Actualités
05/02/2024
Qui veut noyer son chien l’accuse de la rage. Ainsi peut être résumée la décision de la #CNIL du 21 décembre 2023, publiée il y a quelques jours, et qui fait beaucoup parler d’elle.
Dans cette décision, la CNIL autorise le GIP Plateforme des Données de Santé, plus connu sous sa dénomination en Anglais « Health Data Hub » (HDH), à héberger des données de santé sur le service #cloud de #Microsoft Ireland Opérations Ltd.
● De quelles données de santé parle-t-on ?
Il s’agit de données pseudonymisées issues :
- des dossiers médicaux des patients ayant été hospitalisés en médecine, chirurgie ou obstétrique depuis 2022 dans 4 hôpitaux partenaires du HDH.
- du Système National des Données de Santé et notamment de l’Assurance Maladie.
● Pourquoi Microsoft pose problème ?
Filiale irlandaise d’une société américaine, le CNIL rappelle que « les autorités états-uniennes sont susceptibles d’adresser à Microsoft des injonctions de communication des données qu’il héberge ». C’est presqu’un lieu commun que de le rappeler.
Fort de ce constat, la CNIL rappelle également sa doctrine qui veut que « pour les bases de données les plus sensibles » il est préconisé « de recourir à un prestataire exclusivement soumis au droit européen ». Cette préconisation avait toujours été respectée dans le cadre d’entrepôts de données de santé.
● Pourquoi la CNIL change de doctrine ?
Selon un avis technique rendu par un comité d’expert, « aucun prestataire potentiel ne propose d’offres d’hébergement répondant aux exigences techniques et fonctionnelles du GIP PDS pour la mise en œuvre du projet ».
Et la CNIL de conclure, à contre coeur : « pour autant (…) il est nécessaire que les engagements pris vis-à-vis de l’EMA puissent être honorés. Dans ces conditions, elle autorise la constitution de l’entrepôt ».
● Quels sont les « engagements vis-à-vis de l’EMA » (European Medicines Agency) en question ?
Il faut s’armer de patience pour trouver sur internet que, à la suite d’un appel d’offres lancé par l’Agence Européenne du Médicament (EMA) intitulé « Real World Data Subscription - Hospital Database from any EU/EEA Country », le HDH a été attributaire en décembre 2021 d’un marché portant sur le lot 3 ainsi résumé « Access to and use of a hospital database from any EU/EEA country; the database should provide data from hospital electronic health care records or hospital drug utilisation or prescription records available at the individual-patient level; to be of a sufficient sample size, the database should cover several hospitals or an established network of hospitals ».
En creusant encore, on peut encore trouver (i) les spécifications techniques du marché et (ii) le projet de contrat de service conclu entre l’EMA et l’HDH.
Rien dans ces documents qui ne puisse faire la lumière sur la nécessité qu’il y aurait à conclure avec un groupe américain pour remplir les objectifs du marché. Au contraire, les documents du marché rappellent « Processing of personal data in connection with this service must comply with Union data protection legislation, in particular, Regulation (EU) 2016/679 (General Data Protection Regulation) ».
Si, comme le disent les experts, « aucun prestataire potentiel ne propose d’offres d’hébergement répondant aux exigences techniques et fonctionnelles du GIP PDS pour la mise en œuvre du projet », les exigences du HDH étaient-elles nécessaires pour répondre au marché conclu avec l’EMA ?
● Ce que l’on peut conclure
La décision de la CNIL est surprenante à plusieurs titres.
Politique : il y a peu de chances que la France et l’Europe rattrapent leur retard technologique s’il suffit de se dire que l’Amérique peut pourvoir à tout, tout le temps, tout de suite et au juste prix.
Technique : sans aucune prétention de compétence en la matière, on reste dubitatif devant l’affirmation selon laquelle il ne saurait y avoir en France ou en Europe aucune entreprise pouvant répondre aux besoins fonctionnels et techniques résultant du lot 3 de l’appel d’offres de l’EMA.
Juridique : et c’est dans ce domaine qu’on s’autorise à avoir un avis. L’incapacité (déclarée) de ne pouvoir faire autrement pour respecter ses engagements et l’impossibilité (affirmée) à trouver une solution technique européenne est la justification imparable au non respect du droit. Le RGPD doit ici se soumettre à un étonnant principe de réalité (voire de pseudo-réalité).
