Données personnelles

Cette newsletter présente une sélection des actualités de juin à décembre 2024 dans le domaine de la protection des données personnelles.

1. Délibérations de la CNIL

La CNIL se prononce sur l’anonymisation des données de santé

La société CEGEDIM met à disposition de médecins de ville un logiciel, en échange de l’utilisation des données enregistrées par ces médecins dans le logiciel. Cette utilisation de données personnelles de santé est réalisée à des fins d’études et de statistiques.
Reprenant les indices de robustesse établis par le Groupe 29, à savoir l’individualisation, la corrélation et l’inférence, la CNIL a considéré dans sa délibération du 5 septembre 2024 que des données n’étaient pas anonymes si un patient pouvait être individualisé dans le jeu de données, quand bien même avait été utilisé un nouvel identifiant.
L’entrepôt de données de santé constitué par CEGEDIM était donc soumis au RGPD et nécessitait soit l’autorisation de la CNIL, soit le renvoi à un référentiel existant pour déclarer la conformité. La société CEGEDIM a été condamnée à 800.000 euros.

Condamnation d’une commune pour non-désignation d’un délégué à la protection des données (DPD)

L’article 37 du RGPD prévoit les cas dans lesquels la désignation d’un DPD est obligatoire, et désigne en particulier les organismes publics. Il est par ailleurs recommandé par la CNIL de toujours désigner un DPD, même dans les cas pour lesquels le RGPD ne prévoit pas d’obligation.
Concernant la commune de Kourou, la CNIL a ainsi, par délibération du 22 juillet 2024, liquidé l’astreinte prononcée dans sa délibération du 12 décembre 2023.
Cette liquidation d’astreinte coïncide avec l’enquête de la CNIL sur les évolutions de la fonction de délégué à la protection des données. La procédure a été clôturée la procédure le 7 novembre 2024 à la suite de la mise en conformité de la commune de Kourou à son obligation de désigner un délégué à la protection des données, après avoir payé deux amendes.

Le data scraping sur le réseau social LinkedIn est sanctionné à hauteur de 240 000 euros

La société Kaspr mettait à disposition un outil constitué d’une base de coordonnées, « aspirées » sur le réseau social LinkedIn via une technique de data scraping, le fait d’extraire un nombre important d’information sur un site web.
Malgré les paramètres de visibilité des coordonnées choisis par les utilisateurs du réseau social, la société collectait certaines données de manière illicite. La société ne respectait pas non plus l’obligation de limitation proportionnée de la durée de conservation, qui était fixée à 5 ans à compter de toute mise à jour du profil, et manquait à son obligation d’information des personnes concernées.
La CNIL a prononcé une amende de 240 000 euros, ainsi que plusieurs injonctions à réaliser dans un délai de 6 mois.

La société ORANGE condamnée à 50 millions d’euros

Cette sanction du 14 novembre 2024 fait suite à la présence d’annonces publicitaires insérées entre des emails, au sein du service de messagerie électronique proposé par Orange.
Cette pratique contrevenait en particulier à l’obligation d’obtenir préalablement le consentement des personnes (article L. 34-5 du code des postes et communications électroniques).

Vingt nouvelles sanctions dans le cadre de la procédure simplifiée

Lorsque l’affaire ne présente pas de difficulté particulière, la CNIL a la possibilité de recourir à la procédure de sanction simplifiée. Le président de la formation restreinte statue seul et aucune séance publique n’est en principe organisée, accélérant le processus par rapport à la procédure ordinaire.
La CNIL a communiqué sur le prononcé de 20 sanctions depuis janvier 2024, rendues dans le cadre de la procédure simplifiée – neuf entre janvier et juin, puis onze entre juin et septembre.
Ces procédures ont porté sur la sanction de traitement illicite, le non-respect du principe de minimisation des données, l’utilisation de cookies, le défaut de coopération avec la CNIL, le défaut de sécurité des données, le non-respect des droits des personnes, le manquement à l’information des personnes et l’absence de registre de traitement.

2. Documentation de la CNIL

La CNIL se positionne sur l’IA générative

Dans le contexte de l’entrée en vigueur du règlement européen sur l’IA, la CNIL encourage l’utilisation de méthodes respectueuses de la vie privée et des données personnelles.
La CNIL s’est en particulier intéressée à l’IA générative, créatrice de contenus. De nombreuses recommandations sont précisées, en particulier sur le choix d’un système sécurisé et robuste, conformément aux recommandations de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) relatives à la sécurité des IA génératives, en évitant autant que possible la saisie de données personnelles. Les éventuels transferts de données en dehors de l’UE doivent également être encadrés contractuellement avec attention.

