Commission Enjeux réglementaires – 23 novembre 2017

Commission présidée par Me Etienne Drouard, Avocat associé, K&L Gates Ordre du jour :

Droit à la Médiation : nouvelle obligation des professionnels

Proposition de Règlement e Privacy 

RGPD: obligation de désigner un DPO

Droit à la médiation 

Le droit à la médiation donne la possibilité à tout consommateur dun Etat membre de lUE dengager une saisine contre un professionnel auprès dune entité de règlement extrajudiciaire des litiges. Ce droit s’applique aux litiges de consommation nationaux ou transfrontaliers résultant d’obligations contractuelles découlant de contrats de vente de biens ou de services conclus entre un professionnel établi dans l’UE et un consommateur résidant au sein de l’UE.

Les frais de médiation sont à la charge du professionnel qui doit informer le consommateur de son droit de recourir au médiateur, et lindiquer sur son site dans les conditions générales (article L. 1561 du code de la consommation)

Médicys est une plateforme de mise en relations avec des médiateurs avec laquelle le GESTE a signé une conventioncadre

Rappel des tarifs

10€ HT pour la cotisation annuelle

Paiement pour chaque dossier de médiation (emédiation : 60€ HT; sur mesure : 300HT

En cas de manquement aux obligations, une personne morale encourra une amende administrative dun montant de 15.000 (3.000 pour les personnes physiques)

Un contrat dassurance est également prévu afin de rembourser les honoraires de médiation

e Privacy

I contexte 

La Proposition de règlement ePrivacy, concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques, a été présentée par la Commission européenne le 10 janvier dernier

Lors de sa présentation, la Commission envisageait une entrée en vigueur du règlement le 25 mai 2018, concomitante au RGPD

I Actions du GESTE et de linterprofession / Position commune LUFMD et le GESTE ont mobilisé lensemble des industries françaises du Numérique (plus de 5000 entreprises) éditeurs de contenus et de services en ligne, commerçants électroniques, annonceurs, régies publicitaires, agences média, agences de communication, réseaux publicitaires, fournisseurs de données et leur organisme dautoregulation professionnelle de la publicité pour attirer lattention des pouvoirs publics sur limpact de la Proposition de Règlement sur leur modèle 

économique

La position commune a été cosignée par lAACC, IARPP, la Fevad, la FNPS, le GESTE, IIAB, la MMAF, le SEPM, le SNPTV, le SPIL, le SPQN, le SRI, TF1, IUDA, lUDECAM, lUFMD et lUPREG

Cest la première fois quune position commune rassemble autant dorganisations professionnelles, ce qui a beaucoup de poids au niveau français et européen

Trois principales lacunes sont relevées dans cette analyse qui se concentre sur les articles 8, 9 et 10

Une approche contraire à celle édictée par le RGPD et inadaptée aux nouveaux usages en matière dinternet

Un transfert de la protection de la vie privée des Européens vers des sociétés américaines

Un risque important pour la compétitivité des entreprises européennes sans contrepartie pour la privacy

Dans la continuité de leur initiative commune, le GESTE et lUFMD ont travaillé sur des propositions damendements sur les articles 8, 9 et 10 qui ont été soumis aux pouvoirs publics français et européens rencontrés à loccasion de rendezvous institutionnels

I Calendrier 

Du côté du Parlement, le 19 octobre, la Commission LIBE, saisie au fond, a adopté son rapport à une très courte majorité. Ce texte est plus contraignant que la Proposition de la Commission : interdiction formelle du cookies wall, « privacy by default >>, ..

Aujourdhui, le Gouvernement français na toujours pas donné sa position au sein du Conseil. Celleci devrait être déterminée dans les semaines à venir

Une fois la position du Conseil votée, la phase de trilogues pourra débuter. Cette phase devrait commencer à la fin du premier semestre 2018

L’entrée en vigueur du texte nest quant à elle pas envisagée avant 2019

| Détail des dispositions 

Sur le consentement au niveau du navigateur

Lors de linstallation du navigateur ou de sa mise à jour, lutilisateur donnera son consentement sur le dépôt des cookies (first et third party). Lergonomie du choix des personnes, qui sera basée sur lorigine du cookie et non sa finalité, va donc être confiée aux GAFA

Daprès une étude Deloitte, commandée par le SPON, 87% des personnes interrogées répondront « non » à la question relative au dépôt de cookies lors de linstallation du navigateur