Espérons que le CNIL saura être aussi conciliante quand ce sera une société privée qui s’en prévaudra…20/01/2024
Le 19 janvier 2024, lors du festival Eurosonic à Groningen (Pays-Bas), Stéphanie Foulgoc, associée de NEXT, participait à la table ronde "PARLIAMENT OF POP - UNF*CKING TICKETING" sur la billetterie dans le spectacle vivant. De nombreux points ont été abordés pour offrir une expérience sûre dans la commercialisation, l'achat et l'utilisation des billets :
- Les règles juridiques doivent être appliquées : trop d'acteurs illicites opèrent en ligne en violation des lois applicables sans réaction efficace des autorités publiques dans les États membres.
- La technologie permettant à l'organisateur d'un événement de contrôler de bout en bout la distribution des billets permet la mise en place de services de revente de billets fiables et autorisés.
- La sensibilisation doit être accrue : les consommateurs doivent être informés des services autorisés à distribuer les billets, mais aussi des sites non autorisés et illicites sur lesquels il ne faut pas acheter de billets !
Stéphanie Foulgoc a partagé son expérience avec les professionnels du spectacle vivant venus de toute l'Europe sur la situation juridique en France qui a permis la fermeture de plusieurs sites illicites suite à des actions en justice initiées par le PRODISS. NEXT assiste et représente le PRODISS, le syndicat français des organisateurs, promoteurs et lieux de spectacles, dans sa lutte contre la revente de billets non autorisés.
Le panel était animé par Manfred Tari (Pop100) avec la participation de Sam Shemtob FRSA (FEAT) et András Berta (Backstage Ticketing).
02/02/2024
Lors de ses vœux, la ministre de la Culture a défendu le « modèle de propriété intellectuelle » français et a annoncé un nouvel appel à projet « Création immersive et métavers » dans le cadre du programme France 2030. Ce dispositif vise à soutenir des initiatives innovantes dédiées à la production et/ou à la diffusion d’expériences culturelles au sein d'environnements immersifs (spectacles, expositions, valorisation du patrimoine, etc..)
Spectacle et œuvre audiovisuelle en même temps, la production d’une expérience immersive requiert une ingénierie juridique spécifique.
Exploitation des droits d’auteurs et des droits voisins, hologrammes et droits de la personnalité, créations logicielles, sound design et scénographie, relations avec les sociétés de gestion collective, reproductions de bâtiments et code du patrimoine, billetterie, droit des données personnelles si l’expérience est interactive, etc.
NEXT avocats fournit un accompagnement juridique à 360° pour la production et l’exploitation de spectacles immersifs.
Pour consulter l’appel à projet
01/02/2024
X suspend les recherches des termes « Taylor Swift » - Mais tout le monde n’est pas Taylor Swift !…
Depuis plusieurs jours, le réseau social X est submergé de « deepfakes » de la chanteuse générés à l’aide de l’IA. Face aux innombrables réactions des fans, X a choisi de suspendre les recherches sur Taylor Swift.
● Quels sont les droits enfreints ?
Lorsque les deepfakes utilisent l’image et/ou la voix de personnes réelles, il s’agit d’une atteinte aux droits de la personnalité (protégés en France par l’article 9 du code civil) mais également, comme dans le cas Taylor Swift, au droit fondamental à la dignité de la personne humaine (protégé constitutionnellement en France).
● Comment faire cesser le dommage ?
Pour faire retirer de tels contenus illicites :
- L’article 16 du Digital Service Act (DSA) impose aux plateformes (ici, X) de proposer aux internautes des mécanismes leur permettant de signaler facilement les contenus illicites.
- L’article 6 de la LCEN impose aux hébergeurs de supprimer promptement les contenus manifestement illicites dès le moment où elles en ont connaissance.
Dans les faits, tout le monde n’a pas une communauté de fans comme Taylor Swift pour inonder X de signalements...
● La régulation des deep fakes prévue par l’AI ACT
En 2021 la Commission européenne a proposé un cadre réglementaire sur l’intelligence artificielle. Il propose que les systèmes d'IA soient classés en fonction du risque qu'ils présentent.
Le considérant 28 du projet prévoit de manière générale que l’ampleur de l’incidence négative du système d’IA sur les droits fondamentaux (notamment la dignité humaine et le respect de la vie privée) « est un critère particulièrement pertinent lorsqu'il s'agit de classer des systèmes d’IA en tant que système à haut risque ».
Faudra-t-il classer les services d’IA générative comme système à « haut risque » avec les obligations qui en découlent ? Pour en savoir plus sur le projet de règlement IA, voici notre synthèse.31/01/2024
Les FAI doivent empêcher l’accès à 5 sites illicites de streaming décide le TJ de Paris.
