Vers l’adoption d’une recommandation définitive sur les modalités de recueil du consentement au dépôt des cookies

La CNIL avait annoncé la publication d’une recommandation sur les modalités du recueil du consentement pour l’utilisation de cookies et autres traceurs au plus tard pour le début de l’année 2020. Ce projet de recommandation a été publié le 14 janvier et est soumis à consultation publique jusqu’au 25 février.

Cette recommandation a pour objet de préciser les modalités pratiques du recueil du consentement afin de guider les professionnels dans leur mise en conformité.

En effet, force est de constater, dans ce domaine, que la pratique reste dans l’ensemble très éloignée des règles du RGPD . En effet, de nombreux cookies non indispensables à la navigation sont présents sur les sites internet, sans pour autant que le recueil du consentement préalable soit effectué. On pourrait imaginer qu’il s’agit, en France, d’une conséquence de la publication récente des nouvelles lignes directrices de la CNIL en la matière, et notamment de l’application de la période transitoire laissée aux acteurs numériques pour se mettre en conformité.

Cette position de la CNIL sur l’application de ses dernières lignes directrices a été critiquées par les “deux camps” opposés en matière de protection des données : les associations de protection des citoyens comme les professionnels du secteur de la publicité en ligne, les premiers trouvant l’octroi d’une période transitoire aux acteurs trop clémente car non conforme au RGPD d’application directe, et les seconds, trop stricte, l’exigence de recueil du consentement préalable risquant de bloquer la collecte des données via les traceurs en ligne. Le Conseil d’État avait finalement décidé, en référé et au fond, que la période transitoire accordée par la CNIL ne portait pas “une atteinte excessive au droit au respect de la vie privée et au droit à la protection des données personnelles”.

On constate toutefois que de nombreux sites ne sont pas non plus conformes à la délibération antérieure, puisque très fréquemment, des cookies sont déposés sur les terminaux des utilisateurs avant même que ceux-ci aient consenti à leur dépôt ou bien aient poursuivi leur navigation par un “scroll significatif’.

Or, la difficulté en la matière est bien d’allier les aspects juridiques avec les aspects techniques, de trouver des outils conformes, mais également de répondre à des exigences parfois perçues comme contradictoires : délivrer une information complète aux personnes concernées et être synthétique et lisible dans la rédaction des politiques d’information sur les données personnelles. La CNIL elle-même avait choisi, provisoirement, de retirer tous les cookies de son site internet suite à la publication de ses dernières lignes directrices, le temps d’opérer, vraisemblablement, des mises à jour techniques.

La publication définitive de la recommandation sera donc particulièrement bienvenue, en complétant la cadre règlementaire par des précisions opérationnelles.

A noter, ce cadre pourra à nouveau être amené à évoluer une fois la directive e-privacy adoptée. Il faut espérer, pour les responsables de traitement, que ces éventuelles évolutions se feront dans la continuité, afin de leur éviter une mise à jour juridique ou technique d’ampleur.

Le Cabinet suit de très près les évolutions règlementaires et les préconisations opérationnelles de la CNIL afin de vous accompagner aux mieux dans la mise en conformité de vos sites internet et plus largement de vos traitements de données personnelles.

Contrefaçon, concurrence déloyale et parasitisme : pas de condamnation sans démonstration circonstanciée

Le 16 janvier 2020, le Cabinet a obtenu avec succès, devant la première chambre civile du Tribunal judiciaire de Marseille, le rejet des demandes d’une société qui souhaitait faire condamner l’activité d’un concurrent dont elle estimait que le nom commercial constituait une contrefaçon de sa marque déposée.

Or, le tribunal a jugé que cette société échouait à démontrer :

  • Pour la contrefaçon, le risque de confusion entre les signes comparés;
  • Pour la concurrence déloyale, la démonstration d’actes serviles d’imitation ou de reproduction de sa marque ;
  • Pour le parasitisme, l’existence d’actes de captation indue de ses efforts et investissements.

