Si certains avaient encore des doutes sur les risques financiers auxquels les expose un manquement au RGPD et à la Loi Informatique et Libertés, la CNIL vient d’établir clairement ses exigences en la matière, faute de quoi, des amendes à 7 chiffres peuvent pleuvoir.

En effet, elle vient de sanctionner avec fermeté les sociétés Carrefour France et Carrefour Banque, à hauteur de 2 250 000 d’euros et 800 000 euros.

Les faits reprochés sont une synthèse de mauvaises pratiques :

- Des sites web aux mentions d’information longues et compliquées ;

- Des cookies publicitaires déposés automatiquement sur les terminaux des visiteurs de leurs sites web ;

- Des durées de conservation annoncées mais pas respectées, couplées à des données obsolètes conservées pendant plus de 5 ans ;

- Des difficultés d’exercice des droits liées à l’exigence injustifiée et constante d’une pièce d’identité ;

- Des droits bafoués avec des données non supprimées malgré les demandes ;

- Des catégories de données collectées sans en informer les personnes concernées.

Ce que l’on en retient ?

La CNIL semble avoir pris le groupe Carrefour pour exemple afin d’établir une feuille de route des mauvaises pratiques. Les organismes traitant des données personnelles sont invités à prendre au sérieux les exigences du RGPD et à adopter un comportement transparent et loyal à l’égard de leurs clients et prospects, sous peine de s’exposer à des amendes records.   

Ces décisions invitent les organismes à repenser leur organisation et à rationaliser leur traitement des données personnelles, ainsi qu’à simplifier le vocabulaire juridique qu’ils utilisent pour garantir une information claire, concise et lisible.

Revenons en détails sur les faits reprochés aux sociétés Carrefour France (grande distribution) et Carrefour banque (secteur bancaire).

Faits et Procédure

Tout d’abord, pourquoi les sociétés Carrefour France et Carrefour Banque ont été contrôlées et donc sanctionnées par la CNIL ?

Tout simplement parce que la CNIL a été saisie de pas moins de 15 plaintes à leur encontre.

Ces plaintes concernaient la collecte de données personnelles via les sites www.carrefour.fr et www.carrefour-banque.fr ainsi que via l’adhésion au programme de fidélité et à la carte Pass du Groupe Carrefour.

La CNIL a alors effectué des contrôles en ligne et des contrôles sur place, entre mai et juillet 2019.

Solution

1. La fin des formules illisibles

L’information fournie n’était ni facilement accessible (i) ni facilement compréhensible (iii) et elle était incomplète/insuffisante s’agissant des durées de conservation, des transferts de données hors UE et de la base légale de traitement (iii).

La CNIL souligne le fait que les mentions d’information étaient trop longues, rédigées dans des termes généraux et imprécis et avec des formules inutilement compliquées.

Cette décision est donc dans la lignée de la sanction de 50 millions d’euros prononcée par la CNIL à l’encontre de Google en janvier 2019.

2. Un rappel classique de l’obligation d’obtenir l’acceptation préalable au dépôt de cookies publicitaires

Des cookies étaient automatiquement déposés sur le terminal des internautes visitant les sites www.carrefour.fr et www.carrefour-banque.fr. Pourtant, le consentement est obligatoire dès lors qu’il ne s’agit pas de cookies purement techniques et nécessaires au bon fonctionnement du site internet. En ce sens, la CNIL semble considérer que les cookies Google Analytics ne peuvent jamais s’apparenter à des cookies nécessaires et que l’internaute doit donc avoir la capacité de les accepter ou de les refuser.

Les entreprises sont donc invitées à revoir au plus tôt leur gestion des cookies à la lumière des dernières recommandations de la CNIL (voir notre article sur le sujet) ; si elles ne souhaitent pas elles aussi être sanctionnées pour dépôt de cookies sans consentement préalable.

3. Fixer des durées c’est bien, s’y tenir c’est mieux !

Si les entreprises sont parfois invitées à arbitrer elles-mêmes les durées de conservation à mettre en place (notamment en l’absence d’une durée de conservation légale) ; encore faut-il le faire de manière pragmatique et opérationnelle.

La question à se poser est alors la suivante : pendant combien de temps ai-je réellement besoin de ces données au regard de mon utilisation ? Est-ce raisonnable au regard du risque que cela représente en matière de protection des données ?

 En ce sens, la CNIL a considéré que la durée de conservation de 4 ans des données clients après leur dernier achat telle qu’établie par Carrefour était une durée excessive.

Les entreprises doivent donc mettre à jour leur durée de conservation à la lumière de cette information.

En outre, Carrefour ne respectait pas les durées qu’elle avait elle-même fixées. La CNIL a notamment constaté que les données de plus de 28 millions d’utilisateurs inactifs depuis 5 à 10 ans étaient toujours conservées.

Enfin, dans le cadre de l’exercice de droits, la CNIL a constaté que Carrefour conservait pendant 1 à 6 ans les justificatifs d’identité. Or, l’autorité de contrôle considère que rien ne justifie la conservation des pièces d’identité dès lors que la demande a été traitée.

Qu’en est-il de l’archivage intermédiaire à des fins contentieuses ? Dans le cadre de l’exercice des droits, la CNIL considère qu’il est pertinent de conserver simplement le courrier de réponse favorable, car ce courrier présente moins de risque pour la personne concernée que la conservation de son justificatif d’identité.

Ainsi, si vous annoncez une durée de conservation, assurez-vous de vous y tenir en pratique et que cette durée soit bien justifiée au regard de la finalité du traitement !

4. Un rappel de l’obligation de faciliter l’exercice des droits

Comme en matière de cookies, la CNIL a rappelé qu’il doit être aussi facile de consentir au traitement de ses données que de le refuser.

Or, dans le cadre de Carrefour, toute demande d’exercice des droits (sauf pour l’opposition à une prospection commerciale) était soumise à la communication d’une pièce d’identité alors même que ce n’était pas nécessaire.

Il faut donc élargir les moyens de vérification de l’identité de la personne concernée en acceptant par exemple tout moyen permettant de justifier de son identité, autrement que sa pièce d’identité. Par exemple : une double authentification via un envoi de SMS + email.

De plus, Carrefour ne respectait pas le délai d’1 mois pour répondre aux demandes d’exercices de droits. Il est donc recommandé de repenser son organisation et d’allouer les moyens humains et financiers permettant de répondre dans les temps aux demandes d’exercice de droits et ainsi garantir l’effectivité des droits.