Différents organismes professionnels de défense du secteur de l’audiovisuel et du cinéma ont assigné les principaux FAI français devant le tribunal judiciaire de Paris afin d’empêcher l’accès à des sites illicites de streaming de films.
Il a été constaté que plus de 50% du contenu de 5 sites permettait l’accès au public à des œuvres audiovisuelles et cinématographiques sans autorisation des auteurs et producteurs. En outre, les sites avaient mis en place :
● Un système de monétisation les rémunérant, ainsi que leurs utilisateurs, en fonction du taux de fréquentation des vidéos et des publicités visionnées ;
● Un système d’abonnement payant autorisant les utilisateurs à remplacer les publicités préexistantes par leurs propres publicités et ainsi récupérer l’intégralité des recettes publicitaires générées par le visionnage d’une vidéo.
Le TJ de Paris, dans son jugement du 17 janvier 2024 (n° 23/15329), constate donc une atteinte aux droits d’auteur ou aux droits voisins, en ce que :
● Les sites litigieux réalisaient une communication au public d’œuvres sans consentement des titulaires de droits ;
● Les exploitants des sites savaient que des contenus protégés étaient massivement et illégalement mis à la disposition du public par leur intermédiaire ;
● Qu’ils s’abstenaient de mettre en œuvre des mesures techniques permettant de contrer ces violations faites par leur intermédiaire, et ;
● Qu’ils incitaient à la violation de droits d’auteur et de droits voisins par la mise en place d’outils destinés au partage de masse et illicite de contenus protégés, en promouvant ces partages, par le biais d’un modèle économique démontrant leur rôle actif dans le partage des fichiers contrefaisants.
De leur côté, les FAI ne contestaient pas la demande et s’en remettaient à l’appréciation du tribunal.
Au fondement de l’article 336-2 du code de la propriété intellectuelle, le tribunal ordonne aux FAI de mettre en œuvre toutes mesures efficaces de leur choix pour empêcher l'accès à ces sites illicites :
● notamment par filtrage des noms de domaines visés par l’ordonnance et des sous domaines qui y sont associés; Ces mesures doivent être mises en œuvre dans les 15 jours suivant la signification de la décision et pour une durée de 18 mois ;
● En informant les organismes professionnels demandeurs des mesures mises en œuvre, et ;
● En prenant à leur charge le coût des mesures de blocage.29/01/2024
La CNIL est devenue coutumière des sanctions pécuniaires importantes prononcées en fin d’année (32 millions € à l’encontre d’Amazon France Logistique et 10 millions à l’encontre de Yahoo EMEA LTD € fin 2023).
Voici notre tableau de bord des sanctions CNIL mis à jour.
Les chiffres clés :
●Procédure normale de sanction : montant moyen 8,6 millions € / montant médian 300 000 €
●Procédure simplifiée de sanction : montant moyen 10 000 €26/01/2024
Contrôle de l’activité des salariés. Retour sur la lourde sanction prononcée par la CNIL contre Amazon France Logistique (AFL) le 27 décembre 2023 pour les dispositifs de surveillance mis en œuvre dans ses entrepôts en France. Lors de ses contrôles, la CNIL a relevé que chaque salarié au sein des entrepôts était équipé d’un boîtier sur lequel il devait s’identifier et au moyen duquel il devait scanner des codes-barres des étiquettes pour chaque action accomplie : "réception" de colis, "rangement", "prélèvement" et "emballage".
La CNIL relève que, via ce dispositif, AFL "collecte en continu des données relatives à l’activité des salariés" et que "l’ensemble de ces données d’activité (…) sont associées à l’identité du salarié sous la forme d’indicateurs de productivité, de qualité et relatifs aux périodes d’inactivité."
La CNIL relève en particulier l’illicéité de 3 indicateurs mesurant en continu : ● La vitesse d’exécution des tâches à la seconde près en signalant "le rangement d’un article dans les 1,25 seconde du rangement de l’article précédent" et "en y associant un indicateur d’erreur chaque fois que cette vitesse est inférieure à 1,25 seconde" ("Stow Machine") ;
● Les temps de latence supérieurs à 10 min d’inactivité sur une tâche dépourvus de justification apparente ("Idle times") ;
● Les temps d’inactivité inférieurs à 10 min "à des moments critiques de la journée", soit en début et fin de session de travail ainsi qu’avant et après les pauses.
L’ensemble de ces données étaient accessibles aux supérieurs hiérarchiques en temps réel et pendant 31 jours. La CNIL constate également la non-conformité de traitements de vidéosurveillance.
