Actualités
20/09/2022
Deux fournisseurs de services de télécommunications contestaient la règlementation allemande leur imposant la conservation des données relatives au trafic et des données de localisation afférentes aux télécommunications de leurs clients. A l’occasion d’un renvoi préjudiciel, la Cour administrative fédérale allemande interrogeait la compatibilité d’une telle législation avec la Directive 2002/58/CE du 12 juillet 2002 sur la protection de la vie privée dans le secteur des communications électroniques. La Cour de justice, par un arrêt du 20 septembre 2022, retient que le droit de l’Union s’oppose à toute législation nationale prévoyant, à titre préventif, aux fins de la lutte contre la criminalité grave et de la prévention des menaces graves contre la sécurité publique, une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation.
La Cour de Luxembourg précise son interprétation. Le droit de l’Union ne s’oppose pas à une législation nationale qui prévoit, aux fins de sauvegarde de la sécurité nationale ou de lutte contre la criminalité grave :
● Le recours à une injonction de procéder à une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation, si l’État fait face à une menace grave, réelle et actuelle ou prévisible pour la sécurité nationale et que l’injonction est susceptible de contrôle, pour une période temporellement limitée, mais renouvelable.
● La conservation ciblée des données relatives au trafic et des données de localisation, délimitée sur la base d’éléments objectifs et non discriminatoires, en fonction de catégories de personnes concernées ou au moyen d’un critère géographique, pour une période temporellement limitée au strict nécessaire, mais renouvelable.
● La conservation généralisée et indifférenciée des adresses IP attribuées à la source d’une connexion, pour une période temporellement limitée au strict nécessaire.
● La conservation généralisée et indifférenciée des données relatives à l’identité civile des utilisateurs de moyens de communications électroniques.
● Le recours à une injonction susceptible de contrôle, de procéder, pour une durée déterminée, à la conservation rapide des données relatives au trafic et des données de localisation dont disposent les fournisseurs de services.20/09/2022
Deux enseignements d’un arrêt de la Cour d’appel de Grenoble du 1er sept. 2022 (n°21/01300) statuant sur un projet de création d’un site internet pour une entreprise du bâtiment :
● Prestataire ou client, ne négligez pas la formalisation contractuelle de votre mécanisme de recette pour tout projet informatique avec, a minima, une VABF et une VSR !
● Et en cours de projet, il faudra toujours s’assurer que factuellement, des opérations de vérification sont menées par le client avant signature du procès verbal de recette…
En effet, par un raisonnement fondé sur une approche très factuelle de la situation, et moins sur le caractère contraignant d’un « procès verbal de conformité » pourtant signé par les parties, la Cour retient que : « Un tel document signé lors de la livraison du site ne saurait valablement décharger le prestataire de ses obligations contractuelles, notamment de délivrance, alors que la mise en place d'un site internet ne peut être considérée comme pleinement exécutée sans un temps de prise en main par le client et de mise au point, compte tenu de la complexité du produit ».
Finalement, la Cour déboute quand même l’entreprise du bâtiment pour n’avoir pas démontré un défaut de conformité du site internet.
14/09/2022
Nouvelle sanction de la CNIL. Le 8 septembre 2022, GIE INFOGREFFE est condamné à une amende de 250 000 euros. Deux manquements au RGPD lui sont reprochés.
● La conservation des données. Bien que sa Charte de confidentialité prévoie la conservation des données personnelles durant 36 mois à compter de la dernière commande, 25% des comptes ont été conservés au-delà sans être anonymisés et aucune procédure de suppression automatique n’a été mise en place.
● La sécurité des données. La CNIL, en référence aux recommandations de l’ANSSI, relève la robustesse insuffisante des mots de passe face à des attaques par « force brute » (8 caractères sans critère de complexité ni mesure de sécurité complémentaire), ainsi que leur conservation et transmission en clair par courriel, présentant un risque de captation par des tiers de données immédiatement utilisables. La CNIL reproche aussi l’absence de notification à l’utilisateur de la modification de son mot de passe, et donc d’une éventuelle tentative d’usurpation de son compte.09/09/2022
Rapport de la Direction Générale du Trésor sur l'assurance des cyber-risques. Tous les baromètres désignent une augmentation des cyberattaques. 54% des entreprises françaises ont été attaquées en 2021. Une entreprise qui subit une cyberattaque double son risque de défaillance.
