La Commission des clauses abusives a publié cet été une recommandation dans laquelle elle dénonce certaines clauses figurant dans les contrats proposant aux consommateurs les services groupés de l’Internet, du téléphone et de la télévision (« triple play »). Au total, 19 clauses « abusives » c’est-à-dire de nature à créer au détriment des consommateurs, un déséquilibre significatif, sont jugées illicites.
Informatique et libertés Secteur transport Un accord UE-USA pour les transferts des données des dossiers de passagers aux autorités américaines (« Passenger Name Records » dit PNR) Le 5 octobre, l’Union européenne et les Etats-Unis ont conclu un accord autorisant le transfert aux autorités américaines, des données personnelles des passagers (« Passenger Name Records » dit PNR) par les compagnies aériennes. Il s’agit d’un compromis dans lequel l’UE a concédé que les données collectées par le Département à la sécurité intérieure américain (DHS), puissent être transmises à d’autres agences gouvernementales américaines en charge de la lutte anti-terroriste (FBI, CIA, notamment) en contrepartie d’un engagement de la part de l’administration américaine, à ce que tous les nouveaux destinataires de ces données PNR garantissent les mêmes conditions et niveau de protection des données que l’autorité des douanes américaines. Cet accord doit encore être entériné par les ministres européens de la justice. Il fixera donc le nouveau cadre légal du transfert de telles données. « Passenger Name Records » dit PNR (Mise en ligne Juillet 2007)
En rejetant la requête d’une société détentrice des déchets tendant à la suspension d’un arrêté, par lequel un préfet lui avait prescrit d’assurer ou de faire assurer l’élimination de déchets, notamment de pneumatiques usagés, le Conseil d’Etat a rappelé, en juillet 2006, que le propriétaire ou le détenteur des déchets est responsable de leur élimination (1).
Le Conseil national de la consommation a rendu, le 27 mars dernier, l’avis qu’il s’était proposé d’adopter en matière de publicité audiovisuelle dans le secteur des communications électroniques.
La modification unilatérale d’un contrat de téléphone mobile obéit à des conditions de forme qui si elles ne sont pas respectées peuvent entraîner le versement de dommages et intérêts. Ainsi, un abonné avait souscrit auprès de NRJ Mobile une offre de téléphonie mobile à carte prépayée en commandant trois packs de téléphone mobile avec carte Sim, pour trois lignes personnalisées pour un montant de 357 euros.
Informatique et libertés Ligne éthique Etat des lieux et perspectives sur les chartes d’éthique et les systèmes d’alerte professionnelle Le rapport très attendu sur les dispositifs d’alerte professionnelle (« whistleblowing ») vient d’être rendu public. Il avait été commandé l’année dernière par le ministère du travail pour étudier la régularité des chartes et dispositifs d’alerte professionnelle au regard du droit du travail (la CNIL n’étant pas compétente sur cet aspect). Rappelons que ces dispositifs sont issus de loi américaine Sarbannes-Oxley du 30 juillet 2002, qui oblige toutes les entreprises cotées à la bourse de New York à mettre en place des procédures d’alerte permettant aux salariés de dénoncer, sans crainte de représailles, des comportements frauduleux de dirigeants, en ce qui concerne les questions de comptabilité, de contrôles comptables internes ou d’audit. Concernées par cette obligation, des entreprises françaises et les filiales françaises de sociétés américaines cotées sur ces marchés vont donc devoir s’y plier. Le rapport permet de répondre à de nombreuses questions laissées en suspend, en particulier en ce qui concerne le respect du Code du travail. Les conclusions qu’en tirent leurs auteurs et la liste des propositions faites méritent attention. Après avoir analysé le « traitement de la juridicité « sociale » des chartes d’éthique et la « réglementation de l’alerte professionnelle », les auteurs concluent qu’il n’est pas nécessairement urgent de légiférer en la matière. Le rapport a aussi pour ambition de nourrir l’analyse et d’inciter au respect de certaines pratiques, afin d’écarter la discorde et, partant, rendre moins urgente une intervention législative. Les rapporteurs précisent, cependant, qu’il semble nécessaire de s’entendre sur une définition unique de