Communiqu de presse 21 septembre 2011

Des modifications substantielles de la loi Informatique et libertsLa France a transpos le Paquet Tlcom 1 (directive 2009/136 du 25 novembre 2009) par ordonnance 2011-1012 du 24 aot 2011 publie au journal officiel le 26 aot 2011. Herv Gadabou, avocat associ chez Courtois Lebel, explique comment cette ordonnance du 24 aot 2011 modifie notamment certaines dispositions de la loi n78- 17 du 6 janvier 1978 Informatiques, Fichiers et Liberts.

Les cookies : lacceptation pralable de lutilisateurLordonnance du 24 aot 2011 relative aux communications lectroniques modifie larticle 32 II de la Loi n78-17 du 6 janvier 1978. Cet article impose de nouvelles contraintes aux responsables de traitement de donnes personnelles, sagissant des cookies. Dsormais, lutilisation de cookies doit tre pralablement soumise lacceptation de lutilisateur (systme dit de l opt in ). En dautres termes, les oprateurs internet responsables de traitement de donnes personnelles doivent obtenir le consentement des internautes, aprs leur avoir donn des informations claires et compltes (finalit des cookies et description des moyens pour sy opposer), avant dimplanter des cookies dans leurs systmes. Pour rappel, jusqu la publication de lordonnance du 24 aot 2011, les utilisateurs pouvaient sy opposer, mais postrieurement linstallation dudit cookie (systme dit de l opt out ). Les exceptions lobligation dobtenir laccord pralable de lintress, dj prsentes dans lancien article 32, sont maintenues pour : Les cookies qui ont pour finalit exclusive de permettre ou faciliter la communication par voie lectronique et Les cookies qui sont strictement ncessaires la fourniture dun service expressment demand par linternaute .

Les moyens techniques permettant de satisfaire ces obligations restent dterminer. En effet, le texte prcise seulement que laccord peut rsulter de paramtres appropris de son dispositif de connexion ou de tout autre dispositif plac sous son contrle . Loprateur doit en tout tat de cause modifier les conditions dutilisation de son site pour remplir son devoir dinformation, en intgrant les nouvelles dispositions imposes par lordonnance. Ces modifications devront tre portes lattention de linternaute et1

Directive 2009/136/CE du 25 novembre 2009 du parlement europen et du conseil, modifiant : - la directive 2002/22/CE du 7 mars 2002 concernant le service universel et les droits des utilisateurs au regard des rseaux et des services de communications lectroniques, - la directive 2002/58/CE du 12 juillet 2002 concernant le traitement des donnes caractre personnel et la protection de la vie prive dans le secteur des communications lectroniques - le rglement (CE) no 2006/2004 du 27 octobre 2004 relatif la coopration entre les autorits nationales charges de veiller lapplication de la lgislation en matire de protection des consommateurs Courtois Lebel Cordiane 20/09/11 p. 1/4

expressment acceptes par ce dernier (et non tacitement), et ce avant mme toute action tendant accder, par voie de transmission lectronique, des informations dj stockes dans son quipement terminal de communications lectroniques, ou inscrire des informations dans cet quipement . Il conviendra de suivre lvolution des recommandations techniques, conseils et mentions dinformations types publies par la CNIL, laquelle ne semble pas encore avoir mis jour son site internet.

Lobligation de notificationLarticle 38 de lordonnance du 24 aot 2011 intgre un article 34 bis dans la Loi n78-17 du 6 janvier 1978 qui institut une obligation de notification en cas de violations de donnes personnelles (Data Security Breach). Qui est concern ?

Lobligation de notification concerne les donnes traites dans le cadre de la fourniture de services de communications lectroniques ouverts au public, ce incluant galement les fournisseurs prenant en charge les dispositifs de collecte de donne et didentification . Pour rappel, on entend par services de communications lectroniques les prestations consistant entirement ou principalement en la fourniture de communications lectroniques. Ne sont pas viss les services consistant diter ou distribuer des services de communication au public par voie lectronique2. Que recouvre la notion de violation de donnes personnelles ?

