Les cyberattaques se multiplient et chaque acteur, quels que soit sa taille ou son domaine d’activité, peut être ciblé.

Ces cyberattaques peuvent entraîner une perte de données en cas d’attaque par rançongiciel (ransomware) mais aussi une fuite de données à la suite d’un défaut de sécurité, telle qu’une authentification par un mot de passe trop faible.

Selon les termes du règlement général sur la protection des données (« RGPD »), une violation de données est constituée en cas de perte de disponibilité, d’intégrité ou de confidentialité des données, et ce que ce soit de manière accidentelle ou illicite.

Ainsi, même une perte de disponibilité, suite à une attaque par rançongiciel ou à un incendie par exemple, qui n’aurait donc pas donné lieu à une interception ou à une fuite de données, constitue bien une violation de données au sens du RGPD.

Suite à une violation de données, les entreprises victimes sont tenues de :

1. Porter plainte afin de pouvoir être indemnisées, notamment en cas de perte d’exploitation suite à l’indisponibilité des données. Depuis le 24 avril 2023, l’indemnisation d’un assuré ayant subi des pertes et dommages causés par une cyberattaque est subordonnée au dépôt d’une plainte par la victime, dans les 72 heures après la prise de connaissance de l’attaque. 
2. Notifier la violation de données à la CNIL (ou à son autorité de contrôle compétente), dans ce même délai de 72 heures. La notification se fait directement en ligne sur le site de la CNIL ou de l’autorité compétente via le formulaire dédié. Elle peut être réalisée en deux temps : une notification initiale, d’abord, sous un délai recommandé de 24 heures, puis une notification complémentaire une fois que le responsable de traitement dispose de plus d’informations ou qu’il a remédié à la violation de données. La violation devra être mentionnée dans le registre des violations de données tenu par le responsable de traitement.
3. Notifier si nécessaire les personnes concernées : en cas de risques élevées pour les personnes concernées, le responsable de traitement devra également informer les personnes dont les données ont été interceptées de manière non autorisée afin de limiter l’impact sur leur vie privée. Cette notification doit avoir lieu en cas de risque d’usurpation d’identité, d’atteinte à la réputation ou de fraude des moyens de paiement par exemple. L’information peut se faire via l’envoi d’un email doublé d’une information sur le site Internet.

Ce délai de 72 heures s’explique par la volonté du législateur de permettre aux autorités compétentes de disposer rapidement de toutes les informations nécessaires afin de pouvoir poursuivre les auteurs de l’infraction, et lutter contre la cybercriminalité.

Je me tiens à votre disposition pour vous accompagner dans la mise en place d’une gestion de crise en cas de violation de données.

Daphnée SPINETTI

La CNIL a adopté une nouvelle délibération afin de préciser les règles d’utilisation des cookies 

Cette délibération a pour objet de rappeler les dispositions de l’article 82 de la loi Informatique et libertés issues de la directive dite “vie privée et communications électroniques” ou encore “directive e-privacy”. Cette directive de 2005 prévoit en effet en son article 5.3 que l’utilisateur doit donner son consentement AVANT toute action visant à stocker des informations ou à accéder à des informations stockées dans l’équipement terminal d’un utilisateur.

Concrètement, les règles applicables sont les suivantes : 

Les cookies (en général tous traceurs) ne peuvent être utilisés tant que l’utilisateur n’a pas manifesté à cette fin sa volonté, de manière libre, spécifique et univoque par une déclaration ou un acte positif clair. Cela signifie qu’en pratique, que l’utilisateur doit donner son consentement par le biais d’une action positive de sa part (opt’in). Il convient donc de prévoir une information à travers un bandeau cookies sur lequel l’internaute doit cliquer pour accepter les cookies. Il doit pouvoir les refuser et continuer sa navigation sur le site sans être bloqué. Ainsi, le simple fait de continuer la navigation ne suffit pas à considérer que l’internaute a donné son consentement aux dépôt de cookies sur son terminal. Le bandeau d’information doit donc comporter un bouton “ACCEPTER” et un bouton “REFUSER”. Chaque type de cookies utilisés doit être précisé et l’internaute doit pouvoir accepter ou refuser chacun des cookies déposés. Une acceptation globale est valable si l’internaute a bien été informe des finalités de chacun des cookies utilisés et pu accepter ou refuser chacun des cookies. Le bandeau doit envoyer vers un lien ou chaque finalité de cookies est détaillé avec possibilité pour l’internaute d’accepter ou de refuser chacun des cookies. De même qu’il doit être informé sur les entités qui déposent les cookies sur son terminal.

Dans le cas de responsables conjoints du traitement, c’est-à-dire par exemple lorsqu’une entité tiers dépose des cookies sur le terminal de l’utilisateur, c’est le cas des plug-ins de réseaux sociaux. Lorsque l’utilisateur clique sur le bouton du réseau social, ce dernier dépose des cookies et récupère les données? Dans ce cas, l’éditeur du site et l’éditeur du réseau social sont coresponsables de traitement des données personnelles collectées à travers les cookies et devront démontrer qu’ils auront reçu le consentement de l’utilisateur.

Il existe des exceptions au recueil exprès et préalable du consentement pour les cookies suivants : 

•  les cookies ayant pour finalité exclusive de permettre ou de faciliter la communication par voie électronique, tels que mémorisation des identifiants, enregistrement du panier d’achat
• cookies strictement nécessaires à la fourniture d’un service demander par l’utilisateur : cookies flash permettant la lecture d’une vidéo.

