Archives de Tag: données personnelles

RGPD et objets connectés : de l’importance de la sécurité

Alors que plus de 20 milliards d’objets connectés devraient être en circulation d’ici 2020 (voir notamment les insights de Gartner sur l’Internet of Things), la protection de la vie privée et des données personnelles va devenir un enjeu cardinal (tant pour les professionnels que pour les consommateurs). Au cœur de ces considérations et en application du RGPD (notamment l’article 32), se trouve la sécurité des éléments physiques ainsi que des flux de données permis par ces objets connectés (voir notre précédent article pour des perspectives juridiques plus complètes).

Les questions de sécurité se posent à tous les niveaux : l’intégrité physique de l’objet, la sécurité de la liaison objet / service numérique et la sureté des serveurs (peut être situés à l’étranger) où sont stockées les informations envoyées par l’objet. On peut ainsi distinguer 3 scenarii par ordre croissant de risque :

1/ Les données restent sous la maitrise de l’usager : les objets n’envoient pas les données à l’extérieur, c’est-à-dire à des tiers car elles restent sur des réseaux maitrisés par l’usager.

2/ Les données sont transmises à l’extérieur pour analyse : les objets transmettent les données à un ou des tiers pour être analysées dans le but de rendre tout ou partie du service.

3/ Les données sont transmises à l’extérieur pour permettre de gérer l’équipement à distance : dans cette situation, les données sont envoyées par l’objet à un ou des tiers afin d’interagir ensuite avec l’équipement.

Le cadre juridique relatif à la protection des données personnelles, en particulier le RGPD qui est applicable dans l’Union Européenne, fixe des exigences importantes en matière de sécurité et d’exercice des droits des individus. Très attentive à ces enjeux, la CNIL s’est focalisée sur les cas d’usages les plus courants en France (notamment, les compteurs intelligents, les jouets connectés, les voitures connectées ou encore les enceintes à commande vocales).

Prenons l’exemple des compteurs communicants comme Linky qui font l’objet d’une attention particulière des dernières années. Dès le 15 novembre 2012, la CNIL a adopté une délibération portant recommandation relative aux traitements des données de consommation détaillées collectées par les compteurs communicants dans laquelle il est notamment rappelé la nécessité de mettre en place des mesures fortes pour assurer la sécurité et la confidentialité des données.

Cette question était au cœur d’un récent litige (voir l’ordonnance de référé du 23 avril 2019 rendue par le Président du Tribunal de grande instance de Bordeaux). Dans cette affaire, plusieurs personnes physiques ont assigné la société Enedis pour s’opposer à l’installation d’un compteur électrique Linky sur le fondement, notamment, de la violation du RGPD. Dans son ordonnance, le Président a refusé de faire droit à cette demande en retenant notamment l’absence de trouble manifestement illicite car il existe une « anonymisation des informations pendant leur transmission, d’une part par leur cryptage, et d’autre part par l’absence de toute référence d’identification nominative ».

Si l’interprétation des règles du RGPD est encore en construction et que les services de la CNIL poursuivent leurs efforts de pédagogie, la récemment désignée Présidente de la CNIL (Marie-Laure Denis) a affirmé que « un an après [l’] entrée en vigueur [du RGPD], c’est la fin d’une forme de tolérance ». Les acteurs du marché doivent mettre en œuvre des mesures de mise en conformité, en particulier concernant la sécurité et la confidentialité des données personnelles.

Les entreprises du marché des objets connectés doivent prendre ces sujets à bras le corps pour assurer la pérennité de leur activité et rassurer leurs clients. Ainsi, il convient de conduire une analyse précise du flux des données et des risques encourus par la situation (v. p. ex. les 3 scenarii détaillés supra) afin de prendre de mettre en place des mesures techniques (par exemple, l’anonymisation et le cryptage) et organisationnelles (par exemple, une politique interne relative à la sécurité et à la protection des données).

Droit du Partage continuera naturellement à suivre ces sujets pour vous.

Publicités

Poster un commentaire

Classé dans Autres secteurs (vêtements, food, stockage & location de biens meubles...), Evolution du cadre juridique

Quand l’autorité de la concurrence allemande fait du droit des données personnelles pour contraindre Facebook

Entre les soupçons d’ingérence russe dans la campagne présidentielle américaine, l’audition de M. Zuckerberg devant le congrès américain en marge du scandale Cambridge Analytica et les innombrables procédures judiciaires et enquêtes de régulateurs, Facebook n’en finit plus d’être sous les feux de la rampe.

Dans le prolongement d’une enquête ouverte en mars 2016, le Bundeskartellamt, (l’autorité de concurrence allemande) vient de rendre une décision le 7 février dernier dans laquelle elle interdit à Facebook « de croiser les données d’utilisateurs provenant de différentes sources ».

C’est une décision rare en ce sens que l’autorité allemande a largement intégré le droit des données personnelles dans ses raisonnements pour sanctionner Facebook, alors même que sa compétence se limite en principe au droit de la concurrence allemand et, dans une certaine mesure, au droit européen.

