumeur de mesurer sa consommation de nicotine, l’impact sur sa santé par rapport à la consommation d’une cigarette classique et les économies réalisées,

  • les masques utilisés pour traiter les apnées du sommeil.

Ces objets connectés traitent des données personnelles, parfois sensibles. Et encore n’en sommes nous qu’au premier stade de développement des objets connectés. L’inventivité des créateurs nous réserve probablement de nombreuses surprises.

Les enjeux économiques, éthiques, sociaux et juridiques attachés à ces perspectives sont colossaux.

D’un point de vue juridique, les principaux enjeux peuvent être présentés de la manière suivante :

Le premier enjeu est lié à la question de l’utilisation qui est faite des données ainsi massivement collectées et du rapprochement des données en provenance de différents terminaux. On peut ainsi aisément imaginer qu’un bracelet connecté comprenant un accéléromètre soit ensuite utilisé pour déterminer les habitudes de conduite du porteur du bracelet. Le même bracelet décomptant le nombre de marches gravies, couplé au rythme cardiaque, pourrait également permettre à un employeur, ou à un assureur, d’avoir des informations sur l’état de santé de la personne concernée.

Les différentes données issues des objets connectés utilisés (par exemple le poids tiré d’une balance connectée, le rythme tiré d’un bracelet de coaching et l’heure à laquelle les volets de la maison connectées sont abaissés) et regroupés sur des plates-formes, donnent des indications précieuses sur les habitudes de vie des personnes et accentuent le risque d’atteinte à la vie privée.

Le deuxième enjeu correspond à un enjeu sécuritaire. Dans le domaine des objets connectés, la sécurité ne doit pas se limiter aux terminaux eux-mêmes mais doit s’étendre aux moyens de communication et aux infrastructures de stockage. En effet, à l’heure actuelle, la priorité est donnée, pour les objets connectés, à la maîtrise des coûts et à l’autonomie physique de l’appareil. Aussi, il est rare que les capteurs puissent établir une connexion cryptée, ce qui les rend particulièrement vulnérables aux attaques et pose un réel problème en terme d’atteinte à la vie privée.

Cette question fait écho aux craintes, à l’origine de la mise en place, il y a quelques années, d’un cadre juridique spécifique propre à l’hébergement de données de santé. S’agissant des objets connectés on l’a vu, ils collectent d’ores et déjà et ont vocation probablement à collecter de plus en plus de données de santé. Leur hébergement doit donc être confié à un hébergeur agrée, même si un débat peut naître sur la notion de donnée de santé.

La notion de donnée de santé n’est pas définie dans la LIL. Pour l’appréhender, il est possible, tout d’abord, de se référer à un arrêt de la CJUE (arrêt Landqvit) « il convient de donner à l’expression « données relatives à la santé une interprétation large de sorte qu’elle comprenne des informations concernant tous les aspects, tant physiques que psychiques, de la santé d’une personne. »

Le projet de règlement européen définit, quant à lui, les « données concernant la santé » comme « toute information relative à la santé physique ou mentale d’une personne, ou à la prestation de services de santé à cette personne ».

Cette notion ne se confond pas avec celle de biométrie, qui regroupe l’ensemble des techniques informatiques permettant d’identifier un individu à partir de ses caractéristiques physiques, biologiques, voire comportementales. Les données biométriques ont la particularité d’être uniques et permanentes.

Il semble en réalité que la meilleure façon de définir la notion de donnée de santé repose sur une approche par la finalité, qui est celle retenue par l’AFCDP. C’est à dire qu’une donnée est rarement une donnée de santé en tant que telle. Elle le devient en fonction de sa finalité, médicale ou sanitaire.

Un autre enjeu important est lié à la question de la responsabilité. Différents acteurs interviennent en effet : le fabricant de l’objet connecté, les réseaux sociaux sur lesquels les détenteurs d’objets connectés partagent aisément leurs performances, sportives par exemple, l’éditeur qui propose la plate-forme agrégeant les données, les développeurs d’applications tierces (tels que par exemple un assureur, qui offrirait une prime d’assurance allégée à la personne qui s’engagerait à courir trois fois par semaine et à justifier de ses performances via son bracelet connecté), les courtiers qui traitent les données etc.

