Le 28 décembre 2021, la société Free mobile s’est vue infliger une amende de 300 000 € par la formation restreinte de la CNIL. Les motifs invoqués étaient le non-respect des droits des personnes concernées par le traitement des données personnelles et le non-respect de l’obligation pour le responsable de traitements de garantir la sécurité des données personnelles qu’il traite.

 

L’organisme de contrôle a choisi de rendre la sanction publique afin d’appuyer l’importance pour les responsables de traitements de respecter ces obligations.

Faits :

Entre décembre 2018 et novembre 2019, dix-neuf plaintes ont été adressées à la CNIL, sur la difficulté pour les plaignants d’exercer leurs droits d’accès et de rectification de leurs données personnelles et leur droit de s’opposer à recevoir des messages de prospection commerciale.

En janvier 2021, la CNIL a réalisé deux contrôles dans les locaux de Free mobile et un contrôle sur pièce en juin 2021, via un questionnaire adressé par l’organisme de contrôle à la société en cause.

En août 2021, le rapporteur a adressé à Free Mobile un rapport faisant état de certains manquements au RGPD sur lesquels la formation restreinte a été amenée à se pencher, prenant en considération les observations formulées successivement par les parties au litige.

Ainsi notamment, s’agissant :

•  des manquements invoqués à l’obligation de Free Mobile de respecter le droit d’accès des personnes aux données personnelles les concernant : il est rappelé que le responsable de traitement dispose d’un délai d’un mois pour répondre à l’exercice par une personne de son droit d’accès à ses données personnelles (deux mois supplémentaires en cas de complexité). Free Mobile n’avait pas répondu aux plaignants suite à leur sollicitation. La formation restreinte de la CNIL a ici retenu qu’il y avait manquement à la législation, relevant notamment que « l’argument selon lequel les faits reprochés à la société auraient un caractère isolé et ne constitueraient dès lors pas un manquement aux dispositions applicables » devait être considéré comme inopérant car « si les plaintes reçues par la CNIL ne révèlent en effet pas l’existence d’un manquement structurel en matière de droit d’accès, il n’en demeure pas moins que la société a méconnu ses obligations dans le traitement des demandes de Messieurs […] et […], alors que celles-ci étaient clairement formulées. » La CNIL souligne cependant que dans le cadre de la procédure, la société a pris des mesures de mise en conformité et a répondu aux plaignants.
  du manquement invoqué relatif au droit de rectification : la plaignante reprochait à Free Mobile d’avoir rencontré des difficultés dans l’exercice de ce droit, cette dernière ne modifiant pas son adresse postale sur ses factures malgré de multiples demandes en ce sens. Free Mobile rétorquait que la plaignante pouvait faire le changement directement dans son espace abonné et qu’elle ne pouvait faire de son côté ce changement rapidement car le sujet du changement l’adresse doit en interne suivre un process spécifique de lutte contre la fraude. Sur ce point, la formation restreinte de la CNIL a retenu qu’il n’y avait pas de manquement au vu des explications apportées.

 

• des manquements invoqués relatifs aux demandes d’opposition : les plaignants avaient formulé des demandes d’opposition au traitement de leurs données à des fins de prospection commerciale, non prises en compte par Free Mobile. Cette dernière répondait entre autres que ces saisines avaient été réalisées au moment de l’entrée en vigueur du RGPD et qu’elles représentaient un nombre minime au vu de la masse de ses clients. Les arguments ainsi présentés ont été jugés insuffisants par la commission qui a retenu les manquements caractérisés.

 

• un manquement invoqué relatif à l’obligation de protéger les données personnelles dès la conception : le plaignant reprochait à Free Mobile de lui adresser des factures faisant état d’une ligne mobile résiliée. Free Mobile répondait que cela était nécessaire dans la mesure où la ligne en cause était la principale, à laquelle étaient rattachées d’autres lignes secondaires. La formation restreinte a retenu qu’un « identifiant permettant d’identifier le débiteur des différentes lignes mobiles (principales et secondaires) [pouvait] être utilisé à la place » pour conclure à un manquement.