Cette décision met en lumière les interactions croissantes entre ces deux disciplines. En France, l’Autorité de la concurrence s’intéresse également aux données personnelles. Elle vient de publier un avis « portant sur l’exploitation des données dans le secteur de la publicité sur Internet[1] » et avait réalisé une étude conjointe en mai 2016 « sur les données et leurs enjeux pour leur application du droit de la concurrence[2] » avec le Bundeskartellamt, justement.

Le fonctionnement de Facebook décortiqué

Dans les documents explicatifs de la décision publiés en anglais[3], l’autorité allemande a constaté qu’en acceptant les conditions générales d’utilisation de Facebook, tout utilisateur consent à ce que Facebook collecte et utilise trois types de données le concernant :

  • les données collectées sur Facebook ;
  • les données collectées sur les services appartenant à Facebook, comme Instagram et Facebook Messenger, mais aussi WhatsApp ; et
  • les données collectées sur les « sites et applications tiers ».

Cette dernière catégorie de données est collectée de différentes manières et recouvre les cas où Facebook est « incorporé » à un site ou une application tierce, connecté aux API de Facebook. C’est par exemple la situation où l’on utilise notre profil Facebook pour se connecter à un service, plutôt que de créer un compte avec notre adresse email, ou lorsque l’on commente une page d’un site Internet avec notre profil Facebook.

Conformément à ses conditions générales d’utilisation, Facebook agrège l’ensemble des données collectées sur ces différents services, et les relie au profil Facebook de l’utilisateur concerné. Cette collecte de données à travers trois sources différentes (Facebook, les services détenus par Facebook, et les services tiers) permet évidemment d’avoir une connaissance encore plus fine de l’utilisateur et donc d’offrir aux annonceurs un ciblage encore plus pertinent.

Les griefs et le raisonnement du Bundeskartellamt

La caractérisation d’un abus de position dominante en droit de la concurrence nécessite la réunion de deux conditions : (i) une position dominante sur un marché spécifique à l’affaire, ici celui des réseaux sociaux en Allemagne, et (ii) l’abus de cette position dominante.

La position dominante de Facebook n’a pas été difficile à prouver puisque comme dans la plupart des pays où Facebook est actif  le service est massivement utilisé par les populations (sauf en Asie, et notamment en Chine),. En Allemagne, la part de marché de Facebook s’élève à 90%. Le Bundeskartellamt a souligné que même si l’on devait inclure dans le marché pertinent d’autres services proches d’un service de réseau social, les plus importants appartenaient de toute façon à Facebook, à savoir Instagram et WhatsApp. L’autorité allemande a aussi relevé que Google + n’avait jamais réussi à concurrencer Facebook et avait fini par disparaitre.

C’est la caractérisation de l’abus qui présente une certaine originalité. Il y a deux grandes catégories d’abus en droit de la concurrence : les abus d’éviction (qui évincent les concurrents d’un marché) et les abus d’exploitation (qui imposent des conditions commerciales excessives et/ou injustifiées).

Pour retenir un abus d’exploitation en l’espèce, l’autorité allemande s’est fondée sur une jurisprudence de la Cour fédérale de justice (l’équivalent de la Cour de cassation française) selon laquelle les principes du droit civil peuvent être mobilisés pour caractériser un abus de position dominante. Alors que ce type de jurisprudence sert généralement à mobiliser des principes de droit des contrats visant à assurer l’équilibre des rapports entre les parties, c’est ici le droit des données personnelles qui a servi de fondement, ce qui est assez novateur. L’autorité allemande a alors constaté que Facebook violait de nombreuses dispositions du RGPD et a pu constater l’abus.

La sanction

Comme l’a résumé le président du Bundeskartellamt, la décision peut être comparée à un « démantèlement interne des données de Facebook ».

Cette expression est une référence historique aux origines du droit de la concurrence et résume assez bien la sanction. Le droit de la concurrence est né d’un monopole, celui de l’entreprise de raffinage et de distribution « Standard Oil » fondée par John Rockfeller et qui avait fini par contrôler la quasi-totalité de la production et de la distribution de pétrole aux États-Unis à la fin du XIXe siècle. Le gouvernement américain avait fini par démanteler (« divest ») la Standard Oil et avait peu après adopté les premières règles sur le droit de la concurrence, et notamment les règles sur l’abus de position dominante, qui visent à empêcher les monopoles de se constituer.

En substance, Facebook ne pourra plus combiner les données issues (i) de Facebook, (ii) des autres services qu’elle détient et (iii) des services tiers pour les agréger au profil Facebook de l’utilisateur, à moins d’obtenir un consentement de façon licite. Facebook peut toujours collecter des données de ces trois manières, mais de façon séparée, la combinaison des trois n’étant permise que si l’utilisateur a été en mesure d’exprimer son consentement conformément aux standards du RGPD.

Chose assez rare, l’autorité allemande n’a pas imposé d’amende, alors qu’elles constituent généralement le remède le plus utilisé par les autorités de concurrence. L’autorité a indiqué que « l’enjeu ici est de parvenir à des changements dans le comportement de [Facebook] au bénéfice des concurrents et des consommateurs et de contraindre [Facebook] d’adhérer à ces changements. (…) L’objet de cette procédure n’est pas d’imposer une amende ».