Le G29 a rendu, en septembre 2014, un avis intéressant sur les objets connectés, dans lequel il préconise, notamment :

  • que soit réalisée, préalablement à tout lancement d’une nouvelle application dans l’internet des objets, une étude d’impact sur la vie privée ou « Privacy Impact Assessments (PIA) »,

  • que soit laissée aux personnes la possibilité d’utiliser les objets connectés de manière anonyme (par l’usage par exemple d’un pseudonyme),

  • que la confidentialité par défaut soit appliquée à tout objet connecté ainsi que le Privacy by Design).

Il s’agit ensuite, ni plus ni moins que d’appliquer les principes régissant le droit des données personnelles à savoir :

  • informer les personnes concernées des différentes finalités du traitement de données effectuées. Cette information peut être, selon le G29, délivrée par exemple au moyen d’un flashcode apposé sur l’objet lui-même.

  • indiquer auxdites personnes à qui seront, de façon exhaustive, communiquées les données,

  • recueillir leur consentement préalable en cas de collecte de données sensibles,

  • mettre en place les formalités préalables adaptées auprès de la CNIL (demande d’autorisation ou autre),

  • permettre aux personnes concernées d’exercer leur droit d’accès et de suppression des données qui les concernent,

  • prendre les mesures propres à assurer la sécurité et la confidentialité des données traitées.

Viviane Gelles, Avocat

Cabinet JURISEXPERT

Comment protéger l’interface d’une application mobile ?

Devant l’essor des Smartphones, les acteurs du web développent de nombreuses interfaces afin de rendre plus conviviale et plus personnelle la relation avec leurs clients, abonnés ou usagers.

Se pose la question de la protection de la « home screen » de l’application.

Plusieurs outils de propriété intellectuelle peuvent être envisagés

 1.                  Sur la protection par un titre de Dessin et Modèle

1.1 – Sur les conditions de la protection

Un Dessin et Modèle est défini de la manière suivante par l’article 3 du Règlement sur les Dessins et Modèles communautaires :

Il protège « l’apparence d’un produit ou d’une partie de produit que lui confèrent, en particulier, les caractéristiques des lignes, des contours, des couleurs, de la forme, de la texture et/ou des matériaux du produit lui-même et/ou de son ornementation ».

Ainsi, le Dessin et Modèle a vocation à protéger l’apparence d’un produit, c’est-à-dire son aspect extérieur.

L’apparence doit être concrétisée à travers un objet industriel ou artisanal ou à travers une partie d’un tel objet.

La protection est donc conditionnée à l’existence d’un produit.

En outre, l’article L511-1 du Code de la propriété intellectuelle exclut expressément de la protection les programmes d’ordinateur.

Toutefois, l’interface d’une application mobile peut être protégée par un titre de Dessins et Modèles.

En effet, la 9ème édition de la classification internationale de Locarno pour les Dessins et Modèles industriels vise : « les symboles graphiques et logos, motifs décoratifs pour surfaces, ornementations ».

Dans cette classe, peuvent donc être désignés, en tant que Dessins et Modèles : des graphismes, des logos, des motifs décoratifs pour surfaces, des présentations, des symboles graphiques.

Au sein de la base Dessins et Modèles de l’OHMI, ont été déposés à titre de Dessins et Modèles, par exemple : des écrans d’affichage et icônes ; des interfaces graphiques de logiciels.

En conséquence, peut être déposé, à titre de Dessins et Modèles et admis par l’OHMI, un modèle d’interface.

Toutefois, la validité de ce Dessin et Modèle pourrait être remise en cause s’il était considéré que ce Dessin et Modèle protège effectivement l’apparence d’un produit.

1.2 – Sur les formalités d’enregistrement

Les formalités pour un dépôt de Dessin et Modèle communautaire (à savoir protégeant l’ensemble des pays de l’Union Européenne) sont précisées ci-après.

Pour pouvoir bénéficier d’une protection, le Dessin et Modèle communautaire doit être innovant et présenter un caractère individuel (il doit être différent des produits existants).