En conséquence, le Tribunal judiciaire de Marseille a non seulement rejeté l’ensemble de ses demandes au nom du principe général de libre concurrence, mais l’a également condamnée à régler les dépens ainsi qu’à verser 3000 euros à la défenderesse au titre de l’article 700 du Code de procédure civile.

Si vous êtes également accusé d’actes de contrefaçon ou de concurrence déloyale et de parasitisme, ou qu’à l’inverse, vous souhaitez assigner un concurrent indélicat, prenez-rendez vous pour évaluer vos chances de succès :

Extrait du jugement :

Les PME doivent-elles craindre la CNIL?

Les enjeux de la compliance RGPD peuvent parfois être perçus comme insurmontables pour les start-up ou les PME qui ont d’autres défis à relever.

La tentation de faire l’autruche est donc grande. C’est toutefois un mauvais calcul à long terme : les chantiers laissés en friche peuvent rapidement se révéler mortifères pour les entreprises dont l’activité repose pour une part importante sur le traitement de données, pour leur compte ou celui de clients (ex : développement de solutions logicielles, marketing,…). L’activité ou les produits n’ayant pas été pensés pour être conformes dès l’origine, il sera plus difficile d’intégrer le cadre règlementaire a posteriori et le développement de la société en sera freiné voire compromis.

En effet, si la CNIL, les personnes concernées ou très probablement les clients demandent des preuves de conformité, le retard sera difficile à rattraper si rien n’a été fait en amont.

Or, la question de la gouvernance et de la protection des données devient incontournable.

Certaines PME espèrent que la CNIL tiendra compte de leur situation économique. La CNIL a pourtant balayé l’excuse de la viabilité économique dans sa décision condamnant l’éditeur du site Challenges.fr à une amende de 25.000 euros pour non respect de la réglementation sur les cookies, sanction confirmée par le Conseil d’Etat.

D’autres estiment que la CNIL cible avant tout les GAFAM. C’est faux, au vu de l’historique des sanctions. S’il est vrai que la sanction contre Google LLC de 50 millions d’euros a fait couleur beaucoup d’encre, des sociétés de tailles hétérogènes ont pu faire l’objet de contrôle et de sanctions. La période de tolérance annoncée par la CNIL est désormais révolue, et toutes les entreprises sont concernées par la règlementation quelle que soit leur taille. La CNIL a par ailleurs énormément travaillé à faciliter le travail de mise en conformité en rédigeant de nombreux documents pédagogiques, ce qui réduit d’autant l’argument selon lequel la règlementation serait inaccessible.

Elle procède actuellement à de nombreux recrutement et il y a fort à parier que ses contrôles auront vocation à s’étendre au cours des prochains mois.

Le Cabinet propose des programmes de mise en conformité adaptés au enjeux et aux ressources de chaque entreprise, association ou collectivité et vous guidera pour la mise en place des outils de conformité adéquats.

Conférence de l’AFDIT sur la patrimonialisation de la donnée à Marseille

Le Cabinet a eu le plaisir de se rendre à la conférence de l’AFDIT sur la patrimonialisation de la donnée qui a eu lieu le vendredi 6 décembre à Marseille.

Le statut juridique de la donnée et plus particulièrement de la donnée personnelle est encore une source d’interrogations pour les praticiens.

A cet égard, ont été évoqués dans la matinée les différents statuts juridiques de la donnée envisageables, sous l’angle universitaire, suivi dans l’après-midi des regards de praticiens, qu’ils travaillent au sein de start-up, grandes entreprises, ou encore en cabinet d’expertise comptable, office notarial ou dans le domaine de l’assurance.

La délicate question de la transmission du patrimoine numérique a été exposée sous l’angle pratique, la mort physique entrainant de nombreuses questions sur le sort de ce patrimoine, mal appréhendé du vivant des personnes.

