tour d’horizon des enjeux et des risques pour les entreprises · tour d’horizon des enjeux et...
TRANSCRIPT
Les réseaux sociaux, tour d’horizon des enjeux et
des risques pour les entreprises
Jeudi 4 septembre 2014 – Auditorium CCI
Réseaux sociaux : 360° des risques juridiques
04/09/14 Copyright Lexing 2014 ® Confidentiel Entreprise 2
Frédéric Forster
1. Réseaux sociaux : état des lieux 2. Réseaux sociaux et droit social
3. Réseaux sociaux : délits de presse et usurpation d’identité
4. Réseaux sociaux et « big data »
Plan
04/09/14 3
1. Réseaux sociaux : état des lieux
1. Définition
2. Chiffres 3. Actualité
4. Problématiques juridiques
04/09/14 4
1.1 Définition
Plate-forme en ligne qui permet à des individus de rejoindre ou de créer des réseaux :
• Professionnels : , Xing • Sur invitation • Ouverts : MySpace • D’entreprise : Thalès, Apec,
SFR • Communautaires :
04/09/14 5
Les réseaux sociaux relèvent de la définition des services de la société de l’information (directive 98/34/CE)
Points communs :
• fourni ture d’ informations à caractère personnel
• possibilité d’éditer des contenus (photos, articles, musique, vidéo)
• partage de ce contenu avec une liste de contacts
1.2 Chiffres (1)
04/09/14 6
1.2 Chiffres (2)
04/09/14 7
• 8 internautes sur 10 sont quotidiennement sur un réseau social
• 16% suivent des marques sur les réseaux sociaux (moyenne: 5 entreprises) (Source : Observatoire des réseaux sociaux)
• 89% des français consultent les avis en ligne avant d'acheter
• 53% des français ont été influencés par leurs amis sur Facebook avant l'achat d'un produit
• Uniquement 22 % des français font confiance aux articles de presse et aux publicités avant d'acheter un produit (Source : étude Reevoo/GMI Research)
• 25% des internautes sont prêts à appeler au boycott d’une marque sur un réseau social
• Un acheteur satisfait le dit à 3 personnes autour de lui, un acheteur mécontent à 12 personnes
1.3 Actualité
• Données personnelles : de la prédation à la redistribution, ou la valeur des données personnelles
• Presse et Pénal : les mineurs partagent leurs données personnelles, de la nécessité d’(in)former
• Recommandation Cnil : http://www.jeunes.cnil.fr/
• Big Data : IBM décrypte les messages sur les réseaux sociaux et permet aux marques de mieux comprendre les attentes des consommateurs
• Le Social Media Analytics
04/09/14 8
1.4 Problématiques juridiques
04/09/14 9
Déclaration des droits fondamentaux numériques (23-6-2009) • Toute personne a le droit d’accéder et
d’utiliser librement le réseau Internet, neutre et ouvert, sous réserve de ne pas porter atteinte à l’ordre public et aux droits d’autrui
• Toute personne a droit au respect de sa vie privée numérique et au secret de ses échanges numériques. Les systèmes d’information personnels sont assimilés au domicile privé
• La dignité numérique est un droit fondamental
• Toute personne est propriétaire des informations numériques la concernant, dans le respect des droits et libertés d’autrui. L’usage de ces informations est défini par la personne concernée
• Toute personne a le droit d’être i n f o r m é e d e l ’ e x i s t e n c e d e s informations numériques la concernant
• Le droit à l’anonymat numérique gratuit est reconnu à toute personne, sous réserve de ne pas porter atteinte à l’ordre public et aux droits et libertés d’autrui
• Toute personne a le droit de retrait des informations dont elle est propriétaire ou la concernant, sous réserve de ne pas porter un préjudice grave aux personnes physiques ou morales détenant lesdites informations et de ne pas nuire au devoir d’information générale et de réalité historique
• Toute personne a droit à une identité numérique
Des droits … Opinion du Groupe de l’article 29 (12-6-2009) • Informations sur l’identité de l’éditeur, sur
les finalités de la collecte de données et les utilisations possibles
• Protection de la vie privée : mise en place de paramétrages par défaut et autorisation de l’usage de pseudonymes
