Le 6 octobre 2020, la Cour de justice de l’Union européenne (CJUE) a rendu deux décisions très attendues en matière de surveillance étatique.

Plusieurs organisations non-gouvernementales et associations au Royaume-Uni, en France et en Belgique contestaient la collecte par les Etats des données de connexion de citoyens à des fins de renseignement.

Faits 

Revenons tout d’abord en 2015 au Royaume-Uni…

Un rapport de la Commission du renseignement et de la sécurité du Parlement du Royaume-Uni avait rendu public l’existence de pratiques de recueil et d’utilisation de données relatives à des communications de masse par différents services de sécurité et de renseignement du Royaume-Uni.

Ces pratiques étaient autorisées par :

-       une mesure législative qui imposait aux opérateurs d’accès Internet et de téléphonie de conserver toutes les données relatives au trafic et à la localisation de leurs clients

-       une mesure législative qui imposait à ces opérateurs d’accorder aux autorités nationales compétentes l’accès à ces données

Le 5 juin 2015, Privacy International, une organisation non-gouvernementale spécialisée dans la protection des droits de l’Homme et plus particulièrement de la vie privée, avait saisi le tribunal chargé des pouvoirs d’enquête au Royaume-Uni d’un recours en contestant la légalité de ces pratiques au regard du droit de l’Union et notamment de la directive « vie privée et communication électroniques » de 2002.

Procédure 

Privacy International considère que ces pratiques sont illégales au regard du droit de l’Union car elles portent atteinte au droit à la vie privée des citoyens.

Le Gouvernement du Royaume-Uni, défendeur, conteste la compétence du droit de l’Union dans cette affaire. Il considère que l’obligation de conservation des données ainsi que l’obligation de les transmettre sont de la compétence exclusive de chaque Etat membre car cela a trait à la sécurité nationale.

La juridiction britannique a donc interrogé la Cour de Justice de l’UE pour savoir si le droit de l’Union s’appliquait en l’espèce ou non.

La réponse de la CJUE 

1. La CJUE considère que le droit de l’Union s’applique à ces législations nationales.

Ainsi, la Cour de l’Union confirme sa décision Tele2 Sverige et Watson rendue en 2016. Dans cette dernière, elle précisait que les Etats ne pouvaient pas imposer aux opérateurs d’accès Internet et de téléphonie une « obligation généralisée et indifférenciée » de collecte et de conservation des données relatives au trafic et aux données de localisation.

Néanmoins, de nombreux Etats tels que le Royaume-Uni, la Belgique ou encore la France continuaient à exiger des opérateurs qu’ils collectent en masse les données de connexions et leur y donne accès aux fins de renseignement.

2. La CJUE précise que les pratiques dénoncées par Privacy International excède les limites du strict nécessaire et ne saurait être considérées comme étant justifiées, dans une société démocratique.

La CJUE procède ici à un contrôle de proportionnalité.

La CJUE énonce donc que les législations nationales en cause sont contraires au droit de l’Union.

Quid de la Belgique et de la France ?

Même son de cloche côté belge et français pour des faits similaires : https://cdn2.nextinpact.com/medias/arret-c_511_18fr.pdf

- La CJUE précise dans cette deuxième affaire que des mesures législatives imposant aux opérateurs d’accès Internet et de téléphonie, à titre préventif, une conservation généralisée et indifférenciée des données relatives au trafic et à la localisation est également contraire au droit de l’Union car il s’agit d’ingérences particulièrement graves dans les droits fondamentaux garantis par la Charte de l’Union.

Les exceptions à cette interdiction :

1. La CJUE considère qu’un Etat membre faisant face à une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible, peut imposer aux opérateurs de conserver de manière généralisée et indifférenciée des données de trafic/localisation. Cette possibilité doit être limitée dans le temps au strict nécessaire et faire l’objet d’un contrôle effectif par une juridiction ou autorité administrative indépendante.

2. La CJUE indique également que les Etats membres peuvent conserver des données de manière ciblée, dans un temps limité au strict nécessaire, sur la base d’éléments objectifs et non discriminatoires, en fonction de catégories de personnes concernées ou au moyen d’un critère géographique.

