23 Nov Commission Enjeux réglementaires – 23 novembre 2017
Commission présidée par Me Etienne Drouard, Avocat associé, K&L Gates
Ordre du jour
Droit à la Médiation : nouvelle obligation des professionnels –Proposition de Règlement e Privacy – RGPD: obligation de désigner un DPO
Droit à la médiation
Le droit à la médiation donne la possibilité à tout consommateur d‘un Etat membre de l‘UE d‘engager une saisine contre un professionnel auprès d‘une entité de règlement extrajudiciaire des litiges.
Ce droit s‘applique aux litiges de consommation nationaux ou transfrontaliers résultant d‘obligations contractuelles découlant de contrats de vente de biens ou de services conclus entre un professionnel établi dans l‘UE et un consommateur résidant au sein de l‘UE.
Les frais de médiation sont à la charge du professionnel qui doit informer le consommateur de son droit de recourir au médiateur, et l‘indiquer sur son site dans les conditions générales (article L. 156–1 du code de la consommation).
Médicys est une plateforme de mise en relations avec des médiateurs avec laquelle le GESTE a signé une convention–cadre.
Rappel des tarifs :
– 10€ HT pour la cotisation annuelle – Paiement pour chaque dossier de médiation (e–médiation : 60€ HT ; sur mesure : 300€ HT)
En cas de manquement aux obligations, une personne orale encourra une amende administrative d‘un montant de 15.000 € (3.000 € pour les personnes physiques).
Un contrat d‘assurance est également prévu afin de rembourser les honoraires de médiation.
ePrivacy
I contexte
La Proposition de règlement ePrivacy, concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques, a été présentée par la Commission européenne le 10 janvier dernier.
Lors de sa présentation, la Commission envisageait une entrée en vigueur du règlement le 25 mai 2018, concomitante au RGPD.
| Actions du GESTE et de l‘interprofession / Position commune
L‘UFMD et le GESTE ont mobilisé l‘ensemble des industries françaises du Numérique (plus de 5000 entreprises) – éditeurs de contenus et de services en ligne, commerçants électroniques, annonceurs, régies publicitaires, agences média, agences de communication, réseaux publicitaires, fournisseurs de données et leur organisme d‘autoregulation professionnelle de la publicité – pour attirer l‘attention des pouvoirs publics sur l‘impact de la Proposition de Règlement sur leur modèle économique.
La position commune a été co–signée par l‘AACC, l‘ARPP, la Fevad, la FNPS, le GESTE, MIAB, la MMAF, le SEPM, le SNPTV, le SPIIL, le SPQN, le SRI, TF1, I‘UDA, I‘UDECAM, l‘UFMD et l‘UPREG.
C’est la première fois qu‘une position commune rassemble autant d‘organisations professionnelles, ce qui a beaucoup de poids au niveau français et européen.
Trois principales lacunes sont relevées dans cette analyse qui se concentre sur les articles 8, 9 et 10 :
–Une approche contraire à celle édictée par le RGPD et inadaptée aux nouveaux usages en matière d‘internet.
–Un transfert de la protection de la vie privée des Européens vers des sociétés américaines.
–Un risque important pour la compétitivité des entreprises européennes sans contrepartie pour la privacy.
Dans la continuité de leur initiative commune, le GESTE et l‘UFMD ont travaillé sur des propositions d‘amendements sur les articles 8, 9 et 10 qui ont été soumis aux pouvoirs publics français et européens rencontrés à l‘occasion de rendez–vous institutionnels.
I Calendrier
Du côté du Parlement, le 19 octobre, la Commission LIBE, saisie au fond, a adopté son rapport à une très courte majorité. Ce texte est plus contraignant que la Proposition de la Commission : interdiction formelle du cookies wall, « privacy by default , ...
Aujourd‘hui, le Gouvernement français n‘a toujours pas donné sa position au sein du Conseil. Celle–ci devrait être déterminée dans les semaines à venir.
Une fois la position du Conseil votée, la phase de trilogues pourra débuter. Cette phase devrait commencer à la fin du premier semestre 2018.
L‘entrée en vigueur du texte n‘est quant à elle pas envisagée avant 2019.
| Détail des dispositions
Sur le consentement au niveau du navigateur :
Lors de l‘installation du navigateur ou de sa mise à jour, l‘utilisateur donnera son consentement sur le dépôt des cookies (first et third party). L‘ergonomie du choix des personnes, qui sera basée sur l‘origine du cookie et non sa finalité, va donc être confiée aux GAFA.
D‘après une étude Deloitte, commandée par le SPQN, 87% des personnes interrogées répondront « non » à la question relative au dépôt de cookies lors de l‘installation du navigateur.