En cas de refus, le site pourra encore convaincre lutilisateur daccepter ses cookies. Cependant, les cookies étant bloqués au niveau du navigateur, la question technique de la prise en compte de lacceptation de lutilisateur se pose. Le GESTE et linterprofession souhaitent que lUE impose aux logiciels de navigation de tenir compte du choix de lutilisateur. Cette exception au refus prendrait la forme dune white list

La position des éditeurs et de linterprofession ne consiste pas à remettre en cause le principe du consentement, mais à ce que lutilisateur puisse changer davis et contrôler son usage

Le « cookies wall » permet de bloquer laccès à une page en labsence du consentement de lutilisateur sur le dépôt de cookies

Largument des éditeurs repose sur la liberté du commerce et de lindustrie

Le Parlement européen préconise linterdiction formelle du « cookies wall ». De son côté, la France ny est pas complétement opposée et entend les arguments de lindustrie

Face la menace qui pèse sur leur business, les éditeurs commencent à réfléchir à la mise en place dun environnement logué. Un projet de login unique (SSO) est actuellement en cours détude, lobjectif étant de préserver le lien essentiel avec lutilisateur, et ce à défaut de cookies

I Le GESTE a rencontré 

Au niveau national: la DGMIC, le Ministère de la Culture, le Ministère de lEconomie, la DGE, le CGE, la CNIL, Matignon, le Ministère de la Justice et le Secrétariat dEtat chargé du Numérique

Au niveau européen : la Commission européenne, le Parlement européen, la Représentation permanente de la Bulgarie auprès de lUnion européenne

La position de linterprofession est entendue et comprise, les pouvoirs publics ont désormais besoin déléments chiffrés afin de définir leur position

Fin novembre, une réunion de concertation est organisée par la DGE, afin, notamment, de présenter les premières conclusions du rapport de Jacques Serris

Des supports ont également été réalisés par linterprofession afin dinformer de limpact du règlement sur lindustrie française

Campagne « Like a bad Movie » Vidéo du SNPTV 

I Prochaines étapes 

Une réunion entre les grands patrons des médias et les politiques devrait être organisée afin dexpliquer aux politiques, Elysée et Matignon, lampleur de limpact du règlement e Privacy sur le business des industries

Concernant les contrôles récents de la CNIL, lautorité a récemment confirmé que tant que la rédaction du règlement ePrivacy nest pas finalisée, le moratoire sur la partie cookie consent demeure. Cependant, comme précisé dans les courriers récemment envos, les éditeurs doivent se mettre en conformité sur tous les autres points de la recommandation de la CNIL (mots de passe, HTTPS, ...). En effet, les contrôles et sanctions ne sont suspendus que pour le recueil du consentement préalable

RGPD et la désignation dun DPO 

Comme le prévoit le RGPD, un DPO doit être désigné dès lors que, dans le cadre des activités quotidiennes, il y a un traitement massif et systématique des données susceptibles de traquer des personnes

Profil idéal : Un salarié en interne qui connait lentreprise : juriste, responsable technique... Il doit connaître et comprendre les flux de données, les définitions juridiques ainsi que lintérêt business de lentreprise. Le DPO est la personne qui sait répartir la charge de linventaire de traitement de données

Pour pouvoir se mettre en conformité, il faut avant tout dresser une cartographie : chaque métier dans lentreprise doit savoir quelle utilisation il fait des données et les remonter au DPO

Pour gérer la conformité, le DPO a un rôle de conseil juridique et de dialogue avec les volets techniques, business et opérationnels

Pour gérer la conformité, le DPO a un rôle de conseil juridique et de dialogue avec les volets techniques, business et opérationnels

A partir de cette cartographie, des mesures pourront être prises

Insertion de clauses types dans les contrats avec les prestataires. Révision des mentions « information des personnes. » 

Le DPO doit envisager quelles sont les questions que les gestionnaires doivent se poser sur les nouveaux projets

Questce quune donnée personnelle ? Pour quelle raison je traite cette donnée ? A quelle occasion ? Avec quel support dinformation, qui leur promet quel droit ? – Accessible en interne et à quel profil de personnes ? – Accessible en externe et à quel prestataire ? – Pendant combien de temps ? Quel point de départ? 

Le DPO doit organiser cet inventaire. Lorsque les données traitées peuvent avoir un impact particulier sur la vie privée des personnes (données de localisation, décisions automatisées) il faut élaborer un Privacy Impact Assessment. 

Un DPO peut aussi être mutualisé, par exemple entre sociétés au sein d’un même 

groupe de presse.