Il a également été fait état de la difficulté d’évaluer la valeur de la donnée, qui est contingente, suivant sont parcours et ses utilisations ultérieures, et en conséquence de la difficulté de proposer des produits d’assurance adaptés.

En effet, si les conséquences financières d’un piratage ou d’une perte de données sont chiffrables pour une entreprise, il n’en va pas de même de la valeur intrinsèque d’une donnée. La question de l’évaluation du préjudice causé aux personnes concernées suite à une violation de données est également source de nombreuses interrogations, les premières jurisprudences sur le sujet commençant à apparaître.

Ces questions demeurent en suspens et nul doute que les très intéressantes propositions et pistes doctrinales évoquées en première partie de journée contribueront à alimenter une réflexion plus que jamais nécessaire. Au législateur ensuite de s’emparer de la question et de poser les jalons d’un véritable statut juridique de la donnée, afin de mieux pouvoir déterminer le ou plutôt les régimes juridiques applicables.

Violation de données : faut-il tout déclarer?

L’article 33 du RGPD dispose qu’en “cas de violation de données à caractère personnel, le responsable du traitement notifie la violation en question à l’autorité de contrôle compétente …dans les meilleurs délais….à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques“.

La notification des violations de données à l’autorité de contrôle est ainsi le principe, l’exception étant l’absence de notification si la violation n’engendre aucun risque pour les droits et libertés des personnes concernées.

La notion de risque pour les droits et libertés des personnes concernées est notamment précisée au considérant 75 du RGPD. Le risque peut ainsi résulter d’un traitement susceptible “d’entraîner des dommages physiques, matériels ou un préjudice moral” et en particulier “une discrimi­nation, un vol ou une usurpation d’identité, une perte financière, une atteinte à la réputation …ou tout autre dommage économique ou social important“.

Or, rares sont les violations de données non susceptibles d’engendrer un risque pour les droits et libertés des personnes concernées. Dès lors, au vu de leur occurrence élevée (ex : perte d’une clef USB non cryptée contenant des données personnelles) de nombreuses entreprises et organismes devraient avoir déclaré des violations de données à la CNIL.

S’il est vrai qu’une telle déclaration est de nature à déclencher un contrôle, il est raisonnable de considérer que l’absence de toute déclaration pourrait en déclencher également : c’est un indice d’absence de prise en compte des obligations issues du RGPD. A chaque entreprise d’entreprendre de changer ses pratiques, et dans une logique de responsabilité, de ne pas omettre d’alerter l’autorité de contrôle en cas de violation de données.

Cela implique d’avoir mis en place les outils internes permettant de respecter les délais impartis (72 heures à compter de la prise de connaissance de la violation, un retard devant être justifié) et d’avoir conscience que déclarer les violations de données n’est pas nécessairement le signe d’une non conformité, au contraire.

PIA, mode d’emploi

L’article 35 du RGPD fixe les critères pour déterminer le caractère obligatoire ou non d’une analyse d’impact relative à la protection des données (ou Privacy Impact Assessment). Toutefois, leur caractère général sème parfois le trouble dans l’esprit des responsables de traitement, qui peuvent avoir des difficultés pour les appliquer à des cas concrets. C’est notamment les notions de risque élevé et de grande échelle qui posent parfois difficulté aux praticiens.

Or, les conséquences de ces incertitudes peuvent être importantes, notamment pour les responsables de traitement qui effectuent de nombreux traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées. En effet, une étude d’impact est une analyse complète d’un traitement, au plan juridique comme technique (étude des mesures de sécurité mises en place), qui nécessite une mobilisation non négligeable de collaborateurs internes ou externes, aux compétences complémentaires. Il est naturellement préférable pour le responsable de traitement d’économiser ses ressources pour mener correctement les actions de conformité réellement nécessaires.

