• Français -fr 

vie privée

Fichier STADE : annulation partielle par le Conseil d’Etat

Le Conseil d’Etat a rendu, le 21 septembre 2015, sa décision relative au fichier STADE. Elle intervient après une première décision, prise en référé en mai dernier, suspendant la mise en œuvre du fichier en raison des doutes sérieux affectant sa légalité.

Différentes associations de supporters demandaient au Conseil d’Etat d’annuler pour excès de pouvoir l’arrêté du 15 avril 2015 du ministre de l’intérieur portant autorisation d’un traitement automatisé de données à caractère personnel dénommé  » fichier STADE « .

Rappelons qu’aux termes de l’article 8 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales,  » Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance.  Il ne peut y avoir ingérence d’une autorité publique dans l’exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu’elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l’ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d’autrui « .

De même, l’article 1er de la loi Informatique et Libertés rappelle que   » L’informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. « 

En pratique, lorsqu’un traitement de données à caractère personnel est effectué de manière automatisée comme c’était le cas dans le fichier STADE, il ne peut porter que sur des données « adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs «  . Il n’est légalement autorisé que s’il répond à des finalités légitimes et si le choix, la collecte et le traitement des données sont effectués de manière adéquate et proportionnée au regard de ces finalités.

Le fichier STADE contesté avait notamment pour finalité de prévenir les troubles à l’ordre public, les atteintes à la sécurité des personnes et des biens ainsi que les infractions susceptibles d’être commises à l’occasion des manifestations sportives et des rassemblements en lien avec ces manifestations. Il devait également permettre de faciliter la constatation des infractions commises dans ce cadre et la recherche de leurs auteurs.

Il devait permettre de traiter des données relatives aux supporters, y compris les mineurs, de manière assez extensive. Les données relatives aux blogs et réseaux sociaux en lien avec les groupes de supporters d’appartenance et celles relatives aux liens entretenus par les supporters étaient, notamment, dans le viseur des associations requérantes.

Le Conseil d’Etat a rendu une décision nuancée, en n’annulant que deux points, certes importants, de l’arrêté.

Il s’agit tout d’abord de la possibilité qui était laissée aux services de police et de gendarmerie d’effectuer des rapprochements entre ce fichier et celui de la prévention des atteintes à la sécurité publique, qui ne sera désormais plus légale.

Il s’agit ensuite de la transmission des informations du fichier STADE aux associations et sociétés sportives, ainsi qu’aux fédérations sportives agréées. Dans la mesure où celles-ci n’exercent pas une mission relative aux finalités poursuivies par le  » fichier STADE  » , cette faculté est désormais annulée. 

Dès l’annonce de cet arrêt, le député Larrivé a déposé une proposition de loi renforçant la lutte contre le hooliganisme dont l’article 1er autorise « les organisateurs de ces manifestations à établir un fichier de données pertinentes relatives à ces personnes [susceptibles de porter atteinte à la sécurité des biens et des personnes], et à les conserver pendant une durée maximale de trois ans ».

Umbrella Agreement : un accord trouvé sur le transfert de données personnelles aux USA

Après quatre années de discussions entre l’Union Européenne et les Etats-Unis, un accord (dit « Umbrella Agreement ») a finalement été trouvé sur la question du transfert et du traitement des données personnelles en matière policière et judiciaire pénale.

Cet accord couvre toutes les données, telles que les noms, adresses ou condamnations prononcées, susceptibles d’être échangées entre l’UE et les USA dans le cadre de la prévention, de la détection, de la recherche et des poursuites judiciaires, notamment dans un contexte de lutte contre le terrorisme. L’UE souhaitait garantir un transfert et un traitement de ces données conformément à la loi et aux garanties apportées aux citoyens par le droit européen, notamment en ce qui concerne la protection de leur vie privée. Il s’agira également de faire bénéficier les européens de droits similaires à ceux qui sont consentis aux citoyens américains. Jean-Claude Juncker avait ainsi déclaré à ce sujet  “The United States must […] guarantee that all EU citizens have the right to enforce data protection rights in U.S. courts, whether or not they reside on U.S. soil. Removing such discrimination will be essential for restoring trust in transatlantic relations”.

L’accord conclut prévoit la limitation des raisons pour lesquelles les données personnelles peuvent être utilisées aux hypothèses ci-dessus rappelées, à l’exclusion de toute autre. Il soumet également le transfert à l’autorisation préalable de l’autorité nationale compétente concernée (la CNIL par exemple pour ce qui concerne la France). L’un des principaux apports de l’accord est également de limiter la durée de conservation des données obtenues dans ce cadre, en tenant compte de l’impact de celle-ci sur les droits et intérêts des personnes concernées. Ces dernières bénéficieront en outre d’un droit d’accès et de correction le cas échéant sur leurs données. Enfin, un mécanisme de notification à l’autorité compétente des failles de sécurité relevées sera mis en place.

Rappelons également que l’accord présente l’avantage de permettre à l’avenir, sous réserve d’un vote du Congrès américain, aux européens de saisir la justice américaine en cas d’utilisation abusive de leurs données personnelles aux Etats-Unis.

L’adresse IP : une donnée à caractère personnel?

