Cette newsletter présente une sélection des actualités de l’année 2023-2024 du domaine de la protection des données personnelles.
1. Délibérations de la CNIL
Sanction de 100 000 € pour la société PAP
Par une délibération du 31 janvier 2024, la CNIL a sanctionné la société d’annonces immobilières entre particuliers sur le fondement des articles 5-1-e) (limite de la durée de conservation des données), 13 (information des personnes concernées), 28 (obligation de conclure un acte juridique encadrant les relations avec les sous-traitants) et 32 (sécurité du traitement) du RGPD.
En particulier, l’autorité sanctionne le non-respect de l’obligation de limiter la durée de conservation des données personnelles, couplée avec l’obligation de conservation de l’écrit constatant les contrats conclus en ligne avec des consommateurs, portant sur des sommes égales ou supérieures à 120 € (articles L. 213-1 et D. 213-1 du Code de la consommation). L’autorité contrôle aussi la politique de confidentialité du site de la société, constatant des informations imprécises sur les bases juridiques, inexactes sur la liste des sous-traitants destinataires de données et les durées de conservation, et incomplètes sur l’information quant au droit d’introduire une réclamation auprès de la CNIL.
Contrôle des cookies par la CNIL : sanctions de Yahoo et NS Cards
Par deux délibérations du 29 décembre 2023, la CNIL opère un contrôle des traitements de données liés aux cookies et traceurs.
La société NS Cards, éditant une application de paiements en ligne, est sanctionnée à la fois sur le fondement du RGPD, dans le cadre de la procédure de guichet unique, et sur le fondement de Loi Informatique et Libertés. Il est constaté i) une absence de limitation de la durée de conservation des données, ii) une politique de confidentialité incomplète, obsolète et fournie en anglais seulement pour un public majoritairement francophone, iii) des mesures de sécurité trop faibles concernant les mots de passe, iv) et des manquements relatifs aux cookies et traceurs.
Le moteur de recherche YAHOO a été sanctionnée par la CNIL à hauteur de 10 millions d’euros à la suite de 27 plaintes : l’autorité relève que les cookies étaient déposés sans l’accord de l’internaute et l’incitation de l’internaute à ne pas retirer son consentement en annonçant l’impossibilité d’accéder à certains services.
Sanction d’Amazon pour « surveillance informatique disproportionnée de salariés »
Après plus de quatre ans de procédure, la CNIL a retenu une sanction de 32 millions d’euros à l’encontre de la société Amazon France Logistique. Les salariés de la filiale utilisent dans les entrepôts des scanners aux fins de tracer les tâches de réception, rangement ou encore emballage des produits.
Amazon a été sanctionnée pour défaut de base légale, en effectuant une balance des intérêts en présence et en relevant es conséquences négatives liées à la surveillance continue intrusive des salariés. Amazon est également sanctionnée du fait de l’utilisation de données très fines, sans justification (atteinte au principe de minimisation), pour atteinte au principe de limitation de la durée de conservation des données (en l’occurrence 31 jours).
Sanction de CANAL+ en matière de prospection par téléphone
Par une délibération du 12 octobre 2023, la société d’édition de chaînes de télévision a été sanctionnée à hauteur de 600 000 €, sur le fondement du RGPD et de l’article L. 34-5 du Code des postes et des communications électroniques.
A la suite de contrôles, la CNIL a constaté en particulier que CANAL+ manquait à l’obligation d’information des personnes concernées lors d’appels téléphoniques non soumis au consentement préalables de la personne. Il convenait d’informer cette personne au plus tard lors de l’appel, et en particulier de l’informer sur l’identité des destinataires auxquels les données sont transmises.
La CNIL contrôle la collecte excessive de données
La société de fret aérien, SAF LOGISTICS, collectait des données relatives à la vie privée de ses salariés, via un formulaire destiné au processus de recrutement interne. La CNIL a ainsi opéré un contrôle sur place.
