Les réseaux sociaux, tour d’horizon des enjeux et

des risques pour les entreprises

Jeudi 4 septembre 2014 – Auditorium CCI

Réseaux sociaux : 360° des risques juridiques

04/09/14 Copyright Lexing 2014 ® Confidentiel Entreprise 2

Frédéric Forster

1. Réseaux sociaux : état des lieux 2. Réseaux sociaux et droit social

3. Réseaux sociaux : délits de presse et usurpation d’identité

4. Réseaux sociaux et « big data »

Plan

04/09/14 3

1. Réseaux sociaux : état des lieux

1.  Définition

2.  Chiffres 3.  Actualité

4.  Problématiques juridiques

04/09/14 4

1.1 Définition

Plate-forme en ligne qui permet à des individus de rejoindre ou de créer des réseaux :

•  Professionnels : , Xing •  Sur invitation •  Ouverts : MySpace •  D’entreprise : Thalès, Apec,

SFR •  Communautaires :

04/09/14 5

Les réseaux sociaux relèvent de la définition des services de la société de l’information (directive 98/34/CE)

Points communs :

•  fourni ture d’ informations à caractère personnel

•  possibilité d’éditer des contenus (photos, articles, musique, vidéo)

•  partage de ce contenu avec une liste de contacts

1.2 Chiffres (1)

04/09/14 6

1.2 Chiffres (2)

04/09/14 7

•  8 internautes sur 10 sont quotidiennement sur un réseau social

•  16% suivent des marques sur les réseaux sociaux (moyenne: 5 entreprises) (Source : Observatoire des réseaux sociaux)

•  89% des français consultent les avis en ligne avant d'acheter

•  53% des français ont été influencés par leurs amis sur Facebook avant l'achat d'un produit

•  Uniquement 22 % des français font confiance aux articles de presse et aux publicités avant d'acheter un produit (Source : étude Reevoo/GMI Research)

•  25% des internautes sont prêts à appeler au boycott d’une marque sur un réseau social

•  Un acheteur satisfait le dit à 3 personnes autour de lui, un acheteur mécontent à 12 personnes

1.3 Actualité

•  Données personnelles : de la prédation à la redistribution, ou la valeur des données personnelles

•  Presse et Pénal : les mineurs partagent leurs données personnelles, de la nécessité d’(in)former

•  Recommandation Cnil : http://www.jeunes.cnil.fr/

•  Big Data : IBM décrypte les messages sur les réseaux sociaux et permet aux marques de mieux comprendre les attentes des consommateurs

•  Le Social Media Analytics

04/09/14 8

1.4 Problématiques juridiques

04/09/14 9

Déclaration des droits fondamentaux numériques (23-6-2009) •  Toute personne a le droit d’accéder et

d’utiliser librement le réseau Internet, neutre et ouvert, sous réserve de ne pas porter atteinte à l’ordre public et aux droits d’autrui

•  Toute personne a droit au respect de sa vie privée numérique et au secret de ses échanges numériques. Les systèmes d’information personnels sont assimilés au domicile privé

•  La dignité numérique est un droit fondamental

•  Toute personne est propriétaire des informations numériques la concernant, dans le respect des droits et libertés d’autrui. L’usage de ces informations est défini par la personne concernée

•  Toute personne a le droit d’être i n f o r m é e d e l ’ e x i s t e n c e d e s informations numériques la concernant

•  Le droit à l’anonymat numérique gratuit est reconnu à toute personne, sous réserve de ne pas porter atteinte à l’ordre public et aux droits et libertés d’autrui

•  Toute personne a le droit de retrait des informations dont elle est propriétaire ou la concernant, sous réserve de ne pas porter un préjudice grave aux personnes physiques ou morales détenant lesdites informations et de ne pas nuire au devoir d’information générale et de réalité historique

•  Toute personne a droit à une identité numérique

Des droits … Opinion du Groupe de l’article 29 (12-6-2009) •  Informations sur l’identité de l’éditeur, sur

les finalités de la collecte de données et les utilisations possibles

•  Protection de la vie privée : mise en place de paramétrages par défaut et autorisation de l’usage de pseudonymes

•  Information des utilisateurs : Sur les risques en matière de vie privée Sur la nécessité de recueillir l’accord préalable des personnes dont l’image ou les informations personnelles sont utilisées •  Insertion, dès la page d’accueil, d’un lien

permettant le dépôt de réclamations en cas d’usage non autorisé de données à caractère personnel (membres et non membres)

