Cette newsletter bimestrielle LAVOIX présente une sélection des actualités juridiques du domaine de la protection des données personnelles pour la période mai-juin 2022.
1. Actualités de la CNIL
Publication du rapport d’activité 2021
Le rapport annuel d’activité de la CNIL pour l’année 2021 a été publié le 11 mai dernier.
Ce rapport dresse notamment le bilan de l’activité répressive de la CNIL, à savoir un montant cumulé d’amendes inédit dépassant les 214 millions d’euros, et un nombre majoritaire de mises en demeure portant sur les cookies. Enfin, le rapport constate l’implication grandissante de la CNIL dans les travaux du CEPD et les préoccupations européennes, dont les transferts de données hors UE.
Mise en demeure de vingt-deux communes de désigner un délégué à la protection des données
Par une délibération du 5 mai 2022, la CNIL a mis en demeure 22 communes de procéder à la désignation d’un délégué à la protection des données (DPO) doté notamment de qualités d’expertise, d’indépendance et de moyens suffisants. Cette désignation est obligatoire pour les autorités et organismes publics selon l’article 37 du RGPD. Ces mises en demeure ont été rendues publiques en raison de la sensibilité des missions des communes et des données traitées.
Le ministère du Travail, du Plein emploi et de l’Insertion a récemment publié une étude sur le métier de DPO, mettant en évidence ses dynamiques et évolutions entre 2019 et 2021. Cette étude constate notamment l’augmentation du nombre de DPO en 2021, la diversification des profils, et précise les caractéristiques du métier dont une majorité de DPO internes ou mutualisés entre plusieurs entités.
Recommandations pour mettre son outil de mesure d’audience Google Analytics en conformité avec le RGPD
La CNIL publie des recommandations de mise en conformité au RGPD à destination des sites web utilisant les traceurs de mesure d’audience Google Analytics, compte tenu des transferts de données hors UE qu’ils impliquent et de l’invalidation en 2020 par la Cour de Justice de l’UE du Privacy Shield (cadre juridique de transfert de données entre l’UE et les USA).
La CNIL suggère le recours à la proxyfication, c’est-à-dire l’utilisation d’un serveur mandataire permettant une pseudonymisation avant export des données. Elle considère les mesures suivantes comme nécessaires pour limiter le transfert de données :
• L’absence de transfert de l’adresse IP vers les serveurs de l’outil de mesure ;
• Le remplacement de l’identifiant utilisateur par le serveur de proxyfication ;
• La suppression de l’information de site référent externe au site ;
• La suppression de tout paramètre contenu dans les URL collectées ;
• Le retraitement des informations pouvant participer à la génération d’une
empreinte
• L’absence de toute collecte d’identifiant entre sites ou déterministe ;
• La suppression de toute autre donnée pouvant mener à une réidentification.
Publication des premiers critères d’évaluation sur les cookies walls
La CNIL publie des premiers critères d’évaluation de la légalité des cookies walls, c’est-à-dire des bannières cookies conditionnant « l’accès à un service à l’acceptation, par l’internaute, du dépôt de certains traceurs sur son terminal (ordinateur, smartphone, etc.) ». Dans la majorité des cas, l’accès au site sans l’acceptation de certains traceurs est conditionné par le paiement d’une somme d’argent.
Les critères permettant d’évaluer la légalité des cookies walls sont les suivants :
• La proposition d’une alternative réelle et équitable permettant d’accéder au site ;
• En cas d’alternative payante, le tarif doit être raisonnable et prendre en compte des modes de consommation adaptés (pas nécessairement sous la forme d’un abonnement). Par exemple, la création d’un compte devant poursuivre des objectifs déterminés et transparents pour l’internaute ;
• Le cookie wall doit être limité aux finalités permettant une juste rémunération du service.
La responsabilité au regard du RGPD dans le cadre d’une commande publique
La CNIL publie un guide en matière de commande publique, destinés aux opérateurs économiques de marchés publics et aux administrations.
Ce guide a vocation à faciliter l’exercice de qualification de responsable de traitement, sous‑traitant ou responsable conjoint, et précise le partage des responsabilités entre l’administration et les opérateurs économiques. Les recommandations sont notamment adaptées à l’objet des contrats de marchés publics et la nature des traitements liés.
2. Actualités légales et jurisprudentielles – France
La Cour d’appel de Paris déboute une ancienne salariée de sa demande de communication de l’intégralité de sa messagerie professionnelle
Par une décision du 12 mai 2022 (CA Paris, Pôle 6, chambre 2, 12 mai 2022, n°21/02419), la Cour d’appel de Paris a confirmé une décision du Conseil de Prud’hommes de Melun ayant débouté une ancienne salariée de ses demandes formulées à l’encontre de son ancien employeur, sollicitant la communication de l’intégralité de son dossier personnel, y compris le contenu intégral de sa messagerie électronique professionnelle.
La Cour d’appel a tenu compte de l’impossibilité matérielle de faire droit à cette demande, la boîte mail de l’intéressée ayant été depuis détruite par l’employeur conformément au délai fixé dans sa politique données personnelles.