5. Un rappel de l’obligation de garantir l’effectivité des droits            

Le renforcement des droits des personnes dont les données sont traitées est une des grandes nouveautés du RGPD et la CNIL n’a pas manqué de le souligner lors de ses décisions contre le Groupe Carrefour.

Notamment, il était reproché à Carrefour de ne pas avoir répondu à des demandes de personnes souhaitant accéder à leurs données (droit d’accès) ; de ne pas avoir procédé à l’effacement de données malgré des demandes (droit à l’effacement) ou encore de ne pas avoir pris en compte les demandes d’opposition à l’envoi de SMS ou courrier électronique (droit d’opposition). En effet, des internautes ayant exprimé leur opposition à la prospection commerciale avaient vu leur demande ignorée.

A cette occasion, la CNIL a considéré que la société Carrefour aurait dû traiter les différentes demandes au jour le jour, afin d’être sure qu’aucune ne soit oubliée.

6. Absence de collecte loyale des données en cas d’imprécision         

Dans le cadre de sa décision contre Carrefour Banque, la CNIL a souligné que celle-ci avait manqué de loyauté envers ses clients car elle ne les avait pas clairement informés du partage des données avec l’entité Carrefour France. De plus, lors de la souscription à la carte Pass, Carrefour Banque indiquait ne collecter que les données relatives au nom, prénom et email alors qu’en réalité elle collectait également les adresses postales, numéro de téléphone et nombre d’enfants des personnes ayant souscrits.

Il faut donc être précis lorsque l’on indique les catégories de données collectées et ne pas se contenter de formules générales.

La CNIL n’a pas assorti ses sanctions d’une injonction car elle a constaté que depuis les contrôles, les sociétés Carrefour avaient fourni des efforts importants pour se mettre en conformité sur tous les manquements constatés. Elles ont notamment mis à jour les fonctionnalités de leurs sites web, refondu leurs parcours de souscription, et précisé leurs mentions d’information.

Nous retenons que cette décision est dans la continuité de la célèbre sanction Google où la CNIL avait souligné la complexité d’accès à l’information dans le parcours client.

Sources :

Délibération de la formation restreinte n° SAN-2020-008 du 18 novembre 2020 concernant la société CARREFOUR France

Délibération de la formation restreinte n° SAN-2020-009 du 18 novembre 2020 concernant la société CARREFOUR BANQUE

Résumé des délibérations de la CNIL

Faits

Créé par arrêté le 29 novembre 2019, le Health Data Hub (ou Plateforme des données de santé) est un groupement d’intérêt public, rassemblant des données de santé issues de diverses sources[1]. Ces données de santé proviennent notamment de l’Assurance Maladie, l’Assistance Publique des Hôpitaux de Paris ou encore l’Institut national du cancer[2]. L’ambition de cette Plateforme est de centraliser les données de santé détenues par des entités françaises, dans une géante base de données commune, afin de faciliter la recherche.

Les projets de recherche menés sur cette Plateforme sont aujourd’hui encadrés par deux critères cumulatifs[3] 

1.        Ils doivent obtenir un avis favorable d’un Comité de Protection des Personnes (CPP) lorsque leurs recherches impliquent la personne humaine ; ou bien un avis favorable du Comité Ethique et Scientifique pour les Recherches, les Etudes et les Evaluations dans le domaine de la Santé (CESREES) lorsque leurs recherches n’impliquent pas la personne humaine ;

2.       Ils doivent être autorisés par la CNIL sauf s’ils peuvent faire l’objet d’une déclaration de conformité à une méthodologie de référence.

Le 15 avril 2020, en pleine crise sanitaire due à la COVID-19, la Plateforme a signé un contrat avec une filiale irlandaise de l’entreprise américaine Microsoft afin que cette dernière héberge lesdites données de santé et concède à la Plateforme les licences de logiciels nécessaires au traitement de ces données pour les finalités légalement autorisées.

Cette décision a été vivement critiquée.

Procédure

Le 28 septembre 2020, plusieurs associations, syndicats et requérants individuels se sont insurgés contre le risque que cet hébergement par Microsoft pouvait représenter au regard du droit au respect de la vie privée et à la protection des données personnelles. Ils ont donc saisi le juge référé-liberté du Conseil d’Etat[4].

Microsoft étant une entreprise américaine, les requérants considèrent qu’il existe un risque grave et manifeste de transferts de données de santé vers les Etats-Unis et qu’il faut donc suspendre immédiatement le transfert entre Microsoft et la Plateforme de données de santé. Les requérants attirent l’attention de la juridiction sur le risque potentiel d’accès aux données par les autorités américaines, à des fins de surveillance. Ils rappellent à cet égard la récente invalidation du mécanisme certificateur dénommé Privacy Shield par la Cour de justice de l’Union européenne (CJUE) qui encadrait jusqu’alors les transferts de données UE-Etats-Unis (retrouvez nos articles sur le sujet juste ici).

Réponse du Conseil d’Etat

Le Conseil d’Etat relève trois points principaux :

1) D’un point de vue technique d’abord : les données sont actuellement hébergées dans un centre de données aux Pays-Bas et pourraient prochainement être transférées dans un centre de données en France. D’un point de vue légal ensuite : la Plateforme de données de santé et Microsoft se sont contractuellement engagés à ne pas transférer de données hors de l’Union européenne. La Plateforme de données de santé s’est engagée sur ce point auprès de la CNIL également. De plus, un arrêté du 9 octobre 2020 interdit tout transfert de données de santé dans le cadre de ce contrat.

2) La CJUE n’a à ce jour pas jugé que le droit de l’Union interdisait le transfert de données, sur le territoire de l’Union, à des entreprises américaines. Un tel transfert ne viole donc pas la législation de l’Union en matière de protection des données.

3) Le Conseil d’Etat relève que les données de santé sont pseudonymisées avant leur hébergement et traitement par Microsoft et qu’il existe un intérêt public important de maintenir cette plateforme en l’état car elle dispose d’importants moyens techniques utiles à la lutte contre la pandémie de COVID-19.

Le Conseil d’Etat considère alors que l’hébergement du Health Data Hub par Microsoft ne présente pas une illégalité grave et manifeste nécessitant la suspension immédiate du transfert de données de santé entre ces deux entités.