Par ailleurs, pour protéger un Dessin et Modèle, deux options sont ouvertes :

–          Soit la protection du Dessin et Modèle auprès de l’OHMI avant de le commercialiser et l’obtention d’un titre de Dessin et Modèle communautaire enregistré (DMCE),

–          soit la commercialisation directe du Dessin et Modèle sans l’enregistrer en revendiquant le droit sur les Dessins ou Modèles communautaires non enregistrés (DMCNE).

En conséquence, le fait de rendre public le Dessin ou Modèle (encore appelé la divulgation) est crucial en terme de protection.

Concernant la durée de la protection, elle diffère selon qu’il s’agisse d’un DMCE ou d’un DMCNE.

–          Un DMCE est initialement valide pour une période de 5 ans à compter de la date de dépôt et peut être renouvelé tous les 5 ans pendant une période maximale de 25 ans.

–          Un DMCNE est enregistré et protégé pour une période de 3 ans à compter de la date de sa première mise à disposition du public sur le territoire de l’Union Européenne et au terme de cette période, la protection ne peut être prolongée.

Ainsi, tout dépendra selon la divulgation de l’interface déjà opérée ou non.

2.         La protection par le droit d’auteur

S’agissant d’une création artistique, l’interface peut également bénéficier de la protection par le droit d’auteur.

En effet, l’article L111-1 du Code de la propriété intellectuelle dispose que « L’auteur d’une œuvre de l’esprit jouit sur cette œuvre, du seul fait de sa création, d’un droit de propriété incorporelle exclusif et opposable à tous (…).

Pour qu’une création soit protégée par le droit d’auteur, la jurisprudence exige que cette création soit originale.

En conséquence, dans la mesure où la création de l’interface est originale, à savoir porte l’empreinte de son auteur, elle bénéficie de facto de cette protection.

La protection par le droit d’auteur ne nécessite donc pas de dépôt de titre et permet de protéger une création originale.

Elle permet, ensuite, d’interdire à quiconque de reproduire une création qui porterait atteinte à ces droits.

3.           La protection par le droit de la concurrence déloyale

Si un tiers venait à reproduire à l’identique une interface similaire à celle revendiquée et que le créateur dispose de preuves pour démontrer que ce tiers à chercher à lui nuire, à le copier délibérément et à profiter de ses efforts, éventuellement, une action en concurrence déloyale et en parasitisme économique peut être envisagée.

En conclusion, plusieurs protections sont donc offertes au créateur d’interface pour défendre ses droits sur cette interface.

 

 

Utilisez votre droit à l’oubli numérique !

Article paru sur Direct Matin, n° 2142 du 2 septembre 2014.

LIRE L’ARTICLE 

Le droit à l’oubli numérique

Fâché de constater qu’une requête effectuée sur ses noms et prénoms dans le moteur de recherche GOOGLE présentait des liens vers deux pages d’un quotidien paru en 1998 et qui le visait dans une affaire de vente aux enchères immobilières, liée à une saisie pratiquée en recouvrement de dettes de sécurité sociale, un ressortissant espagnol avait introduit[1], auprès de l’Office espagnol chargé de la protection des données personnelles, une réclamation à l’encontre de l’éditeur de ce titre de presse ainsi qu’à l’encontre des sociétés GOOGLE SPAIN et GOOGLE INC.

Il demandait que les pages ainsi indexées soient supprimées afin que ses données personnelles n’y apparaissent plus et qu’elles cessent d’apparaître dans les résultats de recherche, au motif que la saisie dont il avait fait l’objet avait été entièrement réglée depuis de nombreuses années et que la mention de celle-ci était désormais dépourvue de toute pertinence.

GOOGLE a introduit en recours contre la décision de l’Autorité Espagnol de protection des données faisant droit à cette demande.

Saisie du dossier, la juridiction espagnole compétente a soulevé la question de savoir quelles obligations incombaient aux exploitants de moteurs de recherche pour la protection des données personnelles et estimé que la réponse à cette problématique dépendait de l’interprétation de la Directive 95/46 relative à la protection des données à caractère personnel, dans la mesure où ces technologies étaient apparues après la publication de celle-ci.