La CNIL prononce une amende de 1 millions d’euros à l’encontre de TOTALENERGIES ELETRICITE ET GAZ FRANCE
La sanction a été prononcée par une délibération du 23 juin 2022 de la formation restreinte de la CNIL.
La CNIL a condamné le fournisseur d’énergies à raison de deux séries de manquements :
• Manquement à l’obligation de permettre aux personnes de s’opposer à l’utilisation de leurs données à des fins prospection commerciale : le formulaire de souscription au contrat d’énergie mentionnait en effet que le souscripteur acceptait que ses données soient utilisées à des fins de prospection commerciale, sans offrir la possibilité de refuser ;
• Manquements à l’obligation d’information, notamment des personnes démarchées par téléphone, et au respect de l’exercice des droits, la société ne répondant pas aux demandes d’exercice de droit dans le délai approprié.
L’Autorité a néanmoins tenu compte, pour fixer le montant de l’amende, des efforts engagés par la société tout au long de la procédure afin de se mettre en conformité avec les exigences du RGPD.
Le Conseil d’Etat confirme l’amende de 35 millions d’euros prononcée par la CNIL à l’encontre d’Amazon
Par une décision du 27 juin 2022, le Conseil d’Etat a rejeté le recours d’Amazon Europe Core et validé la sanction prononcée par la CNIL à son encontre par délibération du 7 décembre 2020, à savoir une amende de 35 millions d’euros à raison du dépôt automatique et sans consentement préalable de cookies sur le terminal de l’internaute visitant son site amazon.fr, et de l’insuffisance des informations contenues dans la bannière cookies.
Le Conseil d’Etat a estimé que le manquement à l’article 82 de la loi Informatique et Libertés était caractérisé, et a constaté l’absence d’incidence des positions divergentes d’autres Autorités européennes pour interpréter les conditions et modalités du recueil du consentement au regard du droit applicable. Il a également été retenu que le montant de la sanction était proportionné compte tenu de la mise en balance de la gravité du manquement, l’ampleur des traitements réalisés grâce aux cookies, la nature potentiellement sensible des données obtenues, l’avantage financier retiré par Amazon et son chiffre d’affaires mondial.
3. Actualités légales et jurisprudentielles – Europe & international
Le CEPD publie des lignes directrices sur le calcul des amendes RGPD
Ces lignes directrices ont pour objectif d’harmoniser les sanctions prononcées en Europe, grâce à une méthodologie à destination des autorités de contrôle. Le calcul des amendes est réalisé en cinq étapes :
• Identification des opérations de traitement ;
• Détermination du point de départ du calcul de l’amende ;
• Evaluation des circonstance aggravantes et atténuantes au regard du
comportement de la personne visée ;
• Identification des maximums légaux pertinents pour les différentes infractions ;
• Analyse de la concordance entre les montants finaux calculés et les exigences d’efficacité, de dissuasion et de proportionnalité.
Le CEPD publie des lignes directrices sur l’utilisation de la reconnaissance faciale par les autorités publiques
Afin de répondre à l’augmentation de l’utilisation par les administrations publiques et aux risques relatifs à la protection des libertés fondamentales, le CEPD communique ses lignes directrices à destination des décideurs publics et rédacteurs de textes législatifs.
Le CEPD précise notamment qu’une AIPD (analyse d’impact relative à la protection des données) est requise avant le commencement du traitement de données. De plus, le CEPD appelle à l’interdiction de certaines formes de traitement comme l’identification biométrique à distance de personnes dans des espaces accessibles au public, la reconnaissance faciale par intelligence artificielle classant les individus en fonction de leurs données biométriques dans des groupes selon leur ethnie, sexe, orientation politique ou sexuelle, la déduction des émotions, le traitement de données personnelles réalisé dans un contexte répressif via une collecte massive de données.
Nouveau Privacy Shield : date d’entrée en vigueur annoncée à début 2023
Le nouveau cadre juridique de transfert de données entre l’UE et les USA, censé remplacer le Privacy Shield invalidé en 2020 par la Cour de Justice de l’UE, est attendu pour le premier trimestre 2023 selon Reuters.
Belgique : sanction d’un groupe de presse pour sa gestion des cookies
Par une décision du 25 mai 2022, l’Autorité de contrôle belge a infligé une amende de 50 000 euros à l’encontre du groupe de presse Roularta pour plusieurs manquements liés au recueil du consentement concernant les cookies.
Il a été constaté que deux sites web gérés par le groupe ne respectaient pas les critères en ce que le consentement n’était pas requis préalablement à la collecte de données, l’utilisateur n’était pas suffisamment informé du traitement et le consentement était équivoque (cases pré-cochées).
Royaume-Uni : réforme de la législation sur les données personnelles
Par une communication du 10 mai 2022, le gouvernement britannique a présenté dans les grandes lignes la prochaine législation en matière de protection des données personnelles.
Les objectifs affichés sont, notamment, de tirer profit du Brexit pour créer un cadre juridique mondial sur les données, moderniser et attribuer des pouvoirs plus importants à l’autorité de contrôle, et faciliter l’accès aux données de santé.
Article rédigé par : Caroline ALET, Alix CAPELY et Camille PECNARD