Cette newsletter LAVOIX présente une sélection des actualités juridiques du domaine de la protection des données personnelles pour la période juillet-décembre 2022.
1. Délibérations de la CNIL
La société ACCOR sanctionnée à hauteur de 600 000 euros en raison de ses méthodes de prospection commerciale non conformes
Le groupe hôtelier a été sanctionné par une délibération de la CNIL du 3 août 2022 pour notamment quatre manquements au RGPD et un manquement au Code des postes et des communications électroniques.
La société n’aurait pas respecté pas son obligation d’information, le droit d’accès des personnes concernées, le droit d’opposition des personnes concernées et la sécurité des données personnelles. Elle a également été sanctionnée pour défaut de recueil du consentement préalablement à la prospection commerciale.
Avant la délibération de la CNIL, le CEPD a publié une décision contraignante le 15 juin 2022, rappelant que la CNIL devait, dans le calcul du montant de l’amende, prendre en compte le chiffre d’affaires de la société ACCOR de l’année précédente. Cette amende devant être dissuasive au regard de l’article 83 du RGPD, la CNIL a été invitée à réévaluer son montant à la hausse.
La CNIL sanctionne la société UBEEQO INTERNATIONAL pour atteinte au principe de minimisation des traitements
Par une délibération du 7 juillet 2022, la CNIL a sanctionné la société UBEEQO, société de partage de véhicules entre particuliers.
Elle lui a notamment reproché de ne pas suffisamment veiller à l’adéquation, à la pertinence et au caractère non excessif de la collecte de données. En l’occurrence, la société collectait, au cours d’une location, les données de géolocalisation tous les 500 mètres, lorsque le moteur s’allumait et se coupait, ou encore lorsque les portes s’ouvraient et se fermaient. Cette géolocalisation quasi-permanente portait une atteinte disproportionnée à la vie privée des clients.
UBEEQO a été sanctionnée d’une amende de 175 000 euros.
Clôture de l’injonction de la CNIL contre Facebook
Le 31 décembre 2021, la CNIL avait sanctionné la société Facebook à une amende de 60 millions d’euros et à une injonction assortie d’une astreinte de 100 000 euros par jour de retard et liquidable à l’issue d’un délai de trois mois. Cette injonction consistait en la mise à disposition des internautes situés en France, dans un délai de 3 mois à compter de la notification de la décision, un moyen permettant de refuser les cookies aussi simplement que celui existant pour les accepter, afin de garantir la liberté de leur consentement.
Par décision du 11 juillet 2022, cette injonction a été clôturée du fait de la mise en œuvre d’une solution satisfaisante, à savoir un bouton de refus intitulé « Uniquement autoriser les cookies essentiels » au-dessus du bouton d’acceptation intitulé « Autoriser les cookies essentiels et optionnels ».
Le GIE Infogreffe sanctionné à hauteur de 250 000 euros
Le Groupement d’Intérêt Economique diffusant les informations légales et officielles sur les entreprises a été contrôlé en ligne par la CNIL concernant les durées de conservation des données et les mesures de sécurité mises en œuvre, entraînant une amende de 250 000 euros prononcée par délibération du 8 septembre 2022.
Concernant la durée de conservation des données, le site prévoyait une durée de 36 mois. Les données personnelles des membres et abonnés étaient finalement conservées pendant plus longtemps, sans qu’aucune purge des comptes inactifs ne soit effectuée.
Les mesures de sécurité (mots de passe robustes, transmission en clair des mots de passe temporaires, conservation en clair des mots de passe et des questions / réponses secrètes) ont été considérées comme insuffisantes.
La CNIL sanctionne la société FREE pour non-respect des droits des personnes et atteinte à la sécurité des données
L’opérateur de téléphonie a été sanctionné à hauteur de 300 000 euros par une délibération du 30 novembre 2022, sur les fondements des articles 12 et 15 (droit d’accès des personnes concernées), 21 (droit d’effacement), 32 (sécurité des données) et 33 (notification des violations de données).
Cette sanction intervient dans le cadre de la pratique du reconditionnement des boîtiers « Freebox », attribués à de nouveaux clients sans que les données des anciens abonnés ne soient effacées. A l’exception du respect du droit d’accès, la société FREE s’est mise en conformité en cours de procédure.
La CNIL prononce une amende de 600 000 euros à l’encontre d’EDF
Par délibération du 24 novembre 2022, la CNIL a estimé qu’EDF aurait manqué à son obligation d’information des personnes en se contentant de délivrer des informations imprécises sur l’usage des données, leur durée de conservation ainsi que leur collecte (articles 13 et 14 du RGPD).
La société aurait également manqué à ses obligations en matière de prospection commerciale, en particulier concernant le consentement préalable des prospects (article 7 RGPD)
La CNIL relève enfin des atteintes à l’exercice des droits (article 12), à l’obligation de respecter le droit d’accès (article 15) et le droit d’opposition (article 21) ainsi qu’un manquement à la sécurité des données personnelles (article 32).
