Archive

Posts Tagged ‘données personnelles’

L’utilisation du bouton j’aime de Facebook mieux encadré en Allemagne

16 mars, 2016 Commentaires fermés

bouton like de FacebookLe Landgericht (équivalant du tribunal de grande instance) de Düsseldorf a jugé le 9 mars 2016 (AZ: 12 O 151/15 ; pdf en allemand) que la simple inclusion du bouton Facebook Like sur un site web est illégale si le consentement des visiteurs du site n’est pas recueilli et qu’il n’y a pas d’indication sur la finalité de ce bouton.

Une pratique déloyale

Pour le tribunal, l’utilisation du bouton « j’aime » est contraire aux dispositions de la loi contre la concurrence déloyale (UWG). Une association de consommateurs avait dans un premier temps demander à plusieurs commerçants en ligne de ne  plus intégrer le bouton « j’aime » sur leurs pages sans avertir les visiteurs des conséquences en terme de recueil de données. Une des entreprises n’a pas respecté cette recommandation. Cette association a donc saisi le LG pour obtenir une injonction. Le tribunal, a notamment jugé que :

L’utilisation du plugin Facebook « Like  » sur le site web du défendeur sans qu’il n’informe les utilisateurs du site avant de soumettre leur adresse IP et la chaîne de navigateur à Facebook est illégal au sens du § 3a UWG et du § 13 TMG.

Le §3a UWG régit les pratiques commerciales déloyales. Cet article correspond, en France, à l’article L120-1 du code de la consommation.

Le §13 TMG régit quant à lui les obligations d’information des prestataires de service en ligne au sujet des données personnelles. En droit français, cette obligation d’information est prévue à l’article 32 de la loi Informatique et liberté.

Conséquences de ce jugement

Une page FacebookFacebook reçoit, automatiquement, en raison de l’intégration du boutons « j’aime » des informations sur les utilisateurs, notamment son adresse IP. Ce transfert de données personnelles se fait indépendamment du fait que les visiteurs du site est membre de Facebook ou non.

Si l’utilisateur a un compte sur Facebook et est connecté lorsqu’il visite ses informations et son activité sont liées à la page avec son profil sur Facebook  qui les stocke.

Ce mécanisme n’est, pour le tribunal, légal que si les informations recueillies sont détaillées et que l’utilisateur a donné explicitement son accord. Nul doute que beaucoup de sites allemands vont recevoir des mises en demeure de retirer le bouton « j’aime ».

Ce jugement peut encore faire l’objet d’un appel. La question de savoir si une adresse IP est une donnée personnelle n’est pas encore tranchée en Allemagne : Le Bundesgerichtshof a renvoyé l’affaire devant la Cour européenne de justice (Rs. C-582/14). La question n’est pas davantage tranchée en France.

Que doivent faire les responsables de sites web ?

Le tribunal de Düsseldorf a mis en cause l’utilisation actuelle des plug-ins sociaux. Pour se conformer à la décision du tribunal, les responsables de sites internet doivent faire en sorte que les plug-ins sociaux au rang desquels on trouve le bouton « j’aime » de Facebook ne soient activés qu’à partir du moment ou le visiteur du site a donné son accord au recueil de ses données personnelles.

Autant dire que nous n’en avons pas fini avec les bandeaux d’information sur les cookies et autres boutons sociaux qui mangent parfois une grande partie de notre écran.

Est-ce pourtant suffisant pour informer les visiteurs ? Je n’en suis pas sûr !

Publicités

L’US-EU Privacy Shield remplace le Safe Harbor

3 février, 2016 Commentaires fermés

Nous avons un accord.

C’est sur Twitter que Christian Wigand, porte-parole de l’exécutif européen a annoncé que l’Union européenne et les États-Unis étaient parvenus à un accord sur le transfert des données personnelles des Européens vers les États-Unis. Cet accord a été baptisé « US-EU Privacy Shield« .

La Commission européenne avait menacé les entreprises américaines de restreindre leurs capacités à transférer des données personnelles européennes vers les États-Unis, à défaut d’un accord.

Ce nouvel accord est destiné à remplacer le Safe Harbor abrogé par la Cour de Justice de l’Union Européenne [pdf] le 6 octobre 2015.

Le G29 qui regroupe les autorités administratives européennes chargées de la protection des données, avaient donné aux institutions européennes et américaines jusqu’au 31 janvier 2016 pour « trouver des solutions juridiques et techniques » permettant un transfert sécurisé des données.

