DONNEES PERSONNELLES
Sanction d’un réseau social pour sa fonctionnalité « invite tes contacts »
L’ADP a prononcé une sanction à l’encontre d’un réseau social dans le cadre d’une fonction « inviter des contacts » qui ne reposait sur aucune base légale valable. Pour inviter ces contacts, le réseau social récoltait et stockait des données relatives aux contacts, et envoyait des invitations aux personnes ajoutées par l’utilisateur.
Le réseau, en stockant les données de non-membres du réseau et en leur envoyant des invitations, traitait donc des données sans base légale valable. Pour le réseau social, le consentement était donné par l’utilisateur-membre lui-même, lequel permettait d’importer ces données. Or un consentement doit être donné par la personne concernée par le traitement.
De plus, il a été constaté un non-respect des conditions de consentement : l’utilisateur était confronté à des cases pré-cochées lors du processus d’ajout de contacts, ce qui est donc contraire aux conditions du consentement, qui doit être constitué d’un acte positif et univoque.
Cookies : les recommandations de la CNIL mises à mal face au Conseil d’Etat
CNIL et associations publicitaires sont en opposition suite aux recommandations de la CNIL relatives au Cookies de juillet 2019. Pour les publicitaires, le suivi des internautes est vital pour leur activité économique tandis que la CNIL indique que l’internaute doit donner son consentement. Ce consentement ne peut être donné de manière éclairée selon la CNIL lorsque l’acceptation des cookies est une condition pour accéder au site. Les intérêts financiers en jeu sont très importants.
Le rapporteur public du Conseil d’Etat a donné raison aux publicitaires en précisant que « une telle prohibition n’est posée par aucune disposition du RGPD ». La CNIL aurait interprété excessivement les dispositions du RGPD. La décision finale du Conseil d’Etat est très attendue, si elle venait à confirmer la position du rapporteur, la CNIL serait contrainte de rédiger de nouvelles recommandations. Conseil d’Etat, 19 juin 2020 Le Conseil d’Etat a donné raison aux éditeurs de sites Internet contre la CNIL dans une décision vendredi 19 juin.
Selon la plus haute juridiction administrative, un éditeur peut bloquer l’accès à son site à un internaute qui refuserait les cookies. Cette décision s’oppose aux lignes directrices adoptées par la CNIL en 2019. Pour le Conseil d’Etat : « En déduisant une telle interdiction de la seule exigence d’un consentement libre de l’utilisateur au dépôt de traceurs posé par le règlement européen sur la protection des données, la CNIL a excédé ce qu’elle pouvait légalement faire ». Le Conseil d’Etat a également souligné que les éditeurs n’avaient pas besoin de demander un consentement spécifique pour chaque usage des données par l’internaute, celui-ci pouvant donner un consentement global.
Toutefois, pour chacun des usages, le consentement de « l’utilisateur doit être précédé d’une information spécifique ». Cette décision survient alors que la CNIL doit publier prochainement ses recommandations.
Le Conseil d’Etat confirme la condamnation de Google à 50 millions d’euros d’amende infligée par la CNIL
Conseil d’Etat, 19 juin 2020 La CNIL avait reproché à l’entreprise américaine de ne pas informer assez clairement ses utilisateurs de l’usage étant fait de leurs données, et ne pas respecter les principes essentiels du RGPD. Le groupe avait fait appel mais devra finalement s’acquitter de cette amende record.
Le Conseil d’Etat souligne ainsi : « Le premier niveau d’information proposé aux utilisateurs apparaît excessivement général eu égard à l’ampleur des traitements opérés par la société, au degré d’intrusion dans la vie privée qu’ils impliquent et au volume et à la nature des données collectées ». Le système d’exploitation permet en effet la collecte de très nombreuses informations sensibles sur l’utilisateur et les explications de Google sont insuffisantes, éparpillées et lacunaires.
