Archives de Tag: data

L’action de groupe : arme efficace contre l’utilisation abusive des données personnelles ?

Les données à caractère personnel sont un sujet clé de la vie numérique et de l’économie digitale. A la suite d’un nombre non négligeable de scandales, leur protection a progressivement pris une dimension toute particulière.

On peut citer à titre d’exemple : le vol de données Uber ayant conduit la CNIL à infliger au géant américain une amende record de 50 millions d’euros ; ou encore l’affaire Cambridge Analytica, société de profilage politique, soupçonnée d’avoir compilé, au moyen d’un quizz de personnalité, les données personnelles de près de 87 millions d’utilisateurs Facebook.

Pour autant face à ces situations les moyens mis à disposition des individus pour assurer effectivement le contrôle et la protection de leurs données à caractère personnel paraissent insuffisants.

1. Quid de l’action de groupe en France ?

De manière générale, l’action de groupe se définit comme « une action judiciaire diligentée par un représentant d’un groupe, désigné par la loi, afin que ledit groupe, suite au dommage de masse causé par les manquements d’un professionnel, puisse obtenir une réparation judiciaire » [1]. En d’autres termes, elle permet à un titulaire, spécialement déterminé par la loi, d’agir afin d’obtenir réparation des préjudices subis par un groupe de personnes aux torts d’un seul et même protagoniste.

A l’aube des années 1980, en l’absence d’instrument juridique en mesure de prendre acte et de sanctionner « les litiges de masse », la doctrine française commence à réfléchir à l’introduction de l’action de groupe en droit français[2]. Cependant, fort des dissensions et alternances politiques, le gouvernement français a longtemps craint l’introduction d’un tel mécanisme[3].

L’action de groupe a finalement été consacrée pour la première fois par la loi du 17 mars 2014 relative à la consommation, dite « loi Hamon ». Elle a ensuite été étendue à diverses sphères du droit, notamment en droit de la santé[4], en droit de l’environnement[5], en matière de discrimination au travail[6], ainsi qu’en matière de données personnelles.

2. Quel est le cadre juridique français de l’action de groupe en matière de données personnelles ?

  • De la demande de cessation à l’action en réparation

L’action de groupe en matière de données personnelles a été introduite en France par la loi du 18 novembre 2016 de modernisation de la justice du XXIe siècle. Celle-ci a introduit dans la loi du 6 janvier 1978 dite « Informatique et Libertés » (LIL)[7], l’article 43 ter (désormais abrogé en raison d’une version plus récente du texte). L’objectif était de permettre aux personnes victimes de manquements aux obligations de protection des données personnelles, d’en demander la cessation devant la juridiction compétente.

Après la réforme législative du 20 juin 2018 relative à la protection des données personnelles, le champ de cette action de groupe a été élargie. Cette réforme insère dans la LIL un nouvel article 37[8], permettant d’une part de demander la cessation du manquement, et / ou d’autre part « d’engager la responsabilité de la personne ayant causé le dommage afin d’obtenir réparation des préjudices matériels ou moraux subis ».

Conformément à l’article 37 de la LIL, lu en combinaison avec les articles 60 et suivants de la loi du 18 novembre 2016 de modernisation de la justice du XXIe siècle, cette action de groupe peut être respectivement portée devant la juridiction civile[9] ou la juridiction administrative[10] compétente. Le demandeur à l’action doit en informer la Cnil, afin que celle-ci puisse présenter des observations.

Il s’agit là de modifications opérées sous l’impulsion du droit de l’Union européenne et notamment du Règlement général sur la protection des données à caractère personnel du 27 avril 2016 dit « RGPD ». L’action de groupe est effectivement prévue par le RGPD, qui permet aux personnes physiques ayant subi un dommage matériel ou moral du fait de la violation d’obligations posées par le Règlement, d’obtenir réparation du préjudice subi.

  • Les conditions de l’action

Le fait générateur de l’action de groupe en matière de données personnelles est restreint : l’action ne peut être exercée que « lorsque plusieurs personnes physiques placées dans une situation similaire subissent un dommage ayant pour cause commune un manquement de même nature » aux dispositions du RGPD ou à celles de la loi du 20 juin 2018 relative aux données personnelles (LIL, art. 37 II).