Néanmoins, le Conseil d’Etat n’exclut pas l’existence d’un risque de transfert de données vers les Etats-Unis. Il enjoint donc au Health Data Hub de continuer à renforcer la protection des données de santé hébergées par Microsoft via la recherche de mesures techniques et organisationnelles appropriées.

Le Conseil d’Etat ordonne à la Plateforme de conclure un avenant à son contrat avec Microsoft dans un délai de 15 jours suivants la notification de sa décision. Cet avenant devra stipuler que seul le droit de l’Union ou le droit de l’Etat membre auquel est soumis la filiale Microsoft (l’Irlande en l’occurrence) est applicable à l’ensemble des services Microsoft souscrits par le Health Data Hub.

Le Conseil d’Etat a par ailleurs souligné que l’hébergement du Health Data Hub par Microsoft était potentiellement une solution temporaire, en attendant qu’un nouveau sous-traitant soit désigné par le Gouvernement.

Enfin, le Conseil d’Etat a rappelé le rôle de la CNIL dans le contrôle des finalités poursuivies par les projets en lien avec la Plateforme de données de santé.

La décision par ici.

[1] Arrêté du 29 novembre 2019 https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000039433105/

[2] Site officiel de la Plateforme de données de santé https://www.health-data-hub.fr/

[3] CNIL, plateforme des données de santé : https://www.cnil.fr/fr/la-plateforme-des-donnees-de-sante-health-data-hub

[4] Conseil d’Etat, référé-liberté, 14 octobre 2020 https://www.conseil-etat.fr/actualites/actualites/health-data-hub-et-protection-de-donnees-personnelles-des-precautions-doivent-etre-prises-dans-l-attente-d-une-solution-perenne

Le 6 octobre 2020, la Cour de justice de l’Union européenne (CJUE) a rendu deux décisions très attendues en matière de surveillance étatique.

Plusieurs organisations non-gouvernementales et associations au Royaume-Uni, en France et en Belgique contestaient la collecte par les Etats des données de connexion de citoyens à des fins de renseignement.

Faits 

Revenons tout d’abord en 2015 au Royaume-Uni…

Un rapport de la Commission du renseignement et de la sécurité du Parlement du Royaume-Uni avait rendu public l’existence de pratiques de recueil et d’utilisation de données relatives à des communications de masse par différents services de sécurité et de renseignement du Royaume-Uni.

Ces pratiques étaient autorisées par :

-       une mesure législative qui imposait aux opérateurs d’accès Internet et de téléphonie de conserver toutes les données relatives au trafic et à la localisation de leurs clients

-       une mesure législative qui imposait à ces opérateurs d’accorder aux autorités nationales compétentes l’accès à ces données

Le 5 juin 2015, Privacy International, une organisation non-gouvernementale spécialisée dans la protection des droits de l’Homme et plus particulièrement de la vie privée, avait saisi le tribunal chargé des pouvoirs d’enquête au Royaume-Uni d’un recours en contestant la légalité de ces pratiques au regard du droit de l’Union et notamment de la directive « vie privée et communication électroniques » de 2002.

Procédure 

Privacy International considère que ces pratiques sont illégales au regard du droit de l’Union car elles portent atteinte au droit à la vie privée des citoyens.

Le Gouvernement du Royaume-Uni, défendeur, conteste la compétence du droit de l’Union dans cette affaire. Il considère que l’obligation de conservation des données ainsi que l’obligation de les transmettre sont de la compétence exclusive de chaque Etat membre car cela a trait à la sécurité nationale.

La juridiction britannique a donc interrogé la Cour de Justice de l’UE pour savoir si le droit de l’Union s’appliquait en l’espèce ou non.

La réponse de la CJUE 

1. La CJUE considère que le droit de l’Union s’applique à ces législations nationales.

Ainsi, la Cour de l’Union confirme sa décision Tele2 Sverige et Watson rendue en 2016. Dans cette dernière, elle précisait que les Etats ne pouvaient pas imposer aux opérateurs d’accès Internet et de téléphonie une « obligation généralisée et indifférenciée » de collecte et de conservation des données relatives au trafic et aux données de localisation.

Néanmoins, de nombreux Etats tels que le Royaume-Uni, la Belgique ou encore la France continuaient à exiger des opérateurs qu’ils collectent en masse les données de connexions et leur y donne accès aux fins de renseignement.

2. La CJUE précise que les pratiques dénoncées par Privacy International excède les limites du strict nécessaire et ne saurait être considérées comme étant justifiées, dans une société démocratique.

La CJUE procède ici à un contrôle de proportionnalité.

La CJUE énonce donc que les législations nationales en cause sont contraires au droit de l’Union.

Quid de la Belgique et de la France ?

Même son de cloche côté belge et français pour des faits similaires : https://cdn2.nextinpact.com/medias/arret-c_511_18fr.pdf

- La CJUE précise dans cette deuxième affaire que des mesures législatives imposant aux opérateurs d’accès Internet et de téléphonie, à titre préventif, une conservation généralisée et indifférenciée des données relatives au trafic et à la localisation est également contraire au droit de l’Union car il s’agit d’ingérences particulièrement graves dans les droits fondamentaux garantis par la Charte de l’Union.

Les exceptions à cette interdiction :

1. La CJUE considère qu’un Etat membre faisant face à une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible, peut imposer aux opérateurs de conserver de manière généralisée et indifférenciée des données de trafic/localisation. Cette possibilité doit être limitée dans le temps au strict nécessaire et faire l’objet d’un contrôle effectif par une juridiction ou autorité administrative indépendante.

2. La CJUE indique également que les Etats membres peuvent conserver des données de manière ciblée, dans un temps limité au strict nécessaire, sur la base d’éléments objectifs et non discriminatoires, en fonction de catégories de personnes concernées ou au moyen d’un critère géographique.

3. De même, cette directive ne s’oppose pas à de telles mesures prévoyant une conservation généralisée et indifférenciée des adresses IP, pour autant que la durée de conservation est limitée au strict nécessaire.

Ainsi même si la CJUE modifie le cadre d’utilisation des données personnelles, les fournisseurs d’accès Internet/téléphonie pourront tout de même être amené à conserver les données collectées, comme par exemple dans le cadre de la lutte contre le terrorisme.

Les services de renseignements notamment français considèrent la décision de la Cour de l’Union comme un désastre qui entrave sérieusement leur travail d’enquête.