L’accord est un compromis qui permet aux Européens de protéger leurs droits sur les données tout en autorisant les entreprises américaines de les transférer. Ce transfert est possible grâce à un renforcement des obligations imposées aux entreprises américaines. Ainsi, notamment, le Department of Commerce enregistrera que les entreprises publierons leurs engagements de protection des données personnelles des Européens.

Selon Andrus Ansip, le commissaire européen en charge du numérique, « Les entreprises américaines souhaitant importer des données personnelles d’Europe devront respecter de solides obligations sur la façon dont les données personnelles seront traitées et les droits individuels garantis ».

Pour Věra Jourová, le commissaire européen en charge de la Justice a déclaré que « pour la première fois, les États-Unis ont fourni à l’Europe des assurances écrites que l’accès des pouvoirs publics […] sera soumis à des limitations claires et à des mécanismes de contrôle (…). Tout citoyen considérant que leurs données a été mal utilisée aura à sa disposition de nombreuses possibilités pour rétablir la situation« .

Les membres du G29 doivent se prononcer, aujourd’hui, 3 février, pour savoir si les engagements pris par les États-Unis dans cet accord sont suffisants au regard du droit de l’Union européenne.

Plus d’informations sur le site de l’Union européenne.

Catégories :Juridique Étiquettes : ,

Vidéosurveillance au travail : oui mais pas n’importe comment

4 décembre, 2015 Commentaires fermés

Le Conseil d’État a rendu il y a quelques jours un arrêt à propos de l’installation de caméras de surveillance, par un employeur, sur un lieu de travail.

Si l’installation de caméras de surveillance sur un lieu de travail n’est pas en principe interdit, cette installation ne doit pas être faite n’importe comment.

C’est ce que rappelle le Conseil d’État dans son arrêt du 18 novembre 2015 (N° 371196), confirmant une décision de la CNIL intervenue en mai 2013.

Les faits rapportés dans l’arrêt montre que l’employeur avait installé un système de vidéosurveillance.  L’une des « caméra[s] permettait de voir le poste d’une salariée et […] la n° 3 était orientée en direction d’une salle où travaillaient six personnes ; qu’à la suite de deux lettres de rappel adressées les 6 et 23 juillet 2012, le deuxième contrôle de la Commission lui a permis de constater le 15 octobre 2012, soit au-delà de l’échéance fixée par la mise en demeure du 13 avril 2012, que, si les orientations des deux caméras avaient été modifiées, la n° 3 était dirigée désormais vers le poste d’un autre salarié ; que ce n’est que lors du troisième et dernier contrôle, le 11 décembre 2012, qu’il est apparu qu’aucun salarié n’était plus sous la surveillance constante de caméras« .

L’installation de caméras de surveillance pose 3 questions juridiques :

  • la pertinence du recours à ce procédé ;
  • l’information des personnes concernées ;
  • la sécurisation des données personnelles.

Lire la suite…

Catégories :Juridique Étiquettes : , ,

Sécurisez les données personnelles de vos clients !

23 novembre, 2015 3 commentaires

Traditionnellement, l’élément principal du fonds de commerce d’une entreprise est sa clientèle. Ce point de vue est d’autant plus important dans le commerce en ligne.

Les données, des clients en particulier, sont devenues le nerf de la guerre pour les commerçants en ligne.

Outre le risque de perte de données, cruciales, le manque de sécurisation des données personnelles présente pour vous un risque de contentieux.

La sécurisation du stockage des données personnelles

sécurisez vos données clientsLe stockage des données personnelles de vos clients doit être fait de manière sécurisée. En d’autres termes, les données personnelles que vous possèdez sur vos clients doivent être cryptées.

Un stockage en clair des données personnelles n’est pas conforme à l’article 34 de la loi de 1978 qui prévoit que le responsable du traitement des données en assure « la sécurité […], notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès« .

Ainsi, si vos données clients sont stockées en clair, elles peuvent être déformées que ce soit volontairement ou involontairement. De plus, des tiers, non autorisés peuvent y avoir accès sans votre  autorisation.

Les tiers évoqués par le texte peuvent également être des salariés votre entreprise ou des sous-traitants. Ainsi, tous les salariés d’une entreprise ne sont pas censés avoir accès aux données clients.

Ne sont susceptibles d’avoir accès à ces données que les salariés en ayant besoin pour accomplir leurs tâches. Ainsi, par exemple, les salariés du service RH n’ont pas besoin des données clients et donc ne devraient pas y avoir accès.

Il faut dès lors mettre en place une politique de gestion des mots de passe d’accès aux données à protéger.

Quel risque en cas de défaut de sécurisation des données personnelles ?