Par ailleurs, en vertu de l’article 37 IV. de la LIL, seuls peuvent exercer une telle action :

  • « Les associations régulièrement déclarées depuis cinq ans au moins ayant dans leur objet statutaire la protection de la vie privée ou la protection des données à caractère personnel» ;
  • « Les associations de défense des consommateurs représentatives au niveau national et agréées, lorsque le traitement de données à caractère personnel affecte des consommateurs» ;
  • « Les organisations syndicales de salariés ou de fonctionnaires représentatives ou les syndicats représentatifs de magistrats de l’ordre judiciaire, lorsque le traitement affecte les intérêts des personnes que les statuts de ces organisations les chargent de défendre».

Il est important de noter, que l’action de groupe doit être précédée d’une mise en demeure en vue de faire cesser le manquement ou de réparer le(s) préjudice(s) subi(s). Ce n’est qu’à l’issue de l’expiration d’un délai de 4 mois, à compter de la réception de la mise en demeure, que l’action de groupe pourra être introduite devant la juridiction compétente[11].

3. Quelles sont les actions en cours ?

Alors même que les scandales portant sur l’utilisation massive et abusive des données à caractère personnel se multiplient, la France compte à ce jour un nombre restreint d’actions de groupe :

  • Internet Society France (ISOC France) c/ Facebook :

En novembre 2018, l’ONG annonçait vouloir engager la première action de groupe indemnitaire en matière de données personnelles[12].

Par une lettre de mise en demeure, l’ISOC France a alerté la plateforme de sept « atteintes récurrentes aux libertés et à la vie privée » de ses utilisateurs. L’internet Society reproche notamment au géant américain de collecter des données sensibles (l’orientation sexuelle, les opinions politiques et les croyances religieuses), de ne pas demander le consentement libre et éclairé des utilisateurs Facebook et WhatsApp ou encore l’absence de sécurisation efficace des données personnelles[13].

En l’absence de réponse, l’ONG a décidé de porter l’affaire devant les tribunaux français. Selon l’Agence France Presse (AFP), l’ISOC France a déclaré vouloir introduire une assignation devant le tribunal de grande instance de Paris au cours du mois de septembre 2019[14].

  • UFC-Que choisir c/ Google:

Le 26 juin dernier, UFC-Que choisir a introduit une action de groupe contre le géant de l’internet, pour collecte et exploitation de données utilisateurs contraires aux obligations posées par le RGPD.

Cette action concerne principalement les utilisateurs de produits Android. L’association pointe notamment du doigt le processus de création de compte : « nous considérons que le consentement des utilisateurs n’est pas obtenu de façon légale, notamment au travers de cases pré-cochées camouflées ». Selon elle, les utilisateurs n’auraient pas conscience de « l’intrusion massive » dans leur vie privée notamment au travers des données de géolocalisation et à fortiori de la finalité de cette collecte.

L’organisme a assigné Facebook devant le Tribunal de grande instance de Paris et est en attente d’une décision sur la responsabilité de Google dans le cadre de la collecte et du traitement des données personnelles de ses utilisateurs.

Droit du Partage continuera naturellement à suivre ce sujet pour vous.

[1] S. GUINCHARD, CHAINAIS et FERRAND, Procédure civile. Droit interne et droit de l’Union européenne, 2014, coll. Précis, Dalloz, n° 404

[2] Commission de refonte du droit de la consommation, sous la direction de J. CALAIS-AULOY, 1985

[3] Action de groupe – Sonia BEN HADJ YAHIA – Juin 2015, n°2 et suivants

[4] Article 184 de la loi n° 2016-41 du 26 janvier 2016 de modernisation de notre système de santé

[5] Article L142-3-1 du code de l’environnement.

[6] Articles L.1134-6 à L.1134-10 du Code du travail.

[7] La loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle est venu modifier la loi Libertés et Informatiques.

[8] Article 37 de la  LOI n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

[9] Article 60 de la Loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle.