3. De même, cette directive ne s’oppose pas à de telles mesures prévoyant une conservation généralisée et indifférenciée des adresses IP, pour autant que la durée de conservation est limitée au strict nécessaire.

Ainsi même si la CJUE modifie le cadre d’utilisation des données personnelles, les fournisseurs d’accès Internet/téléphonie pourront tout de même être amené à conserver les données collectées, comme par exemple dans le cadre de la lutte contre le terrorisme.

Les services de renseignements notamment français considèrent la décision de la Cour de l’Union comme un désastre qui entrave sérieusement leur travail d’enquête.

Pour la Quadrature du Net, association spécialisée dans la défense des droits et libertés des internautes et demandeur dans la deuxième affaire, il s’agit d’une « défaite victorieuse » car la CJUE a instauré de nombreuses exceptions à cette interdiction de collecter les données de manière généralisée.

La suite de cette saga sur la surveillance de masse se poursuivra au sein de chaque juridiction nationale (le Tribunal chargé des pouvoirs d’enquête au Royaume-Uni, le Conseil d’Etat en France et la Cour constitutionnelle en Belgique) qui devra se prononcer sur les législations et décrets attaqués.

Sources :

Rapport de la Commission du renseignement et de la sécurité du Parlement du Royaume-Uni sur les données personnelles et la sécurité, mars 2015 

Décision Tele2 Sverige et Watson de la Cour de justice de l’Union européenne, 21 décembre 2016

Décision du tribunal chargé des pouvoirs d’enquête au Royaume-Uni , Privacy International, juillet 2018

Communiqué de presse de la Cour de justice de l’Union européenne, 6 octobre 2020

Décision Privacy International C-623/17 de la Cour de justice de l’Union européenne , 6 octobre 2020

Décision La Quadrature du Net e.a., affaires jointes C-511/18 et C-512/18 et Ordre des barreaux francophones et germanophone e.a., C-520/18 de la Cour de justice de l’Union européenne, 6 octobre 2020

Communiqué de la Quadrature du Net, 6 octobre 2020

Article du Monde, La justice de l’UE s’oppose à la collecte massive des données de connexions Internet et téléphoniques par les Etats, 6 octobre 2020

Directive « vie privée et communication électroniques » de 2002 

[Mise à jour 16/09/2020]

La Haute Cour d’Irlande a ce Lundi 15 Septembre temporairement gelée l’enquête de la CNIL irlandaise, autorisant Facebook à procéder à un contrôle judiciaire de la décision préliminaire de l’autorité de régulation.

L’homologue irlandaise de la CNIL ordonne à Facebook de stopper les transferts de données vers les USA

Les premières conséquences sur l’invalidation de l’accord de transfert transatlantique du Privacy Shield rendue par une décision de la CJUE du 16 juillet 2020 ne se sont pas fait attendre. En effet, comme le rapporte, le Wall Street Journal dans un article publié le 9 septembre, la CNIL irlandaise, Data Protection Commission, a rendu une ordonnance préliminaire contre Facebook fin août.

L’objet : L’autorité irlandaise interdit à Facebook de se prévaloir des clauses contractuelles types afin d’envoyer des données outre-Atlantique. Ainsi, il n’est plus possible pour le géant américain d’envoyer les données des utilisateurs européens vers les serveurs situés aux États-Unis.

Pourquoi : Alors que ces clauses contractuelles types n’ont pas été invalidées par les juges européens, il revenait à chaque autorité nationale d’en apprécier le recours. L’arrêt Schrems II a invalidé le Bouclier de protection des données pour défaut de garanties juridiques offertes par les États-Unis concernant leurs programmes de surveillance (retrouvez notre article ici). L’utilisation des clauses contractuelles types pour transférer les données européennes outre-Atlantique est subordonnée au respect par la législation étasunienne d’un niveau de protection adéquat au droit européen. Or, ce niveau de protection n’étant pas atteint du côté américain, l’usage par Facebook des clauses contractuelles pour le transfert de données transatlantique n’est pas possible.

Conséquences : Facebook doit choisir entre :

- Cesser tout transfert vers les États-Unis en utilisant des serveurs hébergés dans un pays adéquat pour traiter les données des utilisateurs européens ;

- Arrêter tout traitement des données et donc fermer ses services aux utilisateurs européens.