•  Respect des textes communautaires pour

la réalisation d’opérations marketing •  Mise en œuvre d’un délai maximum de

conservation (utilisateurs inactifs) et de s u p p r e s s i o n ( u t i l i s a t e u r s « abandonnistes »)

04/09/14 10

Omniprésence des réseaux

sociaux

Dans l’entreprise : évolution du droit social

Dans la Société :

infractions pénales

« Big Data » : les données,

une « monnaie » à protéger

A concilier avec …

2. Réseaux sociaux et droit social

1.  Périmètre et paramètres

2.  Enjeu : appréhension des réseaux sociaux par l’entreprise

3.  Entreprise 2.0 et nouveaux risques

4.  Illustrations : évolution des contrats de travail et des chartes des systèmes d’information

04/09/14 11

2.1 Périmètre et paramètres

04/09/14 12

Réseaux sociaux

Protection/droit du salarié

Vie personnelle

Protection/droit de

l’employeur

Vie professionnelle

Vie privée résiduelle et droit d’expression

Recrutement et données personnelles

Gestion des risques internes à l’entreprise : outils de gouvernance

Gestion des risques externes à l’entreprise

(voir infra)

2.2 Enjeu : appréhension des réseaux sociaux par l’entreprise

• Transformation des relations dans l’entreprise et politique d’entreprise •  En amont : mode de recrutement, ranking, etc. •  Dans l’entreprise : mode de communication interne, outils de marketing externe, vie privée résiduelle et encadrement du droit d’expression (sur les réseaux sociaux professionnels, sur les réseaux sociaux personnels), information, contribution, modération •  en aval : suites de la rupture du contrat de travail à prévoir (annulation habilitation, diffamation, etc.)

•  Adéquation des outils de gouvernance, définir les règles du jeu avec •  Les salariés : charte réseaux sociaux, contrats de travail, règlement intérieur, charte des systèmes

d’information •  Les prestataires extérieurs (prestataires de service, agences de communication, community managers, etc.) :

contrats •  Les membres de la communauté : charte éditoriale, conditions générales d’utilisation

• Transformation des rapports de l’entreprise au monde extérieur •  Les réseaux sociaux outils de valorisation •  Les réseaux sociaux, potentiels source de nuisance

NB/ d’où vient l’information ? À destination de qui ? Conséquence pour l’employeur/conséquence pour le salarié ?

04/09/14 13

2.3 Entreprise 2.0 et nouveaux risques

04/09/14 14

Intrusion du personnel

dans le professionnel

U"l isa"on) des) réseaux)sociaux) personnels) dans) le)c ad r e) p r o f e s s i onne l) :)n é c e s s a i r e) v i e) p r i v é e)résiduelle)et)limites)

Frontière professionnel

/personnel floue

Propos)tenus)par)le)salarié)sur)s o n) r é s e a u) p e r s o nne l)concernant) le) domaine)professionnel)Probléma"que) des) contenus)diffusés)et)responsabilités)(propriété) intellectuelle,)a=einte)à)la)e?réputa"on))

Intrusion du professionnel

dans le personnel

Ranking) des) salariés) par)l’employeur) sur) données)personnelles) collectées) via)les)réseaux)sociaux))

CPH$de$Boulogne-Billancourt$19$nov.$$2010,$n°09/00316$et$09/00343$$«$Il$est$fait$observer$que$Monsieur$C.$a$choisi$dans$le$paramètre$de$son$compte,$de$partager$sa$page$Facebook$avec$«$ses$amis$et$leurs$amis$»,$permeMant$ainsi$un$accès$ouvert,$notamment$par$les$salariés$ou$anciens$salariés$de$la$société$ALTEN$SIR$;$il$en$résulte$ que$ ce$ mode$ d’accès$ à$ Facebook$ dépasse$ la$ sphère$ privée$ et$ qu’ainsi$ la$producYon$ aux$ débats$ de$ la$ page$menYonnant$ les$ propos$ incriminés$ consYtue$ un$moyen$de$preuve$licite$du$caractère$fondé$du$licenciement$»$

CA$Besançon,$15$nov.$2011,$n°10-02642$

Confirme$ le$ licenciement$ d’une$ salariée$ ayant$ tenu$des$ propos$ excessifs$ visant$ son$ employeur$ «$ ceMe$boîte$ me$ dégoûte$ (…)$ ils$ méritent$ juste$ qu’on$ leur$meMe$le$feu$à$ceMe$boîte$de$merde$!$»$sur$le$mur$d’un$collègue$qui$venait$lui$aussi$d’être$licencié.

