BIG DATA

Jeudi 22 mars 2012

87 boulevard de Courcelles

75008 PARIS

Tel :01.56.43.68.80

Fax : 01.40.75.01.96 contact@haas-avocats.com

www.haas-avocats.com

www.jurilexblog.com 1

© 2012 Haas société d’Avocats

2

3

• Thème 1 : Utilisation des données à des fins

commerciales : Best Practices en matière de cookies, de

retargeting et de géolocalisation

• Thème 2 : L’entreprise présente sur les réseaux sociaux :

l’enjeu de la collecte loyale des données

• Thème 3 : Optimiser les contrats de Cloud Computing en

respectant la loi Informatique et libertés

PLAN

4

BEST PRACTICES EN MATIÈRE DE

COOKIES, DE RETARGETING ET DE

GÉOLOCALISATION

Utilisation des données à des fins

commerciales :

Thème 1 :

5

PRÉREQUIS/ RAPPEL À LA MISE EN ŒUVRE D’UN

TRAITEMENT DE DONNÉES

Loi I&L Information des

personnes

concernées Article 32

Collecte licite et loyale

des données Article 6

Gestion des

flux

transfrontières

de données Articles 68 et s.

Restriction

quant aux destinataires

des données Article 30

Obligation de

sécurité et de

confidentialité Article 34

Formalités préalables

auprès de la CNIL Articles 22 et s.

6

Les cookies sont des fichiers qui permettent de collecter des

informations sur les internautes.

Ils s’installent sur l’ordinateur/portable via les serveurs des sites

qu’il visite.

Cookies Techniques

Exclusivement installés pour

faciliter la communication

électronique et absolument

nécessaires à la fourniture du

service sur internet

Cookies Traceurs (Ordonnance du 24 août 2011)

Suivre le comportement

d’un internaute sur la toile

Best Practices & Cookies

7

• Best practice 1 : Information – Informer les internautes sur la finalité de l’installation des cookies et

des moyens dont ils disposent pour s’y opposer

• Best practice 2 : Recueil du consentement – « Ces [cookies] accès ou inscriptions ne peuvent avoir lieu qu’à condition que

l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette

information, son accord qui peut résulter de paramètres appropriés de son

dispositif de connexion ou de tout autre dispositif placé sous son contrôle. »

– Ce consentement peut donc être requis directement (case à cocher) ou si

l’internaute a configuré son navigateur. La Cnil a interprété les termes

« appropriés » et « sous son contrôle » et a précisé que le consentement ne

sera pas valable si le paramétrage du navigateur conduit à accepter tous les

cookies sans distinguer leur finalité.

Best practice 3 : Formalités préalables – Déclaration normale le plus souvent, voire une NS 48

Best Practices & Cookies Traceurs

8

Procédé permettant à un site marchand de garder le contact avec ses visiteurs une fois qu'ils ont quitté son site, par l'intermédiaire de bannières personnalisées

Tendance actuelle :

Communication sur la

transparence et la loyauté

dans la collecte des données

Best Practices & Retargeting

9

• Best practice 1 : Information – Informer les internautes sur la collecte de leurs données à des fins de

retargeting : le G29 rappelle que les internautes doivent être

clairement informés de l'ensemble de leurs droits en application de la

directive 95/46 (finalités des traitements, c'est-à-dire leur objectif, ainsi

que les modalités d'exercice des droits d'accès, de rectification et de

suppression des données)

• Best practice 2 : Recueil du consentement – Le G29 souligne notamment que le consentement de l'internaute est

nécessaire pour conserver l'historique des recherches qu'il a

effectuées

• Best practice 3 : Formalités préalables – Déclaration normale le plus souvent, voire une NS 48

Best Practices & Retargeting

10

Typologie des géolocalisations:

Géolocalisation de contrôle

Ex : voitures de sociétés : contrôle par l’employeur du temps de travail ou

des parcours des commerciaux

Ex : voiture des assurés : contrôle par la compagnie d’assurance des

assurés qui bénéficie d’un contrat spécifique d’assurance de leur

véhicule en fonction des kilomètres parcourus

Géolocalisation « sociale» et commerciale

Applications de localisation des contacts

Applications de localisation des centres d’intérêts et commerces à

proximité

Application de localisation des promotions dans les boutiques à

proximité….