Résistance du Géant américain

Du côté de Facebook, la réaction ne s’est pas fait attendre, car ce dernier a fait appel devant la Haute Cour irlandaise afin de contester l’ordonnance. En effet, alors que l’entreprise dit avoir travaillé durement afin de se conformer à la décision de la CJUE, selon le porte-parole de la société, Nick Clegg déclare que « L'absence d'un mécanisme de transfert de données international, sûr, sécurisé et légal aurait des conséquences néfastes pour l’économie européenne ». La position du 1er réseau social est claire, tant qu’aucune précision n’aura été apportée, elle continuera de transférer les données du Vieux Continent vers ses serveurs américains conformément à la décision des juges européens.

Le refus du géant américain envers la demande du gendarme irlandais est risqué car l’entreprise s’expose à une amende pouvant aller jusqu’à 20 millions d’euros ou bien 4% de son chiffre d’affaires mondial (Article 83 du RGPD). Pour rappel, selon son rapport annuel 2019, Facebook totalise un chiffre d’affaires confortable de 18,5 milliards de dollars [article source https://www.nextinpact.com/lebrief/41302/11058-facebook---pres-de-70-milliards-de-dollars-de-chiffre-d-affaires--2-89-milliards-d-utilisateurs-par-mois] .  

La CNIL irlandaise mettra-t-elle ses menaces à exécution ?

Dans ce cas, face au montant encouru de l’amende, est-ce que Mark Zuckerberg se pliera aux exigences de la Commission ou bien préférera-t-il payer l’amende et tenter le bras de fer ?

Les conséquences de l’invalidation du Privacy Shield

Cette affaire illustre parfaitement l’incertitude juridique de la décision rendue par la CJUE en invalidant le Privacy Shield. Pour Facebook, une décision claire doit être prise, « les entreprises ont besoin de règles claires et précises, étayées par un solide État de droit, pour protéger à long terme les flux de données transatlantiques » [article source https://www.lesnumeriques.com/vie-du-net/privacy-shield-facebook-somme-de-garder-les-donnees-des-utilisateurs-europeens-loin-des-etats-unis-n154327.html].

C’est pourquoi une initiative a déjà été prise par certains acteurs du cloud (Google, IBM, Cisco,..) dans le but de créer des standards internationaux afin d’encadrer le transfert des données personnelles hors UE.

Il est certain que l’arrêt du 16 Juillet 2020 a remis totalement en cause le fonctionnement des GAFAM et plus largement de tous les services en ligne qui constituent notre écosystème numérique, et cela « pourrait avoir un effet très significatif sur les entreprises qui en dépendent et sur les services en ligne dont dépendent de nombreuses personnes et entreprises », selon Nick Glenn.

Alors que certains pointent la décision et les lourdes conséquences que cela pourrait avoir sur l’économie européenne, d’autres plaident pour une souveraineté européenne et voient une opportunité pour le développement des entreprises de la tech européennes ainsi qu’une réforme du droit américain.

La révision du Privacy Shield ainsi que l’enquête de la CNIL irlandaise devraient nous apporter plus de réponse sur l’avenir du transfert des données personnelles.

•  Rappel du contexte :

Ce jeudi 16 juillet 2020, la Cour de Justice de l’Union européenne (CJUE) a rendu une décision qui a eu l’effet d’une bombe (CJUE, Aff. C-311/18, Data Protection Commissioner contre Facebook Irlande Ltd et Schrems). Bien qu’assez prévisible, la Cour invalide la décision d’exécution (UE) 2016/1250 du 12 juillet 2016 relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-Etats-Unis, dit « accord Privacy Shield ». Adopté en 2016, à la suite de l’invalidation de l’accord du Safe Harbor par la CJUE, le Privacy Shield avait pour mission d’encadrer le transfert des données personnelles entre l’Europe et les États-Unis. Cependant dès ses débuts, ce « bouclier » fait l’objet d’attaques de la part du Parlement européen, de la CNIL et de diverses associations (La quadrature du Net, NYOB). Ces entités reprochaient l’accès des services de sécurité américaine (FBI, NSA …)  aux données européennes transférées, à la suite des révélations d’Edward Snowden de 2013. D’ailleurs, le G29 avait jugé trop faible les dispositions du texte encadrant les données personnelles transmises Outre Atlantique ainsi que trop complexes les modalités de recours à un médiateur américain.

