La CNIL repousse sine die l’adoption de nouvelles recommandations en matière de cookies

La CNIL repousse sine die l’adoption de nouvelles recommandations en matière de cookies

A la suite de l’entrée en vigueur du RGPD le 25 mai 2018, la CNIL a publié le 4 juillet 2019 de nouvelles lignes directrices concernant les cookies et autres traceurs en application de l’article 82 de la loi n°78-17 du 6 janvier 1978 dite « Loi Informatique et Libertés » (délibération n°2019-093 du 4 juillet 2019 : lien).

Toutefois, la CNIL a indiqué que ces lignes directrices devaient être complétées par de nouvelles recommandations.

Début 2020, la CNIL a ainsi publié un projet de recommandations « Cookies et autres traceurs » concernant les modalités pratiques de recueil du consentement de l’internaute par les opérateurs utilisant des traceurs.

Ce projet de recommandations a été soumis à une consultation publique qui a pris fin le 25 février 2020. Une version définitive des recommandations devait être quant à elle publiée début avril 2020.

Cependant, en raison de la crise du Covid-19, la CNIL a décidé de reporter l’adoption de la version définitive des recommandations et aucune date n’a aujourd’hui été fixée par la CNIL.

La CNIL avait d’ores et déjà précisé en juillet 2019 que les éditeurs de sites internet faisant usage de cookies disposeraient d’un délai de six mois à compter de la publication de la nouvelle version des recommandations pour adapter leurs pratiques et se mettre en conformité avec la nouvelle règlementation.

L’examen approfondi de la notion de directeur de publication par les juges

L’examen approfondi de la notion de directeur de publication par les juges

Tout service de communication au public par voie électronique est tenu d’avoir un directeur de la publication (article 93-2 de la loi du 29 juillet 1982), c’est-à-dire une personne responsable du contenu éditorial.

Les services de communication au public en ligne tels que les sites internet doivent également mentionner l’identité du directeur de publication au sein des mentions légales (article 6 III de la loi du 21 juin 2004 pour la confiance dans l’économie numérique, dite « LCEN »).

De récentes décisions ont rappelé l’importance de la notion du directeur de publication :

  • Jugement du 12 novembre 2018 du TGI de Pau (Ch. Correctionnelle)
    Selon les articles 93-2 et 3 de la loi du 29 juillet 1982 sur la communication audiovisuelle, le responsable des infractions commises par « un service de communication au public par voie électronique est le directeur de la publication, défini comme la personne physique qui fournit le service ».
    Se fondant sur les articles ci-dessus mentionnés, le Tribunal de grande instance de Pau a estimé, dans le cas d’une publication sur Facebook, que le titulaire d’un compte Facebook devait être qualifié de directeur de la publication du compte qu’il avait créé et dont il avait les codes d’accès.
    Le titulaire d’un compte Facebook a ainsi été condamné à 1 000 € d’amende pour injure publique.

 

  • Arrêt de la Cour de cassation (Crim.) du 22 janvier 2019 n° 18-81779
    En l’espèce, un site internet mentionnait comme directeur de la publication une personne condamnée à la réclusion criminelle à perpétuité, et comme directeur adjoint un homme condamné à trente ans de prison.
    La Cour d’appel de Paris avait constaté que ces personnes étaient dans l’impossibilité d’assumer leurs responsabilités de directeur de publication et de directeur adjoint du fait de leur incarcération et de leur absence de connexion à internet. Ils ne pouvaient notamment pas faire droit aux demandes d’exercice du droit de réponse qui leur étaient adressées conformément à l’obligation qui ressort de l’article 6 IV de la LCEN : le directeur de la publication est « tenu d’insérer dans les trois jours de leur réception les réponses de toute personne nommée ou désignée dans le service de communication au public en ligne sous peine d’une amende de 3 750 Euros, sans préjudice des autres peines et dommages-intérêts auxquels l’article pourrait donner lieu ».
    De plus, une enquête avait permis de déterminer que l’éditeur du service de communication au public en ligne était effectivement le président de l’association.
    L’obligation de l’article 6 III de la LCEN n’a donc pas été respectée et la mention du directeur de publication était fausse.
    Le président de l’association a été condamné à une peine de trois mois de prison avec sursis et de 5.000 € d’amende, la Cour de cassation a en effet rejeté le pourvoi contre l’arrêt de la cour d’appel de Paris du 18 janvier 2018 qui a confirmé le jugement du 14 mars 2017 du TGI de Paris prononçant la condamnation.
    Il s’agit d’une condamnation particulièrement sévère au regard des obligations de la LCEN et l’identification du directeur de publication. Cependant, la Cour d’appel rappelle que le président de l’association avait déjà été condamné à plusieurs reprises à des peines d’amende.
Parasitisme : Attention au copier/coller des mentions légales de concurrents

