les risques de non conformitÉ · partie iv: cas pratique ... over time is that change comes from...

LES RISQUES DE NON CONFORMITÉ

ALEXANDRA GUÉRIN-FRANÇOIS

[email protected]

Risques de non-conformité / A Guérin-François/

30/03/2018

1

mailto:[email protected]

PLAN

Introduction

Partie I: Le risque réputationnel

Partie II: Le risque de sanction de la CNIL

A: les contrôles

B: les sanctions

Partie III: Le risque de contentieux judiciaire

Partie IV: Cas pratique


30/03/2018

2

PARTIE I

LE RISQUE RÉPUTATIONNEL


30/03/2018

3

QU’EST-CE QUE LE RISQUE

RÉPUTATIONNEL?


30/03/2018

4


30/03/2018

5


30/03/2018

6

La réputation = la manière dont quelqu'un, quelque chose est connu, considéré

dans un public.

= l’opinion favorable ou défavorable du public pour quelqu'un,

quelque chose.

→ actif incorporel de l’entreprise.

La confiance = créateur de lien entre l’entreprise et ses clients

90% des répondants estiment que les entreprises violent leur vie privée

54% des consommateurs sont prudents quant aux informations qu’ils partagent en

raison d’un manque de confiance dans la sécurité en ligne et dans la protection de

leurs données personnelles (Etude Accenture 2015)

RÉPUTATION ET CONFIANCE

9Risques de non-conformité / A Guérin-François/

30/03/2018

Chaque décision concernant la gestion de la non-conformité, et non

seulement l’acte reproché, aura un impact sur la perception.


30/03/2018

10

“While the impulse may be to say that this is unfair, one of the lessons I've learned

over time is that change comes from self-reflection. So it's worth examining how we

got here. The truth is that there is a high cost to a bad reputation. Irrespective of

whether we did everything that is being said about us in London today (and to be

clear, I don't think we did), it really matters what people think of us, especially in a

global business like ours, where actions in one part of the world can have serious

consequences in another.”


30/03/2018

11


30/03/2018

12

LES CONSÉQUENCES

INDIVIDUELLES

LES CONSÉQUENCES

POUR L’ENTREPRISE


30/03/2018

13

59% des internautes disent qu’ils sont moins susceptibles de choisir

une entreprises qui a souffert d’une faille de sécurité (cf. non-profit

tech think tank Internet Society’s 2016 Global Internet Report).

https://www.internetsociety.org/globalinternetreport/2016/

SIMPLY PUT, THE BREACHES

FORCED YAHOO TO RENEGOTIATE

ITS SALE TO VERIZON, CUTTING

THE PRICE BY $350 MILLION.

14Risques de non-conformité / A Guérin-François/

30/03/2018


30/03/2018

15

PARTIE II

LE RISQUE DE SANCTION DE LA CNIL


30/03/2018

16

II.A: LES CONTRÔLES DE LA CNIL


30/03/2018

17

L’AUGMENTATION DES

CONTRÔLES

• Un changement de paradigme depuis la réforme de 2004

• Passage du contrôle a priori vers le contrôle de terrain a

posteriori

• Une évolution significative

• 510 contrôles en France en 2015 (contre 42 contrôles en

2004, essentiellement en région parisienne/ 20%

d’augmentation par rapport à 2014)/ 430 en 2016

• Dont

• 87 contrôles vidéoprotection / 94 en 2016

• 155 contrôles en ligne (contre 58 en 2014) / 101 en 2016

• 81 % des vérifications menées dans le secteur privé.


30/03/2018

18

ENCADREMENT

RÈGLEMENTAIRE➢ Les ministres, autorités publiques, dirigeants d’entreprises

publiques ou privées, responsables de groupements divers et plus généralement les détenteurs ou utilisateurs de traitements ou de fichiers de données à caractère personnel ne peuvent s’opposer à l’action de la commission ou de ses membres et doivent au contraire prendre toutes mesures utiles afin de faciliter sa tâche.(art. 21 LIL)

✓ Articles 11-2°- f et 44, 48 et 49 LIL/ articles 61 à 69 décret

➢ Les pouvoirs de contrôle de la CNIL peuvent être exercés à l’égard des traitements dont les opérations sont mises en œuvre en tout ou partie sur le territoire national (art. 48 LIL)

→ cela peut concerner des sociétés qui, sans être établies en France, recourent à des moyens de traitement sur le territoire français (par exemple : utilisation d’équipements participant au traitement ou dépôt de cookies et autres traceurs sur les terminaux des utilisateurs).


