Archive

Archives d’un auteur

Le RGPD sonne-t-il le glas de l’email marketing ?

13 novembre, 2017 Laisser un commentaire

Il y a quelques semaines, une entreprise anglaise a renoncé à recourir aux emails marketing. Elle a pour cela effacé l’ensemble sa base de données d’e-mails clients. Volontairement. Pourquoi ?

Elle a identifié 3 risques qu’elle a jugé trop importants :

  • un risque de fuite de données personnelles ;
  • un problème de maîtrise des données personnelles ;
  • un risque financier accru.

Pour lire l’article complet sur le risque que fait courir le RGPD aux emails publicitaires.

Publicités

Données personnelles et entreprise : quelles obligations ?

10 novembre, 2017 Laisser un commentaire

J’ai commencé la rédaction de ce billet il y a dix ans, si j’en crois WordPress. À l’époque, on ne parlait pas encore du RGPD. Voici le billet enfin publié, certes un peu réécrit.

Les entreprises au premier rang desquels on trouve les e-commerçants veulent et doivent recueillir des données personnelles sur leurs visiteurs, prospects et clients. Ce type d’information étant sensible voire très sensible, la réglementation leur impose un certain formalisme pour les recueillir. Par ailleurs, mal protéger ces données peut avoir de lourdes conséquences.

Les obligations d’information sur le recueil de données personnelles

Les obligations relatives aux données personnellesLe recueil des informations sur les visiteurs, prospects et client ne peut pas se faire n’importe comment. Il est nécessaire d’obtenir l’accord de la personne pour recueillir et utiliser des informations sur elle. L’article 32 de la loi du 6 janvier 1978 prévoit d’être informé :

  • De l’identité du responsable du traitement et, le cas échéant, de celle de son représentant ;
  • De la finalité poursuivie par le traitement auquel les données sont destinées ;
  • Du caractère obligatoire ou facultatif des réponses ;
  • Des conséquences éventuelles, à son égard, d’un défaut de réponse ;
  • Des destinataires ou catégories de destinataires des données ;
  • Des droits qu’elle tient des dispositions de la section 2 du présent chapitre ;
  • Le cas échéant, des transferts de données à caractère personnel envisagés à destination d’un Etat non membre de la Communauté européenne.

Les cookies permettant de recueillir des données personnelles, il est nécessaire de prévenir les visiteurs de leur utilisation. Ce principe vaut de manière générale pour tous les moyens et toutes les informations recueillies : adresse IP, configuration de l’ordinateur… Ce formalisme est toutefois allégé si les informations sont rapidement anonymisées. Lire la suite…

Données personnelles : une infraction peut en cacher une autre

9 novembre, 2017 Laisser un commentaire

C’est un arrêt intéressant à plusieurs titres que vient de rendre la cour d’appel de Paris le 15 septembre 2017.

Les faits tels qu’ils ont été rapportés par la cour sont relativement simples. Une société a collecté massivement les données personnelles contenues dans une base de données mise en ligne par l’une de ses concurrentes.

Un tel comportement pose deux questions sur le plan juridique : qu’en est-il de l’infraction d’accès, maintien et extraction frauduleuse des données ? Qu’en est-il de l’infraction de collecte déloyale de données personnelles ?

L’accès et le maintien dans un système de traitement de données

Données personnelles

Dans le cas présent, l’infraction d’accès et de maintien dans un STAD n’a pas été retenue. En effet, il apparait que le site dont les données ont été aspirées avait laissé l’accès ouvert au public n’avait pas mis en place de protection particulière oun’avait pas manifesté sa volonté d’en restreindre l’accès. La cour dit en substance que « Il n’y a pas eu utilisation d’un mode irrégulier de pénétration dans le système de traitement automatisé de données« .

Dans la mesure où les données sont librement accessibles en ligne, l’infraction d’accès et de maintien dans le système ne peut tenir.

En revanche, il y a une infraction connexe, l’extraction frauduleuse de données. Pour la cour, cette infraction est constituée. Ce n’est pas parce que l’accès aux données est libre que l’on peut extraire les données comme on veut. C’est donc bien deux choses différentes.