● Le marché de l’assurance du risque cyber demeure limité en France (3,1% des cotisations de l’assurance des dommages aux biens des professionnels en 2021) mais en forte augmentation en 2021 (+52%) avec un durcissement marqué des conditions d’assurance pour les grandes entreprises.
Le rapport constate :
● des incertitudes juridiques fortes sur : l’assurabilité du paiement des cyber-rançons ; l’assurabilité des sanctions administratives (sanctions CNIL par exemple) ; l’applicabilité de l’exclusion légale pour cause de guerre aux cyberguerres ;
● une rédaction déficiente des polices d’assurances avec une insécurité sur les garanties souscrites et les exclusions applicables.05/09/2022
Le décret n°2022-1212 du 2 septembre 2022 fixe au lundi 5 septembre 2022 l'entrée en vigueur de la loi du 2 mars 2022 visant à renforcer le contrôle parental sur les moyens d’accès à internet.
● La loi a introduit un article L.34-9-3 dans le code des postes et des communications électroniques qui impose la mise en place dans les équipements terminaux d’un dispositif permettant de restreindre ou contrôler l’accès aux mineurs à des contenus « susceptibles de nuire à l’épanouissement physique, mental ou moral ».
Les fabricants et distributeurs doivent s’assurer que le dispositif certifié par leurs soins est proposé dès la première mise en service, intégré par les systèmes d’exploitation et que son utilisation n’impose aucun surcoût pour les utilisateurs.
● Les données à caractère personnel des mineurs collectées à l’occasion de l’utilisation de ce dispositif ne peuvent être utilisées à des fins commerciales (marketing direct, profilage et publicité ciblée).
L’obligation ne s’applique pas aux équipements mis sur le marché sans système d’exploitation.02/09/2022
Pendant l’été 2022, la CNIL a prononcé des sanctions pécuniaires à l’encontre de deux entreprises.
Le 7 juillet : 175 000 euros à l’encontre de Ubeeqo pour :
● Absence de minimisation des données
● Durée de conservation excessive des données
● Manquement à l’obligation d’information des personnes
Le 3 août : 600 000 euros à l’encontre d’Accor pour :
● Défaut de consentement à la prospection commerciale
● Manquement à l’obligation d’information des personnes
● Non respect du droit d’accès et d’opposition
● Défaut de sécurité des données
L’occasion pour NEXT de vous proposer son tableau de bord à jour des sanctions CNIL.31/08/2022
Le Conseil d’Etat confirme qu’il n’y a pas besoin de notifier à la CNIL une fuite de données que la CNIL vous notifie…
Après signalement sur un site d’information en ligne d’images médicales de patients librement accessibles sur des serveurs informatiques , accompagnées des noms, prénoms, dates de naissances, dates de réalisation de l’examen et noms des praticiens concernés, la CNIL a procédé à des contrôles en ligne.
La CNIL a ensuite avisé un chirurgien orthopédiste dont les données des patients étaient ainsi divulguées et du contrôle opéré.
Deux manquements au RGPD ont été retenus à son endroit par la CNIL :
● Elle reprochait au responsable de traitement de ne pas l’avoir notifié de la violation de données à caractère personnel. Dans sa décision du 22 juillet 2022, la Haute juridiction administrative ramène la CNIL à la raison en lui indiquant qu’elle ne peut exiger du responsable de traitement de lui notifier une violation de données… dont elle a elle-même informé le responsable de traitement par courriel.
● Pour le reste, le Conseil d’État confirme le caractère défaillant de l’installation informatique du praticien, en raison de la configuration de son réseau informatique interne et de l’absence de chiffrement des données médicales devant recevoir des mesures de sécurité renforcées.
La sanction prononcée par la CNIL a été réduite de 3000 à 2500 euros par le Conseil d’État dans son arrêt du 22 juillet 2022.26/08/2022
Le décret n°2022-1084 du 29 juillet 2022 sur la mise en place d’une stratégie numérique responsable par les communes instaurent des obligations en matière de « GREEN IT ».