04/09/14 15

2.4 Illustrations •  Adéquation du contrat de travail

•  Clause spéciale

•  Règlementation par la charte des systèmes d’information

•  Nécessité d’une charte définissant les règles applicables à la communication sur les réseaux sociaux :

-  intégrée aux contrats de travail et aux contrats de prestation de service

-  imposer la maîtrise et le respect des CGU des plateformes utilisées

-  encadrer l’usage des signes distinctifs -  définir une ligne éditoriale quand nécessaire

•  Si réseau social interne, nécessité d’une charte des modérateurs et d’une charte de modération

04/09/14 16

FICHE REFLEXES

04/09/14 17

1

•  Identification : •  Frontières professionnelle / personnelle •  Libertés •  Responsabilités

2 •  Encadrement - autorégulation :

•  Conditions générales d’utilisation des réseaux sociaux •  Outils de gouvernance : charte des systèmes d’information, charte réseaux sociaux, règlement

intérieur, contrat de travail

3

•  Contrôle : •  Veille interne / externe et audit, suivi de l’évolution des CGU des réseaux sociaux •  Déclaration Cnil outils de contrôle •  Information : CE, CHSCT, salariés •  Formation à l’utilisation des réseaux sociaux et guides des bonnes pratiques

4

•  Réaction et modalités : processus définis par l’entreprise en termes organisationnels et opérationnels •  Qui ? Habilitation •  Quand ? Délai (intervention-notification, preuve) •  Comment ? Modération (a priori, a posteriori), restriction d’accès ou exclusion du réseau social

interne, procédure externe spécifique

3. Réseaux sociaux : délits de presse et usurpation d’identité

1.  Diffamation

2.  Injure 3.  Usurpation d’identité

4.  Stratégie de gestion des atteintes à la e-réputation

04/09/14 18

3.1 Diffamation

04/09/14 19

DIFFAMATION))Loi)29/07/1881)art.29)al.)1er)

Délit)):)12.000)euros)d’amende)et)dommages)et)intérêts))

Eléments)cons"tu"fs):))?) personne,) physique) ou) morale,)déterminée) ou) déterminable,) et) non) un)produit)ou)un)service)()=)dénigrement)))

?)Alléga"on)ou)imputa"on)d’un)fait)précis))?)A=einte)à)l’honneur)ou)à)la)considéra"on)de)la)personne)visée)))

Supports)de)la)diffama"on):))Tout) moyen) de) communica"on)audiovisuelle) ) (TV,) radio),) propos)tenus) en) public,) toute) mise) à)disposi"on) du) public) (presse,)édi"on,) distribu"on,) affichage,)publicité,)internet).)

Prescrip"on):)))?)Trimestrielle)?) À) compter) de) la) ) première)mise)en)ligne)du)contenu)sur)internet))Cass.)crim.)30/01/2001))

3.2 Injure

04/09/14 20

INJURE))L)29/07/1881)art.29)al.)2)

Délit)):)12.000)euros)d’amende)et)dommages)et)intérêts))

Eléments)cons"tu"fs):))?)Expression)outrageante,)terme)de)mépris)ou)invec"ve))?) Ne) renfermant) l’imputa"on)d’aucun)fait)

Supports)de)l’injure):))Tout) moyen) de) communica"on)audiovisuelle) ) (TV,) radio),) propos)tenus) en) public,) toute) mise) à)disposi"on) du) public) (presse,)édi"on,) distribu"on,) affichage,)publicité,)internet).)

Prescrip"on):)))?)Trimestrielle)?) À) compter) de) la) ) première)mise)en)ligne)du)contenu)sur)internet))Cass.)crim.)30/01/2001))

3.3 Usurpation d’identité

04/09/14 21

USURPATION D’IDENTITE Loi

LOPPSI 2 : délit d’usurpation d’identité sur

internet

Ar"cle)226?4?1)Code)Pénal):)«)Le)fait)d'usurper)l'iden"té)d'un)"ers)ou)de)faire)usage)d'une)ou)plusieurs)données)de)toute)nature)perme=ant)de)l'iden"fier)en)vue)de)troubler)sa)tranquillité)ou)celle)d'autrui,)ou)de)porter)a=einte)à)son)honneur)ou)à)sa)considéra"on,)est)puni)d'un)an)d'emprisonnement)et)de)15)000)€)d'amende.))Ce=e) infrac"on) est) punie) des)mêmes) peines) lorsqu'elle) est)commise) sur) un) réseau) de)communica"on) au) public) en)ligne)»)