la notion de « dispositif d’alerte professionnelle », de préciser les conditions dans lesquelles il doit être mis en place et ses règles d’organisation et de formaliser une protection de celui qui aurait, de bonne foi, utilisé le système d’alerte. Même si, aujourd’hui, le droit du travail, le droit pénal ou encore le droit boursier, permettent de mettre en œuvre un tel système et que les prérogatives du chef d’entreprise l’autorise, sans aucun doute, à y recourir, il n’en reste pas moins vrai qu’il souffre de sa mauvaise image. Cette dernière ne sera pas compensée par un texte législatif, mais celui-ci permettrait d’éviter que le droit soit construit par la seule jurisprudence. Un droit des systèmes d’alerte professionnelle est sans doute « éthiquement » souhaité. Son contenu porterait assurément sur les différentes propositions avancées par les rapporteurs (caractère obligatoire ou facultatif, anonymat ou confidentialité, etc.), à l’exception, sans doute, du traitement de la responsabilité de son utilisateur. Non pas qu’il ne faille pas le protéger, mais parce qu’en pratique, la mise en œuvre d’un tel système fait intervenir quatre types d’acteurs (utilisateur du système, personne dénoncée, employeur et personne en charge de traiter l’alerte) et que l’on ne saurait traiter la responsabilité de l’un, sans traiter celle des autres. Enfin sur la responsabilité de l’utilisateur, il semble clair qu’à défaut de définir une sanction pénale en cas d’abus, nous aurons le plus grand mal à faire adhérer les salariés à la démarche. Dans bon nombre d’environnements ou un « droit de notification » a été mise en place, celui-ci s’est accompagné d’une pénalisation des « notification abusive », qui a largement fait preuve de son efficacité, par exemple, en matière de signalement de contenus illicites sur internet. Rapport sur les chartes d’éthique (Mise en ligne Janvier 2007)
Informatique et libertés Secteur transport Une norme d’autorisation unique pour le traitement des infractions dans les transports publics La Cnil a adopté l’autorisation unique n°12, qui permet aux sociétés de transports publics, mettant en œuvre des fichiers de suivi de contravention, de déclarer leur traitement, en conformité à la norme d’autorisation unique. Le traitement ainsi mis en œuvre permet d’assurer le suivi des procès-verbaux émis par les agents habilités à constater les infractions, dans les transports publics de voyageurs. La Cnil exige que les destinataires de ce fichier soient limitativement déterminés. De plus, la conformité à la norme d’autorisation implique de respecter un délai de conservation restreint. Cette nouvelle norme d’autorisation unique, sur un sujet particulièrement sensible qu’est celui des fichiers d’infraction pénale, montre, une nouvelle fois, la volonté de la Cnil de simplifier au maximum les formalités de mise en œuvre de traitement. Cnil, Décision d’autorisation unique n° AU-012 (Mise en ligne Janvier 2007)
Informatique et libertés Périmètre légal Projet de loi modifiant la » convention mère » du 28 janvier 1981 Un projet de loi autorisant l’approbation du protocole additionnel à la convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, concernant les autorités de contrôle et les flux transfrontières de données, a été déposé au Sénat le 24 octobre 2006. Il est destiné à renforcer la mise en oeuvre des principes contenus dans la convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du 28 janvier 1981 et entrée en vigueur le 1er octobre 1985. L’ajout de deux dispositions importantes à la » convention mère » a été décidé : imposer l’instauration par les États Parties d’une ou plusieurs autorités de contrôle, renforçant ainsi la protection des droits et libertés de l’individu à l’égard du traitement des données à caractère personnel. encadrer soigneusement les flux transfrontières de données à caractère personnel vers les pays ou organisations n’étant pas Parties à la convention. Projet de loi n°37 du 24 octobre 2006 (Mise en ligne Octobre 2006)
Lors de contrôles diligentés sur place, la Cnil a constaté qu’aucune mention d’information des clients ne figurait aux caisses concernant l’utilisation d’un dispositif permettant de contrôler, grâce à la consultation du fichier national des chèques irréguliers (FNCI), la régularité des chèques présentés par la clientèle.