La compétence de l’autorité allemande est limitée, si bien que Facebook n’est contraint de procéder à ce « démantèlement » que pour les utilisateurs de Facebook résidant en Allemagne.

Quelles suites ? 

Comme Google après sa condamnation par la Commission européenne, Facebook a rapidement réagi en publiant un article intitulé « Pourquoi nous ne sommes pas d’accord avec le Bundeskartellamt[4] » et en annonçant avoir fait appel de la décision, qui sera revue par un tribunal allemand. Facebook explique notamment que la « popularité n’est pas la domination », et que Facebook est directement en concurrence avec de nombreux autres services comme Snapchat, Twitter ou YouTube.

Il sera intéressant de voir comment un juge abordera le raisonnement de l’autorité allemande (le Bundeskartellamt reste une autorité administrative), et si une question préjudicielle sera éventuellement posée à la Cour de justice de l’Union Européenne pour clarifier les règles applicables à ce type de pratiques.

Droit du Partage continuera naturellement à suivre ces sujets pour vous.

[1] Avis n° 18-A-03 du 6 mars 2018 portant sur l’exploitation des données dans le secteur de la publicité sur internet

[2] Etude conjointe « Droit de la concurrence et données », 10 mai 2016, disponible à l’adresse suivante : http://www.autoritedelaconcurrence.fr/doc/rapport-concurrence-donnees-vf-mai2016.pdf

[3]https://www.bundeskartellamt.de/SharedDocs/Meldung/EN/Pressemitteilungen/2019/07_02_2019_Facebook.html

[4] https://newsroom.fb.com/news/2019/02/bundeskartellamt-order/

Poster un commentaire

Classé dans Union Européenne

RGPD, la première sanction prononcée par la CNIL concerne Google

Nous vous l’avions annoncé dans notre précédent article (voir notre article sur les enjeux de l’année 2019) : les premières sanctions prononcées sur le fondement du Règlement général sur la protection des données personnelles (« RGPD ») devaient intervenir en 2019. Ce pronostic vient de se réaliser car le géant américain Google a été condamné à payer une amende de 50 millions d’euros (voir le texte complet de la délibération de la CNIL concernant Google).

Parmi ses nombreux services, Google a conçu un système d’exploitation pour les smartphones appelé « Android » qui compte plus de 27 millions d’utilisateurs en France. Pour l’utiliser, un compte utilisateur doit être créé, ce qui implique un traitement de données à caractère personnel, lequel est naturellement soumis aux conditions du RGPD.

Les associations de défense et de représentation des droits et libertés fondamentaux dans l’espace numérique « None Of Your Business » (« NOYB ») et la Quadrature Du Net (« QDN »), qui soutenaient que le RGPD n’était pas respecté par Google, sont à l’origine de la procédure ouverte par la CNIL concernant Google.

Cette décision de sanction mérite des commentaires sur les points essentiels.

1/ La compétence de la CNIL : pour Google, la CNIL aurait dû transmettre les plaintes reçues à l’autorité de protection des données irlandaise (la Data Protection Commission) qui serait l’autorité chef de file en raison la localisation de son établissement principal en Irlande. (i.e : désigner une autorité chef de file permet aux organismes mettant en œuvre des traitements transfrontaliers de bénéficier du mécanisme du « guichet unique » et de disposer ainsi d’un seul interlocuteur pour toutes leurs activités de traitement sur le territoire de l’Union Européenne).

En se fondant sur l’article 4 (16) et le considérant 36 du RGPD, la CNIL a considéré que la société Google Irlande Ltd n’était pas « l’établissement principal » de la société Google LLC dès lors qu’il n’est pas établi qu’elle dispose d’un pouvoir décisionnel quant aux traitements visés (c’est-à-dire, la capacité de détermination des finalités et des moyens du traitement).

En l’absence d’établissement principal permettant l’identification d’une autorité chef de file, la CNIL est compétente pour traiter les plaintes

2/ Les manquements aux obligations de transparence et d’information :  toute personne qui fait l’objet d’un traitement de données personnelles doit se faire transmettre une information claire, précise et accessible sur l’existence ainsi que les modalités du traitement. Il était reproché à Google de ne pas avoir fourni à ses utilisateurs une telle information.

Pour Google, le document intitulé « Règles de confidentialité et conditions d’utilisation » offre « une bonne vue d’ensemble des traitements mis en œuvre ». La société explique également que l’information des personnes doit s’apprécier de façon globale et qu’ainsi, en plus des divers documents mis à disposition, l’information est transmise par le biais d’autres modalités (messages électroniques adressés à l’utilisateur créant son compte l’informant de la possibilité de modifier les paramètres, mise en place d’un dashboard, fenêtre pop-up etc…) ou fait l’objet d’une rubrique dédiée (par exemple, Google indiquait que les informations relatives à la durée de conservation des données figuraient dans la rubrique « Exporter et supprimer vos informations » au sein des « Règles de confidentialité ». ).

