Cette newsletter bimestrielle LAVOIX présente une sélection des actualités juridiques du domaine de la protection des données personnelles pour la période janvier-février 2022.
1. Actualités légales et jurisprudentielles – France
Bilan 2021 de l’action répressive de la CNIL : année record
A l’occasion de la journée européenne de la protection des données du 28 janvier 2022, la CNIL a réalisé un bilan de son action répressive pour 2021.
Le montant cumulé des amendes prononcées en 2021 s’élève à plus de 214 millions d’euros, soit une augmentation de 55% par rapport à 2020.
En 2021, la CNIL a prononcé 18 sanctions, 15 amendes et 135 mises en demeure. La moitié des sanctions concerne un manquement à la sécurité des données personnelles.
Validation par le Conseil d’Etat de la sanction prononcée par la CNIL à l’encontre de Google en matière de cookies
Par une décision du 28 janvier 2022, le Conseil d’Etat a validé la sanction prononcée par la CNIL à l’encontre de Google le 7 décembre 2020 pour plusieurs manquements à la loi Informatique et Libertés (LIL) en matière de cookies.
Les sociétés Google LLC et Google Ireland contestaient la compétence de la CNIL pour prononcer une telle sanction et invoquaient le mécanisme du guichet unique, qui aurait réservé une compétence exclusive de l’Autorité de contrôle irlandaise.
Dans la lignée de sa décision du 4 mars 2021, le Conseil d’Etat précise que le mécanisme du guichet unique prévu par le RGPD n’est pas applicable en matière de cookies, ceux-ci étant régis par la LIL.
Le Conseil d’Etat confirme les violations de l’article 82 de la LIL prononcées par la CNIL, concernant le dépôt de cookies sans consentement préalable de l’utilisateur, le défaut d’information de l’utilisateur et la défaillance partielle du mécanisme proposé pour refuser les cookies.
Mise en demeure de la CNIL concernant l’utilisation de Google Analytics
La CNIL a été saisie de plaintes par l’association NOYB concernant le transfert vers les Etats‑Unis de données collectées lors de visites de sites web utilisant Google Analytics.
A cette occasion, la CNIL a constaté que Google Analytics implique un transfert de données vers les Etats-Unis en violation des articles 44 et suivants du RGPD, tirant les conséquences de l’arrêt Schrems II de la Cour de Justice de l’Union Européenne (CJUE) ayant invalidé le Privacy Shield.
La CNIL a mis en demeure un gestionnaire de site web de se mettre en conformité avec le RGPD, de ne plus utiliser Google Analytics en l’état, et de recourir si besoin à un outil n’impliquant pas de transfert hors UE.
L’Autorité autrichienne a rendu une décision analogue le 13 janvier 2022.
Précisions de la CNIL concernant la réutilisation par un sous-traitant de données confiées par un responsable de traitement
La CNIL a précisé en janvier 2022 les modalités de réutilisation de données par un sous‑traitant, venant compléter les lignes directrices déjà établies concernant les relations entre responsable de traitement et sous-traitant.
Une réutilisation de données est subordonnée à la réalisation préalable d’un test de compatibilité, destiné à déterminer si ce traitement ultérieur est compatible avec la finalité initiale pour lesquelles les données ont été collectées. L’autorisation ne peut pas être préalable ni générale, et doit être écrite.
Une fois l’autorisation obtenue, le responsable de traitement a l’obligation d’informer les personnes concernées de l’existence de ce traitement ultérieur, et le sous-traitant (devenu responsable de traitement lui-même) est tenu de garantir la conformité du traitement à la réglementation.
Introduction d’une nouvelle procédure simplifiée de sanction CNIL pour les dossiers considérés de faible importance
Un nouveau régime de sanction CNIL a été introduit par la loi n°2022-52 du 24 janvier 2022 relative à la responsabilité pénale et sécurité intérieure, insérant notamment un nouvel article 22-1 dans la loi Informatique et Libertés.
Ce texte aménage les pouvoirs du Président de la formation restreinte pour les dossiers considérés de faible importance. Il pourra statuer seul et prendre trois catégories de mesures : enjoindre la production des éléments demandés en cas d’absence de réponse à une précédente mise en demeure, assortir cette injonction d’une astreinte de 100 € par jour de retard, et prononcer une amende administrative d’un montant maximal de 20 000 €.
Cette nouvelle procédure répond à l’augmentation du nombre de plaintes reçues par la CNIL.
