La CNIL publie un pack de conformité relatif aux véhicules connectés et aux données personnelles

La CNIL publie un pack de conformité relatif aux véhicules connectés et aux données personnelles

Faisant suite aux « packs de conformité » publiés dans les domaines des compteurs communicants, le logement social ou encore l’assurance, la CNIL a publié le 17 octobre 2017 le pack de conformité sectoriel relatif aux « véhicules connectés et données personnelles ».

Fruit de plusieurs mois de réflexion et de concertation avec les acteurs de la filière automobile, des acteurs de l’assurance, des télécoms et les autorités publiques, ce référentiel sectoriel permet aux professionnels de se mettre en conformité avec le règlement européen sur la protection des données, applicable à partir du 25 mai 2018.

Le pack s’applique aux véhicules connectés, c’est-à-dire aux véhicules qui communiquent avec l’extérieur (applications mobiles, autres véhicules, infrastructure, etc.) et ne couvre que les seuls usages privés, à l’exclusion de l’utilisation de véhicules de fonction mis à disposition de salariés par leur employeur.

Parmi les données personnelles collectées, certaines sont directement identifiantes, comme le nom du conducteur. D’autres sont indirectement identifiantes telles que : le détail des trajets effectués, les données d’usage du véhicule (par exemple, les données relatives au style de conduite ou au nombre de kilomètres parcourus) ou les données techniques du véhicule (par exemple, les données relatives à l’état d’usure des pièces).

Les données sont collectées via les capteurs des véhicules, les boîtiers télématiques ou les applications mobiles et peuvent être traitées à bord des véhicules ou exportées vers un serveur centralisé.

Le pack de conformité distingue trois hypothèses selon que (i) les données collectées dans le véhicule restent dans le véhicule sans transmission au fournisseur de services (Scénario « IN => IN »), (ii) les données collectées dans le véhicule sont transmises à l’extérieur pour fournir un service à la personne concernée (par exemple dans le cadre d’un contrat d’assurance « pay as you drive », fourniture du service e-call, ou géolocalisation du véhicule en cas de vol) (Scénario « IN => OUT »), (iii): les données collectées dans le véhicule sont transmises à l’extérieur pour déclencher une action automatique dans le véhicule (exemple : « Infotrafic » dynamique avec calcul d’un nouvel itinéraire suite à un incident sur la route) (Scénario n° 3 « IN => OUT => IN »).

Pour chaque scénario, la CNIL émet des lignes directrices afin de se conformer à la réglementation en matière de données à caractère personnel et recommande, notamment, les mesures de sécurité à mettre en place.

Le pack de conformité « véhicule connecté et données personnelles » est disponible ici : https://www.cnil.fr/sites/default/files/atoms/files/pack_de_conformite_vehicule_connecte.pdf

La résiliation du contrat de prestations de développement d’un site internet aux torts du client trop exigeant (CA Grenoble 6 juillet 2017)

La résiliation du contrat de prestations de développement d’un site internet aux torts du client trop exigeant (CA Grenoble 6 juillet 2017)

Etre exigeant oui, demander à  modifier 24 fois la maquette de la page d’accueil, non! La Cour d’appel de Grenoble a rendu, le 6 juillet 2017, une décision peu commune puisqu’elle a condamné un client pour avoir été trop exigeant avec son prestataire.

Dans cette affaire, une société a fait appel à un prestataire afin d’améliorer son site internet et ainsi développer son activité.

Le client, estimant que le site commandé n’a finalement jamais été achevé car comportant de nombreux dysfonctionnements, a assigné la société développeuse devant le Tribunal de commerce de Grenoble aux fins d’obtenir la résolution du contrat et le remboursement de l’acompte versé.

Les juges du Tribunal de commerce ont rejeté ses demandes et ont prononcé la résiliation du contrat aux torts exclusifs de la société demanderesse. Les juges ont également condamné la société cliente à payer à son prestataire les factures impayées ainsi que la somme de 10 000 euros à titre de dommages et intérêts outre celle de 2 000 euros au titre de l’article 700 du code de procédure civile.

Le client a interjeté appel du jugement devant la Cour d’appel de Grenoble aux motifs que la société prestataire aurait manqué à ses obligations de conseil, de respect des délais et de délivrance conforme du site pour lequel elle avait conclu un contrat.

La Cour d’appel déboute la société cliente de ses demandes considérant que « les retards quant à la réalisation du site sont imputables à la société appelante compte tenu, et pour chacune des phases, de ses nombreuses demandes de modifications ».  Ces nombreuses interventions et modifications (24 versions de la maquette de la page d’accueil), à  la demande du client, ont généré une surcharge de travail au prestataire, ce qui justifie la condamnation du client au paiement de 10.000 euros de dommages et intérêts.

Cette décision rappelle que si le prestataire est soumis à une obligation de conseil et de diligence dans l’exécution de ses obligations, notamment, en terme de respect des délais de livraison, il appartient également au client de collaborer pleinement à la réalisation du projet.

Cette décision met en exergue l’importance, pour le prestataire, de calibrer soigneusement son offre de services mais également d’encadrer les relations contractuelles par un contrat précisant les obligations du client et notamment une obligation de définir précisément ses besoins et de collaborer.

Cour d’appel de Grenoble, ch. com, arrêt du 6 juillet 2017

https://www.legalis.net/jurisprudences/cour-dappel-de-grenoble-ch-cciale-arret-du-6-juillet-2017/