Commission Enjeux réglementaires – 5 octobre 2016

Commission présidée par Maître Etienne Drouard, Avocat associé, Cabinet K&L Gates Ordre du jour.

Aides à la presse et photojournalisme : contrôles et sanctions en cas de nonrespect des bonnes pratiques Point sur la décision « GS Media », CJUE, 8 septembre 2016 Réforme du droit dauteur : les propositions de la Commission européenne « Privacy shield » : le nouveau cadre des échanges de données UE/US Données personnelles/cookies Extension des contrôles audelà des éditeurs de sites Point sur les récentes délibérations de la CNIL (Facebook, Windows et Brandalley

 

Aides à la presse et photojournalisme : contrôles et sanctions en cas de nonrespect des bonnes pratiques 

 

Entre octobre 2013 et juillet 2014, une médiation entre éditeurs de presse, agences de presse et photojournalistes a été organisée sous légide du Ministère de la Culture et de la Communication. Les agences de presse et les syndicats de photographes sont à lorigine de cette initiative. Ils avaient, au cours des derniers mois particulièrement difficile dans le secteur de la photographie de presse et reproché aux éditeurs le recours à certaines pratiques (utilisation abusive de la >>, de photographies provenant de microstocks de type Fotolia etc.)

La mission de médiation a abouti en juillet 2014 à la signature dun Code de bonnes pratiques entre syndicats de presse, agences et photographes (PAJ), en présence du GESTE. Ce code rappelle un certain nombre de règles prévues par la loi. Le GESTE participe depuis deux ans au Comité de suivi, qui discute notamment du bannissement de la mention « DR » dans toutes les publications, du respect des métadonnées transmises par les agences, de lenvoi des justificatifs sous une forme dématérialisée, du respect de délais de paiement..

Cet été, le Ministère, saisi à nouveau par les syndicats de journalistes, non présents lors des réunions, a été sensibilisé au sort des photojournalistes et plus largement à la faible place accordée aux commandes photo dans les titres de presse (IPG) quotidienne et magazine. Lors du Festival international Visa pour limage, le Ministère de la Culture a rappelé que les aides à la presse pourraient être suspendues en cas de nonrespect des engagements à légard des photojournalistes et des agences de presse. Lobjectif affiché est de responsabiliser davantage les éditeurs de presse dans leurs relations avec les photojournalistes et les agences de presse photo. Dici fin 2016, les éditeurs qui touchent plus d1 M€ daides directes annuelles devront signer des conventionscadres avec lEtat, pour définir les conditions dans lesquelles sont accordées ces aides. 26 groupes, soit 220 titres au total seraient concernés

Cette mesure se concrétisera par une suspension des aides à la presse si léditeur ne respecte pas les points suivants

le respect des délais de paiement : cest un point dur constamment souligné par les agences de presse photo qui travaillent avec les grands groupes de presse IPG. un approvisionnement privilégié en photographies auprès des photojournalistes et des agences de presse, notamment lorsquil sagit dinformer sur les sujets dactualité politique et générale ou de les illustrer : il avait même été question de limiter le recours aux bases photo de stocks pour illustrer des sujets dactualité dans des titres IPG

la transparence des modalités de rémunération des photographes, grâce à un bon de commande normalisé : les conditions et la forme du bon de commande ont été longuement discutées par la commission Brun Buisson. la régularité des crédits photographiques. Depuis ladoption du Code de bonnes pratiques, le GESTE alerte régulièrement ses membres sur limportance de limiter le recours à la mention DR. Pour rappel, la mention DR doit être réservée aux rares cas d’identification dun auteur ou à défaut dune source. Dans ces cas, une provision de droits à payer sur ces photographies doit être comptabilisée, en cas de réclamation de lagence, du photographe ou de ses ayants droits. Le GCOTC recommande, à titre de bonne pratique, de mentionner a minima la source de la photo (office du tourisme, agence de publicité, service de presse dune marque, etc.) lorsque lauteur nest pas connu

Le Ministère de la Culture lance ce moisci une étude indépendante auprès dun échantillon significatif de titres de presse et représentatif de la diversité des publications. Seront examinées de très près, les mentions accompagnant la publication des photographies. Les résultats seront publiés dans la foulée en fin dannée 2016. Létude sera renouvelée ensuite chaque semestre. Toutes ces mesures sont contraignantes pour les éditeurs de presse en ligne ou print mais elles ne font que rappeler le droit (hormis le recours privilégié aux photos dagences de presse et aux commandes à des photojournalistes). Les éditeurs ont donc tout intérêt, même sils ne sont pas IPG à respecter les règles minimum : Crédits, DR, justificatifs, bons de commande, délais de paiement