Pour la Quadrature du Net, association spécialisée dans la défense des droits et libertés des internautes et demandeur dans la deuxième affaire, il s’agit d’une « défaite victorieuse » car la CJUE a instauré de nombreuses exceptions à cette interdiction de collecter les données de manière généralisée.

La suite de cette saga sur la surveillance de masse se poursuivra au sein de chaque juridiction nationale (le Tribunal chargé des pouvoirs d’enquête au Royaume-Uni, le Conseil d’Etat en France et la Cour constitutionnelle en Belgique) qui devra se prononcer sur les législations et décrets attaqués.

Sources :

Rapport de la Commission du renseignement et de la sécurité du Parlement du Royaume-Uni sur les données personnelles et la sécurité, mars 2015 

Décision Tele2 Sverige et Watson de la Cour de justice de l’Union européenne, 21 décembre 2016

Décision du tribunal chargé des pouvoirs d’enquête au Royaume-Uni , Privacy International, juillet 2018

Communiqué de presse de la Cour de justice de l’Union européenne, 6 octobre 2020

Décision Privacy International C-623/17 de la Cour de justice de l’Union européenne , 6 octobre 2020

Décision La Quadrature du Net e.a., affaires jointes C-511/18 et C-512/18 et Ordre des barreaux francophones et germanophone e.a., C-520/18 de la Cour de justice de l’Union européenne, 6 octobre 2020

Communiqué de la Quadrature du Net, 6 octobre 2020

Article du Monde, La justice de l’UE s’oppose à la collecte massive des données de connexions Internet et téléphoniques par les Etats, 6 octobre 2020

Directive « vie privée et communication électroniques » de 2002 

[Mise à jour 16/09/2020]

La Haute Cour d’Irlande a ce Lundi 15 Septembre temporairement gelée l’enquête de la CNIL irlandaise, autorisant Facebook à procéder à un contrôle judiciaire de la décision préliminaire de l’autorité de régulation.

L’homologue irlandaise de la CNIL ordonne à Facebook de stopper les transferts de données vers les USA

Les premières conséquences sur l’invalidation de l’accord de transfert transatlantique du Privacy Shield rendue par une décision de la CJUE du 16 juillet 2020 ne se sont pas fait attendre. En effet, comme le rapporte, le Wall Street Journal dans un article publié le 9 septembre, la CNIL irlandaise, Data Protection Commission, a rendu une ordonnance préliminaire contre Facebook fin août.

L’objet : L’autorité irlandaise interdit à Facebook de se prévaloir des clauses contractuelles types afin d’envoyer des données outre-Atlantique. Ainsi, il n’est plus possible pour le géant américain d’envoyer les données des utilisateurs européens vers les serveurs situés aux États-Unis.

Pourquoi : Alors que ces clauses contractuelles types n’ont pas été invalidées par les juges européens, il revenait à chaque autorité nationale d’en apprécier le recours. L’arrêt Schrems II a invalidé le Bouclier de protection des données pour défaut de garanties juridiques offertes par les États-Unis concernant leurs programmes de surveillance (retrouvez notre article ici). L’utilisation des clauses contractuelles types pour transférer les données européennes outre-Atlantique est subordonnée au respect par la législation étasunienne d’un niveau de protection adéquat au droit européen. Or, ce niveau de protection n’étant pas atteint du côté américain, l’usage par Facebook des clauses contractuelles pour le transfert de données transatlantique n’est pas possible.

Conséquences : Facebook doit choisir entre :

- Cesser tout transfert vers les États-Unis en utilisant des serveurs hébergés dans un pays adéquat pour traiter les données des utilisateurs européens ;

- Arrêter tout traitement des données et donc fermer ses services aux utilisateurs européens.

Résistance du Géant américain

Du côté de Facebook, la réaction ne s’est pas fait attendre, car ce dernier a fait appel devant la Haute Cour irlandaise afin de contester l’ordonnance. En effet, alors que l’entreprise dit avoir travaillé durement afin de se conformer à la décision de la CJUE, selon le porte-parole de la société, Nick Clegg déclare que « L'absence d'un mécanisme de transfert de données international, sûr, sécurisé et légal aurait des conséquences néfastes pour l’économie européenne ». La position du 1er réseau social est claire, tant qu’aucune précision n’aura été apportée, elle continuera de transférer les données du Vieux Continent vers ses serveurs américains conformément à la décision des juges européens.

Le refus du géant américain envers la demande du gendarme irlandais est risqué car l’entreprise s’expose à une amende pouvant aller jusqu’à 20 millions d’euros ou bien 4% de son chiffre d’affaires mondial (Article 83 du RGPD). Pour rappel, selon son rapport annuel 2019, Facebook totalise un chiffre d’affaires confortable de 18,5 milliards de dollars [article source https://www.nextinpact.com/lebrief/41302/11058-facebook---pres-de-70-milliards-de-dollars-de-chiffre-d-affaires--2-89-milliards-d-utilisateurs-par-mois] .  

La CNIL irlandaise mettra-t-elle ses menaces à exécution ?

Dans ce cas, face au montant encouru de l’amende, est-ce que Mark Zuckerberg se pliera aux exigences de la Commission ou bien préférera-t-il payer l’amende et tenter le bras de fer ?

Les conséquences de l’invalidation du Privacy Shield

Cette affaire illustre parfaitement l’incertitude juridique de la décision rendue par la CJUE en invalidant le Privacy Shield. Pour Facebook, une décision claire doit être prise, « les entreprises ont besoin de règles claires et précises, étayées par un solide État de droit, pour protéger à long terme les flux de données transatlantiques » [article source https://www.lesnumeriques.com/vie-du-net/privacy-shield-facebook-somme-de-garder-les-donnees-des-utilisateurs-europeens-loin-des-etats-unis-n154327.html].

C’est pourquoi une initiative a déjà été prise par certains acteurs du cloud (Google, IBM, Cisco,..) dans le but de créer des standards internationaux afin d’encadrer le transfert des données personnelles hors UE.

Il est certain que l’arrêt du 16 Juillet 2020 a remis totalement en cause le fonctionnement des GAFAM et plus largement de tous les services en ligne qui constituent notre écosystème numérique, et cela « pourrait avoir un effet très significatif sur les entreprises qui en dépendent et sur les services en ligne dont dépendent de nombreuses personnes et entreprises », selon Nick Glenn.

