webleads-tracker

MENU
Nos expertises Présentation du cabinet Présentation en vidéo Notre approche Nos départements Nos avocats Nos publications Nos distinctions Nous contacter Agenda / évènements Nos événements Autres événements Photothèque / Vidéothèque Ouvrages de référence Lexique Newsletters Rechercher Nos sites internet Distribution Concurrence consommation Immobilier IT / IP Corporate Restructuring International Partenaires Medias Contact Newsletter
SUIVEZ NOUS SUR
la lettre des réseaux
L'actualité juridique et économique des réseaux de distribution par Simon Associés
simon associés simon associés
Accueil >IT / IP
 

La commercialisation des données personnelles dans la ligne de mire de la CNIL !

Le 12 mai 2016, la CNIL a dévoilé son programme des contrôles de l’année et annonce réaliser entre 400 et 450 contrôles sur place, sur audition, sur pièces et en ligne.

Le 12 mai 2016, la CNIL a dévoilé son programme des contrôles de l’année et annonce réaliser entre 400 et 450 contrôles sur place, sur audition, sur pièces et en ligne.

Attireront prioritairement l’attention de la CNIL, les traitements de données à caractère personnel mis en œuvre dans le cadre :

(i) du Système National D’information Inter-Régimes de l'Assurance Maladie (SNIIRAM) a été créé en 1999 ;
(ii) du système API-PNR (Advance Passenger Information-Passenger Name Record) ;
(iii) des activités des courtiers en données (Data Brokers).

Si les deux premières thématiques de contrôle concernent un nombre restreint de responsables de traitement, les contrôles réalisés sur les fichiers des Data Brokers, pourront avoir des impacts plus importants pour une large partie des entreprises françaises et internationales tant la commercialisation des fichiers de données personnelles est croissante et s’apparente de plus en plus à une activité économique réelle des entreprises.

1. Le développement du courtage de données

Les Data Brokers sont des intermédiaires faisant le lien entre les entreprises qui collectent des données personnelles, et celles souhaitant les acquérir pour une utilisation dans le cadre de leur activité économique.

Généralement récupérées depuis internet, les données sont ensuite classées par catégorie afin de constituer des fichiers structurés et « qualifiés » en vue d’être (re)vendus.

Toutes les catégories de données personnelles sont concernées. Il peut aussi bien s’agir de données d’état civil uniquement que de données sensibles (telles qu’un numéro de sécurité sociale, le pays d’origine, la religion ou l’affiliation à un parti politique), des données financières (telles que le type de carte de paiement utilisée) ou encore des données comportementales (telles que les habitudes de consommation, de déplacement…).

Les fichiers constitués par les Data brokers peuvent représenter une réelle opportunité pour les entreprises d’acquérir des données valorisées et pertinentes.

2. Les points d’attention de la CNIL

Dans le cadre des contrôles de la CNIL, cette dernière indique qu’elle veillera particulièrement à vérifier :

  • le respect des obligations de pertinence des données ;
  • l'information et le consentement des personnes concernées ;
  • le respect des droits prévus par la loi Informatique et libertés ;
  • les mesures de sécurité attachées aux fichiers.

En effet, ces points méritent une attention particulière lorsqu’il s’agit de fichiers commercialisés par les Data Brokers, compte tenu du fait que la provenance des données est multiple et variée et que les Data Brokers n’ont aucun contact direct avec les personnes concernées.

En telle situation, difficile de s’assurer que ces dernières ont bien été informées du traitement de leurs données, d’autant plus que leur commercialisation ultérieure au moment de la collecte initiale pouvait ne pas être prévue.

Les entreprises qui souhaitent acquérir ces fichiers, doivent par ailleurs, redoubler de vigilance car, en faisant l’acquisition et en réutilisant ces données pour les finalités qu’elles détermineront, elles seront qualifiées de responsable de traitement.

Cette qualité fera peser sur elles la responsabilité sur les données depuis leur collecte initiale.

Cette responsabilité, ne pourrait être limitée, même par voie contractuelle.

En conséquence, même si le contrat conclu avec le Data Broker prévoit une garantie en cas de violation de la règlementation applicable en matière de protection des données personnelles, tout manquement, notamment en cas d’absence de consentement ou d’information de la personne concernée de la commercialisation et de la réutilisation de ses données, sera imputable à cette entreprise. Lui sera alors reproché la violation des droits des personnes ainsi qu’éventuellement un détournement de finalité, si celle qu’elle poursuit n’est pas compatible avec celle(s) pour la/lesquelle(s) les données ont été collectées initialement.

Notons que la réforme européenne du droit des données personnelles prévoit un cadre stricte pour le recueil de consentement.

Celui-ci devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement de ses données.

Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité.

Par ailleurs, l’information délivrée à la personne concernée doit également être précise puisque doivent notamment lui être indiqués – lorsque les données ne sont pas collectées directement auprès d’elle, comme tel est le cas des données contenues dans les fichiers de Data Brokers - la source d'où proviennent les données, le cas échéant, une mention indiquant qu'elles sont issues ou non de sources accessibles au public ainsi que l’existence d’un profilage.

Les contraintes juridiques rendent particulièrement sensibles la commercialisation de données à caractère personnel par des Data Broker qui ne sont pas ou peu en mesure de respecter la règlementation applicable, ce qui a pour conséquence directe de fragiliser les traitements mis en œuvres par les entreprises qui achètent ces données.

En conséquence, si les fichiers des Data Brokers peuvent se révéler être une vrai mine d’or pour les entreprises, leur utilisation devra être soigneusement limitée et étudiée par les celles souhaitant les acquérir.

VOIR AUSSI

Manquement à l'obligation de sécurité des données personnelles : la CNIL n'a pas fini de sanctionner !

Délibération SAN-2017-010 du 18 juillet 2017

- Vu : 3757

L’article 34 de la Loi Informatique et Libertés n° 78-17 du 6 janvier 1978 impose au responsable du traitement de « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données, et notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».

> Lire la suite

Illustration de la force obligatoire d’un accord de coexistence

CA Angers, 6 janvier 2015, RG n°12/02447

- Vu : 7254
L’accord de coexistence permet de régler un différend entre les titulaires de marques et d’organiser, contractuellement, les modalités d’usage des signes pour éviter tout risque de confusion tel que les parties à l’accord l’entendent. Ce type d’accord, comme tout contrat, lie les parties. > Lire la suite


Les plus vus...
Le nouvel article 1231-5 du code civil relatif à la clause pénale
14 mai 2016 - Vu : 107113
Parmi les nombreuses dispositions qu'elle contient, la réforme du droit des contrats introduit un nouvel article 1231-5 au ...
> Lire la suite
Rappels concernant l’obligation périodique de statuer sur une augmentation de capital réservée aux salariés
15 janvier 2013 - Vu : 88038
La collectivité des associés d’une société par actions doit, lorsque le rapport de gestion présenté à l’AGO annuelle indique ...
> Lire la suite
L'efficacité des pactes d'actionnaires
1 décembre 2008 - Vu : 44199
Stabilité du capital et de l’actionnariat, contrôle de l’entreprise ou des modalités de son transmission, tels sont les ...
> Lire la suite
Clauses de durée et poursuite des relations commerciales dans les contrats de distribution
1 décembre 2012 - Vu : 43542
La poursuite des relations commerciales dans les contrats de franchise, et plus généralement dans les contrats de distribution, ...
> Lire la suite
Copyright ©2016 La lettre des Réseaux | Création et réalisation Webcd©