Cette newsletter bimestrielle LAVOIX présente une sélection des actualités juridiques du domaine de la protection des données personnelles pour la période novembre-décembre 2021.
1. Délibérations de la CNIL
La CNIL sanctionne Google d’une amende de 150 millions d’euros et Facebook d’une amende de 60 millions d’euros pour manquement aux obligations en matière de cookies
Par une délibération du 31 décembre 2021, la CNIL a caractérisé un manquement aux obligations en matière de cookies par les sociétés Google LLC et Google Ireland Ltd.
La CNIL a été saisie de plusieurs plaintes dénonçant les modalités de refus des cookies des sites internet google.fr et youtube.com mis à la disposition des utilisateurs situés en France.
Après un contrôle en ligne, la CNIL a constaté que les sociétés Google LLC et Google Ireland Ltd, responsables conjoints de traitement, ne permettent pas aux utilisateurs de google.fr et youtube.com de refuser les cookies aussi facilement que de les accepter.
La CNIL a sanctionné Google LLC d’une amende de 90 millions d’euros et Google Ireland Ltd d’une amende de 60 millions d’euros.
Par une délibération du 31 décembre 2021, la CNIL a caractérisé un manquement similaire par Facebook Ireland Ltd, et prononcé une sanction de 60 millions d’euros à son encontre.
La CNIL sanctionne Free Mobile d’une amende de 300 000 euros pour manquement aux droits des personnes et à la sécurité des données des utilisateurs
Par délibération du 28 décembre 2021, la CNIL a caractérisé des manquements aux droits des personnes concernées, à l’obligation de protéger les données dès la conception ainsi qu’à la sécurité des données par l’opérateur de téléphonie mobile Free Mobile.
La CNIL a été saisie de plusieurs plaintes faisant notamment état des difficultés rencontrées par des personnes dans l’exercice de leurs droits d’accès ou d’opposition à recevoir des messages de prospection commerciale.
Après un contrôle sur place et un contrôle sur pièces, la CNIL a constaté plusieurs manquements au RGPD par Free Mobile.
S’agissant des manquements aux droits des personnes (droit d’accès et droit d’opposition), la CNIL a constaté que Free Mobile n’a pas donné suite aux demandes formulées par les plaignants dans les délais, et qu’elle n’a pas pris en compte les demandes des plaignants demandant à ne plus recevoir de message de prospection commerciale.
S’agissant des manquements à la sécurité, il est constaté un manquement à l’obligation de protéger les données dès la conception car Free Mobile a continué d’envoyer des factures à des utilisateurs ayant résilié leur abonnement. Il est également constaté un défaut de sécurité en raison de la communication par Free Mobile aux utilisateurs d’un mot de passe en clair, ni temporaire, ni à usage unique et dont le renouvellement n’était pas imposé.
La CNIL sanctionne Slimpay d’une amende de 180 000 euros pour protection insuffisante des données personnelles et manquement à l’obligation d’information d’une violation de données
Par délibération du 28 décembre 2021, la CNIL a caractérisé plusieurs manquements relatifs à la sécurité des données par Slimpay, établissement de paiement agréé qui propose notamment des solutions de paiements récurrents.
La CNIL a constaté un manquement à l’obligation d’encadrer, par un acte juridique formalisé, les traitements effectués par un sous-traitant, en raison de l’absence de tout ou partie des mentions obligatoires de l’article 28 du RGPD au sein des contrats conclus entre Slimpay et ses sous-traitants.
La CNIL a également constaté plusieurs manquements à la sécurité des données des utilisateurs, ainsi qu’un manquement à l’obligation d’information d’une violation de données personnelles aux personnes concernées. Cette violation avait été notifiée à la CNIL.
2. Documentation de la CNIL
La CNIL publie un guide du délégué à la protection des données
La CNIL a publié en novembre 2021 un guide pratique rassemblant les principales connaissances et bonnes pratiques destinées à aider les organismes et accompagner les DPO.