 

Point sur la décision « GS Media », CJUE, 8 septembre 2016 

 

Cet arrêt était très attendu, dune part en raison de la grande confusion jurisprudentielle qui régnait jusqualors sur le droit de communication au public et, dautre part, en raison du projet de directive publié le 21/09. La question préjudicielle posée dans cet arrêt portait sur le point de savoir si le fait de publier un lien renvoyant vers un contenu illicite etait luimeme constitutit dune contrefaçon. Plus precisement, il sagissait de savoir si la publication dhyperliens vers des images signalées comme manifestement illicites constituait un nouvel acte de communication au public au sens de la directive 2001/29 et était donc soumise à lautorisation préalable des ayants droit

 

I La décision de la CJUE

 

A cette question, la CJUE pose des critères. Elle décide en substance qu« afin détablir si le fait de placer, sur un site Internet, des liens hypertexte vers des oeuvres protégées, librement disponibles sur un autre site Internet sans lautorisation du titulaire du droit dauteur, constitue une « communication au public » au sens de cette disposition, il convient de déterminer si ces liens sont fournis sans but lucratif par une personne qui ne connaissait pas ou ne pouvait raisonnablement pas connaître le caractère illégal de la publication de ces oeuvres sur cet autre site Internet ou si, au contraire, lesdits liens sont fournis dans un tel but, hypothèse dans laquelle cette connaissance doit être présumée »

Les implications pratiques de cet arrêt sont encore incertaines. Il est néanmoins possible de relever que la fourniture dun lien hypertexte vers une source illicite est en principe interdite, sauf si la personne ayant publié ce lien agissait sans but lucratif et navait pas connaissance du caractère illégal de la publication sur le site ciblé par le lien. A contrario, lorsque le lien est fourni par une personne qui poursuit un but lucratif et que ce lien mène vers un contenu diffusé sans lautorisation du titulaire des droits, alors sa responsabilité est susceptible dêtre engagée

Il est en outre intéressant de relever dans cet arrêt que la Cour de Justice établit de manière claire une liste de critères interdépendants permettant de qualifier un acte dacte de communication au public, notamment

Le rôle incontournable joué par lutilisateur et le caractère délibéré de son intervention

La notion de « public » vise un nombre indéterminé de destinataires potentiels et, par ailleurs, un nombre de personnes assez important. – Pour être qualifiée de « communication au public >> une oeuvre protégée doit être communiquée selon un mode technique spécifique, différent de ceux jusqualors utilisés ou, à défaut, auprès dun « public nouveau », cest à dire un public nayant pas été déjà pris en compte par les titulaires du droit dauteur lorsquils ont autorisé la communication initiale de leur ceuvre au public

Le caractère lucratif dune communication au public : dans larrêt GS Media, le caractère lucratif de la publication d‘un lien hypertexte devient déterminant pour présumer de la responsabilité du poseur de lien

 

I Point sur le critère du but lucratif

 

De nombreuses interrogations persistent sagissant du caractère lucratif de la fourniture de liens hypertexte. Tout dabord sagissant de la cohérence jurisprudentielle de la Cour de justice, celleci sest montrée hésitante sur la portée à donner au critère du but lucratif. Dans les autres arrêts rendus, à commencer par larrêt Premier League, la Cour a jugé que le caractère lucratif de la communication nétait pas dénué de pertinence. Ce critère présente linconvénient dêtre très imprécis. Comment déterminer ce « but lucratif » ? La Cour de justice ny répond pas. La publicité sur le site, lexistence dun abonnement aux publications pourraient être des indices dintention lucrative, ou du moins faire partie dun faisceau dindices permettant de la déterminer. En dautres termes, avoir un but lucratif consisterait à avoir ou espérer avoir les moyens de financer par quelle que source que ce soit le service que lon met en place. Toutefois, le seul fait de ne pas « gagner dargent >> ne consiste pas à ne pas poursuivre un but lucratif. Par ailleurs, un service gratuit peut également poursuivre un but lucratif

 

I Une présomption de responsabilité réfragable

 