30/03/2018

19

POURQUOI UN CONTRÔLE

EST-IL DILIGENTÉ?

➢ Plainte : 15%

Ex : 2015 : enquêtes sur les risques psycho-sociaux dans lesecteur public et privé, ainsi qu’auprès de prestataires à qui sont confiéesces enquêtes. (vigilance sur les enquêtes sur internet/ caractère facultatifet respect de l’anonymat)

➢ Programme annuel des contrôles : 35% en 2015/ 20% en 2016

➢ Autosaisine : 41% (ex: actualité) en 2015/ 60% en 2016

➢ Suite à une mise en demeure ou à une procédure de sanction : 5%

➢ Suite à un courrier d’observation adressé après un premier contrôle : 4%

Cf. rapport annuel 2015


30/03/2018

20

CE QUI SE PASSE AVANT UN

CONTRÔLE DE LA CNIL

➢ décision prise par le Président de la CNIL, sur proposition

du service des contrôles.

✓ Une même décision de contrôle peut valablement servir de

fondement à plusieurs missions de vérifications sur place

auprès d’un même responsable de traitement. (CE 18 nov.

2015 PS consulting)

➢ information du procureur de la République territorialement

compétent de la date, de l’heure et de l’objet du contrôle

24 heures avant que celui-ci ne débute.


30/03/2018

21

QUI PEUT RÉALISER

UN CONTRÔLE?

- les commissaires de la CNIL (sauf ceux appartenant à la formation restreinte)

- les agents habilités par une délibération de la CNIL ou du bureau publiée auJO → carte professionnelle

→ sans conflit d’intérêt (art. 59 décret)

- Des agents d’autorités européennes : habilitation spéciale (PJLIL III art. 49-1III)

- des experts désignés par le Président

Les contrôleurs sont tenus au secret professionnel.

Certains contrôles nécessitent :

✓ des habilitations particulières, notamment pour les fichiers couverts par lesecret défense.

✓ la présence d’un médecin - en cas de communication de donnéesmédicales individuelles dans un traitement aux fins de médecinepréventive, recherche médicale, diagnostics médicaux, administration desoins ou de traitements ou gestion de service de santé, mis en œuvre parun membre d’une profession de santé (art. 44 III LIL/ art. 68 décret)


30/03/2018

22

LES DIFFÉRENTS TYPES DE

CONTRÔLES

➢Contrôles sur place (= la « perquisition »)

art.44 LIL

➢Contrôles en ligne - art.44 III LIL (loi du 17

mars 2014 relative à la consommation)

➢Contrôles sur pièces - art.44 III LIL

➢Audition sur convocation - art.44 III LIL


30/03/2018

23

LE CONTRÔLE SUR

PLACE (1/2)

➢ Comment? (art. 44 / art. 19 LIL et art. 57 décret)

✓ 6 heures à 21 heures

✓ Locaux à usage professionnel (exclusion des parties affectées au domicile privé) → modification

➢ Pour quoi?

✓ obtenir copie du maximum d’informations, techniques et

juridiques, pour apprécier les conditions dans lesquelles sont

mis en œuvre les traitements

✓ L’analyse se fait après le contrôle.


30/03/2018

24

LE CONTRÔLE SUR

PLACE (2/2)

➢ Les contrôleurs peuvent :

✓ demander communication de tous documents nécessaires à

l’accomplissement de la mission, quel qu’en soit le support, et

en prendre copie

ex. : contrats de location de fichiers, contrats de sous-traitance

informatique, formulaires, dossiers papiers, notes

✓ accéder aux programmes informatiques et aux données, et en

demander la transcription pour les besoins du contrôle.

ex: copie d’écran, copie de bases de données


30/03/2018

25

L’INFORMATION DU

CONTROLE➢ Pas d’obligation de prévenir

➢ Information au plus tard au début du contrôle du responsable des lieux de

l’objet des vérifications, de l’identité et de la qualité des personnes chargées du

contrôle et de son droit d’opposition (cf. CE 6 nov. 2009 puis Loi 2011)