• Les Faits :

[1]Cette affaire débute par l’arrêt Schrems I, dans lequel Maximilian Schrems, activiste autrichien et fervent défenseur de la protection de la vie privée, décide de porter plainte auprès de l’Autorité irlandaise de contrôle[2] pour contester les transferts[3] des données personnelles européennes opérés par Facebook vers les États-Unis. En tant qu’utilisateur Facebook, ses données à caractère personnel[4] étaient transférées par Facebook Irlande vers les centres de données de Facebook Inc établis aux États-Unis afin d’y être traitées. Cependant, ce dernier reprochait une protection trop faible de la part de la législation américaine, notamment du fait de l’ingérence des services de sécurité américaine dans les données européennes transmises.

Dans un premier temps, cette demande fut rejetée au motif que dans sa décision 2000/520 du 26 juillet 2000, la Commission européenne avait jugé que les États-Unis assuraient un niveau de protection adéquat[5].

Peu de temps après, à la suite d’une question préjudicielle posée par la Haute Cour d’Irlande, la CJUE affirma l’inverse et annula l’accord Safe Harbor[6]. De là, M. Schrems fut invité par l’Autorité de contrôle irlandaise à reformuler sa plainte[7], dans laquelle, il demanda d’interdire pour l’avenir la transmission des données personnelles européennes vers les États-Unis, surtout que Facebook Irlande effectuait désormais ce transfert sur le fondement des clauses types de protection de l’annexe de la décision 2010/87[8] .

Alors que l’Autorité de contrôle irlandaise initia une procédure devant la Haute Cour d’Irlande, afin que cette dernière pose une question préjudicielle à la CJUE. Au même moment, on apprenait l’adoption de l’accord Privacy Shield par une décision de la Commission européenne, en date du 12 juillet 2016 (UE 2016/1250).

• Problème :

La Haute Cour d’Irlande a alors fait un recours préjudiciel devant la CJUE afin que celle-ci se prononce sur : l’applicabilité du RGPD en matière de transfert de données fondé sur des clauses contractuelles types (1), le niveau de protection requis par le RGPD dans le cadre d’un tel transfert (2), ainsi que sur la validité de ces clauses et de l’accord Privacy Shield (3).

• Apports :

C’est par une décision très attendue, que la CJUE rend un arrêt le 16 juillet 2020, dans lequel elle invalide le bouclier de protection des données UE/États-Unis mais juge la décision relative aux clauses contractuelles types conformes à la Charte des droits fondamentaux de l’Union.

Pour rappel, le RGPD met en place des mécanismes qui encadrent le transfert des données personnelles vers des pays tiers. L’accord du Privacy Shield est un des principaux mécanismes permettant une adéquation. Cependant en l’absence de cet accord, il revient au responsable de traitement de s’assurer de cette adéquation en vertu de l’article 46 du RGPD

La CJUE répond aux deux (2) premières questions préjudicielles ; et :

-          Confirme que le droit de l’Union et a fortiori le RGPD s’applique aux transferts de données personnelles européennes vers les États-Unis, dans un but commercial et même si les données sont au cours du transfert susceptibles d’être traitées à des fins de sécurité publique, de défense et de sûreté de l’État par les autorités américaines.[9]

-          Affirme que dans le cadre du transfert des données personnelles fondé sur des clauses types de protection, le niveau de protection requis par le RGPD en matière de droit des personnes concernées (droits opposables et voies de droit effectives) doit être substantiellement équivalent au droit de l’Union[10]. Dans son considérant 108, le RGPD rappelle que des garanties doivent  « assurer le respect des exigences en matière de protection des données et des droits des personnes concernées d’une manière appropriée au traitement au sein de l’Union, y compris l’existence de droits opposables de la personne concernée et de voies de droit effectives, ce qui comprend le droit d’engager un recours administratif ou juridictionnel effectif et d’introduire une action en réparation, dans l’Union ou dans un pays tiers. ».