En cas de refus, le site pourra encore convaincre l‘utilisateur d‘accepter ses cookies. Cependant, les cookies étant bloqués au niveau du navigateur, la question technique de la prise en compte de l‘acceptation de l‘utilisateur se pose. Le GESTE et l‘interprofession souhaitent que l‘UE impose aux logiciels de navigation de tenir compte du choix de l‘utilisateur. Cette exception au refus prendrait la forme d‘une white list.
La position des éditeurs et de l‘interprofession ne consiste pas à remettre en cause le principe du consentement, mais à ce que l‘utilisateur puisse changer d‘avis et contrôler son usage.
Le « cookies wall » permet de bloquer l‘accès à une page en l‘absence du consentement de l‘utilisateur sur le dépôt de cookies.
L’argument des éditeurs repose sur la liberté du commerce et de l‘industrie.
Le Parlement européen préconise l‘interdiction formelle du « cookies wall ». De son côté, la France n‘y est pas complétement opposée et entend les arguments de l‘industrie.
Face la menace qui pèse sur leur business, les éditeurs commencent à réfléchir à la mise en place d‘un environnement logué. Un projet de login unique (SSO) est actuellement en cours d‘étude, l‘objectif étant de préserver le lien essentiel avec l‘utilisateur, et ce à défaut de cookies.
I Le GESTE a rencontré
Au niveau national : la DGMIC, le Ministère de la Culture, le Ministère de l‘Economie, la DGE, le CGE, la CNIL, Matignon, le Ministère de la Justice et le Secrétariat d‘Etat chargé du Numérique.
Au niveau européen : la Commission européenne, le Parlement européen, la Représentation permanente de la Bulgarie auprès de l‘Union européenne.
La position de l‘interprofession est entendue et comprise, les pouvoirs publics ont désormais besoin d‘éléments chiffrés afin de définir leur position.
Fin novembre, une réunion de concertation est organisée par la DGE, afin, notamment, de présenter les premières conclusions du rapport de Jacques Serris.
Des supports ont également été réalisés par l‘interprofession afin d‘informer de l‘impact du règlement sur l‘industrie française :
–Campagne « Like a bad Movie » – Vidéo du SNPTV
I Prochaines étapes
Une réunion entre les grands patrons des médias et les politiques devrait être organisée afin d‘expliquer aux politiques, Elysée et Matignon, l‘ampleur de l‘impact du règlement ePrivacy sur le business des industries.
Concernant les contrôles récents de la CNIL, l‘autorité a récemment confirmé que tant que la rédaction du règlement ePrivacy n‘est pas finalisée, le moratoire sur la partie cookie consent demeure. Cependant, comme précisé dans les courriers récemment envoyés, les éditeurs doivent se mettre en conformité sur tous les autres points de la recommandation de la CNIL (mots de passe, HTTPS, ...). En effet, les contrôles et sanctions ne sont suspendus que pour le recueil du consentement préalable.
RGPD et la désignation d‘un DPO
Comme le prévoit le RGPD, un DPO doit être désigné dès lors que, dans le cadre des activités quotidiennes, il y a un traitement massif et systématique des données susceptibles de traquer des personnes.
Profil idéal : Un salarié en interne qui connait l‘entreprise : juriste, responsable technique... Il doit connaître et comprendre les flux de données, les définitions juridiques ainsi que l‘intérêt business de l‘entreprise. Le DPO est la personne qui sait répartir la charge de l‘inventaire de traitement de données.
Pour pouvoir se mettre en conformité, il faut avant tout dresser une cartographie : chaque métier dans l‘entreprise doit savoir quelle utilisation il fait des données et les remonter au DPO.
Pour gérer la conformité, le DPO a un rôle de conseil juridique et de dialogue avec les volets techniques, business et opérationnels.
Pour gérer la conformité, le DPO a un rôle de conseil juridique et de dialogue avec les volets techniques, business et opérationnels.
A partir de cette cartographie, des mesures pourront être prises :
– Insertion de clauses types dans les contrats avec les prestataires. – Révision des mentions « information des personnes. »
Le DPO doit envisager qu‘elles sont les questions que les gestionnaires doivent se poser sur les nouveaux projets:
–Qu‘est–ce qu‘une donnée personnelle ? – Pour quelle raison je traite cette donnée ? – A quelle occasion ? – Avec quel support d‘information, qui leur promet quel droit ? – Accessible en interne et à quel profil de personnes ? – Accessible en externe et à quel prestataire ? – Pendant combien de temps ? Quel point de départ ?
Le DPO doit organiser cet inventaire. Lorsque les données traitées peuvent avoir un impact particulier sur la vie privée des personnes (données de localisation, décisions automatisées) il faut élaborer un Privacy Impact Assessment.
Un DPO peut aussi être mutualisé, par exemple entre sociétés au sein d‘un même groupe de presse.