• Information des utilisateurs : Sur les risques en matière de vie privée Sur la nécessité de recueillir l’accord préalable des personnes dont l’image ou les informations personnelles sont utilisées • Insertion, dès la page d’accueil, d’un lien
permettant le dépôt de réclamations en cas d’usage non autorisé de données à caractère personnel (membres et non membres)
• Respect des textes communautaires pour
la réalisation d’opérations marketing • Mise en œuvre d’un délai maximum de
conservation (utilisateurs inactifs) et de s u p p r e s s i o n ( u t i l i s a t e u r s « abandonnistes »)
04/09/14 10
Omniprésence des réseaux
sociaux
Dans l’entreprise : évolution du droit social
Dans la Société :
infractions pénales
« Big Data » : les données,
une « monnaie » à protéger
A concilier avec …
2. Réseaux sociaux et droit social
1. Périmètre et paramètres
2. Enjeu : appréhension des réseaux sociaux par l’entreprise
3. Entreprise 2.0 et nouveaux risques
4. Illustrations : évolution des contrats de travail et des chartes des systèmes d’information
04/09/14 11
2.1 Périmètre et paramètres
04/09/14 12
Réseaux sociaux
Protection/droit du salarié
Vie personnelle
Protection/droit de
l’employeur
Vie professionnelle
Vie privée résiduelle et droit d’expression
Recrutement et données personnelles
Gestion des risques internes à l’entreprise : outils de gouvernance
Gestion des risques externes à l’entreprise
(voir infra)
2.2 Enjeu : appréhension des réseaux sociaux par l’entreprise
• Transformation des relations dans l’entreprise et politique d’entreprise • En amont : mode de recrutement, ranking, etc. • Dans l’entreprise : mode de communication interne, outils de marketing externe, vie privée résiduelle et encadrement du droit d’expression (sur les réseaux sociaux professionnels, sur les réseaux sociaux personnels), information, contribution, modération • en aval : suites de la rupture du contrat de travail à prévoir (annulation habilitation, diffamation, etc.)
• Adéquation des outils de gouvernance, définir les règles du jeu avec • Les salariés : charte réseaux sociaux, contrats de travail, règlement intérieur, charte des systèmes
d’information • Les prestataires extérieurs (prestataires de service, agences de communication, community managers, etc.) :
contrats • Les membres de la communauté : charte éditoriale, conditions générales d’utilisation
• Transformation des rapports de l’entreprise au monde extérieur • Les réseaux sociaux outils de valorisation • Les réseaux sociaux, potentiels source de nuisance
NB/ d’où vient l’information ? À destination de qui ? Conséquence pour l’employeur/conséquence pour le salarié ?
04/09/14 13
2.3 Entreprise 2.0 et nouveaux risques
04/09/14 14
Intrusion du personnel
dans le professionnel
U"l isa"on) des) réseaux)sociaux) personnels) dans) le)c ad r e) p r o f e s s i onne l) :)n é c e s s a i r e) v i e) p r i v é e)résiduelle)et)limites)
Frontière professionnel
/personnel floue
Propos)tenus)par)le)salarié)sur)s o n) r é s e a u) p e r s o nne l)concernant) le) domaine)professionnel)Probléma"que) des) contenus)diffusés)et)responsabilités)(propriété) intellectuelle,)a=einte)à)la)e?réputa"on))
Intrusion du professionnel
dans le personnel
Ranking) des) salariés) par)l’employeur) sur) données)personnelles) collectées) via)les)réseaux)sociaux))
CPH$de$Boulogne-Billancourt$19$nov.$$2010,$n°09/00316$et$09/00343$$«$Il$est$fait$observer$que$Monsieur$C.$a$choisi$dans$le$paramètre$de$son$compte,$de$partager$sa$page$Facebook$avec$«$ses$amis$et$leurs$amis$»,$permeMant$ainsi$un$accès$ouvert,$notamment$par$les$salariés$ou$anciens$salariés$de$la$société$ALTEN$SIR$;$il$en$résulte$ que$ ce$ mode$ d’accès$ à$ Facebook$ dépasse$ la$ sphère$ privée$ et$ qu’ainsi$ la$producYon$ aux$ débats$ de$ la$ page$menYonnant$ les$ propos$ incriminés$ consYtue$ un$moyen$de$preuve$licite$du$caractère$fondé$du$licenciement$»$
CA$Besançon,$15$nov.$2011,$n°10-02642$
Confirme$ le$ licenciement$ d’une$ salariée$ ayant$ tenu$des$ propos$ excessifs$ visant$ son$ employeur$ «$ ceMe$boîte$ me$ dégoûte$ (…)$ ils$ méritent$ juste$ qu’on$ leur$meMe$le$feu$à$ceMe$boîte$de$merde$!$»$sur$le$mur$d’un$collègue$qui$venait$lui$aussi$d’être$licencié.