Fait)de)se)faire)passer)pour)un)"ers)dans) le) but) de) récupérer) les)données) personnelles) d’une)personne) et) de) comme=re,) en) les)u"lisant) à) son) insu,) des) actes) qui)lui)sont)préjudiciables))

?)personnes)physique)ou)morale))?) «) une) ou) plusieurs) données) de)toute)nature)»)?)Données)à)caractère)personnel)?)?) Quelle) donnée) numérique)permet)l’iden"fica"on)d’un)"ers)et)quelle) autre) ne) le) permet) pas) ?)L’infrac"on)vise)l’iden"té)et)toutes)les)données)et)iden"fiants)liés)à)un)individu) :) adresse) IP,) pseudo,)adresse)de)courrier)électronique)

Conserva"on)des)traces):)?)Date)des)faits))

?)Matérialité)des)faits))

Iden"fica"on)de)l’auteur)des)faits):)?)Obliga"on)de)conserva"on)des)données)d’iden"fica"on)pour)les)hébergeurs)et)FAI)pendant)1)an)?)Requête)ou)référé)pour)obtenir)communica"on)des)données))

3.4 Stratégie de gestion des atteintes à la e-réputation •  Procès verbal de constat sur Internet (LCEN 21/6/2004 art. 6-IV et

Décret 24/10/2007)

• Droit de réponse sur Internet

•  Actions pénales –  Si auteur identifié : citation directe devant le tribunal

correctionnel –  Si auteur anonyme : plainte

•  Action civile –  Si auteur identifié : référé ou fond –  Si auteur anonyme : requête à fin de suppression

04/09/14 22

FICHE REFLEXES

04/09/14 23

1

• Droit)de)réponse)sur)internet):))

•  Toute)personne)nommée)ou)désignée)dans)un)service)de)communica"on)au)public)en)ligne)dispose)d’un)droit)de)réponse)•  )Sans)préjudice)des)demandes)de)correc"on)ou)de)suppression)du)message)qu’elle)peut)adresser)au)service))•  La)demande)d’exercice)du)droit)de)réponse)obéit)à)un)formalisme)strict))•  Le)directeur)de)la)publica"on)est)tenu)d’insérer)la)réponse,)sous)peine)de)sanc"on)pénale)

2

•  Procédures)spécifiques):)responsabilité)en)cascade)

•  Directeur)de)la)publica"on))•  Auteur)intellectuel)des)propos))•  Hébergeur)des)contenus)

3

•  Preuve))•  Procès?verbal)de)constat)d’huissier)sur)internet)et)impéra"fs)techniques)à)respecter))•  Procédure)ar"cle)6?1)3°)LCEN)et)iden"fica"on)de)l’auteur)des)propos)•  Durée)de)conserva"on)par)l’hébergeur))et)le)FAI):)1)an)(Décret)25)02)2011))•  Procédure)ar"cle)6?1)8°)LCEN)et)injonc"on)du)juge)à)l’hébergeur)ou)au)FAI)«)toute)mesures)propres)à)prévenir)un)dommage)ou)à)

faire)cesser)un)dommage)occasionné)par)le)contenu)d’un)service)de)communica"on)au)public)en)ligne)»)

4 • Juridic"ons compétentes et demandes

•  Juridic"ons):)tribunaux)civils)(sur)requête,)en)référé)ou)au)fond))et/ou)juridic"ons)répressives)(tribunal)correc"onnel,)plainte))•  Demandes):)dommages)et)intérêts,)suppression)des)propos,)publica"on)de)la)décision)de)jus"ce)))

4. Réseaux sociaux et Big data

1.  Définitions

2.  Enjeux 3.  Risques

4.  Sécuriser l’effet « big data »

04/09/14 24

4.1 Définitions

04/09/14 25

Données à caractère personnel •  Toute information •  Relative à une personne physique •  Identifiée ou qui peut être identifiée,

directement ou indirectement •  ensemble des moyens en

vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable de traitement ou toute autre personne

•  par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres

Traitement •  Neut ra l i té techno log ique,

dé f i n i t i on non l im i t a t i ve , approche fonctionnelle

•  Tou te opé ra t i on ou t ou t ensemble d’opérations portant sur des données

•  Quel que soit le procédé utilisé •  Col lec te , enreg is t rement ,

organisation, conservation, adap ta t i on , mod i f i ca t i on , e x t r a c t i o n , c o n s u l t a t i o n , utilisation, communication par transmission, diffusion ou toute a u t r e f o r m e d e m i s e à disposition, rapprochement, interconnexion, verrouillage, effacement, destruction