Sanction du réseau social Discord à hauteur de 800 000 euros
La CNIL a rendu publics les manquements retenus contre Discord dans une délibération du 10 novembre 2022.
La CNIL a ainsi relevé un manquement à la durée de conservation des données, plus de 50 000 comptes étant inactifs depuis plus de 5 ans, un manquement à l’obligation d’information, un manquement au principe de privacy by default, un manquement à l’obligation de sécurité par un politique de mots de passe insuffisante, et enfin un manquement à l’obligation de réaliser une analyse d’impact relative à la protection des données (AIPD).
Au cours de la procédure, la société a pris des mesures de conformité pour chacun de ces manquements.
2. Documentation de la CNIL
La CNIL publie ses recommandations sur la protection des mineurs en ligne
La CNIL a publié ses recommandations sur les dispositifs de vérification de l’âge des internautes, en rappelant au préalable le besoin de sensibilisation des enfants, des responsables légaux et des personnels éducatifs sur les bonnes pratiques informatiques.
La CNIL invite à ne pas multiplier les exigences de vérification d’âge en ligne mais souligne l’importance d’avoir la faculté d’émettre des preuves d’attribut – par exemple une preuve de majorité – sans dévoiler la totalité de l’identité de la personne concernée.
La CNIL recommande ensuite le recours à un tiers vérificateur indépendant, dans le cadre des sites à contenu pornographique, afin de protéger au mieux les données des personnes. La CNIL propose que ces tiers indépendants fassent l’objet d’une évaluation, ou d’une certification spécifique.
En parallèle, il convient de se référer à l’avis conjoint du CEPD et de l’EDPS sur la proposition de règlement de lutte contre les sites pédopornographiques, dans lequel les deux institutions invitent à privilégier le cryptage des données pour préserver la protection des données personnelles.
La CNIL accompagne les professionnels devant répondre à une demande de droit d’accès
Par un questionnaire didactique en huit points, la CNIL détaille les sujets sur lesquels le professionnel doit se pencher pour respecter l’article 15 du RGPD.
Ainsi, le professionnel devra vérifier l’identité de la personne, les jeux de données concernées, l’implication d’un tiers le cas échéant, les délais en vigueur.
3. Actualités légales et jurisprudentielles – France
Le service Google My Business est un traitement de données personnelles soumis au RGPD
Par jugement du 15 septembre 2022, le Tribunal judiciaire de Chambéry s’est prononcé, à l’encontre de sociétés du groupe Google, dans une affaire où le demandeur, professionnel de santé, sollicitait la suppression de sa fiche sur le service Google My Business et des avis des internautes associés à cette fiche.
Le Tribunal retient que ce service constitue un traitement de données personnelles ne relevant pas d’un intérêt légitime et auquel la personne concernée aurait dû consentir au préalable, bien que les données aient été initialement collectées après d’un opérateur téléphonique. Les juges estiment que la finalité de ce traitement n’est pas uniquement informative, mais aussi la prospection commerciale et le profilage.
Les sociétés Google n’ayant adressé aucune information au moment de la collecte des données de la demanderesse, ni au moment de la création de la fiche, le Tribunal retient que celles-ci ont manqué aux principes de loyauté et de transparence.
4. Actualités légales et jurisprudentielles – Europe & International
L’Autorité de contrôle grecque sanctionne CLEARVIEW à hauteur de 20 millions d’euros
Sanction la plus élevée prononcée par l’Autorité hellénique, la société CLEARVIEW a été sanctionnée le 13 juillet 2022 pour pratiques intrusives.
Plus précisément, il lui a été reproché de ne pas satisfaire les exigences de licéité du traitement et de transparence (articles 5, 6 et 9 du RGPD). L’Autorité a également enjoint à la société de se conformer à ses obligations de réponse aux demandes d’accès aux données personnelles, a interdit l’utilisation par la société des outils de reconnaissance faciale et a ordonné la suppression des données concernant des personnes situées en Grèce.
Le CEPD publie de nouvelles lignes directrices sur la certification comme outil de transfert de données
Le CEPD a publié en juin 2022 de nouvelles lignes directrices, complétant et interprétant celles qui avaient déjà été publiées sur la définition des critères de certification et sur l’agrément des organismes de certification.
Les mécanismes de certification sont exigés par les articles 42 et 46 du RGPD dans le cadre des transferts de données vers des pays tiers, à défaut de décision d’adéquation.
Ces nouvelles lignes directrices précisent notamment les processus d’obtention de la certification, les exigences en matière d’accréditation d’un organisme de certification ainsi que les critères de certification. En annexe, des exemples de mesures supplémentaires illustrent les recommandations.
L’EDPS (Contrôleur européen de la protection des données) publie des recommandations pour la régulation de la circulation des données entre l’Union européenne et le Japon
Les transferts de données entre l’Union européenne et le Japon faisaient déjà l’objet d’une décision d’adéquation du 23 janvier 2019 conformément à l’article 45 du RGPD.