04/09/14 15
2.4 Illustrations • Adéquation du contrat de travail
• Clause spéciale
• Règlementation par la charte des systèmes d’information
• Nécessité d’une charte définissant les règles applicables à la communication sur les réseaux sociaux :
- intégrée aux contrats de travail et aux contrats de prestation de service
- imposer la maîtrise et le respect des CGU des plateformes utilisées
- encadrer l’usage des signes distinctifs - définir une ligne éditoriale quand nécessaire
• Si réseau social interne, nécessité d’une charte des modérateurs et d’une charte de modération
04/09/14 16
FICHE REFLEXES
04/09/14 17
1
• Identification : • Frontières professionnelle / personnelle • Libertés • Responsabilités
2 • Encadrement - autorégulation :
• Conditions générales d’utilisation des réseaux sociaux • Outils de gouvernance : charte des systèmes d’information, charte réseaux sociaux, règlement
intérieur, contrat de travail
3
• Contrôle : • Veille interne / externe et audit, suivi de l’évolution des CGU des réseaux sociaux • Déclaration Cnil outils de contrôle • Information : CE, CHSCT, salariés • Formation à l’utilisation des réseaux sociaux et guides des bonnes pratiques
4
• Réaction et modalités : processus définis par l’entreprise en termes organisationnels et opérationnels • Qui ? Habilitation • Quand ? Délai (intervention-notification, preuve) • Comment ? Modération (a priori, a posteriori), restriction d’accès ou exclusion du réseau social
interne, procédure externe spécifique
3. Réseaux sociaux : délits de presse et usurpation d’identité
1. Diffamation
2. Injure 3. Usurpation d’identité
4. Stratégie de gestion des atteintes à la e-réputation
04/09/14 18
3.1 Diffamation
04/09/14 19
DIFFAMATION))Loi)29/07/1881)art.29)al.)1er)
Délit)):)12.000)euros)d’amende)et)dommages)et)intérêts))
Eléments)cons"tu"fs):))?) personne,) physique) ou) morale,)déterminée) ou) déterminable,) et) non) un)produit)ou)un)service)()=)dénigrement)))
?)Alléga"on)ou)imputa"on)d’un)fait)précis))?)A=einte)à)l’honneur)ou)à)la)considéra"on)de)la)personne)visée)))
Supports)de)la)diffama"on):))Tout) moyen) de) communica"on)audiovisuelle) ) (TV,) radio),) propos)tenus) en) public,) toute) mise) à)disposi"on) du) public) (presse,)édi"on,) distribu"on,) affichage,)publicité,)internet).)
Prescrip"on):)))?)Trimestrielle)?) À) compter) de) la) ) première)mise)en)ligne)du)contenu)sur)internet))Cass.)crim.)30/01/2001))
3.2 Injure
04/09/14 20
INJURE))L)29/07/1881)art.29)al.)2)
Délit)):)12.000)euros)d’amende)et)dommages)et)intérêts))
Eléments)cons"tu"fs):))?)Expression)outrageante,)terme)de)mépris)ou)invec"ve))?) Ne) renfermant) l’imputa"on)d’aucun)fait)
Supports)de)l’injure):))Tout) moyen) de) communica"on)audiovisuelle) ) (TV,) radio),) propos)tenus) en) public,) toute) mise) à)disposi"on) du) public) (presse,)édi"on,) distribu"on,) affichage,)publicité,)internet).)
