Voici la liste des articles publiés par notre cabinet.

Le Conseil d’Etat, saisi du recours d’un gendarme contre la décision du ministre de la défense le sanctionnant pour consultation à des fins personnelles d’un fichier auquel il avait accès dans le cadre de ses fonctions, confirme le manquement de détournement de finalité.  


Le respect de la finalité de traitement est au cœur du dispositif relatif à la protection des données à caractère personnel et la loi Informatique et libertés soumet le manquement à ce principe fondamental à des dispositions pénales.


C’est ainsi que l’article 226-21 du code pénal punit de cinq ans d'emprisonnement et de 300 000 euros d'amende "le fait, par toute personne détentrice de données à caractère personnel à l'occasion de leur enregistrement, de leur classement, de leur transmission ou de toute autre forme de traitement, de détourner ces informations de leur finalité telle que définie par la disposition législative, l'acte réglementaire ou la décision de la Commission nationale de l'informatique et des libertés autorisant le traitement automatisé, ou par les déclarations préalables à la mise en œuvre de ce traitement ".


Au-delà du respect de leur finalité, l’accès à de tels traitements est strictement limité aux : "personnels spécialement habilités des services de la police et de la gendarmerie nationales désignés à cet effet (…) [qui] peuvent accéder aux informations, y compris nominatives, figurant dans les traitements de données personnelles prévus par la présente section et détenus par chacun de ces services. L'habilitation précise la nature des données auxquelles elle autorise l'accès…" (article 230-10 du code de procédure pénale, dans sa rédaction applicable aux faits litigieux).  


C’est au vu de ces dispositions que le Conseil d’Etat confirme le bien-fondé de la sanction infligée au militaire, lequel a consulté, de façon répétée pendant plusieurs mois, à des fins personnelles, 300 fiches individuelles de renseignements du traitement de police judiciaire, auxquelles il avait accès dans le cadre de ses fonctions.

 

Odile Jami-Caston, juriste experte, directrice du pôle Data Privacy & RGPD Compliance & Mathieu Vincens, juriste

La liste d'opposition au démarchage téléphonique Bloctel a été créée le 17 mars 2014 par la loi n°2014-344 relative à la consommation, dite loi Hamon.

Le dispositif Bloctel permet à tout consommateur de s’inscrire gratuitement sur une liste d'opposition, de sorte à ne plus être démarché par un professionnel avec lequel il n’est pas en relation contractuelle.

Néanmoins, des consommateurs se plaignent régulièrement du démarchage téléphonique effectué auprès d'eux par des entreprises alors même qu’ils sont inscrits au dispositif d’opposition Bloctel, dont la direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) est chargée de contrôler le respect. 

 

Sanction de la DGCCRF

C'est ainsi que le service national des enquêtes (SNE) de la DGCCRF a prononcé le 25 avril 2019 une amende administrative de 75 000 euros à l'encontre de la société SAS Ocealis, exploitant le nom commercial « La Téléassistance » et l’enseigne Homveil, qui agit dans le domaine de la téléassistance à domicile pour personnes âgées.

La DGCCRF a reproché à la société Ocealis des manquements aux articles L. 223-1 (interdisant le démarchage téléphonique d'un consommateur inscrit sur une liste d'opposition au démarchage téléphonique) et L. 223-2 (obligation d'informer le consommateur de son droit à s'inscrire sur la liste d'opposition au démarchage téléphonique) du Code de la consommation et a sanctionné ce démarchage abusif de l'amende maximale envisagée. 

 

Un dispositif à améliorer

Face aux insuffisances du dispositif d’opposition Bloctel, une proposition de loi est actuellement en discussion au Parlement, qui vise à mieux encadrer le démarchage téléphonique et à lutter contre les appels abusifs.

Il s’agit en particulier de rehausser le plafond des sanctions à 375 000 euros d’amende administrative pour les démarcheurs qui sollicitent des personnes inscrites sur Bloctel.

Un terrain d’entente doit toutefois être trouvé entre les professionnels et les consommateurs : si les associations de consommateurs plaident en faveur d’une totale interdiction d’appeler les personnes qui n’ont pas explicitement donné leur accord préalable "opt in", les entreprises privilégient des modalités de démarchage moins contraignantes reposant sur une logique de droit d'opposition "opt out". 

 

Protection des données personnelles et démarchage téléphonique

Ce dispositif s'inscrit en cohérence avec les règles relatives à la collecte et au traitement de données à caractère personnel, à savoir le Règlement général sur la protection des données du 25 mai 2018 (RGPD) et la loi Informatique et libertés du 6 janvier 1978 dans sa version modifiée. 

En effet, la prospection téléphonique, du fait de la collecte et l’utilisation des nom, prénom, et numéro de téléphone du consommateur, implique le respect de nombreuses obligations, notamment en matière d’information et de respect des droits de la personne concernée.