La cour souligne par ailleurs que les conditions générales du site interdisent l’utilisation et l’exploitation son contenu, c’est à dire les données, sans autorisation. La cour rappelle que l’extraction a été importante : « environ 16% des données du site victime sachant que ces données ne pouvaient être extraites sans autorisation expresse« .

La question des données personnelles

Les données extraites du site ont une qualité particulière : ce sont des données personnelles et à ce titre, elles bénéficient d’un régime juridique particulier. Le RGPD ne s’applique pas encore mais l’utilisation des données personnelles est d’ores et déjà soumis à une réglementation contraignante : la loi du 6 janvier 1978.

Protégez vos données personnellesConcernant les données personnelles, la cour écrit qu »Il s’agit des adresses électroniques avec des données nominatives pouvant être tant des personnes morales que des personnes physiques« .

La cour ajoute « L’utilisation de scripts ou robots visant à collecter et sélectionner les données notamment aux fins de savoir si le client était actif ou non sur le site […] constitue un moyen déloyal et frauduleux pour avoir été recueilli à l’insu des personnes physiques titulaires des adresses électroniques« .

Il n’est pas établi comme le soutient M. X. que le site […] s’adresse à un public exclusivement professionnel pour la réservation de divers évènements à caractère plus ou moins restreint. L’adresse apparente des organisateurs n’implique pas nécessairement l’autorisation explicite de leur part d’utiliser leur adresse s’agissant des personnes physiques n’ayant pas une adresse professionnelle spécifique. Le caractère accessible de ces adresses électroniques et l’absence de plainte n’établissent pas l’acceptation expresse d’utilisation de ces adresses électroniques. Le moteur de recherche utilisé pour accéder au site importe peu« .

La cour a considéré que l’infraction de collecte de données à caractère personnel par un moyen frauduleux, déloyal ou illicite prévue à l’article 228-1 du code pénal était constituée.

En revanche, il y a une question qui n’a pas été tranchée par la cour parce qu’elle n’en n’a pas été saisie : quid de l’absence de protection des données personnelles qui étaient librement accessibles en ligne ?

En effet, même si le RGPD qui impose une étude d’impact sur la vie privée n’est pas encore en vigueur, laisser librement accessibles des données personnelles n’est pas envisageable.

L’article 226-17 du code pénal prévoit ainsi que « Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en oeuvre les mesures prescrites à l’article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende ». Les mesures prescrites par l’article 34 de la loi du 6 janvier 1978 sont « toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès« .

Il existe une solution pour vous préserver d’un tel risque : mettre les données personnelles au cœur de votre stratégie grâce au Privacy by Design.

L’arrêt de la cour d’appel de Paris est disponible sur le site de Légalis.

Cartographier vos données personnelles

16 octobre, 2017 Laisser un commentaire

Le RGPD entre en vigueur dans quelques mois. Il est temps pour les entreprises de cartographier leurs traitements de données personnelles, première étape pour respecter leurs nouvelles obligations vis-à-vis notamment de leurs clients.

Cette première étape sera normalement suivie de la rédaction d’une étude d’impact sur la vie privée. L’objectif est dans ce cadre de limiter autant que faire se peux l’impact des traitements de données personnelles sur la vie privée des personnes concernées.

Et vous, où en êtes-vous de la mise en place de votre cartographie de données personnelles ?

Catégories :Juridique

RGPD : des liens utiles

L’ensemble des entreprises devront d’ici quelques mois mettre en œuvre le RGPD. Voici quelques liens pour en savoir un peu plus sur cette réglementation relative à la protection des données personnelles.

Décrire un logiciel n’est pas une contrefaçon

16 juin, 2016 Commentaires fermés

Parce qu’elle n’a pas réussi à rapporter la preuve de l’originalité de son logiciel, la société Anaphore qui avait assigné le Conseil général de l’Eure en contrefaçon, n’a pas obtenu gain de cause devant le tribunal.