Une proposition de règlement européen concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques est en cours de discussion au sein des institutions européennes et remplacera la directive e-privacy.

En espérant que cet article a pu vous éclairer sur la bonne utilisation des cookies, nous restons à votre disposition pour rédiger votre politique de vie privée et de gestion des cookies : https://dspinetti-avocat.com/proximite/ ou directement par mail à l’adresse suivante : mail@dspinetti-avocat.com

1. Le cadre juridique

Si l’on en parle beaucoup depuis son entrée en vigueur le 25 mai 2018, le règlement européen sur la protection des données personnelles, dit RGPD n’est pas le seul texte à protéger les données personnelles des personnes physiques. En effet, la directive du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée, dite directive vie directive vie privée et communications électroniques existe depuis 2002 et a été transposée en France par la loi sur la confiance dans l’économie numérique du 21 juin 2004 (la LCEN). Si le RGPD porte sur la protection des données personnelles, la directive porte sur la protection de la vie privée dans les communications électroniques. Ainsi, la directive e-privacy vise plus précisément à encadrer la confidentialité des communications et donc la prospection par communication électronique et impose des obligations en matière de marketing direct. C’est ce texte qui régit les prospections électroniques et les utilisations de cookies et non le RGPD qui n’a absolument pas modifié les règles de prospection par courrier électronique. Au contraire, l’article 95 du RGPD précise même que : « aucune obligation supplémentaire concernant le traitement de données dans le cadre de la fourniture de services de communications électroniques accessibles au public sur les réseaux publics de communications ne sera imposée dans la mesure où la directive «vie privée et communications électroniques» impose des obligations spécifiques ayant le même objectif ».

2. Le consentement préalable à recevoir des communications par voie électronique

Le consentement préalable par voie d’opt’in à recevoir des communications par voie électronique existe en effet depuis 2002 !

En effet, c’est le considérant 40 de la directive de 2002 qui prévoit que : « il importe de protéger les abonés, personnes physiques, contre toute violation de leur vie privée par des communications non sollicitées effectuées à des fins de prospection directe, en particulier, au moyen de courriers électroniques, y compris les SMS ».

L’article 13 intitulé – Communications non sollicitées prévoit que :

1. L’utilisation de courrier électronique à des fins de prospection directe ne peut-être autorisée que si elle vise des abonnés ayant donné leur consentement préalable.
2. Exception = ce paragraphe s’applique uniquement aux abonnés qui sont des personnes physiques = ne concerne pas la prospection B to B lorsque l’adresse email ne permet pas d’identifier une personne physique. Difficulté d’interprétation s’agissant d’adresses email professionnelles de personnes physiques. Quid ? Il faut regarder les recommandations CNIL et les lignes directrices du G 29.
3. Par exception, le point 2. Du même article prévoit que, une personne physique ou morale, qui, dans le cadre d’une vente d’un produit ou d’un service, a obtenu directement de ses clients, leurs coordonnées électroniques en vue de recevoir un courrier électronique, ladite personne physique ou morale peut exploiter ces coordonnées électroniques à des fins de prospection directe pour des produits ou services analogues, pour autant que les clients se voient donner clairement et expressément la faculté de s’opposer, sans frais et de manière simple, à une telle exploitation des coordonnées électroniques lorsqu’elles sont recueillies et lors de chaque message.

Une exception à l’opt’in est prévue au considérant 45 par le système de l’opt’out pour les personnes morales, à savoir qu’il est possible de prospecter des entreprises pourvu de prévoir un lien de désinscription au sein du courrier électronique (cf. exception fondée sur l’article 7 de la directive 2000/31/CE du 8 juin 2000).

Le consommateur est considéré comme la partie faible dans une relation contractuelle, partie qu’il convient donc de protéger. A cet effet, le Règlement de Rome I prévoit une exception concernant la liberté de choix du droit applicable dans les contrats conclus entre un professionnel et un consommateur.

L’Article 6 du règlement Rome I prévoit que :

1. Un contrat conclu par un consommateur avec un professionnel est régi par la loi du pays où le consommateur a sa résidence habituelle, à condition que le professionnel :

•  exerce son activité professionnelle dans le pays dans lequel le consommateur a sa résidence habituelle, ou
• par tout moyen, dirige cette activité vers ce pays ou vers plusieurs pays, dont celui-ci, et que le contrat rentre dans le cadre de cette activité.

2.  Les parties peuvent choisir la loi applicable à leur contrat. Cependant, ce choix ne peut avoir pour résultat de priver le consommateur de la protection que lui assurent les dispositions auxquelles il ne peut être dérogé par accord.

3.  Si les conditions établies au paragraphe 1, point a) ou b), ne sont pas remplies, la loi applicable à un contrat entre un consommateur et un professionnel est la loi choisie par les parties ou à défaut, la loi du pays dans lequel le vendeur a sa résidence habituelle.

Il ressort de ce texte que la loi applicable à un contrat conclu entre un consommateur et un professionnel serait donc :

• La loi du pays du professionnel si ce dernier n’exerce pas son activité professionnelle dans le pays du consommateur ou ne dirige pas son activité vers le pays du consommateur sur le fondement des critères listés au point 1 ci-dessus.
• La loi du pays de résidence du consommateur si et seulement si les deux conditions suivantes sont réunies :
• le professionnel exerce son activité professionnelle dans le pays du consommateur ; ou
• le professionnel dirige cette activité vers le pays du consommateur.