Archive

Archive for the ‘Web’ Category

Growth hacking ou RGPD : qui est le plus fort ?

21 novembre, 2017 Laisser un commentaire

C’est mieux d’être un pirate que de s’engager dans la marine.

Steve Jobs

L’ancien patron d’Apple vantait la position du pirate, celui qui contourne les règles.

Le contournement des règles, c’est la stratégie du growth hacking. L’objectif est simple : trouver une stratégie assurant à l’entreprise une croissance rapide et forte en détournant intelligemment le système.

Dans quelques mois, le RGPD entrera en vigueur. C’est beaucoup moins romantique mais tout aussi incontournable pour une entreprise. On l’a vu, le RGPD va remettre en question certaines pratiques de marketing.

Question : le growth hacking est-il compatible avec le RGPD

Réponse sur Novolab !

Publicités
Catégories :Juridique, Publicité, Web Étiquettes : , , ,

Le RGPD sonne-t-il le glas de l’email marketing ?

13 novembre, 2017 1 commentaire

Il y a quelques semaines, une entreprise anglaise a renoncé à recourir aux emails marketing. Elle a pour cela effacé l’ensemble sa base de données d’e-mails clients. Volontairement. Pourquoi ?

Elle a identifié 3 risques qu’elle a jugé trop importants :

  • un risque de fuite de données personnelles ;
  • un problème de maîtrise des données personnelles ;
  • un risque financier accru.

Pour lire l’article complet sur le risque que fait courir le RGPD aux emails publicitaires.

Données personnelles et entreprise : quelles obligations ?

10 novembre, 2017 Laisser un commentaire

J’ai commencé la rédaction de ce billet il y a dix ans, si j’en crois WordPress. À l’époque, on ne parlait pas encore du RGPD. Voici le billet enfin publié, certes un peu réécrit.

Les entreprises au premier rang desquels on trouve les e-commerçants veulent et doivent recueillir des données personnelles sur leurs visiteurs, prospects et clients. Ce type d’information étant sensible voire très sensible, la réglementation leur impose un certain formalisme pour les recueillir. Par ailleurs, mal protéger ces données peut avoir de lourdes conséquences.

Les obligations d’information sur le recueil de données personnelles

Les obligations relatives aux données personnellesLe recueil des informations sur les visiteurs, prospects et client ne peut pas se faire n’importe comment. Il est nécessaire d’obtenir l’accord de la personne pour recueillir et utiliser des informations sur elle. L’article 32 de la loi du 6 janvier 1978 prévoit d’être informé :

  • De l’identité du responsable du traitement et, le cas échéant, de celle de son représentant ;
  • De la finalité poursuivie par le traitement auquel les données sont destinées ;
  • Du caractère obligatoire ou facultatif des réponses ;
  • Des conséquences éventuelles, à son égard, d’un défaut de réponse ;
  • Des destinataires ou catégories de destinataires des données ;
  • Des droits qu’elle tient des dispositions de la section 2 du présent chapitre ;
  • Le cas échéant, des transferts de données à caractère personnel envisagés à destination d’un Etat non membre de la Communauté européenne.

Les cookies permettant de recueillir des données personnelles, il est nécessaire de prévenir les visiteurs de leur utilisation. Ce principe vaut de manière générale pour tous les moyens et toutes les informations recueillies : adresse IP, configuration de l’ordinateur… Ce formalisme est toutefois allégé si les informations sont rapidement anonymisées. Lire la suite…

Données personnelles : une infraction peut en cacher une autre

9 novembre, 2017 Laisser un commentaire

C’est un arrêt intéressant à plusieurs titres que vient de rendre la cour d’appel de Paris le 15 septembre 2017.

Les faits tels qu’ils ont été rapportés par la cour sont relativement simples. Une société a collecté massivement les données personnelles contenues dans une base de données mise en ligne par l’une de ses concurrentes.

Un tel comportement pose deux questions sur le plan juridique : qu’en est-il de l’infraction d’accès, maintien et extraction frauduleuse des données ? Qu’en est-il de l’infraction de collecte déloyale de données personnelles ?

L’accès et le maintien dans un système de traitement de données

Données personnelles

Dans le cas présent, l’infraction d’accès et de maintien dans un STAD n’a pas été retenue. En effet, il apparait que le site dont les données ont été aspirées avait laissé l’accès ouvert au public n’avait pas mis en place de protection particulière oun’avait pas manifesté sa volonté d’en restreindre l’accès. La cour dit en substance que « Il n’y a pas eu utilisation d’un mode irrégulier de pénétration dans le système de traitement automatisé de données« .