Dun point de vue pratique, selon la Cour de justice, le placement dun lien hypertexte dans un but lucratif entraîne une présomption de responsabilité du poseur du lien lorsque ce lien renvoie vers une source illicite : « Il y a lieu de présumer que ce placement est intervenu en pleine connaissance de la nature protégée de ladite oeuvre et de labsence éventuelle dautorisation de publication sur internet par le titulaire du droit dauteur ». Du point de vue purement pratique, léditeur dun site peut placer un lien vers un contenu librement accessible sur un autre site web à tous les internautes sans restriction. En revanche, tel nest pas le cas par exemple lorsque le contenu en question est réservé aux abonnés du site

Le Professionnel a lobligation de vérifier que les activités quil met en place ne sont pas illégales et ne mènent pas vers des contenus qui seraient diffusés sans laccord du titulaire des droits. Il doit pour cela développer des moyens raisonnablement accessibles à sa disposition pour pouvoir anticiper le risque de faire un lien vers une ceuvre dont la recommunication nest pas interdite par le titulaire des droits. Les diligences attendues de la personne publiant des liens hypertexte dans un but lucratif consisteraient à effectuer « les vérifications nécessaires pour sassurer que loeuvre concernée nest pas illégalement publiée sur le site auquel mènent lesdits liens hypertexte ». En dautres termes, lorsquil sagit dun professionnel poursuivant un but lucratif ou dun non professionnel poursuivant un but lucratif, le juge présumera quil est responsable car il est chargé de faire les vérifications nécessaires

La Cour de justice ne donne aucune indication sur le type de vérifications à effectuer. Nous pouvons présumer quil sagira de contacter léditeur du site vers lequel le lien renvoie, voire de contacter directement les ayants droit. La fiabilité du site source pourrait également être un indice : le renvoi vers le site dun photographe serait ainsi un indice de la légalité de la publication des photographies du photographe sur ce site

La polarisation but lucratif / non lucratif nest toutefois quun des critères étudiés car le fait de publier un lien non lucratif ne signifie en rien que léditeur dun lien contraifaisant est exonéré de sa responsabilité. Il peut y avoir un caractère illicite sans poursuivre un but lucratif. Tout réside dans le régime de la preuve qui a changé

 

I Les diligences raisonnables

 

Le professionnel de linformation a un devoir de bon père de famille, il doit tenir compte de cette nouvelle obligation de diligence. Il est donc tenu de vérifier que le lien mène vers un contenu qui ne montre pas à lévidence le caractère illicite de la publication. Pour les professionnels, une des premières mesures à envisager, à la suite de cet arrêt, est de se doter de règles de bonnes pratiques, de bons sens, sur les contenus vers lesquels on mène et en informer toute son équipe. Ils pourront ainsi être à même de se prémunir des notions de but lucratif, de connaissance raisonnable du caractère illicite de la publication. Léditeur en tant que titulaire des droits sur le contenu peut aussi être la victime de ce type de liens qui contrefont ses contenus. Mais en qualité de demandeur, il doit convaincre le juge que la personne ne pouvait pas ignorer que le contenu est illicite, quelle poursuive un but lucratif ou non

Le professionnel ne peut pas invoquer son droit à linformation car il est tenu de disposer des ressources lui permettant déviter de commettre une contrefaçon qui aurait pu être raisonnablement évitée sil avait effectué les diligences raisonnables

Dans le cas dune vidéo avec un code embed publié par léditeur de la vidéo, il y a des bonnes chances de pouvoir considérer que le titulaire des droits a donné un accord tacite car les manifestations de volonté en droit dauteur ne sont pas systématiquement écrites

Pour lheure, il nexiste pas daccord ou de charte autorisant mutuellement un groupe déditeurs à publier des liens hypertexte qui pointent réciproquement vers leurs contenus. Ce type de pratiques, qui améliorent le référencement des éditeurs, relève du « fair use », dusages tacites. Mais il nexiste aucun obstacle juridique à la mise en place dune telle charte sous légide du GESTE. Il sagirait alors dune démarche volontaire des éditeurs

 

I Les implications de la décision

 

Désormais, il nincombe plus à un tiers de prouver que le professionnel a posé un lien en connaissance de cause du caractère illicite du contenu. Il appartient au professionnel de démontrer quil a fait les diligences nécessaires, en se servant des moyens mis à sa disposition, pour pouvoir déterminer si ce contenu était illicitement accessible par le support vers lequel il lie. Différents cas de figure sont envisageables

vers des contenus indistincts: laccusation est relativement complexe dans le cas le lien mène vers des contenus indistincts. Lorsque le professionnel lie vers une page toute entière composée de différents éléments (courriers des lecteurs, article principal, espaces publicitaires, sources agrégées externes etc.), il faudra au préalable savoir de quoi le professionnel est accusé avant de savoir sil avait les moyens raisonnables de connaitre le caractère illicite du contenu litigieux