Bien que saluant les progrès et efforts réalisés par Google ces dernières années, la CNIL considère que les exigences de transparence et d’information du RGPD ne sont pas respectées. Elle relève notamment que l’architecture générale de l’information choisie par le géant américain nécessite une démarche positive de l’utilisateur pour prendre connaissance d’informations complémentaires, qu’il devra ensuite recouper et comparer afin de comprendre quelles données sont collectées en fonction des différents paramètres choisis. La CNIL retient que l’exigence d’une information « aisément accessible » visée par le RGPD n’est pas atteinte… La formation restreinte a donc estimé que « la multiplication des actions nécessaires, combinée à un choix de titres non explicites ne satisfait pas aux exigences de transparence et d’accessibilité de l’information ».

3/ La base juridique du traitement : la nécessité d’avoir une « base juridique » (c’est-à-dire, un des fondements juridiques limitativement énumérés par le RGPD) est un autre grand principe auquel il ne peut être dérogé. Il était reproché à la société américaine de ne pas valablement recueillir le consentement des personnes concernées, sur lequel elle se fondait pour les traitements de personnalisation de la publicité, celui-ci devant présenter certaines caractéristiques.

Pour Google, le consentement des utilisateurs est suffisamment éclairé, spécifique et univoque.

La CNIL n’est pas de cet avis et retient que le consentement (i) n’est pas éclairé (notamment car l’information préalable est « excessivement disséminée »), (ii) n’est pas spécifique et univoque (notamment car le consentement n’est pas donné par le biais d’un acte positif par lequel la personne consent spécifiquement et distinctement au traitement de ses données à des fins de personnalisation de la publicité par rapport aux autres finalités de traitement puisque la case était masquée et pré-cochée par défaut, la possibilité de paramétrer ne suffisant pas à lever l’irrégularité) et (iii) n’est pas libre (notamment car l’utilisateur se voit contraint d’ « accepter en bloc » l’ensemble des traitements de données à caractère personnel mis en œuvre).

4/ La sanction : pour Google, la sanction consistant en une mise en demeure aurait représenté la mesure correctrice la plus adéquate. Pour justifier le montant de son amende (50 millions d’euros), la CNIL souligne que les manquements relevés à l’encontre de Google sont graves (il s’agit des dispositions dont la méconnaissance est la plus sévèrement sanctionnée en vertu de l’article 83 du RGPD). En effet, elle estime que ces traitements de données, clés dans le modèle économique de Google et générant des avantages considérables, ont une « ampleur considérable compte tenu de la place prépondérante qu’occupe le système d’exploitation Android». Elle relève par ailleurs que les manquements de Google perdurent au jour où la CNIL statue. Tout cela justifie la sanction pécuniaire qui se trouve doublée d’une sanction complémentaire de publicité (légitimée par la place prépondérante occupée par la société sur le marché des systèmes d’exploitation et de l’intérêt que représente la décision pour l’information du public). Et c’est peut-être là que se trouve la véritable sanction pour Google…

La QDN et NOYB, mandatés par près de 10.000 personnes, se félicitent d’avoir obtenu la première amende majeure depuis l’entrée en vigueur du RGPD, illustrant ainsi la mise en œuvre du nouvel arsenal répressif institué par celui-ci. Bien que la somme de 50 millions d’euros puisse paraître colossale, elle est à relativiser par rapport au maximum encouru (4% du chiffre d’affaires annuel global du précédent exercice).

Google, considérant que la sanction n’est pas justifiée au regard des efforts déjà déployés pour se conformer aux exigences du RGPD, a décidé d’exercer une voie de recours devant le Conseil d’État.

La bataille judiciaire continue et les prochaines décisions (à la fois de la CNIL et du Conseil d’État) seront intéressantes à étudier.

Droit du Partage continuera naturellement à suivre ces sujets pour vous.

Poster un commentaire

Classé dans Transport de personnes

Règlementation du numérique – ce que 2019 nous réserve

Le cadre juridique de l’économie numérique et des plateformes est en perpétuelle construction. L’année 2018 restera sans doute celle de l’entrée en vigueur du RGPD et de la modification de la loi informatique et libertés. L’année 2019 sera quant à elle marquée par l’adoption de textes importants, et dans de nombreux domaines !

Voici les principaux éléments qu’il faudra suivre avec attention en 2019 et qui feront sans aucun doute l’actualité :

