Want to make creations as awesome as this one?

Transcript

Marketing Digital

1 Droit du Numérique

Pourquoi enseigner le droit du numérique ?

Contexte

Définition

La Loi Numérique en 15 points clés

Quiz

Contexte

  • Quel droit pour le logiciel ?
  • Le choix du droit d'auteur
  • La diversité des licences
  • Le statut des données personnelles

Tant que les ordinateurs n'étaient construits qu'en quelques exemplaires, l'activité de développement de programmes restait fortement liée à l'activité de conception des machines. Son coût était dilué dans ceux de conception et de maintenance des matériels. Ce n'est qu'à partir de l'existence d'une base installée suffisante d'ordinateurs de même type que l'activité de programmation a pu être vue comme une activité économique indépendante, découplée de la fabrication de l'ordinateur lui-même.

Le logiciel est donc protégé par le droit d'auteur, au même titre qu'un livre ou un tableau. Cependant, son caractère et sa finalité, plus utilitaires qu'artistiques, ont conduit le législateur a adapter le droit d'auteur à ses spécificités. Il s'est agi également de tenter d'assurer un équilibre entre les droits des auteurs, ceux de leurs employeurs et ceux des utilisateurs. Tant les droits patrimoniaux que les droits extrapatrimoniaux ont donc été amputés par rapport à ceux qui s'appliquent aux autres types d'œuvres. Les principales dispositions le concernant ont été historiquement introduites par le titre V de la loi de 1985, intitulé : « Des logiciels ».

Les licences , que nous appellerons « privatives », ont en commun de réserver l'intégralité des droits au titulaire de ceux-ci. Même le droit d'usage peut en effet faire l'objet de restrictions. La très grande liberté de rédaction de ces licences a permis l'expérimentation de multiples modèles économiques, comme l'illustrent deux sous-classes des licences privatives : les licences de type « partagiciel », ou « shareware », qui autorisent la libre redistribution ― selon le modèle dit du « marketing viral » ― mais conditionnent l'usage au paiement d'une redevance, et les licences de type « gratuiciel », ou « freeware », qui autorisent l'usage gratuit mais interdisent souvent la redistribution ― l'obligation de téléchargement auprès du site de l'éditeur permettant à celui-ci d'accumuler des informations commerciales. Citons également pour l'anecdote les « carticiels », qui demandent que l'utilisateur envoie une carte postale de remerciement à l'auteur, ou encore les « cariticiels », qui requièrent l'envoi d'une contribution à une organisation caritative laissée au libre choix de l'utilisateur .


RGPD Article premier - Objet et objectifs

  1. Le présent règlement établit des règles relatives à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données.
  2. Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel.
  3. La libre circulation des données à caractère personnel au sein de l'Union n'est ni limitée ni interdite pour des motifs liés à la protection des personnes physiques à l'égard du traitement des données à caractère personnel.

Contexte

  • Le statut des systèmes informatiques
  • L'interopérabilité et les formats
  • L'émergence des réseaux
  • Internet = zone de non-droit ?

Au delà de la question des données personnelles s'est également posée celle de la protection des données en général, ainsi que des systèmes informatiques qui les hébergent. Les conséquences d'actes malveillants tels que l'entrave au fonctionnement de systèmes informatiques ou la falsification de leurs données sont d'une gravité potentielle telle qu'ils devaient assurément relever du droit pénal. Cependant, le législateur se trouvait fort démuni, car en matière de droit pénal prévaut le principe de l'interprétation stricte : le juge ne peut étendre à sa guise la portée d'articles existants pour réprimer des crimes et délits voisins. Dès lors, ni les dispositions contre la violation de domicile, ni celles réprimant les faux en écriture publique ou privée, ne pouvaient être invoquées. C'est pour remédier à ce vide juridique que fut votée la Loi du 5 janvier 1988, dite « loi Godfrain ». Cette loi créa une notion juridique nouvelle, le « système de traitement automatisé de données », ainsi que plusieurs délits spécifiques : l'accès frauduleux à un tel système, l'atteinte au fonctionnement de ce système, et les atteintes (ajouts, modifications, suppressions) aux données hébergées par ce système. Les tentatives de ces actes tombent également sous le coup de la loi.