Faire un lien vers un contenu spécifique : il sagit du cas de figure dans lequel le lien hypertexte mène vers un contenu particulier (photo, vidéo), et qui serait un objet identifiable unique. Dans certains cas, le libellé même du lien renseigne lutilisateur sur le contenu vers lequel il pointe : dans ce cas, le professionnel a luimême manifesté son intention de pointer vers le contenu en question. Exemple : « voir cet article intéressant... ». Dans cette hypothèse on pourrait reprocher au professionnel davoir omis de prendre les diligences minimales nécessaires pour renverser la présomption de responsabilité

 

Réforme du droit dauteur : les propositions de la Commission européenne 

 

Dans la proposition de directive présentée le 14 septembre 2016, JeanClaude Juncker propose une réforme du droit dauteur dont les nouveautés se déclinent en trois axes

 

I Un plus grand choix et un accès amélioré, et transfrontière, aux contenus en ligne (proposition sur la portabilité transfrontière des services de contenu en ligne)

 

La Commission Européenne vise deux objectifs généraux dans sa proposition de directive : dune part renforcer la protection des ayants droit, et dautre part adapter le droit dauteur aux évolutions technologiques qui rentrent difficilement dans le champ dapplication de la directive actuelle

Pour mettre en oeuvre ces objectifs, la Commission a fait le choix de se centrer sur la portabilité transfrontière des services de contenu en ligne. Elle propose « un mécanisme juridique qui permettra aux radiodiffuseurs dobtenir plus facilement les autorisations dont ils ont besoin auprès des titulaires des droits pour pouvoir diffuser des programmes en ligne dans d‘autres Etats membres de lUE »

En effet, de plus en plus dEuropéens utilisent des supports numériques pour consulter des programmes en direct ou en différé. Les radiodiffuseurs sont, eux, soumis au principe de territorialité, cestàdire quun contenu numérique produit dans un pays ne pourra être diffusé à létranger que si les titulaires de droit ont consenti à cette diffusion dans un autre pays. En conséquence, les programmes diffusés sur Internet et notamment sur les sites internet de chaînes de télévision ne sont dans la majorité des cas pas accessibles en dehors du pays dorigine. Les utilisateurs souhaitant accéder à ces programmes depuis létranger se voient opposer une formule du type « ce contenu nest pas disponible depuis votre zone géographique »

Pour remédier à cette difficulté, la Commission souhaite faire application du principe du pays dorigine aux contenus numériques. En vertu de ce dernier, lacquisition des droits sur un contenu dans le pays dorigine de lémission permettra au radiodiffuseur de le distribuer sur lensemble du territoire de lUE

Plusieurs professionnels de laudiovisuel et notamment les télévisions privées se sont élevés contre cette mesure, au nom de la sauvegarde de la territorialité qui est un principe structurant dans léconomie audiovisuelle et cinématographique. LAssociation des télévisions privées en Europe a critiqué une telle disposition. Selon elle, elle risquerait de mettre en péril les investissements dans les oeuvres audiovisuelles. Cette baisse dinvestissement impactera à plus ou moins long terme la diversité culturelle en Europe. Par ailleurs, la problématique des versions linguistiques nest pas prise en compte dans la réflexion de la Commission. Cette dernière nentend cependant pas remettre en cause les principes assurant le fonctionnement de léconomie audiovisuelle et cinématographique, et ne vise dans la proposition de directive que les contenus diffusés en ligne. Dans le projet de règlement dévoilé par la Commission en mai dernier, layant droit conserve la possibilité de géo bloquer le contenu

Il serait préférable danticiper le fait que cette européanisation des droits est en marche, et que sa mise en oeuvre concrète pourrait ne pas obliger les professionnels à négocier des droits à grande échelle pour tout le territoire européen. Pour ce faire, le professionnel pourrait envisager de mettre en place des mécanismes dattraction de ses utilisateurs qui lui permettraient par exemple de considérer ces derniers comme des utilisateurs français lorsquils sont à Dublin, et donc de leur donner accès aux contenus parce que la relation a été ouverte dans un environnement national. Il sagirait en dautres termes de donner une nationalité à lutili contenus, en « suivant » lutilisateur