La Cour d’appel de Rennes a eu l’occasion de se prononcer sur la question, dans une décision rendue le 28 avril 2015.

Elle a retenu que l‘adresse IP, constituée « d’une série de chiffres, n’est pas une donnée même indirectement nominative », dès lors qu’elle ne se rapporte qu’à un ordinateur et non à l’utilisateur. Elle retient également que les  » adresses IP peuvent être attribuées à des personnes morales ».

Cette décision va dans le même sens qu’un précédent émanant de la Cour d’appel de Paris qui avait retenu que l’adresse IP « ne constitue en rien une donnée indirectement nominative relative à la personne dans la mesure où elle ne se rapporte qu’à une machine, et non à l’individu qui utilise l’ordinateur pour se livrer à la contrefaçon » (CA Paris, 13e ch. corr., 15 mai 2007).

Pour autant, le débat n’est pas clos dans la mesure où la Commission nationale de l’informatique et des libertés (CNIL), comme le G29, continuent à penser que l’adresse IP « permet d’identifier tout ordinateur connecté au réseau (et donc la personne physique titulaire de la ligne) et ses heures de connexions » et doit, en conséquence, être considérée comme une donnée à caractère personnel (CNIL, délibération du 3 mai 2001 n° 01-018). En effet, il reste possible de faire le lien, par le biais du fournisseur d’accès à Internet, entre l’identité de l’abonné et l’adresse IP.

 

Cookies : les résultats des premiers contrôles effectués par la CNIL

La CNIL a diligenté, fin 2014, une série de contrôles sur place et en ligne, auprès d’éditeurs de sites web. Il s’agissait de vérifier le respect, par lesdits éditeurs, des dispositions résultant de la directive européenne dite  » paquet télécom  » qui prévoit que l’internaute doit être informé et donner son consentement avant que ne soient déposés sur son ordinateur certains cookies ou autres traceurs.

Elle vient de livrer un premier bilan de ses contrôles, à la suite desquels elle a adressé une vingtaine de mises en demeure. Il en ressort que les sites internet, de manière générale, n’informent pas suffisamment les internautes et ne recueillent pas leur consentement avant de déposer des cookies.

La CNIL en profite pour rappeler que « l’accord libre, spécifique et éclairé prévu par l’article 32 II de la loi informatique et Libertés implique :

  • une absence de dépôt de cookies ou autres traceurs lors de l’arrivée sur le site et tant que la personne n’a pas exprimé de choix ;
  • la mise à disposition d’outils d’opposition complets, efficaces, aisément utilisables

Une fois le consentement recueilli pour le dépôt d’un cookie répondant à une finalité donnée, le premier niveau d’information (bandeau) peut disparaître.

L’information des personnes via la rubrique dédiée (2ème niveau), doit rester aisément accessible, notamment pour leur offrir la possibilité de s’opposer à tout moment au suivi.

La durée du consentement dépend de celle du traceur concerné. La CNIL recommande une durée maximale de 13 mois à l’issue de laquelle le cookie doit être supprimé et le consentement renouvelé. »

Un conseil : se reporter à la recommandation de la CNIL en la matière.

Les cartes bancaires sans contact

De plus en plus de transactions quotidiennes se font désormais par le biais de cartes bancaires sans contact équipées de la technologie NFC (communication sans fil à courte distance). Au moyen de payer, le commerçant appose votre carte sur le terminal de paiement et… voilà. Vous n’avez plus à composer votre code confidentiel.

Ce moyen de paiement peut être utilisé pour les transactions d’un montant inférieur à 20 euros. Son utilisation est en principe plafonné à un montant cumulé des transactions effectuées, au delà duquel la saisie du code sera demandée.

Les établissements bancaires doivent informer leurs clients de cette fonctionnalité et leur permettre de la refuser, soit lors de la délivrance de la carte soit postérieurement. En cas de refus ou de coût associé facturé par l’établissement bancaire, il conviendra de saisir la CNIL d’une plainte ou le médiateur de la banque.

Cette fonctionnalité soulève des interrogations quant au respect de la vie privée des porteurs et à la sécurité de leurs données bancaires. En effet, les premières cartes sans contact émises en 2012 permettait, par l’intermédiaire de l’interface sans contact de la carte, de connaître le numéro de la carte, sa date d’expiration, le nom du porteur et l’historique des transactions. La CNIL avait recommandé de limiter les informations disponibles. Elle a été partiellement entendue puisque ne sont désormais plus accessibles le nom du porteur et l’historique des transactions. La CNIL continue néanmoins à réclamer, à l’instar de la Commission Européenne, que soit réalisée une analyse de l’impact de ces dispositifs sur la vie privée et que soit mis en place un mécanisme de chiffrement des échanges, de manière à rendre tout accès aux données impossible. 

En effet, à l’heure actuelle, les informations contenues dans la carte peuvent être récupérées très facilement grâce à un smartphone équipé de l’application adéquate et approché de la carte bancaire, à l’insu de son porteur : en quelques secondes sont récupérés le numéro de la carte, la date d’expiration et le nom de la banque.

En attendant le chiffrement, il est possible de s’équiper d’un étui isolant, bloquant l’accès à la technologie NFC qui équipe ces cartes sans contact.

vgelles@jurisexpert.net

Programme des contrôles CNIL 2015

Attention, si vous traitez des données à caractère personnel autour de ces thématiques, attendez-vous à des contrôles de la CNIL!