➢ Le responsable des lieux (= la personne qui assiste et accompagne les

contrôleurs) est :

• Désigné par l’organisme contrôlé

• L’interlocuteur privilégié

• Reçoit l’original de la décision du Président de la CNIL

• Peut être le responsable du traitement ou autre (ex: le CIL)


30/03/2018

26

Cas particulier du contrôle à la demande d’un homologue de

l'Union européenne : information du responsable du traitement de cette

demande et que les informations recueillies ou détenues par la CNIL sont

susceptibles d’être communiquées à cette autorité (art. 63 décret)

LIMITE AUX CONTRÔLES :

L’OPPOSITION

➢ Droit d’opposition à la présence des agents au sein des locaux professionnels privés (loi du 29 mars 2011/ art. 44 II LIL)

➢ Pas de droit d’opposition si ordonnance du juge des libertés et de la détention :

✓ saisine préalable du JLD (urgence, gravité des faits ou risque de destruction ou de dissimulation)

✓ saisine après opposition

→ délit d’entrave

➢ L'entrave à l'action de la CNIL (art. 51 LIL/ pénal) est aussi réalisée en cas :

✓ de refus de communiquer, dissimulation ou destruction des renseignements et documents utiles à la mission de contrôle ;

✓ de communication d'informations non conformes au contenu des enregistrements tel qu’il était au moment où la demande de la CNIL a été formulée ou présentation d'un contenu sous une forme qui n’est pas directement accessible

→ quel intérêt?


30/03/2018

27

LIMITE AUX AGENTS :

LE SECRET• Secret professionnel (et sûreté de l’Etat): opposable aux contrôleurs

→ mention dans le procès-verbal en citant les dispositions législatives/ réglementaires et la nature des données couvertes (art. 21 LIL/ art. 59 décret)

• PJLIL III : art. 44 III « Le secret ne peut leur être opposé sauf concernant les informations couvertes par le secret professionnel applicable aux relations entre un avocat et son client, par le secret des sources des traitements journalistiques ou, sous réserve du deuxième alinéa du présent III, par le secret médical »

• Risque de requalification en délit d’entrave si :

• pas de dispositions légales (ex: secret des affaires)

• pas lié à la nature des vérifications : pas directement sur les données protégées (ex: procédures de sécurité, procédures internes)

• secret relatif (ex: secret bancaire) : si document écrit du titulaire du secret (ex: client) consent à la levée du secret au bénéfice de la CNIL

→ s’interroger en amont


30/03/2018

28

LA CONCLUSION DU

CONTRÔLE

Le procès-verbal de fin de mission établi à l’issue du contrôle :

✓ précise : nature, jour, heure, lieu des contrôles, objet de la

mission, membres, personnes rencontrées et déclarations, les

demandes et les éventuelles difficultés et l’inventaire des pièces

(art. 64 décret)

✓ Le cas échéant : l’opposition et ses motifs

✓ soumis à la signature du responsable des lieux qui peut faire des

observations

✓ en cas de refus, mention au PV

✓ le procès-verbal est notifié par RAR au responsable des

traitements et au responsable des lieux sous 8 jours.

Les contrôleurs ne jugent pas de la conformité. Le PV sert à constater.


30/03/2018

29

LES CONTRÔLES EN

LIGNENouveau pouvoir (loi Consommation du 17 mars 2014) : article 44- III (4§) LIL

➢ Pour quels traitements?

✓ Cookies, traceurs, mentions d’information à l’attention des utilisateurs ou

la sécurité du site internet

➢ Comment?

✓ par des agents de la CNIL habilités

✓ au sein de la CNIL à partir d’une plateforme et d’une connexion internet

dédiées. Avant : vérifications techniques de l’environnement de contrôle.

✓ Limite : données librement accessibles ou rendues accessibles, y compris

par imprudence, négligence ou du fait d’un tiers.

➢ Sous quelle forme?

✓ Le procès-verbal de constatations en ligne ainsi que ses annexes, sont

adressés au responsable du traitement contrôlé qui dispose d'un délai afin

de faire part de ses observations avec, le cas échéant, une demande

d’information complémentaire.