Alors que certains pointent la décision et les lourdes conséquences que cela pourrait avoir sur l’économie européenne, d’autres plaident pour une souveraineté européenne et voient une opportunité pour le développement des entreprises de la tech européennes ainsi qu’une réforme du droit américain.

La révision du Privacy Shield ainsi que l’enquête de la CNIL irlandaise devraient nous apporter plus de réponse sur l’avenir du transfert des données personnelles.

•  Rappel du contexte :

Ce jeudi 16 juillet 2020, la Cour de Justice de l’Union européenne (CJUE) a rendu une décision qui a eu l’effet d’une bombe (CJUE, Aff. C-311/18, Data Protection Commissioner contre Facebook Irlande Ltd et Schrems). Bien qu’assez prévisible, la Cour invalide la décision d’exécution (UE) 2016/1250 du 12 juillet 2016 relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-Etats-Unis, dit « accord Privacy Shield ». Adopté en 2016, à la suite de l’invalidation de l’accord du Safe Harbor par la CJUE, le Privacy Shield avait pour mission d’encadrer le transfert des données personnelles entre l’Europe et les États-Unis. Cependant dès ses débuts, ce « bouclier » fait l’objet d’attaques de la part du Parlement européen, de la CNIL et de diverses associations (La quadrature du Net, NYOB). Ces entités reprochaient l’accès des services de sécurité américaine (FBI, NSA …)  aux données européennes transférées, à la suite des révélations d’Edward Snowden de 2013. D’ailleurs, le G29 avait jugé trop faible les dispositions du texte encadrant les données personnelles transmises Outre Atlantique ainsi que trop complexes les modalités de recours à un médiateur américain.

• Les Faits :

[1]Cette affaire débute par l’arrêt Schrems I, dans lequel Maximilian Schrems, activiste autrichien et fervent défenseur de la protection de la vie privée, décide de porter plainte auprès de l’Autorité irlandaise de contrôle[2] pour contester les transferts[3] des données personnelles européennes opérés par Facebook vers les États-Unis. En tant qu’utilisateur Facebook, ses données à caractère personnel[4] étaient transférées par Facebook Irlande vers les centres de données de Facebook Inc établis aux États-Unis afin d’y être traitées. Cependant, ce dernier reprochait une protection trop faible de la part de la législation américaine, notamment du fait de l’ingérence des services de sécurité américaine dans les données européennes transmises.

Dans un premier temps, cette demande fut rejetée au motif que dans sa décision 2000/520 du 26 juillet 2000, la Commission européenne avait jugé que les États-Unis assuraient un niveau de protection adéquat[5].

Peu de temps après, à la suite d’une question préjudicielle posée par la Haute Cour d’Irlande, la CJUE affirma l’inverse et annula l’accord Safe Harbor[6]. De là, M. Schrems fut invité par l’Autorité de contrôle irlandaise à reformuler sa plainte[7], dans laquelle, il demanda d’interdire pour l’avenir la transmission des données personnelles européennes vers les États-Unis, surtout que Facebook Irlande effectuait désormais ce transfert sur le fondement des clauses types de protection de l’annexe de la décision 2010/87[8] .

Alors que l’Autorité de contrôle irlandaise initia une procédure devant la Haute Cour d’Irlande, afin que cette dernière pose une question préjudicielle à la CJUE. Au même moment, on apprenait l’adoption de l’accord Privacy Shield par une décision de la Commission européenne, en date du 12 juillet 2016 (UE 2016/1250).

• Problème :

La Haute Cour d’Irlande a alors fait un recours préjudiciel devant la CJUE afin que celle-ci se prononce sur : l’applicabilité du RGPD en matière de transfert de données fondé sur des clauses contractuelles types (1), le niveau de protection requis par le RGPD dans le cadre d’un tel transfert (2), ainsi que sur la validité de ces clauses et de l’accord Privacy Shield (3).

• Apports :

C’est par une décision très attendue, que la CJUE rend un arrêt le 16 juillet 2020, dans lequel elle invalide le bouclier de protection des données UE/États-Unis mais juge la décision relative aux clauses contractuelles types conformes à la Charte des droits fondamentaux de l’Union.

Pour rappel, le RGPD met en place des mécanismes qui encadrent le transfert des données personnelles vers des pays tiers. L’accord du Privacy Shield est un des principaux mécanismes permettant une adéquation. Cependant en l’absence de cet accord, il revient au responsable de traitement de s’assurer de cette adéquation en vertu de l’article 46 du RGPD

La CJUE répond aux deux (2) premières questions préjudicielles ; et :

-          Confirme que le droit de l’Union et a fortiori le RGPD s’applique aux transferts de données personnelles européennes vers les États-Unis, dans un but commercial et même si les données sont au cours du transfert susceptibles d’être traitées à des fins de sécurité publique, de défense et de sûreté de l’État par les autorités américaines.[9]

-          Affirme que dans le cadre du transfert des données personnelles fondé sur des clauses types de protection, le niveau de protection requis par le RGPD en matière de droit des personnes concernées (droits opposables et voies de droit effectives) doit être substantiellement équivalent au droit de l’Union[10]. Dans son considérant 108, le RGPD rappelle que des garanties doivent  « assurer le respect des exigences en matière de protection des données et des droits des personnes concernées d’une manière appropriée au traitement au sein de l’Union, y compris l’existence de droits opposables de la personne concernée et de voies de droit effectives, ce qui comprend le droit d’engager un recours administratif ou juridictionnel effectif et d’introduire une action en réparation, dans l’Union ou dans un pays tiers. ».

La Cour rajoute que les autorités de contrôle doivent obligatoirement suspendre ou interdire un tel transfert vers un pays tiers lorsque les clauses types de protection des données ne sont pas respectées conformément au droit de l’Union dans l’État en question[11].

o    L’accord Privacy Shield = Une invalidité des transferts de données  

De façon assez prévisible, les juges européens décident d’invalider l’accord Privacy Shield au motif que « les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis portant sur l’accès et l’utilisation par les autorités publiques américaines ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union, par le principe de proportionnalité, en ce que les programmes de surveillance fondés sur cette réglementation ne sont pas limités au strict nécessaire ».

