SOLOCAL_DOCUMENT_REFERENCE_2017

2

FACTEURS DE RISQUES 2.5 Réglementation

création du contenu ou de l’un des contenus des services dont ils sont prestataires afin de les communiquer sur requête aux autorités judiciaires (LCEN article 6 alinéa II). La LCEN instaure par ailleurs un renforcement de la protection des consommateurs, notamment par les dispositions relatives à l’obligation d’identification précise des vendeurs et des principes permettant de garantir la validité des contrats en ligne. La Loi Hamon du 17 mars 2014 a transposé la directive 2011/83/UE du 25 octobre 2011 sur les droits des consommateurs et renforce, s’agissant de la vente à distance, la protection des consommateurs en matière d’information précontractuelle, de délai de rétraction et de validité des contrats passés en ligne. La Loi pour une République numérique du 7 octobre 2016 est venue renforcer les obligations d’information incombant aux plateformes numériques ayant une activité de moteur de recherche, de place de marché, de comparaison de biens et services, de réseau social ou encore dédiée à l’économie collaborative. Plusieurs décrets ont été publiés afin de préciser les obligations des acteurs en matière de loyauté et sur les avis en ligne. Le décret n° 2017-159 du 9 février 2017 renforce les règles de transparence issues de la Loi Sapin du 29 janvier 1993 en précisant les informations à fournir aux annonceurs dans le cadre de la publicité digitale. Ce décret est entré en vigueur le 1 er  janvier 2018. À CARACTÈRE PERSONNEL La directive européenne cadre 95/46/CE du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, définit le cadre juridique nécessaire à la bonne protection des droits et libertés des individus. Cette directive-cadre a été complétée par une directive sectorielle européenne 2002/58/CE du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (dite directive e-privacy), en remplacement de la directive 97/66/CE du 15 décembre 1997. Cette directive a elle-même été amendée par la directive 2009/136/CE du 25 novembre 2009. Enfin, un projet de règlement européen sur la e-Privacy a été proposé par la Commission Européenne le 10 janvier 2017, dont le texte devra être approuvé par les États membres et le Parlement européen. Ce projet de règlement envisage notamment de revoir les réglages par défaut concernant les cookies tiers dans les navigateurs, ainsi que de passer la présence des personnes physiques dans les annuaires téléphoniques à l’opt-in pour les numéros de téléphones fixes. Le 27 avril 2016 a été voté un nouveau règlement européen relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD), et abrogeant la directive 95/46/CE. Bien que ne remettant pas en question les principes fondamentaux de la protection de la vie privée, ce texte revoit profondément les obligations auxquelles sont soumises les entreprises, notamment en passant d’une logique de contrôle a priori des autorités de protection des données personnelles à un principe « d’obligation de rendre compte ». Ce texte renforce de façon significative les droits des personnes : les entreprises devront obtenir, sauf exception, le consentement l des personnes concernées pour des traitements de profilage ; le droit à l’oubli est renforcé et toute personne pourra demander l la suppression de ses données personnelles auprès de toute PROTECTION DES DONNÉES 2.5.1.2

entreprise ou organisation n’ayant pas de raison légitime de les conserver. Par ailleurs, le délai de réponse en cas d’exercice des droits des personnes a largement diminué : un mois au lieu de deux ; les entreprises seront tenues de notifier à la CNIL et à leurs l clients toute violation de données à caractère personnel dans un délai très bref ; lorsque des données à caractère personnel sont traitées hors l d’Europe, les utilisateurs pourront s’adresser à l’autorité chargée de la protection des données dans leur pays, même quand leurs données sont traitées par une entreprise établie en dehors de l’Union Européenne si cette entreprise collecte leurs données dans le cadre d’une offre de biens et de services ou d’un usage comportemental ; les nouvelles règles donneront aux autorités nationales de l protection des données les compétences pour faire appliquer plus rigoureusement la législation de l’Union Européenne. Les sanctions financières seront renforcées puisque les propositions prévoient des amendes pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial. Les objectifs de cet ensemble de directives sont notamment : d’harmoniser le droit européen des données personnelles ; l de faciliter leur circulation (sous réserve que le pays vers lequel l les données à caractère personnel sont transférées offre un niveau de protection adéquat) ; et de protéger la vie privée et les libertés individuelles. l Un des principaux impacts du RGPD pour le Groupe est la transformation des pratiques liées aux traitements des données personnelles : l’obligation de travailler avec une approche « Privacy by design », est en cours d’intégration dans les chantiers stratégiques du Groupe. Le Groupe est particulièrement sensible à la protection des données à caractère personnel qu’il traite, puisqu’un Correspondant Informatique et Libertés est désigné depuis 2011 et par conséquent, plusieurs obligations du RGPD ne seront pas des nouveautés pour le Groupe, par exemple l’obligation de tenir un registre des traitements. Cependant, une mise en conformité avec le nouveau cadre législatif Européen est nécessaire. Pour cela, un programme de mise en conformité avec le RGPD a été lancé en juillet 2017 à l’initiative du Correspondant Informatique et Libertés du Groupe. Un comité de pilotage et des groupes de travail ont été créés. Dans ce cadre, différentes actions ont d’ores et déjà été réalisées, par exemple : cartographie des traitements, formation de collaborateurs, création de nouveaux process, acquisition d’un outil permettant de documenter la conformité du Groupe (registre des traitements, registre des violations de données, études d’impacts, exercice des droits des personnes). L’objectif en cible est de mettre en place une véritable démarche qualité au sein du Groupe afin de faire de la protection de la vie privée un argument concurrentiel (obtention de certifications/labélisations). La CNIL peut effectuer des contrôles en ligne et ainsi rapidement à distance constater et agir en cas de failles de sécurité sur Internet. Elle peut aussi vérifier la conformité des mentions d’information figurant sur les formulaires en ligne, ou des modalités de recueil de consentement des internautes en matière de prospection électronique. Ce nouveau pouvoir s’applique aux « données librement accessibles ou rendues accessibles » en ligne ; il ne donne évidemment pas la possibilité à la CNIL de forcer les mesures de sécurité mises en place pour pénétrer dans un système d’information.

44

Document de référence 2017 SOLOCAL