Voilà déjà quelques jours que la campagne de vaccination anti-COVID-19 a débuté. En France, comme dans de nombreux autres pays européens, le Gouvernement est vivement critiqué pour sa lenteur. On peut néanmoins noter de précieuses informations quant à la protection des données personnelles dans le cadre de cette campagne et à la garantie du respect des droits et libertés fondamentales des patients.

Revenons au 10 décembre 2020 lorsque la CNIL s’est prononcée sur un projet de décret autorisant la création d’un système d’information (SI) « VACCIN-COVID » où seraient traitées des données personnelles afin de gérer et suivre la campagne de vaccination contre la COVID-19.

La CNIL est ainsi venue encadrer ce traitement en adressant au Ministre de la santé des recommandations visant à assurer la conformité du traitement à la règlementation en vigueur.

Le décret autorisant la création d'un traitement de données à caractère personnel relatif aux vaccinations contre la COVID-19 est entré en vigueur le 26 décembre 2020.

Le 30 décembre 2020, la CNIL a pris acte des améliorations apportées au décret, à la suite de ses recommandations.

Il est important de noter que la vaccination contre la COVID-19 n’est pas obligatoire en France, à ce jour. En effet, les seuls vaccins obligatoires sont limitativement énumérés aux articles L3111-1 et suivants du Code de la santé publique.

Le fait que le VACCIN COVID ne soit pas obligatoire en l’absence de modifications législatives en ce sens, participe au respect du droit à l’intégrité de la personne, c’est-à-dire notamment le droit de donner son consentement libre et éclairé dans le cadre d’actes médicaux. Ce principe est garanti à tout citoyen, conformément à la Charte des droits fondamentaux (article 3).

Le Gouvernement est d’ailleurs venu mettre en avant l’importance de la traçabilité du recueil du consentement lors de la campagne de vaccination, dans son guide à destination du personnel de santé habilité à administrer le vaccin anti-COVID. :

« Il est indispensable d’assurer la traçabilité du recueil du consentement. L’ensemble de la procédure (consultation pré-vaccinale, consentement, vaccination, suivi) est inscrit dans le dossier médical du patient et retracé dans le système d’information de suivi de la vaccination (VACCIN-COVID). »

A titre d’exemple, en Espagne, la vaccination reste certes volontaire mais le Ministre de la Santé a indiqué que le Gouvernement allait tenir un registre des personnes refusant de se faire vacciner contre la COVID-19, fichier amené à être partagé avec d’autres pays européens.

1) Sur les finalités poursuivies (article 1 du décret)

Le SI « VACCIN-COVID » vise à :

- organiser la vaccination des personnes,

- organiser le suivi et l'approvisionnement en vaccins et consommables,

- organiser la production d'informations à destination des personnes vaccinées,

- organiser la mise à disposition de données relatives à la vaccination à des fins de calcul d'indicateurs et de recherche,

- organiser un suivi de pharmacovigilance ainsi que la prise en charge financière des actes liés à la vaccination.

Le projet de décret prévoyait également comme finalité de traitement, l’identification et l'orientation vers un parcours de soins adapté. Or, la CNIL a demandé au Gouvernement de préciser cette notion, ce qui fut chose faite. Le Gouvernement a ainsi indiqué qu’il s’agissait d’orienter les personnes souffrant d'effets indésirables dus à la vaccination.

La CNIL a alors constaté que les finalités du traitement étaient clairement déterminées, explicites et légitimes, et ce conformément à l’article 5 du RGPD. 

L’utilisation par les autorités publiques du SI « VACCIN-COVID », comme de l’application #TousAntiCovid, est donc strictement encadrée par la législation européenne. 

2) Sur les destinataires des données (article 3 du décret)

La CNIL rappelle que chaque responsable de traitement doit définir un profil fonctionnel de destinataire, strictement limité à sa mission, afin de garantir que seules les personnes habilitées et soumises au secret professionnel peuvent accéder aux données de « VACCIN-COVID ».

S’agissant du partage de ces données entre différents systèmes d’information détenus par des autorités publiques, la CNIL a indiqué que les responsables de traitement de chaque SI devaient être clairement indiqués :

« Le ministère devrait mentionner la liste des traitements et des systèmes d'information dans lesquels les données du SI « VACCIN-COVID » seront appelées à figurer, les catégories de données transmises pour chacun de ces traitements ou systèmes, ainsi que les organismes responsables de ces traitements. Dans l'hypothèse où il n'entendrait pas compléter le décret sur ce point, la Commission invite le ministère à diffuser ces informations, par exemple en les rendant publiques sur son site web. »

La CNIL précise que le Gouvernement ayant signalé souhaiter recourir à des sous-traitants, la même logique de transparence vis-à-vis des personnes concernées trouve à s’appliquer : la CNIL invite le Gouvernement à mentionner expressément le recours à des sous-traitants dans le décret ou sur son site web, ainsi que la liste des sous-traitants.