  • Opérateurs de plateforme en ligne – les règles se multiplient: cette année encore, le « droit des plateformes » s’étoffe, avec notamment :
    • Diffusion de bonnes pratiques par les plateformes : le 1er janvier 2019 marque l’entrée en vigueur de ce dispositif créé par la loi pour une République Numérique (voir notre article sur les obligations issues des décrets d’application de la loi dite « Lemaire »). Au-delà de 5 millions de visiteurs uniques par mois, par plateforme, sur la base de la dernière année civile, l’opérateur doit élaborer et diffuser des bonnes pratiques pour renforcer la loyauté, la clarté et la transparence des informations transmises aux consommateurs.
    • Les obligations déclaratives sur les revenus des utilisateurs : pour les revenus perçus en 2019, les plateformes doivent transmettre à l’administration fiscale un récapitulatif annuel pour chaque utilisateur (voir notre article sur la réforme de l’article 242 bis du Code général des impôts), et pourront être tenus du paiement de la TVA due par certains d’entre eux en cas de fraude[1] (voir notre article sur ce nouveau mécanisme de responsabilité sur la TVA). On peut aussi mentionner l’obligation de vérification de l’identité des utilisateurs réalisant des transaction supérieures ou égales à 1.000 euros.
    • Le règlement européen Platform to business : en plus de ces règles françaises il faut mentionner ce règlement qui vise à mieux encadrer les relations entre les plateformes et les professionnels qui les utilisent pour leur activité. Ce texte a pour ambition de profondément modifier les pratiques commerciales des grandes plateformes et sera un moment important de 2019 pour les marketplaces.
    • La responsabilité sociale des plateformes : la question avait fait l’actualité lorsque les députés avaient tenté d’introduire le mécanisme relatif à l’établissement d’une charte détaillant les relations juridiques avec les indépendants (voir notre article à ce sujet). La disposition en cause avait alors été censurée par le Conseil constitutionnel. Réintroduit dans la LOM, le Conseil d’État a estimé dans son avis sur le projet de loi que le législateur pouvait adopter à nouveau le mécanisme et que celui-ci n’était pas inconstitutionnel. Reste à voir si celui-ci sera définitivement adopté à l’occasion de la LOM.
  • Les données personnelles : elles continueront de faire l’actualité en 2019. Le secteur poursuit sa mise en conformité avec le RGPD et la CNIL va continuer ses efforts de pédagogie. Ce sera d’autant plus important qu’une ordonnance a été publiée en décembre 2018 pour la réécriture complète de la loi informatique et libertés, ce qui lui permettra d’être en ligne avec le droit actuel des données personnelles. Plus de 7 mois après l’entrée en vigueur du RGPD, il est aussi probable que les premières sanctions substantielles soient prononcées en 2019.
    Au niveau européen, l’Union va compléter le cadre juridique existant avec le règlement « E-privacy[2] ». Également appelé règlement « Cookies », il pourrait introduire des changements d’une ampleur comparable à ceux induits par le RGPD. Son objectif est de renforcer la protection de la vie privée de l’internaute et de mieux encadrer l’utilisation des métadonnées, des adresses IP ou des cookies notamment. Le texte sera à nouveau discuté cet été par le Conseil.
  • La lutte contre les « fake news[3]» : suite aux soupçons d’ingérence russe dans la campagne présidentielle américaine par l’intermédiaire de Facebook, le gouvernement français a réagi avec la loi du 22 décembre 2018 relative à la lutte contre la manipulation de l’information. Objet d’intenses débats parlementaires et d’une saisine du Conseil constitutionnel, la loi prévoit un dispositif qui a vocation à s’appliquer pendant les grandes élections (présidentielles et législatives, notamment). Il sera applicable pour la première fois lors des élections européennes de mai 2019. Les plateformes, encore elles, devront notamment divulguer aux utilisateurs l’identité des personnes qui financent des contenus sponsorisés ou rendre public le montant des sommes versées (au-dessus d’un certain seuil). Un décret a été notifié à la Commission européenne et devrait rentrer en vigueur en avril 2019, soit quelques semaines avant les élections.
  • Les mobilités : le transport (de personnes et de marchandises) est profondément impacté par le numérique. Une grande loi sur les mobilités (dite « LOM » pour Loi d’Orientation des Mobilités) sera débattue au Parlement à compter de février 2019 (voir notre article détaillant cette loi à venir). Elle est le fruit d’un long processus entamé en août 2017 avec les assises de la mobilité. La dernière grande loi sur les transports de cette envergure date de 1982 (« LOTI » – Loi d’Organisation des Transports Intérieurs) : c’est dire l’importance de ce texte qui va dessiner les contours de la mobilité de demain et les opportunités qu’il pourrait ouvrir pour les acteurs du numérique.
  • La directive européenne sur les contrats de fourniture de contenu numérique[4] : présentée en 2015, la directive vise à harmoniser les droits des utilisateurs européens qui bénéficient de contenus numériques. Le texte pourrait avoir un champ d’application très large et s’appliquer à des produits aussi variés que Netflix, Facebook, YouTube ou encore Android. Le texte contient également les premières règles applicables aux constructeurs d’objets connectés. En outre, la proposition de directive admet que la fourniture de données personnelles constitue une « contrepartie », ce qui pourrait être une première étape à l’admission d’un droit de nature patrimonial sur les données personnelles.

Nous suivrons également avec attention la jurisprudence sur les indépendants qui trouvent des clients grâces aux plateformes à la suite de l’arrêt de la Cour de cassation concernant Take Eat Easy[5] et l’arrêt de la Cour d’appel de Paris du 10 janvier 2019 admettant l’existence d’une relation salariée entre un chauffeur et Uber. Nul doute que les juridictions auront l’occasion d’affiner leur jurisprudence.

Enfin, 2019 est aussi la dernière année du mandat de la Commission européenne actuelle. La composition de la future commission sera déterminante pour l’avenir de la régulation du numérique, et pourrait conduire à la refonte du texte le plus important de ces vingt dernières années : la directive sur le commerce électronique[6]. Cela dépendra des équilibres politiques dans les institutions européennes et de l’état d’avancement des différents instruments réglementaires en préparation (en plus de ceux déjà cités, on peut faire référence à la directive sur les droits d’auteur ou les règles relatives à la libre circulation des données non personnelles).