Dans la mesure où les données sont librement accessibles en ligne, l’infraction d’accès et de maintien dans le système ne peut tenir.

En revanche, il y a une infraction connexe, l’extraction frauduleuse de données. Pour la cour, cette infraction est constituée. Ce n’est pas parce que l’accès aux données est libre que l’on peut extraire les données comme on veut. C’est donc bien deux choses différentes.

La cour souligne par ailleurs que les conditions générales du site interdisent l’utilisation et l’exploitation son contenu, c’est à dire les données, sans autorisation. La cour rappelle que l’extraction a été importante : « environ 16% des données du site victime sachant que ces données ne pouvaient être extraites sans autorisation expresse« .

La question des données personnelles

Les données extraites du site ont une qualité particulière : ce sont des données personnelles et à ce titre, elles bénéficient d’un régime juridique particulier. Le RGPD ne s’applique pas encore mais l’utilisation des données personnelles est d’ores et déjà soumis à une réglementation contraignante : la loi du 6 janvier 1978.

Protégez vos données personnellesConcernant les données personnelles, la cour écrit qu »Il s’agit des adresses électroniques avec des données nominatives pouvant être tant des personnes morales que des personnes physiques« .

La cour ajoute « L’utilisation de scripts ou robots visant à collecter et sélectionner les données notamment aux fins de savoir si le client était actif ou non sur le site […] constitue un moyen déloyal et frauduleux pour avoir été recueilli à l’insu des personnes physiques titulaires des adresses électroniques« .

Il n’est pas établi comme le soutient M. X. que le site […] s’adresse à un public exclusivement professionnel pour la réservation de divers évènements à caractère plus ou moins restreint. L’adresse apparente des organisateurs n’implique pas nécessairement l’autorisation explicite de leur part d’utiliser leur adresse s’agissant des personnes physiques n’ayant pas une adresse professionnelle spécifique. Le caractère accessible de ces adresses électroniques et l’absence de plainte n’établissent pas l’acceptation expresse d’utilisation de ces adresses électroniques. Le moteur de recherche utilisé pour accéder au site importe peu« .

La cour a considéré que l’infraction de collecte de données à caractère personnel par un moyen frauduleux, déloyal ou illicite prévue à l’article 228-1 du code pénal était constituée.

En revanche, il y a une question qui n’a pas été tranchée par la cour parce qu’elle n’en n’a pas été saisie : quid de l’absence de protection des données personnelles qui étaient librement accessibles en ligne ?

En effet, même si le RGPD qui impose une étude d’impact sur la vie privée n’est pas encore en vigueur, laisser librement accessibles des données personnelles n’est pas envisageable.

L’article 226-17 du code pénal prévoit ainsi que « Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en oeuvre les mesures prescrites à l’article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende ». Les mesures prescrites par l’article 34 de la loi du 6 janvier 1978 sont « toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès« .

Il existe une solution pour vous préserver d’un tel risque : mettre les données personnelles au cœur de votre stratégie grâce au Privacy by Design.

L’arrêt de la cour d’appel de Paris est disponible sur le site de Légalis.

L’utilisation du bouton j’aime de Facebook mieux encadré en Allemagne

16 mars, 2016 Commentaires fermés

bouton like de FacebookLe Landgericht (équivalant du tribunal de grande instance) de Düsseldorf a jugé le 9 mars 2016 (AZ: 12 O 151/15 ; pdf en allemand) que la simple inclusion du bouton Facebook Like sur un site web est illégale si le consentement des visiteurs du site n’est pas recueilli et qu’il n’y a pas d’indication sur la finalité de ce bouton.

Une pratique déloyale

Pour le tribunal, l’utilisation du bouton « j’aime » est contraire aux dispositions de la loi contre la concurrence déloyale (UWG). Une association de consommateurs avait dans un premier temps demander à plusieurs commerçants en ligne de ne  plus intégrer le bouton « j’aime » sur leurs pages sans avertir les visiteurs des conséquences en terme de recueil de données. Une des entreprises n’a pas respecté cette recommandation. Cette association a donc saisi le LG pour obtenir une injonction. Le tribunal, a notamment jugé que :

L’utilisation du plugin Facebook « Like  » sur le site web du défendeur sans qu’il n’informe les utilisateurs du site avant de soumettre leur adresse IP et la chaîne de navigateur à Facebook est illégal au sens du § 3a UWG et du § 13 TMG.

Le §3a UWG régit les pratiques commerciales déloyales. Cet article correspond, en France, à l’article L120-1 du code de la consommation.