 

• des manquements invoqués à l’obligation d’assurer la sécurité des données à caractère personnelles : la commission restreinte avait identifié que les mots de passe des espaces utilisateurs étaient fournis aux utilisateurs en clair par courrier au moment de la souscription d’une offre. Free Mobile rétorquait qu’aucune violation de données n’avait eu lieu et qu’en tant que responsable de traitement elle était libre de choisir les mesures de sécurité qu’elle estime adéquate. Elle ajoutait que les guides et les recommandations émises par la CNIL ou l’Agence nationale de la sécurité des systèmes d’information (ANSSI) n’avaient pas de caractère impératif. L’autorité de contrôle a estimé sur ce point que les mesures de sécurité choisies n’étaient pas adaptées au risque – puisqu’un tiers pouvait accéder à un nombre important de données personnelles grâce aux identifiants en clair dans le courrier – et d’autre part que les recommandations de la CNIL et de l’ANSSI représentaient des éléments pertinents pour estimer l’état de l’art en matière de sécurité.

Ce que l’on peut retenir de cette décision :

Tout d’abord, malgré les réponses apportées par la société Free mobile – a priori ou a posteriori du contrôle – aux différentes demandes fondant les plaintes, la formation restreinte considère que l’existence d’un manquement ne saurait se limiter aux éléments attestant d’une non-conformité au jour des constatations effectuées dans le cadre de contrôle, mais peut reposer sur tout élément obtenu par les services de la CNIL ou par le rapporteur, même si au moment du contrôle il a été mis fin à cette non-conformité.

Ensuite, ce n’est pas le nombre de demandes d’exercices de droits bien traitées qui compte, mais celui de demandes non traitées. En l’espèce, sept défauts de réponses à des demandes d’exercices de droits sur six cents ainsi que plusieurs manquements annexes motivent la sanction.

Enfin, l’absence de violation de sécurité ne suffit pas non plus à éviter la sanction dès lors que le RGPD prévoit l’obligation pour le responsable du traitement de prendre toutes les mesures organisationnelles et techniques nécessaires pour assurer la sécurité des données à caractère personnel conformément à l’état de l’art.

 

Pour plus d’informations, n’hésitez pas à contacter un avocat protection des données personnelles du cabinet SOLVOXIA qui se tiendra à votre disposition. 

L’ordonnance n°2021-1658 du 15 décembre 2021 rendue juste avant Noël est venue apporter du changement s’agissant des droits sur les inventions et logiciels auxquels les stagiaires participent au sein d’une entreprise.

 

Alignant, peu ou prou, le régime des stagiaires et le régime des salariés, il s’agit d’une petite révolution en la matière, favorable aux entreprises mais également aux stagiaires.

N’hésitez pas à aller consulter notre article sur le sujet publié sur le site www.legavox.fr.

C’est par ici =>
https://www.legavox.fr/blog/solvoxia-avocats/neuf-2022-pour-inventions-logiciels-31826.htm

 

Vous souhaitez en savoir plus sur ce sujet, un avocat propriété intellectuelle du cabinet SOLVOXIA se tient à votre disposition. 

LANGLAIS Avocats cabinet basé à Nantes, la Roche-sur-Yon et Paris intervenant dans les domaines de la propriété intellectuelle, du numérique et des données personnelles devient SOLVOXIA Avocats.
Avec ce changement de nom LANGLAIS Avocats effectue, après dix ans d’existence, sa mutation suite à l’association entre Pierre LANGLAIS et Cécile GUYOT, ses deux associés.

Sous SOLVOXIA Avocats, nous nous efforcerons, comme sous LANGLAIS Avocats, de continuer au quotidien d’accompagner nos clients dans la recherche de solutions pragmatiques aux problèmes qui leur sont soumis par le biais d’échanges constants en équipe où la voix de chacun compte, fort de notre croyance en la force du collectif pour démêler des solutions complexes.

Dans la continuité de LANGLAIS Avocats, notre approche restera transverse :

 

•  en propriété intellectuelle, dans la protection et l’exploitation de vos droits en France et à l’international (dépôt et contrats), dans le suivi de vos droits (gestion de votre portefeuille de titres, renouvellement et surveillance), et dans la défense de vos droits devant les juridictions et les offices ;

 

• dans le numérique, par un accompagnement tant dans votre transformation digitale (ex : changement d’ERP, développement d’un logiciel métier spécifique, etc.) que dans le lancement de votre site internet ou application mobile, par le biais d’une assistance dans la contractualisation avec vos prestataires (ex : développeurs, graphistes, agence de communication) et l’établissement d’un cadre clair avec vos futurs clients (ex : CGV, CGU, contrats SaaS, licence, maintenance, etc.), en passant par la protection de vos droits vis-à-vis de concurrents indélicats (ex : copie de votre base de données, de vos contenus, de votre nom de domaine, etc.) et la défense de votre E-réputation.

