Cette newsletter bimestrielle LAVOIX présente une sélection des actualités juridiques du domaine de la protection des données personnelles pour la période mars-avril 2022.
1. Actualités de la CNIL
La CNIL publie un guide pratique à destination des délégués à la protection des données (DPO)
Dans un objectif d’accompagnement des DPO et en complément de la documentation déjà disponible, la CNIL publie un guide pratique.
La CNIL développe quatre notions sous formes de questions concrètes et de méthodologie de réflexion : le rôle du DPO, la désignation du DPO, l’exercice des fonctions du DPO, et l’accompagnement des DPO par la CNIL.
Sont notamment annexés un modèle de lettre de mission (p. 45) et un mode d’emploi de l’outil de désignation du DPO (p. 47).
Trois organismes sont mis en demeure pour des transmissions de données de prospection commerciale entre partenaires sans recueil du consentement
La CNIL a mis en demeure trois organismes qui collectaient et transmettaient les coordonnées de personnes physiques à des partenaires souhaitant effectuer de la prospection commerciale par SMS et courriers électroniques, et ce sans recueillir le consentement préalable des personnes concernées.
La CNIL indique que les organismes visés disposent de trois mois pour se mettre en conformité.
La CNIL sanctionne la société DEDALUS Biologie d’une amende de 1,5 millions d’euros (fuite de données médicales de près de 500 000 personnes)
Par délibération du 15 avril 2022, la société DEDALUS, développant et commercialisant des solutions logicielles pour des laboratoires d’analyse biologique, a été sanctionnée par la CNIL à hauteur de 1,5 millions d’euros, en raison de la violation de son obligation d’assurer la protection des données prévue par l’article 32 du RGPD ainsi qu’au titre de l’article 29 (obligation du sous-traitant de suivre les instructions du responsable de traitement) et de l’article 28 du RGPD (obligation d’encadrer par un acte juridique la relation entre le sous-traitant et le responsable de traitement).
Cette sanction intervient suite à une fuite de données signalée en février 2021, ayant entraîné plusieurs contrôles de la CNIL et un blocage par le tribunal judiciaire de Paris de l’accès au site divulguant les données en question suite à une saisine de la CNIL.
L’injonction prononcée à l’encontre de SPARTOO est clôturée
La CNIL a clôturé le 31 mars 2022 l’injonction prononcée à l’encontre de la société SPARTOO par délibération publique du 28 juillet 2020.
Outre le paiement d’une amende de 250 000 euros, la société devait se mettre en conformité au RGPD afin de respecter les principes de minimisation (article 5.1, c) du RGPD), la conservation limitée des données (article 5.1, e) du RGPD), la finalité des traitements (article 5.1, b) du RGPD), l’information des salariés et des clients (article 13 du RGPD), ainsi que l’adoption de mesures de sécurité satisfaisantes (article 32 du RGPD).
La CNIL a considéré que les mesures prises étaient adéquates et a, dès lors, levé l’injonction.
La CNIL publie des ressources sur l’IA afin d’accompagner les professionnels dans leur mise en conformité
La CNIL accompagne les professionnels mettant en œuvre des traitements de données personnelles grâce à des outils basés sur l’intelligence artificielle. Dans ce contexte, elle a décidé de mettre à disposition des guides et articles dédiés, destinés à être complétés et mis à jour, portant notamment sur l’intelligence artificielle, la conformité RGPD spécifique à ce secteur et des méthodes d’auto-évaluation.
Les responsables de traitements et sous-traitants sont encouragés à utiliser des termes plus clairs
Afin de respecter le principe de transparence, l’article 12 du RGPD impose de fournir une information « concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples ».
La CNIL fournit ainsi des précisions et des exemples précis, considérant que les termes juridiques peuvent être incompris du grand public.
2. Actualités légales et jurisprudentielles – France
Les signalements effectués dans le cadre du dispositif de lanceurs d’alerte sont soumis au respect du RGPD
Le régime des lanceurs d’alerte avait été enrichi par la loi n°2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique.
La loi n°2022-401 du 21 mars 2022 visant à améliorer la protection des lanceurs d’alerte modifie les dispositions de la loi de 2016, notamment concernant les traitements de données personnelles en précisant que « les signalements ne peuvent être conservés que le temps strictement nécessaire et proportionné à leur traitement et à la protection de leurs auteurs, des personnes qu’ils visent et des tiers qu’ils mentionnent, en tenant compte des délais d’éventuelles enquêtes complémentaires » (article 5 de la loi de 2022 modifiant l’article 9 de la loi de 2016).
La chambre sociale de la Cour de cassation retient que le RGPD n’implique pas le refus de communiquer à l’expert-comptable les documents demandés
Par un arrêt du 9 mars 2022, la Cour de cassation a précisé la compétence de l’expert-comptable s’agissant de sa demande de communication d’une base de données non nominative du personnel. La chambre sociale retient que le RGPD ne peut pas constituer un fondement valable pour refuser de communiquer à l’expert-comptable les documents demandés. Il convient plutôt de vérifier si ces documents existent, puis si leur établissement est obligatoire pour l’entreprise.
L’Assurance maladie communique sur une fuite de données personnelles concernant amelipro
Par communiqué du 17 mars 2022, l’Assurance maladie a indiqué avoir subi une violation de données personnelles sur son service amelipro destiné aux professionnels de santé.