Des critères généraux…

Le rôle de l’analyse d’impact est précisé au considérant 84 du RGPD, qui expose que l’objet d’une AIPD est d’« évaluer, en particulier, l’origine, la nature, la particularité et la gravité » du risque pour les droits et libertés des personnes.

Or, c’est bien, en premier lieu, le caractère élevé du risque qui déclenche la nécessité d’établir une étude d’impact, et donc le premier élément à analyser.

L’article 35.3 du RGPD guide le responsable de traitement en précisant les cas dans lesquels une analyse d’impact est requise, « en particulier » :

  • L’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques fondée sur un traitement automatisé, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à leur égard ;
  • Le traitement à grande échelle de catégories particulières de données visées à l’article 9 paragraphe 1 ;
  • La surveillance systématique à grande échelle d’une zone accessible au public.

Ces critères ne sont toutefois aucunement exhaustifs et restent généraux. Des lignes directrices du G29 du 4 avril 2017 les précisent utilement.

…Précisés par le G29

Le G29 liste 9 critères, tirés des références au risque pour les droits et libertés des personnes dans le RGPD. Plus ces critères s’appliquent à un traitement, plus le PIA doit être considéré comme nécessaire. Toutefois, il s’agit d’une aide à l’analyse, qui peut aller dans un sens ou dans l’autre, dès lors que le raisonnement du responsable de traitement est justifié et documenté. Par exemple, si plusieurs critères sont remplis, mais que le responsable de traitement estime qu’ils ne sont pas suffisants pour caractériser un risque élevé, il devra documenter sa décision argumentée et faire référence à l’opinion du DPO. A l’inverse, un traitement satisfaisant à un seul critère peut être susceptible de générer un risque élevé et être soumis à l’obligation d’effectuer une AIPD.

Le G29 considère cependant qu’un traitement satisfaisant deux critères devra, de manière générale, être soumis à une AIPD.

Parmi ces critères, le G29 relève en premier lieu les traitements d’évaluation et de notation, notamment ceux visant à évaluer des aspects personnels des personnes concernées, comme « le rendement au travail, la situation économique, les préférences ou les centres d’intérêts personnels » en référence au considérant 75 du RGPD.

La notion de grande échelle est également utilement précisée. Le G29 recommande de tenir compte, en particulier, des facteurs suivants :

  • Le nombre de personnes considérées, soit en valeur absolue, soit en proportion de la population considérée ;
  • Le volume des données et/ou les éléments constitutifs des données traitées ;
  • La durée ou la permanence de l’activité de traitement de données ;
  • L’étendue géographique de l’activité de traitement.

Les lignes directrices précitées donnent également de nombreux exemples, permettant d’illustrer l’application de ces critères. Il est ainsi nécessaire de lire l’article 35 du RGPD à travers leur prisme.

…et les délibérations de la CNIL

La CNIL a publié une délibération listant les traitements pour lesquels une analyse d’impact est requise conformément à l’article 35.5 du RGPD.  Une liste des traitements pour lesquels une telle analyse n’est pas requise devrait être prochainement publiée, comme le prévoit l’article 35.6.

Aspects pratiques

Il peut être utile, lorsqu’un responsable de traitement doit analyser le risque présenté par de nombreux traitements, de systématiser une pré-analyse adaptée à son activité permettant d’évaluer l’existence d’un risque élevé, lui permettant de sélectionner les traitements destinés à faire l’objet d’une AIPD.

L’analyse d’impact n’est pas un document figé et doit être mise à jour en même temps que les évolutions du traitement : des changements techniques ou d’échelle peuvent modifier le résultat de la précédente analyse. Le G29 propose également en annexe 2 de ses lignes directrices une « check list » pour vérifier qu’une analyse est suffisamment complète.

Enfin, pour rappel, l’analyse d’impact, réalisée avec ou sans l’aide du logiciel mis à disposition par la CNIL, est interne à l’entreprise, et ne doit être communiquée à la CNIL qu’en cas de risque résiduel élevé pour les droits et libertés des personnes concernées.