Prescrip"on):)))?)Trimestrielle)?) À) compter) de) la) ) première)mise)en)ligne)du)contenu)sur)internet))Cass.)crim.)30/01/2001))
3.3 Usurpation d’identité
04/09/14 21
USURPATION D’IDENTITE Loi
LOPPSI 2 : délit d’usurpation d’identité sur
internet
Ar"cle)226?4?1)Code)Pénal):)«)Le)fait)d'usurper)l'iden"té)d'un)"ers)ou)de)faire)usage)d'une)ou)plusieurs)données)de)toute)nature)perme=ant)de)l'iden"fier)en)vue)de)troubler)sa)tranquillité)ou)celle)d'autrui,)ou)de)porter)a=einte)à)son)honneur)ou)à)sa)considéra"on,)est)puni)d'un)an)d'emprisonnement)et)de)15)000)€)d'amende.))Ce=e) infrac"on) est) punie) des)mêmes) peines) lorsqu'elle) est)commise) sur) un) réseau) de)communica"on) au) public) en)ligne)»)
Fait)de)se)faire)passer)pour)un)"ers)dans) le) but) de) récupérer) les)données) personnelles) d’une)personne) et) de) comme=re,) en) les)u"lisant) à) son) insu,) des) actes) qui)lui)sont)préjudiciables))
?)personnes)physique)ou)morale))?) «) une) ou) plusieurs) données) de)toute)nature)»)?)Données)à)caractère)personnel)?)?) Quelle) donnée) numérique)permet)l’iden"fica"on)d’un)"ers)et)quelle) autre) ne) le) permet) pas) ?)L’infrac"on)vise)l’iden"té)et)toutes)les)données)et)iden"fiants)liés)à)un)individu) :) adresse) IP,) pseudo,)adresse)de)courrier)électronique)
Conserva"on)des)traces):)?)Date)des)faits))
?)Matérialité)des)faits))
Iden"fica"on)de)l’auteur)des)faits):)?)Obliga"on)de)conserva"on)des)données)d’iden"fica"on)pour)les)hébergeurs)et)FAI)pendant)1)an)?)Requête)ou)référé)pour)obtenir)communica"on)des)données))
3.4 Stratégie de gestion des atteintes à la e-réputation • Procès verbal de constat sur Internet (LCEN 21/6/2004 art. 6-IV et
Décret 24/10/2007)
• Droit de réponse sur Internet
• Actions pénales – Si auteur identifié : citation directe devant le tribunal
correctionnel – Si auteur anonyme : plainte
• Action civile – Si auteur identifié : référé ou fond – Si auteur anonyme : requête à fin de suppression
04/09/14 22
FICHE REFLEXES
04/09/14 23
1
• Droit)de)réponse)sur)internet):))
• Toute)personne)nommée)ou)désignée)dans)un)service)de)communica"on)au)public)en)ligne)dispose)d’un)droit)de)réponse)• )Sans)préjudice)des)demandes)de)correc"on)ou)de)suppression)du)message)qu’elle)peut)adresser)au)service))• La)demande)d’exercice)du)droit)de)réponse)obéit)à)un)formalisme)strict))• Le)directeur)de)la)publica"on)est)tenu)d’insérer)la)réponse,)sous)peine)de)sanc"on)pénale)
2
• Procédures)spécifiques):)responsabilité)en)cascade)
• Directeur)de)la)publica"on))• Auteur)intellectuel)des)propos))• Hébergeur)des)contenus)
3
• Preuve))• Procès?verbal)de)constat)d’huissier)sur)internet)et)impéra"fs)techniques)à)respecter))• Procédure)ar"cle)6?1)3°)LCEN)et)iden"fica"on)de)l’auteur)des)propos)• Durée)de)conserva"on)par)l’hébergeur))et)le)FAI):)1)an)(Décret)25)02)2011))• Procédure)ar"cle)6?1)8°)LCEN)et)injonc"on)du)juge)à)l’hébergeur)ou)au)FAI)«)toute)mesures)propres)à)prévenir)un)dommage)ou)à)
faire)cesser)un)dommage)occasionné)par)le)contenu)d’un)service)de)communica"on)au)public)en)ligne)»)
4 • Juridic"ons compétentes et demandes
• Juridic"ons):)tribunaux)civils)(sur)requête,)en)référé)ou)au)fond))et/ou)juridic"ons)répressives)(tribunal)correc"onnel,)plainte))• Demandes):)dommages)et)intérêts,)suppression)des)propos,)publica"on)de)la)décision)de)jus"ce)))
4. Réseaux sociaux et Big data
1. Définitions
2. Enjeux 3. Risques
4. Sécuriser l’effet « big data »
04/09/14 24
4.1 Définitions
04/09/14 25
Données à caractère personnel • Toute information • Relative à une personne physique • Identifiée ou qui peut être identifiée,
directement ou indirectement • ensemble des moyens en
vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable de traitement ou toute autre personne
• par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres
Traitement • Neut ra l i té techno log ique,
dé f i n i t i on non l im i t a t i ve , approche fonctionnelle
• Tou te opé ra t i on ou t ou t ensemble d’opérations portant sur des données
• Quel que soit le procédé utilisé • Col lec te , enreg is t rement ,