Informatique et libertés Secteur transport Transferts de données des dossiers de passagers aux autorités américaines : le G29 s’inquiète Un nouvel avis du Groupe de travail sur la protection des données dit « G29 » vient d’être rendu sur le dossier « Passenger Name Records » dit PNR. Ainsi dénommé car établi par l’article 29 de la directive 95/46/CE, le G29 est l’organe consultatif indépendant de l’UE sur la protection des données et de la vie privée. Dans un avis du 27 septembre 2006, le G29 insiste sur l’urgence qu’il y a de conclure un accord transitoire EU-US au 1er octobre 2006, l’accord international en vertu duquel les compagnies aériennes européennes pouvaient transférer de telles données autorités américaines ayant été annulé par un jugement de la Cour de justice européenne (CJCE) du 30 mai 2006. Rappelons qu’à la suite des attentats du 11 septembre 2001, les Etats-Unis ont adopté une législation prévoyant que les compagnies aériennes communiquent au service des douanes et de sécurité américain des informations relatives à leurs passagers sous peine de contrôles renforcés, d’amendes ou d’interdiction du droit d’atterrir. Ces dispositions pouvant entrer en conflit avec la législation communautaire en matière de protection des données personnelles, la Commission européenne avait conclut en mai 2004, un accord avec les États-Unis reconnaissant que les données relatives aux passagers communiquées aux autorités américaines bénéficiaient d’une protection adéquate (décision d’adéquation 2004/496). La Cour de justice européenne ayant annulé cette décision pour défaut de compétence en ce domaine, l’Union européenne et les Etats-Unis doivent négocier une nouvelle base d’accord. Le G29 rappelle ici les conséquences en cas d’échec des négociations dans les délais impartis, à savoir un vide juridique à partir du 1er octobre 2006 conduisant les autorités nationales de protection des données (dont la Cnil) à se saisir de cette question. Avis 9/2006 du 27 septembre du G.29 : Opinion 9/2006 on the Implementation of Directive 2004/82/EC of the Council on the obligation of carriers to communicate advance passenger data, Doc. WP 127, 5 p. (Mise en ligne Septembre 2006)
Informatique et libertés Coopération et Autorités de régulation Déclaration de Monaco Les autorités indépendantes francophones chargées de la protection des données personnelles se sont réunies le 5 septembre 2006 à Monaco. Dans une déclaration commune, elles ont décidé de créer l’Association des autorités francophones, dont le but est de favoriser le développement et la consolidation du droit de la protection des données à caractère personnel. Déclaration de Monaco du 5 septembre 2006 (Mise en ligne Septembre 2006)
Le Conseil National de la Consommation a adopté en juin 2006, trois avis applicables au secteur des communications électroniques relatifs respectivement à l’amélioration du contenu et de la lisibilité des publicités écrites, à la remise des contrats et à la résiliation des contrats en cas d’absence de fourniture de service.
Le Code de la Consommation précise que tout contrat souscrit entre un consommateur et un fournisseur de services de communications électroniques (notamment FAI) doit comporter un certain nombre d’informations comme l’identité et l’adresse du fournisseur, les services offerts, la durée du contrat et les conditions de renouvellement et d’interruption des services et du contrat.