27ème Congrès de l’ACE sur l’IA

Le Cabinet a participé au 27ème congrès de l’Association des Avocats Conseils d’Entreprises à Lyon, sur la thématique de l’Intelligence Avocat, et particulièrement des enjeux de la digitalisation de la profession d’avocat.

Outre les séances plénières riches d’enseignements et de partage qui ont rythmé le congrès, des ateliers de haut niveau ont été animés par des Avocats et experts issus d’autres horizons professionnels, sur des thématiques telles que la fiscalité de la propriété intellectuelle, le droit européen, les levées de fonds ou encore la synergologie. Des ateliers “Fil Rouge” sur la thématique de l’Intelligence Avocat ont été restitués avec talent lors de la Plénière de Clôture, le mot de la fin revenant naturellement à Delphine Gallin, Présidente de l’ACE, qui a exprimé sa joie de voir ses consœurs et confrères réunis pour échanger et progresser tout en partageant de nombreux moments conviviaux .

Le programme très dense et ambitieux du Congrès a permis, sans nul doute, à chacun des participants de repartir avec une “boîte à outils” et de nombreuses idées pour améliorer son Cabinet, avec un objectif partagé : améliorer le service rendu aux clients, notamment grâce à des outils numériques performants.

RGPD et sanctions de la CNIL : fin de la période de tolérance

La CNIL ne s’est pas dotée d’une armée de contrôleur prête à sévir au 25 mai 2018. Elle a certes dû renforcer ses équipes suites aux nombreuses plaintes de particuliers, mais n’avait pas prévu d’adopter une approche « tout sanction » au jour de l’entrée en vigueur du RGPD, qui aurait par ailleurs contrastée avec son approche pédagogique habituelle. De plus, c’est en général après mise en demeure préalable que la CNIL prononce ses sanctions. Toutefois, quand bien même aucune sanction n’est prononcée en raison de la mise en conformité du responsable de traitement dans les délais impartis, la publicité de la mise en demeure peut porter un préjudice réputationnel et occasionner une perte de confiance des clients (voir notamment les mises en demeure publiques des mutuelles Humanis et Malakoff-Mederic https://www.cnil.fr/fr/groupes-humanis-et-malakoff-mederic-cloture-des-mises-en-demeure ). En tout état de cause, cette approche relativement tolérante ne devait opérer que dans un premier temps, et surtout, la plupart des principes fondamentaux relatifs à la licéité des traitements de données existaient avant l’entrée en vigueur du règlement. En conséquence, leur violation n’a pas bénéficié de la mansuétude de la CNIL. En effet, comme l’a expliqué Mathias Moulin, directeur de la protection des droits et des sanctions au sein de l’autorité de contrôle, il ne peut y avoir de tolérance lorsque le business model d’une entreprise repose sur une pratique illicite.

Il sera intéressant d’observer l’évolution des pratiques de sanctions de la CNIL depuis le changement de sa présidence, désormais occupée par Madame Marie-Laure Denis, ayant fait carrière entre autres à l’ARCEP ainsi qu’au CSA. La nouvelle Présidente a annoncé plus de fermeté envers les entreprises. Elle a cependant reconnu le sous-dimensionnement des effectifs de la CNIL, qui sont passés de 200 à 215 en 2019, au regard des enjeux. A noter, le programme de contrôle de la CNIL pour 2019 porte sur :

  • Le respect des droits des personnes, renforcés depuis le 25 mai 2018 ;
  • Le contrôle des responsabilités et conventions conclues entre responsables de traitement et sous-traitants, obligatoires, et enfin ;
  • La protection des droits des mineurs sur internet.