« On entend par standard ouvert tout protocole de communication, d'interconnexion ou d'échange et tout format de données interopérable et dont les spécifications techniques sont publiques et sans restriction d'accès ni de mise en œuvre »

L'externalisation des infrastructures matérielles et logicielles a conduit à une profonde modification des licences logicielles. Du fait de l'utilisation des logiciels « en tant que service » (« SaaS », pour « Software as a Service »), les droits concédés ne concernent plus que la simple utilisation, tous les autres droits (correction des bogues, copie de sauvegarde, etc.) devenant caducs du fait que le logiciel proprement dit n'est plus accessible aux usagers.

L'incompréhension du fonctionnement du réseau a également conduit à une confusion dommageable entre les rôles des fournisseurs d'accès, des hébergeurs, des éditeurs, des auteurs et des usagers, qui perdure encore partiellement aujourd'hui. L'origine de cette incompréhension repose sur la volonté inflexible du juge de trouver un responsable aux agissements contraires au droit commis sur les réseaux, quel qu'il soit. C'est ainsi qu'en 1996, alors que des images à caractère pédophile avaient été diffusées sur des serveurs de « news », ce furent deux fournisseurs d'accès à Internet (FAI), Worldnet et Francenet, qui furent mis en accusation. En dépit de l'évidente erreur de cible, il fallut plusieurs années avant que les poursuites ne soient abandonnées. La deuxième victime expiatoire, faute de retrouver la personne à l'origine d'une mise en ligne délictueuse, fut l'hébergeur. C'est ainsi que, dans l'affaire Estelle Haliday c/ Valentin Lacambre, c'est ce dernier, responsable de l'hébergeur Altern, qui fut condamné, tant en première instance qu'en appel. D'autres gérants de forums furent mis en garde à vue dans des affaires similaires. Face à la faiblesse juridique de ces décisions, plusieurs lois furent proposées afin d'encadrer la responsabilité juridique des intermédiaires techniques. Ce fut le cas de la Loi « Fillon »" de 1997, portant obligation aux hébergeurs de surveiller leurs hébergés, ou de la loi « Jospin » de 2000, aux dispositions similaires. Toutes deux furent, fort heureusement, invalidées par le Conseil constitutionnel. Il fallut du temps au législateur pour rédiger une loi qui passe sans trop de dégâts sous les fourches caudines du Conseil. Tel fut le cas de la Loi du 21 juin 2004, qui définit une responsabilité atténué des hébergeurs : ces derniers ne sont incriminés que s'ils ne font pas diligence à supprimer un contenu jugé illicite, sur injonction judiciaire. De même, les FAI doivent-ils disposer de moyens de filtrage mobilisables en cas de décision de justice. Ce fut le cas dans l'affaire « Yahoo US », en 2000, dans laquelle il fut enjoint aux principaux FAI français de filtrer le site permettant d'acheter des objets promouvant l'idéologie nazie, sur la base du trouble manifeste à l'ordre public.

Définition

Deux lois encadrent les fondamentaux de cette nouvelle législation autour du droit du numérique :

– la loi informatique et liberté du 6 janvier 1978,
– la loi pour la confiance dans l’économie numérique de 2004.

Il faut retenir, que le droit numérique est : Un droit spécifique aux nouvelles technologies. Il règle : la protection de la vie privée, la protection de la propriété intellectuelle, l’accessibilité numérique

Il est constitué de quatre types de sources : la loi (ou le règlement européen), la jurisprudence, les contrats, les chartes.

Définition

Au bout de 4 années de pourparlers au Parlement, le projet de loi Numérique a été adopté le 28 septembre 2016.


Cette loi, prépare le pays à la transition numérique, notamment en : renforçant le pouvoir de sanction de la CNIL, en établissant de nouvelles normes de mise en ligne de documents publics des administrations, en établissant la reconnaissance du droit à l’oubli pour les mineurs, la mise en place du principe de neutralité du Net etc…

La Loi Numérique en 15 points clés

1. Ouverture par défaut des données publiques et d’intérêt général


2. Accès sécurisé aux données pour les chercheurs et statisticiens publics

3. Libre accès aux résultats des travaux de recherche publique et autorisation de la fouille de textes et de données

TITRE I

La #LoiNumérique crée l’obligation pour les organisations publiques de publier sur internet leurs bases de données, sous réserve notamment d’anonymisation et de protection de la propriété intellectuelle et du secret industriel et commercial. Ces données pourront ainsi être exploitées et réutilisées facilement par chacun, particulier comme entreprise. Certains acteurs privés (entreprises titulaires des marchés publics, bénéficiaires de subventions publiques…) seront également tenues de communiquer des données d’intérêt général, qui pourront concerner l’exploitation des services publics de l’énergie ou de l’eau, les transactions immobilières, ou encore la gestion et le recyclage des déchets.