Les DRM ou Digital Rights Management « Gestion des droits numériques » désignent la technologie de sécurisation d’une œuvre numérique et de gestion des droits d’accès à cette œuvre. Par le biais de quatre composants- l’encodeur qui crypte les fichiers protégés par le droit d’auteur, le serveur de streaming qui permet l’accès aux fichiers, le lecteur qui déchiffre le codage et le logiciel de gestion de droits qui détermine à qui reviennent les droits et selon quelle répartition- l’architecture DRM permet : d’une part, de tracer les actes de l’utilisateur des fichiers afin de vérifier s’il est autorisé à accéder aux fichiers puis s’il respecte bien les droits de l’auteur ; d’autre part, d’empêcher ou de limiter l’accès à l’œuvre ou les copies possibles de l’œuvre numérique. Cette deuxième fonction de verrou a été habilitée par la Directive communautaire 2001/ 29/CE du 22 mai 2001 sur l’harmonisation de certains aspects des droits d’auteur et des droits voisins dans la société de l’information, puis par le Projet de loi de transposition « DADVSI » (relatif au droit d’auteur et aux droits voisins dans la société de l’information) présenté le 12 novembre 2003. En effet, ces deux textes officialisent la protection des « mesures techniques efficaces destinées à empêcher ou limiter les utilisations non autorisées par le titulaire d’un droit d’auteur ou d’un droit voisin du droits d’auteur d’une œuvre, interprétation, phonogramme, vidéogramme ou programme en dehors des logiciels ». Ces mesures sonnent-elles le glas du droit à la copie privée dans l’univers numérique ? Certes, le Projet de loi DADVSI, qui reprend les termes de la Directive communautaire, réaffirme le droit à la copie privée auquel les mesures techniques de protection ne doivent pas porter atteinte (1). Cependant, ce droit à la copie privée est soumis à trois conditions cumulatives, dont deux ont un caractère totalement subjectif, directement inspiré de l’article 9.2 de la convention de Berne, à savoir : les personnes bénéficiaires de l’exception de copie privée doivent avoir un accès licite à l’œuvre, l’exception de copie privée ne doit pas porter atteinte à l’exploitation normale de l’œuvre, l’exception de copie privée ne doit pas causer de préjudice injustifié aux intérêts légitimes du titulaire de droits sur cette œuvre. Que faut-il entendre par exploitation normale de l’œuvre ? Cette question est laissée à la libre interprétation des juges, ce qui peut entraîner des contradictions. L’affaire « Mulholland Drive » est une belle illustration de ces contradictions dans l’interprétation prétorienne de « l’exploitation normale de l’œuvre ».Tandis que la Cour d’appel de Paris avait considéré, dans son arrêt du 22 avril 2005, qu’une copie privée de DVD ne pouvait nuire à l’exploitation normale de l’œuvre, la 1ère Chambre Civile de la Cour de cassation, dans sa décision du 28 février 2006, a affirmé au contraire que, compte tenu de l’importance économique que l’exploitation de l’œuvre sous forme de DVD représente pour l’amortissement des coûts de production cinématographique, la copie privée représente une atteinte à l’exploitation normale de l’œuvre. Ainsi, la cour de cassation, qui reprend la thèse soutenue par les juges de première instance(2), considère que doit être prise en compte l’incidence économique que la copie privée peut avoir dans le contexte de l’environnement numérique. Elle ne contredit pas les termes de l’article L.122-5 du code de propriété intellectuelle selon lesquels « l’auteur ne peut interdire les copies ou reproductions strictement réservées à l’usage privé du copiste et non destinées à une utilisation collective ». En effet, le particulier qui a acheté le DVD et qui doit donc être envisagé comme le copiste au sens de l’article L.122-5 du Code de propriété intellectuelle, n’a nullement besoin de faire plusieurs exemplaires de son DVD pour son usage privé. Néanmoins, une telle position des juges remet en question la légitimité de la