La CNIL publie ses thématiques prioritaires de contrôle pour 2021 : cybersécurité, données de santé, et cookies

En transparence, la CNIL informe chaque année le grand public de ses thématiques prioritaires de contrôle.

Cette année, en lien avec l’actualité, la CNIL ciblera principalement les problématiques de la cybersécurité des sites web, de la sécurité des données des santé et du respect des règles applicables aux cookies et autres traceurs.

Les défauts de sécurité des sites web font partie des manquements les plus souvent constatés par la CNIL. Le Cabinet ne peut que confirmer, à son échelle, ce constat : certains clients sont touchés par de graves défauts de sécurité, suite à un problème de mise à jour par exemple.

La sécurité des données de santé est naturellement une question essentielle, et au delà de la particulière sensibilité de ces données, de nombreuses actualités sont venues démontrer les difficultés de certains organismes ou établissements français à assurer leur sécurité de manière satisfaisante.

Également dans le collimateur de la CNIL, la conformité des sites Internet aux recommandations et lignes directrices sur les cookies et autres traceurs. A compter d’avril 2021, la CNIL contrôlera notamment la conformité à ses dernières lignes directrices et recommandation du 1er octobre 2020.

A noter, la CNIL publiera prochainement, sur cette page, la liste des solutions pouvant être utilisées sans recueil du consentement, sous réserve d’en faire un usage conforme aux recommandations susmentionnées.

Cette aide pratique sera la bienvenue, car c’est souvent la complexité du paramétrage des solutions existantes, ou bien la difficulté à identifier des solutions efficaces et simples d’utilisation y compris pour les personnes n’ayant pas de compétences techniques particulières, qui est un obstacle à la conformité effective de nombreux sites Internet.

Professionnels de santé, vous êtes aussi concernés par le RGPD !

La CNIL a récemment sanctionné, le 7 décembre 2020, deux médecins à hauteur, respectivement, de 3000 et 6000 euros chacun. S’agissant de données de santé, soit une catégorie de données personnelles particulièrement sensibles, des erreurs de paramétrage et de configuration ont conduit à une violation des données, par ailleurs non notifiées à la CNIL en violation de l’article 33 du RGPD.

La publication de ces deux décisions de sanction est destinée à rappeler à l’ordre les professionnels de santé, souvent trop peu au fait de la règlementation en matière de données personnelles, malgré la particulière sensibilité des données qu’ils traitent.

Pour rappel, la CNIL et l’ordre des médecins ont publié un guide pratique à l’attention des médecins, naturellement utile à tout professionnel de santé.

Le Cabinet est en mesure de vous proposer un accompagnement sur mesure pour accélérer et déployer vos outils juridiques de conformité RGPD.

Partenariat privilégié avec le Cabinet d’Avocats d’Affaires Manenti & Co

Le Cabinet a le plaisir d’annoncer un partenariat avec le Cabinet d’Avocats d’affaires Manenti & Co. Ce partenariat permet un travail en synergie dans tous les domaines du droit des affaires (Propriété intellectuelle, nouvelles technologies, données personnelles et RGPD, droit commercial, droit des sociétés, droit social, procédures collectives, etc.).

Afin de permettre à ce partenariat de prospérer le Cabinet a déménagé au 4 Cours Pierre Puget pour rejoindre l’équipe Manenti & Co. La continuité de l’activité de nos deux Cabinets est assurée pendant le confinement, nous sommes à vos côtés pour vous accompagner au mieux en cette période particulière.

Maître Crisan vous accompagne particulièrement en droit du numérique, des données personnelles et de la propriété intellectuelle, domaines qui connaissent une forte accélération en cette période très favorable à la numérisation des activités.

Confinement bis : continuité de l’activité du Cabinet

Le Cabinet s’organise, comme lors du premier confinement pour la poursuite de l’activité. Les rendez-vous sont assurés de préférence en visio-conférence, mais parfois également en présentiel, lorsque nécessaire, dans le respect des geste barrières. Le premier confinement avait déjà contraint les entreprises et commerces à se réorganiser, le deuxième les incite à poursuivre dans cette voie. Les compétences du Cabinet en droit du numérique sont ainsi particulièrement sollicitées, et nous nous sommes organisés pour y répondre dans les meilleures conditions.