 

I Un régime de droits dauteur plus favorable pour lenseignement, la recherche, le patrimoine culturel et linclusion des personnes handicaes

 

Le projet de directive vise « lamélioration des règles en matière de droit dauteur dans les domaines de la recherche, de léducation et de linclusion des personnes handicapées ». Il prévoit notamment une nouvelle exception en vue de permettre aux établissements denseignement dutiliser des matériaux à des fins dillustration dans leurs activités pédagogiques fondées sur des outils numériques et dans le cadre des cours en ligne transfrontières. Enfin, le projet de directive vise également à permettre aux chercheurs dans lensemble de lUnion dutiliser plus facilement les technologies de fouille de textes et dexploration de données («text and data mining») pour analyser de gros volumes de données. Ce mécanisme a toutefois déjà été instauré en France par la loi pour une République numérique

 

I Un marché plus équitable et plus viable pour les créateurs, le secteur de la création et la presse

 

Le projet de directive vise dabord à faire peser sur certaines plateformes, comme YouTube ou Dailymotion, une obligation de filtrage automatisée. Pour citer la Commission, « ces plateformes seront tenues de déployer des moyens efficaces tels que des technologies permettant de détecter automatiquement des chansons ou des oeuvres audiovisuelles identifiées par les titulaires de droits et devant etre soit autorisées, soit supprimées ». Cette proposition vise à remettre en partie en cause le statut de ces hébergeurs, prévu par la directive Commerce électronique, en ne leur imposant pas seulement une obligation de retrait a posteriori mais en leur imposant également dagir a priori par la mise en place de filtres. Cette obligation de filtrage constituera une obligation de moyens, selon l’état de lart des technologies de filtrage. Un tel mécanisme a été critiqué en raison des limites quil présente. Il est particulièrement onéreux et pourrait constituer une barrière à lentrée pour les start ups. Il serait, de plus, dangereux pour la liberté dexpression

Le projet de directive propose également de mettre en place un nouveau droit voisin destiné à permettre aux éditeurs de presse, dune part, de négocier lutilisation de leurs contenus avec les services en ligne qui les utilisent ou en permettent laccès et, dautre part, de lutter contre le piratage. Ce droit « auxiliaire » est comparable à celui qui existe déjà dans le droit de lUnion pour les producteurs de films, les producteurs de disques et les autres acteurs des industries créatives tels que les radiodiffuseurs. Le droit spécifique que la Commission propose daccorder aux éditeurs de presse viserait donc à reconnaître « le rôle important que jouent les éditeurs de presse en termes dinvestissements et de contribution à la création de contenus journalistiques de qualité » en étant « juridiquement reconnus comme des titulaires de droits ». Cette approche doit permettre à lensemble des acteurs de disposer dun cadre juridique clair pour loctroi de licences à des fins dutilisation numérique de contenus, et contribuera au développement de modèles économiques innovants au profit des consommateurs. Par cette mesure, la Commission entend doter les éditeurs de presse dun « droit voisin » afin quils puissent mieux négocier une rémunération avec les acteurs qui recensent leurs contenus et en tirent, indirectement, des revenus publicitaires

Cette disposition sinscrit dans le conflit qui oppose depuis plusieurs années les professionnels de la presse aux acteurs dInternet, à travers notamment les « taxes Google ». Ces dernières ont toutefois abouti jusquà présent sur des résultats contreproductifs, Google ayant notamment menacé de fermer Google News en Espagne, faisant redouter aux éditeurs une perte du trafic amené par le moteur de recherche sur leurs sites. Sagissant de la mise en oeuvre du droit voisin, à date rien ninterdit de confier la gestion des licences que les éditeurs pourront conclure, à une société de gestion collective. Le projet de directive oblige, par ailleurs, les éditeurs et les producteurs à être transparents et à informer les auteurs ou les artistes interprètes des bénéfices quils réalisent avec leurs oeuvres. Cette transparence, qui est la contrepartie du nouveau droit voisin, pourrait faire naître une possible renégociation des droits dauteur avec les journalistes, mais limpact de cette obligation de rendre des comptes devrait être limité lorsque les revenus générés sont peu élevés

