Auteur/autrice : Yvan Jamois

Contrôles de la CNIL en 2020, quelle stratégie ?
By Yvan Jamois

Contrôles de la CNIL en 2020, quelle stratégie ?

Le 12 mars 2020, la CNIL a publié sa stratégie de contrôle pour l’année 2020. La CNIL indique qu’en complément des contrôles faisant suite à des plaintes, à l’actualité ou à des mesures correctrices, elle va axer son action autour de trois thèmes principaux : (i) les données de santé, (ii) la géolocalisation pour les services de proximité et (iii) les cookies et autres traceurs.

La CNIL précise que plus d’une cinquantaine de contrôles seront réalisés autour de ces trois thèmes.

L’autorité de contrôle française annonce qu’elle va également poursuivre la coopération avec les autres autorités de protection des données européennes pour les traitements transfrontaliers.

(i) Les données de santé

Les données de santé sont des données sensibles au sens de l’article 9 du RGPD et font régulièrement la une de l’actualité. La CNIL cite ainsi le développement constant des nouvelles technologies (télémédecine, objets connectés) ainsi que les incidents de sécurité.

La CNIL annonce donc qu’une attention particulière sera portée sur les traitements concernant ce type de données, et notamment au regard des mesures de sécurité mises en œuvre par les professionnels de santé qui agissent en tant que responsable de traitement ou sous-traitant.

(ii) La géolocalisation pour les services de proximité

Actuellement, de nombreuses solutions se développent afin de faciliter la vie quotidienne des personnes. La CNIL prend pour exemple les applications relatives au transport permettant de connaître le meilleur moyen de transport ou itinéraire, lesquelles sont souvent associées à de la géolocalisation.

Or, la géolocalisation pose la question des risques d’atteinte à la vie privée des utilisateurs de ces applications.

La CNIL annonce ainsi que, lors de ses contrôles, elle portera une attention particulière à la proportionnalité des données collectées, leur durée de conservation, l’information délivrée aux personnes et les mesures de sécurité mises en œuvre.

(iii) Les cookies et autres traceurs

Le 4 juillet 2019, la CNIL a publié de nouvelles lignes directrices concernant les cookies et autres traceurs en application de l’article 82 de la loi n°78-17 du 6 janvier 1978 dite « Loi Informatique et Libertés » (délibération n°2019-093 du 4 juillet 2019).

Ces lignes directrices devaient être complétées par la publication, début avril 2020, de nouvelles recommandations.

Cependant, en raison de la crise du Covid-19, la CNIL a reporté sine die l’adoption de la version définitive des recommandations (cf. notre article sur le sujet).

La CNIL a précisé que les utilisateurs de cookies disposeront d’un délai de 6 mois pour adapter leur pratique de cookies et se mettre en conformité avec la nouvelle règlementation.

La CNIL repousse sine die l’adoption de nouvelles recommandations en matière de cookies
By Yvan Jamois

La CNIL repousse sine die l’adoption de nouvelles recommandations en matière de cookies

A la suite de l’entrée en vigueur du RGPD le 25 mai 2018, la CNIL a publié le 4 juillet 2019 de nouvelles lignes directrices concernant les cookies et autres traceurs en application de l’article 82 de la loi n°78-17 du 6 janvier 1978 dite « Loi Informatique et Libertés » (délibération n°2019-093 du 4 juillet 2019 : lien).

Toutefois, la CNIL a indiqué que ces lignes directrices devaient être complétées par de nouvelles recommandations.

Début 2020, la CNIL a ainsi publié un projet de recommandations « Cookies et autres traceurs » concernant les modalités pratiques de recueil du consentement de l’internaute par les opérateurs utilisant des traceurs.

Ce projet de recommandations a été soumis à une consultation publique qui a pris fin le 25 février 2020. Une version définitive des recommandations devait être quant à elle publiée début avril 2020.

Cependant, en raison de la crise du Covid-19, la CNIL a décidé de reporter l’adoption de la version définitive des recommandations et aucune date n’a aujourd’hui été fixée par la CNIL.

La CNIL avait d’ores et déjà précisé en juillet 2019 que les éditeurs de sites internet faisant usage de cookies disposeraient d’un délai de six mois à compter de la publication de la nouvelle version des recommandations pour adapter leurs pratiques et se mettre en conformité avec la nouvelle règlementation.