[10] Article 85 de la Loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle.

[11] Article 64 de la Loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle.

[12] Communiqué de l’ISOC France en date du 9 novembre 2018.

[13] Lettre recommandée avec accusé de réception adressée à Facebook France, Facebook Ireland LTD, Facebook Inc.

[14] Article de presse en date du 26 mars 2019 rédigé par l’AFP et publié sur CB News.

Publicités

Poster un commentaire

Classé dans Evolution du cadre juridique, Union Européenne

RGPD et objets connectés : de l’importance de la sécurité

Alors que plus de 20 milliards d’objets connectés devraient être en circulation d’ici 2020 (voir notamment les insights de Gartner sur l’Internet of Things), la protection de la vie privée et des données personnelles va devenir un enjeu cardinal (tant pour les professionnels que pour les consommateurs). Au cœur de ces considérations et en application du RGPD (notamment l’article 32), se trouve la sécurité des éléments physiques ainsi que des flux de données permis par ces objets connectés (voir notre précédent article pour des perspectives juridiques plus complètes).

Les questions de sécurité se posent à tous les niveaux : l’intégrité physique de l’objet, la sécurité de la liaison objet / service numérique et la sureté des serveurs (peut être situés à l’étranger) où sont stockées les informations envoyées par l’objet. On peut ainsi distinguer 3 scenarii par ordre croissant de risque :

1/ Les données restent sous la maitrise de l’usager : les objets n’envoient pas les données à l’extérieur, c’est-à-dire à des tiers car elles restent sur des réseaux maitrisés par l’usager.

2/ Les données sont transmises à l’extérieur pour analyse : les objets transmettent les données à un ou des tiers pour être analysées dans le but de rendre tout ou partie du service.

3/ Les données sont transmises à l’extérieur pour permettre de gérer l’équipement à distance : dans cette situation, les données sont envoyées par l’objet à un ou des tiers afin d’interagir ensuite avec l’équipement.

Le cadre juridique relatif à la protection des données personnelles, en particulier le RGPD qui est applicable dans l’Union Européenne, fixe des exigences importantes en matière de sécurité et d’exercice des droits des individus. Très attentive à ces enjeux, la CNIL s’est focalisée sur les cas d’usages les plus courants en France (notamment, les compteurs intelligents, les jouets connectés, les voitures connectées ou encore les enceintes à commande vocales).

Prenons l’exemple des compteurs communicants comme Linky qui font l’objet d’une attention particulière des dernières années. Dès le 15 novembre 2012, la CNIL a adopté une délibération portant recommandation relative aux traitements des données de consommation détaillées collectées par les compteurs communicants dans laquelle il est notamment rappelé la nécessité de mettre en place des mesures fortes pour assurer la sécurité et la confidentialité des données.

Cette question était au cœur d’un récent litige (voir l’ordonnance de référé du 23 avril 2019 rendue par le Président du Tribunal de grande instance de Bordeaux). Dans cette affaire, plusieurs personnes physiques ont assigné la société Enedis pour s’opposer à l’installation d’un compteur électrique Linky sur le fondement, notamment, de la violation du RGPD. Dans son ordonnance, le Président a refusé de faire droit à cette demande en retenant notamment l’absence de trouble manifestement illicite car il existe une « anonymisation des informations pendant leur transmission, d’une part par leur cryptage, et d’autre part par l’absence de toute référence d’identification nominative ».

Si l’interprétation des règles du RGPD est encore en construction et que les services de la CNIL poursuivent leurs efforts de pédagogie, la récemment désignée Présidente de la CNIL (Marie-Laure Denis) a affirmé que « un an après [l’] entrée en vigueur [du RGPD], c’est la fin d’une forme de tolérance ». Les acteurs du marché doivent mettre en œuvre des mesures de mise en conformité, en particulier concernant la sécurité et la confidentialité des données personnelles.