Cette volonté de la CNIL est dans la droite ligne de ce qui est imposée aussi aux personnes morales : le responsable de traitement doit conclure un contrat de protection des données avec ses sous-traitants. Ces derniers sont soumis aux obligations de l’article 28 du RGPD. Cette règle permet notamment au responsable de traitement de contrôler la conformité de ses sous-traitants en les auditant et d’ainsi garantir la bonne protection des données des personnes concernées quand les données sont confiées à un tiers.

Ainsi, l’encadrement des contrats avec les prestataires par le RGPD participe au respect de la vie privée et de la protection des données personnelles, et ce conformément à la Charte des droits fondamentaux (article 7 et 8) et à la Convention européenne de sauvegarde des droits de l’Homme dite CESDH (article 8).

3) Sur les données pseudonymisées (article 3 du décret)

Ces données pourront être transmises aux organismes suivants :

- pour suivre la couverture vaccinale et organiser la vaccination : à l’agence nationale de la santé publique et aux agences régionales de santé ;

- à des fins statistiques : à la direction de la recherche, des évaluations, des études et des statistiques ;

- dans le cadre de l’urgence sanitaire et pour améliorer les connaissances sur le virus : à la plateforme de données de santé – Health Data Hub et à la CNAM.

La CNIL relève que la liste des données pseudonymisées n’est pas détaillée dans le projet de décret.

Or, conformément au principe de minimisation énoncé à l’article 5 du RGPD, seules les données adéquates, pertinentes et limitées à ce qui est nécessaire (au regard des finalités) peuvent être transmises à des destinataires.

La CNIL invite donc le Gouvernement à préciser la liste des données pouvant être transmises.

Au vu des enjeux pour les droits et libertés fondamentales des personnes concernées par la pseudonymisation de leurs données, le Gouvernement s’est engagé à transmettre à la CNIL une analyse d’impact relative à la pseudonymisation.

L’établissement clair et précis des catégories de destinataires de données, conformément aux exigences de l’article 13 du RGPD, garantissent l’information éclairée des personnes concernées et l’absence d’ingérence d’autorités non habilitées de prime abord.

Et ce, contrairement à ce que l’on note actuellement à Singapour où les autorités policières peuvent désormais accéder aux données collectées par l’application « Trace Together » dans le cadre d’enquête criminelles. Pourtant, l’application avait été développée prima facie uniquement pour lutter contre la pandémie COVID-19. Nous reviendrons sur ce point en fin d’article.

4) Sur le transfert de données hors de l’Union

Aucune donnée ne sera transmise hors de l’Union européenne, garantissant ainsi la pleine protection des données, accordée par la législation européenne, sans risque d’ingérence par des autorités étrangères.

Il est néanmoins souhaitable de connaître l’hébergeur du SI « VACCCIN-COVID », afin de ne pas être face à une filiale d’une entreprise américaine, comme ce fut le cas pour la Plateforme de données de santé (hébergée par Microsoft).

5) Sur les droits garantis (article 5 du décret)

Les personnes concernées disposeront d’un droit d’accès, de limitation et de rectification, conformément aux exigences du RGPD.

Un droit d’opposition et un droit à l’effacement pourront également être exercés dans l’hypothèse où la vaccination n’a pas encore eu lieu. Ces droits ne pourront plus être exercés après le consentement à l’acte vaccinal car cela vise à garantir l’objectif d’intérêt public qu’est la pharmacovigilance.

Néanmoins, une personne concernée pourra tout de même exercer son droit d’opposition dans le cadre des données pseudonymisées transmises à la Plateforme de données de santé ou à la CNAM, même après avoir consenti à l’acte vaccinal, car ces traitements répondent à la gestion de l’urgence sanitaire (finalité vouée à disparaître à la fin de la période légale d’état d’urgence sanitaire) ainsi qu’à des besoins de recherches.

La CNIL insiste sur la nécessité d’informer clairement les personnes de leurs droits. Ce droit à l’information est un droit fondamental garanti non seulement par le RGPD mais également par la Charte des droits fondamentaux (article 11).