Mise à jour du registre de traitement de la CNIL

Prévu par l’article 30 du RGPD, le registre des activités de traitement est une obligation pesant sur tout responsable de traitement, relevant de l’obligation de documentation au fil des traitements.
La CNIL donne donc l’exemple en publiant son registre de traitement mis à jour.

Audit de l’utilisation des dark patterns par 26 autorités

26 autorités de contrôle ont analysé une sélection large de sites internet et d’application mobile afin de prendre connaissance de l’utilisation des dark patterns en Europe – les mécanismes de design trompeurs influençant les choix des internautes.
En parallèle des observations retenues par les autres autorités, la CNIL a en particulier retenu que les interfaces n’invitaient généralement pas à une bonne protection de la vie privée, et que les parcours de suppression de compte sont considérés comme trop complexes.
Ces observations permettent d’organiser ensuite les lignes directrices ou les guides pratiques pouvant être publiés par la CNIL ou le CEPD, par exemple.

Recommandations de la CNIL sur l’open data

A la suite de la consultation publique menée d’août à novembre 2023, la CNIL a réuni les 26 contributions pour préparer son livrable sur l’open data : la CNIL a ainsi publié des fiches destinées aux diffuseurs de données ouvertes, et des fiches destinées aux réutilisateurs de données publiées sur internet, pour leur permettre de concilier le besoin de favoriser l’exploitation de données publiques, avec la protection de la vie privée.

La CNIL publie un outil de suivi des Règles d’entreprise contraignantes

Conformément à l’article 46.2 (b) du RGPD, les Règles d’entreprise contraignantes sont un outil de garantie appropriée pour procéder à un transfert de données personnelles en dehors de l’Union européenne.
Grâce à des questionnaires, les groupes ayant choisi de mettre en place des Règles d’entreprises contraignantes peuvent désormais suivre leur conformité en assurant un déploiement harmonisé des Règles dans l’ensemble du groupe.

3. Actualités légales et jurisprudentielles – France

Rejet de demande d’effacement d’un article de presse contenant des données sensibles au profit du droit de la presse

Un article sur le site de la chaîne de télévision France 3 relatait l’agression d’un maire, en mentionnant les nom et prénom du mis en cause, son appartenance à un groupe identitaire, ainsi que ses convictions politiques, réelles ou supposées. Le mis en cause demandait la suppression de ces données sur le fondement de l’article 17 du RGPD et de l’article 6 de la loi dite « Informatique et Libertés ».
Le tribunal judiciaire a considéré que ce traitement était licite, s’agissant de faire état d’éléments de contexte liés à un évènement médiatisé au niveau national et nécessaires à l’exercice du droit à la liberté d’informer (TJ Paris, 30 octobre 2024, RG n°24/56090).

Mise en balance d’une demande de communication dans l’exercice du droit à la preuve avec la protection des données personnelles

Dans le cadre d’une demande de communication de documents contenant des données personnelles afin de caractériser une discrimination, la Cour de cassation demande au juge du fond (et en particulier au Conseil des prud’hommes ici) de rechercher si cette communication est nécessaire et proportionnée, de veiller au respect du principe de minimisation des données personnelles, de cantonner cette communication, d’enjoindre à la limitation de la finalité de ce traitement.
Ainsi, les données communiquées ne doivent être utilisées que dans le cadre de l’action en discrimination.

4. Actualités légales et jurisprudentielles – Europe / International

Nouvelles clauses contractuelles types annoncées par la Commission européenne pour 2025

La Commission européenne a annoncé qu’elle publiera au 2^e trimestre de 2025 des clauses contractuelles types pour l’accès aux données et leur utilisation, applicables dans les cas où un importateur de données est situé dans un pays tiers mais se trouve soumis au RGPD.
Une consultation publique est prévue pour le 4^e trimestre 2024.
Ces modèles de clauses ont pour objectif d’aider les petites et moyennes entreprises à rédiger et négocier des clauses contractuelles équitables pour le partage de données ou pour les données hébergées en cloud.

Transferts de données à la demande d’une autorité de contrôle

Le CEPD (Comité européen de la protection des données) a publié de nouvelles lignes directrices sur l’article 48 du RGPD régissant les transferts hors UE. Le CEPD s’intéresse plus particulièrement aux demandes de communications de données personnelles faites par des autorités de contrôles, lesquelles communications de données peuvent constituer des transferts de données hors UE. Les responsables de traitements concernés doivent donc veiller à disposer d’une base légale et d’un instrument de transfert.