Les entreprises du marché des objets connectés doivent prendre ces sujets à bras le corps pour assurer la pérennité de leur activité et rassurer leurs clients. Ainsi, il convient de conduire une analyse précise du flux des données et des risques encourus par la situation (v. p. ex. les 3 scenarii détaillés supra) afin de prendre de mettre en place des mesures techniques (par exemple, l’anonymisation et le cryptage) et organisationnelles (par exemple, une politique interne relative à la sécurité et à la protection des données).

Droit du Partage continuera naturellement à suivre ces sujets pour vous.

Poster un commentaire

Classé dans Autres secteurs (vêtements, food, stockage & location de biens meubles...), Evolution du cadre juridique

RGPD, la première sanction prononcée par la CNIL concerne Google

Nous vous l’avions annoncé dans notre précédent article (voir notre article sur les enjeux de l’année 2019) : les premières sanctions prononcées sur le fondement du Règlement général sur la protection des données personnelles (« RGPD ») devaient intervenir en 2019. Ce pronostic vient de se réaliser car le géant américain Google a été condamné à payer une amende de 50 millions d’euros (voir le texte complet de la délibération de la CNIL concernant Google).

Parmi ses nombreux services, Google a conçu un système d’exploitation pour les smartphones appelé « Android » qui compte plus de 27 millions d’utilisateurs en France. Pour l’utiliser, un compte utilisateur doit être créé, ce qui implique un traitement de données à caractère personnel, lequel est naturellement soumis aux conditions du RGPD.

Les associations de défense et de représentation des droits et libertés fondamentaux dans l’espace numérique « None Of Your Business » (« NOYB ») et la Quadrature Du Net (« QDN »), qui soutenaient que le RGPD n’était pas respecté par Google, sont à l’origine de la procédure ouverte par la CNIL concernant Google.

Cette décision de sanction mérite des commentaires sur les points essentiels.

1/ La compétence de la CNIL : pour Google, la CNIL aurait dû transmettre les plaintes reçues à l’autorité de protection des données irlandaise (la Data Protection Commission) qui serait l’autorité chef de file en raison la localisation de son établissement principal en Irlande. (i.e : désigner une autorité chef de file permet aux organismes mettant en œuvre des traitements transfrontaliers de bénéficier du mécanisme du « guichet unique » et de disposer ainsi d’un seul interlocuteur pour toutes leurs activités de traitement sur le territoire de l’Union Européenne).

En se fondant sur l’article 4 (16) et le considérant 36 du RGPD, la CNIL a considéré que la société Google Irlande Ltd n’était pas « l’établissement principal » de la société Google LLC dès lors qu’il n’est pas établi qu’elle dispose d’un pouvoir décisionnel quant aux traitements visés (c’est-à-dire, la capacité de détermination des finalités et des moyens du traitement).

En l’absence d’établissement principal permettant l’identification d’une autorité chef de file, la CNIL est compétente pour traiter les plaintes

2/ Les manquements aux obligations de transparence et d’information :  toute personne qui fait l’objet d’un traitement de données personnelles doit se faire transmettre une information claire, précise et accessible sur l’existence ainsi que les modalités du traitement. Il était reproché à Google de ne pas avoir fourni à ses utilisateurs une telle information.

Pour Google, le document intitulé « Règles de confidentialité et conditions d’utilisation » offre « une bonne vue d’ensemble des traitements mis en œuvre ». La société explique également que l’information des personnes doit s’apprécier de façon globale et qu’ainsi, en plus des divers documents mis à disposition, l’information est transmise par le biais d’autres modalités (messages électroniques adressés à l’utilisateur créant son compte l’informant de la possibilité de modifier les paramètres, mise en place d’un dashboard, fenêtre pop-up etc…) ou fait l’objet d’une rubrique dédiée (par exemple, Google indiquait que les informations relatives à la durée de conservation des données figuraient dans la rubrique « Exporter et supprimer vos informations » au sein des « Règles de confidentialité ». ).