La Commission a en effet divulgué son programme annuel de contrôle pour 2015.

Voilà les thématiques retenues :

– le paiement sans contact,

– la gestion des risques psycho-sociaux (RPS) en entreprise,

– le Fichier National des Permis de Conduire mis en œuvre par le ministère de l’Intérieur,

– les objets connectés « bien-être et santé »,

– les outils de mesure de fréquentation des lieux publics,

– les  « Binding Corporate Rules » (BCR).

Les contrôles pourront être effectués en ligne, sur place, sur audition ou sur pièces.

Un conseil : préparez-vous!

vgelles@jurisexpert.net

Rumeurs sur internet, Interview, France 3, 15/03/15

Ci-après le lien vers mon interview diffusé sur France 3 le 15 mars 2015.

Blandine Poidevin – Journal Télévisé FR3 – 15 mars 2015

Le droit à l’image des personnes filmées, panorama de jurisprudence

L’utilisation des réseaux sociaux met la photographie et la vidéo au cœur de nos échanges. Se pose de façon omniprésente, la question du droit à l’image des personnes filmées.

I/ PRINCIPE DU CONSENTEMENT EXPRÈS

De façon constante, les Tribunaux rappellent que l’acceptation de la personne à la diffusion de son image doit être expresse (CA Paris 22/03/1999, CA Versailles 21/03/2002…).

Toutefois, le consentement peut être tacite dans certaines circonstances.

II/ EXCEPTION DU CONSENTEMENT TACITE

Si la personne a conscience d’être filmée et ne s’y est pas opposé, les Tribunaux reconnaissent un consentement tacite de cette captation.

Ainsi, en 2006, dans le cadre d’un reportage télévisé sur M6 consacré aux chauffeurs de taxi, la Cour de Cassation a estimé que « le consentement à la diffusion d’images de la personne ou de faits de sa vie privée peut être tacite ».

Elle a retenu que l’intéressé « avait autorisé en toute connaissance de cause la captation de ses traits aux fins de télédiffusion sur M6 et s’était prêté de bonne grâce à toutes les séquences du film (…) » (Cour de Cassation. 1ère. 07/03/2006).

En 2008, dans le cadre du film « Être et Avoir » pour lequel un instituteur a été filmé pendant ses cours, la Cour de Cassation est allée encore plus loin en reconnaissant le consentement tacite de l’instituteur à la diffusion de son image « sous quelque forme que ce soit ».

Elle estime que l’instituteur « n’ignorait pas que le documentaire était destiné à faire l’objet d’une exploitation commerciale, peu en important la forme, et qu’il a accepté, en toute connaissance de cause de participer activement aux différentes opérations de promotion du film », ce dont la Cour d’appel a justement déduit que « par son comportement, l’intéressé avait tacitement mais sans équivoque consenti à la diffusion de son image sous quelque forme que ce soit dès lors que cette diffusion était directement rattachée au film » (Cour de Cassation. 1ère.13/11/2008).

Toutefois, cela suppose que la personne filmée soit informée de l’usage projeté. Son consentement doit être complet.

Comme l’a souligné, la Cour de Cassation en 2008, l’instituteur n’ignorait pas que le documentaire était destiné à faire l’objet d’une exploitation commerciale et a accepté de faire la promotion du film.

De même, en 2006, la personne filmée avait accepté en toute connaissance de cause la captation de son image en sachant que celle-ci serait utilisée dans le cadre d’un documentaire.

En conséquence, la personne filmée doit avoir été informée de l’usage qui serait fait ultérieurement de ces images (TGI Paris 18/05/2009 dans le cadre d’un documentaire sur les médecins urgentistes à l’occasion duquel des journalistes ont filmé l’accouchement d’une jeune fille accompagnée de sa mère alors même qu’elle avait refusé d’être filmée).

Cette exception se déduit des circonstances de fait et suppose une analyse concrète de la situation en question.

A titre d’illustration, un individu filmé chez lui prétend n’avoir pas consenti à être filmé et à la diffusion du reportage. Pourtant, la Cour a considéré que son consentement tacite ressort du fait « qu’il a lui-même guidé l’équipe de tournage dans son appartement, qu’il n’a pas tenu compte des protestations de sa femme, profitant au contraire de la présence des caméras pour expliquer sa bonne foi et les raisons pour lesquelles il n’avait pu payer sa dette. Enfin, il n’a jamais manifesté son refus de voir son image diffusée et ses propos relayés avant la date de diffusion du reportage » (CA Toulouse 31/03/2009).

Dans une autre affaire, le Tribunal a estimé que le demandeur savait que le reportage était réalisé pour la télévision et a accepté de s’exprimer devant la caméra : « il s’en déduit qu’en acceptant de prendre la parole, en tout état de cause publiquement en présence d’une foule nombreuse […], devant la caméra tournant un reportage pour une télévision française, le demandeur a donné une autorisation implicite, mais certaine, d’utilisation de son image » (TGI Paris 05/12/2007).