6) Des durées limitées (avis de la CNIL)

Là encore, le RGPD vient encadrer l’utilisation des données de santé par les autorités publiques. En effet, conformément au §39 du RGPD, le responsable de traitement doit définir des durées de conservation, limitées au strict minimum. Autrement dit, on ne peut pas conserver indéfiniment des données personnelles.

Ainsi, les données seront conservées pendant une durée de 10 ans à compter de leur collecte, sauf en cas de détection de risques nouveaux. Dans ce deuxième cas, les données seront conservées pendant une durée de 30 ans.

Ces durées sont justifiées par l’objectif de santé publique poursuivie par la collecte.

7) Sur l’information des personnes concernées (article 4 du décret)

Après avoir été invité par la CNIL a précisé la manière dont il entendait informer les personnes concernées, le Gouvernement a indiqué que les personnes répondant aux critères d’éligibilité au VACCIN-COVID, recevront un bon de vaccination comportant une mention d’information conforme aux exigences du RGPD. Chaque professionnel de santé recevra également une note d’information individuelle à ce sujet.

Là encore, le droit fondamental d’information est garanti.

Parallèle avec la politique de Singapour

De l’autre coté de la planète, à Singapour, l’application « Trace Together » (l’équivalent de notre « Tous anti Covid ») fait parler d’elle. En effet, si notre SI « VACCIN-COVID » ou notre application « Tous anti Covid » ne sont utilisés qu’à des fins de pharmacovigilance et/ou de gestion de l’urgence sanitaire, à Singapour la police peut désormais détourner les données collectées par l’application « Trace Together » afin de les utiliser dans le cadre d’enquêtes criminelles.

L’impact de ce détournement est colossal : aujourd’hui, 78 % de la population singapourienne a téléchargé l’application « Trace Together ».

Le succès du téléchargement de cette application est en partie due au fait que le Gouvernement singapourien avait indiqué que ce téléchargement serait probablement obligatoire pour quiconque souhaiterait se rendre dans un lieu public à compter de début 2021.

Singapour peut désormais mettre en place une surveillance de masse de sa population, via une application qui était de prime abord destinée à lutter contre la pandémie de Covid-19.

Si en France et en Union européenne, nous pouvons nous réjouir du nombre de garde fous législatifs et réglementaires qui protègent notre droit à l’information, nos données personnelles et plus généralement, notre vie privée. Il nous faut néanmoins rester attentifs puisque le Gouvernement a déposé le 21 décembre 2020 un projet de loi instituant un régime pérenne de gestion des urgences sanitaires.

Dans ce projet, le Gouvernement prévoit notamment la possibilité « de conditionner l’accès à certains lieux et l’exercice de certaines activités à la réalisation d’un dépistage ou à la prise d’un traitement préventif ou curatif d’un dépistage ou (de) la prise d’un traitement préventif ou curatif ». Si cette disposition venait à entrée en vigueur, la liberté fondamentale de circulation (article 2 de la CESDH), la liberté de réunion (article 11 CESDH) et le droit à l’intégrité de la personne (article 3 Charte des droits fondamentaux) pourraient s’en trouver amoindris.

En tout état de cause, les députés seront consultés, le Conseil constitutionnel sera consulté et ainsi, si ce projet venait à voir le jour, nous pourrions compter sur nos institutions pour venir encadrer et recadrer ces dispositions. Affaire à suivre !

Mise à jour du 22 janvier 2021 :

Pour rappel, dans la lutte contre la COVID-19, le Gouvernement a déployé 4 outils de traitement : les fichiers SI-DEP et Contact COVID, l’application TousAntiCovid et le SI VACCIN-COVID.

Le 21 janvier 2021, la CNIL a rendu un deuxième avis sur les conditions de mise en oeuvre de ces 4 traitements. Elle note notamment :

• Contact COVID :

  • Traitement par la CNAM : des mauvaises pratiques résiduelles subsistent concernant les conditions d’authentification et la traçabilité des données. De plus, les données ne sont pas hébergées chez un tiers habilité à cette fin. Or les données de santé doivent obligatoirement être hébergées chez un tiers certifié.

  • Traitement par les ARS : la CNIL a invité une ARS à se conformer dans un délai d’un mois concernant les mesures de sécurité et durées de conservation. Des courriers de sensibilisation vont être adressés aux ARS sur le sujet.

• TOUSANTICOVID : la CNIL constate la conformité de l’application en matière de protection des données mais urge le Gouvernement à développer des initiatives et des indicateurs permettant d’évaluer pleinement l’effectivité sanitaire du dispositif.