Les contrôles peuvent également être déclenchés suite aux plaintes des personnes concernées, d’où l’importance d’assurer le respect effectif de leurs droits, grâce à des mentions d’information claires et complètes, ainsi que des mesures organisationnelles internes. Il est également important de s’assurer de la conformité des sites internets de son entreprise : ils constituent une vitrine et à ce titre, donnent une première idée du niveau de conformité d’un organisme.

Cookies : nouvelles recommandations de la CNIL

La recommandation de la CNIL du 5 décembre 2013 sur les cookies a été remplacée par une délibération du 4 juillet 2019, venant implémenter les exigences renforcées du RGPD en matière de consentement.

En effet, dans sa recommandation du 5 décembre 2013, la CNIL admettait que la poursuite de la navigation par un internaute dûment informé était une forme de consentement valable au dépôt des cookies sur son terminal.

Elle considère désormais que le consentement doit se “manifester par le biais d’une action positive de la personne préalablement informée des conséquences de son choix et disposant des moyens de l’exercer”. Elle précise ensuite que le fait de continuer à naviguer sur un site web ne constitue pas une action positive claire assimilable à un consentement valable.

Dans un communiqué du 18 juillet 2019, la CNIL avait indiqué laisser aux acteurs une période transitoire de 6 mois, afin qu’ils aient le temps de se conformer aux principes divergents de la précédente recommandation, dans le respect de l’exigence de prévisibilité juridique. Toutefois, le RGPD étant d’application directe depuis le 25 mai 2018, la prudence reste de mise.

Certaines associations, dont la Quadrature du Net, ont rapidement engagé des actions devant la justice administrative afin d’ordonner la suspension et l’invalidation de cette délibération de la CNIL, en soutenant qu’elle contrevient à l’article 4 du RGPD sur le consentement. Le Conseil d’état a rejeté leur recours en référé par une ordonnance du 14 août 2019. Reste à savoir ce qu’il décidera dans la procédure au fond. En attendant, la prudence incite à opter pour une mise en conformité complète et rapide de ses sites internets, notamment en recueillant un consentement expresse des internautes au dépôt des cookies pour lesquels il est nécessaire.

E-commerce : attention au copier-coller de CGU/CGV et de mentions légales

La tentation peut être grande, lorsqu’on créé son site internet, de copier-coller des CGU/CGV ou mentions légales tierces. Attention, cela peut correspondre à plusieurs qualifications juridiques qui peuvent entrainer une condamnation au titre des règles :

  • De la concurrence déloyale;
  • du droit de la consommation;
  • de la loi pour la confiance dans l’économique numérique, l’absence ou l’insuffisance des Mentions légales étant passible d’un an d’emprisonnement et de 75.000 euros d’amende pour une personne physique, ou 375.000 euros pour une personne morale;
  • de protection des données personnelles, issues du RGPD et de la loi informatique et libertés dès lors, notamment, que les mentions relatives aux données personnelles et aux Cookies ne sont pas conforme à l’usage qui en est fait.

Les condamnations sont parfois plutôt clémente, comme dans une décision du Tribunal de Grande Instance de Paris du 10 juillet 2019 (2000 euros de dommages-intérêts pour l’insuffisance des mentions légales du site d’un responsable politique) mais parfois plus fermes. Ainsi, dans un arrêt du 22 janvier 2019, la Cour de cassation a confirmé la condamnation du Président d’une association qui n’était pas identifiée comme l’éditrice de son site à une peine de trois mois de prison avec sursis et de 5 000 euros d’amende.

L’éditeur du site Challenges.fr a pour sa part été condamné à 25.000 euros d’amende par la CNIL suite au non respect des règles relatives à l’utilisation des cookies. Cette délibération a été confirmée par le Conseil d’Etat dans une décision du 6 juin 2018.

Au vu de ces décisions récentes, il est important de faire rédiger les documents légaux de son site internet par un conseil spécialisé, sous peine d’utiliser des outils juridiques inefficaces et susceptibles d’entrainer des sanctions administratives, civiles voire pénales.