Elle a été sanctionnée par une délibération du 18 septembre 2023 pour manquement au principe de minimisation, au regard d’une collecte excessive d’informations sur ses salariés, et notamment des données dites « sensibles », en l’occurrence la consultation des casiers judiciaires et le traitement de données relatives à des infractions. La société a également été sanctionnée pour défaut de coopération avec la CNIL.
Contrôle du consentement dans le cadre de la prospection commerciale
La CNIL a sanctionné le 31 janvier 2024 la société FORIOU à hauteur de 310.000 euros, et le 4 avril 2024 la société HUBSIDE.STORE à hauteur de 525.000 euros.
Les deux sociétés basaient leurs traitements de données personnelles sur le consentement obtenu par des courtiers en données. La CNIL a considéré que les formulaires de collecte de données avaient une apparence trompeuse, de sorte que le consentement ne pouvait être considéré comme valide, et que le traitement de données était désormais opéré en l’absence de base légale.
Un consentement est en effet considéré comme valide lorsqu’il est libre, spécifique, éclairé et univoque (articles 4 et 7 du RGPD). Ainsi la mise en valeur de certains boutons de manière disproportionnée par rapport aux options permettant de ne pas transmettre ses données personnelles et orientant fortement le consentement de l’utilisateur, ne constitue pas un consentement valide.
2. Documentation de la CNIL
La CNIL fait le bilan
L’autorité a publié les statistiques de son action répressive pour l’année 2023. Il en ressort le prononcé de 42 sanctions, dont le total des amendes s’élève à plus de 89 millions d’euros. La CNIL s’est cette année surtout concentrée sur le contrôle des manquements à la sécurité des données.
Sans impliquer systématiquement des sanctions, la CNIL a également prononcé 168 mises en demeure, contre 147 l’année précédente. Son action répressive a permis d’instruire plus de 16 000 plaintes et d’opérer 340 contrôles.
La CNIL a également publié son rapport d’activité annuel 2023., mettant l’accent sur les actions de sensibilisation de l’autorité et l’accompagnement des professionnels.
L’année 2023 clôt également la cinquième année d’application du RGPD : la CNIL dresse le premier bilan chiffré pour la période de mai 2018 à mai 2023.
La CNIL met à jour son guide cybersécurité
La CNIL a publié en mars 2024 une nouvelle version de son guide sur la sécurité des données à caractère personnel, afin d’accompagner les responsables de traitement et les sous-traitants à respecter l’obligation découlant de l’article 32 du RGPD.
Le guide est articulé autour de 25 fiches : 5 nouvelles fiches ont été ajoutées par rapport à la version précédente, sur le cloud, les applications mobiles, l’intelligence artificielle, les API, le pilotage de la sécurité des données.
3. Actualités légales et jurisprudentielles – France
Le Conseil constitutionnel juge que l’activation à distance d’appareils électroniques à l’insu de leur propriétaire ou possesseur porte atteinte au droit au respect de la vie privée
Dans une décision du 16 octobre 2023, le Conseil constitutionnel s’est prononcé sur la loi d’orientation et de programmation du ministère de la justice 2023-2027 et censure l’article 6 de la loi.
L’article 6 autorisait l’activation à distance d’appareils électroniques à l’insu de leur propriétaire ou possesseur afin de procéder à sa localisation en temps réel et à la sonorisation et à la captation d’images.
Le Conseil constitutionnel a estimé que cette mesure n’était pas proportionnée au but poursuivi.
Le silence gardé pendant trois mois par la CNIL vaut décision de rejet
Par un arrêt du 24 juillet 2023, le Conseil d’Etat rejette deux recours introduits pour excès de pouvoir à l’encontre de la CNIL.
Le premier recours visait à contester une décision de rejet implicite de sa réclamation par la CNIL. Quant au second, il avait pour objet l’annulation de la décision explicite clôturant la plainte. Le Conseil d’Etat rappelle que le silence gardé pendant trois mois par la commission sur une réclamation vaut décision de rejet avant de considérer que la CNIL avait bien, contrairement à ce que soutenait le requérant, répondu à l’ensemble de ses demandes.
