Don du Sang & Homosexualité : Légalité de la Conservation des Données Sans le Consentement du Donneur

septembre 11, 2015 by

La Chambre criminelle de la Cour de cassation a rejeté le 8 juillet 2015 un pourvoi contre un arrêt de la chambre de l’instruction de la cour d’appel de Paris du 18 avril 2013, qui avait confirmé une ordonnance de non-lieu du juge d’instruction dans une affaire où un homme avait porté plainte pour discrimination sexuelle après que son don du sang ait été refusé par deux hôpitaux parisiens en raison de son homosexualité.PC042307

Laurent X. souhaitait faire don de son sang en 2004, mais ce don fut refusé par l’hôpital Saint-Louis de Paris en raison de l’homosexualité du donneur. Un autre établissement hospitalier de la capitale refusa également le don en 2006, expliquant à Mr. X. qu’il était référencé sous le code « FR 08 »correspondant à la catégorie « homosexuel ».

Mr. X. déposa plainte pour discrimination à raison de l’orientation sexuelle, réprimé par les articles 225-1 à 225-3 du Code pénal. Le juge d’instruction rendit une ordonnance de refus d’informer, car, selon lui, le don de sang n’est pas la fourniture d’un bien ou d’un service au sens de l’article 225-2 2 du Code pénal selon lequel la discrimination consiste à refuser la fourniture d’un bien ou d’un service.

En appel, la chambre de l’instruction infirma l’ordonnance au motif que le juge d’instruction aurait du vérifier si la mise et la conservation en mémoire de données à caractère personnel touchant à l’orientation sexuelle sans le consentement de l’intéressé étaient autorisées par la loi. En effet, l’article 226-19 du Code pénal punit de cinq ans d’emprisonnement et de 300 000 € d’amende « le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée, sans le consentement exprès de l’intéressé, des données à caractère personnel qui, directement ou indirectement, (…)  sont relatives à  (…)[l’]identité» sexuelle [des personnes] ».

Le juge rendit une ordonnance de non-lieu. Mr. X. releva appel, mais l’ordonnance de non-lieu fut confirmée par la chambre de l’instruction qui écarta l’article 226-19 du Code pénal, en se fondant sur l’article L. 1223-3 du code de la santé publique et l’arrêté du 10 septembre 2003 du ministre de la santé publique, relatif aux bonnes pratiques en matière de transfusion sanguine, pour dire l’incrimination prévue par l’article 226-19 du code pénal n’était pas applicable à l’espèce. Selon l’Annexe II de l’arrêté du 12 janvier 2009 fixant les critères de sélection des donneurs de sang, avoir eu, pour un homme, des rapports sexuels avec un homme, est une contre-indication permanente au don du sang.

Mr. X. se pourvu en cassation et posa en outre une question prioritaire de constitutionalité qui fut transmise par la Cour de cassation au Conseil constitutionnel. Selon Mr. X. ,en faisant exception à l’obligation de recueillir le consentement exprès d’une personne désireuse de donner son sang avant de conserver en mémoire informatisée des données à caractère personnel relatives à la santé et l’orientation sexuelle de cette dernière, les dispositions combinées des articles 226-19 du code pénal et de l’article L. 1223-3 du code de la santé publique méconnaissent le principe de légalité des délits et des peines, l’exigence de prévisibilité de la loi, garantis par l’article 8 de la Déclaration des droits de l’homme et du citoyen de 1789 ainsi que l’exigence constitutionnelle de consentement à la captation et à la conservation de données personnelles, garantie par l’article 2 de la Déclaration de 1789.

Le Conseil constitutionnel se prononça par la négative. Selon lui, les dispositions de l’article L. 1223-3 du code de la santé publique n’ont pas pour objet de définir une exception à l’article 226-19 du Code pénal. Ces exceptions sont définies, « en particulier », par l’article 8 de la loi du 6 janvier 1978, dont l’alinéa 1 interdit la collecte des données à caractère personnel relatives à la santé ou à la vie sexuelle des personnes, et dont l’alinéa 2 énumère les exceptions à ce principe, parmi lesquels « les traitements nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l’administration de soins ou de traitements, ou de la gestion de services de santé». Le Conseil constitutionnel avait déclaré conforme à la Constitution l’article 8 de la loi du 6 janvier 1978 (décision du 29 juillet 2004).