Il est clair que pour la Cour, la législation américaine ne limite pas au strict minimum l’accès de ses autorités aux données personnelles et ne répond donc pas au principe de proportionnalité, encadrant la protection des données. L’exigence d’équivalence prévue à l’article 45 du RGPD n’est donc pas respectée. En effet, il n’existe aucune limitation à la permission de certains programmes de surveillance à user des données transmises, ni de garanties fortes pour les citoyens non américains, éventuellement visés et encore moins pour ces derniers, de droits concrets à opposer aux autorités américaines devant le juge.

Enfin, la possibilité du recours à un médiateur américain, (comme indiqué dans la décision BPD) n’assurait pas selon la Cour, l’indépendance du médiateur à prendre des décisions contraignantes à l’encontre des services de renseignements américains.[12]

 Cet arrêt a donc un impact important sur toutes entreprises transférant des données vers les États-Unis qui vont devoir revoir leurs contrats. En effet, dans sa FAQ sur l’invalidation du Privacy Shield, la CNIL affirme qu’aucun délai de grâce n’est offert aux entreprises transférant des données aux États-Unis sur le cadre juridique du Privacy Shield car la loi américaine ne fournit pas un niveau de protection équivalent à celui de l’Union européenne.

o   La validation des clauses contractuelles types

La CJUE valide la décision 2010/87 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants situés dans des pays tiers[13]. Il s’agit d’un modèle de contrat type défini par la Commission européenne autorisant les entreprises à exporter les données personnelles de citoyens européens vers le reste du monde[14].

Une condition est néanmoins à respecter : L’usage de clauses contractuelles types est autorisé seulement si le niveau de protection imposé par le droit européen est assuré. La CNIL précise que cette évaluation, doit prendre en compte les circonstances des transferts et les mesures supplémentaires qu’il est possible de mettre en place.

Dans le cas contraire, le transfert de données devra soit être suspendu, soit interdit par le responsable de traitement. Un travail de renforcement des clauses relative à la protection des données personnelle devra être effectué, afin que les entreprises puissent transmettre des données à leur filiales ou maison mères situées sur le sol américain.

Attention, bien qu’en théorie, la CJUE donne la liberté à chaque entreprise de décider si les données personnelles transférées dans le pays destinataire sont conformément protégées ; en pratique sa mise en œuvre semble être beaucoup plus hasardeuse. En effet, alors que la Cour reproche à la législation américaine de ne pas respecter les droits du RGPD, elle ne tranche pas la question concernant le transfert de données sur le sol américain, laissant planer une insécurité juridique. Comme indiqué dans ses conclusions, la protection offerte par la législation américaine est insuffisante et les clauses types ne permettent pas un encadrement du transfert des données suffisantes. Cette question se posera pour tous les États disposant de lois relatives à la sécurité nationale qui permettent des ingérences dans les droits fondamentaux européens (Exemples : Australie, Chine).  

En effet comme le précise la CNIL dans sa FAQ, il sera possible de transférer des données vers des États tiers en se fondant sur les clauses types ou des règles d’entreprises contraignantes à condition qu’importateur et exportateur, vérifient que dans leur mise en œuvre, le niveau de protection demandé par le RGPD soit respecté dans le pays tiers.

Il est également possible de fonder un transfert de données vers un État tiers sur une nouvelle mesure d’adéquation. Il s’agit d’une mesure se fondant sur les lois nationales de l’État tiers pour déterminer qu’il assure un niveau de protection substantiellement équivalent à celui de l’Union en matière de droits et libertés fondamentales.

Néanmoins, ces mesures sont aujourd’hui en nombre restreint. En effet, il n’existe pour le moment de mesures d’adéquation que pour les pays suivants :  Andorre, Argentine, Canada (accord partiel), les îles Féroé, Guernesey, Israël, l’île du Man, Japon, Jersey, Nouvelle-Zélande, Suisse et Uruguay.

Il faudrait donc que la Commission européenne et les États-Unis renégocient un nouvel accord.

Ainsi, même si les clauses contractuelles types sont validées par le règlement[15] de nombreuses questions restent en suspens tel que leur articulation en pratique par le responsable de traitement, le destinataire des données et le sous-traitant qui s’engagent à mettre en place un traitement en conformité avec le règlement. Ainsi que la définition des notions d’exportateur et/ou de destinataire de données, qui relèvera des autorités européennes en accord avec les autorités américaines.

La CNIL a d’ores et déjà commencé à répondre à quelques interrogations à la suite de l’invalidation du Privacy Shield. Ainsi elle rappelle que l’article 28.3 du RGPD régit les relations entre le responsable de traitement et les sous-traitants, et que ce dernier ne peut effectuer des transferts vers un autre État que s’il dispose d’une autorisation contractuelle. L’autorité de contrôle précise aussi les cas de dérogation possible au transfert de données personnelles vers les États-Unis ainsi que les modalités entourant l’utilisation des clauses de contrat type ou des BCR.

Et demain : Une souveraineté nationale ?

Cette décision a provoqué de nombreuses réactions, tant du côté européen que du côté américain. Pour l’Autorité de contrôle irlandaise et pour Max Schrems, la réponse de la CJUE est synonyme de victoire pour le respect de la vie privée. La Commissaire européenne Věra Jourová, a d’ailleurs revendiqué son souhait que le gouvernement américain adopte une loi fédérale équivalente au RGPD pour assurer une protection forte contre l’ingérence des autorités de surveillance.

Cependant outre-Atlantique, le Secrétaire au Commerce, Wilbur Ross a fait part de sa déception quant à la décision de la Cour, et déclare que le Département du Commerce continuera à se fonder sur l’accord Privacy Shield, de même que les parties qui sont liées contractuellement à l’accord. La Computer & Communications Industry Association (organisation réunissant notamment Google, Samsung et Amazon) souligne quant à elle, l’inquiétude et le flou juridique d’une telle décision sur les grands groupes américains.

Même si l’arrêt ne concerne pas les données dites nécessaires telles que le contenu de courriel ou la réservation d’un voyage, la transmission de données est indispensable à la continuité de l’économie numérique. Il est donc urgent que les dirigeants politiques européens et américains trouvent ensemble, un accord conforme aux droits de l’Union. Le commissaire européen à la Justice, Didier Reynders a d’ailleurs déclaré travailler sur des outils afin que la protection des données personnelles soit assurée lors de leur transfert outre-Atlantique.

Par cette décision, le but n’est pas que l’Union européenne s’isole du reste du monde car cela aurait des conséquences négatives sur la compétitivité des entreprises européennes, et cela empêcherait la bonne collaboration internationale sur des sujets sensibles tels que la lutte contre le cybercrime, le terrorisme ou encore la crise sanitaire du Covid-19.