30/03/2018

30

CONTRÔLES SUR

PIÈCES

Un moyen de contrôle sectoriel

ex : en 2015, les cartes de paiement sans contact (nature

des données lisibles au moyen de la fonction de lecture sans

contact, leurs modalités de sécurisation, ainsi que les modalités

de désactivation de la fonction de paiement sans contact et

information des porteurs).

ex : complémentaire des contrôles sur place pour FICP

(Fichier des Incidents de remboursement des Crédits aux

Particuliers) : sur place à la Banque de France/ sur pièces auprès

de 14 établissements bancaires (établissements nationaux,

régionaux et banques en ligne).


30/03/2018

31

L’AUDITION SUR

CONVOCATION

➢ Contexte :

✓ Impossibilité de contrôler sur place (ex: domicile privé)

✓ Complément d’un contrôle sur place déjà effectué

➢ Conditions de forme :

✓ Convocation au moins 8 jours avant la date (par LAR ou

coursier contre signature)

✓ Possibilité de se faire assister d’un conseil dans la lettre

✓ En cas d’absence, PV de carence


30/03/2018

32

LES SUITES D’UN

CONTRÔLE

Courrier de clôture

• Pas de manquement

Courrier d’observations

• Manquements de faible gravité ex: durée de conservations

Mise en demeure

• Manquements

Transmission à la formation

restreinte


30/03/2018

33

transmission au parquet en cas d’infractions

pénales caractérisées (art.40 code procédure

pénale

L’ÉVOLUTION DES

PRATIQUES AU NIVEAU

DE L’UE

Exemple du Sweep Day: audit en ligne simultané des principaux sites

internet européens par les 28 autorités de protection des données

européennes pendant quelques jours.

Première mondiale : en mai 2013, la CNIL et 19 de ses homologues dans

le monde ont effectué un audit des 2180 sites Internet ou applications les

plus visités afin d’évaluer le niveau d’information.

C’est désormais un exercice annuel :

• Vérification des sites internet européens les plus fréquentés, dans

les domaines de l'e-commerce et des médias en 2014

• Sites web destinés aux enfants en 2015

• Objets connectés du quotidien en 2016


30/03/2018

34

Le règlement européen (mai 2018) prévoit notamment la réalisation

d’opérations de contrôle conjointes par plusieurs autorités européennes

de protection des données (art. 62)

LA COOPÉRATION ENTRE

AUTORITÉS VIA LE G29

➢ Actuellement coopération via le G29 (« artisanale »)

ex : Microsoft, Google, Facebook

➢ Avec le règlement, organisation de la coopération :

✓ autorité de contrôle : pouvoir d’enquête y compris sur base

d’information d’autres autorités (art. 57 (h))

✓ autorité chef de file et les autres autorités concernées :

« opérations conjointes » (art. 60.2)

✓ assistance mutuelle entre autorités (art. 61)

✓ Délai de réponse maximum: un mois

→ PJ LIL III : articles 49-1 à 49-4


30/03/2018

35

EXEMPLE DE LETTRES

DU G29


30/03/2018

36

Le travail du sous-groupe

du G29 n’empêche pas les

autorités nationales de faire

des demandes auprès du

responsable de traitements

qui doit y répondre.

II.B: LA PROCÉDURE DE SANCTION


30/03/2018

37

LES DROITS DE LA

DÉFENSE➢ Composition de la formation restreinte :

✓ 6 commissaires (dont un Président distinct du Président de la

CNIL. Ne sont plus membres les vice-présidents de la CNIL cf. loi

du 29 mars 2011 sur le Défenseur des droits).

➢ qualité de tribunal au sens de l'article 6 de la convention

européenne des droits de l'homme (CE 19 février 2008).

→ application des principes de la présomption d’innocence, du

contradictoire, des droits de la défense et du procès équitable :

✓ assistance d'un avocat

✓ accès au dossier et possibilité d’être entendus lors de la

formation restreinte

✓ examen de l’intégralité du dossier

✓ présentation des faits et des différents arguments, à charge et à

décharge, de la poursuite et de la défense


30/03/2018

38

QU’EST-CE QU’UNE

MISE EN DEMEURE?