taxe sur les supports vierges d’enregistrement. En effet, ainsi que l’a souligné le directeur des études et de la communication de l’UFC- Que Choisir (3), « le DVD vierge est le support sur lequel la redevance est la plus forte en France » ; or, si c’est « l’endroit où l’éventail des droits est le plus faible », on arrive à un paradoxe certain qui conduirait à revoir à la baisse la rémunération pour copie privée appliquée sur les supports vierges d’enregistrement. Loin du système anglo-saxon des « precedents », notre système ne permet pas de considérer que la décision de la cour de cassation a posé un principe immuable quant à l’interprétation de la notion « d’exploitation normale de l’œuvre ». Afin de pallier les problèmes d’interprétation, le Projet de loi DADVSI envisage, dans son article 9, d’introduire un article L.331-7 dans le Code de propriété intellectuelle selon lequel tout différend portant sur le bénéfice de l’exception de copie privée qui implique une mesure technique de protection sera soumis à un collège de médiateurs. Le Collège de médiateurs a pour but de déterminer comment appliquer les DRM suivant chaque cas exposé afin de sauvegarder dans une certaine mesure le droit à la copie privée en essayant de parvenir à une conciliation et à défaut, de prescrire une injonction ou un rejet de la demande formulée par la personne s’estimant bénéficiaire d’un droit à la copie privée. Cependant, un Collège de médiateurs, composé de magistrats ou fonctionnaires indépendants (4), jouit-il d’une légitimité et d’une appréhension de l’environnement numérique suffisantes pour se prononcer sur la question de la licéité des DRM ? Laurence Tellier-Loniewski Lexing Droit Propriété intellectuelle (1) Art. 8 du Projet de loi DADVSI du 12 novembre 2003. (2) TGI Paris, 30 avril 2004 (disponible sur juriscom.net, legalis.net, foruminternet.org), GTA Juillet 2004, Doctrine : « Exploitation normale d’une œuvre numérique : vers le Fair Use américain ? » Benoit de Roquefeuil, Ariane Delvoie. (3) « Copie Privée sur les DVD : l’UFC- Que choisir prêt à repartir à la bagarre en appel », Estelle Dumout, ZDNet.fr, 1er mars 2006 (http://www.zdnet.fr/ (4) Art. 9 du projet de loi DADVSI du 12 novembre 2003.
A partir de juillet 2006, ordinateurs, composants informatiques et équipements de télécommunications mis sur le marché ne devront plus contenir de substances dangereuses.
Informatique et libertés Ligne éthique La Cnil simplifie la déclaration des dispositifs de whistleblowing La Cnil fixe les conditions de mise en œuvre des dispositifs d’alertes et de dénonciation «(whistleblowing) au sein des entreprises. La procédure d’autorisation unique n’est ouverte qu’aux dispositifs considérés comme légitimes par la Cnil, c’est-à-dire ceux répondant à une obligation légale d’ordre public économique, national ou international. La Norme précise aussi certaines exigences en terme de proportionnalité et de transparence du dispositif, ainsi qu’en matière de protection des personnes. La mise en conformité avec la norme implique de mettre en place des processus de sécurisation juridique des dispositifs (structures dédiées au traitement des alertes, respect des droits de personnes…). L’adoption par la Cnil d’une norme d’autorisation unique laisse entrevoir la perspective de contrôles a posteriori, susceptibles de mettre en jeu la responsabilité pénale des responsables de traitements. Norme d’autorisation unique n°AU-004 du 8 décembre 2005 (Mise en ligne Décembre 2005)
