Le droit d`opposition à être sollicité
Transcription
Le droit d`opposition à être sollicité
Le droit d’opposition à être sollicité Comment en informer les personnes ? Quand leur permettre de l’exercer ? Paris, le 13 décembre 2007 Etienne Drouard Avocat à la Cour [email protected] 01 53 30 43 00 - 06 07 83 33 81 Morgan, Lewis & Bockius 68 rue du Fbg Saint-Honoré 75008 Les textes en vigueur Sources communautaires : Directive 95/46 du 24 octobre 1995 « Protection des données personnelles » (JOCE L 281 du 23/11/1995) Directive 97/66 du 15 décembre 1997 « Protection des données & Télécommunications » (JOCE L 024 du 31/01/1998) Directive 2002/58 du 12 juillet 2002 « Protection des données & Communications électroniques » (JOCE L 201 du 31/07/2000) 2 Les textes en vigueur Sources françaises : Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi n°2004-801 du 6 août 2004 http://www.cnil.fr/fileadmin/documents/approfondir/textes/CNIL-78-17_definitive.pdf Décret d’application Décret n°2007-451 du 25 mars 2007 modifiant le décret n°2005-1309 du 20 octobre 2005 http://www.cnil.fr/index.php?id=1880 3 La loi « informatique et libertés » modifiée L’obligation d’information de la loi CNIL (art. 32-1) porte sur : L’identité du responsable du traitement, Les finalités poursuivies, Le caractère obligatoire ou facultatif des réponses, Les conséquences éventuelles d’un défaut de réponse, Les destinataires ou catégories de destinataires des données, Les droits d’opposition, d’accès, de rectification, et Les transferts des données à destination d’un Etat non membre de la communauté européenne. 4 La loi « informatique et libertés » modifiée Le droit d’opposition (art. 38 de la loi CNIL) : « Toute personne physique a le droit de s’opposer, pour des motifs légitimes à ce que des données la concernant fassent l’objet d’un traitement. Elle a le droit de s’opposer, sans frais, à ce que les données la concernant soient utilisées à des fins de prospection, notamment commerciale, par le responsable actuel du traitement ou celui d’un traitement ultérieur » 5 La loi « informatique et libertés » modifiée Les sanctions délictuelles prévues par le Code Pénal (art. 226-18 et suivants) : http://www.cnil.fr/index.php?id=303 En cas de collecte frauduleuse Article 226-18 « Le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de cinq ans d’emprisonnement et de 300.000€ d’amende. » En cas de traitement des données malgré l’opposition de l’intéressé Article 226-18-1 « Le fait de procéder à un traitement de données à caractère personnel concernant une personne physique malgré l’opposition de cette personne, lorsque ce traitement répond à des fins de prospection, notamment commerciale, ou lorsque cette opposition est fondée sur des motifs légitimes, est puni de cinq ans d’emprisonnement et de 300.000€ d’amende. » 6 La loi « informatique et libertés » modifiée Les sanctions délictuelles prévues par le Code Pénal La responsabilité des personnes morales Art 226-24 « Les personnes morales peuvent être déclarées responsables pénalement, dans les conditions prévues par l’article 121-2, des infractions définies à la présente section. Les peines encourues par les personnes morales sont : 1°. L’amende, suivant les modalités prévues par l’article 131-38 ; 2°. Les peines mentionnées aux 2°, 3°, 4°, 5°, 7°, 8° et 9° de l’article 131-39. L’interdiction mentionnée au 2° de l’article 131-39 porte sur l’activité dans l’exercice ou à l’occasion de l’exercice de laquelle l’infraction a été commise. » 7 La loi « informatique et libertés » modifiée Les sanctions délictuelles prévues par le Code Pénal La responsabilité des personnes morales Art 131-38 « Le taux maximum de l’amende applicable aux personnes morales est égal au quintuple de celui prévu pour les personnes physiques par la loi qui réprime l’infraction. Lorsqu' il s’agit d’un crime pour lequel aucune peine n’est prévue, à l’encontre des personnes physiques, l’amende encourue par les personnes morales est de 1.000.000€. » 8 Le décret d’application modifié le 25 mars 2007 L’obligation d’information incombant aux responsables de traitements Art. 90 du Décret du 25 mars 2007 « Le responsable du traitement porte directement à la connaissance des personnes auprès desquelles sont recueillies des données à caractère personnel les informations énumérées au I de l’article 32 de la loi du 6 janvier 1978 sur le support de collecte ou, à défaut, sur un document