La décision de la CJUE est une sorte de rappel à l’ordre des autorités de contrôle jugées trop indulgentes dans la mise en œuvre du RGPD. La CNIL a d’ailleurs fait savoir qu’elle a pris connaissance de l’arrêt [16] et qu‘elle collabore avec les autres autorités européennes afin de mettre en œuvre des mécanismes permettant un transfert en adéquation avec la décision rendue.  

Cet arrêt encourage donc les entreprises à reconsidérer le traitement des données personnelles sur le sol européen, dans le but de se conformer au RGPD. Mais surtout, afin de s’affranchir de la domination états-unienne et peut-être affirmer une souveraineté numérique européenne.

Base juridique :

·        Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données

o    Articles 3 ; 26 ; 28

·        Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE dit « RGPD »

o    Considérants 6 ; 10 ;101 ; 103 ; 107 à 109 ; 114 ; 116 ; 141

o    Articles 2 ; 4 ; 23 ; 45 ;46 ;49 ; 51 ; 57 ; 58 ; 64 ; 77 ; 78 ; 94

·        Décision CJUE, Aff. C-311/18, Data Protection Commissioner contre Facebook Ireland Ltd et Schrems

o    Décision CPT :

Considérant 11

Articles 1 ; 3 ; 4 ; 5 ; 6 ; 8 ; 9 ; 12

o    Décision BPD :

Considérants 68 ; 69 ; 76 ; 77 ; 109 ; 112 à 116 ; 120 ; 136 ; 140

·        Décision  d’exécution (UE) 2016/1250 du 12 juillet 2016 relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-Etats-Unis

·        Décision de la Commission européenne du 26 juillet 2000 conformément à la directive 95/46/CE relative à la pertinence de la protection assurée par les principes de la « sphère de sécurité »

·        Décision de la Commission européenne du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE

[1] Point 50 de la décision

[2] Article 51 du RGPD

[3] Article 28 de à la directive 95/46/CE (aujourd’hui considérant 141 et article 77 du RGPD)

[4] Définition à l’article 4 du RGPD

[5] Décision de la Commission européenne du 26 juillet 2000 conformément à la directive 95/46/CE relative à la pertinence de la protection assurée par les principes de la « sphère de sécurité » (article 3/25/26)

[6] Arrêt de la CJUE du 6 octobre 2015, « Schrems », C-362/14

[7] Article 78 RGPD

[8] Décision de la Commission européenne du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE

[9] Point 89 de la décision

[10] Considérant 114 ; 116 du RGPD et point 105 de la décision

[11] Considérant 107 à 109 du RGPD et point 121 de la décision

[12] Point 196 de la décision

[13] Point 149 de la décision

[14] Article 46 §1 et §2 c) et d) du RGPD

[15] Considérant 81 ; 108 ; 109 ; 168 et article 28 ; 64 du RGPD

[16] Communiqué de la CNIL du 17 juillet 2020

Il y a moins d’une semaine, nous vous briefions sur la position récente de la CJUE sur les cookies. A peine cette brève publiée que le Conseil d’Etat dévoile sa décision sur le sujet, en complète opposition avec la Cour de Justice.

Rappel du contexte

Pour rappel, le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur le 25 mai 2018. Ce texte exige des éditeurs de sites internet qu’ils s’assurent que l’internaute consente explicitement à l’installation de cookies et autres traceurs dans son appareil à des fins de publicité ciblée.

Plus d’un an après, bien des entreprises ne se sont pas mises en conformité. La CNIL a choisi de leur accorder un délai supplémentaire d’un an pour se mettre en conformité concernant l’installation de cookies, une faveur que la Quadrature du Net avait attaquée en justice.

La décision

Dans cette décision, le juge administratif se montre plus réservé, surtout par rapport au juge européen. Alors que ce dernier militait en faveur de la vie privée, le Conseil d’Etat se retranche derrière le « large pouvoir d’appréciation » de la CNIL.

Le Conseil d’Etat estime que les tolérances accordées aux entreprises leur permettent de s’approprier les nouvelles règles issues du RGPD et de les respecter d’ici l’été 2020. Ainsi, les pratiques de ces entreprises ne sont ni illégales, ni une violation de la vie privée des personnes physiques. Il serait possible d’y voir un délai de mise en conformité accordé jusqu’en mai 2020.

Toutefois, la décision n’empêchera pas la CNIL de contrôler et de sanctionner les manquements les plus graves, une opportunité des poursuites qu’elle pratique déjà. Mais comment justifiera-t-elle auprès des entreprises sanctionnées le choix des poursuites ?  

De leur côté, les associations, dont la Quadrature du Net, pourront tout de même poursuivre les éditeurs fautifs au civil et au pénal : les lignes directrices de la CNIL n’ont aucun pouvoir contraignant sur ces juridictions.

Entre conformité actuelle et conformité future, que choisir ?

La décision du Conseil d’Etat est compliquée à mettre en œuvre à plusieurs égards.

1 - Elle entre en contradiction directe avec la décision de la CJUE dans l’arrêt « Planet49 ». 

Celle-ci affirme sans ambiguïté que les simples bandeaux d’information sont inacceptables. Un geste positif de consentement de la part de l’internaute est indispensable. Si la décision a pour fondement la Directive ePrivacy de 2002 et non pas le RGPD, les deux textes sont étroitement liés. En effet, ils ont vocation à former le « Package européen Vie Privée » une fois la directive révisée. La solution a vocation à s’appliquer tout autant sur la base de RGPD. 

2 - Le Conseil d’Etat ne respecte pas la hiérarchie des normes.

L’arrêt « Planet49 », rendu au titre d’une demande préjudicielle, donne l’interprétation officielle de la CJUE sur les textes concernés. Cette interprétation est, légalement, immédiatement applicable dans tous les Etats membres. En effet, les décisions de la CJUE forment un ordre juridique propre depuis les arrêts Van Gend en Loos du 5 février 1963 et Costa contre ENEL du 15 juillet 1964.

La tolérance accordée par la CNIL et la volonté de contradiction affichée par le juge administratif sont d’autant plus surprenantes que les autres autorités de contrôle européennes n’hésitent pas à sanctionner l’installation de cookies sans véritable consentement.