Google a tenté de de faire annuler la sanction en arguant que la CNIL n’était pas compétente pour prononcer cette sanction (le RGPD prévoit que les entreprises puissent déterminer le pays dans lequel leur conformité au droit européen peut être évaluée) mais Google ayant choisi l’Irlande qu’après que la sanction ait été prononcée par la CNIL, le Conseil d’Etat a jugé que la CNIL était en droit de prononcer cette sanction, particulièrement compte tenu de la « gravité particulière » des infractions. Selon le rapporteur de l’audience : « La sanction représente 0,05 % du chiffre d’affaires de l’entreprise et environ 1 % de l’amende » maximale que permet le RGPD. A ce jour, l’amende infligée par la CNIL contre Google est la plus importante prononcée en Europe sur la base de ce droit européen. Google a annoncé qu’il « allait examiner les modifications à apporter ».
VIE PRIVEE
Publication d’articles successifs : aggravation du préjudice unique
Tribunal judiciaire de Nanterre, 14 mai 2020 La publication de plusieurs articles successifs sur Voici.fr annonçant un article attentatoire à la vie privée d’une comédienne dans le magazine du même nom « ne génère qu’un préjudice unique, certes aggravé par la répétition mais non multiplié ». Pour le tribunal, cette variation « n’est pas génératrice d’un préjudice distinct mais d’une aggravation d’un préjudice unique ». En conséquence, le tribunal alloue 8 000 € de dommages-intérêts à la comédienne pour la réparation du préjudice moral subi par l’actrice du fait de l’atteinte à son droit au respect de sa vie privée ainsi qu’au droit à son image.
L’absence de tentative de solution amiable n’est pas une cause de nullité
Tribunal judiciaire de Nanterre, 22 mai 2020 Le tribunal judiciaire a condamné pour atteinte à la vie privée le site Mariefrance.fr qui avait publié des clichés d’une star française lors d’un voyage privé en famille. La comédienne n’avait pas donné son accord à la publication d’images prises dans un moment privé. Une question rarement débattue a été portée lors de cette affaire : le site du magazine invoquait la nullité de l’assignation en raison de l’absence de justification d’une urgence permettant de ne pas tenter de trouver une solution amiable, cause que le tribunal a déclaré irrecevable. Pour le tribunal, la solution amiable n’est qu’incitative et « peut trouver un terrain d’application dans la fixation de l’indemnité allouée (…) s’il est prouvé que les diligences attendues étaient de nature à éviter le litige »
DIFFAMATION
Responsabilité de la personne physique éditrice d’un blog
Tribunal correctionnel de Paris, 19 décembre 2019 Le tribunal a condamné pour diffamation publique un homme qui avait publié sur un blog un faux tract publicitaire attribué à un tour opérateur proposant un club de vacances dans le camp de concentration de Dachau. Cette publication portait atteinte à l’honneur et à la réputation du tour opérateur et ont condamné le responsable du blog. Les juges n’ont pas cherché à savoir s’il était l’auteur de cet article dans la mesure où, s’agissant d’un blog personnel, le directeur de la publication est nécessairement cette personne physique.
RESPONSABILITE DES EDITEURS
Airbnb est éditeur et donc responsable des sous-locations illicites
Tribunal judiciaire de Paris, 5 juin 2020 Pour le tribunal judiciaire de Paris, Airbnb jouait un rôle actif dans la mise en relation entre voyageurs et hôtes et a par conséquent un rôle d’éditeur et non d’hébergeur.
Le tribunal conclut que la plateforme exerce une activité illicite d’intermédiaire et commet une faute en ne vérifiant pas que l’annonce d’un meublé était une sous-location prohibée. Airbnb ayant la possibilité de retirer tout contenu contrevenant à ses conditions générales d’utilisation et ayant un droit de regard sur les annonces proposées, Airbnb dispose d’un rôle actif. Le tribunal remarque en outre que Airbnb est en mesure de vérifier si l’hôte dispose du droit de proposer son logement à la location saisonnière.