➢ Demande de mise en conformité d’un traitement proposée par

les services et décidée par le président de la CNIL

✓ Objectif : faire cesser le manquement constaté dans un

délai imparti (de 10 jours à 3 mois). Si urgence, 24 heures.

➢ Une mise en demeure n’est pas une sanction. C’est un outil

pédagogique.

✓ Clôture de la procédure si conformité dans le délai

✓ En l’absence de conformité, la formation restreinte peut

prononcer des sanctions.


30/03/2018

39

En 2015 : 93 MED dont 12 publiques (40 pour cookies/ 8 sites de

rencontre/ 20 contre des communes – actes d’état civil dématérialisés)

10 rapports de sanctions / 3 sanctions financières dont 2 publiques

7 avertissements dont 2 publics

LA PUBLICITÉ DE LA

MISE EN DEMEURE➢ La présidente de la CNIL peut demander au bureau (Président et

des deux vice-président) de rendre publique la mise en demeure.

➢ Motivation de la publicité :

✓ compte tenu de la sensibilité des données / nombre de

personnes/ taille de l’organisme/ importance sur le marché

✓ appeler notamment l’attention des entreprises sur la

nécessité de ne pas enregistrer de commentaires excessifs

dans leurs fichiers clients (Boulanger)

➢ « La CNIL rappelle que ces mises en demeure ne sont pas des

sanctions. En effet, aucune suite ne sera donnée à cette

procédure si la société se conforme à la loi dans le délai imparti.

Dans ce cas, la clôture de la procédure fera également l'objet

d'une publicité.»

→ La MED publique : pire qu’une sanction?


30/03/2018

40

ART. 45 PROJET DE LOI LIL IIINe pas confondre avec :

II - Le président de la Commission nationale de l’informatique et des libertés peut saisir la

formation restreinte de la commission en vue du prononcé, après procédure contradictoire

1° Un rappel à l’ordre ;

2° Une injonction de mettre en conformité le traitement avec les obligations résultant de la

présente loi ou du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016

précité ou de satisfaire aux demandes présentées par la personne concernée en vue d’exercer

ses droits, qui peut être assortie, sauf dans des cas où le traitement est mis en oeuvre par l’État,

d’une astreinte dont le montant ne peut excéder 100 000 € par jour [….]

III – Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations

découlant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016

précité ou de la présente loi, le président de la Commission nationale de l’informatique et des

libertés peut également prononcer à son égard une mise en demeure, dans le délai qu’il fixe

1° De satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits ;

2° De mettre les opérations de traitement en conformité avec les dispositions applicables

Le président peut demander au bureau de rendre publique la mise en demeure. Dans ce cas, la

décision de clôture de la procédure de mise en demeure fait l’objet de la même publicité. […]


30/03/2018

41

LA PROCÉDURE DE

SANCTION

✓ La désignation d’un rapporteur (hors formation restreinte)

✓ Une audition éventuelle (organisée par le rapporteur)

✓ L’envoi du rapport de sanction contenant:

• les faits détaillés et les différentes étapes de procédure(plainte, contrôle, mise en demeure)

• les manquements que le rapporteur estime constitués

• une proposition de sanction

• accompagné des pièces justificatives des manquements

✓ Un délai d’un mois pour présenter des observations écrites

✓ La séance (convocation du mis en cause)

✓ Le délibéré soumis au secret


30/03/2018

42

LES DIFFÉRENTES

SANCTIONS (1/2)

Changement de paradigme :

- LIL II : mise en demeure préalable avant sanction

- L 7 octobre 2016 : Pas de MED lorsque le manquement constaté

ne peut faire l'objet d'une mise en conformité

- RGPD/ PJ LIL III: plus de MED obligatoire

Types de sanctions (LIL II) : avertissement,/ sanction pécuniaire (sauf

pour les traitements de l’État)/ injonction de cesser le traitement ou un

retrait de l’autorisation accordée par la CNIL

+ (LIL III) rappel à l’ordre/ injonction de mettre en conformité/ retrait de

certification


30/03/2018

43

Après une procédure contradictoire, sanctions prononcées par la

formation restreinte après saisine du PDT de la CNIL

LES DIFFÉRENTES

SANCTIONS (2/2)

➢ En cas d'urgence : l'interruption provisoire de transferts,

limitation de traitements, rappel à l’ordre, pour certains fichiers

sensibles de l'Etat, l'information du Premier Ministre afin qu'il

prenne les mesures nécessaires pour mettre fin aux

manquements

➢ En cas d’atteinte grave et immédiate aux droits et libertés, le

président de la CNIL peut demander, par référé, à la juridiction

compétente, d’ordonner toute mesure nécessaire.