Elle a donc décidé de surseoir à statuer et de poser à la Cour de Justice de l’Union Européenne la question préjudicielle suivante : « le droit d’obtenir l’effacement et le verrouillage des données à caractère personnel et celui de s’opposer à ce qu’elles fassent l’objet d’un traitement doivent-ils être interprétés comme permettant à la personne concernée de s’adresser aux moteurs de recherche afin de faire obstacle à l’indexation des informations concernant sa personne, publiée sur des sites web de tiers, en invoquant sa volonté que ces informations ne soient pas connues des internautes lorsqu’elle considère que ces informations sont susceptibles de lui porter préjudice ou lorsqu’elle désire que ces informations soient oubliées, alors même qu’il s’agirait d’informations publiées légalement par des tiers ? ».

L’article 12 b de la Directive prévoit que « les États membres garantissent à toute personne concernée le droit d’obtenir du responsable du traitement : […]

b) la rectification, l’effacement ou le verrouillage des données dont le traitement n’est pas conforme à la présente directive, notamment en raison du caractère incomplet ou inexact des données ; […] ».

La Commission Européenne estimait que les droits ainsi conférés aux personnes concernées n’étaient susceptibles d’être mis en œuvre qu’à la condition que le traitement en question soit incompatible avec la Directive ou pour des raisons prépondérantes et légitimes tenant à leur situation particulière et non, pas au simple motif qu’elles estiment que ce traitement est susceptible de leur porter préjudice ou qu’elles souhaitent que les données faisant l’objet dudit traitement tombent dans l’oubli.

La Cour de Justice relève, pour sa part, qu’une telle incompatibilité peut résulter, non seulement, du fait que ces données sont inexactes mais, en particulier, aussi du fait qu’elles sont inadéquates, non pertinentes ou excessives au regard des finalités du traitement, qu’elles ne sont pas mises à jour ou qu’elles sont conservées pendant une durée excédant celle nécessaire, à moins que leur conservation s’impose à des fins historiques, statistiques ou scientifiques.

Partant de là, le raisonnement mené par la Cour repose sur l’idée qu’un traitement initialement licite de données exactes peut devenir, avec le temps, incompatible avec la Directive lorsque ces données s’avèrent, ensuite, comme n’étant plus nécessaires au regard des finalités pour lesquelles elles avaient collectées ou traitées.

La Cour de Justice de l’Union Européenne invite, par conséquent, la juridiction à l’origine de sa saisine à examiner si la personne concernée avait un droit à ce que l’information relative à sa personne ne soit plus, au stade actuel, liée à son nom par une liste de résultat, affichée à la suite d’une recherche effectuée à partir de son nom, en précisant qu’un tel droit ne présuppose pas que l’inclusion d’informations en question, dans la liste de résultat, cause un préjudice à la personne concernée.

A cet égard, il sera rappelé les dispositions des articles 7 et 8 de la Charte des droits fondamentaux de l’Union Européenne[2] prévoyant que « toute personne a droit au respect de sa vie privée et familiale, de son domicile et de ses communications » outre son « droit à la protection des données à caractère personnel la concernant » impliquant que de tels « données doivent être traités loyalement, à des fins déterminés et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi. Toute personne a le droit d’accéder aux données collectées la concernant et d’en obtenir la rectification ».

Ces droits doivent être considérés comme prévalant non seulement sur l’intérêt économique de la société GOOGLE mais également sur l’intérêt du public à trouver l’information recherchée lors d’une requête portant sur le nom de la personne concernée.

Une telle prévalence sera, cependant, écartée lorsque des raisons particulières peuvent être invoquées telles que le rôle joué par la personne concernée dans la vie publique, ou encore lorsque l’ingérence dans ses droits fondamentaux serait justifiée par l’intérêt prépondérant du public à avoir accès à l’information en question.

En l’absence de telles raisons particulières dans le litige qui lui était soumis par la juridiction espagnole, la Cour de Justice de l’Union Européenne a considéré, eu égard à la sensibilité des informations contenues dans les annonces litigieuses pour la vie privée du requérant et au fait que leur publication initiale avait été effectuée seize ans auparavant, que ladite personne justifiait d’un droit à ce que ces informations ne soient plus liées à son nom sur internet.