CLAUSES ABUSIVES
Condamnation d’Apple pour ses clauses abusives
Tribunal judiciaire de Paris, 9 juin 2020 Un conflit remontant à 2016 entre l’UFC-que choisir et Apple vient d’être tranché par la justice française. L’UFC-que choisir avait pointé du doigt les conditions générales d’utilisation et la politique de confidentialité de d’iTunes. Par un jugement complexe de 130 pages qui évoque point par point les manquements d’Apple, le tribunal judiciaire de Paris a finalement condamné Apple à la somme de 30.000 euros pour le préjudice à l’intérêt collectif des consommateurs et pour les frais de justice.
Ont notamment été pointées du doigt les clauses relatives à la responsabilité en cas d’inexécution du contrat et les clauses relatives à la sécurité des données ainsi qu’un manque de transparence : l’utilisateur n’étant pas informé sur les données collectées, ni si des reventes ou partages de ces données étaient effectués.
Apple a également mal interprété la notion de données personnelles définie par le RGPD. En l’espèce Apple ne permettait à l’utilisateur de s’opposer à l’utilisation de de son indicatif postal, de la géolocalisation, l’adresse IP en arguant qu’il ne s’agissait pas de données personnelles. S’agissant bien de données personnelles, cette pratique est donc contraire à la réglementation en vigueur.
ACTUALITES
Le Conseil constitutionnel censure la mesure phare de la loi AVIA contre la haine en ligne
Le Conseil constitutionnel a censuré ce jeudi 18 juin la disposition phare et controversée de la loi contre la haine en ligne. Pour le Conseil constitutionnel, les obligations pesant sur les réseaux sociaux de retirer en 24h les contenus illégaux n’étaient pas compatibles avec la liberté d’expression. Les opposants au texte ayant pointé le risque de surcensure obtiennent gain de cause.
Les réseaux sociaux auraient dû, selon la loi, se prononcer sur la simple base d’un signalement, sans intervention extérieure dans un laps de temps très bref alors que l’étude de certains cas pouvait revêtir une « technicité juridique » et en les sanctionnant pénalement à la première erreur. En ce sens, la loi incitait « les opérateurs de plateforme en ligne à retirer les contenus qui leur sont signalés qu’ils soient ou non manifestement illicites ».
Le volet répressif est donc censuré et seul subsiste le volet préventif de cette loi qui consiste à imposer aux plateformes de simples obligations de moyen : proposer des mécanismes de signalement et faire preuve de transparence sur l’activité de modération (nombre de contenus retirés, délais, motifs,…). En cas de contestation, un mécanisme d’appel pourra être mis en place. Le CSA (Conseil supérieur de l’Audiovisuel) a la pouvoir de demander aux réseaux sociaux des rapports et de les sanctionner en cas de manquement.
L’application StopCovid disponible en téléchargement sur iPhone et Android
Le secrétaire d’Etat au numérique n’a pas souhaité donner d’objectif chiffré du nombre d’installation mais parle de l’application comme un nouveau « geste barrière » à adopter. 24h après sa mise en ligne, les chiffres apparaissent encourageants pour l’application avec déjà 600 000 téléchargements en moins d’un jour, malgré les nombreuses critiques qui ont visé le projet considéré comme potentiellement dangereux pour les libertés publiques.
Toutefois, une semaine après son lancement, seulement 2% de la population aurait activé l’application StopCovid. A titre de comparaison, l’application de suivi des cas contacts en Australie avait été téléchargée par 8% de la population en 24h. Pour les scientifiques, un taux d’adoption bien supérieur devrait être enregistré pour que l’utilité de l’application soit démontrée.
De plus, le chiffre qui doit être pris en compte n’est pas le téléchargement mais l’activité. En effet, l’application peut être mise en sommeil. Le dernier chiffre d’utilisateurs actifs communiqué est de 350 000, soit 0,5% de la population. Une nouvelle question se pose également, celle de son cout pour l’Etat, on estime aujourd’hui le coût mensuel à environ 100 000 euros, prélevés sur le budget de l’Etat et s’agissant principalement des frais de gestion et d’entretien du serveur sécurisé.
L’Association de lutte contre la corruption Anticor a saisi le parquet national financier, faisant un état d’un risque de « surfacturation » en l’absence de marché public. Pour l’association, les couts d’hébergement de l’application sont disproportionnés et au-dessus du marché.