Ou encore, des personnes filmées en boîte de nuit pour un reportage sur la communauté homosexuelle n’ont pas à donner leur consentement exprès si les sociétés organisatrices de la soirée ont averti les clients de la présence d’une équipe de télévision faisant un reportage (TGI Nanterre 15/09/2004).

Néanmoins, la charge de la preuve du consentement repose sur l’exploitant du film.

Il appartient à celui qui exploite le film ou qui publie une photographie de prouver que l’intéressé avait donné son consentement (CA Paris 05/06/1979, CA Versailles 04/11/1999, TGI Paris 22/09/1999, CA Toulouse 05/09/2002). 

C’est à celui qui se prévaut d’une autorisation d’en rapporter la preuve, « il n’appartient pas à l’appelante de rapporter la preuve d’un usage non autorisé de son image mais à la société de presse de justifier des droits d’utilisation de cette image » (CA Aix-en-Provence 11/01/2005).

C’est à la société qui diffuse des photographies de prouver le droit d’utilisation de l’image du mannequin même si le consentement était tacite (Cour de Cassation. 2ème. 04/11/2004).

En conclusion, il peut être dérogé à la règle du consentement écrit selon les circonstances de l’avant tournage et du tournage en lui-même.

« Comment protéger ses données personnelles sur internet après sa mort ? », Notre temps.com

« Comment protéger ses données personnelles sur internet après sa mort ? »

Retrouvez l’article de « Notre Temps » consacré à cette question, au sujet de laquelle j’avais été consultée.

Cliquez ici pour lire l’article

Ecoutes sur les lieux de travail : la nouvelle norme

La CNIL vient d’adopter une nouvelle norme simplifiée pour les traitements d’écoute et d’enregistrement des conversations téléphoniques sur le lieu de travail à des fins de formation, d’évaluation ou d’amélioration de la qualité du service rendu.

Droit à l’oubli : lignes directrices des autorités de protection

Les autorités de protection européennes, réunies au sein du G29, ont adopté le 26 novembre 2014 des lignes directrices relatives aux modalités applicables aux demandes fondées sur le « droit à l’oubli ».

Elles proposent une interprétation commune de l’arrêt de la CJUE rendu le 13 mai 2014 et des critères communs pour l’appréciation du bien fondé des demandes de déréférencement. En effet, les autorités de protection reçoivent, depuis cet arrêt, un nombre croissant de plaintes résultant des refus de déréférencement opposés par les moteurs de recherche.

La biométrie et le droit, Biometrics Alliance Initiative Summit, Euratechnologies, 28/10/14, Lille

J’ai eu le plaisir de participer à la 1ère journée d’étude sur l’évaluation et les usages, l’implantation et l’environnement juridique des technologies biométriques de Biometrics Alliance Initiative, le 28 octobre dernier, à Euratechnologies.

Le thème principal abordé était : « Droit et biométrie : une introduction sous l’angle des objets connectés et des données de santé« .

Objets connectés

Je suis intervenue hier au Biometrics Initiative Alliance Summit, qui avait lieu à Euratechnologies, sur le sujet des objets connectés.

Voici une synthèse des thèmes abordés :

Selon les projections courantes, le monde devrait compter, d’ici 2020, plus de 26 milliards d’objets connectés, qui constituent, ensemble, l’internet des objets. Il s’agira probablement de la troisième vague de croissance d’internet.

Le terme « internet des objets » renvoie en effet à la notion générale d’objets (électroniques ou d’usage courant) lisibles, reconnaissables, adressables, localisables ou contrôlables à distance via internet (résolution du parlement européen du 15 juin 2010).

L’internet des objets, c’est la perspective de mettre en réseau des milliards de machines capables de dialoguer et d’interagir par le biais de technologies sans fil.

De nombreuses applications existent déjà :

  • les bracelets connectés, de type fitbit, qui permettent de suivre son activité physique et ses paramètres de santé (rythme cardiaque, rythme du sommeil, calories ingérées etc.)

  • la station Mother, qui repose sur l’utilisation de différents capteurs, appelés cookies mesurant 5 cm et pèsant 6g et se fixant sur tout objet afin de le transformer en objet connecté et suivre ainsi leurs déplacements -la finalité est, par exemple, de s’assurer que les enfants ont bien, en l’absence des parents, pris leurs médicaments, de savoir si le réfrigérateur a été ouvert …),

  • la e-cigarette smokio, permettant au fumeur de mesurer sa consommation de nicotine, l’impact sur sa santé par rapport à la consommation d’une cigarette classique et les économies réalisées,

  • les masques utilisés pour traiter les apnées du sommeil.

Ces objets connectés traitent des données personnelles, parfois sensibles. Et encore n’en sommes nous qu’au premier stade de développement des objets connectés. L’inventivité des créateurs nous réserve probablement de nombreuses surprises.

Les enjeux économiques, éthiques, sociaux et juridiques attachés à ces perspectives sont colossaux.

D’un point de vue juridique, les principaux enjeux peuvent être présentés de la manière suivante :

Le premier enjeu est lié à la question de l’utilisation qui est faite des données ainsi massivement collectées et du rapprochement des données en provenance de différents terminaux. On peut ainsi aisément imaginer qu’un bracelet connecté comprenant un accéléromètre soit ensuite utilisé pour déterminer les habitudes de conduite du porteur du bracelet. Le même bracelet décomptant le nombre de marches gravies, couplé au rythme cardiaque, pourrait également permettre à un employeur, ou à un assureur, d’avoir des informations sur l’état de santé de la personne concernée.