La proposition de directive instaure aussi un mécanisme destiné à aider les auteurs et les artistes interprètes à obtenir une rémunération juste lorsquils négocient avec les producteurs et les éditeurs. La confiance de tous les acteurs dans la chaîne de valeur numérique devrait dès lors sen trouver renforcée 

« Privacy shield » : le nouveau cadre des échanges de données UE/US 

Il y a transfert de données à caractère personnel au sens de la réglementation dans deux cas de figure

Une donnée qui est dans lUE est déplacée hors de lUE; L’information reste hébergée dans lUE mais elle est accessible depuis un pays hors de lUE

En octobre 2015, la CJUE a invalidé laccord Safe Harbor qui avait été conclu en 2001 entre la Commission européenne et les EtatsUnis, estimant quil était insuffisamment protecteur des droits et libertés fondamentaux des personnes, car le Patriot Act et son application concrète permettaient de faire une surveillance de masse pour des fins décidées par la loi américaine. Les négociations ont abouti à ladoption du Privacy shield : désormais sous le contrôle de la Federal Trade Commission (FTC) les sociétés américaines qui reçoivent des données de la part de sociétés européennes peuvent recourir à cet accord qui remplace le Safe Harbour. Le Privacy shield reprend les grands principes figurant dans la directive de 1995 sur les données à caractère personnel et dans le nouveau règlement européen qui entrera en vigueur en mai 2018 (principes dinformation des personnes, de transparence, de droit dopposition, de finalités etc.). Une entreprise américaine peut demander à adhérer au Privacy shield auprès de la FTC. Elle doit dans le cadre de cette démarche volontaire prouver quelle a obtenu de la part de consultants privés un document certifiant quelle respecte les principes du Privacy shield. Un audit annuel de ce mécanisme dautocertification est prévu

Il existe, en dehors du Safe Harbor, trois autres pistes

le contrat de transfert de données ; les Binding Corporate Rules (un groupe dentreprises sengagent à respecter des principes validés par un régulateur européen)

lorsque le transfert des données est nécessaire à lexécution dun contrat passé avec la personne (le recours à cette option a été limité au maximum par les régulateurs européens)

Les professionnels peuvent toujours recourir à ces trois mécanismes, même si le Privacy shield, entré en vigueur le 1er/08/2016 les remplace de manière pratique devant la FTC. 257 entreprises ont adhéré à ce mécanisme réglementaire qui permet de fluidifier le transfert des données

Données personnelles/cookies I Extension des contrôles audelà des éditeurs de sites En mars dernier, la Présidente de la CNIL évoquait un moratoire sur lexigence des cookies publicitaires. 8 éditeurs et une quarantaine de sites web étaient concernés. Les contrôles menés par deux équipes de la CNIL ont repris fin juillet : ils visent désormais les régies des éditeurs et les intermédiaires de publicité, notamment les DMP (Criteo, 1000mercis, Weborama etc.). Les adservers nont pas encore été contrôlés. Lenjeu pour la CNIL est de clarifier les responsabilités de chaque acteur

Cest dans un communiqué de presse en date du 27/07 que la CNIL a annoncé le lancement des contrôles auprès des professionnels non éditeurs qui émettent des cookies (annonceurs, régies ...). Il sagit de vérifier la conformité visàvis de plusieurs points de la recommandation du 5 décembre 2013 relative aux cookies et autres traceurs, notamment le consentement préalable de linternaute, le consentement révocable, la limitation de la durée de conservation des données... Cette vague de contrôle a pour objectif de promouvoir une solution globale de conformité sur lensemble de la chaîne de la publicité en ligne. En effet, la CNIL admet que « les éditeurs ne peuvent, à eux seuls, porter lentière responsabilité de lapplication des règles relatives aux traceurs considérés comme des « cookies tiers » car provenant de sociétés tierces ». Dans son communiqué de presse, la CNIL rappelle donc le principe de partage de la responsabilité et affirme le principe du scroll comme valant acceptation de linternaute

Pour lheure, le fait de déposer un cookie sans attendre un acte de navigation na jamais été sanctionné. Les CNIL européennes ne sont pas encore parvenues à un accord sur le sujet en raison de la position de lInformation Commissioner UK

Trois recommandations très importantes sont portées à lattention des membres du GESTE