Ce guide aborde quatre thématiques (le rôle du DPO, la désignation du DPO, l’exercice de la fonction du DPO, l’accompagnement du DPO par la CNIL) illustrées par des cas concrets, des réponses aux questions les plus courantes, et fournit un modèle de lettre de mission.
La CNIL publie un guide pratique pour les associations
La CNIL a publié en novembre 2021 un nouveau guide de sensibilisation au RGPD pour les associations, visant à accompagner les associations dans leur mise en conformité.
Ce guide explique les grands principes à respecter et propose un plan d’action adapté, en donnant des exemples pratiques selon les différents secteurs (caritatif, sportif, social, etc.).
La CNIL adopte un référentiel sur les entrepôts de données de santé
La CNIL a adopté en novembre 2021 un référentiel relatif aux traitements de données personnelles mis en œuvre à des fins de création d’entrepôts de données dans le domaine de la santé, suite à une consultation publique.
Les entrepôts de données de santé sont des bases de données qui ont vocation à être utilisées notamment à des fins de recherches, d’études ou d’évaluation dans le domaine de la santé. Les traitements associés à ces entrepôts peuvent être soumis à l’autorisation préalable de la CNIL.
Ce référentiel s’adresse aux responsables de traitements qui souhaitent, dans le cadre de leurs missions d’intérêt public, réunir des données en vue de leur réutilisation, pour les finalités mentionnées ci-dessus.
Ce référentiel permet aux organismes souhaitant mettre en œuvre un entrepôt de données conforme au référentiel de ne pas solliciter d’autorisation préalable auprès de la CNIL, sous réserve de se conformer à ce texte.
La CNIL publie un nouveau guide RGPD pour les développeurs
La CNIL a publié en décembre 2021 une nouvelle version de son guide destiné à accompagner les développeurs dans les développements projet web ou applicatif.
Ce guide contient 18 fiches thématiques proposant des conseils et bonnes pratiques à tout stade du développement. A titre d’exemple, le guide accompagne les développeurs dans l’identification et la minimisation des données personnelles, la sécurisation des sites/applications/serveurs, la prise en compte des bases légales dans l’implémentation technique, la gestion de l’exercice des droits des personnes et des durées de conservation, l’analyse traceurs sur les sites/applications, et la prévention des attaques informatiques.
Ce guide open source est disponible sur GitHub. Il est publié sous licence GPLv3 et sous licence ouverte 2.0, permettant à chacun de contribuer à son enrichissement.
3. Actualités légales et jurisprudentielles – France
La Cour de cassation précise les conditions d’utilisation d’images de vidéosurveillance à titre de preuve obtenues de manière illicite par un employeur
Par un arrêt du 10 novembre 2021, la Chambre sociale de la Cour de cassation a mis en balance la protection des données personnelles et le droit à la preuve dans le cadre d’une procédure de licenciement.
Une salariée avait été licenciée pour faute grave sur la base de faits constatés par des images de vidéosurveillance. L’employeur avait notifié la mise en place des caméras postérieurement à leur mise en place et précisait l’utilisation de système de vidéosurveillance à des fins de sécurité uniquement.
La Cour de cassation précise que l’illicéité d’un moyen de preuve « n’entraîne pas nécessairement son rejet des débats ».
Elle indique que le juge doit « apprécier si l’utilisation de cette preuve a porté atteinte au caractère équitable de la procédure dans son ensemble, en mettant en balance le droit au respect de la vie personnelle du salarié et le droit à la preuve, lequel peut justifier la production d’éléments portant atteinte à la vie personnelle d’un salarié à la condition que cette production soit indispensable à l’exercice de ce droit et que l’atteinte soit strictement proportionnée au but poursuivi ».