Les données produites par la sphère publique sont souvent très riches, mais tout aussi souvent très confidentielles car du niveau de chaque individu. Leur accès était jusqu’ici dans les faits quasiment impossible, même pour les besoins de la recherche. Grâce à la #LoiNumérique, un système d’accès sécurisé permettra aux seuls chercheurs et statisticiens publics habilités, dans le cadre d’un projet donné, de pouvoir étudier ces données pour mieux comprendre l’efficacité de nos politiques publiques et évaluer l’effet de futures réformes. Ainsi la compréhension fine de l’impact de la mise en place d’un revenu universel est-t-elle désormais rendue possible.

Les résultats de travaux de recherche financés à plus de 50 % par des fonds publics pourront être mis en ligne en libre accès par leurs auteurs, après une période d’embargo de 6 à 12 mois. Cette mesure facilitera la libre diffusion de résultats de recherche dont la diffusion était auparavant souvent restreinte et concentrée par les éditeurs. La loi autorise également la fouille de textes et de données en ligne, une pratique essentielle dans le cadre notamment de recherches en sciences humaines et sociales, pratique jusqu’ici interdite et qui doit nous permettre de rattraper notre retard sur la scène internationale sur ce sujet.

La Loi Numérique en 15 points clés

4. Neutralité du net


5. Portabilité des données

6. Loyauté de l’information à destination des consommateurs.

TITRE II

La #LoiNumérique inscrit dans la législation française le principe de neutralité du net, garantissant la non-discrimination d’accès au réseau en fonction des services par les fournisseurs d’accès. Concrètement, les opérateurs ne pourront pas, par exemple, offrir un internet plus lent à certains clients, et un débit plus rapide à d’autres, pour accéder à un même service à partir d’une même offre. L’Autorité de régulation des communications électroniques et des postes (ARCEP) sera chargée de veiller au respect de ce principe et se voit doter des moyens juridiques nécessaires à son action (pouvoir de sanction notamment).

La #LoiNumérique crée l’obligation pour les services en ligne de permettre la récupération de ses données d’usage d’un internaute, afin de faciliter le changement de fournisseur, qu’il s’agisse d’un compte utilisateur d’une banque en ligne, d’un service de e-commerce ou encore les préférences sur un site d’écoute musicale en ligne. Ces données devront être fournies dans un format ouvert et aisément réutilisable.

La #LoiNumérique prévoit « une régulation des avis en ligne, qui constituent aujourd’hui une des principales sources d’information des utilisateurs ». L’objectif ? Permettre au consommateur de vérifier le degré de crédibilité des avis disponibles sur internet. Par exemple, il s’agira de veiller à ce qu’un restaurateur ne publie pas une pluie d’avis favorables sur son établissement afin de le faire grimper mécaniquement dans les classements des sites de conseils touristiques fondés sur des recommandations.

La Loi Numérique en 15 points clés

7. Protection des données personnelles


8. Revanche pornographique

9. Mort numérique

TITRE II

Le principe du droit à la libre disposition de ses données personnelles est établi. Ce principe s'illustrera par plus plusieurs mesures concrètes, telles que la confidentialité des correspondances électroniques. Les courriels et autres services de correspondance privée électronique seront aussi confidentiels qu’une lettre postale, sauf si l’usager a donné son consentement pour des traitements automatisés statistiques ou visant à améliorer le service qui lui est rendu. Ce consentement devra en outre être régulièrement renouvelé

La pénalisation des revanches pornographiques, pratique qui consiste à publier contre son consentement des images érotiques ou pornographiques d’une personne a été durcie à deux ans de prison et 60 000 euros d’amendes.

Comme pour un testament, une personne aura le droit de faire respecter sa volonté sur le devenir de ses informations personnelles publiées en ligne après son décès, auprès des fournisseurs de service en ligne ou d’un tiers de confiance.