Autre point soulevé par un chercheur et paru dans Mediapart, l’application StopCovid collecterait plus de données qu’annoncé. Le chercheur aurait découvert que l’application collectait les identifiants de toutes les personnes croisées par un utilisateur, et non uniquement celles croisées à moins d’un mètre pendant quinze minutes. « StopCovid envoie donc une grande quantité de données au serveur qui n’a pas d’intérêt pour tracer la propagation du virus, mais qui pose un vrai danger pour la vie privée », écrit ce chercheur de l’Inria.
Contacté par Mediapart, le secrétaire d’Etat au numérique n’a pas nié les révélations mais a souhaité les justifier. La CNIL a annoncé au début du mois de juin son intention de procéder à des contrôles pour vérifier les applications particulièrement quant au respect de la protection des données personnelles. De nombreux pays européens ont quant à eux fait le choix d’une solution décentralisée proposée par Apple et Google.
Télésurveillance des examens : l’avis de la CNIL
Pour faire face à la problématique des examens à distance en période de crise sanitaire liée au Covid-19, certaines Universités et Hautes Ecoles ont pris des mesures afin de mettre en place un système de surveillance en ligne des étudiants pendant leur examen.
La CNIL s’est prononcée sur la conformité de tels dispositifs et rappelle qu’un tel traitement est soumis au RGPD. La CNIL rappelle que l’établissement doit respecter les principes du RGPD : « l’établissement doit respecter, en tant que responsable de ce traitement, les principes de la protection des données et les droits des étudiants concernés. » Il convient de déterminer la base légale du traitement, qui ne peut être le consentement étant donné que l’étudiant ne donnerait pas son consentement librement et serait manifestement contraint ou influencé par la position d’autorité du responsable de traitement.
Une autre base légale doit être envisagée, comme par exemple l’exécution d’une mission d’intérêt public. Il sera également nécessaire de respecter les principes « informatique et libertés » : tel que le principe de finalité, le principe de proportionnalité.
A cet égard la CNIL donne quelques exemples de procédés non proportionnels : « les dispositifs de surveillance permettant de prendre le contrôle à distance de l’ordinateur personnel de l’étudiant (notamment pour vérifier l’accès aux courriels ou aux réseaux sociaux) » ou encore : « les dispositifs de surveillance reposant sur des traitements biométriques (exemple : reconnaissance faciale via une webcam) ». De même, les étudiants doivent voir leurs droits respecter et doivent notamment être informés de manière claire et transparente.
Google visé par une action collective pour collecte de données personnelles en navigation privée
Une plainte a été déposée en Californie devant le tribunal fédéral de San Jose. En cause, des données personnelles collectées sans que les utilisateurs n’aient donné leur consentement éclairé et en particulier lorsque ceux-ci ont activé le mode navigation privée. Le document indique que cette collecte permet à Google d’obtenir des données très privées ainsi que les « choses les plus intimes et potentiellement embarrassantes ». Google dément en indiquant que les sites web sont en mesure de collecter des informations de navigation, même en ayant activé la navigation privée.
Le nombre de plaintes à la CNIL en hausse de 27% en 2019
L’autorité administrative gardienne de la vie privée des Français a reçu en 2019 plus de 14 000 plaintes. Ce chiffre témoigne de la très forte mobilisation autour du RGPD (règlement général sur la protection des données) », observe la Commission nationale de l’informatique et des libertés (CNIL).
Adoption par le Sénat d’une obligation accrue de vérification de l’âge sur les sites pornographiques
Mardi 10 juin, un amendement renforçant les obligations des sites pornographiques en matière de contrôle de l’âge pour leurs utilisateurs en France a été adopté. Ce texte soulève des questions quant à son application. L’objectif est d’avoir un contrôle strict sur de l’âge des visiteurs qui ne peut plus se limiter à une simple déclaration de l’internaute qui clique pour indiquer qu’il est majeur. Ce contrôle apparait insuffisant pour des associations de protection de l’enfance.