Ainsi, le Cabinet est disponible et vous apportera l’aide nécessaire pour la sécurisation de vos activités numériques ou votre transition numérique, et vous accompagnera grâce à son expertise en droit des données personnelles (RGPD), droit du commerce électronique, droit de la propriété intellectuelle et plus généralement du droit des affaires.

Avis Google My Business : condamnation pour les propos diffamatoires tenus contre une dentiste

Le juge des référés du Tribunal judiciaire de Marseille a condamné solidairement deux femmes, le 23 septembre 2020, pour les propos diffamatoires tenus dans un avis sur la page Google My Business d’une dentiste. Le juge a notamment considéré que les propos portaient atteinte à l’honneur et la considération de la praticienne, en mettant en cause sa compétence et sa probité professionnelle. Les deux femmes ont été condamnées solidairement et sous astreinte de 300 euros par jour à supprimer l’avis publié. Elles ont également été condamnées à 300 euros de provision sur les dommages-intérêts évalués ultérieurement par le juge du fond, ainsi qu’au paiement de 1690 euros pour clôture de compte suite à un chèque impayé et de 1500 euros en application de l’article 700 du Code de procédure civile.

Cookies : lignes directrices et recommandation pratique définitives de la CNIL

La CNIL publiait le 4 juillet 2019 de nouvelles lignes directrices rappelant le droit applicable en matière de ciblage publicitaire sur Internet. Toutefois, dans une décision du 19 juin 2020 le Conseil d’État, tout en validant l’essentiel des lignes directrices considérait que l’interdiction générale des « Cookies walls » déduite du RGPD ne pouvait être proclamée dans des lignes directrices, instrument de droit souple. En conséquence, pour le Conseil d’État « la CNIL a excédé ce qu’elle peut légalement faire » et « la délibération attaquée est, dans cette mesure, entachée d’illégalité » .

Pour autant, il ne faut pas en déduire la validité du procédé du « Cookie wall » pour obtenir le consentement des internautes avant la navigation sur un site : cette analyse serait contraire à la position de l’EDPB (ou CEPD, Comité européen de protection des données personnelles) et au RGPD, aux termes duquel le consentement doit être libre, le choix devant être réel. Or, ce choix n’existe pas si à défaut de consentement le site n’est plus accessible.

Quoiqu’il en soit, conformément à la décision du Conseil d’État, la CNIL a ajusté ses lignes directrices et sa recommandation pratique de mise en conformité en cas de recours aux Cookies et autres traceurs, publiées le 17 septembre 2020.

Auteur ou non, l’éditeur personne physique d’un blog est responsable des contenus publiés

Dans une affaire jugée par le tribunal correctionnel de Paris le 19 décembre 2019, l’éditeur d’un blog personnel ne reconnaissait pas être l’auteur des propos diffamants tenus sur son site, espérant ainsi échapper à une condamnation.

Cependant, ce fait est indifférent à l’engagement de sa responsabilité pour les propos diffamant publiés sur son blog. En effet, la loi du 29 juillet 1982 sur la communication audiovisuelle (n°82-652) organise un système de responsabilité en cascade : « le directeur de la publication […] sera poursuivi comme auteur principal, lorsque le message incriminé a fait l’objet d’une fixation préalable à sa communication au public. »

Or, l’article 93.2 de cette même loi dispose : « Tout service de communication au public par voie électronique est tenu d’avoir un directeur de la publication. […] Lorsque le service est fourni par une personne physique, le directeur de la publication est cette personne physique. »

Dès lors, le tribunal conclu « Il est par conséquent anodin, pour la caractérisation d’une éventuelle diffamation, d’établir si M. X est effectivement l’auteur des propos poursuivi, le mécanisme de responsabilité en cascade édicté à l’article 93-3 […] n’exigeant pas pareille démonstration. »

Les rédacteurs de blogs doivent donc rester particulièrement vigilant sur la nature des propos tenus sur leurs blogs. A défaut d’entrer dans les conditions prévues à l’article 93.5 de la loi du 29 juillet 1982, leur responsabilité est automatiquement engagée en cas de contenu illicite, sans qu’il soit nécessaire d’établir qu’ils sont l’auteur des propos litigieux.

