Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - 89
Obligation de sécurité : Orange
responsable de ses sous-traitants
Dans une décision du 30 décembre 2015 (voir p. 108),
le Conseil d'Etat a confirmé la délibération de la Cnil
du 7 août 2014 qui avait sanctionné Orange pour ne pas
s'être assuré des mesures de sécurité prises par ses
sous-traitants pour protéger les données personnelles
confiées. Le Conseil d'Etat rappelle qu'« il résulte de
l'article 34 de la loi du 6 janvier 1978 que la circonstance
que des opérations de traitement de données soient
confiées à des sous-traitants ne décharge pas le
responsable du traitement de la responsabilité qui lui
incombe de préserver la sécurité des données ». Et le
fait pour Orange d'avoir introduit une obligation de
sécurité dans le contrat à la charge de son prestataire
et de ses sous-traitants ne le dispensait pas de prendre
des mesures positives destinées à assurer lui-même
que la sécurité de ses données soit préservée.
Le 18 avril 2014, une intrusion illicite sur le serveur
d'un sous-traitant de Gutenberg, le prestataire
d'emailing d'Orange, avait permis une fuite de
1,3 million de données personnelles d'abonnés ou de
prospects d'Orange. Ce dernier avait notifié l'incident
à la Cnil, comme l'article 34 bis l'y oblige. A la suite
de cette notification, l'autorité de contrôle avait opéré
une mission de contrôle auprès des trois sociétés
concernées, ce qui lui avait permis d'identifier
plusieurs lacunes en termes de sécurité des données.
Il était d'abord reproché à Orange de ne pas avoir
procédé à un audit de sécurité avant d'utiliser la
solution technique de son prestataire pour l'envoi de
campagnes d'emailing alors que cette mesure lui
aurait permis d'identifier la faille de sécurité. La Cnil
avait également retenu qu'Orange avait envoyé de
manière non sécurisée à ses prestataires les mises à
jour de ses fichiers clients et n'avait pas veillé à ce que
les consignes de sécurité prévues dans le contrat avec
Gutenberg soient portées à la connaissance de son
sous-traitant.
Du fait du caractère personnel des données et du
très grand nombre de personnes concernées, le
Conseil d'Etat a estimé que la Cnil avait prononcé
à bon droit une sanction contre Orange pour avoir
méconnu ses obligations de sécurité. Sur la sanction
elle-même, le Conseil d'Etat a considéré « d'une part,
que l'avertissement prononcé par la délibération
attaquée est proportionné à la nature et à la gravité
des manquements constatés, alors même qu'il n'en
est résulté qu'une atteinte à des données identifiantes
non sensibles ; d'autre part, qu'eu égard à la nature
des violations constatées et aux moyens humains
et financiers dont disposait la société Orange pour
les prévenir, la formation restreinte a pu à bon droit
décider, en application du deuxième alinéa de
l'article 46 de la loi du 6 janvier 1978, à titre de sanction
complémentaire, que l'avertissement prononcé serait
rendu public ».
LE CONSEIL D'ETAT VALIDE L'ACCÈS
ADMINISTRATIF AUX DONNÉES DE CONNEXION
Par une décision du 12 février 2016
(voir p. 112), le Conseil d'Etat a rejeté la
demande d'annulation pour excès de
pouvoir du décret du 24 décembre 2014
relatif à l'accès administratif aux
données de connexion de Reporters
sans frontières et autres. Pour la
cour suprême, le décret attaqué
ne
comporte
pas
d'atteintes
disproportionnées aux droits et
libertés garantis par la convention
européenne de sauvegarde des
droits de l'homme et des libertés
fondamentales. Le Conseil commence
par affirmer que les finalités de cet
accès administratif, notamment
pour la lutte anti-terrorisme, relèvent
de l'intérêt général. Par ailleurs,
il rappelle que l'obligation qui
incombe aux fournisseurs d'accès
à internet de conserver ces données
est fondée sur des règles précises
et contraignantes. Le décret définit
avec une précision suffisante les
conditions dans lesquelles les agents
sont susceptibles de solliciter les FAI,
estime le Conseil. Il pointe également
les garanties suffisantes de nature
à permettre un contrôle effectif des
demandes d'accès.
VIE PRIVÉE : LA MESSAGERIE PERSONNELLE DU SALARIÉ AU TRAVAIL PROTÉGÉ.
« Ayant constaté que les messages électroniques
litigieux provenaient de la messagerie personnelle de
la salariée distincte de la messagerie professionnelle
dont celle-ci disposait pour les besoins de son activité, la
cour d'appel en a exactement déduit que ces messages
électroniques devaient être écartés des débats en ce
que leur production en justice portait atteinte au secret
des correspondances ». Selon cet arrêt du 26 janvier 2016
de la chambre sociale de la Cour de cassation, tous les
messages de la messagerie électronique d'un salarié
consultés depuis le poste de travail professionnel de ce
dernier sont considérés comme privés, même s'ils ne sont
pas identifiés comme personnels. Ils ne sont donc pas
présumés professionnels.