Enfin sur la demande d’annulation de la décision, le Conseil d’Etat rappelle, avant de rejeter le recours du requérant, que la CNIL dispose d’un large pouvoir d’appréciation sur les demandes d’accès qui lui sont faites. Ainsi, le Conseil d’Etat a considéré que la CNIL n’avait pas entaché sa décision d’erreur d’appréciation en estimant que l’employeur avait répondu à l’intégralité de la demande d’accès à ses données personnelles présentée par le requérant.
Le Conseil d’Etat rejette le recours de Clever Cloud
La CNIL avait rendu le 21 décembre 2023 une délibération autorisant l’hébergement de données de santé par Microsoft dans le cadre du Health Data Hub.
Plusieurs associations et sociétés, parmi lesquelles la société Clever Cloud, avaient formé un recours contre cette décision, en qualité de société commercialisant une solution sécurisée d’hébergement de données cloud. Le Conseil d’Etat répond en référé le 22 mars 2024 qu’aucun des requérants ne démontrait fournir une solution répondant aux contraintes techniques et temporelles du Health Data Hub, que l’autorisation donnée par la CNIL ne fait pas obstacle au développement de solutions alternatives, que les traitements répondront au principe de minimisation, que les données seront stockées en France. La demande de suspension de l’autorisation a donc été rejetée.
4. Actualités des autres autorités de contrôle
L’autorité néerlandaise pour la protection des données impose une amende de 10 millions d’euros à Uber
Par une décision du 11 décembre 2023, l’autorité néerlandaise a sanctionné Uber à une amende de 10 millions d’euros sur le fondement des articles 12 et 13 du RGPD.
Plus de 170 chauffeurs français se sont plaints auprès de la Ligue des droits de l’Homme de difficultés pour exercer leurs droits relatifs à la protection de leurs données personnelles. La Ligue des droits de l’Homme a alors saisi la CNIL. Uber ayant son siège européen aux Pays-Bas, cette plainte a été transmise à l’autorité néerlandaise.
L’amende fait suite à l’impossibilité pour l’entreprise de divulguer tous les renseignements relatifs aux périodes de conservation des données concernant les chauffeurs européens, et au fait qu’elle n’a pas pu nommer les pays non-européens dans lesquels elle partage ces données. L’autorité néerlandaise a également constaté qu’Uber avait entravé les efforts des personnes concernées pour exercer leurs droits.
L’autorité italienne met en garde contre l’anonymisation par agrégation.
Par une décision du 18 juillet 2023, l’autorité italienne a rappelé que l’anonymisation par agrégation des données ne garantissait pas contre la réidentification des personnes.
Ainsi, afin de garantir l’anonymisation des données pouvant être publiées lors de travaux de recherches, le nombre de statistiques diffusées devait être nettement inférieur au nombre de variables destinées à être divulguées.
La diffusion d’un nombre limité de statistiques, permet d’éviter la possibilité d’identifier les sujets individuels faisant partie de l’échantillon par des calculs mathématiques.
TikTok sanctionnée à une amende de 345 millions d’euros par l’autorité irlandaise.
Par une décision du 1e septembre 2023, l’autorité irlandaise a sanctionné TikTok après avoir constaté une violation par la société des articles 5(1)(a), 5(1)(c), 5(1)(f), 24(1), 25(1), 25(2), 12(1) et 13(1)(e) du RGPD.
La sanction intervient à la suite d’une enquête menée entre juillet et décembre 2020 au cours de laquelle l’autorité irlandaise a constaté plusieurs manquements au RGPD. En effet, les profils des mineurs étaient rendus publics par défaut et des fenêtres « pop-up » rendaient plus difficile l’accès aux paramètres de confidentialité.
La décision met également en avant le fait que le mécanisme « Connexion Famille » permettant à un parent de lier son profil TikTok avec celui de son enfant n’était pas assez strict. Or TikTok ne vérifiait pas si le compte parent était effectivement celui du parent.