préalablement porté à leur connaissance en caractères lisibles. Il les informe également, dans les mêmes conditions, des coordonnées du service compétent auprès duquel elles peuvent exercer leurs droits d’opposition, d’accès et de rectification. Lorsque la collecte des données est opérée oralement à distance, il est donné lecture de ces informations aux intéressés en leur indiquant qu’ils peuvent, sur simple demande, même exprimée oralement, recevoir postérieurement ces informations par écrit. Les informations mentionnées à l’alinéa précédent peuvent êtres communiquées aux intéressés, avec leur accord, par voie électronique. Lorsque les informations sont portées à la connaissance de l’intéressé par voie d’affichage, il lui est indiqué qu’il peut, sur simple demande orale ou écrite, recevoir ces informations sur un support écrit. » 9 Le décret du 25 mars 2007 Art. 91 du Décret du 25 mars 2007 « Les informations [relatives au transfert de données hors de l’Union européenne] que le responsable du traitement communique, dans les conditions prévues à l’article 90; à la personne auprès de laquelle des données à caractère personnel sont recueillies, sont les suivantes : 1° Le ou les pays d’établissement des destinataires des données dans le cas ou ce ou ces pays sont déterminés lors de la collecte des données ; 2° la nature des données transférées ; 3° La finalité du transfert envisagé ; 4° La ou les catégories de destinataires des données ; 5° le niveau de protection offert par le ou les pays tiers. […] » 10 Le décret du 25 mars 2007 Dispositions particulières au droit d’opposition : Art. 96 du Décret du 25 mars 2007 « Pour faciliter l’exercice du droit d ’opposition […] l’intéressé est mis en mesure d’exprimer son choix avant la validation définitive de ses réponses. Lorsque la collecte des données intervient par voie orale, l’intéressé est mis en mesure d’exercer son droit d’opposition avant la fin de la collecte des données le concernant. » Art. 97 du Décret du 25 mars 2007 « Le responsable du traitement auprès duquel le droit d’opposition a été exercé informe sans délai de cette opposition tout autre responsable de traitement qu’il a rendu destinataire des données à caractère personnel qui font l’objet de l’opposition. » 11 Le décret du 25 mars 2007 Ce décret précise l’obligation d’information, et; pose de nouvelles contraintes relatives au droit d’opposition. 1. Lors de la collecte de données personnelles, les intéressés doivent désormais être directement informés de : l’identité du responsable du fichier, la finalité du transfert, et des destinataires des données. 12 Le décret du 25 mars 2007 2. Les modalités d’exercice du droit d’opposition sont modifiées : L’intéressé doit « être mis en mesure » de s’opposer à l’utilisation commerciale de ses données avant la fin de la collecte de celles-ci. Les clauses dans lesquelles le droit d’opposition s’exerce uniquement à posteriori et par écrit paraissent prohibées. En cas d’opposition, le responsable de traitement devra en informer tout autre partenaire commercial qu’il a rendu destinataire des données ayant fait l’objet de l’opposition. Lors de l’exercice de ses droits d’opposition, d’accès et de rectification, l’intéressé devra obtenir une réponse rapide, dans le délai maximum de deux mois. 13 Le décret d’application modifié le 25 mars 2007 Les sanctions contraventionnelles (art. R 625-10 C.Pénal) Est puni de l'amende prévue pour les contraventions de la cinquième classe le fait, pour le responsable d'un traitement : 1º De ne pas informer la personne auprès de laquelle sont recueillies des données à caractère personnel la concernant : a) De l'identité du responsable du traitement; b) De la finalité poursuivie par le traitement auquel les données sont destinées ; c) Du caractère obligatoire ou facultatif des réponses ; d) Des conséquences éventuelles, à son égard, d'un défaut de réponse ; e) Des destinataires ou catégories de destinataires des données ; f) De ses droits d'opposition, d'interrogation, d'accès et de rectification ; g) Le cas échéant, des transferts de données à caractère personnel envisagés à destination d'un Etat non membre de la Communauté européenne ; 14 Le décret d’application modifié le 25 mars 2007 Les sanctions contraventionnelles (art. R 625-10 C.Pénal) Est puni de l'amende prévue pour les contraventions de la cinquième classe le fait, pour le responsable d'un traitement : 2º Lorsque les données sont recueillies par voie de questionnaire, de ne pas porter sur le questionnaire les informations relatives : a) A l'identité du responsable du traitement; b) A la finalité poursuivie par le traitement envisagé ; c) Au caractère obligatoire ou facultatif des réponses ; d) Aux droits d'opposition, d'interrogation, d'accès et de rectification des personnes auprès desquelles sont recueillies les données. 