Le Cabinet vous accompagne pour déterminer le champ de votre responsabilité si vous êtes propriétaire d’un site internet ou d’un blog, à titre personnel ou professionnel, mais également pour vous défendre si vous faite l’objet de poursuites judiciaires.

Crise sanitaire et Cookies : où est passé la CNIL?

Nous annoncions il y a déjà quelques mois la publication de la version définitive de la recommandation pratique sur la mise en œuvre des règles relatives aux cookies, rédigée par la CNIL et soumise à consultation publique.

La crise sanitaire est toutefois venue perturber le calendrier initial : la CNIL concentre désormais ses moyens sur la gestion des dossiers en lien avec celle-ci, et la version définitive de la recommandation se fait attendre. Toutefois, en cette période suspendue, les règles issues du RGPD, applicable depuis le 25 mai 2018 et publié deux ans auparavant, demeurent en vigueur.

Dès lors, il est conseillé d’anticiper les nouvelles préconisations, vraisemblablement peu différentes du projet de recommandation, pour entamer les développements nécessaires sur ses sites internets et prendre contact dès à présent avec son avocat pour la mise à jour des politiques des cookies.

E-commerce : n’oubliez pas la conformité numérique!

En cette période particulière et au vu du contexte sanitaire, il est utile de penser à la conversion d’une partie de son activité à la vente en ligne.

A cet égard, le e-commerce comporte son propre corpus de règles, qui le distingue notamment de la vente en magasin. Bien sûr, ce n’est pas pour la beauté de vos CGV que vos clients souscriront à vos produits et services en ligne. Toutefois, il ne faut pas négliger leur importance.

Outre l’aspect répressif de certaines sanctions qui peuvent trouver à s’appliquer en cas de défaillance dans la rédaction de vos documents légaux en ligne, c’est la confiance de vos clients et prospects qui est en jeu. Des documents légaux clairs et de qualité vont rassurer les internautes sur votre capacité à honorer votre contrat. C’est d’ailleurs les premiers éléments qu’ils vont vérifier afin de s’assurer du sérieux d’un site.

Il faut également assurer une construction du parcours client conforme aux règles en vigueur, sous peine de devoir réaliser de nouveaux développements et donc d’ajouter au coût de votre site. A cet égard, il est recommandé de se rapprocher d’un Cabinet d’avocat avant sa mise en ligne, afin de pouvoir bénéficier de conseils dès sa conception. De plus, le copier-coller de CGU/CGV tierces peut non seulement avoir pour conséquence un contenu inadapté, mais vous fait également courir le risque de poursuites judiciaires, pour contrefaçon et/ou parasitisme.

Le Cabinet maintient son activité en télétravail et propose des forfaits pour mettre en conformité l’ensemble de vos documents légaux en ligne, afin d’assurer votre conformité numérique tout en maitrisant votre budget.

Confinement : le Cabinet en télétravail

En raison du contexte sanitaire, le Cabinet a opté pour le télétravail et ne peut plus recevoir de clients en ses locaux pour la durée du confinement. Les dossiers continuent d’être traités à distance, bien qu’en matière contentieuse l’activité des juridictions soit considérablement ralentie voire tout simplement à l’arrêt.

En conséquence, un allongement des délais pour la saisine des juridictions et les contentieux en cours est à prévoir. Néanmoins, durant cette période suspendue, les actes sont préparés et seront notifiés au moment de la reprise de l’activité des tribunaux. Il est ainsi opportun de préparer ses contentieux à venir et de continuer à travailler sur les contentieux en cours.

La continuité de l’activité de conseil du Cabinet est assurée, bien que des délais supplémentaires puissent ralentir certaines procédures telles que les dépôts de marque par exemple. L’INPI a ainsi modifié certains délais des procédures de dépôt de marques, brevets et dessins ou modèles, en les portant à quatre mois.

Par ailleurs, le Cabinet a matériellement organisé le télétravail afin de garantir la confidentialité du traitement des dossiers, quel que soit le contexte et reste joignable au 04 84 89 47 56. Il assure également des permanences gratuites pour accompagner les justiciables et les chefs d’entreprises sur les questions en lien avec la crise sanitaire dans ses domaines de compétence.