La CJUE (Cour de justice de l’Union européenne) définit largement les données de santé

Par une décision du 4 octobre 2024 (C-21/23), la CJUE a considéré qu’une donnée sur une commande de médicament, liée au client d’une pharmacie en ligne (que la commande soit pour sa consommation propre ou non), est une donnée de santé, au sens des articles 4(15) et 9(1) du RGPD.
Désormais, les données de santé sont qualifiées comme telles sur la base d’un test de probabilité, fondé sur des informations objectives. Cela a pour conséquence un élargissement des possibilités de répondre à cette qualification.
La Cour rappelle par ailleurs la possibilité d’agir sur le fondement de la concurrence déloyale à l’encontre d’une société qui ne respecterait pas les obligations découlant du RGPD.

Licéité de la vente de données personnelles par une fédération sportive

Par une décision du 4 octobre 2024 (C- 621/22), la Cour de justice de l’Union européenne a interprété sur demande préjudicielle l’article 6, paragraphe 1, du RGPD, relatif à l’intérêt légitime comme base légale de traitement.
Elle retient que la vente des données personnelles des membres d’une fédération sportive n’est réalisée dans son intérêt légitime qu’aux deux conditions suivantes :

• Le traitement doit être strictement nécessaire à la réalisation de l’intérêt légitime,
• Et les intérêts, ou libertés et droits fondamentaux des membres d’une fédération sportive ne prévalent pas sur l’intérêt légitime de cette fédération sportive.

La CJUE se prononce sur la limitation de l’utilisation des données personnelles collectées par les réseaux sociaux

A la suite d’une plainte de Maximilian Schrems à l’encontre de Facebook, la CJUE s’est prononcée le 4 octobre 2024 (C-446/21) sur l’utilisation des données personnelles sur ce réseau social.
La Cour retient que le principe de minimisation s’oppose à l’utilisation de ces données à des fins de publicité ciblée sans limitation de durée et sans distinction en fonction de la nature des données. Par ailleurs, le fait qu’une donnée, en l’occurrence sur l’orientation sexuelle d’une personne – donc qualifiée de sensible, soit publique mais diffusée en dehors du réseau social, n’autorise pas le réseau social à traiter ladite donnée.

Transferts de données hors UE : sanction de 290 millions d’euros à l’encontre d’UBER (autorité néerlandaise en coopération avec la CNIL)

Le 22 juillet dernier l’autorité néerlandaise de protection des données, en coopération avec la CNIL, a condamné les sociétés Uber B.V et Uber Technologies Inc. à une amende de 290 millions d’euros aux Pays-Bas pour des transferts de données hors de l’Union européenne.
Suite à la plainte collective de l’association La Ligue des droits de l’Homme, représentant plus de 170 chauffeurs de la plateforme UBER (dont le siège européen est situé à Amsterdam), la CNIL a collaboré avec l’autorité néerlandaise afin d’enquêter sur cette plainte.
L’autorité néerlandaise a constaté que les données personnelles des chauffeurs collectées par UBER B.V. et UBER TECHNOLOGIES INC. étaient transférées vers les États-Unis sans être encadrées par des garanties appropriées, en violation de l’article 44 du RGPD.

Sanction de 2,3 millions d’euros à l’encontre de VINTED (autorité lituanienne en coopération avec la CNIL)

Le 2 juillet 2024, la société Vinted UAB a été condamnée à une amende de 2 385 276 euros par l’autorité lituanienne de protection des données, en collaboration avec la CNIL.
Suite à de nombreuses plaintes reçues par la CNIL en 2020, cette dernière a collaboré avec l’autorité lithuanienne de protection des données, le siège de Vinted étant situé en Lituanie.
Les investigations ont révélé plusieurs infractions au RGPD :

• La société a refusé l’effacement des données des personnes au seul motif que les demandeurs ne citaient pas un des critères prévus par le RGPD dans leur demande d’effacement, et sans indiquer toutes les raisons du refus ;
• La société n’a pas été en mesure de prouver qu’elle avait correctement répondu à des demandes de droit d’accès ;
• La société a mis en œuvre illégalement le « bannissement furtif », méthode permettant de rendre les utilisateurs malveillants invisibles aux autres, sans les en informer.

La mise en œuvre de cette pratique a porté une atteinte excessive aux droits des utilisateurs en les empêchant de contacter le support client ou d’exercer leurs droits.

