Cas pratique - Master 2 Droit du numerique PDF

Preview

Summary

Master 2 Droit du numerique...

Description

Cas pratique DPeau est une entreprise spécialisée en cosmétique et soins de la peau. Ils proposent à la vente divers produits de soin dans le marché français depuis 15 ans. Vous venez d’être engagé comme juriste spécialisé en protection des données personnelles de l’entreprise, rattaché au bureau du DPO. Grâce à une technologie révolutionnaire, les ingénieurs de DPeau ont conçu une application mobile pouvant être utilisée par ses clients. Le concept est simple : via l’application, chaque client peut prendre une photo de son visage, l’application analyse le visage et définit en quelques secondes les besoins spécifiques et personnalisés de ses clients (hydratation, soins anti-boutons, crème anti points noirs etc.) et propose ensuite les produits DPeau appropriés. Le département IT vient vous consulter. La direction de l’entreprise, ayant remarqué engouement pour le bio, a décidé d’élaborer une gamme de produits hydratants bio. Afin de communiquer sur ce nouveau produit, DPeau a planifié l’envoi de newsletters à ses clients et voudrait utiliser toute la base de données client depuis la création de l’entreprise. L’idée est de viser aussi ceux qui n’ont plus acheté leurs produits depuis plusieurs années et peut-être les attirer de nouveau. Le département marketing vient vous consulter. DPeau a aussi décidé de collaborer avec Bioloop, chaîne de magasins bio (produits alimentaires). Un contrat d’un an est signé entre les deux entreprises pour que Bioloop propose à la vente les produits hydratants bios DPeau dans ses différents magasins de la chaine Bioloop en France. DPeau voudrait en profiter pour communiquer sur ses divers produits (bio ou autres produits non-bio), auprès des clients de Bioloop. Qu’en pensez-vous ? Identifiez les problématiques (et faisabilité) des divers projets.

1.

Application mobile

Selon l’article 4 du RGPD les données à caractère personnelles sont « (…) toute information se rapportant à une personne physique identifiée ou identifiable(…) », par conséquent une photo permettant d’identifier une personne physique est une donnée à caractère personnel. L’article 4 définit aussi les données biométriques en étant «(…) les données à caractère personnel résultant d'un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques ». L’image faciale d’une personne est alors par nature une donnée biométrique. Mais elle peut perdre cette qualité eu égard à la manière dont elle est traitée et plus encore, à l’usage auquel on la destine : Selon le considérant 51 du RGPD, « (…) le traitement des photographies ne devrait pas systématiquement être considéré comme constituant un traitement de catégories particulières de données à caractère personnel, étant donné que celles-ci ne relèvent de la définition de données biométriques que lorsqu'elles sont traitées selon un mode technique spécifique permettant l'identification ou l'authentification unique d'une personne physique ». Dans le cas de l’application mobile développé par les ingénieurs de l’entreprise Dpeau, le processus ne se limite pas à prendre la photo du visage des utilisateurs, mais il s’étend à une analyse du visage pour déterminer ses besoins pour en proposer par suite des produits convenables. On peut remarquer alors que les photos seront traitées selon un mode technique spécifique qui permet l’identification unique de la personne physique utilisateur de

l’application mobile. Le traitement d’une photo du visage facial peut assurer l’identification des personnes selon plusieurs critères comme surtout au niveau des yeux (Couleur, l’empreinte, l’éloignement,…). Par conséquent, le traitement des photos de visage des utilisateurs serait considéré comme un traitement de « catégories spéciales de données personnelles », en l’occurrence « des données biométriques » dont le traitement n’est pas normalement autorisé, et nécessite par suite le consentement des personnes concernées. Ce projet devra en outre faire l’objet d’une analyse d’impact relative à la protection des données (AIPD). (De telles données à caractère personnel ne devraient pas faire l'objet d'un traitement, à moins que celui-ci ne soit autorisé dans des cas spécifiques prévus par le présent règlement, compte tenu du fait que le droit d'un État membre peut prévoir des dispositions spécifiques relatives à la protection des données visant à adapter l'application des règles du présent règlement en vue de respecter une obligation légale ou pour l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement. Outre les exigences spécifiques applicables à ce traitement, les principes généraux et les autres règles du présent règlement devraient s'appliquer, en particulier en ce qui concerne les conditions de licéité du traitement. Des dérogations à l'interdiction générale de traiter ces catégories particulières de données à caractère personnel devraient être explicitement prévues, entre autres lorsque la personne concernée donne son consentement explicite ou pour répondre à des besoins spécifiques, en particulier lorsque le traitement est effectué dans le cadre d'activités légitimes »)

2.