Parasitisme : Attention au copier/coller des mentions légales de concurrents

Dans un arrêt du 11 septembre 2018, la Cour d’appel de Rennes a jugé que la reproduction « mot à mot » de mentions légales par une société concurrente de la société ayant rédigé lesdites mentions légales était constitutive d’une faute.

Les juges de la Cour d’appel estiment que « les mentions légales peuvent se rédiger de plusieurs façons » et que les « mentions légales, de quelque nature qu’elles soient, sont en générales complexes à comprendre pour les non juristes et nécessitent pour être comprises de tous, un léger travail de simplification linguistique et de mise en exergue des éléments les plus significatifs, en fonction du type d’activité présenté par le site ».

Dès lors, « les recopier mot à mot a conduit la société fautive, qui exerce une activité concurrente de la société demanderesse, soit la création et l’hébergement de sites internet de campings et hôtels de plein air, de bénéficier sans bourse délier du travail réalisé par cette dernière ».

La société fautive a ainsi été condamnée à payer la somme de 2 500 euros à titre de dommages-intérêts.

De plus, la société a poussé le mauvais copier/coller jusqu’à recopier le numéro RCS de la société concurrente dans les mentions légales des sites internet qu’elle a réalisés pour ses clients. Or selon la Cour d’appel, « cette reproduction était interdite, d’une part car la société hébergeuse fautive ne pouvait plus elle-même être identifiée », et d’autre part « en raison du risque de confusion avec la société demanderesse en cas d’infraction ».

La société « copieuse » a ainsi été condamnée à payer la somme de 5 000 euros à titre de dommages-intérêts en raison de ce comportement fautif, « porteur en germe de nombreux ennuis pour son concurrent en cas de litige avec un client de l’un des campings ».

Cette solution s’inscrit dans la continuité de la jurisprudence en matière de parasitisme et/ou de concurrence déloyale, et notamment en cas de reproduction des Conditions Générales de Vente (CGV). La Cour d’appel de Paris a en effet déjà admis que la reprise de CGV, quasi-identiques, d’une société concurrente était constitutive d’une faute et avait condamné la société « copieuse » au versement de la somme de 10.000 euros sur le fondement du parasitisme économique (CA Paris, 24 septembre 2008, n°07/3336, Vente-privée /Kalypso).

Cette décision rappelle l’importance de rédiger des mentions légales et des conditions générales adaptées à son activité.

CA Rennes, 11 septembre 2018, n°15/09630

Par Yvan Jamois et Maëliss Vincent-Moreau[:en]Dans un arrêt du 11 septembre 2018, la Cour d’appel de Rennes a jugé que la reproduction « mot à mot » de mentions légales par une société concurrente de la société ayant rédigé lesdites mentions légales était constitutive d’une faute.

Les juges de la Cour d’appel estiment que « les mentions légales peuvent se rédiger de plusieurs façons » et que les « mentions légales, de quelque nature qu’elles soient, sont en générales complexes à comprendre pour les non juristes et nécessitent pour être comprises de tous, un léger travail de simplification linguistique et de mise en exergue des éléments les plus significatifs, en fonction du type d’activité présenté par le site ».