Droit du Partage vous tiendra naturellement informés tout au long de cette nouvelle année.

[1] Loi n° 2018-898 du 23 octobre 2018 relative à la lutte contre la fraude, articles 10 et 11 modifiant respectivement l’article 242 bis du Code Général des Impôts et créant un article 283 bis

[2] Proposition de règlement du Parlement européen et du conseil concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE (règlement «vie privée et communications électroniques»)

[3] Loi n° 2018-1202 du 22 décembre 2018 relative à la lutte contre la manipulation de l’information

[4] Proposition de directive du parlement européen et du conseil concernant certains aspects des contrats de fourniture de contenu numérique, COM/2015/0634 final

[5] Cour de cassation, Chambre Sociale, 28 novembre 2018, n°17-20.079 : censurant une cour d’appel qui avait rejeté l’action en requalification d’un coursier au motif que l’application était dotée d’un système de géolocalisation et que le système de « strike » de Take Eat Easy était comparable à celui d’un employeur, cette décision a marqué les esprits et a parfois été décrite comme remettant en cause le modèle intrinsèque des plateformes.

[6] Directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l’information, et notamment du commerce électronique, dans le marché intérieur (« directive sur le commerce électronique»)

Poster un commentaire

Classé dans Evolution du cadre juridique, Obligations et responsabilité des plateformes, Union Européenne

Objets connectés et intelligents : perspectives juridiques sur ce phénomène

On ne compte plus les innovations qui transforment des objets du quotidien en véritables machines intelligentes et la créativité des fabricants n’a pas de limite pour développer ce segment de marché : les applications de santé, les montres, les ustensiles de cuisine, les accessoires de sports, la domotique…

Les déclinaisons sont infinies et les perspectives vertigineuses puisque ces objets seront le socle des villes, des immeubles, des moyens de transport et des foyers de demain ! Mais ce pourrait également être l’avenir du corps humain grâce à l’intégration de dimensions technologiques dans notre organisme (c’est le fondement du courant transhumaniste qui met en avant la notion d’humanité augmentée).

Avant toute chose, il est nécessaire de circonscrire le champ de l’analyse en définissant ce qu’on entend par « objet connecté » ou « objet intelligent » (en anglais « Internet of Things » – IoT). Il est communément admis qu’il s’agit d’objets reliés par un réseau sans fil (internet, Wifi, bluetooth…) et qui proposent aux consommateurs des services sur la base des informations collectées par des puces ou des capteurs. Les objets connectés reposent principalement sur le traitement à grande échelle de données personnelles plus ou moins sensibles des utilisateurs afin de les analyser et de les partager (on parle parfois de « quantified self »).

Si l’on met de côté les enjeux sociétaux (ie. la prise de conscience de la nécessité d’adopter une certaine « hygiène » face à ces innovations) et les enjeux industriels (ie. les challenges rencontrés par les fabricants pour innover et produire ces nouveaux produits), il est primordial d’aborder la question de la régulation de ces objets connectés ou intelligents.

Le cadre juridique résulte de la conjonction de plusieurs ensemble de règles issues de différentes spécialités juridiques, ce qui impose que le juriste connaisse cette variété de normes et appréhende avec précision le fonctionnement effectif de ces objets. Pour aller au cœur des problématiques, nous avons sélectionné les enjeux clés.

1/ Les données personnelles : pour connaitre le client, comprendre ses besoins et fournir le service adéquat, les objets connectés reposent sur le traitement des données personnelles de l’utilisateur. Les règles résultant du RGPD et la loi informatique et libertés (en particulier, celles relatives aux données sensibles comme la santé) s’appliquent. Tous les acteurs de cette nouvelle industrie doivent en faire une priorité, en particulier car les articles 226-16 du Code pénal prévoient de lourdes sanctions en cas de violation des règles.

À titre d’illustration des (très nombreux) enjeux relatifs aux données personnelles on peut mentionner l’article 34 de la loi informatiques et libertés relatif à la sécurité des données. Ce texte dispose que le responsable du traitement est tenu de prendre toutes précautions utiles pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. C’est ainsi que la CNIL a sanctionné Dailymotion pour manquement à la sécurisation des données de ses utilisateurs car le stockage des identifiants administrateurs était « en clair », ce qui permis à des tiers d’accéder aux données des utilisateurs (délibération n°SAN-2018-0008 du 24 juillet 2018).

Or, pour les objets connectés, l’identité du « responsable de traitement » pourrait être débattue dans certaines situations en raison des multiples intervenants sur les objets : est-ce le fabricant de l’objet lui-même ? des puces ou du système informatique ?

2/ La protection de la vie privée : principe légal, conventionnel et protégé par la jurisprudence du Conseil Constitutionnel, la protection de la vie privée fait face à de nouveaux défis avec le traitement massif et la diffusion à grande échelle des données personnelles des individus. C’est d’autant plus important lorsqu’il s’agit d’objets connectés ou intelligents qui se trouvent dans les immeubles, sur notre corps ou dans les voitures, c’est-à-dire qu’ils ont accès à l’intimité des individus.