Le professionnel ne respectant pas le dispositif Bloctel encourt dès lors une amende administrative prononcée par la DGCCRF, à laquelle pourrait s’ajouter une sanction prononcée par la CNIL (partenaire de la DGCCRF), dont les amendes administratives peuvent atteindre jusqu’à 4 % du chiffre d’affaires annuel mondial de l’entreprise.
 

Arthur Poirier, avocat

 

Expertise: Contrats

 

En infligeant une amende administrative à un bourgmestre pour utilisation de données personnelles à des fins électorales, l’autorité de contrôle véhicule un message selon lequel la protection des données est l’affaire de tous.

 

David Stevens, Président de l’APD commente :

« La protection des données personnelles est à la fois un état d’esprit et une pratique : le responsable du traitement doit toujours poser un regard critique sur l’utilisation qu’il souhaite faire des données à sa disposition. »

L’affaire portait sur l’envoi, par un bourgmestre, d’un courriel électoral personnalisé à partir de données dont il avait eu connaissance dans le cadre de sa fonction. Il avait utilisé des adresses électroniques visibles en copie d’un courriel que lui avait adressé un architecte au cours d’échanges sur un dossier portant sur une modification de lotissement. Au vu de ces éléments, la chambre contentieuse a conclu au non-respect d’un principe fondamental de la protection des données à caractère personnel, en l’espèce le traitement de données pour des finalités non compatibles avec leurs finalités initiales. Pour autant, le montant de l’amende, relativement modéré, prend en considération le nombre limité des personnes touchées, la nature, la gravité et la durée de l’infraction.

Dans une délibération du 24 juillet 2018, la formation restreinte de la CNIL, sanctionnait  l’Office Public de l’Habitat de Rennes pour utilisation des fichiers d’usagers à des fins politiques. Le président de l’Office, maire de la commune, avait envoyé à tous les locataires dont il disposait des adresses dans le cadre de ses fonctions, un courrier critique à l’égard d’une décision gouvernementale. Malgré les arguments avancés par le mis en cause, la CNIL avait considéré qu’un tel envoi ne revêtait pas une fonction purement informative et ne relevait, ni des missions légales du bailleur, ni des finalités principales d’un traitement de locataires. Les circonstances de l’affaire, en l’espèce le traitement intentionnel des données au mépris de leur finalité initiale et le nombre important de personnes concernées, l’avaient aussi amenée à évaluer le montant de la sanction (30 000 euros) et à décider de sa publicité.

Il ressort de ces deux décisions que le principe de loyauté dans la collecte des données et dans leur utilisation demeure le centre névralgique de la protection des données à caractère personnel.

Malgré les nouvelles procédures d’accountability qui s’imposent désormais aux responsables de traitements, les autorités de protection des données rappellent régulièrement au respect des principes fondateurs du dispositif.

 

Nos recommandations pour respecter les finalités de vos traitements de données personnelles

  • Le respect de la finalité initiale, autrefois apprécié à partir de la déclaration à la CNIL, le sera désormais au regard des finalités dont les intéressés ont été informés,
  • Veillez, de manière permanente, et pour toute utilisation des données à caractère personnel, à respecter le périmètre des finalités ayant justifié la collecte des données.

En cas de modification des finalités initialement envisagées :

  • Procédez à une nouvelle information des intéressés,
  • Veillez à la mise à jour de votre registre des activités de traitements,

Réévaluez la nécessité de conserver les données collectées si la finalité du traitement était amenée à être réduite.

 

Odile Jami-Caston, juriste experte, directrice du pôle Data Privacy & RGPD Compliance

 

 

Le 15 avril 2019, l’Agence nationale de la sécurité des systèmes d'information (ANSSI) a publié son rapport annuel de l’année 2018.

Guillaume Poupard, directeur général, y dresse deux constats : "d’abord les attaquants exploitent de plus en plus les relations de confiance établies entre partenaires pour accéder aux informations qu’ils convoitent. Ensuite – et c’est encore plus inquiétant -, des groupes très organisés s’emploient à préparer ce qui ressemble aux conflits de demain en s’introduisant dans les infrastructures des systèmes les plus critiques (….)"

Le rapport présente les grandes tendances des menaces sur la sécurité numérique en France, au cours de l’année 2018 :

  • l’espionnage : "un intérêt renforcé des attaquants à l’égard de secteurs d’activité d’importance vitale et infrastructures critiques spécifiques a pu être constaté, à l’instar des secteurs de la défense, de la santé ou encore de la recherche",

  • les attaques indirectes : "de plus en plus d’attaquants choisissent de compromettre une cible intermédiaire (fournisseur, prestataire, etc.) et d’exploiter la relation de confiance qui l’unit à la cible finale pour toucher cette dernière. (….) Les attaquants parviennent ainsi à contourner les mesures de sécurité de très grandes organisations qui sont de plus ne plus conscientes du risque numérique et de la nécessité de s’en prémunir",

  • les opérations de déstabilisation et d’influence : "les attaques informatiques menées à des fins de déstabilisation ou d’influence ont été particulièrement nombreuses en 2018",

  • les cryptomonnaies ciblées : "contrairement aux rançongiciels, ces logiciels malveillants se font les plus discrets possibles. L’année 2018 a mis en évidence une tendance qui pousse ces cybercriminels à s’organiser en réseaux",

  • la fraude en ligne : les attaques sont tournées davantage sur les cibles plus "vulnérables" comme "les collectivités territoriales ou des acteurs du secteur de la santé".