Toutefois, la Commission européenne a sollicité l’avis de l’EDPS sur la possibilité de négocier les flux transfrontaliers de données personnelles entre le Japon et l’Union européenne, et ce dans le cadre d’accords commerciaux.
L’EDPS recommande que les règles négociées n’empêchent pas l’UE d’adopter des mesures qui obligeraient les responsables de traitement ou les sous-traitants à stocker les données personnelles sur le territoire de l’UE.
La CJUE précise la notion de divulgation indirecte de données sensibles
Dans un arrêt C-184/20 du 1er août 2022, la CJUE répond à deux questions préjudicielles posées par la Lituanie.
La première question posée à la Cour était de savoir si le RGPD s’oppose à une disposition nationale prévoyant la mise en ligne de données à caractère personnel contenues dans les déclarations d’intérêts privés que tout directeur d’un établissement percevant des fonds publics est tenu de déposer auprès d’une Autorité nationale de contrôle.
La Cour retient qu’une telle publication est autorisée au regard des articles 7 et 6, justifiée par une exigence de transparence, à condition que soit respecté le principe de minimisation.
La seconde question posée à la Cour était de « déterminer si des données qui sont de nature à révéler, par une opération intellectuelle de rapprochement ou de déduction, l’orientation sexuelle d’une personne physique relèvent des catégories particulières de données à caractère personnel » (§120). La Cour répond par l’affirmative, les données sensibles étant définies par l’article 9§1 du RGPD et bénéficiant d’un régime de protection renforcé.
La CJUE se prononce sur les conséquences du retrait du consentement en cas de circulation des données de responsable à responsable de traitement
Dans un arrêt C-129/21 du 27 octobre 2022, la CJUE précise le régime des traitements de données personnelles en chaîne.
Pour la Cour, la personne concernée n’a pas besoin de connaître l’identité de tous les responsables de traitement qui traiterons ses données mais le consentement donné doit toutefois pouvoir être retiré auprès de n’importe quel responsable de traitement.
Surtout, une fois le consentement retiré auprès d’un des responsables de traitement, le principe d’accountability des articles 5 et 24 du RGPD oblige ce responsable de traitement à notifier tous les autres responsables de traitement de la chaîne, ceux à qui il transmet les données ainsi que le fournisseur de ces données.
La société Sephora sanctionnée en Californie pour atteinte au droit local de protection des données personnelles
Le distributeur français de cosmétiques a été poursuivi pour manquement au California Consumer Privacy Act, entré en vigueur en 2020.
Il lui était reproché d’avoir vendu à des tiers les données personnelles de ses clients sans les en avoir informés préalablement et de ne pas avoir respecté le droit d’opposition des personnes concernées au traitement de leurs données personnelles.
A l’issue d’un accord entre le Procureur et le distributeur français, celui-ci a été condamné au paiement d’une amende de 1,2 million de dollars et s’est notamment vu enjoindre de clarifier ses divulgations en ligne, sa politique de confidentialité et de mettre en place des mécanismes permettant aux consommateurs de s’opposer à la vente de leurs données personnelles.
La plateforme Instagram sanctionnée à hauteur de 405 millions d’euros par l’Autorité irlandaise
Par une décision du 2 septembre 2022, la CNIL irlandaise a sanctionné le réseau social en matière de protection des données de personnes mineures.
Le CEPD avait adopté à cet égard, le 28 juillet dernier, une décision contraignante sur le fondement de l’article 65 du RGPD.
La sanction se fonde sur la licéité du traitement au regard de l’article 6 du RGPD : le réseau social justifiait la publication d’adresses électroniques et/ou de numéros de téléphone de personnes mineures détentrices de comptes professionnels par l’exécution du contrat et l’intérêt légitime. Le CEPD avait retenu que ces bases légales n’étaient pas licites en ce que le traitement était soit inutile, soit ne satisfaisait pas à la mise en balance des intérêts requise pour déterminer l’existence d’un intérêt légitime.
Sanction de Meta par le CEPD
L’association NOYB, menée par Max Schrems, avait porté plainte contre Facebook, Instagram et WhatsApp sur le fondement de la licéité et de la transparence des traitements (à des fins de publicité comportementale ou d’amélioration du service).
A la suite d’un désaccord entre certaines autorités de protection sur la base légale à adopter et dans le cadre de la coopération entre ces autorités conformément à l’article 65 du RGPD, le CEPD a défini les cas dans lesquels il convenait de se fonder sur l’exécution du contrat comme base légale.
WhatsApp a souhaité contester la décision du CEPD. Son recours a été considéré comme irrecevable par le Tribunal de l’Union européenne, qui a estimé que la décision du CEPD était un acte préparatoire dans une procédure se finalisant par l’adoption d’une décision finale par l’autorité de contrôle nationale compétente. Seule cette dernière décision pourra faire l’objet d’un recours.
Article rédigé par : Caroline ALET, Jeanne BRETON et Camille PECNARD