Cette problématique est directement liée au traitement des données personnelles car les opérateurs/fabricants d’objets connectés auront accès à une multitude de données et la ligne sera fine entre respecter/violer la vie privée. À titre d’exemple, la Cour de Justice de l’Union Européenne a jugé contraire aux règles relatives aux donnés personnelles « la conservation généralisée et indiférenciée de l’ensemble des données relatives au trafic et des données de localisation des abonnés et utilisateurs inscrits » (arrêt du 21 décembre 2016, Tele 2 Sverige, aff. C-203/15).

Les règles relatives à la vie privée dans le numérique vont prochainement être renforcées avec le règlement relatif à la vie privée et aux communications électroniques (dit « e-privacy » – voir le projet ici) qui devrait prochainement être adopté.

3/ Le consentement pour la souscription de contrats : puisque les objets sont « intelligents » et que la technologie renforce ses propres capacités, notamment avec l’apprentissage permis par l’intelligence artificielle, il arrive (et cela ira croissant) que les objets prennent des décisions de manière autonome. À titre d’illustration, on peut citer le système « Instant Ink » d’HP qui permet à l’imprimante de commander des cartouches d’encre avant que le stock soit épuisé.

Les règles du droit des contrats sont claires : pour conclure un contrat, il est nécessaire d’avoir un contenu licite et certain, le consentement des parties et une capacité de contracter. On peut raisonnablement penser que l’objet connecté (quelque soit son degré de sophistication) n’est pas la contrepartie du vendeur dans la transaction. De même, il est impossible de concevoir que l’objet soit porteur d’un mandat de l’utilisateur car le mandataire doit être « une personne ». L’objet connecté ne semble pas pouvoir être considéré comme le vecteur du consentement, ce qui crée des challenges intéressants pour les fabricants de ces objets.

De même, le droit de la consommation a un rôle déterminant à jouer pour protéger les utilisateurs, ce qui est un frein (plus ou moins justifié) au développement de pratiques liées aux objets connectés. Actuellement, il est nécessaire de confirmer une commande réalisée à distance et le professionnel doit informer le consommateur des caractéristiques du produit, son prix et les détails. Or, quelle place peut avoir la technologie permettant à un objet en panne de solliciter automatiquement le SAV ? La question est passionnante.

4/ Le droit de la responsabilité : les objets intelligents peuvent être amené à adopter des fonctionnements qui pourraient créer des conséquences défavorables pour leurs propriétaires (par exemple, l’ouverture d’une voiture sans que le titulaire de la clé soit à proximité ou la défaillance dans le fonctionnement d’une serrure connectée).

Dans pareille hypothèse, un débat juridique pourrait s’ouvrir sur la personne responsable du/des dommages, ce qui pourrait être complexe. En effet, beaucoup d’intervenants sont impliqués dans la conception, la fabrication et l’entretien de ces objets technologiques, ce qui pourrait rendre le travail du juge complexe. L’essentiel est, en amont, pour les sociétés qui commercialisent ces produits de s’interroger sur les hypothèses litigieuses pour anticiper.

5/ Le droit à « ne pas être connecté » :  les objets sont reliés à un réseau (en particulier, internet) mais également entre eux, de sorte que de nombreuses communications ont lieu automatiquement et sans que les individus soient au courant et/ou aient donné leur consentement, ce qui pose la question de la « déconnexion ». C’est ainsi que la Commission Européenne a publié une recommandation le 12 mai 2009 (voir le texte ici) qui vise à promovoir la faculté pour les utilisateurs de désactiver les puces des objets connectés ou intelligents.

Dans la même logique de liberté de rupture avec ces innovations connectées, les débats sur l’installation des compteurs « Linky » qui communiquent directement avec le gestionnaire du réseau électrique. Beaucoup de débats ont eu lieu concernant l’installation de ces compteurs et certaines mairies ont même pris des arrêtés interdisant les compteurs. Dans un jugement du 11 septembre 2018, le tribunal administratif de Toulouse a rappelé qu’Enedis ne pouvait pas entrer dans les lieux pour installer le compteur sans accord des occupants, que les données personnelles des clients devaient être préservées et a invalidé le fait pour une mairie de l’interdire sur tout le territoire de la commune (en l’occurrence, Blagnac).

Ce nouveau marché interroge donc les catégories juridiques et génère de nouveaux questionnements, en particulier concernant l’encadrement du traitement des données personnelles, la sécurité des produits et le risque de surveillance généralisée.

Les opérateurs économiques de ce nouveau marché doivent adopter une approche responsable et mesurée en mettant ces enjeux au cœur de leurs préoccupations afin de favoriser le maximum de sécurité juridique et d’assurer le développement de leur business.

Droit du Partage continuera à suivre ces enjeux pour vous.