Le §13 TMG régit quant à lui les obligations d’information des prestataires de service en ligne au sujet des données personnelles. En droit français, cette obligation d’information est prévue à l’article 32 de la loi Informatique et liberté.

Conséquences de ce jugement

Une page FacebookFacebook reçoit, automatiquement, en raison de l’intégration du boutons « j’aime » des informations sur les utilisateurs, notamment son adresse IP. Ce transfert de données personnelles se fait indépendamment du fait que les visiteurs du site est membre de Facebook ou non.

Si l’utilisateur a un compte sur Facebook et est connecté lorsqu’il visite ses informations et son activité sont liées à la page avec son profil sur Facebook  qui les stocke.

Ce mécanisme n’est, pour le tribunal, légal que si les informations recueillies sont détaillées et que l’utilisateur a donné explicitement son accord. Nul doute que beaucoup de sites allemands vont recevoir des mises en demeure de retirer le bouton « j’aime ».

Ce jugement peut encore faire l’objet d’un appel. La question de savoir si une adresse IP est une donnée personnelle n’est pas encore tranchée en Allemagne : Le Bundesgerichtshof a renvoyé l’affaire devant la Cour européenne de justice (Rs. C-582/14). La question n’est pas davantage tranchée en France.

Que doivent faire les responsables de sites web ?

Le tribunal de Düsseldorf a mis en cause l’utilisation actuelle des plug-ins sociaux. Pour se conformer à la décision du tribunal, les responsables de sites internet doivent faire en sorte que les plug-ins sociaux au rang desquels on trouve le bouton « j’aime » de Facebook ne soient activés qu’à partir du moment ou le visiteur du site a donné son accord au recueil de ses données personnelles.

Autant dire que nous n’en avons pas fini avec les bandeaux d’information sur les cookies et autres boutons sociaux qui mangent parfois une grande partie de notre écran.

Est-ce pourtant suffisant pour informer les visiteurs ? Je n’en suis pas sûr !

Être viré à cause de Facebook ? Oui, c’est possible !

5 février, 2016 Commentaires fermés

Dans son baromètre 2014 sur les usages et impacts du digital et des réseaux sociaux dans l’entreprise [pdf], Cegos pointe le fait que 58% des salariés se connectent quotidiennement sur les réseaux sociaux. De quoi parlent ces salariés sur les réseaux sociaux ? De leur entreprise pour un tiers d’entre eux ! Des sujets stratégiques et confidentiels y sont même abordés.

Il n’est dès lors pas étonnant que le nombre de litiges opposant des salariés à leurs employeurs augmente proportionnellement.

Facebook cristallise les litiges concernant la liberté d’expression des salariés à l’encontre de leurs employeurs ou de leurs collègues. Je n’ai pas connaissance de litige basés sur des propos tenus sur Twitter. Les principes évoqués ici sont bien sûr applicables à tous les réseaux sociaux.

Ce que l’on dit sur Facebook : public ou privé ?

viré à cause de FacebookDes cours d’appel (Rouen le 15 novembre 2011, Lyon le 22 novembre 2012) ont jugé que des propos publiés sur des profils ayant un accès ouvert dépassent ainsi la sphère privée et pouvaient être utilisés par l’employeur dans le cadre d’une procédure de licenciement.

La Cour de cassation a jugé quant à elle, le 10 avril 2013, que lorsque les propos publiés sur le profil Facebook d’un salarié ne sont « accessibles qu’aux seules personnes agréées par l’intéressée, en nombre très restreint », ces propos sont privés.

C’est donc le degré de confidentialité du compte Facebook qui permet de savoir si l’on est en présence d’un compte privé ou public. Il faut donc bien paramétrer son compte Facebook pour pouvoir s’offrir le luxe d’utiliser la liberté d’expression à l’encontre de son employeur ou de ses collègues.

Quelle limites aux propos tenus sur Facebook ?

En partant du principe que le compte Facebook d’un salarié soit public, soit par choix délibéré soit par méconnaissance des réglages de confidentialité, un employeur peut intenter une action contre un salarié indélicat.

Pour justifier un licenciement, cet employeur peut s’appuyer sur différents textes :

  • l’article 29 de la loi du 29 juillet 1881 qui réprime la diffamation et l’injure ;
  • le code civil et le code du travail pour manquement au respect du contrat de travail ;
  • le code civil et plus particulièrement l’article 1382 pour rechercher la responsabilité civile de son salarié en cas de dénigrement des produits par exemple ;
  • le code du travail en cas de divulgation de secret de fabrique ;

C’est à l’employeur de prouver que les propos tenus sur Facebook sont publics et justifient une sanction, voire un licenciement.

