Le droit d`opposition à être sollicité

Transcription

Le droit d’opposition à être sollicité
Comment en informer les personnes ?
Quand leur permettre de l’exercer ?
Paris, le 13 décembre 2007
Etienne Drouard
Avocat à la Cour
[email protected]
01 53 30 43 00 - 06 07 83 33 81
Morgan, Lewis & Bockius
68 rue du Fbg Saint-Honoré 75008
Les textes en vigueur
Sources communautaires :
Directive 95/46 du 24 octobre 1995
« Protection des données personnelles »
(JOCE L 281 du 23/11/1995)
Directive 97/66 du 15 décembre 1997
« Protection des données & Télécommunications »
(JOCE L 024 du 31/01/1998)
Directive 2002/58 du 12 juillet 2002
« Protection des données & Communications électroniques »
(JOCE L 201 du 31/07/2000)
2
Les textes en vigueur
Sources françaises :
Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et
aux libertés, modifiée par la loi n°2004-801 du 6 août 2004
http://www.cnil.fr/fileadmin/documents/approfondir/textes/CNIL-78-17_definitive.pdf
Décret d’application

Décret n°2007-451 du 25 mars 2007 modifiant le décret n°2005-1309 du 20
octobre 2005
http://www.cnil.fr/index.php?id=1880
3
La loi « informatique et libertés » modifiée
L’obligation d’information de la loi CNIL (art. 32-1) porte sur :
L’identité du responsable du traitement,
Les finalités poursuivies,
Le caractère obligatoire ou facultatif des réponses,
Les conséquences éventuelles d’un défaut de réponse,
Les destinataires ou catégories de destinataires des données,
Les droits d’opposition, d’accès, de rectification, et
Les transferts des données à destination d’un Etat non membre de la
communauté européenne.
4
Le droit d’opposition (art. 38 de la loi CNIL) :
« Toute personne physique a le droit de s’opposer, pour des motifs légitimes
à ce que des données la concernant fassent l’objet d’un traitement.
Elle a le droit de s’opposer, sans frais, à ce que les données la concernant
soient utilisées à des fins de prospection, notamment commerciale, par le
responsable actuel du traitement ou celui d’un traitement ultérieur »
5
Les sanctions délictuelles prévues par le Code Pénal
(art. 226-18 et suivants) : http://www.cnil.fr/index.php?id=303
En cas de collecte frauduleuse
Article 226-18

« Le fait de collecter des données à caractère personnel par un moyen
frauduleux, déloyal ou illicite est puni de cinq ans d’emprisonnement et de
300.000€ d’amende. »
En cas de traitement des données malgré l’opposition de l’intéressé
Article 226-18-1