La Loi Numérique en 15 points clés

10. Droit au maintien de la connexion à Internet


11. Facilitation des campagnes de dons par SMS

12. Accélération de la couverture numérique du territoire

TITRE III

La #LoiNumérique instaure le droit au maintien de la connexion pour les personnes les plus démunies en cas de défaut de paiement. Leur connexion internet sera ainsi maintenue par leur fournisseur d’accès le temps de l’instruction de leur demande d’aide auprès des services départementaux.

Avec la #LoiNumérique, les associations faisant appel public à la générosité pourront désormais recevoir des dons par sms. Chaque donateur pourra donner jusqu'à 50 €, dans une limite de 300 € par mois, par le simple envoi d'un sms depuis son téléphone mobile. Cette mesure, réclamée par de nombreuses associations, afin notamment d'élargir et de rajeunir leurs communautés de donateurs, doit entrer en application à la fin de l’automne.

La France a engagé depuis 2013 un vaste plan d'équipement du territoire en réseaux à très haut débit (THD). Un effort massif d'investissement public et privé, d'un montant global de 20 Md€, doit permettre à l’horizon 2022 l'équipement en réseaux à fibre optique de tout le territoire français. Dans le cadre de la #LoiNumérique, plusieurs mesures sont prévues afin d'accélérer son déploiement, de facilitations réglementaires ou soutien financier aux collectivités pour le déploiement de pylônes pour la téléphonie mobile. Le droit à la fibre, notamment, permettra à n'importe quel résident d'un immeuble, propriétaire ou locataire, d'obtenir le raccordement de son logement au réseau de fibre optique, sans avoir à solliciter l'autorisation de sa copropriété, dès lors que les accès physiques le permettent

La Loi Numérique en 15 points clés

13. Accessibilité du numérique


14. Une stratégie de développement des usages et services numériques à l’échelle territoriale

15. Une reconnaissance officielle de l’e-sport en tant que pratique professionnelle compétitive des jeux vidéo

TITRE III

La #LoiNumérique exigera de l’ensemble des sites des administrations publiques d’afficher, sous peine de sanctions financières, leur niveau de conformité aux règles d’accessibilité pour les personnes en situation de handicap. Les grandes entreprises telles que les enseignes de distribution ou les constructeurs de téléphones sont également concernées par une obligation d’accessibilité puisqu’elles devront proposer des services après-vente téléphoniques, accessibles aux personnes malentendantes.

Les conseils départementaux et régionaux pourront établir une stratégie de développement des usages et services numériques. Afin de favoriser un maillage équilibré des services sur l’ensemble des territoires, cette stratégie permettra d’assurer une offre de services de médiation numérique de nature à répondre aux besoins identifiés d’accompagnement de la population dans l’utilisation des technologies et services numériques.

La #LoiNumérique prévoit la reconnaissance de l’e-sport, notamment en légalisant les compétitions physiques de jeux vidéo et en dotant les joueurs professionnels d’un statut social. Les joueurs et spectateurs mineurs devront détenir une autorisation parentale pour participer à des rencontres e-sport.

Quiz

La société Facebook ayant son siège social à San Francisco, Monsieur X se demande s’il peut faire valoir le RGPD, car la plateforme n’a pas fait suite à sa demande de suppression de ses données personnelles en janvier 2020. Par ailleurs, Monsieur X souhaite obtenir une carte de fidélité dans un magasin de bricolage en France où il se rend régulièrement. Mais en remplissant le formulaire d’adhésion, il aurait voulu savoir pourquoi des informations personnelles (notamment la composition de sa famille) lui sont demandées. Il recherche l’information sur le document, mais en vain. Qu'en pensez-vous ?

I. L’obligation de suppression des données personnelles de Monsieur X par Facebook

Nous verrons que Facebook est une entité concernée par le RGPD (A). N'ayant pas supprimé les données personnelles à la demande de Monsieur X, la société encourt des sanctions (B).