Selon lordonnance, la violation de donnes personnelles constitue toute situation de violation de la scurit du systme dinformation entranant, de faon accidentelle ou illicite : - la destruction, - la perte, - l'altration, - la divulgation, ou encore - l'accs non autoris des donnes personnelles par un tiers. Ces lments ne sont pas cumulatifs. Quand notifier ?

Lobligation de notification doit tre faite sans dlai . A qui notifier ?

En cas de violation, lordonnance prvoit une notification sans dlai : la CNIL aux intresss Lobligation sans dlai de notification aux intresss par le fournisseur est obligatoire ds lors que cette violation est susceptible de porter atteinte aux donnes personnelles ou la vie prive de labonn ou dune autre personne physique. Exceptions : Lobligation de notification lintress nest pas ncessaire si la CNIL a constat que des mesures de protections appropries ont t mises en uvre par le fournisseur (cryptage des donnes par exemple, rendant les donnes incomprhensibles).2

Article L32 du code des postes et des tlcommunications Courtois Lebel Cordiane 20/09/11 p. 2/4

A dfaut de telles mesures, la CNIL peut mettre en demeure le fournisseur d'informer galement le ou les intresss de la violation constate. Quelles sont les modalits de forme et de fond des notifications ?

Le texte de lordonnance ne prcise pas les modalits de la notification. Il convient donc de se rfrer larticle 3 la directive 2002/58/CE du 12 juillet 2002, sur ce point plus prcis : La notification faite labonn ou la personne physique doit indiquer, au minimum : la nature de la violation de donnes personnelles les points de contact auprs desquels des informations supplmentaires peuvent tre obtenues une recommandation des mesures adopter afin dattnuer les consquences ngatives ventuelles de la violation de donnes personnelles. La notification faite la CNIL doit, selon la directive, dcrire les consquences de la violation de donnes personnelles, et les mesures proposes ou prises pour y remdier. Quelles obligations associes ?

Le fournisseur doit dsormais tablir un inventaire des violations constates quil tient disposition de la CNIL. Cet inventaire doit comprendre : les modalits des violations constates ; les effets provoqus par cette violation ; les mesures entreprises pour y remdier. Quelles sanctions en cas de dfaut de notification ?

Labsence de notification est punie dune peine pouvant aller jusqu 5 ans de prison et 300.000 euros damende (insertion dun nouvel alina larticle 226-17 du code pnal). Les autres apports de lordonnance du 24 aot 2011 Outre les modifications de la loi n78-17 du 6 janvier 1978 Informatiques, Fichiers et Liberts, lordonnance 2011-1012 du 24 aot 2011 modifie galement certaines dispositions du code de la consommation et du code des postes et des communications lectroniques (par exemple : les oprateurs de communications lectroniques ont dsormais l'obligation de rduire les dlais de mise en uvre de la portabilit des numros ; sur un autre sujet, lordonnance met en place des garanties supplmentaires sur l'indpendance de l'Autorit de rgulation des communications lectroniques et des postes (ARCEP) et tend ses comptences). Fond en 1969, Courtois Lebel est un cabinet davocats daffaires qui offre ses clients des services dans les principaux domaines du droit des affaires avec une relle ouverture internationale. Les avocats sont spcialistes des dossiers complexes, mais enracins dans la ralit conomique et la recherche de solutions pratiques. Le cabinet est organis autour de 8 ples dexpertise : Corporate et M&A, Concurrence distribution et droit commercial, Fiscal, Social, Proprit Intellectuelle, Rglementation bancaire et assurance, Informatique et rseaux, Contentieux des affaires. Courtois Lebel est membre dAEL, rseau de cabinets davocats europens, et dALFA, rseau international regroupant 9500 avocats dans le monde. Contacts presse :Courtois Lebel Cordiane 20/09/11 p. 3/4

Nicole Coiffard Cordiane Tl : 01 39 62 33 42 ncoiffard@cordiane.com Courtois Lebel 15, rue Beaujon 75008 Paris Tl : 01 58 44 92 92

Courtois Lebel Cordiane 20/09/11 p. 4/4