Dans notre espèce, la Cour de cassation rappela tout d’abord que la chambre de l’instruction avait vérifié le protocole suivi par l’hôpital, qui avait bien informé Mr. X. de la nécessité de collecter certaines informations sensibles afin de protéger la santé des transfusés.

La Cour de cassation souligna que, si s’était bien à tort que la chambre de l’instruction s’était fondée sur l’article L. 1223-3 du code de la santé publique pour dire que l’article 226-19 du code pénal ne s’appliquait pas en l’espèce, sa décision n’encourrait néanmoins pas la cassation, car l’article 8 de la loi du 6 janvier 1978 s’applique en l’espèce, et elle rejeta le pourvoi en cassation. Selon la Cour de cassation :

« l’exception à l’exigence d’un consentement de la personne à l’enregistrement et à la conservation de données personnelles relatives à la santé ou à l’orientation sexuelle, qui découle des dispositions combinées des articles 226-19 du code pénal et 8 de la loi du 6 janvier 1978, constitue une mesure légitime, nécessaire à la protection de la santé, définie par la loi avec suffisamment de précision pour éviter l’arbitraire, et de nature à assurer, en l’état, entre le respect de la vie privée et la sauvegarde de la santé publique, une conciliation qui n’est pas déséquilibrée. »

Mr. X. a décidé de saisir la Cour européenne des droits de l’homme.

 

Image is courtesy of Flickr user Bjorn Watland under a CC BY-SA 2.0 license

Filed Under: MAW-LAW, Protection Données Personnelles

La CNIL Publie Une Fiche d’Information sur le BYOD

mars 24, 2015 by

La Commission Nationale de l’Informatique et des Libertés  (CNIL) a publié le mois dernier une fiche d’information sur les bonnes pratiques « BYOD ».

2696314442_2bc8dc3298_m

BYOD est l’acronyme de « Bring Your Own Device », dont l’équivalent français est « AVEC », c’est à dire « Apportez Votre Equipement personnel de Communication », et qui désigne la pratique pour les employés d’apporter leurs outils de communication personnels dans l’entreprise et de les utiliser à des fins professionnelles.

Les employés connectent ainsi leur ordinateur portable ou leur tablette au système informatique de l’entreprise et les utilisent afin de créer des documents professionnels, ou bien ils utilisent leur téléphone portable personnel pour envoyer et recevoir des courriels et des textos professionnels. Cette pratique intéresse le droit social, en particulier le droit de la protection de la vie privée du salarié, mais également la protection des données personnelles traitées par l’entreprise, ainsi que la sécurité du système informatique de l’entreprise.

Le BYOD et la protection de la vie privée du salarié

Rappelons que la Cour de cassation considère que « les fichiers créés par le salarié à l’aide de l’outil informatique mis à sa disposition par l’employeur pour les besoins de son travail sont présumés avoir un caractère professionnel, en sorte que l’employeur est en droit de les ouvrir hors la présence de l’intéressé, sauf si le salarié les identifie comme étant personnels » (Soc. 10 mai 2012, n° 11-13.884). Cette jurisprudence peut-elle également s’appliquer si le salarié a créé un fichier à l’aide d’un outil informatique personnel, mais connecté au système informatique de l’entreprise, qui lui, est bien « mis à la disposition par l’employeur » ? En ce cas, il faudrait que le salarié identifie tous ses fichiers personnels comme tels, même si seulement quelques fichiers sauvegardés sur son outil personnel sont professionnels, et ce afin de garantir que l’employeur ne puisse y accéder hors de sa présence…

Cela ne paraît pas souhaitable, et ce n’était pas la solution retenue par la Chambre sociale, quelques jours après l’arrêt du 10 mai 2012. Selon la Cour de cassation, un employeur ne peut pas « procéder à l’écoute d [‘]enregistrements réalisés par [une salariée] sur son dictaphone personnel en son absence ou sans qu’elle ait été dûment appelée » (Soc. 23 mai 2012, n° 10-23.521). Il semblait  bien, après cet arrêt, que les tous les outils de communications personnels utilisés de manière professionnelle, ainsi que les fichiers qu’ils contiennent, devaient être considérés comme personnels, et que, par conséquent, un employeur ne pouvait y accéder hors de la présence de l’employé.