La Cour rajoute que les autorités de contrôle doivent obligatoirement suspendre ou interdire un tel transfert vers un pays tiers lorsque les clauses types de protection des données ne sont pas respectées conformément au droit de l’Union dans l’État en question[11].

o    L’accord Privacy Shield = Une invalidité des transferts de données  

De façon assez prévisible, les juges européens décident d’invalider l’accord Privacy Shield au motif que « les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis portant sur l’accès et l’utilisation par les autorités publiques américaines ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union, par le principe de proportionnalité, en ce que les programmes de surveillance fondés sur cette réglementation ne sont pas limités au strict nécessaire ».

Il est clair que pour la Cour, la législation américaine ne limite pas au strict minimum l’accès de ses autorités aux données personnelles et ne répond donc pas au principe de proportionnalité, encadrant la protection des données. L’exigence d’équivalence prévue à l’article 45 du RGPD n’est donc pas respectée. En effet, il n’existe aucune limitation à la permission de certains programmes de surveillance à user des données transmises, ni de garanties fortes pour les citoyens non américains, éventuellement visés et encore moins pour ces derniers, de droits concrets à opposer aux autorités américaines devant le juge.

Enfin, la possibilité du recours à un médiateur américain, (comme indiqué dans la décision BPD) n’assurait pas selon la Cour, l’indépendance du médiateur à prendre des décisions contraignantes à l’encontre des services de renseignements américains.[12]

 Cet arrêt a donc un impact important sur toutes entreprises transférant des données vers les États-Unis qui vont devoir revoir leurs contrats. En effet, dans sa FAQ sur l’invalidation du Privacy Shield, la CNIL affirme qu’aucun délai de grâce n’est offert aux entreprises transférant des données aux États-Unis sur le cadre juridique du Privacy Shield car la loi américaine ne fournit pas un niveau de protection équivalent à celui de l’Union européenne.

o   La validation des clauses contractuelles types

La CJUE valide la décision 2010/87 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants situés dans des pays tiers[13]. Il s’agit d’un modèle de contrat type défini par la Commission européenne autorisant les entreprises à exporter les données personnelles de citoyens européens vers le reste du monde[14].

Une condition est néanmoins à respecter : L’usage de clauses contractuelles types est autorisé seulement si le niveau de protection imposé par le droit européen est assuré. La CNIL précise que cette évaluation, doit prendre en compte les circonstances des transferts et les mesures supplémentaires qu’il est possible de mettre en place.

Dans le cas contraire, le transfert de données devra soit être suspendu, soit interdit par le responsable de traitement. Un travail de renforcement des clauses relative à la protection des données personnelle devra être effectué, afin que les entreprises puissent transmettre des données à leur filiales ou maison mères situées sur le sol américain.

Attention, bien qu’en théorie, la CJUE donne la liberté à chaque entreprise de décider si les données personnelles transférées dans le pays destinataire sont conformément protégées ; en pratique sa mise en œuvre semble être beaucoup plus hasardeuse. En effet, alors que la Cour reproche à la législation américaine de ne pas respecter les droits du RGPD, elle ne tranche pas la question concernant le transfert de données sur le sol américain, laissant planer une insécurité juridique. Comme indiqué dans ses conclusions, la protection offerte par la législation américaine est insuffisante et les clauses types ne permettent pas un encadrement du transfert des données suffisantes. Cette question se posera pour tous les États disposant de lois relatives à la sécurité nationale qui permettent des ingérences dans les droits fondamentaux européens (Exemples : Australie, Chine).  

En effet comme le précise la CNIL dans sa FAQ, il sera possible de transférer des données vers des États tiers en se fondant sur les clauses types ou des règles d’entreprises contraignantes à condition qu’importateur et exportateur, vérifient que dans leur mise en œuvre, le niveau de protection demandé par le RGPD soit respecté dans le pays tiers.

Il est également possible de fonder un transfert de données vers un État tiers sur une nouvelle mesure d’adéquation. Il s’agit d’une mesure se fondant sur les lois nationales de l’État tiers pour déterminer qu’il assure un niveau de protection substantiellement équivalent à celui de l’Union en matière de droits et libertés fondamentales.

Néanmoins, ces mesures sont aujourd’hui en nombre restreint. En effet, il n’existe pour le moment de mesures d’adéquation que pour les pays suivants :  Andorre, Argentine, Canada (accord partiel), les îles Féroé, Guernesey, Israël, l’île du Man, Japon, Jersey, Nouvelle-Zélande, Suisse et Uruguay.