Dès lors, « les recopier mot à mot a conduit la société fautive, qui exerce une activité concurrente de la société demanderesse, soit la création et l’hébergement de sites internet de campings et hôtels de plein air, de bénéficier sans bourse délier du travail réalisé par cette dernière ».

La société fautive a ainsi été condamnée à payer la somme de 2 500 euros à titre de dommages-intérêts.

De plus, la société a poussé le mauvais copier/coller jusqu’à recopier le numéro RCS de la société concurrente dans les mentions légales des sites internet qu’elle a réalisés pour ses clients. Or selon la Cour d’appel, « cette reproduction était interdite, d’une part car la société hébergeuse fautive ne pouvait plus elle-même être identifiée », et d’autre part « en raison du risque de confusion avec la société demanderesse en cas d’infraction ».

La société « copieuse » a ainsi été condamnée à payer la somme de 5 000 euros à titre de dommages-intérêts en raison de ce comportement fautif, « porteur en germe de nombreux ennuis pour son concurrent en cas de litige avec un client de l’un des campings ».

Cette solution s’inscrit dans la continuité de la jurisprudence en matière de parasitisme et/ou de concurrence déloyale, et notamment en cas de reproduction des Conditions Générales de Vente (CGV). La Cour d’appel de Paris a en effet déjà admis que la reprise de CGV, quasi-identiques, d’une société concurrente était constitutive d’une faute et avait condamné la société « copieuse » au versement de la somme de 10.000 euros sur le fondement du parasitisme économique (CA Paris, 24 septembre 2008, n°07/3336, Vente-privée /Kalypso).

Cette décision rappelle l’importance de rédiger des mentions légales et des conditions générales adaptées à son activité.

CA Rennes, 11 septembre 2018, n°15/09630

Par Yvan Jamois et Maëliss Vincent-Moreau

RGPD – D Day!!!

RGPD – D Day!!!

[:fr]Aujourd’hui est le jour tant attendu (ou redouté) par nombre de professionnels du marketing et plus généralement par toutes les personnes morales qui traitent des données personnelles à un moment ou un autre de leur processus client : inscription à une newsletter, création d’un compte client, carte de fidélité, achat sur internet… Tous sont concernés par l’entrée en application du Règlement européen n°2016/679 sur la protection des données personnelles adopté le 27 avril 2016 (dit « RGPD » ou « GDPR »).

Aujourd’hui est le grand jour, certes, mais pas la fin du monde si votre société ne s’est pas (encore) mise en conformité. Il n’est bien évidemment pas trop tard pour entamer ce processus dès lors que la démarche est sincère.

D’ailleurs, Madame Isabelle Falque-Pierrotin, Présidente de la Commission Nationale de l’Informatique et des Libertés, le « gendarme des données personnelles », l’a indiqué à plusieurs reprises dans les médias (ici dernièrement https://business.lesechos.fr/directions-numeriques/digital/big-data/0301653076185-isabelle-falque-pierrotin-presidente-de-la-cnil-rgpd-le-25-mai-ne-sera-pas-une-date-couperet-pour-les-sanctions-320930.php ), la date du 25 mai 2018 n’est pas une « date couperet ». La CNIL, consciente que toutes les entreprises ne seront pas prêtes à cette date, accompagnera avec clémence les différents acteurs dans une démarche de mise en conformité.

Petit rappel de vos obligations si vous n’avez pas débuté votre processus de mise en conformité :

1. Recensez vos traitements de données

Bien que l’obligation de tenir un registre de traitements ne soit obligatoire que pour les sociétés de plus de 250 salariés, il est fortement recommandé de constituer un tel registre afin d’avoir une vision d’ensemble de vos traitements et d’être en mesure d’apporter la preuve de votre conformité au RGPD en cas de contrôle de la CNIL (principe d’ « accountability »).