● Sur qui pèsent les nouvelles obligations ?
- Les communes de plus de 50 000 habitants
- Les établissements publics de coopération intercommunale à fiscalité propre de plus de 50 000 habitants
● Quelles échéances pour quelles obligations ?
● Avant le 1er janvier 2023 : Réalisation d’un « programme de travail ». Il doit comprendre :
- un bilan de l’impact environnemental du numérique et de ses usages sur le territoire concerné,
- une synthèse des solutions engagées pour atténuer cet impact, le cas échéant.
● Avant le 1er janvier 2025 : Etablissement d’une « stratégie numérique responsable ». Elle devra indiquer :
- les objectifs de réduction de l’empreinte numérique du territoire concerné,
- les indicateurs de suivi associés,
- les mesures mises en place pour y parvenir,
- et les moyens d’y satisfaire.
● Le décret fournit une liste d’objectifs pouvant être intégrés à la stratégie.
Pour les équipements informatiques :
- une commande publique locale et durable, dans une démarche de réemploi, de réparation et de lutte contre l'obsolescence,
- une gestion durable et de proximité du cycle de vie du matériel informatique.
Pour les logiciels : Ecoconception des sites et des services numériques.
Pour la formation : Mise en place d'une politique de sensibilisation au numérique responsable et à la sécurité informatique à destination des élus et agents publics.
● Et d’autres engagements de droit mou, dont les contours sont flous et peu engageants :
- Mise en place d'une démarche numérique responsable auprès de tous afin de sensibiliser les citoyens aux enjeux environnementaux du numérique et de l'inclusion numérique ;
- Mise en place d'une démarche de territoire connecté et durable en lien avec une démarche d'ouverture et de valorisation des données.
● Un bilan annuel sur la stratégie numérique responsable devra être présenté avant les débats sur le projet de budget, dans le cadre du rapport sur la situation en matière de développement durable.
● Quelles sanctions en cas de non-respect des exigences nouvelles? Aucune n’est expressément prévue…
Un démarrage…. en douceur donc.
● Quels chantiers juridiques mener ? Outre la formalisation des « Programmes » et « Stratégies », les collectivités devront veiller à adapter leurs marchés de services informatiques et à prévoir un suivi des indicateurs mis en place, avec sanctions contractuelles en cas de non respect.26/07/2022
Wish est un site de eCommerce édité par la société de droit américain ContextLogic Inc. dont la DGCCRF a constaté qu’il commercialisait des produits pour la plupart importés, avec un taux de dangerosité élevé (jouets : 95 % non conformes, dont 45% dangereux; appareils électriques : 95 % non conformes, dont 90% dangereux). Par ailleurs, Wish n’effectuait pas les retraits ni les rappels de produits tel qu’il incombe aux distributeurs.
Le 15 juillet 2021, la DGCCRF a donc enjoint à Wish de se mettre en conformité sous deux mois. La DGCCRF a pris acte d’un défaut d’exécution, et, par décision du 23 novembre 2021, elle enjoignait cette fois à Apple, Google, Qwant et Microsoft de déréférencer l’adresse « wish. com » et l’application « Wish » de leurs moteurs de recherche et magasins d’applications au fondement de l’article L.521-3-1, 2°, a) du code de la consommation.
Ce texte, introduit par une loi de décembre 2020, prévoit cette possibilité pour la DGCCRF d'ordonner le déréférencement de contenus manifestement illicites, notamment lorsque l’infraction constatée est de nature à porter une atteinte grave à la loyauté des transactions ou à l’intérêt des consommateurs.
ContextLogic Inc. a demandé au Conseil d’État l’annulation de l’ordonnance de référé qui l’avait déboutée de son recours contre la décision de la DGCCRF, et la transmission au Conseil constitutionnel d’une QPC relative à ladite disposition. Le Conseil d’Etat y a fait droit dans une décision du 22 juillet 2022 et renvoie au Conseil constitutionnel la question de la conformité aux droits et libertés garantis par la Constitution de l'article litigieux du code de la consommation.
Selon le Conseil d’Etat, « la question porte un caractère sérieux tenant aux atteintes à la liberté d’entreprendre, d’expression et de communication ».