Les différentes données issues des objets connectés utilisés (par exemple le poids tiré d’une balance connectée, le rythme tiré d’un bracelet de coaching et l’heure à laquelle les volets de la maison connectées sont abaissés) et regroupés sur des plates-formes, donnent des indications précieuses sur les habitudes de vie des personnes et accentuent le risque d’atteinte à la vie privée.

Le deuxième enjeu correspond à un enjeu sécuritaire. Dans le domaine des objets connectés, la sécurité ne doit pas se limiter aux terminaux eux-mêmes mais doit s’étendre aux moyens de communication et aux infrastructures de stockage. En effet, à l’heure actuelle, la priorité est donnée, pour les objets connectés, à la maîtrise des coûts et à l’autonomie physique de l’appareil. Aussi, il est rare que les capteurs puissent établir une connexion cryptée, ce qui les rend particulièrement vulnérables aux attaques et pose un réel problème en terme d’atteinte à la vie privée.

Cette question fait écho aux craintes, à l’origine de la mise en place, il y a quelques années, d’un cadre juridique spécifique propre à l’hébergement de données de santé. S’agissant des objets connectés on l’a vu, ils collectent d’ores et déjà et ont vocation probablement à collecter de plus en plus de données de santé. Leur hébergement doit donc être confié à un hébergeur agrée, même si un débat peut naître sur la notion de donnée de santé.

La notion de donnée de santé n’est pas définie dans la LIL. Pour l’appréhender, il est possible, tout d’abord, de se référer à un arrêt de la CJUE (arrêt Landqvit) « il convient de donner à l’expression « données relatives à la santé une interprétation large de sorte qu’elle comprenne des informations concernant tous les aspects, tant physiques que psychiques, de la santé d’une personne. »

Le projet de règlement européen définit, quant à lui, les « données concernant la santé » comme « toute information relative à la santé physique ou mentale d’une personne, ou à la prestation de services de santé à cette personne ».

Cette notion ne se confond pas avec celle de biométrie, qui regroupe l’ensemble des techniques informatiques permettant d’identifier un individu à partir de ses caractéristiques physiques, biologiques, voire comportementales. Les données biométriques ont la particularité d’être uniques et permanentes.

Il semble en réalité que la meilleure façon de définir la notion de donnée de santé repose sur une approche par la finalité, qui est celle retenue par l’AFCDP. C’est à dire qu’une donnée est rarement une donnée de santé en tant que telle. Elle le devient en fonction de sa finalité, médicale ou sanitaire.

Un autre enjeu important est lié à la question de la responsabilité. Différents acteurs interviennent en effet : le fabricant de l’objet connecté, les réseaux sociaux sur lesquels les détenteurs d’objets connectés partagent aisément leurs performances, sportives par exemple, l’éditeur qui propose la plate-forme agrégeant les données, les développeurs d’applications tierces (tels que par exemple un assureur, qui offrirait une prime d’assurance allégée à la personne qui s’engagerait à courir trois fois par semaine et à justifier de ses performances via son bracelet connecté), les courtiers qui traitent les données etc.

Le G29 a rendu, en septembre 2014, un avis intéressant sur les objets connectés, dans lequel il préconise, notamment :

  • que soit réalisée, préalablement à tout lancement d’une nouvelle application dans l’internet des objets, une étude d’impact sur la vie privée ou « Privacy Impact Assessments (PIA) »,

  • que soit laissée aux personnes la possibilité d’utiliser les objets connectés de manière anonyme (par l’usage par exemple d’un pseudonyme),

  • que la confidentialité par défaut soit appliquée à tout objet connecté ainsi que le Privacy by Design).

Il s’agit ensuite, ni plus ni moins que d’appliquer les principes régissant le droit des données personnelles à savoir :

  • informer les personnes concernées des différentes finalités du traitement de données effectuées. Cette information peut être, selon le G29, délivrée par exemple au moyen d’un flashcode apposé sur l’objet lui-même.

  • indiquer auxdites personnes à qui seront, de façon exhaustive, communiquées les données,

  • recueillir leur consentement préalable en cas de collecte de données sensibles,

  • mettre en place les formalités préalables adaptées auprès de la CNIL (demande d’autorisation ou autre),

  • permettre aux personnes concernées d’exercer leur droit d’accès et de suppression des données qui les concernent,

  • prendre les mesures propres à assurer la sécurité et la confidentialité des données traitées.

Viviane Gelles, Avocat

Cabinet JURISEXPERT

Comment protéger l’interface d’une application mobile ?

Devant l’essor des Smartphones, les acteurs du web développent de nombreuses interfaces afin de rendre plus conviviale et plus personnelle la relation avec leurs clients, abonnés ou usagers.

Se pose la question de la protection de la « home screen » de l’application.

Plusieurs outils de propriété intellectuelle peuvent être envisagés

 1.                  Sur la protection par un titre de Dessin et Modèle

1.1 – Sur les conditions de la protection

Un Dessin et Modèle est défini de la manière suivante par l’article 3 du Règlement sur les Dessins et Modèles communautaires :

Il protège « l’apparence d’un produit ou d’une partie de produit que lui confèrent, en particulier, les caractéristiques des lignes, des contours, des couleurs, de la forme, de la texture et/ou des matériaux du produit lui-même et/ou de son ornementation ».