A. Facebook, une entité concernée par le RGPD

La collecte et l’exploitation des données se multipliant en mettant de plus en plus d'informations personnelles en circulation sans le consentement véritable des citoyens, plusieurs textes ont été adoptés au niveau européen. Aujourd’hui, le texte majeur en vigueur a été adopté en 2016. Il s’agit d’un Règlement 2016/679 (relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données), nommé brièvement "règlement général sur la protection des données". Les entreprises (collectivités publiques et associations aussi) ont eu jusqu’au 25 mai 2018 pour appliquer ces nouvelles normes. Par définition, ce règlement s’applique aux pays membres de l’Union européenne (U.E.), mais plus précisément aux citoyens de ces pays. Ce qui permet d'appliquer le règlement à toutes les sociétés qu’elles siègent en Europe ou non, tant que celles-ci collectent des données à des citoyens européens. En effet, c’est ce qu’il en ressort clairement à l’article 3 du RGPD relatif à son champ d’application territorial. En vertu du droit à l’effacement ou encore appelé "droit à l’oubli", les entreprises soumises au RGPD ont l’obligation d’effacer les données enregistrées lorsqu’une personne concernée en fait la demande. Cette obligation existe en présence de certains motifs prévus à l’article 17 du RGPD notamment "la personne concernée retire le consentement sur lequel est fondé le traitement, et il n'existe pas d'autre fondement juridique au traitement".

En l’espèce, Facebook a son siège à San Francisco avec des activités de services certes gratuits, mais la société a récolté les données de Monsieur X résident français donc citoyen européen. Monsieur X a exprimé le désir de retirer son consentement au traitement de ses données, et ce, en 2020 donc bien après l’application effective du RGPD.

Par conséquent, la société Facebook n’a pas respecté le RGPD.

C’est pourquoi il est intéressant de voir quelles sanctions elle encourt.

B. Les sanctions découlant de la non suppression des données personnelles de Monsieur X

Le chapitre VIII du RGPD prévoit des "voies de recours, [la] responsabilité [et les] sanctions" en cas de non-respect de ce dernier. Ainsi, les sanctions encourues par les sociétés non conformes peuvent s’opérer à la suite soit d’une réclamation soit d’un recours juridictionnel. En effet, une réclamation peut être faite auprès de l’autorité de contrôle compétente dans le pays de résidence, de travail (ou encore notamment de violation du règlement) du citoyen concerné. En France, l’autorité de contrôle en charge du respect du RGPD est la Commission nationale de l'informatique et des libertés (CNIL). La voie juridictionnelle est admise soit à l'encontre de l'entreprise irrégulière soit contre cette même autorité de contrôle. Dans tous les cas, à côté des amendes administratives, les sanctions encourues varient selon les pays du territoire européen. En France, les condamnations peuvent aller du simple avertissement en passant par les mises en demeure jusqu'à une sanction pécuniaire de 4% du chiffre d’affaires quand il s’agit d’une entreprise voire à des dommages et intérêts.

En l’espèce, il s’agit d’un cas en apparence isolé et dont aucun préjudice ne semble présent.

Par conséquent, le plus judicieux pour Monsieur X serait de faire une réclamation auprès de la CNIL qui va sans doute rappeler la société à l’ordre à moins que d’autres réclamations semblables ne soient déjà faites. Alors, la sanction pourrait être pécuniaire.

Mais qu’en est-il de l’application du RGPD au programme de fidélité auquel Monsieur X a adhéré ?

II. L’application du RGPD aux programmes de fidélité

Contrairement à ce que l’on pourrait croire, le champ matériel d’application du RGPD est assez large puisqu’il concerne "[le] traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi que le traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier". Ainsi, le RGPD s’applique même pour des données récoltées via un formulaire en papier physique. La seule chose qui importe c’est le caractère "personnel" de ces données. Lors de remplissage de formulaire ayant pour objectif d'obtenir une carte de fidélité, de nombreuses informations personnelles peuvent être demandées, rendant ainsi applicable le RGPD à la société concernée. Dès lors, afin d'être en conformité avec le RGPD, la société doit notamment identifier le traitement des données qu’elle fait. En somme, elle doit respecter le principe de transparence "des informations et des communications et modalités de l'exercice des droits de la personne concernée” (article 12 du RGPD). Cette transparence implique plusieurs choses : mettre à disposition les informations permettant de comprendre ce qui sera fait des données ou de mettre en place des mesures permettant de connaître ces informations comme la possibilité d’envoyer un mail pour poser toute question.

En l’espèce, Monsieur X n’a pas trouvé les informations concernant l’utilisation qui sera faite de ses données personnelles à la suite du remplissage du formulaire d’adhésion à un programme de fidélité.

Par conséquent, le magasin de bricolage a l’obligation de répondre aux questions relatives aux données personnelles que Monsieur X leur a communiquées.

En conclusion, ni la société Facebook ni le magasin de bricolage n'a respecté scrupuleusement le RGPD.