organisation, conservation, adap ta t i on , mod i f i ca t i on , e x t r a c t i o n , c o n s u l t a t i o n , utilisation, communication par transmission, diffusion ou toute a u t r e f o r m e d e m i s e à disposition, rapprochement, interconnexion, verrouillage, effacement, destruction
Traitements automatisés ou non • La loi s’applique aux traitements
non automatisés de données à caractère personnel (…)
• (…) contenues ou appelées à figurer dans des fichiers
Fichier • Ensemble structuré et stable • De données à ca rac tè re
personnel • Accessibles • Selon des critères déterminé
Responsable de traitement • Personne physique ou morale
• Personne morale de droit privé ou de droit public
• Celui qui décide de la création du traitement
• Celui qui détermine la finalité du traitement et ses moyens ainsi que les modalités de mise en œuvre
• Un régime dual • Les données non nominatives • Les données à caractère personnel
• Le principe de légalité • Une exigence européenne
• Le principe de loyauté • Une contrainte mondiale
4.2 Enjeu : sécurisation des données (1)
04/09/14 26
CA Reims du 9 juin 2010, n°09/03205 • « Nul ne peut ignorer que Facebook, qui est un réseau accessible par connexion internet, ne garantit pas toujours la confidentialité nécessaire » • « Qu’au surplus, la violation d’une correspondance privée suppose qu’un échange écrit ne puisse être lu par une personne à laquelle il n’est pas destiné, sans que ne soit utilisé des moyens déloyaux ; qu’en l’espèce, non seulement, il n’est pas établi que Melle C. ait bloqué l’accès à son profil et donc à son « mur » au moment des faits litigieux, mais surtout, si Monsieur C. voulait envoyer un message privé non accessible à d’autres personnes que le destinataire ou quelques amis choisis, il pouvait utiliser la boîte mail individuelle de Facebook, ce qu’il n’a pas fait ; qu’il n’y a donc pas de violation de la correspondance privée »
Données sensibles (sauf exceptions)
Opinions politiques,
philosophiques ou religieuses
Appartenance syndicale
Etat de santé
Vie sexuelle
Origine raciale ou ethnique
Infractions / condamnation
Délibération Cnil du 21 sept. 2011 « Pagesjaunes » Collecte d’informations à l’insu des personnes Données provenant de réseaux sociaux
4.2 Enjeu : droit à l’oubli numérique (2)
• Pas de consécration par les textes
• Garanties issues de la loi n78-17 du 6 jan. 1978 modifiée – Information préalable – Durée de conservation – Droits d’accès et de suppression
• Charte du droit à l’oubli numérique 13 oct. 2010
• Jurisprudence : TGI Paris 15 fev. 2012 Diana Z. c. Google
• Projet de règlement européen, art.17 – Motifs limitativement énumérés – Obligation vis-à-vis des tiers
27 04/09/14
4.3 Risques
• Principe – Profil d’un utilisateur = espace réservé = espace privé
• Tempérament – Confidentialité relative qui est fonction des « paramètres de
confidentialité » • Jurisprudence : sphère privée ou publique?
– Arrêt CA Besançon 15 nov. 2011 RG n° 10/02642 : les propos sont publics et peuvent justifier un licenciement s’ils sont tenus sur le « mur » de l’un des membres du réseau auquel tout à chacun peut accéder si son titulaire n’a pas apporté de restrictions
– T. Corr. de Brest 1er octobre 2010 : condamnation de la personne qui a publié sur son profil Facebook des propos reconnus comme outrageant envers une personne dépositaire de l’autorité publique
28 04/09/14
4.4 Sécuriser l’effet « big data »
04/09/14 29
• Contrats relatifs à la fourniture de solutions Big Data – Des contrats encore « classiques » avec des clauses
contractuelles communes aux contrats d’externalisation : Sécurité, transfert de données
– Des clauses à inventer coresponsabilité, ROI, etc.
• Contrats relatifs à la collecte de données – Des exemples multiples : conditions générales d’achat,
formulaire de souscription de garantie, etc.
04/09/14 30
Contact
" ALAIN BENSOUSSAN AVOCATS 58 boulevard Gouvion-Saint-Cyr Paris 17e Tél. : 33 1 82 73 05 05 Fax : 33 1 82 73 05 06 [email protected]
" Frédéric Forster Mob. : 33 6 13 28 96 78
04/09/14 31