Ce n’est pas tant la question de l’originalité du logiciel qui est intéressante dans le jugement du 26 mai 2016 du TGI de Lille que la solution adoptée.

Avant toute chose un court rappel des faits est nécessaire :

  • La société Anaphore a développé un logiciel de gestion d’archives dénommé « Arkheia ».
  • À compter du 7 juillet 1997, la société Anaphore et le Conseil Général de l’Eure ont conclu plusieurs contrats successifs portant sur l’utilisation du logiciel de services d’Archives Arkheia par le CG.
  • En juillet 2013, le CG, dans le cadre d’un appel d’offres, a détaillé ses besoins et attentes dans un cahier des clauses techniques particulières. Selon la société Anaphore, ce CCTP décrit avec une extrême précision l’architecture générale de son logiciel, la structure de ses données et de ses modes opératoires qu’elle estimait très spécifique, et renseigné ainsi tous ses concurrents commerciaux sur son savoir-faire, tout en citant à de multiples reprises son logiciel et en présentant même des captures d’écran de ce dernier.
  • En octobre, le CG a répondu en faisant valoir que décrire les fonctionnalités d’un logiciel, même très précisément, ne pouvait constituer une atteinte aux droits de propriété intellectuelle de son éditeur, et rappelé qu’en tout état de cause, la protection au titre des droits d’auteur impliquait que soit remplie la condition de l’originalité du logiciel.
  • En novembre 2013 la société Anaphore a fait appel en novembre 2013 à un expert informatique inscrit près la Cour d’appel de Nîmes. Cet expert a rédigé un rapport non contradictoire concluant à l’originalité du logiciel Arkheia, ainsi qu’au fait qu’une « partie significative » des solutions apportées par ledit logiciel avait été dévoilé dans le cahier des charges litigieux. L’Expert ajoute que le cahier des charges fournissait des informations allant bien au-delà du nécessaire en ce qu’il livrait des réponses et des solutions directement issues dudit logiciel.

L’originalité d’un logiciel, critère de nécessaire pour sa protection par le droit d’auteur

originalité d'un code source de logicielLa question de l’originalité d’un logiciel comme critère nécessaire pour sa protection par le droit de la propriété intellectuelle n’est pas nouvelle. Cette question a été tranchée il y a plus de 30 ans dans l’arrêt du 7 mars 1986. La Cour de Cassation avait jugé que : l’auteur du logiciel « avait fait preuve d’un effort personnalisé allant au-delà de la simple mise en œuvre d’une logique automatique et contraignante et que la matérialisation de cet effort résidait dans une structure individualisée ; […],  et [que la Cour d’Appel] a ainsi retenu que les logiciels conçus par Monsieur X… portaient la marque de son apport intellectuel« .

Dans l’affaire qui oppose l’éditeur du logiciel et le CG, cette question a été tranchée par le tribunal qui a jugé qu’il n’était pas en mesure, « dans le cas d’espèce d’apprécier le caractère inventif de la solution retenue par la société requérante par comparaison avec l’état de la technique existante au moment de la conception du logiciel Arkheia, par la carence du demandeur dans l’administration de la preuve.

Cette question de l’originalité du logiciel n’est qu’accessoire dans la mesure où ce sont les fonctionnalités de ce logiciel qui ont été reprises par dans le CCTP et non son code source.

Décrire les fonctionnalités d’un logiciel n’est pas le contrefaire

Dans son rapport rédigé, à la demande de la société Anaphore, l’expert écrit que « à juste titre, que la vraie valeur d’un logiciel ne réside plus dans les « lignes de codes », ni dans l’implémentation d’algorithmes (souvent automatisée), mais dans les idées sous-jacentes acquises par l’expérience et la créativité ».

Les fonctionnalités d’un logiciel traduisent les idées du concepteur. Le hic : les idées ne sont pas protégeables au  titre du droit d’auteur. C’est le code source qui l’est ! Dans le cas présent, ce code source n’a pas été versé au débat ainsi que le note, avec regret, le tribunal.