(Mise à jour) [COVID-19] Extension des délais devant les Offices de propriété intellectuelle
By Yvan Jamois

(Mise à jour) [COVID-19] Extension des délais devant les Offices de propriété intellectuelle

La crise sanitaire du Covid-19 et les différents confinements impactent les procédures de dépôts de titres de propriété industrielle.

Afin de faire face aux mesures exceptionnelles prises par les Etats dans la lutte contre le coronavirus, certains délais de procédure devant les offices de propriété intellectuelle ont été étendus.

L’Office de l’Union Européenne de la Propriété Intellectuelle a décidé (décision n°EX-20-3 du directeur exécutif du 16 mars 2020) que :

  • les délais expirant entre le 9 mars 2020 et le 30 avril 2020 et affectant toutes les parties devant l’Office sont prorogés jusqu’au 1er mai 2020.

Le 1er mai 2020 étant un jour férié, les délais sont en pratique prorogés au 4 mai 2020.

En France, l’ordonnance n°2020-306 du 25 mars 2020 étend tous les délais qui expirent dans la période située entre le 12 mars et un mois après la fin de l’état d’urgence sanitaire. Ces délais sont ainsi reportés à :

  • un mois après la fin de cette période si le délai initial était d’un mois ;
  • deux mois après la fin de cette période si le délai initial était de deux mois ou plus.

Ces reports concernent donc les délais devant l’INPI prévus par le Code de la propriété intellectuelle et notamment les délais :

  • pour procéder à l’opposition à l’enregistrement d’une marque ;
  • pour procéder au renouvellement d’une marque ;
  • pour effectuer des observations ou répondre à une notification de l’INPI dans le cadre d’une procédure déjà initiée.

Toutefois, ces reports ne concernent pas les délais prévus par des accords internationaux ou des textes européens, et notamment le délai de priorité pour une extension internationale d’une marque.

 

Le Cabinet MVM Avocats reste joignable à ses coordonnées habituelles pour toute demande de précision.

Précisions du Conseil d’Etat sur l’exercice du droit d’opposition
By Yvan Jamois

Précisions du Conseil d’Etat sur l’exercice du droit d’opposition

Le Conseil d’Etat a rendu, le 18 mars 2019, une décision intéressante sur la notion de motif légitime en matière de droit d’opposition à l’utilisation des données à caractère personnel prévu à l’article 38 de la loi n°78-17 du 6 janvier 1978 dite « Informatique et Libertés ».

Il convient de préciser que cette décision a été rendue sur le fondement de la règlementation applicable avant l’entrée en vigueur du Règlement européen pour la protection des données n°2016/679 du 27 avril 2016 dit « RGPD ».

En effet, l’article 38 de la loi Informatique et libertés prévoit que « toute personne physique a le droit de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

L’article 21 du RGPD prévoit quant à lui que « la personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l’article 6, paragraphe 1, point e) ou f), y compris un profilage fondé sur ces dispositions ».

A noter que la loi Informatique et Libertés sera modifiée par l’ordonnance n°2018-1125 du 12 décembre 2018 qui devrait entrer en vigueur au plus tard le 1er juin 2019. Le droit d’opposition visé à l’article 56 de la loi Informatique et Libertés modifiée (anciennement l’article 38) renverra directement à l’article 21 du RGPD : « Le droit d’opposition s’exerce dans les conditions prévues à l’article 21 du règlement (UE) 2016/679 du 27 avril 2016 ».

En l’espèce, Madame B. a souhaité s’opposer à l’enregistrement et à la conservation des données personnelles relatives à ses enfants, scolarisés dans une école primaire publique, dans la « base élèves premier degré » (BE1D) et la « base nationale élève » (BNIE).

Face au refus de l’inspecteur d’académie, directeur des services départementaux de l’éducation nationale, de faire droit à sa demande ainsi qu’au rejet du recours hiérarchique par la suite, Madame B. a introduit une action auprès des juridictions administratives compétentes en la matière.

Le Conseil d’Etat précise ainsi que le droit pour toute personne physique de s’opposer pour des motifs légitimes à ce que des données personnelles la concernant fassent l’objet d’un traitement « est subordonné à l’existence de raisons légitimes tenant de manière prépondérante à sa situation particulière ».