Bien que saluant les progrès et efforts réalisés par Google ces dernières années, la CNIL considère que les exigences de transparence et d’information du RGPD ne sont pas respectées. Elle relève notamment que l’architecture générale de l’information choisie par le géant américain nécessite une démarche positive de l’utilisateur pour prendre connaissance d’informations complémentaires, qu’il devra ensuite recouper et comparer afin de comprendre quelles données sont collectées en fonction des différents paramètres choisis. La CNIL retient que l’exigence d’une information « aisément accessible » visée par le RGPD n’est pas atteinte… La formation restreinte a donc estimé que « la multiplication des actions nécessaires, combinée à un choix de titres non explicites ne satisfait pas aux exigences de transparence et d’accessibilité de l’information ».

3/ La base juridique du traitement : la nécessité d’avoir une « base juridique » (c’est-à-dire, un des fondements juridiques limitativement énumérés par le RGPD) est un autre grand principe auquel il ne peut être dérogé. Il était reproché à la société américaine de ne pas valablement recueillir le consentement des personnes concernées, sur lequel elle se fondait pour les traitements de personnalisation de la publicité, celui-ci devant présenter certaines caractéristiques.

Pour Google, le consentement des utilisateurs est suffisamment éclairé, spécifique et univoque.

La CNIL n’est pas de cet avis et retient que le consentement (i) n’est pas éclairé (notamment car l’information préalable est « excessivement disséminée »), (ii) n’est pas spécifique et univoque (notamment car le consentement n’est pas donné par le biais d’un acte positif par lequel la personne consent spécifiquement et distinctement au traitement de ses données à des fins de personnalisation de la publicité par rapport aux autres finalités de traitement puisque la case était masquée et pré-cochée par défaut, la possibilité de paramétrer ne suffisant pas à lever l’irrégularité) et (iii) n’est pas libre (notamment car l’utilisateur se voit contraint d’ « accepter en bloc » l’ensemble des traitements de données à caractère personnel mis en œuvre).

4/ La sanction : pour Google, la sanction consistant en une mise en demeure aurait représenté la mesure correctrice la plus adéquate. Pour justifier le montant de son amende (50 millions d’euros), la CNIL souligne que les manquements relevés à l’encontre de Google sont graves (il s’agit des dispositions dont la méconnaissance est la plus sévèrement sanctionnée en vertu de l’article 83 du RGPD). En effet, elle estime que ces traitements de données, clés dans le modèle économique de Google et générant des avantages considérables, ont une « ampleur considérable compte tenu de la place prépondérante qu’occupe le système d’exploitation Android». Elle relève par ailleurs que les manquements de Google perdurent au jour où la CNIL statue. Tout cela justifie la sanction pécuniaire qui se trouve doublée d’une sanction complémentaire de publicité (légitimée par la place prépondérante occupée par la société sur le marché des systèmes d’exploitation et de l’intérêt que représente la décision pour l’information du public). Et c’est peut-être là que se trouve la véritable sanction pour Google…

La QDN et NOYB, mandatés par près de 10.000 personnes, se félicitent d’avoir obtenu la première amende majeure depuis l’entrée en vigueur du RGPD, illustrant ainsi la mise en œuvre du nouvel arsenal répressif institué par celui-ci. Bien que la somme de 50 millions d’euros puisse paraître colossale, elle est à relativiser par rapport au maximum encouru (4% du chiffre d’affaires annuel global du précédent exercice).

Google, considérant que la sanction n’est pas justifiée au regard des efforts déjà déployés pour se conformer aux exigences du RGPD, a décidé d’exercer une voie de recours devant le Conseil d’État.

La bataille judiciaire continue et les prochaines décisions (à la fois de la CNIL et du Conseil d’État) seront intéressantes à étudier.

Droit du Partage continuera naturellement à suivre ces sujets pour vous.

Poster un commentaire

Classé dans Transport de personnes

Objets connectés et intelligents : perspectives juridiques sur ce phénomène

On ne compte plus les innovations qui transforment des objets du quotidien en véritables machines intelligentes et la créativité des fabricants n’a pas de limite pour développer ce segment de marché : les applications de santé, les montres, les ustensiles de cuisine, les accessoires de sports, la domotique…

Les déclinaisons sont infinies et les perspectives vertigineuses puisque ces objets seront le socle des villes, des immeubles, des moyens de transport et des foyers de demain ! Mais ce pourrait également être l’avenir du corps humain grâce à l’intégration de dimensions technologiques dans notre organisme (c’est le fondement du courant transhumaniste qui met en avant la notion d’humanité augmentée).