• SI VACCIN-COVID : la CNIL procédera à des contrôles tout au long du mois de janvier 2021 et son prochain avis public fera état des résultats.

La CNIL a également alerté sur d’autres contrôles effectués dans la lutte contre la COVID-19 : les cahiers de rappel, présents dans certains établissements recevant du public. La CNIL a notamment constaté que certains établissements avaient utilisés ces cahiers de rappel à des fins de prospections commerciales, en violation du RGPD. La CNIL a donc issu un rappel à l’ordre à ces établissements.

La CNIL souhaite également rassurer les personnes concernées par les traitements liés à la pandémie en indiquant qu’elle procédera à des contrôles à l’issue de la mise en œuvre de tous ces traitements, pour s’assurer de la suppression effective des données.

Sources :

Décret n° 2020-1690 du 25 décembre 2020 autorisant la création d'un traitement de données à caractère personnel relatif aux vaccinations contre la covid-19

Guide de la vaccination pour les médecins, infirmiers et pharmaciens

Code de la santé publique, Chapitre Ier : vaccinations

RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE dit RGPD

CNIL, 30/12/2020 : la collecte de données dans le cadre de la vaccination contre la Covid-19 : quelles garanties pour les personnes ?

Channel New Asia, 04/01/2021 : Singapore Police Force can obtain TraceTogether data for criminal investigations: Desmond Tan

ZDNet, 04/01/2021, Singapore police can access COVID-19 contact tracing data for criminal investigations

Euronews, 29/12/2020 : Spain to keep registry of citizens who refuse to be vaccinated against coronavirus

Charte des droits fondamentaux

Convention européenne de sauvegarde des droits de l’Homme

CNIL, 21/01/2021 : publication du deuxième avis adressé au Parlement sur les conditions de mise en œuvre de SI-DEP, Contact Covid, Vaccin COVID et TousAntiCovid

La Cour de cassation s’est prononcée pour la première fois sur le fait de savoir si une adresse IP et des fichiers de journalisation pouvaient être considérés comme des  données personnelles ; dans une décision au croisement du droit social et du droit des données personnelles. Elle s’est également penchée  sur la licéité d’une preuve obtenue au moyen de données dont la collecte aurait dû être déclarée à la CNIL. Cette décision est intervenue sous le régime prévu par la Loi Informatique et Libertés du 6 janvier 1978, avant l’entrée en vigueur du Règlement européen sur la protection des données dit « RGPD ». A cette époque, il était obligatoire de déclarer tout traitement de données personnelles à la CNIL. Depuis l’entrée en vigueur du RGPD, cette obligation de déclaration a disparu.

Par cette décision, la Cour de cassation permet aux employeurs de mieux comprendre comment encadrer la collecte d’une preuve informatique en matière de contentieux prud’homal.

• Faits et procédure :

Un salarié avait été licencié par l’AFP pour faute grave, après avoir été accusé d’avoir usurpé l’identité informatique de sociétés clientes. Il aurait usurpé cette identité afin d’envoyer par voie électronique 5 demandes de renseignements à une entreprise cliente et concurrente de l’AFP.

Cependant le salarié remet en cause la licéité des moyens de preuve présentés par l’AFP. En effet, la preuve de la faute à l’origine du licenciement est issue de l’exploitation des fichiers de journalisation conservés sur ses serveurs et de l’adresse IP à partir de laquelle les messages litigieux ont été envoyés, pointant du doigt le salarié en question.

• Solution :

1)  L’adresse IP est une donnée personnelle

Dans un premier temps, la chambre sociale confirme[1] qu’une adresse IP est une information se rapportant à une personne physique identifiable. C’est donc une donnée à caractère personnel, conformément aux articles 2 et 22 de la Loi informatique et libertés du 6 janvier 1978.

De ce fait, la collecte de l’adresse IP par l’exploitation d’un fichier de journalisation constitue un traitement de données personnelles.

Le salarié concerné aurait donc dû être informé de l’existence du traitement.

2) Si l’atteinte est proportionnée, le droit de la preuve peut primer sur le droit au respect de la vie privée

Alors que la liberté de la preuve[2] est un principe fondamental en matière prud’homale, il n’en demeure pas moins que cette dernière doit être collectée de façon loyale.

Par exemple, une preuve est jugée comme déloyale lorsqu’elle porte atteinte à la vie privée d’un salarié. C’est ainsi qu’une preuve provenant d’un dossier identifié comme « personnel » par le salarié ne peut être collectée par l’employeur même si le dossier se trouve sur l’ordinateur professionnel du salarié.

