SOLOCAL_DOCUMENT_REFERENCE_2017

FACTEURS DE RISQUES 2.5 Réglementation

La Loi pour une République numérique du 7 octobre 2016 est venue encore créer de nouveaux droits pour les personnes : droits à l’oubli pour les mineurs, possibilité d’organiser le sort des données personnelles des personnes après leur mort mais surtout plus d’informations et de transparence sur le traitement des données afin de préciser aux personnes la durée de conservation de leurs données. Les compétences, et surtout le pouvoir de sanction de la CNIL, par anticipation sur la mise en application du RGPD, se trouvent renforcés et élargies puisque le plafond maximal des sanctions passe de 150 000 euros à 3 millions d’euros et désormais ces sanctions financières pourront être prononcées sans mise en demeure préalable des entreprises lorsque le manquement constaté ne peut faire l’objet d’une mise en conformité. Dans le cadre de ses activités, le Groupe est amené à enregistrer et traiter des données statistiques, concernant notamment la fréquentation de ses sites. Des moyens techniques permettant d’identifier, sur une base statistique globale, les centres d’intérêt des internautes et leurs comportements en ligne sont également développés afin d’optimiser les services rendus et d’accroître les revenus générés. Dans le même esprit et afin de pouvoir offrir des services personnalisés, le Groupe est amené à collecter et à traiter des données personnelles et à les commercialiser auprès de tiers. Le Groupe est également amené à collecter et à traiter des données dans le cadre de la mise en place de projets relatifs au ciblage publicitaire. La directive e-privacy a étendu son champ d’application aux communications électroniques et a apporté quelques modifications au dispositif existant. Les dispositions nouvelles sont les suivantes : les données relatives au trafic couvrent désormais de manière l technologiquement neutre la totalité des données relatives au trafic et incluent ainsi les données liées à la transmission des communications par Internet ; les « cookies » sont permis si une information claire et complète l est donnée à l’abonné ou à l’utilisateur, notamment sur les finalités du traitement, avant leur dépôt et s’il a donné son consentement éclairé sur ces cookies. Toutefois ne sont pas visés par cette disposition les cookies permettant exclusivement d’effectuer ou de faciliter la transmission d’une communication, ou ceux strictement nécessaires à la fourniture d’un service expressément demandé par l’utilisateur (article 5.3 de la directive). Ces dispositions ont été transposées d’une part dans la Loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel (article 32 de la version consolidée de la Loi Informatique et Libertés) et d’autre part par l’ordonnance du 24 août 2010 dite « paquet télécom ». Une recommandation de la CNIL du 5 décembre 2013 détaille les modalités pratiques de recueil du consentement des internautes au dépôt de cookies (certains étant exemptés de consentement), au moyen d’un bandeau d’information en haut de la première page consultée, renvoyant vers une page d’information, permettant de s’opposer au dépôt ; à défaut le consentement est présumé acquis pour 13 mois. Suite à cette recommandation, la CNIL a réalisé à partir d’octobre 2014 des contrôles à distance afin de s’assurer de la

conformité des acteurs à cette dernière. Dans ce cadre, un site du Groupe a été contrôlé à plusieurs reprises en 2014 et 2015 ; les procès-verbaux de contrôle ont porté sur le dépôt de cookies dès la consultation de la première page, la pertinence des données collectées, la réalité des formalités indiquées, les mentions d’information et la sécurité des données. La CNIL a adressé une mise en demeure enjoignant au site de se mettre en conformité. Cette mise en conformité ayant été effectuée, la CNIL a clôturé le dossier le 27 juillet 2016 sous réserve du respect de la réglementation concernant l’interdiction du dépôt de cookies avant toute navigation ; les données de localisation autres que celles relatives au trafic l ne peuvent être traitées qu’après avoir été rendues anonymes, ou moyennant le consentement des abonnés ou utilisateurs, dûment informés au préalable, en vue de la fourniture d’un service à valeur ajoutée. Ceux-ci ont la possibilité de retirer à tout moment leur consentement et doivent garder la possibilité d’interdire temporairement, par un moyen simple et gratuit, le traitement de ces données pour chaque connexion au réseau ou pour chaque transmission de communication. Ces dispositions ont été transposées dans la Loi n° 2004-669 du 9 juillet 2004 relative aux communications électroniques et aux services de communication audiovisuelle (article L. 34-1-IV du Code des postes et communications électroniques) ; s’agissant des annuaires, les abonnés ont la possibilité de l décider si leurs données, et le cas échéant lesquelles de ces données, doivent figurer dans un annuaire public. Leur non-inscription y est gratuite, de même que toute correction ou suppression. Les États membres peuvent exiger le consentement des abonnés pour tout annuaire public à finalité autre que la simple recherche des coordonnées d’une personne sur la base de son nom. Ces dispositions ont été adoptées dans le décret n° 2003-752 du 1 er  août 2003 relatif aux annuaires universels et aux services universels de renseignements et modifiant le Code des postes et télécommunications ; s’agissant des communications non sollicitées (ou spamming), la prospection directe par courrier électronique est interdite sauf si elle vise des abonnés ayant donné leur consentement préalable. Toutefois, lorsqu’une personne a obtenu directement les coordonnées électroniques de la part de ses clients, elle peut les exploiter à des fins de prospection directe pour des produits ou services analogues qu’elle-même fournit, à condition que ses clients puissent s’y opposer, lors de la collecte de leurs coordonnées et lors de chaque message. Ces dispositions ont été transposées en droit français par la Loi pour la confiance dans l’économie numérique et par la Loi relative aux communications électroniques, qui place la prospection commerciale par voie électronique sous le régime de l’opt-in, imposant ainsi le consentement préalable des personnes démarchées (nouvel article L. 34-1-III du Code des postes et communications électroniques). Cette directive est actuellement en cours de révision, la Commission Européenne souhaitant notamment d’une part remplacer cette directive par un règlement, et d’autre part en aligner les dispositions avec le règlement général sur la protection des données.

1

2

3

4

5

6

7

8

45

Document de référence 2017 SOLOCAL