Best Practices & Géolocalisation

11

• Best practice 1 : Information & Consentement – Prévenir les personnes géolocalisées et obtenir leur consentement

– Prévoir un système de désactivation à la discrétion de la personne

géolocalisée

• Best practice 2: Privacy Policy – Actuelle tendance forte : volonté de transparence pour attirer la

confiance des internautes

• Best practice 3 : Formalités préalables – Attention en fonction des informations collectées, une demande

d’autorisation, un déclaration ou une norme simplifiée devra être

réalisée auprès de la Cnil

– Ex : NS 51 pour la géolocalisation des véhicules salariés

Best Practices & Géolocalisation

12

ENJEU DE LA COLLECTE LICITE DES

DONNÉES

Présence des entreprises sur les

réseaux sociaux

Thème 2 :

13

Avis du

G29 du

12 juin

2009

Supprimer les

comptes qui sont

restés inactifs

pendant une longue

période

Définir des paramètres

par défaut limitant la

diffusion des données

des internautes

Installer un dispositif

permettant de porter

plainte, pour les

membres ou non du

réseaux

Proposer aux

internautes

d’utiliser un

pseudonyme

Permettre aux

personnes, même non

membres , de supprimer

les données qui les

concernent

Mettre en place des

mesures pour

protéger les mineurs

Impératifs du réseau sur lequel

vous êtes inscrit

14

La collecte loyale des données

Affaire Pages Jaunes

(Délibération de la CNIL du 21 septembre 2011)

La société a récupéré les données d’utilisateurs de 6 réseaux sociaux pour enrichir

son site Pages Blanches

Le fait que des informations personnelles soient librement accessibles sur internet

n’autorise pas les tiers à les collecter sans l’accord préalable des personnes

concernées

L’article 6 de la loi Informatique et libertés rappelle que la collecte de données

doit être une collecte :

licite et loyale

ayant une finalité déterminée, explicite et légitime

portant sur des données adéquates, pertinentes et non excessives au regard de la

finalité pour laquelle elles ont été collectées

portant sur des données exactes, complètes et mises à jour

portant sur des données conservées pour une durée proportionnée

15

ÉVITER LES

SANCTIONS

Sanctions pénales:

300000 euros

d’amende et 5 ans de

prison

Contrôle de la CNIL et

sanctions financières

allant jusqu’à 300 000

euros d’amende

VALORISER SA

BASE DE

DONNEES

Une base de

donnée

juridiquement

sécurisée est une

base de données

exploitable pour les

opérations

commerciales

PROTEGER SON

IMAGE

Garantir la

transparence

Privacy policy

Attirer la

confiance des

clients, prospects

et investisseurs)

Enjeu de la collecte loyale

16

EN RESPECTANT LA LOI

INFORMATIQUE ET LIBERTÉS

Optimisez les contrats de Cloud

Computing

Thème 3 :

17

On s’accorde pour définir le Cloud

computing comme une forme évoluée

d’externalisation, dans laquelle le

client ou l’utilisateur dispose d’un

service en ligne dont l’administration

et la gestion opérationnelle sont

effectuées par un sous-traitant.

Points essentiels à vérifier avant de signer un contrat de Cloud

computing :

Valider l’adéquation entre vos besoins et la solution de Cloud, en

termes de capacités de stockage et d’archivage des données

S’assurer contre la perte des données / modalités de sauvegarde

Niveau de sécurité de la solution de Cloud

Répartir les responsabilités entre les acteurs

Demander où sont localisés les serveurs Cloud

La solution du Cloud Computing

18

Préambule : Rédaction importante car représente la lumière à laquelle

est interprété le contrat par le juge

Informatique et libertés et notamment les flux transfrontières de

données : autorisation de la Cnil et/ou assurance d’un degré de protection

adéquat dans le pays qui héberge les données

Sécurité : Procédures techniques de sécurisation, protection du

terminal et du réseau, procédure d’habilitation et d’authentification

Qualité du service et délai de réaction du prestataire en cas de

pannes

Evolutivité de la solution

Protection contre la perte des données

Clause de confidentialité : importante surtout lorsque le client est lui-

même tenu au secret / Cloud de données médicales ou sensibles

Durée du contrat et possibilité de changer de prestataire

Sécuriser votre contrat de Cloud

19

Que deviennent vos données à l’issue du contrat?

Réversibilité : Modalités de restitution des données au client

sous quel format : compatibilité avec un logiciel standard ou le

système d’un autre prestataire

délai de restitution

directement auprès d’un tiers que vous aurez choisi

Prévoir une obligation de suppression des données chez le

prestataire

Modalités adaptées au degré de confidentialité des données

Accusé de suppression

Gérer la fin du contrat de Cloud

20

MERCI POUR VOTRE ATTENTION !

Des questions?....

21

HAAS SOCIETE D'AVOCATS

Tel : 01 56 43 68 80

Fax : 01 40 75 01 96 Email : contact@haas-avocats.com

www.jurilexblog.com

87 BD DE COURCELLES 75008 PARIS

Métro Ternes

22