Afin de respecter le principe du respect à la vie privée, l’article 23 de la Loi Informatique et Libertés de 1978 (dans sa version antérieure à l’entrée en vigueur du RGPD), imposait à l’employeur de déclarer à la Commission nationale informatique et libertés (CNIL), l’usage de tout dispositif de contrôle permettant la collecte de données personnelles. Le défaut de déclaration, conduisait à rendre irrecevables les preuves portant sur des données personnelles collectées. En effet, l’objectif de ce dispositif était d’informer les personnes concernées du fait que leurs données étaient traitées, afin qu’elles puissent exercer leurs droits.

Pendant longtemps, ce fut la position adoptée par la Cour de cassation, comme le démontre l’arrêt du 8 octobre 2019[3]. Dans ce dernier, la chambre sociale avait jugé un licenciement sans cause réelle et sérieuse lorsque la faute à l’origine du licenciement, avait été recueilli par un moyen de preuve issu d’un dispositif n’ayant pas fait l’objet d’une déclaration à la CNIL en amont. 

Dans l’arrêt d’espèce, la Cour d’appel de Paris juge tout d’abord que le moyen de preuve n’est pas inopposable, en dépit du défaut de déclaration fait auprès de la CNIL et valide donc le licenciement pour faute grave. Selon les juges, l’adresse IP et les fichiers de journalisation ne sont pas utilisés pour contrôler les salariés et ne correspondent pas un traitement de données personnelles nécessitant une déclaration. De ce fait, le mode de preuve est licite et le licenciement valable. Une telle position de la Cour d’appel est justifiée par un arrêt de la chambre sociale[4], dans lequel il était admis, qu’une messagerie d’entreprise n’étant pas utilisée pour surveiller l’activité des salariés, l’absence de déclaration effectuée auprès de la CNIL ne rendait pas la preuve illicite.

Face à cette décision, la Cour de Cassation casse l’arrêt de la Cour d’appel de Paris et fait preuve d’un tout autre raisonnement.

La Cour de Cassation confirme l’illicéité du moyen de preuve qui aurait dû faire l’objet d’une déclaration préalable. Néanmoins, elle ajoute que l’illicéité d’un tel moyen de preuve n’entraîne pas automatiquement son rejet devant les tribunaux.

La Cour de cassation précise qu’en application des articles 6 et 8 de la Convention de sauvegarde des droits de l’homme et des libertés fondamentales, le juge ne doit pas par défaut rejeter une preuve illicite mais doit l’apprécier en effectuant un contrôle de proportionnalité afin d’évaluer si « l’atteinte portée à la vie personnelle du salarié est justifiée au regard du droit à la preuve de l’employeur ». A noter que la production d’une telle preuve doit être « indispensable à l’exercice du droit de la preuve de l’employeur et que l’atteinte à la vie privée du salarié est proportionnée au but poursuivi ».

La Cour de cassation a également précisé que cet Arrêt Manfrini s’inspirait des décisions rendues par la Cour européenne des droits de l’homme ; notamment des arrêts Barbulescu (CEDH, 5 septembre 2017, n° 61496/08)[6] et Lopez Ribalda (CEDH, 17 octobre 2019, n° 1874/13 et 8567/13) [7]qui ont admis, sur le fondement du droit au procès équitable et du droit à la preuve qui en découle, des moyens de preuve obtenus au détriment du droit à la vie privée.

La chambre sociale de la Cour de cassation considère donc que le droit de la preuve peut justifier le recueil d’une preuve portant atteinte à la vie privée, sous certaines conditions.  

• Apport de l’arrêt :

Par cette décision en date du 25 novembre 2020, la chambre sociale de la Cour de cassation :

- Confirme qu’une adresse IP est une donnée personnelle

- Considère qu’un mode de preuve portant sur des données personnelles peut être accepté, bien qu’il n’ait pas fait l’objet d’une déclaration auprès de la CNIL dès lors que la preuve est indispensable à l’exercice du droit de la preuve de l’employeur et que l’atteinte à la vie privée du salarié est proportionnée.

La décision de l’arrêt Manfrini, démontre que les juges incluent d’avantage les évolutions technologiques, dans leur raisonnement. Ils considèrent que l’utilisation des fichiers de journalisation et de l’adresse IP n’a pas pour seule finalité le contrôle des salariés. Ils admettent ainsi la possibilité d’une sécurisation des systèmes d’informations de l’entreprise.