Le fait de ne pas respecter les dispositions de l’article 34 de la loi de 1978 est une infraction prévue par le code pénal, l’article 226-17 en l’occurrence. La peine maximale encourue ? Cinq ans d’emprisonnement et de 300 000 euros d’amende !

En plus de l’action pénale, vous risquez une procédure diligentée par la CNIL, sur plainte d’un client notamment.Votre entreprise peut alors être condamnée à une sanction pécuniaire.

Vous pensez que ce risque n’est hypothétique et ne concerne que les petites entreprises ? Une grande enseigne a récemment été épinglée par la CNIL [PDF] pour avoir conserver les données de ses clients sans protection suffisante, après reçu une mise en demeure n’ayant pas été entièrement satisfaite.

Bilan ? Une sanction pécuniaire de 50 000 euros et la publication de cette condamnation.

Je pense néanmoins que les risques les plus important dans le défaut de sécurisation n’est pas juridique.

Les deux risques majeurs sont :

  • le risque est la perte irréversible de données mais également
  • l’impact négatif sur l’image de l’entreprise.

Une telle négligence pourrait ternir durablement l’image d’une entreprise aux yeux de ses clients et prospects.

 

De la divulgation par mégarde de données personnelles

31 août, 2009 2 commentaires

Il y a quelques jours Pcinpact faisait état des problèmes d’une mutuelle avec une liste d’adresses e-mail de ses adhérents. Cette liste était sur le serveur internet de la mutuelle et a été scannée par le robot d’indexation de Google. De ce fait, les adresses ont été récupérées par un spammeur qui a inondé des adhérents de messages. C’est d’ailleurs à cause de l’augmentation de ces spams qu’une des victimes s’est aperçue, après une simple requête sur Google de la facilité d’accès à cette liste d’adresses emails.

D’un point de vue strictement technique, il semble que le fichier en cause n’était pas protégé contre une indexation par les moteurs de recherche. L’utilisation d’un simple fichier robots.txt garantie pourtant cette absence d’indexation. Ce fichier robots.txt n’aurait de toute façon pas été efficace contre les scripts des spammeurs qui ne tiennent pas compte des indications fournies. Un autre moyen de protéger ces informations en ligne aurait été la mise en place d’un htaccess interdisant non seulement l’indexation mais également l’accès aux fichiers ainsi protégés. Là encore il semble que cette solution n’a pas été retenue par les personnes en charges de la maintenance du site. Lire la suite…

Catégories :Juridique, Pénal, Web Étiquettes : ,

« Internet : l’adresse IP n’est plus protégée »

10 février, 2009 Commentaires fermés

Tel est le titre de cet article de Ouest France. L’article fait référence à un arrêt rendu par la Chambre Criminelle de la Cour de Cassation le 13 janvier 2009. La lecture de l’arrêt permet de se rendre compte de l’erreur commise par le journaliste dans son analyse.

Pour comprendre l’enjeu de l’arrêt, il est nécessaire de retracer quelque peu les évènements ayant donné lieu au litige. En l’occurrence, un agent assermenté de la SACEM et de la SDRM avait recueilli l’adresse IP d’internautes partageant des contenus protégés par droit d’auteur via internet. Cet agent avait ensuite transmis le procès verbal contenant ces adresses IP à la gendarmerie afin de poursuite.

La Cour d’Appel de Rennes avait annulé ce procès verbal, jugeant que la constitution de « fichiers de données indirectement nominatives [et] la mise en œuvre de ces traitements reste soumise, en raison de leur nature, à autorisation préalable de la CNIL« , ce qui en l’espèce n’avait pas été fait. Lire la suite…

E-commerce : quelques brèves observations juridiques

25 janvier, 2009 Commentaires fermés

Je souhaite dans ce billet faire une brève évocation de la réglementation applicable à site de e-commerce. Cette réglementation peut être divisée en 4 thèmes :

1. La structure interne du e-commerce

Il s’agit des éléments juridiques intéressant la structure interne de l’entreprise. Cela va de la structure juridique de l’entreprise aux contrats de travail en passant par la propriété intellectuelle. Le choix de la structure juridique dépend bien sûr de la taille et de la stratégie adoptée par le ou les dirigeants de l’entreprise.

La propriété intellectuelle est également un point à soigner, que ce soit la ou les marques déposées, les noms de domaines et les contrats avec les auteurs. L’idéal est ici d’être titulaire des marques qui font office de nom de domaine. Les contrats de cession de droit d’auteur doivent être précis dans la mesure où tout ce qui n’est pas cédé par contrat reste propriété de l’auteur. Une rédaction floue peut dès lors engendrer des conflits possibles. Lire la suite…