La société avait déjà été condamnée par la CNIL en 2022 à une amende de 5 millions d’euros concernant les traitements de données liés aux cookies et traceurs.
L’autorité finlandaise sanctionne l’absence de définition de la période de conservation des données personnelles
Le site finlandais de vente en ligne Verkkokauppa.com a reçu le 6 mars 2024 une amende de 856.000 euros par l’autorité finlandaise.
La société exigeait la création d’un compte pour réaliser un achat sur le site, en ne définissant aucune durée de conservation des données. L’autorité a considéré que le fait que les clients puissent demander ultérieurement l’effacement de leurs données n’était pas suffisant et ne satisfaisait pas l’obligation de limitation du traitement résultant de l’article 5.1-e) du RGPD.
5. Actualités internationales et européennes
La CJUE se prononce sur l’obligation de sécurité et le droit à réparation des personnes concernées
Dans le cadre d’une cyberattaque, plusieurs millions de personnes avaient été victimes de la divulgation de leurs données personnelles sur internet. La CJUE précise qu’une violation de données n’est pas suffisante pour caractériser le manquement à l’obligation de sécurité des données, le RGPD instaurant un régime de gestion des risques. En revanche, il appartient au responsable de traitement de prouver sa conformité au RGPD au regard des mesures de sécurité choisies (articles 5 et 24 du RGPD).
La CJUE se prononce par ailleurs sur la réparation du préjudice moral, considérant que la crainte d’un potentiel usage abusif de données personnelles par la perte de contrôle sur les données constitue à elle seule un dommage (article 82 du RGPD) (CJUE, 14 décembre 2023, C-340/21).
Précision du régime des amendes administratives et qualification de responsable de traitement même en l’absence de traitement direct
La CJUE a rappelé que toute personne qui influe, à des fins qui lui sont propres, sur le traitement de données, et participe ainsi à la détermination des finalités et des moyens de ce traitement, peut être considérée comme responsable du traitement (article 4 du RGPD) même lorsque ce dernier n’a pas traité lui-même les données.
Cette même décision précise qu’une amende administrative ne peut être imposée à un responsable de traitement que s’il est établi qu’il a commis, délibérément ou par négligence, une violation du RGPD (article 83 du RGPD). C’est le cas dès lors que le responsable du traitement ne pouvait ignorer le caractère infractionnel de son comportement, qu’il ait eu ou non conscience de l’infraction (CJUE, 5 décembre 2023, C-683/21).
Selon la CJUE, un « score » de crédit est une décision fondée exclusivement sur un traitement automatisé lorsque cette décision produit des effets importants
La CJUE se prononce pour la première fois sur l’application de l’article 22 du RGPD appliqué au « scoring ». La question était donc de déterminer si cette pratique relevait du régime des décisions fondées sur un traitement automatisé de données personnelles.
En qualifiant de décision le résultat de calcul de la solvabilité d’une personne, la CJUE retient que ce traitement de « scoring » est bien un profilage, entraînant des effets importants (à savoir la conclusions, l’exécution ou la fin d’une relation contractuelle avec un tiers) pour la personne concernée, soumis à l’article 22 du RGPD (CJUE, 7 décembre 2023, C-634/21).
La mise à disposition des Vehicle Identification Number (VIN) par les constructeurs automobiles aux opérateurs indépendants est une « obligation légale » au sens du RGPD
La CJUE qualifie les VIN de données à caractère personnel au sens de l’article 4 RGPD, dès lors qu’il existe des moyens raisonnables de les rattacher à une personne physique identifiée ou identifiable. Elle en déduit que les VIN doivent faire l’objet d’un traitement conforme au RGPD, impliquant notamment leur mise à disposition aux opérateurs indépendants du marché pour leur permettre de gérer la réparation et la maintenance des véhicules. Cette mise à disposition est une obligation légale au sens de l’article 6§1 du RGPD (CJUE, 9 novembre 2023, C-319/22).