L’exécution d’un contrat peut constituer une base légale de traitement de données personnelles au sens du RGPD

Dans les affaires connexes C-17/22 et C-18/22, la CJUE a abordé la question de la licéité du traitement de données à caractère personnel dans le cadre de l’exécution d’un contrat.
La Cour a examiné l’application de l’article 6, paragraphe 1 du RGPD, et les circonstances dans lesquelles le traitement des données personnelles peut être licite, notamment en l’absence de consentement.
C’est ainsi, que la Cour a considéré que l’exécution d’un contrat est une base légale au sens du RGPD justifiant le traitement de données personnelles nécessaires à son exécution.
Néanmoins, la Cour souligne que si le contrat interdit expressément la divulgation de données personnelles, la divulgation de ces données ne peut pas être objectivement considérée indispensable à son exécution.

Publication au journal officiel de l’Union européenne du Règlement 2024/1689 portant sur l’intelligence artificielle et communément désigné sous le nom de IA Act

Le Règlement 2024/1689 portant sur l’intelligence artificielle et communément désigné sous le nom de « IA Act » a été publié au journal officiel le 12 juillet 2024 et est entré en vigueur le 1^er août 2024.
Les exigences du règlement commenceront à s’appliquer progressivement selon un calendrier précis débutant le 2 février 2025, jusqu’au 2 août 2027.
Le Règlement a pour objectif d’encadrer le développement, la mise sur le marché et l’utilisation de systèmes d’intelligence artificielle pouvant poser des risques pour la santé, la sécurité ou les droits fondamentaux.
En parallèle, le CEPD a publié son avis pour une IA responsable au regard des principes du RGPD.

Le CEPD adopte une déclaration sur le rôle des autorités de protection des données européennes dans le cadre du Règlement sur l’intelligence artificielle

Le 16 juillet 2024, le Comité Européen de la Protection des données (CEPD) a adopté une déclaration aux termes de laquelle les autorités de protection des données européennes rappellent qu’elles disposent déjà d’une expérience et d’une expertise dans le traitement de l’impact de l’intelligence artificielle (IA) sur les droits fondamentaux, en particulier le droit à la protection des données personnelles, et qu’elles devraient donc être désignées comme autorités de surveillance du marché pour un certain nombre de systèmes d’IA à haut risque.
En effet, le règlement sur l’IA prévoit la désignation d’une ou plusieurs autorités compétentes pour endosser le rôle d’autorité de surveillance du marché, sans préciser la nature des autorités concernées.
Le choix de la désignation de l’autorité compétente revient à chaque État membre, qui devra en désigner une avant le 2 août 2025.

L’autorité néerlandaise de protection des données condamne la société Clearview AI à une amende de 30,5 millions d’euros

Le 3 septembre 2024, l’autorité néerlandaise de protection des données a condamné l’entreprise de reconnaissance faciale Clearview AI à une amende de 30,5 millions d’euros, incluant en particulier des astreintes en cas de non-conformité.
L’autorité néerlandaise de protection des données reproche à Clearview AI d’avoir illégalement mis en place un répertoire de photos sans autorisation.

L’autorité de contrôle des données personnelles n’est pas obligée de prendre une mesure correctrice

Dans un arrêt du 26 septembre 2024, la CJUE (Cour de justice de l’Union européenne) a jugé qu’une autorité de contrôle n’est pas obligée de prendre une mesure correctrice, en particulier d’imposer une amende administrative, lorsque cela n’est pas nécessaire pour remédier à l’insuffisance constatée et garantir le plein respect du RGPD.
Cette décision fait suite à la question posée par une juridiction allemande à la CJUE sur l’interprétation du RGPD afin de savoir si l’autorité de protection des données personnelles devait obligatoirement prendre des mesures correctrices à l’égard d’une banque qui avait consulté, sans y être autorisée, les données personnelles d’un client.

Nouvelles lignes directrices sur la notion de « traçage »

La notion de « traçage » apparaît à l’article 5(3) de la directive ePrivacy. Le CEPD a adopté de nouvelles lignes directrices, consolidant celles de 2023.
La principale conséquence est la soumission de la majorité des interactions sur internet aux règles relevant des cookies, de manière à ce que toutes les alternatives aux cookies relevant du ciblage publicitaire suivent un régime identique, posant le principe de la protection du terminal (téléphone mobile ou ordinateur, par exemple) contre les intrusions non désirées par l’utilisateur.