Mais la Chambre sociale rendit un autre arrêt le 12 février 2013 où elle considéra cette fois qu’« une clé USB, dès lors qu’elle est connectée à un outil informatique mis à la disposition du salarié par l’employeur pour l’exécution du contrat de travail, étant présumée utilisée à des fins professionnelles, l’employeur peut avoir accès aux fichiers non identifiés comme personnels qu’elle contient, hors la présence du salarié » (Soc. 12 févr. 2013, n° 11-28.649). Il semble bien que les outils personnels de communication électronique des employés, utilisés à des fins professionnelles, doivent être considérés comme des outils professionnels, et les fichiers qu’ils contiennent doivent être considérés comme professionnels, à moins que leur caractère personnel ne soit clairement indiqué. Il est vrai qu’une clé USB n’est pas un outil de communication électronique et sa fonction est uniquement de conserver des fichiers, non d’en créer, mais il semble que la Cour de cassation attache de l’importance à la connexion à un outil informatique professionnel mis à la disposition de l’employé pour décider de la nature, professionnelle ou bien personnelle, d’un outil particulier.

Le BYOB et la sécurité des données personnelles

L l’utilisation du BYOD comporte un risque pour la sécurité des données personnelles traitées par l’entreprise.  La CNIL rappelle dans sa fiche d’information que :

« L’employeur est responsable de la sécurité des données personnelles de son entreprise, y compris lorsqu’elles sont stockées sur des terminaux dont il n’a pas la maîtrise physique ou juridique, mais dont il a autorisé l’utilisation pour accéder aux ressources informatiques de l’entreprise ».

En effet, l’article 34 de la loi Informatiques et Libertés donne au responsable du traitement la responsabilité de préserver la sécurité des données et, notamment, d’« empêcher que des tiers non autorisés y aient accès ». Par conséquent, l’employé risque, par exemple, de voir effacer toutes les données personnelles contenues dans son téléphone ou son ordinateur portable si l’employeur efface à distance tous ses fichiers afin de protéger les données personnelles qu’il contient afin de satisfaire ainsi à son obligation de protection des données personnelles.

Il est nécessaire pour l’entreprise d’avoir des règles BYOD

Ces règles devraient informer les employés de leurs droits, mais également de leurs responsabilités, telles que, par exemple :

  • L’obligation d’avoir un mot de passe
  • L’obligation d’encrypter les données
  • L’obligation de ne pas consulter les données de l’entreprise en utilisant un réseau non sécurisé

La CNIL offre des pistes dans sa fiche d’information, telle que :

« cloisonner les parties de l’outil personnel ayant vocation à être utilisées dans un cadre professionnel (création d’une « bulle de sécurité ») ;

contrôler l’accès distant par un dispositif d’authentification robuste de l’utilisateur (si possible à l’aide d’un certificat électronique,  d’une carte à puce…) ;

mettre en place des mesures de chiffrement des flux d’informations (VPN, HTTPS, etc.) ;

prévoir une procédure en cas de panne/perte du terminal personnel (information de l’administrateur réseau, mise à disposition d’un équipement alternatif professionnel, effacement à distance des données professionnelles stockées sur le terminal personnel) ;

exiger le respect de mesures de sécurité élémentaires telles que le verrouillage du terminal avec un mot de passe suffisamment robuste, renouvelé régulièrement (8 caractères avec des lettres minuscules, majuscules, des chiffres et des caractères spéciaux) et l’utilisation d’un antivirus à jour ».

En outre, l’entreprise pourrait  adresser dans ce document la question du coût des communications  téléphoniques et électroniques professionnelles effectuées sur un outil de communication personnel. Aux États-Unis, une cour d’appel de la Californie a décidé en 2014 que le droit du travail de la Californie requiert que l’employeur rembourse les employés qui utilisent leur téléphone portable personnel pour des communications professionnelles durant le weekend (Cochran v Schwan’s Home Service, Inc.). Aucun tribunal français n’a eu à juger un tel cas, mais cela pourrait venir.