30/03/2018

44

Dénonciation au Procureur de la République des infractions à la loi

informatique et libertés, prévues aux articles 226-16 à 226-24 du Code pénal.

L’EVOLUTION DU MONTANT

➢ Anticipation de l’Augmentation du plafond maximal des sanctions :

✓ de 150.000 € à 3 millions € (loi 7 octobre 2016)

➢ RGPD:/ art. 45 PJ LIL III un plafond pouvant aller jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, 4% du chiffre d’affaires mondial

→ Le montant des amendes est perçu par le Trésor Public et non par la CNIL.

→ Avis G29 : WP 253


30/03/2018

45

LA PUBLICITÉ DES

DÉCISIONS DE LA CNIL

➢ Possibilité de rendre publiques les sanctions prononcées (loi du 29 mars 2011 / art. 46 LIL )

✓ sans nécessité de mauvaise foi de l'organisme concerné

✓ dès la notification de la décision (la décision publiée précise qu’un recours peut être exercé)

✓ l'insertion de la décision dans la presse peut être ordonnée aux frais de l'organisme sanctionné

➢ Possibilité d’ordonner que les organismes sanctionnés informent individuellement de la sanction et à leur frais, chacune des personnes concernées (loi du 7 octobre 2016)

→ repris dans article 47 PJ LIL III


30/03/2018

46

LES VOIES DE

RECOURS

➢ Recours contentieux : le Conseil d’Etat est directement

compétent pour les recours contre les décisions des

organismes collégiaux à compétence nationale (cf. art. R.311-1

4° du code de justice administrative)

→ CE 6 janvier 1997, Caisse d’Epargne Rhône-Alpes-

Lyon : compétence du CE des recours contre les décisions de la

CNIL

Délai de 2 mois pour former le recours à compter de la date de

notification de la décision de mise en demeure,

d’avertissement et de sanctions pécuniaires

➢ Recours gracieux : directement auprès de la formation

restreinte


30/03/2018

47

LA NOTIFICATION DES FAILLES DE SÉCURITÉ EST-ELLE

CONTRAIRE À L’ARTICLE 6-1°DE LA (CEDH) –

CONTRIBUTION À SA PROPRE INCRIMINATION ?

Orange condamné par la CNIL suite à une intrusion informatique ayant généré la fuite des données à caractère personnel de plus d’un million de clients de l’opérateur.

Conseil d’État (30 décembre 2015) : deux obligations distinctes, autonomes l’une de l’autre :

l’article 34 : obligation de prendre toutes précautions utiles pour préserver la sécurité et la confidentialité des données

et l’article 34 bis : obligation spécifique de notification des violations de données à caractère personnel, à la charge des responsables de traitements fournissant un service de communications électroniques

→ confirmation de la sanction prononcée car fondée sur des manquements à l’obligation de sécurité constatés à l’occasion des contrôles et non sur des éléments obtenus par le biais de la procédure de notification


30/03/2018

48

L’ACTION DE GROUPENouvel article 43 ter de la LIL de la loi de modernisation de la justice du 21e siècle

(18 novembre 2016)

➢ Devant la juridiction civile ou la juridiction administrative compétente.

➢ plusieurs personnes physiques placées dans une situation similaire subissent un

dommage ayant pour cause commune un manquement de même nature aux

dispositions de la LIL par un responsable de traitement ou un sous-traitant.