La CNIL a publié le 21/07 dernier une nouvelle norme simplifiée concernant les traitements automatisés de données à caractère personnel relatifs à la gestion de clients et de prospects (NS048): la première version datait de 1992. Plusieurs évolutions ont été introduites dans cette nouvelle version : la CNIL consacre la théorie dun consentement préalable au dépôt dun cookie, les durées de conservation sont moins favorables mais plus claires. La CNIL durcit le régime de la NS048. Léditeur qui ne veut pas recourir à cette norme peut désigner un Correspondant Informatique et Libertés (CIL), en prévision de lentrée en vigueur du nouveau réglement européen. Le CIL est chargé de faire linventaire des traitements de données à caractère personnel dans lentreprise. Les éditeurs sont vivement encouragés, a minima, à créer cette fonction

La formule dinformation des personnes, recommandée initialement par la CNIL, pour le bandeau cookies, est insuffisante. La CNIL impose également aux éditeurs de site dinformer lutilisateur sur les fonctionnalités de cookies de réseaux sociaux présents sur le site. A titre dexemple : « En poursuivant votre navigation sur ce site, vous acceptez nos CGU et lutilisation de cookies afin de réaliser des statistiques daudiences et vous proposer une navigation optimale, la possibilité de partager des contenus sur des réseaux sociaux ainsi que des services et offres adaptés à vos centres dintérêts. Pour en savoir plus et paramétrer les cookies...

Les équipes chargées des contrôles pour la CNIL recommandent aux éditeurs, dans leurs « cookies policy », de lister les cookies stables dont ils ont connaissar sont présents sur leurs pages. Il sagit dindiquer le nom du cookie, sa finalité (« mesure daudience », « analytics », « publicité »), idéalement le type de données qui sont associées au cookie, et enfin un lien dopposition (par exemple le lien à disposition par Weborama, la plateforme de lIAB Your online choices, ou un tag manager). A défaut, le paramétrage du navigateur reste la dernière solution, mais la CNIL estime que cest insuffisant depuis 2015

La nouvelle loi pour une République numérique fait passer le plafond des sanctions prononcées par la CNIL de 150 000 euros à 3 millions deuros. En cas de contrôle, il y aura donc une discussion sérieuse sur la date des faits constatés, sur la rétroactivité de la loi pénale plus dure. Entre mioctobre 2016 et le 25/05/2018, la Cnil peut sanctionner une entreprise à hauteur de 3 millions deuros. A partir de 2018, la CNIL pourra prononcer des amendes dun montant de 2% jusquà 4% du chiffre daffaires annuel mondial de lentreprise, ou 10 à 20 millions deuros pour les autres organismes. Bruno Lemaire, Nicolas Sarkozy et Alain Juppé, dans leurs programmes politiques, préconiseraient un renforcement des pouvoirs et de moyens de la CNIL

 

I Point sur les récentes délibérations de la CNIL (Facebook, Windows et Brandalley) Décision Brandalley, 07/07/2016 

 

La société Brandalley a été sanctionnée par la CNIL pour de nombreux manquements à la loi Informatique et Libertés. La formation restreinte a prononcé une sanction de 30.000 , rendue publique, à lencontre de cette société. La CNIL a effectué, en janvier 2015, un contrôle sur place afin de vérifier les traitements quelle mettait en oeuvre, en particulier ceux relatifs à la gestion des clients (plusieurs millions de comptes clients concernés) et des prospects. Ce contrôle a permis de relever de nombreux manquements à la loi Informatique et Libertés, ce qui a conduit la Présidente de la CNIL à adopter une mise en demeure à lencontre de Brandalley. Début 2016, de nouveaux contrôlos ont permis de constater la persistanco do manquements à la loi, ce qui a conduit la Présidente de la CNIL à désigner un rapporteur afin que soit engagée une procédure de sanction. Sur la base des constatations effectuées, la formation restreinte a notamment relevé que la société navait pas

procédé à une demande dautorisation auprès de la CNIL pour la mise en oeuvre dun traitement ayant pour finalité la prévention de la fraude à la carte bancaire et ainsi susceptible dexclure des personnes, ni pour le transfert des données vers des soustraitants situés en dehors de lUnion européenne (le Maroc et la Tunisie)

fixé de durée de conservation des données des clients et des prospects, et ainsi navait pas procédé à la purge de sa base de données

correctement informé les internautes des moyens de paramétrage des cookies afin notamment daccepter ou refuser leur dépôt et lecture sur leur ordinateur

mis en oeuvre de moyens suffisants pour assurer la sécurité et la confidentialité des données personnelles des internautes. En effet, la société navait pas mis en oeuvre de protocole « https » sécurisé sur les pages de son site sur lesquelles transitaient des données personnelles