A titre d’exemple, l’autorité de contrôle espagnole (AEPD) a récemment sanctionné la compagnie aérienne Vueling en raison de la gestion non conforme des cookies sur son site internet. Vueling a accepté sa faute et a payé rapidement ; sa sanction a donc été réduite de 30 000€ à 18 000 €. Ces sommes n’approchent manifestement pas les plafonds de 20 Millions d’euros et 4% du Chiffre d’Affaires mondial annuel, mais la pratique a tout de même été sanctionnée.

3 - Elle crée un important facteur de risque pour les entreprises.

Ces dernières ont maintenant deux choix. Premièrement, elles peuvent suivre la position de la CJUE et se mettre en conformité maintenant. Deuxièmement, elles peuvent compter sur cette « période de tolérance » pour ne pas se mettre en conformité. Dans ce cas, elles ne sont tout de même pas à l’abri :

• D’une sanction de la CNIL, celle-ci se réservant toujours le droit de sanctionner les atteintes qu’elle estime « particulièrement graves ».

• De plaintes des particuliers et/ou associations, qui aura toutes les chances d’aboutir, la tolérance de la CNIL ne valant que pour elle.

En conclusion, cette décision crée plus de questions qu’elle n’en résout. Surtout, prendre la CNIL au mot crée un véritable risque pour les entreprises. En cas de doute, il nous semble plus sûr de suivre la position européenne.

Source

Pour lire la décision, c’est par ici !

Brève actu sur la décision CJUE, 1er oct. 2019, Planet49

Les faits semblent familiers. Un site, en l’espèce, édité par la société Planet49, organise un jeu. Les participants remplissent un formulaire d’inscription. La case autorisant l’exploitation de leurs données personnelles à des fins publicitaires est décochée, mais celle autorisant l’installation de cookies publicitaires au bénéfice des plusieurs dizaines de partenaires de Planet49 sur le matériel des participants, elle, l’est bel et bien. Il était également impossible de participer au jeu sans accepter cette condition. La Fédération allemande des organisations de consommateurs a donc assigné Planet49. Le renvoi préjudiciel devant la CJUE a abouti un rejet formel d’une telle pratique par la Cour des "cookies walls"

L’essentiel à retenir : 3 points pratiques

• Le consentement doit être actif ainsi fini les bandeaux d’information sur les cookies ou les cases cochées par défaut : les juges sont catégoriques sur ce point et jugent intolérable de se contenter de bandeaux informatifs sur les cookies ou de cases cochées par défaut.

• Tous les cookies sont concernés y compris les cookies nécessaires au fonctionnement du site : Ce principe de consentement actif s’applique aussi aux cookies qui ne collectent pas de données personnelles. Il s’agit d’un apport important, car beaucoup d’entreprises n’offrant pas de service de e-commerce négligent cet aspect de leur site internet ; après tout, leur site n’utilise que des cookies de fonctionnement et/ou de statistiques

• Les durées de fonctionnement et les tiers qui ont accès doivent être révélés : les responsables de traitement doivent indiquer la durée de fonctionnement des cookies mais aussi la possibilité pour un tiers d’y accéder. Les entreprises devront donc mentionner chacun des partenaires qui ont communication de ces cookies.

Un apport peut-il en cacher un autre ?

Cette décision n’est peut-être pas surprenante car elle confirme des principes de protection des données déjà bien établis, notamment dans le RGPD en matière de consentement et de transparence. Bien que les faits jugés datent de 2013, nous pouvons analyser que cette décision s’applique après l’entrée en vigueur du RGPD.

Selon nous, son véritable apport réside dans la position prise par la Cour de justice de l’Union européenne vis-à-vis des autorités de protection nationales. La Cour donne ainsi le ton. En comparaison, la CNIL avait accordé aux entreprises un délai additionnel d’un an pour se mettre en conformité relativement à l’installation de cookies, une faveur que la Quadrature du Net avait attaquée en justice.

La décision de la CJUE est donc une raison de plus d’attendre le verdict du juge administratif dans cette affaire.

Pour aller plus loin : #CJUE #NextInpact #CNIL

En avril dernier, plus de 200 personnes ont assigné Enedis pour s’opposer à l’installation d’un compteur électrique Linky ou en demander le retrait. Elles estimaient que l’installation de ce compteur à leur domicile constituait un trouble manifestement illicite notamment basé sur la violation de l’article article 5, 1, a du RGPD qui impose un traitement licite, loyal et transparent des données à caractère personnel collectées. Les demandeurs invoquaient l’absence de recueil du consentement et le manque de transparence d’Enedis (responsable de traitement).

Le juge a rejeté leur demande. Selon lui, « la société Enedis établit qu’elle s’est soumise au contrôle de la CNIL, tant au stade de la conception du compteur “Linky” qu’au cours de son test, puis de son déploiement ».

Dans ses recommandations, la CNIL avait notamment sollicité que : les dispositifs de comptage soient conformes à des référentiels de sécurité approuvés par le ministre chargé de l'énergie, que la courbe de charge ne puisse être collectée que lorsque des problèmes d'alimentation ont effectivement été détectés ; que les paramètres de réglage des compteurs soient, par défaut, les plus protecteurs possible pour les usagers ou encore que les compteurs doivent pouvoir être mis à jour afin de rester en permanence à l'état de l'art.

Pour le magistrat, la société semble avoir suivi ces recommandations puisqu’il constate que « les compteurs “Linky” assurent une anonymisation des informations pendant leur transmission, d’une part par leur cryptage, et d’autre part par l’absence de toute référence d’identification nominative, ce qui a été confirmé par l’étude effectuée par la CNIL au terme de la période de test ».

Le juge s’est ainsi basé sur l’étroite collaboration de la société Enedis avec la CNIL aussi bien en amont du projet qu’au moment de sa réalisation pour relever la conformité du dispositif.

Il faut sans doute retenir que les démarches proactives qui visent à prendre en compte la protection des données personnelles dès la conception du projet sont essentielles. Elles favorisent la bonne réussite du projet et sa conformité à la réglementation (privacy by design & by default).

Une fois la conformité établie et documentée en amont le responsable de traitement pourra implémenter un projet de manière sécurisée en limitant les risques d’engagement de sa responsabilité. En outre, pouvoir documenter sa conformité aussi bien envers ses clients, ses prestataires ou encore la CNIL est vecteur de compétitivité, de confiance et renforce ainsi l’image professionnelle de votre entité.