Vous devez en conséquence recenser :
– Les différents traitements de données personnelles,
– Les objectifs poursuivis par les traitements de données (par exemple : la gestion des clients et prospects, l’établissement de la paie des salariés, la gestion des candidatures…) ;
– Les catégories de données personnelles traitées ;
– Les différents acteurs (internes ou prestataires sous-traitants externes) qui traitent ces données ;
– La durée de conservation de ces données ;
– Les flux de données en indiquant l’origine et la destination des données, afin notamment d’identifier les éventuels transferts de données hors de l’Union européenne.

L’établissement du registre des traitements est un bon moyen de vous interroger sur la pertinence des données :
– les données traitées sont-elles nécessaires à votre activité ?
– des données sensibles sont-elles traitées (données de santé, opinions syndicales, politiques, religieuses…) ?
– les données sont-elles conservées pour la seule durée pour laquelle vous en avez besoin ?
– les mesures de sécurité appropriées sont-elles mises en place ?
C’est également l’occasion d’améliorer vos pratiques, notamment en mettant en place une politique de durée de conservation des données et en minimisant la collecte de données.

2. Assurez le respect des droits des personnes

Le RGPD renforce les droits des personnes concernées notamment en terme d’information et d’accès aux données.
Il convient donc de vous interroger sur l’information des personnes concernées :
– les formulaires de contact, les conditions générales, les mentions légales comportent il des mentions d’information ? ;
– cette information est-elle claire, exhaustive et transparente ?

Pour mémoire, l’information doit viser les éléments suivants :
– quelle est la finalité du traitement ?
– sur quel fondement juridique êtes-vous autorisé à traiter les données ?
– qui accède aux données ?
– quelle est la durée de conservation des données ?
– quels sont les droits des personnes et comment les personnes concernées peuvent-elles les exercer ?
– les données sont-elles transférées hors de l’UE ?

La rédaction d’une politique de confidentialité peut vous permettre de renvoyer utilement les personnes concernées vers un document reprenant l’information de manière exhaustive.
Outre l’information des personnes, il convient que vous mettiez en place une procédure interne permettant aux personnes concernées d’exercer facilement et effectivement leurs droits : sur quelle boite e-mail est réceptionnée la demande d’accès ? Qui traite la demande ? Comment y répond-on ? Dans quel délai ?

3. Sécurisez vos données

Il vous appartient, en tant que responsable de traitement, de sécuriser les données que vous traitez contre les risques d’intrusion, de perte et de piratage.
Cela implique de :
– mettre en place des mesures techniques et organisationnelles en interne afin de garantir au mieux la sécurité des données ;
– revoir les contrats avec vos sous-traitants afin de reporter sur ces derniers la même obligation de sécurisation des données et de notification d’éventuelles failles de sécurité.

Le Cabinet MVM Avocats est à votre disposition pour vous assister dans la mise en conformité de vos traitements au regard du RGPD.[:en]Aujourd’hui est le jour tant attendu (ou redouté) par nombre de professionnels du marketing et plus généralement par toutes les personnes morales qui traitent des données personnelles à un moment ou un autre de leur processus client : inscription à une newsletter, création d’un compte client, carte de fidélité, achat sur internet… Tous sont concernés par l’entrée en application du Règlement européen n°2016/679 sur la protection des données personnelles adopté le 27 avril 2016 (dit « RGPD » ou « GDPR »).

Aujourd’hui est le grand jour, certes, mais pas la fin du monde si votre société ne s’est pas (encore) mise en conformité. Il n’est bien évidemment pas trop tard pour entamer ce processus dès lors que la démarche est sincère.