Le CSA aurait la possibilité de bloquer ou déréférencer les sites ne prévoyant pas ce mécanisme de contrôle. Ce contrôle pourrait passer par un le fait de scanner une pièce d’identité ou une carte bancaire. Son application devra néanmoins se confronter au respect de la vie privée. Au Royaume-Uni, un projet similaire a été abandonné, faute d’avoir trouvé une solution technique et juridique respectant la vie privée, la liberté d’expression et la protection des mineurs.
Actualités - Nouvelles technologies et néo-banques
Nubank
La néo-banque la plus populaire est brésilienne. Nubank a atteint le 1er juin 25 millions d’utilisateurs. Nubank est donc aujourd’hui la banque numérique indépendante la plus populaire au monde.
Revolut
La néo-banque Revolut est vite devenue la banque nouvelle génération et propose 3 formules de cartes bancaires Standard, Premium, Metal. Les assurances sont surtout relatives aux paiement et voyage à l’étranger.
Société Générale
La banque traditionnelle souhaite se moderniser et mettre à jour son application mobile avec une nouvelle interface s’inspirant des néo-banques. Parmi les nouveaux services de Société Générale une application permettant de faire le pont entre le compte des parents et le compte de leurs enfants. Société Générale compte 3,5 millions d’utilisateurs actifs de sa plateforme web/mobile et souhaite se différencier de ses nouveaux concurrents 100% en ligne.
Actualités - Réseaux Sociaux et moteurs de recherche
Facebook lance un nouvel outil pour supprimer les anciennes publications
Le réseau social a lancé une nouvelle fonctionnalité « Manage Activity » qui permet de retirer massivement les anciennes publications, alors qu’auparavant il était seulement possible de supprimer les posts un par un. Il est possible de supprimer ou d’archiver les publications. Si elles sont supprimées, les publications seront placées dans une corbeille et seront supprimées définitivement au bout de 30 jours. Si les publications sont archivées, le contenu sera visible par vous-même quand vous le souhaitez mais sera cachée.
Cette fonctionnalité permet un meilleur contrôle de sa présence en ligne et une meilleure gestion des données personnelles. « Que vous entriez sur le marché du travail après l’université ou que vous quittiez une ancienne relation, nous savons que les choses changent dans la vie des gens, et nous voulons vous aider à organiser votre présence sur Facebook pour refléter plus précisément qui vous êtes aujourd’hui. » écrit Facebook à ce sujet.
Google lance ses « extraits optimisés » pour aider à trouver une information plus rapidement
Lors d’une recherche, Google vous dirige immédiatement par la partie de la page correspondante qui contient l’information que vous recherchiez et cette information apparait surlignée en jaune.
Google veut modifier l’affichage des URLs sur son navigateur
Google n’a pour le moment pas trouvé de solution pour remplacer la façon dont les adresses des pages sont affichées. Une des solutions envisagées serait de remplacer les adresses web par un affichage simplifié ne contenant que le nom de domaine. L’adresse complète pourrait être visible lorsque l’utilisateur interagit avec la page ou que le curseur est maintenu au-dessus de la barre d’adresse.
Comment Wikipédia repère les comptes améliorant l’image d’entreprise
Une enquête rendue publique le 27 mai par des bénévoles de Wikipédia a montré que des comptes associés à des entreprises de conseil en e-communication modifiaient les contenus disponibles sur Wikipédia. Ces comptes ont été suspendus, au total près de deux cents, soupçonnés d’être rémunérés pour rédiger des contenus promotionnels et contrevenir aux principes fondateurs de l’encyclopédie en ligne.
En effet, par principe les pages peuvent être modifiées par tous les internautes et les contributions rémunérées ne sont pas interdites mais ces comptes se présentent comme des bénévoles et il y a donc un manque de transparence et de neutralité. La méthode employée aurait été de créer plusieurs pseudonymes pour le même utilisateur et associer les contributions pour influencer le débat sur une page. Pour respecter pleinement les conditions de l’encyclopédie, chaque contributeur aurait dû créer un compte unique et afficher son affiliation avec l’entreprise.