L’Assurance maladie a précisé avoir pris un certain nombre de mesures de sécurité afin de faire cesser la violation, notamment en bannissant les adresses IP concernées et en réinitialisant les comptes des professionnels de santé. Cette communication répond à l’obligation de notification de toute violation de données aux personnes concernées (art. 34 RGPD). La CNIL a également été notifiée de la violation (art. 33 RGPD).
3. Actualités légales et jurisprudentielles – Europe & international
Le CEPD publie de nouvelles lignes directrices sur l’application de l’article 60 du RGPD
L’article 60 du RGPD met en place un mécanisme de guichet unique permettant à une autorité de contrôle désignée de diligenter les enquêtes sur les traitements de données transfrontaliers, tout en coopérant avec ses homologues européens, lesquels restent le point de contact du plaignant.
Par ses lignes directrices publiées le 14 mars dernier, le CEPD (Comité européen de la protection des données) s’attache à clarifier l’article 60 et les contours de la procédure de coopération entre l’autorité de contrôle chef de file et les autres autorités de contrôle concernées, complétant son analyse par un guide synthétique de la procédure de guichet unique.
Le CEPD alerte sur les dark patterns
Les dark patterns sont des interfaces truquées, intégrées à d’autres interfaces. L’objectif de ces outils est de tromper l’utilisateur en le poussant à prendre des décisions non réfléchies et dommageables pour lui-même au profit de l’entreprise ayant créé l’interface. Les dark patterns permettent notamment de recueillir des données personnelles, par exemple en dissimulant des informations ou en incitant fortement le consentement de l’utilisateur, contrevenant ainsi à l’article 5 du RGPD. Les bandeaux d’acceptation de cookies peuvent constituer des dark patterns.
Le CEPD a donc publié des lignes directrices sur l’utilisation des dark patterns sur les réseaux sociaux en proposant des recommandations pour les responsables de traitement et également les utilisateurs de réseaux sociaux, grâce à des cas pratiques.
Accord de principe en remplacement du Privacy Shield
En application de l’article 45 du RGPD, le Privacy Shield était une décision d’adéquation prise en 2016 par la Commission européenne et encadrant les transferts de données personnelles entre l’Union européenne et les responsables de traitements ou sous-traitants basés aux Etats-Unis. La CJUE avait invalidé cette décision le 16 juillet 2020 par un arrêt dit « Schrems II », estimant que le niveau de protection offert aux ressortissants européens n’était pas assez élevé.
Le 25 mars 2022, la Commission européenne et les Etats-Unis sont parvenus à un accord de principe, mettant en avant de nouvelles garanties de nécessité et proportionnalité des politiques de surveillance américaines.
Le système de certification serait conservé, accompagné de procédures de contrôle effectif, et un tribunal dédié serait créé afin de recevoir les plaintes des ressortissants européens.
La CJUE confirme que les associations de protection des consommateurs peuvent agir en justice contre l’auteur présumé d’une violation du RGPD
L’affaire concerne la plateforme Meta à l’encontre de qui une association allemande de défense des intérêts des consommateurs avait souhaité agir en justice.
La CJUE fait application de l’article 80, §2 du RGPD et retient, par un arrêt du 28 avril 2022, que les associations de consommateurs ont qualité à agir même en l’absence de mandat et sans qu’il y ait une identification individuelle et préalable de la personne concernée par la violation du RGPD.
La CNIL irlandaise sanctionne Meta
Constatant une violation des articles 5 (transparence des informations) et 24 du RGPD (obligations du responsable de traitement), l’Autorité de contrôle irlandaise a sanctionné la société Meta Platforms, anciennement Facebook Ireland Limited, d’une amende de 17 millions d’euros par une décision du 15 mars 2022. L’enquête était intervenue dans le contexte de douze violations de données personnelles, à la suite desquelles l’Autorité avait vérifié si la société avait mis en place les mesures techniques et organisationnelles appropriées.
La sanction est intervenue dans le cadre de la procédure de guichet unique prévue par l’article 60 du RGPD, les traitements concernés étant transfrontaliers. L’Autorité irlandaise agissait donc comme Autorité chef de file et sa décision est en accord avec les positions des autres Autorités ayant participé aux enquêtes.
La CNIL belge sanctionne de deux amendes les aéroports de Zaventem et Charleroi pour des contrôles de température par caméras thermiques
Dans le contexte de la crise sanitaire, les deux aéroports de Bruxelles avaient mis en œuvre un contrôle de température des passagers via des caméras thermiques identifiant ceux dépassant une température corporelle de 38°C. L’Autorité de contrôle belge les sanctionne pour défaut de base légale (article 6 du RGPD). L’Autorité s’était elle-même saisie lorsqu’elle avait appris par voie de presse l’existence de ce traitement.
S’agissant de données de santé, donc sensibles, les aéroports étaient tenus de démontrer une base légale claire et de mettre en œuvre le traitement à la suite d’une AIPD (analyse d’impact relative à la protection des données), outil de responsabilisation des responsables de traitement en cas de traitement présentant des risques élevés. L’urgence de la crise sanitaire n’a pas suffi à justifier un tel traitement : les deux aéroports ont respectivement été condamnés à des amendes de 200 000 et 100 000 euros.
Article rédigé par : Caroline ALET, Jeanne BRETON, Alix CAPELY, Pierre-Emmanuel MEYNARD et Camille PECNARD