➢ Modification dans PJ LIL III « Cette action peut être exercée en vue soit de la

cessation du manquement mentionné au II, soit de l’engagement de la

responsabilité de la personne ayant causé le dommage afin d’obtenir la

réparation des préjudices matériels et moraux subis, soit de ces deux fins. »

➢ Peuvent agir :

1° Les associations régulièrement déclarées depuis cinq ans au moins ayant pour objet

statutaire la protection de la vie privée / protection des données ;

2° Les associations de défense des consommateurs représentatives au niveau national et

agréées, lorsque le traitement personnel affecte des consommateurs ;

3° Les organisations syndicales de salariés /fonctionnaires représentatives, lorsque le traitement

affecte les intérêts des personnes que les statuts de ces organisations les chargent de

défendre.


30/03/2018

49


30/03/2018

50

PARTIE III

LE RISQUE DE CONTENTIEUX

JUDICIAIRE


30/03/2018

51

CONTENTIEUX PÉNAL

« La mise en œuvre du dispositif reste quantitativement

faible. Partant, le contentieux pénal n'offre pas suffisamment

de visibilité en la matière. Le manque de cohérence de la

jurisprudence pénale relative au contentieux de la loi de 1978

modifiée n'encourage pas son développement et son

utilisation pour en faire un outil de régulation du droit de la

protection des données personnelles. » Jean FRAYSSINET,

Professeur à l'Université Paul Cézanne - Aix-Marseille III

(1er mars 2009 - Légicom N°42)

→ pas de politique pénale


30/03/2018

52

PEU DE

JURISPRUDENCE

➢ Appel contre des ordonnances de non-lieu

✓ Test pour rentrer dans la gendarmerie (crim. 7 juin 2016 )

✓ Refus du don du sang d’un homosexuel (crim. 8 juil. 2015)

➢ Condamnation pour collecte déloyale (recueil d’adresses

électroniques personnelles de personnes physique, à leur

insu, sur internet) cf. art. 226-18 c.p. (Crim. 14 mars 2006)

➢ Condamnation pour défaut de précaution d’un traitement

de "mauvais payeurs’ en s'abstenant systématiquement

d'enregistrer le lieu de naissance de ces personnes, créant

ainsi un préjudice à tous les homonymes concernés cf. art.

226-17 c.p. (Crim. 19 décembre 1995)


30/03/2018

53

CONTENTIEUX CIVIL

➢ Préjudice personnel : Demande de réparation en cas de

dommage lié à l’utilisation des données personnelles par

des tiers

✓ Ex : interdiction d’utiliser les données / dommages et

intérêts

✓ Décisions sur le droit à l’oubli sur la LCEN

➢ Conflit commercial : « objet illicite, hors commerce,

insusceptible d'être vendu » de la vente d’un fichier non

déclaré à la CNIL cf. art. 1120 c.civ. (contenu licite) et art. 22

LIL (cass. com. 25 juin 2013: cession de fonds de commerce)


30/03/2018

54

CONTENTIEUX

PRUD’HOMAL

➢ Sur la preuve : irrecevabilité de la preuve

Ex : défaut d’information / défaut de déclaration / non

respect du principe de proportionnalité

✓ Cass. Soc. 8 oct. 2014 : licenciement pour

utilisation excessive de la messagerie

professionnelle à des fins personnelles (plus de

600 mails par mois pendant 2 mois)

→ moyen de preuve illicite car collecte des

informations avant la déclaration du traitement à

la CNIL


30/03/2018

55

CONTENTIEUX

PRUD’HOMAL✓ Cass. Soc. 2 nov. 2016 : litige sur des heures supplémentaires:

✓ l’employeur utilise données du système d’accès (nom du

salarié et heure d’entrée) - dans la mesure où cette preuve

permettait exclusivement à l’employeur de se défendre en

établissant les horaires contestés et le conseil de

prud’hommes avait lui-même demandé la production

✓ Mais l’utilisation d’un code différent pour chaque employé

est considéré inutile pour éviter les intrusions

→ la cour d'appel en a exactement déduit que ce moyen

permettait un contrôle automatisé de l'activité des salariés

nécessitant, d'une part, une déclaration auprès de la

Commission nationale de l'informatique et des libertés, d'autre

part l'information et la consultation du comité d'entreprise et qu'il

convenait en conséquence d'écarter des débats les documents

résultant d'un procédé illicite ;


30/03/2018

56

PARTIE III

CAS PRATIQUE


30/03/2018

57


30/03/2018

58

les risques de non conformitÉ · partie iv: cas pratique ... over time is that change comes from...

Documents