Formations et audits Informatique et Libertés

Des professionnels en conformité Informatique et Libertés : formation, audit, formalités cnil, contrôle cnil et l’application Data Privacy Manager dédiée au CIL

Dictionnaire juridique

Transposition du « Paquet Télécom » : renforcement de la protection des consommateurs et de internautes

Ordonnance du 24 août 2011 relative aux communications électroniques - Notification des violations de données personnelles - opt-in pour les cookies

Vous êtes ici : Accueil > Actualités

L’ordonnance du 24 août 2011 relative aux communications électroniques, qui transpose en droit interne les directives européennes dites « Paquet Télécom », renforce la protection des consommateurs en imposant de nouvelles obligations aux opérateurs et instaure des dispositions plus protectrices des données à caractère personnel.

mardi 13 septembre 2011

L’information et les droits des consommateurs renforcés vis-à-vis des opérateurs

Le nouvel article L. 121-83 du Code de la consommation précise que tout contrat souscrit par un consommateur avec un fournisseur de services de communications électroniques (fournisseur d’accès internet, opérateur de téléphonie) doit comporter un certain nombre d’informations obligatoires sous une forme claire, détaillée et aisément accessible.

Nous retiendrons, à titre d’exemple, que les opérateurs sont tenus de préciser les services offerts, leur niveau de qualité et le délai nécessaire pour en assurer la prestation ; les frais de portabilité des numéros et autres identifiants ; les compensations et formules de remboursement applicables si le niveau de qualité des services prévus dans le contrat n’est pas atteint ;
ainsi que les modes de règlement amiable des différends, notamment la possibilité de recourir à un médiateur. En effet, les opérateurs sont dorénavant tenus d’instituer un médiateur impartial et compétent, auprès duquel leurs clients peuvent s’adresser en cas de différend relatif aux conditions de leur contrat ou à l’exécution de leur contrat.

Ils doivent également indiquer le type de mesure susceptible d’être prise afin de réagir à un incident ayant trait à la sécurité ou à l’intégrité ou de faire face à des menaces et à des situations de vulnérabilité.

Enfin, des dispositions visant à protéger plus spécifiquement les utilisateurs handicapés sont prévues. Il s’agit en particulier de leur garantir un accès à des services de communications électroniques équivalent à celui dont bénéficient les autres utilisateurs et à un tarif abordable, y compris concernant les services d’urgence.

Ces informations doivent être mises à la disposition des consommateurs et tenues à jour dans les points de vente et par un moyen téléphonique ou électronique accessible en temps réel à un tarif raisonnable. Cette obligation est aussi exigée pour :

-  les produits et services destinés aux consommateurs handicapés ;

-  les conséquences juridiques de l’utilisation illicite des services de communications électroniques qui peuvent porter atteinte au respect des droits et des libertés d’autrui, y compris les atteintes aux droits d’auteur et aux droits voisins ;
-  les moyens de protection contre les risques d’atteinte à la sécurité individuelle, à la vie privée et aux données à caractère personnel lors de l’utilisation des services de communications électroniques.

La notification des éventuelles violations de données personnelles par les opérateurs

En cas de violation de données à caractère personnel, c’est à dire toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données à caractère personnel faisant l’objet d’un traitement dans le cadre de la fourniture au public de services de communications électroniques, l’opérateur doit avertir, sans délai, la Commission nationale de l’informatique et des libertés (CNIL).

De plus, lorsque cette violation peut porter atteinte aux données à caractère personnel ou à la vie privée d’un abonné ou d’une autre personne physique, le fournisseur de services doit avertir également, sans délai, l’intéressé.

La notification d’une violation des données à caractère personnel à l’intéressé n’est toutefois pas nécessaire si la CNIL a constaté que des mesures de protection appropriées ont été mises en œuvre par le fournisseur afin de rendre les données incompréhensibles à toute personne non autorisée à y avoir accès et ont été appliquées aux données concernées par ladite violation.
A défaut, la CNIL peut, après avoir examiné la gravité de la violation, mettre en demeure le fournisseur d’informer également les intéressés.

Enfin, chaque fournisseur de services doit tenir à jour un inventaire des violations de données à caractère personnel, notamment de leurs modalités, de leur effet et des mesures prises pour y remédier et le conserver à la disposition de la CNIL.

Le fait pour un opérateur de ne pas procéder à la notification d’une violation de données à caractère personnel à la CNIL est puni de cinq ans d’emprisonnement et de 300 000 € d’amende.

Le consentement préalable de l’utilisateur à l’implantation de « cookies » sur son ordinateur ou téléphone portable.

Selon le nouvel article 32-II de la loi Informatique et Libertés, tout abonné ou utilisateur d’un service de communications électroniques doit avoir exprimé son accord préalable à toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son ordinateur ou téléphone portable, ou à y inscrire des informations.

De plus, l’accord de l’abonné ou de l’internaute doit être obtenu à la suite d’une information claire et complète sur la finalité du traitement, ainsi que des moyens de s’opposer aux cookies.

Le nouvel article 32-II de la loi précise que ce consentement peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.

Toutefois, en l’état actuel du paramétrage des navigateurs (acceptation par défaut des cookies), de nombreuses incertitudes quant aux modalités d’obtention de ce consentement subsistent.

Ainsi, le groupe de l’article 29 [1], du fait du paramétrage par défaut des navigateurs, a considéré qu’ « il est très important que les utilisateurs soient pleinement informés de l’utilisation et de l’effet des « cookies ». Ces informations devraient être mises davantage en évidence et ne pas simplement figurer dans la politique de confidentialité du moteur de recherche, où elles ne sont peut-être pas immédiatement apparentes » [2].

Une recommandation de la CNIL sur les bonnes pratiques en la matière et donc fortement souhaitable.

Précisons enfin que ces dispositions ne sont pas applicables aux cookies dits « de navigation » dont la finalité exclusive est de permettre ou faciliter la communication par voie électronique, ainsi qu’aux cookies strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.

Nicolas Samarcq – Juriste
Consulant TIC/CNIL

[1Groupe de travail « article 29 » de la directive européenne sur la protection des données personnelles qui rassemble les CNIL européennes.

[2Avis 1/2008 sur les aspects de la protection des données liés aux moteurs de recherche.

Nos partenaires

Réalisation : Clic Story ®

Plan du site