La CNIL relève ainsi de nombreux manquements :
● Absence de base légale du traitement : AFL ne peut invoquer son intérêt légitime à mettre en œuvre ces traitements pour des finalités de gestion des commandes en temps réel, de planification du travail et d’évaluation des performances. La CNIL considère qu’il est porté une atteinte disproportionnée aux droits des personnes concernées : violation de la vie privée des salariés, absence de conditions de travail qui respectent leur sécurité, leur santé et leur dignité.
● Manquement au principe de minimisation des traitements
● Manquement à l’obligation d’information les personnes
● Manquement à la sécurité des données
La CNIL conclut que "ces traitements de données à caractère personnel induisent une pression démesurée sur les travailleurs, portant une atteinte disproportionnée à leurs droits et libertés au regard des objectifs économiques et commerciaux de la société" et décide de prononcer une amende de 32 millions d’euros, soit 3% du chiffre d’affaires réalisé par la société.Table ronde sur "Les données de l’immeuble" avec cette interrogation : qui est responsable des données ? Le propriétaire, le locataire, le property manager, le facility manager, etc. ?
Une question renouvelée avec l’Investissement Socialement Responsable et le règlement SFDR.
La réponse est-elle dans le Data Act ? Retrouvez notre présentation de ce règlement européen.●
23/01/2024
La CNIL a rendu public une sanction de 10 millions d’euros prononcée le 29 décembre 2023 à l’encontre de YAHOO EMEA LIMITED (société Irlandaise) pour des violations de la réglementation française.
La CNIL retient sa compétence pour sanctionner YAHOO EMEA LIMITED.
● La CNIL constate d’abord la présence d’un établissement en France de YAHOO EMEA LTD, au sens de l’article 3 de la loi du 6 janvier 1978, à savoir a société YAHOO FRANCE. Plusieurs critères sont retenus :
- Selon ses statuts, YAHOO FRANCE a notamment pour objet « la promotion sur le marché français des produits et solutions publicitaires de YAHOO » ;
- YAHOO FRANCE agit dans le cadre d’un contrat de prestation de service pour YAHOO EMEA LIMITED afin de promouvoir ses produits auprès de ses clients français ;
- YAHOO FRANCE appartient au même groupe que YAHOO EMEA LIMITED ;
- La présidence de YAHOO FRANCE est exercée par la société mère de YAHOO EMEA LIMITED ;
- YAHOO FRANCE refacture à YAHOO EMEA LIMITED ses coûts de fonctionnement et lui rend des comptes.
● La CNIL retient ensuite que le seul fait, pour YAHOO FRANCE, de promouvoir sur le marché français les produits commercialisés par YAHOO EMEA LIMITED est suffisant pour considérer que YAHOO FRANCE traite les données dans le cadre de ses activités sur le territoire français.
● Au final, il est reproché à YAHOO EMEA LIMITED de ne pas respecter l’article 82 de la loi du 6 janvier 1978 en déposant plus d’une vingtaine de cookies publicitaires sans le consentement des visiteurs de Yahoo.com et Yahoo Mail, et ce peu important qu’il s’agisse de cookies tiers. Il est également reproché à la société de contraindre l’utilisateur à ne pas retirer son consentement, car s’il le faisait, il serait alors privé d’accès à sa messagerie électronique. La CNIL affirme qu’à supposer la mise en place d’un « cookie wall » valable, il est obligatoire de proposer une solution alternative afin de permettre à l’internaute de retirer son consentement.12/01/2024
La sanction de la CNIL prononcée le 29 décembre 2023 et qui vient d’être rendue public peut faire figure de cas d’école.
Une société, distributrice de monnaie électronique, est condamnée à une sanction de 105 000 euros pour des manquements qui peuvent être évités simplement en s'engageant dans une démarche de mise en conformité RGPD :
● Conservation des données pour une durée illimitée : en dépit des déclarations du responsable de traitement, la CNIL a constaté que les données étaient conservées au-delà des 10 et 5 ans déclarés, alors qu’il s’agissait parfois de données telles que des copies de cartes d’identité ou des coordonnées bancaires
● Absence d’information des personnes conformément à l’article 13 du RGPD : la politique de protection des données était rédigée en Anglais alors que le service s’adressait à des francophones
● Défaut de sécurité des données : des logins/password étaient conservés en clair dans les bases de données de la société ou protégé par une fonction de hachage SHA-1 obsolète. En outre, le niveau de complexité exigé des mots de passe n’était pas suffisant
● Dépôt de cookies sans le recueil du consentement préalable des personnes
La mise en conformité RGPD sur ces éléments essentiels coûte toujours moins que la sanction.