Le responsable de traitement a l’obligation de fournir gratuitement à la personne concernée une première copie de données
La CJUE retient que le responsable du traitement a l’obligation de fournir à la personne concernée, à titre gratuit, une première copie de ses données, sans avoir la possibilité d’exiger de motifs de la demande d’accès. Conformément à l’article 15 § 3 RGPD, le droit d’obtenir une copie des données implique qu’il soit remis une reproduction fidèle et intelligible de l’ensemble de ces données. S’agissant en l’occurrence de données relatives à la santé, la copie doit reproduire les données du dossier médical, contenant des informations relatives notamment à des diagnostics, des résultats d’examens, des avis de médecins traitants, ou tout traitement ou intervention administrés.
Toutefois, la CJUE relève que ce droit n’est pas absolu et doit être concilié avec les intérêts économiques des responsables du traitement (usage abusif du droit d’accès, demande manifestement infondée ou excessive) (CJUE, 26 octobre 2023, C-307/22).
Le CEPD rend permanente l’interdiction de publicité ciblée sans consentement préalable faite à Meta
Dans le cadre de la procédure d’urgence prévue par l’article 66 RGPD initiée par l’Autorité norvégienne de protection des données, le CEPD conclue que Meta viole l’article 6 §1 en raison de l’utilisation de données à caractère personnel, incluant des informations relatives à la localisation et aux interactions des utilisateurs avec les contenus publicitaires, à des fins de publicité ciblée. Le CEPD rend permanente l’interdiction de publicité ciblée sans consentement préalable faite à Meta (CEPD, décision contraignante urgente, 7 décembre 2023, 01/2023).
Adoption par le Parlement européen et entrée en vigueur du « Data Act »
Le règlement (UE) 2023/2854 du 13 décembre 2023 portant sur l’équité de l’accès aux données et de l’utilisation des données est entré en vigueur le 11 janvier 2024 et sera applicable à partir du 12 septembre 2025. Il intervient dans le contexte du développement de « l’internet des objets » et vise à établir des règles harmonisées pour permettre une répartition équitable de la valeur des données générées par ces produits et les services qui y sont liés.
La CJUE se prononce sur la responsabilité d’IAB Europe
IAB Europe propose un système d’acceptation des cookies, mis à la disposition de ses membres pour faciliter la gestion des consentements. Ce système contient en particulier des règles sur le consentement lui-même, des règles techniques contraignantes, et des règles sur les modalités de stockage des données.
La CJUE retient qu’il en résulte une responsabilité conjointe de l’IAB en ce qu’elle détermine conjointement avec les membres de l’organisation les finalités et les moyens de traitement. Toutefois, cette responsabilité ne s’étend pas aux traitements ultérieurs réalisés par des tiers concernant les préférences des utilisateurs aux fins de publicité ciblée (CJUE, 7 mars 2024, C-604/22).
La communication orale de données personnelles est soumise au RGPD
La société Endemol Shine Finland a fait une demande orale de communication de données sur les condamnations pénales actuelles ou passées d’un individu tiers. Le tribunal national finlandais avait refusé la communication des données.
La CJUE a retenu qu’une telle communication orale constitue un traitement de données personnelles, au sens du RGPD, de sorte qu’il ne peut être fait droit à la demande de communication sur des condamnations pénales que si la requérante justifie d’un intérêt spécifique (CJUE, 7 mars 2024, C-740/22).
L’EDPB rend son avis sur le modèle « consentir ou payer »
Le Comité européen de la protection des données (European Data Protection Board) a rendu le 17 avril 2024 son avis sur les paywalls, à savoir le fait de laisser à l’utilisateur comme seule alternative au traitement de données personnelles à des fins de publicité ciblée, le paiement pour le service.
L’EDPB a considéré que ce système ne permettait pas un véritable consentement et a recommandé aux plateformes en ligne de prévoir une autre alternative, par exemple une option gratuite et dépourvue de publicité comportementale, telle que la publicité contextuelle.