Dans un arrêt du 19 juin 2013, la Cour avait pourtant
considéré que les emails envoyés depuis l'ordinateur
personnel d'un salarié, avec son adresse personnelle,
puis transférés sur son ordinateur professionnel, sans
qu'ils soient identifiés comme « personnels » étaient
présumés professionnels. Bien que les faits se rapportant
à l'arrêt du 26 janvier 2016 ne soient pas très précis, on peut
déduire que la différence entre les deux affaires réside
dans le transfert ou non des messages dans les fichiers
de l'ordinateur professionnel. Or, dans le dernier arrêt,
il semble que les documents n'aient pas été enregistrés
sur le poste de travail de la salariée en cause. Dans le
cas contraire, il n'aurait probablement pas été possible
de distinguer les messages professionnels des messages
personnels. On ne peut qu'attendre un autre arrêt de la
Cour de cassation pour dissiper tous nos doutes.
EXPERTISES MARS 2016
89
Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411
Couverture
Sommaire
MAGAZINE - SÉCURITÉ : LA POMME DE DISCORDE Par Sylvie ROZENFELD
INTERVIEW - PATRICK THIÉBART LE CO-EMPLOI : RÉPONSE À L’UBÉRISATION DU TRAVAIL, Par Sylvie ROZENFELD
DOCTRINE
DROIT DE LA PREUVE ÉQUIVALENCE ENTRE L’ORIGINAL PAPIER ET LA COPIE NUMÉRIQUE Par Isabelle RENARD
NUMÉRIQUE LE LÉGISLATEUR FACE AU DÉFI DE LA RÉGULATION Par Viviane GELLES
CYBERMENACES LE FIC 2016 À L’HEURE DU CONSEIL JAI Par Myriam QUÉMÉNER
E-RÉPUTATION PROTECTION DE LA VIE PRIVÉE PAR L’ANONYMISATION ET LE DÉRÉFÉRENCEMENT Par Jérôme DEBRAS
JURISPRUDENCE
ORANGE
F. B-H. / 20 MINUTES FRANCE
FRENCH DATA NETWORK ET AUTRES
FRÉDÉRIC X. / FACEBOOK INC.
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - Couverture
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - Sommaire
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - MAGAZINE - SÉCURITÉ : LA POMME DE DISCORDE Par Sylvie ROZENFELD
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - 84
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - 85
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - 86
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - 87
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - 88
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - 89
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - 90
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - 91
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - 92
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - INTERVIEW - PATRICK THIÉBART LE CO-EMPLOI : RÉPONSE À L’UBÉRISATION DU TRAVAIL, Par Sylvie ROZENFELD
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - 94
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - 95
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - 96
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - DROIT DE LA PREUVE ÉQUIVALENCE ENTRE L’ORIGINAL PAPIER ET LA COPIE NUMÉRIQUE Par Isabelle RENARD
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - 98
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - NUMÉRIQUE LE LÉGISLATEUR FACE AU DÉFI DE LA RÉGULATION Par Viviane GELLES
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - 100
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - 101
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - CYBERMENACES LE FIC 2016 À L’HEURE DU CONSEIL JAI Par Myriam QUÉMÉNER
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - 103
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - 104
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - E-RÉPUTATION PROTECTION DE LA VIE PRIVÉE PAR L’ANONYMISATION ET LE DÉRÉFÉRENCEMENT Par Jérôme DEBRAS
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - 106
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - 107
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - ORANGE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - 109
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - F. B-H. / 20 MINUTES FRANCE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - 111
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - FRENCH DATA NETWORK ET AUTRES
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - 113
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - FRÉDÉRIC X. / FACEBOOK INC.
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - 115
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2016 - n°411 - 116
https://www.nxtbook.fr/newpress/celog/celog-expertises-2210_483
https://www.nxtbook.fr/newpress/celog/celog-expertises-2209_482
https://www.nxtbook.fr/newpress/celog/celog-expertises-2207_481
https://www.nxtbook.fr/newpress/celog/celog-expertises-2206_480
https://www.nxtbook.fr/newpress/celog/celog-expertises-2205_479
https://www.nxtbook.fr/newpress/celog/celog-expertises-2204_478
https://www.nxtbook.fr/newpress/celog/celog-expertises-2203_477
https://www.nxtbook.fr/newpress/celog/celog-expertises-2202_476
https://www.nxtbook.fr/newpress/celog/celog-expertises-2201_475
https://www.nxtbook.fr/newpress/celog/celog-expertises-2112_474
https://www.nxtbook.fr/newpress/celog/celog-expertises-2111_473
https://www.nxtbook.fr/newpress/celog/celog-expertises-2110_472
https://www.nxtbook.fr/newpress/celog/celog-expertises-2109_471
https://www.nxtbook.fr/newpress/celog/celog-expertises-2107_470
https://www.nxtbook.fr/newpress/celog/celog-expertises-2106_469
https://www.nxtbook.fr/newpress/celog/celog-expertises-2105_468
https://www.nxtbook.fr/newpress/celog/celog-expertises-2104_467
https://www.nxtbook.fr/newpress/celog/celog-expertises-2103_466
https://www.nxtbook.fr/newpress/celog/celog-expertises-2102_465
https://www.nxtbook.fr/newpress/celog/celog-expertises-2101_464
https://www.nxtbook.fr/newpress/celog/celog-expertises-2012_463
https://www.nxtbook.fr/newpress/celog/celog-expertises-2011_462
https://www.nxtbook.fr/newpress/celog/celog-expertises-2010_461
https://www.nxtbook.fr/newpress/celog/celog-expertises-2009_460
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com