15 Le décret d’application modifié le 25 mars 2007 Les sanctions contraventionnelles (art. R 625-10 C.Pénal) Est puni de l'amende prévue pour les contraventions de la cinquième classe le fait, pour le responsable d'un traitement : 3º De ne pas informer de manière claire et précise toute personne utilisatrice des réseaux de communications électroniques : a) De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations stockées dans son équipement terminal de connexion ou à inscrire, par la même voie, des informations dans son équipement terminal de connexion ; b) Des moyens dont elle dispose pour s'y opposer ; 16 Le décret d’application modifié le 25 mars 2007 Les sanctions contraventionnelles (art. R 625-10 C.Pénal) Est puni de l'amende prévue pour les contraventions de la cinquième classe le fait, pour le responsable d'un traitement : 4º De ne pas fournir à la personne concernée, lorsque les données à caractère personnel n'ont pas été recueillies auprès d'elle, les informations énumérées au 1º et au 2º dès l'enregistrement des données ou, si une communication des données à des tiers est envisagée, au plus tard lors de la première communication des données. 17 La position de la CNIL du 2 juillet 2007 Voir www.cnil.fr 18 La valeur juridique des recommandations de la CNIL Les recommandations de la CNIL n’ont, en principe, pas de valeur juridique, sauf lorsqu’elles tendent à créer une règle nouvelle. Un recours contre cette recommandation est-il : Souhaitable ? Encore possible ? 19 La collecte sur support écrit (papier, web) Modalités d’information - Art. 91 du Décret du 25 mars 2007 Les informations requises doivent figurer sur : le support de collecte, ou à défaut, un document ayant préalablement été porté à la connaissance de l’intéressé. L’information doit être rédigée en caractères lisibles, quel que soit le support utilisé. Le responsable a l’obligation d’adresser les informations requises, individuellement et par écrit, aux personnes qui en font la demande orale ou écrite. 20 La collecte sur support écrit (papier, web) L’exercice du droit d’opposition - Art. 96 du décret du 25 mars 2007 La possibilité de s’opposer à l’utilisation commerciale des données doit être préalable à la validation définitive des réponses. Une simple mention d’information au sein des conditions générales n’est plus suffisante (la CNIL préconise une case à cocher). Lorsque l’intéressé a exercé son droit d’opposition auprès d’un responsable du traitement, ce dernier est tenu d’en informer sans délai tout destinataire des données concernées. 21 La collecte sur support non écrit (téléphone) L’obligation d’information : Le responsable du traitement doit informer les intéressés qu’ils peuvent recevoir les informations figurant à l’article 32-1 de la Loi « informatique et libertés », par écrit sur simple demande. Sous réserve de l’accord de l’intéressé, les informations peuvent être envoyées par voie électronique. Le droit d’opposition : Lorsque la collecte des données intervient par oral, « l’intéressé est mis en mesure d’exercer son droit d’opposition avant la fin de la collecte des données le concernant » (Art. 96 alinéa 2 du décret du 25 mars 2007) 22 Conclusions Le risque juridique Les sanctions contraventionnelles applicables ne concernent que le défaut d’information des personnes sur leurs droit et non l’absence de possibilité d’exercer immédiatement leurs droits. La jurisprudence aura-t-elle cette finesse d’interprétation ? La CNIL dispose d’un pouvoir de sanctions administratives à hauteur de 300.000 euros d’amende maximum. La sanction la plus élevée à ce jour est de 100.000 euros. Le risque commercial Le coût de ces mesures de ces mesures pour le marketing est à comparer avec le risque juridique Le risque médiatique Par expérience, il est souvent plus élevé ou imprévu que le risque juridique 23 Débat / Questions Etienne Drouard Avocat à la Cour [email protected] 01 53 30 43 00 - 06 07 83 33 81 Morgan, Lewis & Bockius 68 rue du Fbg Saint-Honoré 75008