D’ailleurs, Madame Isabelle Falque-Pierrotin, Présidente de la Commission Nationale de l’Informatique et des Libertés, le « gendarme des données personnelles », l’a indiqué à plusieurs reprises dans les médias (ici dernièrement https://business.lesechos.fr/directions-numeriques/digital/big-data/0301653076185-isabelle-falque-pierrotin-presidente-de-la-cnil-rgpd-le-25-mai-ne-sera-pas-une-date-couperet-pour-les-sanctions-320930.php ), la date du 25 mai 2018 n’est pas une « date couperet ». La CNIL, consciente que toutes les entreprises ne seront pas prêtes à cette date, accompagnera avec clémence les différents acteurs dans une démarche de mise en conformité.

Petit rappel de vos obligations si vous n’avez pas débuté votre processus de mise en conformité :

1. Recensez vos traitements de données

Bien que l’obligation de tenir un registre de traitements ne soit obligatoire que pour les sociétés de plus de 250 salariés, il est fortement recommandé de constituer un tel registre afin d’avoir une vision d’ensemble de vos traitements et d’être en mesure d’apporter la preuve de votre conformité au RGPD en cas de contrôle de la CNIL (principe d’ « accountability »).

Vous devez en conséquence recenser :
– Les différents traitements de données personnelles,
– Les objectifs poursuivis par les traitements de données (par exemple : la gestion des clients et prospects, l’établissement de la paie des salariés, la gestion des candidatures…) ;
– Les catégories de données personnelles traitées ;
– Les différents acteurs (internes ou prestataires sous-traitants externes) qui traitent ces données ;
– La durée de conservation de ces données ;
– Les flux de données en indiquant l’origine et la destination des données, afin notamment d’identifier les éventuels transferts de données hors de l’Union européenne.

L’établissement du registre des traitements est un bon moyen de vous interroger sur la pertinence des données :
– les données traitées sont-elles nécessaires à votre activité ?
– des données sensibles sont-elles traitées (données de santé, opinions syndicales, politiques, religieuses…) ?
– les données sont-elles conservées pour la seule durée pour laquelle vous en avez besoin ?
– les mesures de sécurité appropriées sont-elles mises en place ?
C’est également l’occasion d’améliorer vos pratiques, notamment en mettant en place une politique de durée de conservation des données et en minimisant la collecte de données.

2. Assurez le respect des droits des personnes

Le RGPD renforce les droits des personnes concernées notamment en terme d’information et d’accès aux données.

Il convient donc de vous interroger sur l’information des personnes concernées :
– les formulaires de contact, les conditions générales, les mentions légales comportent il des mentions d’information ? ;
– cette information est-elle claire, exhaustive et transparente ?

Pour mémoire, l’information doit viser les éléments suivants :
– quelle est la finalité du traitement ?
– sur quel fondement juridique êtes-vous autorisé à traiter les données ?
– qui accède aux données ?
– quelle est la durée de conservation des données ?
– quels sont les droits des personnes et comment les personnes concernées peuvent-elles les exercer ?
– les données sont-elles transférées hors de l’UE ?

La rédaction d’une politique de confidentialité peut vous permettre de renvoyer utilement les personnes concernées vers un document reprenant l’information de manière exhaustive.

Outre l’information des personnes, il convient que vous mettiez en place une procédure interne permettant aux personnes concernées d’exercer facilement et effectivement leurs droits : sur quelle boite e-mail est réceptionnée la demande d’accès ? Qui traite la demande ? Comment y répond-on ? Dans quel délai ?

3. Sécurisez vos données

Il vous appartient, en tant que responsable de traitement, de sécuriser les données que vous traitez contre les risques d’intrusion, de perte et de piratage.

Cela implique de :
– mettre en place des mesures techniques et organisationnelles en interne afin de garantir au mieux la sécurité des données ;
– revoir les contrats avec vos sous-traitants afin de reporter sur ces derniers la même obligation de sécurisation des données et de notification d’éventuelles failles de sécurité.

Le Cabinet MVM Avocats est à votre disposition pour vous assister dans la mise en conformité de vos traitements au regard du RGPD.[:]