Avant toute chose, il est nécessaire de circonscrire le champ de l’analyse en définissant ce qu’on entend par « objet connecté » ou « objet intelligent » (en anglais « Internet of Things » – IoT). Il est communément admis qu’il s’agit d’objets reliés par un réseau sans fil (internet, Wifi, bluetooth…) et qui proposent aux consommateurs des services sur la base des informations collectées par des puces ou des capteurs. Les objets connectés reposent principalement sur le traitement à grande échelle de données personnelles plus ou moins sensibles des utilisateurs afin de les analyser et de les partager (on parle parfois de « quantified self »).

Si l’on met de côté les enjeux sociétaux (ie. la prise de conscience de la nécessité d’adopter une certaine « hygiène » face à ces innovations) et les enjeux industriels (ie. les challenges rencontrés par les fabricants pour innover et produire ces nouveaux produits), il est primordial d’aborder la question de la régulation de ces objets connectés ou intelligents.

Le cadre juridique résulte de la conjonction de plusieurs ensemble de règles issues de différentes spécialités juridiques, ce qui impose que le juriste connaisse cette variété de normes et appréhende avec précision le fonctionnement effectif de ces objets. Pour aller au cœur des problématiques, nous avons sélectionné les enjeux clés.

1/ Les données personnelles : pour connaitre le client, comprendre ses besoins et fournir le service adéquat, les objets connectés reposent sur le traitement des données personnelles de l’utilisateur. Les règles résultant du RGPD et la loi informatique et libertés (en particulier, celles relatives aux données sensibles comme la santé) s’appliquent. Tous les acteurs de cette nouvelle industrie doivent en faire une priorité, en particulier car les articles 226-16 du Code pénal prévoient de lourdes sanctions en cas de violation des règles.

À titre d’illustration des (très nombreux) enjeux relatifs aux données personnelles on peut mentionner l’article 34 de la loi informatiques et libertés relatif à la sécurité des données. Ce texte dispose que le responsable du traitement est tenu de prendre toutes précautions utiles pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. C’est ainsi que la CNIL a sanctionné Dailymotion pour manquement à la sécurisation des données de ses utilisateurs car le stockage des identifiants administrateurs était « en clair », ce qui permis à des tiers d’accéder aux données des utilisateurs (délibération n°SAN-2018-0008 du 24 juillet 2018).

Or, pour les objets connectés, l’identité du « responsable de traitement » pourrait être débattue dans certaines situations en raison des multiples intervenants sur les objets : est-ce le fabricant de l’objet lui-même ? des puces ou du système informatique ?

2/ La protection de la vie privée : principe légal, conventionnel et protégé par la jurisprudence du Conseil Constitutionnel, la protection de la vie privée fait face à de nouveaux défis avec le traitement massif et la diffusion à grande échelle des données personnelles des individus. C’est d’autant plus important lorsqu’il s’agit d’objets connectés ou intelligents qui se trouvent dans les immeubles, sur notre corps ou dans les voitures, c’est-à-dire qu’ils ont accès à l’intimité des individus.

Cette problématique est directement liée au traitement des données personnelles car les opérateurs/fabricants d’objets connectés auront accès à une multitude de données et la ligne sera fine entre respecter/violer la vie privée. À titre d’exemple, la Cour de Justice de l’Union Européenne a jugé contraire aux règles relatives aux donnés personnelles « la conservation généralisée et indiférenciée de l’ensemble des données relatives au trafic et des données de localisation des abonnés et utilisateurs inscrits » (arrêt du 21 décembre 2016, Tele 2 Sverige, aff. C-203/15).

Les règles relatives à la vie privée dans le numérique vont prochainement être renforcées avec le règlement relatif à la vie privée et aux communications électroniques (dit « e-privacy » – voir le projet ici) qui devrait prochainement être adopté.