La sanction prononcée à lencontre de Brandalley a été rendue publique en raison du nombre de personnes concernées par les traitements en cause

Consulter la délibération de la CNIL 

 

Décision Facebook, 26/01/2016 

A la suite de lannonce par Facebook de la modification de sa politique de confidentialité, la CNIL a effectué des contrôles sur place, sur pièces et en ligne pour vérifier la conformité du réseau social à la loi Informatique et Libertés. Ces vérifications ont permis de relever plusieurs manquements

La CNIL a constaté que Facebook est en mesure de suivre la navigation des internautes, à leur insu, sur des sites tiers alors même quils ne disposent pas de compte Facebook 

Facebook ne recueille pas le consentement exprès des internautes lors de la collecte et du traitement des données relatives à leurs opinions politiques, ou religieuses, et à leur orientation sexuelle. De même, aucune information nest délivrée aux internautes sur leurs droits et sur lutilisation qui sera faite de leurs données sur le formulaire dinscription au service

Le site dépose sur lordinateur des internautes des cookies à finalité publicitaire, sans les en avoir au préalable correctement informés ni avoir recueilli leur consentement

Pour afficher de la publicité ciblée à ses membres, Facebook procède à la combinaison de toutes les données personnelles quil détient sur eux, sans leur proposer un mécanisme dopt out

Facebook transfère les données personnelles de ses membres aux US sur la base du Safe Harbor, ce qui nest plus possible depuis la décision de la CJUE du 6 octobre 2015

La Présidente de la CNIL a donc décidé de mettre en demeure les sociétés FACEBOOK INC. et FACEBOOK IRELAND de se conformer à la loi dans un délai de 3 mois. Ce délai a été renouvelé et la date limite a été fixée au 09/08. La mise en demeure a été rendue publique notamment en raison de la gravité des manquements constatés ot du nombre de personnes concernées par le service Facebook (plus de 30 millions dutilisateurs en France)

Consulter la délibération de la CNIL 

Décision Microsoft, 30/06/2016 

Dans le contexte du lancement du nouveau système dexploitation Windows 10 en juillet 2015, la CNIL a effectué 7 contrôles en ligne en avril et juin 2016 et a interrogé Microsoft sur certains points exposés dans sa politique de confidentialité afin de vérifier la conformité de Windows 10 à la loi Informatique et Libertés. Ces contrôles ont révélé plusieurs manquements

Des données collectées non pertinentes ou excessives. Afin didentifier des problèmes, de les résoudre et daméliorer les produits, Microsoft traite par exemple des données dusage des applications Windows et du Windows Store, qui permettent notamment davoir connaissance de toutes les applications téléchargées et installées sur le système par un utilisateur et du temps passé sur chacune delles. Ce faisant, elle se livre à une collecte excessive, la CNIL considérant que ces données nétant pas nécessaires au fonctionnement du service

Un défaut de sécurité. La société permet aux utilisateurs de choisir un code PIN de 4 chiffres pour sauthentifier pour lensemble de ses services en ligne et notamment pour laccès à leur compte Microsoft, qui recense les achats effectués sur le store et les moyens de paiement utilisés. Or, le nombre de tentatives de saisie de ce code PIN nest pas limité, ce qui nassure pas la sécurité et la confidentialité des données des utilisateurs

Une absence de consentement des personnes. Il apparaît également quun identifiant publicitaire est activé par défaut lors de linstallation de Windows 10. II permet à des applications Windows et des applications tierces de suivre la navigation des utilisateurs et de leur proposer des publicités ciblées sans que le consentement des utilisateurs nait été recueilli

Une absence dinformation et de possibilité de sopposer au dépôt de cookies. La société dépose sur les terminaux des utilisateurs des cookies publicitaires, sans les en avoir au préalable correctement informés, ni mis en mesure de sy opposer

La persistance de transferts internationaux sur la base du Safe Harbor

La CNIL a mis en demeure Microsoft de se conformer à la loi dans un délai de 3 mois. Cette mise en demeure a été rendue publique notamment en raison de la gravité des manquements constatés et du nombre de personnes concernées (plus de dix millions  dutilisateurs de Windows 10 en France)

Consulter la délibération de la CNIL 

Cookies Droit voisin Photojournalisme CNIL Recommandation relative aux cookies et autres traceurs USUE Privacy Shield Données personnelles