C’est à la suite de cette décision que la société GOOGLE a mis en place un formulaire[3] disponible sur internet permettant à tout internaute européen de faire usage de ce qui semble désormais être consacré comme un véritable droit à l’oubli numérique.

Le formulaire ainsi proposé à rencontrer un franc succès puisque que, moins deux semaines après sa mise en ligne, plus de 40 000 demandes avaient été présentées au moteur de recherche.

La société américaine a, à cette fin, mis en place une équipe dédiée examinant les demandes qui lui sont soumises.

Les premières applications mettant en œuvre ce droit à l’oubli ont, toutefois, permis de constater que la suppression par GOOGLE de liens litigieux s’accompagnait d’une information, donnée par le moteur de recherche, de la suppression ainsi effectuée.

La CNIL relève, d’ores et déjà, que le formulaire proposé par la firme californienne ne concerne que les URL, excluant ainsi les services mis en œuvre par GOOGLE, tels que GOOGLE SUGGEST.

Elle regrette également que l’accès au formulaire soit difficile, comme c’est d’ailleurs le cas pour la plupart des formulaires en ligne proposés par les géants du net.

En parallèle, le groupe de l’article 29 regroupant les CNIL européennes a décidé, lors de sa réunion plénière des 3 et 4 juin 2014, de confier à un groupe de travail l’analyse des conséquences de l’arrêt de la Cour de Justice de l’Union Européenne.

Il s’agira, notamment, de définir des lignes directrices permettant aux Autorités Européennes de protection des données d’adopter une approche commune dans la mise en œuvre pratique de l’arrêt ainsi rendu, afin d’envisager des réponses harmonisées aux plaintes qui seront reçues par lesdites Autorités suite à des demandes d’effacement restées infructueuses.


[1]           C.J.U.E., 13 mai 2014, Affaire C-131/12, GOOGLE SPAIN et GOOGLE INC c/ AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

[2]              2000/C 354/01

Drones : responsabilité pénale, vie privée et données personnelles

Notre article est paru dans la revue de l’Expertise, du mois d’avril 2014, numéro 390.

Lire l’article

La CJUE, Google et le droit à l’oubli numérique

La CJUE, dans un arrêt intéressant rendu le 13 mai 2014 (http://curia.europa.eu/juris/document/document.jsf?text=&docid=152065&pageIndex=0&doclang=fr&mode=req&dir=&occ=first&part=1&cid=256489), a considéré que le moteur de recherche Google effectuait un traitement de données à caractère personnel au sens de la loi Informatique et Libertés du 6 janvier 1978 en indexant des articles accessibles à partir d’une requête formulée par un internaute.

L’affaire avait été portée devant la justice espagnole par un internaute qui reprochait au géant américain de n’avoir pas cessé le référencement d’articles de presse évoquant ses dettes.

La CJUE retient que, pour fournir aux internautes son service de recherche, la société Google analyse et stocke de nombreuses pages Web sur lesquelles figurent des données à caractère personnel (telles que des images ou, comme ici, des articles de presse mentionnant les nom et prénom d’une personne).

Dès lors qu’il traite des données personnelles, le moteur de recherche se trouve placé dans le champ d’application de la loi Informatique et Libertés ou plus largement, au niveau communautaire, de la directive relative aux données personnelles. Il lui appartient donc de respecter les droits des personnes concernées et notamment le droit d’opposition qui leur est reconnu. En effet, si l’indexation est, au départ, acceptée, il n’en sera plus de même lorsque les données apparaîtront inadéquates, excessives ou auront perdu de leur pertinence, ce qui sera notamment le cas avec le temps qui passe. C’est la raison pour laquelle cette décision peut être comprise comme une forme de consécration du droit à l’oubli numérique.

Ayant posé ce principe, la CJUE renvoie cependant le soin à la juridiction espagnole, à l’origine de la question préjudicielle posée, le soin de s’assurer, dans chaque cas, de l’équilibre entre liberté d’expression et d’information d’une part et droit à la vie privée d’autre part.