Intégration dans le Code de la consommation de notions relatives à la protection des données personnelles
L’ordonnance n° 2021-1734 du 22 décembre 2021 modifie le Code de la consommation afin d’y intégrer des notions relatives à la protection des données personnelles en ce qui concerne la fourniture de contenu numérique sans support matériel ou un service numérique (articles L. 221-I, III et L. 221‑26-1, I et II).
Les dispositions de cette ordonnance entreront en vigueur le 28 mai 2022.
Ceci poursuit l’intégration au sein du Code de la consommation de la notion de données personnelles et des obligations correspondantes des professionnels, figurant notamment aux articles préliminaire, L.111-1 et L.112-4-1 (obligation d’information) et L. 217-6 (défaut de conformité), applicables à compter du 1er janvier 2022.
L’Assemblée nationale adopte en première lecture la proposition de loi pour la mise en place d’un « cyberscore »
Le 26 novembre 2021, l’Assemblée nationale a adopté en première lecture la proposition de loi « pour la mise en place d’une certification de cybersécurité des plateformes numériques destinées au grand public », adoptée par le Sénat en octobre 2020.
Le texte propose l’insertion d’un nouvel article L.111-7-3 au sein du Code de la consommation, afin d’imposer de nouvelles obligations en matière de cybersécurité aux grandes plateformes numériques, aux messageries et aux sites de visioconférences, dont l’activité dépasserait un ou plusieurs seuils définis par décret.
Ces opérateurs devraient, après avoir fait réaliser un audit de sécurité par des prestataires qualifiés par l’ANSSI, informer les internautes des résultats de l’audit portant sur la « sécurisation et la localisation des données qu’ils hébergent, directement ou par l’intermédiaire d’un tiers, et sur leur propre sécurisation ».
Le résultat de l’audit serait « présenté au consommateur de façon lisible, claire et compréhensible et [serait] accompagné d’une présentation ou d’une expression complémentaire, au moyen d’un système d’information coloriel », à l’image du Nutriscore pour les produits alimentaires.
4. Actualités légales et jurisprudentielles – Europe
Projet de lignes directrices du CEPD sur les transferts internationaux de données
Le 18 novembre 2021, le Comité Européen de la Protection des Données (CEPD) a publié un projet de lignes directrices sur l’articulation entre l’article 3 du RGPD (champ d’application territorial) et le chapitre V du RGPD (transferts de données personnelles hors UE), soumis à consultation jusqu’à fin janvier 2022.
Ce texte vise à aider les professionnels à identifier si un traitement constitue un transfert vers un pays tiers ou une organisation internationale et, par conséquent, s’ils sont tenus d’encadrer ce transfert conformément au chapitre V du RGPD.
Le CEPD a identifié trois critères cumulatifs permettant de qualifier un tel transfert. Le responsable de traitement ou le sous-traitant doit être soumis au RGPD selon l’article 3. Ce responsable du traitement ou ce sous-traitant (« exportateur ») doit divulguer par transmission ou rendre les données accessibles par tout autre moyen à un autre responsable du traitement ou un sous-traitant (« importateur »). L’importateur doit se trouver dans un pays tiers ou être une organisation internationale, indépendamment du fait que cet importateur soit soumis au RGPD pour ce traitement.
Assimilation par la CJUE d’une publicité affichée dans une boîte de réception électronique à de la prospection commerciale
Par un arrêt du 25 novembre 2021, la Cour de Justice de l’Union Européenne (CJUE) précise que l’affichage, dans la boîte de réception électronique, de messages publicitaires sous une forme qui s’apparente à celle d’un véritable courrier électronique, s’apparente à une « utilisation […] de courrier électronique à des fins de prospection directe » au sens de la directive vie privée et communications électroniques (directive 2002/58/CE telle que modifiée par la directive 2009/136/CE).
La CJUE considère que de telles communications constituent des « sollicitations répétées et non souhaitées » en l’absence de consentement donné par l’utilisateur préalablement à cet affichage.
Article rédigé par : Alix CAPELY, Pierre-Emmanuel MEYNARD et Camille PECNARD