 

Afin de lutter efficacement contre les menaces, l’ANSSI a notamment :

  • créé de nombreux dispositifs tels que SecNumEco, SecNumedu-FC, CyberEdu, et le programme de sensibilisation en ligne SecNumacadémie,

  • accompagné les opérateurs de services essentiels (OSE) pour la mise en place de la directive européenne Network and Information Security (NIS),

  • créé le Visa de sécurité. L’ANSSI permet enfin de certifier les solutions et services sécurisés.

 

Enfin, concernant l’intelligence artificielle, l’ANSSI soulève qu’ "au-delà des questions éthiques liées au développement de l’IA, la prise en compte de la sécurité dès la conception des nombreux projets ayant recours à ces nouvelles technologies apparaît donc comme une condition sine qua non de son acceptation sociale".

(rapport annuel de 2018 de l’ANSSI, p. 50).


Le rapport annuel est également l’occasion de rappeler que l’ANSSI fête ses 10 ans.

 


Marine Hardy, avocat, responsable des pôles Innovations et Sécurité et Pauline Vital, avocat

 

 

#Sécurité, cybersécurité

Le 12 avril dernier, un projet de loi intitulé « Algorithmic Accountability Act of 2019 », initié par trois sénateurs américains (Cory Booker, Ron Wyden et Yvette Clarke) a été proposé au Sénat.

Cette initiative intervient quelques semaines seulement après que Facebook a été accusé d’avoir procédé à une discrimination dans la diffusion d’annonces de logements, en violation du « Fair House act ».

 

Ce projet vise à imposer une transparence dans le cadre de l’utilisation des algorithmes notamment par l’instauration d’évaluations régulières des algorithmes et une utilisation a minima des données.

Le champ d’application proposé est pour l’heure restrictif, il concerne toute personne morale :

  • dont le chiffre d’affaire annuel moyen des trois dernières années est supérieur à 50 millions de dollars, ou
  • qui traite ou détient les données personnelles de plus d’un million de personnes ou de plus d’un million d’appareils, ou
  • qui est détenue ou contrôlée par une entreprise qui réunit les conditions énoncées ci-dessus, ou
  • qui est un courtier en données ou un autre type d’entité commerciale dont l’activité principale consiste à acheter ou vendre les données des consommateurs.

Le projet de loi entend donner pouvoir à la Commission fédérale du commerce (Federal Trade Commission) pour établir des règles imposant des "analyses d’impact", à savoir des études permettant d’évaluer l’étendue de protection de la vie privée et de la sécurité conférée par le système d’information.

 

Ces analyses d’impact devront être conduites lors de la mise en place de certaines catégories d’algorithmes, ainsi que sur ceux qui sont déjà existants. Sont visés en particulier les algorithmes qualifiés au sens de cette loi de "système de décision automatisé à risque élevé" c’est-à-dire :

1.    ceux qui présentent un risque élevé :

  • pour la vie privée ou la sécurité des données à caractère personnel, ou
  • de conduire ou de contribuer à une décision erronée, injuste, tendancieuse ou discriminatoire affectant les individus, ou

2.    ceux qui permettent de prendre des décisions ou de faciliter la prise de décision, sur la base de l’évaluation large et systématique des individus, en ce compris la tentative d’évaluer ou de prédire des aspects sensibles de leur vie tels que leur performance de travail, leur situation économique, leur santé, leurs préférences personnelles, leurs intérêts, leur comportement, leur localisation ou leurs mouvements et qui :

  • restreignent leurs droits, ou qui
  • les affectent de façon significative,

3.    ceux qui impliquent les données personnelles d’un grand nombre d’individus notamment sur la couleur de peau, l’origine, les opinions politiques, la religion, l’appartenance syndicale, les données génétiques, biométriques, de santé, le sexe, l’orientation sexuelle, les condamnations criminelles, etc.


4.    ceux qui contrôlent de façon systématique un lieu de grande taille et accessible au public.

Dans le cas où l’entreprise réalise, lors de cette évaluation, que ses algorithmes effectuent des traitements discriminatoires, elle aura alors non seulement l’obligation d’écrire un rapport détaillé sur les traitements automatisés effectués par ces derniers mais elle aura aussi l’obligation d’y remédier dans les meilleurs délais afin d’empêcher que ces pratiques discriminatoires perdurent.

Ces dispositions ne sont pas sans rappeler les mécanismes des études d’impact sur la vie privée et la règlementation des processus de décision automatisée introduites par le RGPD.

 

Marine Hardy, avocat, responsable des pôles Innovations et Sécurité et Lamia El Fath, avocat

 

#Innovation #Protection des données