Il faudrait donc que la Commission européenne et les États-Unis renégocient un nouvel accord.

Ainsi, même si les clauses contractuelles types sont validées par le règlement[15] de nombreuses questions restent en suspens tel que leur articulation en pratique par le responsable de traitement, le destinataire des données et le sous-traitant qui s’engagent à mettre en place un traitement en conformité avec le règlement. Ainsi que la définition des notions d’exportateur et/ou de destinataire de données, qui relèvera des autorités européennes en accord avec les autorités américaines.

La CNIL a d’ores et déjà commencé à répondre à quelques interrogations à la suite de l’invalidation du Privacy Shield. Ainsi elle rappelle que l’article 28.3 du RGPD régit les relations entre le responsable de traitement et les sous-traitants, et que ce dernier ne peut effectuer des transferts vers un autre État que s’il dispose d’une autorisation contractuelle. L’autorité de contrôle précise aussi les cas de dérogation possible au transfert de données personnelles vers les États-Unis ainsi que les modalités entourant l’utilisation des clauses de contrat type ou des BCR.

Et demain : Une souveraineté nationale ?

Cette décision a provoqué de nombreuses réactions, tant du côté européen que du côté américain. Pour l’Autorité de contrôle irlandaise et pour Max Schrems, la réponse de la CJUE est synonyme de victoire pour le respect de la vie privée. La Commissaire européenne Věra Jourová, a d’ailleurs revendiqué son souhait que le gouvernement américain adopte une loi fédérale équivalente au RGPD pour assurer une protection forte contre l’ingérence des autorités de surveillance.

Cependant outre-Atlantique, le Secrétaire au Commerce, Wilbur Ross a fait part de sa déception quant à la décision de la Cour, et déclare que le Département du Commerce continuera à se fonder sur l’accord Privacy Shield, de même que les parties qui sont liées contractuellement à l’accord. La Computer & Communications Industry Association (organisation réunissant notamment Google, Samsung et Amazon) souligne quant à elle, l’inquiétude et le flou juridique d’une telle décision sur les grands groupes américains.

Même si l’arrêt ne concerne pas les données dites nécessaires telles que le contenu de courriel ou la réservation d’un voyage, la transmission de données est indispensable à la continuité de l’économie numérique. Il est donc urgent que les dirigeants politiques européens et américains trouvent ensemble, un accord conforme aux droits de l’Union. Le commissaire européen à la Justice, Didier Reynders a d’ailleurs déclaré travailler sur des outils afin que la protection des données personnelles soit assurée lors de leur transfert outre-Atlantique.

Par cette décision, le but n’est pas que l’Union européenne s’isole du reste du monde car cela aurait des conséquences négatives sur la compétitivité des entreprises européennes, et cela empêcherait la bonne collaboration internationale sur des sujets sensibles tels que la lutte contre le cybercrime, le terrorisme ou encore la crise sanitaire du Covid-19.

La décision de la CJUE est une sorte de rappel à l’ordre des autorités de contrôle jugées trop indulgentes dans la mise en œuvre du RGPD. La CNIL a d’ailleurs fait savoir qu’elle a pris connaissance de l’arrêt [16] et qu‘elle collabore avec les autres autorités européennes afin de mettre en œuvre des mécanismes permettant un transfert en adéquation avec la décision rendue.  

Cet arrêt encourage donc les entreprises à reconsidérer le traitement des données personnelles sur le sol européen, dans le but de se conformer au RGPD. Mais surtout, afin de s’affranchir de la domination états-unienne et peut-être affirmer une souveraineté numérique européenne.

Base juridique :

·        Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données

o    Articles 3 ; 26 ; 28

·        Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE dit « RGPD »

o    Considérants 6 ; 10 ;101 ; 103 ; 107 à 109 ; 114 ; 116 ; 141

o    Articles 2 ; 4 ; 23 ; 45 ;46 ;49 ; 51 ; 57 ; 58 ; 64 ; 77 ; 78 ; 94

·        Décision CJUE, Aff. C-311/18, Data Protection Commissioner contre Facebook Ireland Ltd et Schrems

o    Décision CPT :

Considérant 11

Articles 1 ; 3 ; 4 ; 5 ; 6 ; 8 ; 9 ; 12

o    Décision BPD :