 

• en matière de données personnelles, par la réalisation d’audits RGPD et votre mise en conformité (ex : établissement des registres de traitement, contrats de sous-traitance, politique de confidentialité, charte informatique, etc.)

 

En résumé, tchao LANGLAIS Avocats ? et longue vie à SOLVOXIA Avocats !

La décision rendue par la Cour de Justice de l’Union Européenne le 6 octobre dernier (C-13/20) est venue préciser si l’utilisateur d’un logiciel est en droit de décompiler un logiciel, sans l’autorisation de son auteur, en vue de corriger les dysfonctionnement dudit logiciel.

 

Contexte : décompilation et droits de l’auteur sur son logiciel

 

Le SELOR, organe de sélection du personnel de l’administration belge, faisait appel depuis de nombreuses années à un prestataire informatique pour développer et lui fournir des logiciels adaptés à ses besoins.

Ayant constaté divers problèmes de fonctionnement dans un des logiciels, qui malgré des échanges avec le prestataire n’avaient pas pu être résolus, le SELOR avait pris l’initiative de décompiler le logiciel pour y remédier directement.

Décompiler un logiciel, c’est-à-dire reconstituer le code source (code en langage de programmation) depuis le code exécutable (code compris et mis en œuvre par l’ordinateur), implique une reproduction et une traduction du code du logiciel.

Or, un logiciel étant protégeable par le droit d’auteur, ces actions ne sont en principe possibles qu’avec l’accord de l’auteur, sauf dans plusieurs exceptions prévues par les textes européens (en l’occurrence la directive du 23 avril 2009) :

La reproduction, la traduction, l’adaptation ou l’arrangement d’un programme, lorsque de tels actes sont nécessaires pour corriger des erreurs,
La décompilation lorsque celle-ci est indispensable pour obtenir les informations nécessaires à l’interopérabilité du logiciel avec d’autres programmes, dans des conditions strictes.
Ici, le SELOR se retrouvait donc dans une situation à mi-chemin de ces deux hypothèses : une décompilation réalisée pour corriger des erreurs.

 

Solution : la décompilation en vue de corriger une erreur peut être faite sans l’autorisation de l’auteur

 

Assez logiquement, la Cour de justice rappelle que, si la décompilation n’est pas mentionnée parmi les actes autorisés lorsqu’ils sont nécessaires pour corriger des erreurs, décompiler un logiciel n’est finalement rien d’autre que reproduire et traduire son code.

Dès lors, la décompilation est permise lorsqu’elle est strictement menée dans cette fin, d’autant plus que corriger une erreur dans un logiciel impliquera quasi-nécessairement de pouvoir accéder à son code source.

Si une telle décompilation n’est pas soumises aux conditions concernant la décompilation en vue d’assurer l’interopérabilité, elle doit en revanche :

Permettre à l’acquéreur légitime du logiciel de corriger une erreur, soit tout défaut à l’origine d’un dysfonctionnement du logiciel,
Être nécessaire, c’est-à-dire que l’utilisateur ne doit pas déjà avoir un accès au code source qui lui éviterait d’avoir à décompiler,
S’il est impossible d’écarter contractuellement, par exemple dans la licence d’utilisation, cette possibilité pour l’utilisateur, il reste possible de l’encadrer (par exemple, en insérant une obligation de maintenance à la charge de l’éditeur, la correction par l’utilisateur ne devenant possible qu’en cas de défaillance à cette obligation).

Enfin, l’utilisateur qui a corrigé l’erreur ne peut bien évidemment pas utiliser le logiciel résultant de la décompilation à d’autres fins que son usage personnel, et notamment pas le commercialiser ou le redistribuer.

 

Résumé :

 

En cas de dysfonctionnement d’un logiciel, l’utilisateur est en droit de décompiler ce logiciel afin d’en corriger les erreurs sans avoir à obtenir l’autorisation de l’auteur de ce logiciel, sauf dispositions contractuelles contraires.

 

Vous souhaitez en savoir plus sur ce sujet, un avocat propriété intellectuelle du cabinet SOLVOXIA se tient à votre disposition.