Ainsi, le Dessin et Modèle a vocation à protéger l’apparence d’un produit, c’est-à-dire son aspect extérieur.

L’apparence doit être concrétisée à travers un objet industriel ou artisanal ou à travers une partie d’un tel objet.

La protection est donc conditionnée à l’existence d’un produit.

En outre, l’article L511-1 du Code de la propriété intellectuelle exclut expressément de la protection les programmes d’ordinateur.

Toutefois, l’interface d’une application mobile peut être protégée par un titre de Dessins et Modèles.

En effet, la 9ème édition de la classification internationale de Locarno pour les Dessins et Modèles industriels vise : « les symboles graphiques et logos, motifs décoratifs pour surfaces, ornementations ».

Dans cette classe, peuvent donc être désignés, en tant que Dessins et Modèles : des graphismes, des logos, des motifs décoratifs pour surfaces, des présentations, des symboles graphiques.

Au sein de la base Dessins et Modèles de l’OHMI, ont été déposés à titre de Dessins et Modèles, par exemple : des écrans d’affichage et icônes ; des interfaces graphiques de logiciels.

En conséquence, peut être déposé, à titre de Dessins et Modèles et admis par l’OHMI, un modèle d’interface.

Toutefois, la validité de ce Dessin et Modèle pourrait être remise en cause s’il était considéré que ce Dessin et Modèle protège effectivement l’apparence d’un produit.

1.2 – Sur les formalités d’enregistrement

Les formalités pour un dépôt de Dessin et Modèle communautaire (à savoir protégeant l’ensemble des pays de l’Union Européenne) sont précisées ci-après.

Pour pouvoir bénéficier d’une protection, le Dessin et Modèle communautaire doit être innovant et présenter un caractère individuel (il doit être différent des produits existants).

Par ailleurs, pour protéger un Dessin et Modèle, deux options sont ouvertes :

–          Soit la protection du Dessin et Modèle auprès de l’OHMI avant de le commercialiser et l’obtention d’un titre de Dessin et Modèle communautaire enregistré (DMCE),

–          soit la commercialisation directe du Dessin et Modèle sans l’enregistrer en revendiquant le droit sur les Dessins ou Modèles communautaires non enregistrés (DMCNE).

En conséquence, le fait de rendre public le Dessin ou Modèle (encore appelé la divulgation) est crucial en terme de protection.

Concernant la durée de la protection, elle diffère selon qu’il s’agisse d’un DMCE ou d’un DMCNE.

–          Un DMCE est initialement valide pour une période de 5 ans à compter de la date de dépôt et peut être renouvelé tous les 5 ans pendant une période maximale de 25 ans.

–          Un DMCNE est enregistré et protégé pour une période de 3 ans à compter de la date de sa première mise à disposition du public sur le territoire de l’Union Européenne et au terme de cette période, la protection ne peut être prolongée.

Ainsi, tout dépendra selon la divulgation de l’interface déjà opérée ou non.

2.         La protection par le droit d’auteur

S’agissant d’une création artistique, l’interface peut également bénéficier de la protection par le droit d’auteur.

En effet, l’article L111-1 du Code de la propriété intellectuelle dispose que « L’auteur d’une œuvre de l’esprit jouit sur cette œuvre, du seul fait de sa création, d’un droit de propriété incorporelle exclusif et opposable à tous (…).

Pour qu’une création soit protégée par le droit d’auteur, la jurisprudence exige que cette création soit originale.

En conséquence, dans la mesure où la création de l’interface est originale, à savoir porte l’empreinte de son auteur, elle bénéficie de facto de cette protection.

La protection par le droit d’auteur ne nécessite donc pas de dépôt de titre et permet de protéger une création originale.

Elle permet, ensuite, d’interdire à quiconque de reproduire une création qui porterait atteinte à ces droits.

3.           La protection par le droit de la concurrence déloyale

Si un tiers venait à reproduire à l’identique une interface similaire à celle revendiquée et que le créateur dispose de preuves pour démontrer que ce tiers à chercher à lui nuire, à le copier délibérément et à profiter de ses efforts, éventuellement, une action en concurrence déloyale et en parasitisme économique peut être envisagée.

En conclusion, plusieurs protections sont donc offertes au créateur d’interface pour défendre ses droits sur cette interface.

 

 

Utilisez votre droit à l’oubli numérique !

Article paru sur Direct Matin, n° 2142 du 2 septembre 2014.

LIRE L’ARTICLE 

Le droit à l’oubli numérique

Fâché de constater qu’une requête effectuée sur ses noms et prénoms dans le moteur de recherche GOOGLE présentait des liens vers deux pages d’un quotidien paru en 1998 et qui le visait dans une affaire de vente aux enchères immobilières, liée à une saisie pratiquée en recouvrement de dettes de sécurité sociale, un ressortissant espagnol avait introduit[1], auprès de l’Office espagnol chargé de la protection des données personnelles, une réclamation à l’encontre de l’éditeur de ce titre de presse ainsi qu’à l’encontre des sociétés GOOGLE SPAIN et GOOGLE INC.