Le Conseil d’Etat confirme la décision de la Cour administrative d’appel qui a jugé que  la requérante ne justifiait pas de motifs légitimes de nature à justifier cette opposition, cette dernière se bornant à invoquer des craintes d’ordre général concernant notamment la sécurité du fonctionnement de la base, sans faire état de considérations qui lui seraient propres ou seraient propres à ses enfants.

Le Conseil d’Etat rappelle ainsi que de simples considérations générales ne suffisent pas à s’opposer au traitement de ses données personnelles et qu’il convient de justifier de motifs propres pour s’opposer à la collecte et au traitement de ses données personnelles.

Cette décision va dans le sens de la loi Informatique et Libertés telle que modifiée afin d’intégrer les dispositions du RGPD : le droit d’opposition doit être justifié pour des raisons tenant à la situation particulière de la personne concernée par le traitement des données personnelles.

Décision du Conseil d’Etat du 18 mars 2019, n°406313

L’examen approfondi de la notion de directeur de publication par les juges
By Yvan Jamois

L’examen approfondi de la notion de directeur de publication par les juges

Tout service de communication au public par voie électronique est tenu d’avoir un directeur de la publication (article 93-2 de la loi du 29 juillet 1982), c’est-à-dire une personne responsable du contenu éditorial.

Les services de communication au public en ligne tels que les sites internet doivent également mentionner l’identité du directeur de publication au sein des mentions légales (article 6 III de la loi du 21 juin 2004 pour la confiance dans l’économie numérique, dite « LCEN »).

De récentes décisions ont rappelé l’importance de la notion du directeur de publication :

  • Jugement du 12 novembre 2018 du TGI de Pau (Ch. Correctionnelle)
    Selon les articles 93-2 et 3 de la loi du 29 juillet 1982 sur la communication audiovisuelle, le responsable des infractions commises par « un service de communication au public par voie électronique est le directeur de la publication, défini comme la personne physique qui fournit le service ».
    Se fondant sur les articles ci-dessus mentionnés, le Tribunal de grande instance de Pau a estimé, dans le cas d’une publication sur Facebook, que le titulaire d’un compte Facebook devait être qualifié de directeur de la publication du compte qu’il avait créé et dont il avait les codes d’accès.
    Le titulaire d’un compte Facebook a ainsi été condamné à 1 000 € d’amende pour injure publique.

 

  • Arrêt de la Cour de cassation (Crim.) du 22 janvier 2019 n° 18-81779
    En l’espèce, un site internet mentionnait comme directeur de la publication une personne condamnée à la réclusion criminelle à perpétuité, et comme directeur adjoint un homme condamné à trente ans de prison.
    La Cour d’appel de Paris avait constaté que ces personnes étaient dans l’impossibilité d’assumer leurs responsabilités de directeur de publication et de directeur adjoint du fait de leur incarcération et de leur absence de connexion à internet. Ils ne pouvaient notamment pas faire droit aux demandes d’exercice du droit de réponse qui leur étaient adressées conformément à l’obligation qui ressort de l’article 6 IV de la LCEN : le directeur de la publication est « tenu d’insérer dans les trois jours de leur réception les réponses de toute personne nommée ou désignée dans le service de communication au public en ligne sous peine d’une amende de 3 750 Euros, sans préjudice des autres peines et dommages-intérêts auxquels l’article pourrait donner lieu ».
    De plus, une enquête avait permis de déterminer que l’éditeur du service de communication au public en ligne était effectivement le président de l’association.
    L’obligation de l’article 6 III de la LCEN n’a donc pas été respectée et la mention du directeur de publication était fausse.
    Le président de l’association a été condamné à une peine de trois mois de prison avec sursis et de 5.000 € d’amende, la Cour de cassation a en effet rejeté le pourvoi contre l’arrêt de la cour d’appel de Paris du 18 janvier 2018 qui a confirmé le jugement du 14 mars 2017 du TGI de Paris prononçant la condamnation.
    Il s’agit d’une condamnation particulièrement sévère au regard des obligations de la LCEN et l’identification du directeur de publication. Cependant, la Cour d’appel rappelle que le président de l’association avait déjà été condamné à plusieurs reprises à des peines d’amende.