Le recours au BYOD ne nécessite pas de nouvelle déclaration à la CNIL

La CNIL précise dans sa fiche que :

« Lorsque l’employeur a effectué une déclaration normale de gestion du personnel incluant le traitement des données personnelles pour assurer la sécurité et le bon fonctionnement des systèmes d’information, il n’y a pas lieu de procéder à une nouvelle déclaration du fait du recours au BYOD. C’est le cas aussi s’il a désigné un Correspondant informatique et libertés ».

Cette « déclaration normale » est la déclaration simplifiée n°46, qui permet aux entreprises de  bénéficier d’une  procédure de déclaration simplifiée de conformité de leur traitement automatisé relatif à la gestion du personnel s’ils répondent aux conditions énumérées par la norme.

La CNIL indique au bas de sa fiche plusieurs textes de référence, en particulier l’article L2323-32 et l’article L.1222-4 du code du travail. Selon l’article L.1222-4, « Aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance ». En outre, selon l’article L.2323-32, le comité d’entreprise doit être  informé « préalablement à leur introduction dans l’entreprise, sur les traitements automatisés de gestion du personnel et sur toute modification de ceux-ci. »

La CNIL n’a pas cité l’article L.2323-13 du code du travail, selon lequel « [l]e comité d’entreprise est informé et consulté, préalablement à tout projet important d’introduction de nouvelles technologies, lorsque celles-ci sont susceptibles d’avoir des conséquences sur l’emploi, la qualification, la rémunération, la formation ou les conditions de travail. » Il convient d’en conclure que la CNIL ne considère pas le BYOD comme « l’introduction d’une nouvelle technologie » dans l’entreprise.

Image is courtesy of Flickr user Seattle Municipal Archives under a CC BY 2.0 license

Filed Under: BYOD, MAW-LAW, Protection Données Personnelles Tagged With: , ,

Un Fichier de Données Personnelles Non Déclaré à la CNIL N’est Pas Dans Le Commerce

juillet 3, 2013 by

La chambre commerciale de la Cour de cassation vient d’énoncer dans l’arrêt n° 685 du 25 juin 2013 que, puisque tout fichier informatisé contenant des données à caractère personnel doit faire l’objet d’une déclaration auprès de la Commission nationale de l’informatique et des libertés (CNIL), la vente d’un fichier non déclaré doit être déclarée nulle, car il n’est pas dans le commerce.  

L’arrêt a été rendu au visa de l’article 1128 du code civil, et de l’article 22 de la loi n° 78-17 du 6 janvier 1978, la loi Informatique et Libertés.

L’article 22 de la loi Informatique et Libertés pose en principe général la déclaration des traitements automatisés de données à caractère personnel auprès de la Commission nationale de l’informatique et des libertés.

L’article 1128 du Code civil dispose qu’«[i]l n’y a que les choses qui sont dans le commerce qui puissent faire l’objet des conventions » Les conventions, c’est-à-dire les contrats, tel un contrat de vente. En l’espèce, un particulier fait assigner une société en nullité de la vente d’un fichier de clients informatisé. Le fichier de clientèle aurait dû être déclaré à la Commission nationale informatique et libertés (la CNIL) mais ne l’avait pas été. La  cour d’appel de Rennes refusa le 17 janvier 2012 d’annuler la vente du fichier en arguant que la loi Informatique et Libertés ne prévoit pas que l’absence de déclaration à la CNIL emporte la nullité du contrat.

Cet arrêt a été cassé le 25 juin 2013 par la Cour de cassation. Selon l’attendu, « en statuant ainsi, alors que tout fichier informatisé contenant des données à caractère personnel doit faire l’objet d’une déclaration auprès de la CNIL et que la vente par la société Y d’un tel fichier qui, n’ayant pas été déclaré, n’était pas dans le commerce, avait un objet illicite, la cour d’appel a violé les textes susvisés. »

Un contrat de vente nul doit être considéré comme n’ayant jamais existé. L’arrêt de la Cour de cassation devrait inciter les entreprises soucieuses de protéger leurs biens immatériels à déclarer leurs fichiers à la CNIL. D’autant plus que les fichiers clients ont parfois une grande valeur marchande. Selon un rapport du World Economic Forum publié en mai 012, « les données personnelles représentent une classe d’actifs émergente, potentiellement tout aussi précieux que d’autres actifs tels que les biens échangés tels que l’or ou le pétrole » (voir p. 7)

Filed Under: Protection Données Personnelles Tagged With: , , ,