Le CNnum met en débat de nouveaux droits et obligations
Le Conseil National du Numérique (CNnum) a publié le 13 janvier un dossier proposant des solutions pour remédier aux problèmes créés par l’économie de l’attention, fondement des plateformes numériques via la collecte des données et la publicité personnalisée.
A cette occasion, le CNnum met notamment en débat la création de nouveaux droits pour les internautes et obligations pour les plateformes numériques, tels que la consécration d’un droit d’être informé sur les dispositifs de captation attentionnelle, le renforcement du droit à la déconnexion, et la création d’un droit à l’interopérabilité entre plateformes.
2. Actualités légales et jurisprudentielles – Europe et international
Projet de règlement sur les données (« Data Act »)
La Commission européenne a publié le 23 février 2022 son projet de règlement sur les données, dit « Data Act », en faveur d’une économie des données équitable et innovante.
Les objectifs du Data Act sont notamment d’assurer l’équité dans l’environnement numérique, stimuler le développement d’un marché des données concurrentiel, ouvrir des perspectives pour l’innovation fondée sur les données et rendre les données plus accessibles à tous.
Lignes directrices du CEPD sur le droit d’accès
Le 18 janvier, le Comité européen de la protection des données (CEPD) a adopté ses lignes directrices sur le droit d’accès des personnes concernées, faisant l’objet d’une consultation publique de six semaines.
Ces lignes directrices ont vocation à préciser le champ d’application du droit d’accès, les informations que le responsable du traitement doit fournir à la personne concernée, le format de la demande d’accès, les modalités d’accès et la notion de demandes manifestement infondées et excessives.
Lignes directrices du CEPD sur les violations de données
Le CEPD a publié le 3 janvier dix-huit cas pratiques, faisant office de lignes directrices, pour accompagner les responsables de traitement dans leur gestion des violations de données personnelles, conformément aux articles 33 et 34 du RGPD.
Le CEPD traite des principales menaces que peuvent rencontrer les responsables de traitement, classés en six catégories : les rançongiciels, les attaques d’exfiltration de données, les risques humains internes, la perte ou le vol de documents papier, les erreurs d’envoi et l’ingénierie sociale.
Pour chaque pratique, le CEPD présente les mesures préalables à mettre en œuvre, la méthode d’évaluation du risque, les mesures d’atténuation du risque et les obligations concrètes du responsable de traitement.
Sanction d’IAB Europe par l’autorité de contrôle belge
L’Autorité de contrôle belge a condamné l’IAB Europe à une amende de 250 000 euros pour non-respect du RGPD concernant son standard de « transparence et de consentement » (« Transparency and Consent Framework ») utilisé par les acteurs de la publicité numérique pour mettre leurs outils de profilage publicitaire en conformité avec le RGPD.
L’Autorité identifie la base légale sur laquelle se fonde l’IAB, à savoir le consentement des internautes, comme une garantie insuffisante. Sans interdire l’outil, l’Autorité ordonne des mesures de correction. L’IAB a indiqué avoir fait appel de la décision.
Injonction du CEPD au Parlement européen pour des transferts de données hors UE
Le CEPD a constaté qu’un site internet lancé par le Parlement européen pour permettre aux membres et au personnel du Parlement de réserver des créneaux pour effectuer des tests de Covid-19 n’était pas conforme au RGPD, notamment concernant des transferts de données personnelles en dehors de l’UE, vers les Etats-Unis, sans démonstration d’un niveau équivalent de protection.
Ce contrôle intervient à la suite d’une plainte. Le Parlement européen est enjoint de corriger son site internet dans un délai d’un mois.
Sanction de l’opérateur de téléphonie grec COSMOTE
L’Autorité de contrôle grecque a sanctionné le 31 janvier 2022 l’opérateur de téléphonie COSMOTE par une amende de 6 millions d’euros. Celle-ci collectait les données de trafic des abonnés et les conservait pendant une durée de 90 jours à compter de la date d’appel, puis les conservait de manière pseudonymisée pendant 12 mois supplémentaires.
L’Autorité a considéré que ce traitement portait atteinte aux principes de légalité et transparence des traitements, ne démontrait pas de mesures de sécurité suffisantes et était mis en œuvre à la suite d’une analyse d’impact dont l’évaluation était inexacte.
Article rédigé par : Alix CAPELY, Pierre-Emmanuel MEYNARD et Camille PECNARD