3/ Le consentement pour la souscription de contrats : puisque les objets sont « intelligents » et que la technologie renforce ses propres capacités, notamment avec l’apprentissage permis par l’intelligence artificielle, il arrive (et cela ira croissant) que les objets prennent des décisions de manière autonome. À titre d’illustration, on peut citer le système « Instant Ink » d’HP qui permet à l’imprimante de commander des cartouches d’encre avant que le stock soit épuisé.

Les règles du droit des contrats sont claires : pour conclure un contrat, il est nécessaire d’avoir un contenu licite et certain, le consentement des parties et une capacité de contracter. On peut raisonnablement penser que l’objet connecté (quelque soit son degré de sophistication) n’est pas la contrepartie du vendeur dans la transaction. De même, il est impossible de concevoir que l’objet soit porteur d’un mandat de l’utilisateur car le mandataire doit être « une personne ». L’objet connecté ne semble pas pouvoir être considéré comme le vecteur du consentement, ce qui crée des challenges intéressants pour les fabricants de ces objets.

De même, le droit de la consommation a un rôle déterminant à jouer pour protéger les utilisateurs, ce qui est un frein (plus ou moins justifié) au développement de pratiques liées aux objets connectés. Actuellement, il est nécessaire de confirmer une commande réalisée à distance et le professionnel doit informer le consommateur des caractéristiques du produit, son prix et les détails. Or, quelle place peut avoir la technologie permettant à un objet en panne de solliciter automatiquement le SAV ? La question est passionnante.

4/ Le droit de la responsabilité : les objets intelligents peuvent être amené à adopter des fonctionnements qui pourraient créer des conséquences défavorables pour leurs propriétaires (par exemple, l’ouverture d’une voiture sans que le titulaire de la clé soit à proximité ou la défaillance dans le fonctionnement d’une serrure connectée).

Dans pareille hypothèse, un débat juridique pourrait s’ouvrir sur la personne responsable du/des dommages, ce qui pourrait être complexe. En effet, beaucoup d’intervenants sont impliqués dans la conception, la fabrication et l’entretien de ces objets technologiques, ce qui pourrait rendre le travail du juge complexe. L’essentiel est, en amont, pour les sociétés qui commercialisent ces produits de s’interroger sur les hypothèses litigieuses pour anticiper.

5/ Le droit à « ne pas être connecté » :  les objets sont reliés à un réseau (en particulier, internet) mais également entre eux, de sorte que de nombreuses communications ont lieu automatiquement et sans que les individus soient au courant et/ou aient donné leur consentement, ce qui pose la question de la « déconnexion ». C’est ainsi que la Commission Européenne a publié une recommandation le 12 mai 2009 (voir le texte ici) qui vise à promovoir la faculté pour les utilisateurs de désactiver les puces des objets connectés ou intelligents.

Dans la même logique de liberté de rupture avec ces innovations connectées, les débats sur l’installation des compteurs « Linky » qui communiquent directement avec le gestionnaire du réseau électrique. Beaucoup de débats ont eu lieu concernant l’installation de ces compteurs et certaines mairies ont même pris des arrêtés interdisant les compteurs. Dans un jugement du 11 septembre 2018, le tribunal administratif de Toulouse a rappelé qu’Enedis ne pouvait pas entrer dans les lieux pour installer le compteur sans accord des occupants, que les données personnelles des clients devaient être préservées et a invalidé le fait pour une mairie de l’interdire sur tout le territoire de la commune (en l’occurrence, Blagnac).

Ce nouveau marché interroge donc les catégories juridiques et génère de nouveaux questionnements, en particulier concernant l’encadrement du traitement des données personnelles, la sécurité des produits et le risque de surveillance généralisée.

Les opérateurs économiques de ce nouveau marché doivent adopter une approche responsable et mesurée en mettant ces enjeux au cœur de leurs préoccupations afin de favoriser le maximum de sécurité juridique et d’assurer le développement de leur business.

Droit du Partage continuera à suivre ces enjeux pour vous.

 

Poster un commentaire

Classé dans Autres secteurs (vêtements, food, stockage & location de biens meubles...), Evolution du cadre juridique