Dans un arrêt du 24 mars 2014, la cour d’appel de Lyon a jugé que « les propos litigieux n’étaient accessibles qu’aux personnes connaissant l’identité [du salarié], qui pouvaient accéder à son compte Facebook en renseignant intentionnellement ce dispositif des noms et prénoms du salarié. S’agissant d’une entreprise de plus de cinq cent cinquante salariés, l’employeur n’apporte pas la preuve que certains de ses clients auraient eu connaissance des propos tenus par [le salarié]« .

Ce manque de preuve rapportée influe directement sur la procédure judiciaire entamée.

Ces différents développements concernent bien sûr les agents publics qu’ils dépendent de la fonction publique d’état ou de la fonction publique hospitalière ou de la fonction publique territoriale. Ainsi, la cour administrative de Nantes a jugé le 21 janvier 2016 qu’une mairie était fondée à révoquer un agent public en raison de commentaires injurieux postés sur Facebook.

Dans le cadre de ce type de procédure, rien ne vaut le recours à un huissier pour constater le caractère public d’un compte sur un réseau social.

Du point de vue d’un salarié, je ne peux que lui conseiller de verrouiller son compte et de ne s’exprimer que dans le cadre restreint, réservé à ses seuls amis. Il ne faut pas non plus oublier que les paramètres de confidentialité changent périodiquement sur Facebook, ce qui, dans la durée, rend le verrouillage des comptes d’autant plus complexe. Vérifiez donc ces paramètres périodiquement !

Enfin, les propos échangés via les messageries privées que ce soit sur Facebook ou Twitter sont couverts par le secret des correspondances. L’employeur ne peut fonder une sanction sur des propos couverts par un tel secret.

Catégories :Juridique, Web Étiquettes : , , ,

Sécurisez les données personnelles de vos clients !

23 novembre, 2015 3 commentaires

Traditionnellement, l’élément principal du fonds de commerce d’une entreprise est sa clientèle. Ce point de vue est d’autant plus important dans le commerce en ligne.

Les données, des clients en particulier, sont devenues le nerf de la guerre pour les commerçants en ligne.

Outre le risque de perte de données, cruciales, le manque de sécurisation des données personnelles présente pour vous un risque de contentieux.

La sécurisation du stockage des données personnelles

sécurisez vos données clientsLe stockage des données personnelles de vos clients doit être fait de manière sécurisée. En d’autres termes, les données personnelles que vous possèdez sur vos clients doivent être cryptées.

Un stockage en clair des données personnelles n’est pas conforme à l’article 34 de la loi de 1978 qui prévoit que le responsable du traitement des données en assure « la sécurité […], notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès« .

Ainsi, si vos données clients sont stockées en clair, elles peuvent être déformées que ce soit volontairement ou involontairement. De plus, des tiers, non autorisés peuvent y avoir accès sans votre  autorisation.

Les tiers évoqués par le texte peuvent également être des salariés votre entreprise ou des sous-traitants. Ainsi, tous les salariés d’une entreprise ne sont pas censés avoir accès aux données clients.

Ne sont susceptibles d’avoir accès à ces données que les salariés en ayant besoin pour accomplir leurs tâches. Ainsi, par exemple, les salariés du service RH n’ont pas besoin des données clients et donc ne devraient pas y avoir accès.

Il faut dès lors mettre en place une politique de gestion des mots de passe d’accès aux données à protéger.

Quel risque en cas de défaut de sécurisation des données personnelles ?

Le fait de ne pas respecter les dispositions de l’article 34 de la loi de 1978 est une infraction prévue par le code pénal, l’article 226-17 en l’occurrence. La peine maximale encourue ? Cinq ans d’emprisonnement et de 300 000 euros d’amende !

En plus de l’action pénale, vous risquez une procédure diligentée par la CNIL, sur plainte d’un client notamment.Votre entreprise peut alors être condamnée à une sanction pécuniaire.

Vous pensez que ce risque n’est hypothétique et ne concerne que les petites entreprises ? Une grande enseigne a récemment été épinglée par la CNIL [PDF] pour avoir conserver les données de ses clients sans protection suffisante, après reçu une mise en demeure n’ayant pas été entièrement satisfaite.

Bilan ? Une sanction pécuniaire de 50 000 euros et la publication de cette condamnation.

Je pense néanmoins que les risques les plus important dans le défaut de sécurisation n’est pas juridique.

Les deux risques majeurs sont :

  • le risque est la perte irréversible de données mais également
  • l’impact négatif sur l’image de l’entreprise.

Une telle négligence pourrait ternir durablement l’image d’une entreprise aux yeux de ses clients et prospects.