Il demandait que les pages ainsi indexées soient supprimées afin que ses données personnelles n’y apparaissent plus et qu’elles cessent d’apparaître dans les résultats de recherche, au motif que la saisie dont il avait fait l’objet avait été entièrement réglée depuis de nombreuses années et que la mention de celle-ci était désormais dépourvue de toute pertinence.

GOOGLE a introduit en recours contre la décision de l’Autorité Espagnol de protection des données faisant droit à cette demande.

Saisie du dossier, la juridiction espagnole compétente a soulevé la question de savoir quelles obligations incombaient aux exploitants de moteurs de recherche pour la protection des données personnelles et estimé que la réponse à cette problématique dépendait de l’interprétation de la Directive 95/46 relative à la protection des données à caractère personnel, dans la mesure où ces technologies étaient apparues après la publication de celle-ci.

Elle a donc décidé de surseoir à statuer et de poser à la Cour de Justice de l’Union Européenne la question préjudicielle suivante : « le droit d’obtenir l’effacement et le verrouillage des données à caractère personnel et celui de s’opposer à ce qu’elles fassent l’objet d’un traitement doivent-ils être interprétés comme permettant à la personne concernée de s’adresser aux moteurs de recherche afin de faire obstacle à l’indexation des informations concernant sa personne, publiée sur des sites web de tiers, en invoquant sa volonté que ces informations ne soient pas connues des internautes lorsqu’elle considère que ces informations sont susceptibles de lui porter préjudice ou lorsqu’elle désire que ces informations soient oubliées, alors même qu’il s’agirait d’informations publiées légalement par des tiers ? ».

L’article 12 b de la Directive prévoit que « les États membres garantissent à toute personne concernée le droit d’obtenir du responsable du traitement : […]

b) la rectification, l’effacement ou le verrouillage des données dont le traitement n’est pas conforme à la présente directive, notamment en raison du caractère incomplet ou inexact des données ; […] ».

La Commission Européenne estimait que les droits ainsi conférés aux personnes concernées n’étaient susceptibles d’être mis en œuvre qu’à la condition que le traitement en question soit incompatible avec la Directive ou pour des raisons prépondérantes et légitimes tenant à leur situation particulière et non, pas au simple motif qu’elles estiment que ce traitement est susceptible de leur porter préjudice ou qu’elles souhaitent que les données faisant l’objet dudit traitement tombent dans l’oubli.

La Cour de Justice relève, pour sa part, qu’une telle incompatibilité peut résulter, non seulement, du fait que ces données sont inexactes mais, en particulier, aussi du fait qu’elles sont inadéquates, non pertinentes ou excessives au regard des finalités du traitement, qu’elles ne sont pas mises à jour ou qu’elles sont conservées pendant une durée excédant celle nécessaire, à moins que leur conservation s’impose à des fins historiques, statistiques ou scientifiques.

Partant de là, le raisonnement mené par la Cour repose sur l’idée qu’un traitement initialement licite de données exactes peut devenir, avec le temps, incompatible avec la Directive lorsque ces données s’avèrent, ensuite, comme n’étant plus nécessaires au regard des finalités pour lesquelles elles avaient collectées ou traitées.

La Cour de Justice de l’Union Européenne invite, par conséquent, la juridiction à l’origine de sa saisine à examiner si la personne concernée avait un droit à ce que l’information relative à sa personne ne soit plus, au stade actuel, liée à son nom par une liste de résultat, affichée à la suite d’une recherche effectuée à partir de son nom, en précisant qu’un tel droit ne présuppose pas que l’inclusion d’informations en question, dans la liste de résultat, cause un préjudice à la personne concernée.

A cet égard, il sera rappelé les dispositions des articles 7 et 8 de la Charte des droits fondamentaux de l’Union Européenne[2] prévoyant que « toute personne a droit au respect de sa vie privée et familiale, de son domicile et de ses communications » outre son « droit à la protection des données à caractère personnel la concernant » impliquant que de tels « données doivent être traités loyalement, à des fins déterminés et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi. Toute personne a le droit d’accéder aux données collectées la concernant et d’en obtenir la rectification ».

Ces droits doivent être considérés comme prévalant non seulement sur l’intérêt économique de la société GOOGLE mais également sur l’intérêt du public à trouver l’information recherchée lors d’une requête portant sur le nom de la personne concernée.

Une telle prévalence sera, cependant, écartée lorsque des raisons particulières peuvent être invoquées telles que le rôle joué par la personne concernée dans la vie publique, ou encore lorsque l’ingérence dans ses droits fondamentaux serait justifiée par l’intérêt prépondérant du public à avoir accès à l’information en question.

En l’absence de telles raisons particulières dans le litige qui lui était soumis par la juridiction espagnole, la Cour de Justice de l’Union Européenne a considéré, eu égard à la sensibilité des informations contenues dans les annonces litigieuses pour la vie privée du requérant et au fait que leur publication initiale avait été effectuée seize ans auparavant, que ladite personne justifiait d’un droit à ce que ces informations ne soient plus liées à son nom sur internet.