« Le fait de procéder à un traitement de données à caractère personnel
concernant une personne physique malgré l’opposition de cette personne,
lorsque ce traitement répond à des fins de prospection, notamment commerciale,
ou lorsque cette opposition est fondée sur des motifs légitimes, est puni de cinq
ans d’emprisonnement et de 300.000€ d’amende. »
6
La responsabilité des personnes morales
Art 226-24
« Les personnes morales peuvent être déclarées responsables
pénalement, dans les conditions prévues par l’article 121-2, des
infractions définies à la présente section.
Les peines encourues par les personnes morales sont :
1°. L’amende, suivant les modalités prévues par l’article 131-38 ;
2°. Les peines mentionnées aux 2°, 3°, 4°, 5°, 7°, 8° et 9° de l’article
131-39.
L’interdiction mentionnée au 2° de l’article 131-39 porte sur l’activité
dans l’exercice ou à l’occasion de l’exercice de laquelle l’infraction a
été commise. »
7
La responsabilité des personnes morales
Art 131-38
« Le taux maximum de l’amende applicable aux personnes morales est
égal au quintuple de celui prévu pour les personnes physiques par la loi
qui réprime l’infraction.
Lorsqu' il s’agit d’un crime pour lequel aucune peine n’est prévue, à
l’encontre des personnes physiques, l’amende encourue par les
personnes morales est de 1.000.000€. »
8
Le décret d’application modifié le 25 mars 2007
L’obligation d’information incombant aux responsables de traitements
Art. 90 du Décret du 25 mars 2007
« Le responsable du traitement porte directement à la connaissance des
personnes auprès desquelles sont recueillies des données à caractère personnel
les informations énumérées au I de l’article 32 de la loi du 6 janvier 1978 sur le
support de collecte ou, à défaut, sur un document préalablement porté à leur
connaissance en caractères lisibles.
Il les informe également, dans les mêmes conditions, des coordonnées du
service compétent auprès duquel elles peuvent exercer leurs droits d’opposition,
d’accès et de rectification.
Lorsque la collecte des données est opérée oralement à distance, il est donné
lecture de ces informations aux intéressés en leur indiquant qu’ils peuvent, sur
simple demande, même exprimée oralement, recevoir postérieurement ces
informations par écrit.
Les informations mentionnées à l’alinéa précédent peuvent êtres communiquées
aux intéressés, avec leur accord, par voie électronique.
Lorsque les informations sont portées à la connaissance de l’intéressé par voie
d’affichage, il lui est indiqué qu’il peut, sur simple demande orale ou écrite,
recevoir ces informations sur un support écrit. »
9
Le décret du 25 mars 2007
« Les informations [relatives au transfert de données hors de l’Union
européenne] que le responsable du traitement communique, dans les conditions
prévues à l’article 90; à la personne auprès de laquelle des données à caractère
personnel sont recueillies, sont les suivantes :
1° Le ou les pays d’établissement des destinataires des données dans le cas ou
ce ou ces pays sont déterminés lors de la collecte des données ;
2° la nature des données transférées ;
3° La finalité du transfert envisagé ;
4° La ou les catégories de destinataires des données ;
5° le niveau de protection offert par le ou les pays tiers.
[…] »

10
Dispositions particulières au droit d’opposition :
« Pour faciliter l’exercice du droit d ’opposition […] l’intéressé est mis en
mesure d’exprimer son choix avant la validation définitive de ses
réponses.
Lorsque la collecte des données intervient par voie orale, l’intéressé est
mis en mesure d’exercer son droit d’opposition avant la fin de la collecte
des données le concernant. »
« Le responsable du traitement auprès duquel le droit d’opposition a été
exercé informe sans délai de cette opposition tout autre responsable de
traitement qu’il a rendu destinataire des données à caractère personnel
qui font l’objet de l’opposition. »
11
Ce décret
précise l’obligation d’information, et;
pose de nouvelles contraintes relatives au droit d’opposition.
1. Lors de la collecte de données personnelles, les intéressés
doivent désormais être directement informés de :
l’identité du responsable du fichier,
la finalité du transfert, et
des destinataires des données.
12
2. Les modalités d’exercice du droit d’opposition sont
modifiées :
L’intéressé doit « être mis en mesure » de s’opposer à l’utilisation
commerciale de ses données avant la fin de la collecte de celles-ci.
Les clauses dans lesquelles le droit d’opposition s’exerce
uniquement à posteriori et par écrit paraissent prohibées.
En cas d’opposition, le responsable de traitement devra en informer
tout autre partenaire commercial qu’il a rendu destinataire des
données ayant fait l’objet de l’opposition.
Lors de l’exercice de ses droits d’opposition, d’accès et de
rectification, l’intéressé devra obtenir une réponse rapide, dans le
délai maximum de deux mois.
13
Les sanctions contraventionnelles (art. R 625-10 C.Pénal)
Est puni de l'amende prévue pour les contraventions de la cinquième
classe le fait, pour le responsable d'un traitement :
1º De ne pas informer la personne auprès de laquelle sont recueillies des
données à caractère personnel la concernant :
a) De l'identité du responsable du traitement;
b) De la finalité poursuivie par le traitement auquel les données sont destinées ;
c) Du caractère obligatoire ou facultatif des réponses ;
d) Des conséquences éventuelles, à son égard, d'un défaut de réponse ;
e) Des destinataires ou catégories de destinataires des données ;
f) De ses droits d'opposition, d'interrogation, d'accès et de rectification ;
g) Le cas échéant, des transferts de données à caractère personnel envisagés à
destination d'un Etat non membre de la Communauté européenne ;
14
2º Lorsque les données sont recueillies par voie de questionnaire, de ne
pas porter sur le questionnaire les informations relatives :
a) A l'identité du responsable du traitement;
b) A la finalité poursuivie par le traitement envisagé ;
c) Au caractère obligatoire ou facultatif des réponses ;
d) Aux droits d'opposition, d'interrogation, d'accès et de rectification des personnes
auprès desquelles sont recueillies les données.
15
3º De ne pas informer de manière claire et précise toute personne
utilisatrice des réseaux de communications électroniques :
a) De la finalité de toute action tendant à accéder, par voie de transmission électronique,
à des informations stockées dans son équipement terminal de connexion ou à
inscrire, par la même voie, des informations dans son équipement terminal de
connexion ;
b) Des moyens dont elle dispose pour s'y opposer ;
16
4º De ne pas fournir à la personne concernée, lorsque les données à
caractère personnel n'ont pas été recueillies auprès d'elle, les
informations énumérées au 1º et au 2º dès l'enregistrement des
données ou, si une communication des données à des tiers est
envisagée, au plus tard lors de la première communication des
données.
17
La position de la CNIL du 2 juillet 2007
Voir www.cnil.fr
18
La valeur juridique des recommandations de la CNIL
Les recommandations de la CNIL n’ont, en principe, pas de valeur
juridique, sauf lorsqu’elles tendent à créer une règle nouvelle.
Un recours contre cette recommandation est-il :
Souhaitable ?
Encore possible ?
19
La collecte sur support écrit (papier, web)
Modalités d’information - Art. 91 du Décret du 25 mars 2007
Les informations requises doivent figurer sur :