 

Poster un commentaire

Classé dans Autres secteurs (vêtements, food, stockage & location de biens meubles...), Evolution du cadre juridique

La future loi sur le numérique se dessine

L’ambition d’Axelle Lemaire, secrétaire d’Etat en charge du numérique, est affichée puisqu’elle entend créer une « République du numérique« [1]. Pour atteindre ce but, le gouvernement a mis en place une méthodologie visant à tenir compte, en amont, du point de vue de l’ensemble des acteurs intéressés (entreprises, associations, think-tank, députés, experts…) afin d’adopter les meilleures règles possibles. Droit du Partage a eu la chance de participer à une réunion à Bercy pour discuter de l’orientation de ce futur projet de loi.

La première étape a été le lancement d’une consultation publique, organisée par le Conseil National du Numérique, ayant pour objet de mettre en avant les enjeux sociétaux et économiques liés aux transformations numériques. A cet effet, une plateforme collaborative a été mise en ligne pour servir d’interface entre la société civile, les acteurs économiques et les pouvoirs publics afin de recueillir leurs remarques et suggestions. Cette consultation, ayant porté sur de nombreux thèmes parmi lesquels « La loyauté dans l’environnement numérique » ou « L’économie collaborative« , a été clôturée le 4 février 2015. Un rapport synthétisant ses apports devrait être publié à la fin du mois de février.

Ensuite, le gouvernement présentera sa stratégie numérique en Conseil des Ministres dans les prochains mois avant de déposer un projet de loi à l’Assemblée Nationale avant l’été, pour les plus optimistes, et plus vraisemblablement au cours du second semestre 2015.

Cette loi sur le numérique est un des projets phares du gouvernement qui vise à démontrer la présence de la France sur ces nouveaux marchés et sa capacité à garantir l’innovation en la matière. Les grandes lignes de cette future loi sont déjà fixées :

  1. L’Open Data : il est prévu d’introduire un principe d’ouverture des données et d’ouvrir le plus possible les données qualifiées d’intérêt général pour que chacun puisse y avoir accès.
  2. La protection des données personnelles : ce volet vise à permettre un meilleur accès des citoyens aux informations détenues par des tiers, un renforcement du rôle de la CNIL (notamment son pouvoir de sanction) ainsi qu’à envisager de créer une action collective en la matière.
  3. Innovation : ce volet comprendra deux aspects consistant, d’une part, à aider le développement des start-up et, d’autre part, à renforcer juridiquement l’économie du partage.

Si l’ensemble de ces points nous apparaissent primordiaux, le renforcement de l’aide aux jeunes entreprises naissantes nous semble essentiel. Cela va d’ailleurs de pair avec l’instauration d’un cadre juridique pour l’économie du partage puisque ce domaine est au cœur du dynamisme et de la création des entreprises. A cet égard, des réflexions à l’échelle européenne sont d’ailleurs conduites à ce sujet[2].

Il existe une tension entre l’entrepreneur qui veut de la souplesse pour établir son activité et des garanties pour contenir sa responsabilité. C’est aussi problématique du point de vue du législateur puisque plusieurs pistes sont étudiées. Soit le gouvernement légifère a minima sur le fondement du « laisser-faire » avec une intervention sectorielle à chaque fois que cela s’avère nécessaire (ce fut notamment le cas pour le crowdfunding ou les VTC), soit poser des règles générales qui, sur le long terme, permettront d’appréhender les problématiques futures qui apparaitront dans le domaine de l’économie collaborative.

Il faut apporter du confort juridique en la matière aux entrepreneurs puisque les règles juridiques ne sont pas forcément adaptées aux nouveaux modèles économiques de l’économie collaborative. Les règles juridiques applicables permettent d’appréhender la plupart de ces activités, ce qui indique, à notre sens, que le législateur devrait seulement se contenter d’encadrer l’économie du partage en imposant quelques règles de protection des usagers, des consom’acteurs et de sécuriser les transactions qui se réalisent sur ces sites. Il faut donc sécuriser ces nouvelles relations tripartites (consommateurs, consom’acteurs et entreprises de l’économie collaborative) sans pour autant brider le développement et la vivacité économiques dont ces secteurs font l’objet.

Ces nouvelles entreprises ont pour activité de mettre en relation des particuliers par le biais de plateformes internet ou via des applications mobiles dédiées. Afin de renforcer et promouvoir ces nouveaux modèles économiques, il convient d’encourager les pratiques vertueuses et loyales et à l’inverse, d’éviter les modèles visant à détourner les obligations juridiques (principalement sociales, fiscales et concurrentielles). L’instauration de bonnes pratiques est également une piste étudiée.

De grands changements s’annoncent donc grâce à cette loi sur le numérique. Il faut veiller à ce que cette évolution soit comprise et expliquée.

Droit du Partage continuera naturellement à vous informer sur ce sujet primordial qui dessinera la société collaborative et entrepreneuriale de demain.

[1]      Extrait de la séance du 14 janvier 2015 de l’Assemblée Nationale. Pour l’intégralité des débats, http://www.assemblee-nationale.fr/14/cri/2014-2015/20150108.asp.

[2]      The Sharing Economy – Euro Freelancers & Européean Sharing Economy Coalition : http://fr.slideshare.net/speed101/the-rise-of-the-sharing-economy?utm_content=buffer5537e&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer.

3 Commentaires

Classé dans Evolution du cadre juridique, Fiscalité et charges sociales, Obligations et responsabilité des plateformes