C’est à la suite de cette décision que la société GOOGLE a mis en place un formulaire[3] disponible sur internet permettant à tout internaute européen de faire usage de ce qui semble désormais être consacré comme un véritable droit à l’oubli numérique.

Le formulaire ainsi proposé à rencontrer un franc succès puisque que, moins deux semaines après sa mise en ligne, plus de 40 000 demandes avaient été présentées au moteur de recherche.

La société américaine a, à cette fin, mis en place une équipe dédiée examinant les demandes qui lui sont soumises.

Les premières applications mettant en œuvre ce droit à l’oubli ont, toutefois, permis de constater que la suppression par GOOGLE de liens litigieux s’accompagnait d’une information, donnée par le moteur de recherche, de la suppression ainsi effectuée.

La CNIL relève, d’ores et déjà, que le formulaire proposé par la firme californienne ne concerne que les URL, excluant ainsi les services mis en œuvre par GOOGLE, tels que GOOGLE SUGGEST.

Elle regrette également que l’accès au formulaire soit difficile, comme c’est d’ailleurs le cas pour la plupart des formulaires en ligne proposés par les géants du net.

En parallèle, le groupe de l’article 29 regroupant les CNIL européennes a décidé, lors de sa réunion plénière des 3 et 4 juin 2014, de confier à un groupe de travail l’analyse des conséquences de l’arrêt de la Cour de Justice de l’Union Européenne.

Il s’agira, notamment, de définir des lignes directrices permettant aux Autorités Européennes de protection des données d’adopter une approche commune dans la mise en œuvre pratique de l’arrêt ainsi rendu, afin d’envisager des réponses harmonisées aux plaintes qui seront reçues par lesdites Autorités suite à des demandes d’effacement restées infructueuses.


[1]           C.J.U.E., 13 mai 2014, Affaire C-131/12, GOOGLE SPAIN et GOOGLE INC c/ AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

[2]              2000/C 354/01

Drones : responsabilité pénale, vie privée et données personnelles

Notre article est paru dans la revue de l’Expertise, du mois d’avril 2014, numéro 390.

Lire l’article

La CJUE, Google et le droit à l’oubli numérique

La CJUE, dans un arrêt intéressant rendu le 13 mai 2014 (http://curia.europa.eu/juris/document/document.jsf?text=&docid=152065&pageIndex=0&doclang=fr&mode=req&dir=&occ=first&part=1&cid=256489), a considéré que le moteur de recherche Google effectuait un traitement de données à caractère personnel au sens de la loi Informatique et Libertés du 6 janvier 1978 en indexant des articles accessibles à partir d’une requête formulée par un internaute.

L’affaire avait été portée devant la justice espagnole par un internaute qui reprochait au géant américain de n’avoir pas cessé le référencement d’articles de presse évoquant ses dettes.

La CJUE retient que, pour fournir aux internautes son service de recherche, la société Google analyse et stocke de nombreuses pages Web sur lesquelles figurent des données à caractère personnel (telles que des images ou, comme ici, des articles de presse mentionnant les nom et prénom d’une personne).

Dès lors qu’il traite des données personnelles, le moteur de recherche se trouve placé dans le champ d’application de la loi Informatique et Libertés ou plus largement, au niveau communautaire, de la directive relative aux données personnelles. Il lui appartient donc de respecter les droits des personnes concernées et notamment le droit d’opposition qui leur est reconnu. En effet, si l’indexation est, au départ, acceptée, il n’en sera plus de même lorsque les données apparaîtront inadéquates, excessives ou auront perdu de leur pertinence, ce qui sera notamment le cas avec le temps qui passe. C’est la raison pour laquelle cette décision peut être comprise comme une forme de consécration du droit à l’oubli numérique.

Ayant posé ce principe, la CJUE renvoie cependant le soin à la juridiction espagnole, à l’origine de la question préjudicielle posée, le soin de s’assurer, dans chaque cas, de l’équilibre entre liberté d’expression et d’information d’une part et droit à la vie privée d’autre part.

« Café débat », jeudi 24 avril 2014, « Café bleu » du Forum des sciences de Villeneuve d’Ascq

J’aurai le plaisir d’intervenir lors d’un « café débat », organisé par des étudiantes en journalisme scientifique, le jeudi 24 avril 2014 de 19 heures à 21 heures.

La problématique principale sera : 

Sommes-nous propriétaires de nos données personnelles ?

Les thèmes abordés seront :

  • Au nom de la sécurité nationale et de la lutte contre le terrorisme, jusqu’où les gouvernements ont-ils le droit d’aller en matière d’exploitation des données personnelles ?
  • Où se situe la limite légale dans l’utilisation des données privées à des fins commerciales, économiques ou statistiques par des entreprises privées ?
  • L’individu se trouve-t-il au cœur d’un système qui le dépasse ? Quel contrôle a-t-il sur ses données personnelles ? De la réalité au monde virtuel, quelle relation d’identité existe-t-il entre l’individu et ses avatars ?

Lieu : « Café bleu » du Forum des sciences de Villeneuve d’Ascq.

LE CONTENU DU CONTRAT DE CLOUD COMPUTING

Article de Blandine Poidevin paru dans la Revue Lamy droit de l’immatériel , numéro 98, de Novembre 2013, au sujet du cloud computing.

LIRE L’ARTICLE