Par ailleurs, même si le savoir-faire de la société Anaphore est original par rapport à ses concurrents, elle n’a pas été en mesure d’en rapporter la preuve. Cette preuve se rapporte en comparant le savoir-faire de la société à l’état de la technique dans le domaine considéré.

Le tribunal conclue dès lors qu’il « ne dispose d’aucune pièce susceptible de lui permettre de distinguer du simple savoir-faire intellectuel et technique déployé par la société Anaphore dans l’exécution de sa prestation contractuelle, au bénéfice du Conseil général de l’Eure, un apport créatif« .

Je note une tendance de fond de l’impossibilité de prouver l’originalité d’un logiciel devant les tribunaux. Ce jugement ne déroge pas à cette tendance !

Catégories :Juridique

L’utilisation du bouton j’aime de Facebook mieux encadré en Allemagne

16 mars, 2016 Commentaires fermés

bouton like de FacebookLe Landgericht (équivalant du tribunal de grande instance) de Düsseldorf a jugé le 9 mars 2016 (AZ: 12 O 151/15 ; pdf en allemand) que la simple inclusion du bouton Facebook Like sur un site web est illégale si le consentement des visiteurs du site n’est pas recueilli et qu’il n’y a pas d’indication sur la finalité de ce bouton.

Une pratique déloyale

Pour le tribunal, l’utilisation du bouton « j’aime » est contraire aux dispositions de la loi contre la concurrence déloyale (UWG). Une association de consommateurs avait dans un premier temps demander à plusieurs commerçants en ligne de ne  plus intégrer le bouton « j’aime » sur leurs pages sans avertir les visiteurs des conséquences en terme de recueil de données. Une des entreprises n’a pas respecté cette recommandation. Cette association a donc saisi le LG pour obtenir une injonction. Le tribunal, a notamment jugé que :

L’utilisation du plugin Facebook « Like  » sur le site web du défendeur sans qu’il n’informe les utilisateurs du site avant de soumettre leur adresse IP et la chaîne de navigateur à Facebook est illégal au sens du § 3a UWG et du § 13 TMG.

Le §3a UWG régit les pratiques commerciales déloyales. Cet article correspond, en France, à l’article L120-1 du code de la consommation.

Le §13 TMG régit quant à lui les obligations d’information des prestataires de service en ligne au sujet des données personnelles. En droit français, cette obligation d’information est prévue à l’article 32 de la loi Informatique et liberté.

Conséquences de ce jugement

Une page FacebookFacebook reçoit, automatiquement, en raison de l’intégration du boutons « j’aime » des informations sur les utilisateurs, notamment son adresse IP. Ce transfert de données personnelles se fait indépendamment du fait que les visiteurs du site est membre de Facebook ou non.

Si l’utilisateur a un compte sur Facebook et est connecté lorsqu’il visite ses informations et son activité sont liées à la page avec son profil sur Facebook  qui les stocke.

Ce mécanisme n’est, pour le tribunal, légal que si les informations recueillies sont détaillées et que l’utilisateur a donné explicitement son accord. Nul doute que beaucoup de sites allemands vont recevoir des mises en demeure de retirer le bouton « j’aime ».

Ce jugement peut encore faire l’objet d’un appel. La question de savoir si une adresse IP est une donnée personnelle n’est pas encore tranchée en Allemagne : Le Bundesgerichtshof a renvoyé l’affaire devant la Cour européenne de justice (Rs. C-582/14). La question n’est pas davantage tranchée en France.

Que doivent faire les responsables de sites web ?

Le tribunal de Düsseldorf a mis en cause l’utilisation actuelle des plug-ins sociaux. Pour se conformer à la décision du tribunal, les responsables de sites internet doivent faire en sorte que les plug-ins sociaux au rang desquels on trouve le bouton « j’aime » de Facebook ne soient activés qu’à partir du moment ou le visiteur du site a donné son accord au recueil de ses données personnelles.

Autant dire que nous n’en avons pas fini avec les bandeaux d’information sur les cookies et autres boutons sociaux qui mangent parfois une grande partie de notre écran.

Est-ce pourtant suffisant pour informer les visiteurs ? Je n’en suis pas sûr !