le support de collecte, ou
à défaut, un document ayant préalablement été porté à la connaissance
de l’intéressé.
L’information doit être rédigée en caractères lisibles, quel que soit le
support utilisé.
Le responsable a l’obligation d’adresser les informations requises,
individuellement et par écrit, aux personnes qui en font la demande
orale ou écrite.
20
La collecte sur support écrit (papier, web)
L’exercice du droit d’opposition - Art. 96 du décret du 25 mars 2007
La possibilité de s’opposer à l’utilisation commerciale des données
doit être préalable à la validation définitive des réponses.
Une simple mention d’information au sein des conditions générales
n’est plus suffisante (la CNIL préconise une case à cocher).
Lorsque l’intéressé a exercé son droit d’opposition auprès d’un
responsable du traitement, ce dernier est tenu d’en informer sans
délai tout destinataire des données concernées.
21
La collecte sur support non écrit (téléphone)
L’obligation d’information :
Le responsable du traitement doit informer les intéressés qu’ils peuvent
recevoir les informations figurant à l’article 32-1 de la Loi « informatique et
libertés », par écrit sur simple demande.
Sous réserve de l’accord de l’intéressé, les informations peuvent être
envoyées par voie électronique.
Le droit d’opposition :
Lorsque la collecte des données intervient par oral, « l’intéressé est mis en
mesure d’exercer son droit d’opposition avant la fin de la collecte des
données le concernant » (Art. 96 alinéa 2 du décret du 25 mars 2007)
22
Conclusions
Le risque juridique
Les sanctions contraventionnelles applicables ne concernent que le
défaut d’information des personnes sur leurs droit et non l’absence
de possibilité d’exercer immédiatement leurs droits.

La jurisprudence aura-t-elle cette finesse d’interprétation ?
La CNIL dispose d’un pouvoir de sanctions administratives à hauteur de
300.000 euros d’amende maximum. La sanction la plus élevée à ce jour
est de 100.000 euros.
Le risque commercial
Le coût de ces mesures de ces mesures pour le marketing est à
comparer avec le risque juridique
Le risque médiatique
Par expérience, il est souvent plus élevé ou imprévu que le risque
juridique
23
Débat / Questions
Etienne Drouard
Avocat à la Cour
[email protected]
01 53 30 43 00 - 06 07 83 33 81
Morgan, Lewis & Bockius
68 rue du Fbg Saint-Honoré 75008