Considérants 68 ; 69 ; 76 ; 77 ; 109 ; 112 à 116 ; 120 ; 136 ; 140

·        Décision  d’exécution (UE) 2016/1250 du 12 juillet 2016 relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-Etats-Unis

·        Décision de la Commission européenne du 26 juillet 2000 conformément à la directive 95/46/CE relative à la pertinence de la protection assurée par les principes de la « sphère de sécurité »

·        Décision de la Commission européenne du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE

[1] Point 50 de la décision

[2] Article 51 du RGPD

[3] Article 28 de à la directive 95/46/CE (aujourd’hui considérant 141 et article 77 du RGPD)

[4] Définition à l’article 4 du RGPD

[5] Décision de la Commission européenne du 26 juillet 2000 conformément à la directive 95/46/CE relative à la pertinence de la protection assurée par les principes de la « sphère de sécurité » (article 3/25/26)

[6] Arrêt de la CJUE du 6 octobre 2015, « Schrems », C-362/14

[7] Article 78 RGPD

[8] Décision de la Commission européenne du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE

[9] Point 89 de la décision

[10] Considérant 114 ; 116 du RGPD et point 105 de la décision

[11] Considérant 107 à 109 du RGPD et point 121 de la décision

[12] Point 196 de la décision

[13] Point 149 de la décision

[14] Article 46 §1 et §2 c) et d) du RGPD

[15] Considérant 81 ; 108 ; 109 ; 168 et article 28 ; 64 du RGPD

[16] Communiqué de la CNIL du 17 juillet 2020

Brève actu sur la décision CJUE, 1er oct. 2019, Planet49

Les faits semblent familiers. Un site, en l’espèce, édité par la société Planet49, organise un jeu. Les participants remplissent un formulaire d’inscription. La case autorisant l’exploitation de leurs données personnelles à des fins publicitaires est décochée, mais celle autorisant l’installation de cookies publicitaires au bénéfice des plusieurs dizaines de partenaires de Planet49 sur le matériel des participants, elle, l’est bel et bien. Il était également impossible de participer au jeu sans accepter cette condition. La Fédération allemande des organisations de consommateurs a donc assigné Planet49. Le renvoi préjudiciel devant la CJUE a abouti un rejet formel d’une telle pratique par la Cour des "cookies walls"

L’essentiel à retenir : 3 points pratiques

• Le consentement doit être actif ainsi fini les bandeaux d’information sur les cookies ou les cases cochées par défaut : les juges sont catégoriques sur ce point et jugent intolérable de se contenter de bandeaux informatifs sur les cookies ou de cases cochées par défaut.

• Tous les cookies sont concernés y compris les cookies nécessaires au fonctionnement du site : Ce principe de consentement actif s’applique aussi aux cookies qui ne collectent pas de données personnelles. Il s’agit d’un apport important, car beaucoup d’entreprises n’offrant pas de service de e-commerce négligent cet aspect de leur site internet ; après tout, leur site n’utilise que des cookies de fonctionnement et/ou de statistiques

• Les durées de fonctionnement et les tiers qui ont accès doivent être révélés : les responsables de traitement doivent indiquer la durée de fonctionnement des cookies mais aussi la possibilité pour un tiers d’y accéder. Les entreprises devront donc mentionner chacun des partenaires qui ont communication de ces cookies.

Un apport peut-il en cacher un autre ?

Cette décision n’est peut-être pas surprenante car elle confirme des principes de protection des données déjà bien établis, notamment dans le RGPD en matière de consentement et de transparence. Bien que les faits jugés datent de 2013, nous pouvons analyser que cette décision s’applique après l’entrée en vigueur du RGPD.

Selon nous, son véritable apport réside dans la position prise par la Cour de justice de l’Union européenne vis-à-vis des autorités de protection nationales. La Cour donne ainsi le ton. En comparaison, la CNIL avait accordé aux entreprises un délai additionnel d’un an pour se mettre en conformité relativement à l’installation de cookies, une faveur que la Quadrature du Net avait attaquée en justice.

La décision de la CJUE est donc une raison de plus d’attendre le verdict du juge administratif dans cette affaire.

Pour aller plus loin : #CJUE #NextInpact #CNIL