L’utilisation de toute la base de données client depuis la création de l’entreprise pour la newsletter :

Selon l’article 5, e) du RGPD « les données à caractère personnel doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées; (…) » Par conséquent, la durée de conservation des données à caractère personnel ne peut être illimitée. Elle doit être proportionnée à la finalité du traitement. Par suite DPeau, ne peut conserver la même base de données créé dès sa création depuis 15 ans. Art. L. 34-5 CPCE : « Est interdite la prospection directe au moyen d'un automate d'appel, d'un télécopieur ou d'un courrier électronique utilisant, sous quelque forme que ce soit, les coordonnées d'une personne physique qui n'a pas exprimé son consentement préalable à recevoir des prospections directes par ce moyen. (…) Toutefois, la prospection directe par courrier électronique est autorisée si les coordonnées du destinataire ont été recueillies directement auprès de lui, dans le respect des dispositions de la loi n° 78-17 du 6 janvier 1978 (…), à l'occasion d'une vente ou d'une prestation de services, si la prospection directe concerne des produits ou services analogues fournis par la même personne physique ou morale, et si le destinataire se voit offrir, de manière expresse et dénuée d'ambiguïté, la possibilité de s'opposer, sans frais (…) et de manière simple, à l'utilisation de ses coordonnées lorsque cel65les-ci sont recueillies et chaque fois qu'un courrier électronique de prospection lui est adressé ». + Jurisprudence On peut par suite distinguer plusieurs situations : 

L’utilisation des données relatives à des personnes qui ont déjà donné leur consentement pour recevoir des newsletters sur les produits de DPeau : -

Si le consentement est obtenu ou recueilli avant le 25 mai 2018, il peut demeurer valide, à condition qu’il soit conforme aux dispositions désormais prévues par le RGPD. Si le consentement n’est pas conforme au RGPD, le responsable du traitement DPeau doit rafraîchir ou compléter le

consentement recueilli auprès des personnes afinz5 d’être considéré valide et conforme aux exigences du RGPD pour pouvoir envoyer des newsletters à ces personnes. -

Si le consentement est recueilli après le 25 mai 2018 conformément aux dispositions du RGPD, il est valide.

Dans les deux cas, le consentement doit être un acte libre, donné de manière claire et univoque. En outre les personnes doivent avoir donné leur consentement sur la finalité de la réception des publicités et newsletters concernant des nouveaux produits de l’entreprise DPeau. 

L’utilisation des données des clients existants :

L’envoi des newsletters à ces clients est autorisé si leurs coordonnées ont été recueillies directement auprès d’eux à l'occasion d'une vente ou d'une prestation de services, si les newsletters concernent des produits ou services analogues fournis par la même personne physique ou morale. La direction de l’entreprise Dpeau a planifié l’envoi de newsletters concernant des produits hydratants bio qui entrent alors dans la spécialisation régulière de l’entreprise qui est la cosmétique et les soins de la peau. Par suite, les produits hydratants bio sont des produits analogues à ceux qui sont déjà vendu par l’entreprise, par conséquent l’envoi des newsletters à ces clients concernant ces produits est légal. La Cnil recommande que les coordonnées d’un prospect qui ne répond à aucune sollicitation pendant 3 ans soient supprimées.  Les newsletters ne peuvent pas alors être envoyées aux adresses des personnes dont leur contact est dans la base depuis plus de 3 ans et que ces personnes n'ont pas renouvelé leur consentement ou aussi s’ils ont exprimé la volonté d'exercer leur droit à l'oubli. Par conséquent, si une durée de 3 ans a passé depuis la dernière transaction avec ce client, l’entreprise Dpeau ne peut pas l’envoyer des newsletters.

3.

La communication du DPeau sur ses divers produits (bio ou autres produits non-bio), auprès des clients de Bioloop

En l’absence de lien contractuel direct entre DPeau et les clients de Bioloop, le consentement des clients de Bioloop est nécessaire avant de procéder à leur envoyer des publicités sur les produits de DPeau. Mais toutefois, il faut savoir si durant la collecte des données des clients de Bioloop, si les clients ont donné leur consentement pour recevoir des publicités des partenaires de Bioloop. Dans ce cas, Dpeau peut envoyer des publicités aux clients de Bioloop....