Informatique et libertés Cybersurveillance L’arrêt de la chambre sociale de la Cour de cassation rendu le 17 mai 2005 ne passera pas inaperçu A l’origine du litige, des photos érotiques avaient été découvertes dans un tiroir du bureau d’un salarié. Une recherche sur le disque dur de son ordinateur avait permis à l’employeur de trouver un ensemble de dossiers totalement étranger à ses fonctions notamment sous un fichier intitulé « perso ». Le salarié avait alors été licencié pour faute grave. La chambre sociale casse un arrêt de la Cour d’appel de Paris au motif que l’ouverture des fichiers identifiés comme personnels, effectuée hors de la présence de l’employé ou celui-ci dûment appelé, n’était justifié par aucun risque ou événement particulier. Rappelons que l’arrêt « Nikon » en date du 2 octobre 2001 et ses prolongements ont précisé que le salarié a droit, même au temps et au lieu de travail, au respect de l’intimité de sa vie privée. Dès lors, même si l’employeur interdit une utilisation non professionnelle de l’ordinateur, ceci ne l’autorise pas à ouvrir un fichier intitulé « personnel ». Dans ce contexte, l’enjeu pour l’employeur consiste à qualifier chaque situation rencontrée et à constituer la preuve que les faits constituent un risque ou un évènement particulier. Dans tous les cas, outre les contraintes liées à la constitution de la preuve, il est nécessaire de s’assurer de la présence du salarié ou de l’avoir dûment appelé. Cassation sociale 17 mai 2005 (Mise en ligne Mai 2005)
Informatique et libertés Périmètre légal La réforme des formalités de déclaration des fichiers dits « nominatifs » La nouvelle loi Informatique et libertés modifiée le 6 août 2004 réforme profondément les formalités de déclaration des fichiers dits « nominatifs ». Huit catégories génériques de traitements, considérés comme générateurs de risques pour les droits et libertés, sont désormais soumis à l’autorisation préalable de la CNIL du fait de la nature des données concernées et de leur finalité. Il peut notamment s’agir des traitements de segmentation de la clientèle de type CRM, profiling, scoring, lutte contre la fraude et listes noires, cybersurveillance des salariés, biométrie ou encore de géolocalisation. Les transferts de données hors d’Europe seront dans tous les cas en régime d’autorisation. En parallèle, la loi instaure un régime déclaratif extrêmement simplifiées réservé aux traitements les plus courants. La loi propose aux entreprises de nommer un correspondant à la protection des données à caractère personnel permettant à ces dernières d’être exonérées des obligations déclaratives dès lors qu’elles tiennent un registre interne et garantissent la conformité des traitements à la loi. Cet allégement des formalités trouve sa contrepartie dans l’augmentation des pouvoirs de la CNIL qui pourra infliger aux entreprises des sanctions financières pouvant se situer entre 150 000 et 300 000 € selon la gravité des manquements. Loi n°78-17 du 6 janvier 1978 modifiée par la loi du 6 août 2004 (Mise en ligne Août 2004)
Droit social Prêt de main-d’œuvre illicite et délit de marchandage : responsabilité de l’entreprise utilisatrice du personnel La Cour de cassation considère que doit être considéré comme coauteur du délit de marchandage, et non comme complice de cette infraction, l’utilisateur de main-d’oeuvre qui, sous le couvert de prétendus contrats de sous-traitance, a, en réalité, pris part à des opérations illicites de fourniture de main-d’oeuvre en violation des dispositions relatives aux entreprises de travail temporaire. En conséquence, l’entreprise utilisatrice d’un tel personnel est considérée comme coauteur du délit et encourt les mêmes peines que le prestataire. Cass. crim. 25 avril 1989 (Mise en ligne Avril 2006)
| Cookie | Durée | Description |
|---|---|---|
| cookielawinfo-checkbox-functional | 12 mois | Enregistrement du consentement de l'utilisateur pour les cookies fonctionnels |
| cookielawinfo-checkbox-necessary | 12 mois | Gestion de l'affichage du bandeau d'information. |
| CookieLawInfoConsent | 12 mois | Enregistrement de l'absence d'affichage du bandeau. |
| viewed_cookie_policy | 12 mois | Enregistrement de l’ouverture de la politique cookies. |
| Cookie | Durée | Description |
|---|---|---|
| _GRECAPTCHA | 6 mois | Protection du site contre les pratiques abusives des logiciels automatisés grâce à l’identification de l’utilisateur du site en distinguant un être humain du robot. |