Traitements automatisés ou non •  La loi s’applique aux traitements

non automatisés de données à caractère personnel (…)

•  (…) contenues ou appelées à figurer dans des fichiers

Fichier •  Ensemble structuré et stable •  De données à ca rac tè re

personnel •  Accessibles •  Selon des critères déterminé

Responsable de traitement •  Personne physique ou morale

•  Personne morale de droit privé ou de droit public

•  Celui qui décide de la création du traitement

•  Celui qui détermine la finalité du traitement et ses moyens ainsi que les modalités de mise en œuvre

•  Un régime dual •  Les données non nominatives •  Les données à caractère personnel

•  Le principe de légalité •  Une exigence européenne

•  Le principe de loyauté •  Une contrainte mondiale

4.2 Enjeu : sécurisation des données (1)

04/09/14 26

CA Reims du 9 juin 2010, n°09/03205 •  « Nul ne peut ignorer que Facebook, qui est un réseau accessible par connexion internet, ne garantit pas toujours la confidentialité nécessaire » •  « Qu’au surplus, la violation d’une correspondance privée suppose qu’un échange écrit ne puisse être lu par une personne à laquelle il n’est pas destiné, sans que ne soit utilisé des moyens déloyaux ; qu’en l’espèce, non seulement, il n’est pas établi que Melle C. ait bloqué l’accès à son profil et donc à son « mur » au moment des faits litigieux, mais surtout, si Monsieur C. voulait envoyer un message privé non accessible à d’autres personnes que le destinataire ou quelques amis choisis, il pouvait utiliser la boîte mail individuelle de Facebook, ce qu’il n’a pas fait ; qu’il n’y a donc pas de violation de la correspondance privée »

Données sensibles (sauf exceptions)

Opinions politiques,

philosophiques ou religieuses

Appartenance syndicale

Etat de santé

Vie sexuelle

Origine raciale ou ethnique

Infractions / condamnation

Délibération Cnil du 21 sept. 2011 « Pagesjaunes » Collecte d’informations à l’insu des personnes Données provenant de réseaux sociaux

4.2 Enjeu : droit à l’oubli numérique (2)

•  Pas de consécration par les textes

• Garanties issues de la loi n78-17 du 6 jan. 1978 modifiée –  Information préalable –  Durée de conservation –  Droits d’accès et de suppression

• Charte du droit à l’oubli numérique 13 oct. 2010

•  Jurisprudence : TGI Paris 15 fev. 2012 Diana Z. c. Google

•  Projet de règlement européen, art.17 –  Motifs limitativement énumérés –  Obligation vis-à-vis des tiers

27 04/09/14

4.3 Risques

•  Principe –  Profil d’un utilisateur = espace réservé = espace privé

•  Tempérament –  Confidentialité relative qui est fonction des « paramètres de

confidentialité » •  Jurisprudence : sphère privée ou publique?

–  Arrêt CA Besançon 15 nov. 2011 RG n° 10/02642 : les propos sont publics et peuvent justifier un licenciement s’ils sont tenus sur le « mur » de l’un des membres du réseau auquel tout à chacun peut accéder si son titulaire n’a pas apporté de restrictions

–  T. Corr. de Brest 1er octobre 2010 : condamnation de la personne qui a publié sur son profil Facebook des propos reconnus comme outrageant envers une personne dépositaire de l’autorité publique

28 04/09/14

4.4 Sécuriser l’effet « big data »

04/09/14 29

• Contrats relatifs à la fourniture de solutions Big Data –  Des contrats encore « classiques » avec des clauses

contractuelles communes aux contrats d’externalisation : Sécurité, transfert de données

–  Des clauses à inventer coresponsabilité, ROI, etc.

• Contrats relatifs à la collecte de données –  Des exemples multiples : conditions générales d’achat,

formulaire de souscription de garantie, etc.

04/09/14 30

Contact

"   ALAIN BENSOUSSAN AVOCATS 58 boulevard Gouvion-Saint-Cyr Paris 17e Tél. : 33 1 82 73 05 05 Fax : 33 1 82 73 05 06 paris@alain-bensoussan.com

"   Frédéric Forster Mob. : 33 6 13 28 96 78

frederic-forster@alain-bensoussan.com

04/09/14 31