De plus, comme en dispose le RGPD, lorsqu’un tel traitement a pour objectif la surveillance des salariés, l’employeur doit impérativement informer les personnes concernées (article 13 du RGPD), consulter le Comité Social d’Entreprise (CSE) et tenir un registre de traitement (article 30 du RGPD).

En matière de surveillance, la CNIL recommande même de réaliser une analyse d’impact, afin de déterminer quelles données sont collectées et pour quelles finalités . Il s’avère donc, que la mise en place d’un tel dispositif répond davantage à un besoin de sécurité que de surveillance par l’employeur.

Ainsi, même s’il semble que la décision fasse primer le droit de la preuve sur le respect à la vie privée et la protection des données personnelles, il ne faut pas oublier que l’atteinte à la vie privée du salarié doit impérativement être proportionnée au but poursuivi et que la preuve produite doit être le seul moyen de prouver le bien-fondé de la décision prise par l’employeur à l’égard de son salarié.

C’est par ce même tempérament que la Cour de cassation a admis, il y a quelque mois, que le droit à la preuve pouvait justifier la production en justice d’éléments issus d’un compte privé Facebook d’un salarié. Dès lors, qu’une telle preuve était indispensable à l’exercice de ce droit et que l’atteinte était proportionnée au but poursuivi[5].

Enfin, cette décision est un moyen d’affirmer la disparition de l’obligation de déclaration auprès de la CNIL, issue de la Loi Informatique et Libertés de 1978 et non reprise par le RGPD. Aujourd’hui, lors d’un traitement de données personnelles, le texte européen impose à l’employeur d’informer les personnes concernées et de tenir un registre des traitements des données.

Sources :

-          Arrêt n°1119 du 25 novembre 2020 (17-19.523) - Cour de cassation - Chambre sociale

-          Note explicative de l’arrêt « Manfrini »

-          Règlement général sur la protection des données personnelles

-          Loi Informatique et Libertés

[1] 1ère Civ., 3 novembre 2016, (pourvoi n° 15-22.595, Bull. 2016, I, n° 206)

[2] Soc, 27 mars 2001 (pourvoi n° 98-44.666, Bull. 2001, V, n° 108)

[3] Soc., 8 octobre 2014, (pourvoi n° 13-14.991, Bull. 2014, V, n° 230)

[4] Soc, 1 juin 2017, (pourvoi n° 15-23.522, Bull. 2017)

[5] Soc, 30 Septembre 2020, (n° 19-12.058)

[6] CEDH, 5 septembre 2017, (n° 61496/08)

[7] CEDH, 17 octobre 2019, (n° 1874/13 et 8567/13)

Google avait été identifié comme le moteur de recherche épuré, sobre avec sa page d’accueil vierge de toute publicité apparente et c’est sans doute un peu ironique de constater qu’il est devenu un géant du cookie publicitaire… finalement comme la vérité … la publicité est ailleurs.  

Le 7 décembre 2020, la CNIL a frappé un grand coup, en sanctionnant les deux géants du net Google et Amazon pour non-respect de la réglementation en matière de gestion des cookies pour un montant total de 135 millions d’euros.

En cause ? Le non-respect de la directive européenne ePrivacy, transposée en droit français par la Loi Informatique et Libertés du 6 janvier 1978.

La CNIL semble fort active en cette fin d’année puisqu’elle a également récemment sanctionné le géant de la grande distribution Carrefour pour non-conformité à la Loi Informatique et Libertés ainsi qu’au Règlement général sur la protection des données (RGPD), et ce, à hauteur de 3 millions d’euros.

La CNIL reproche aux deux géants informatiques d’avoir déposé des cookies publicitaires sur les ordinateurs d’utilisateurs du moteur de recherche www.google.fr et de la marketplace www.amazon.fr sans consentement préalable ni information satisfaisante.

Synthèse de ce que l’on retient :

1.       Les conditions pour des cookies conformes au droit de l’Union et au droit français restent les même 

                     i.            Pas de dépôt de cookies publicitaires sans consentement préalable ;

                   ii.            Il faut une information directe, complète, claire et il doit être facile de retirer son consentement ;

                 iii.            Si l’utilisateur refuse le dépôt de cookies alors cette opposition doit être prise en compte.

2.       La compétence de la CNIL réaffirmée en matière de cookies déposés par des entreprises américaines

La CNIL affirme être compétente matériellement car le dépôt de cookies relève de la directive ePrivacy et non du RGPD, dès lors le mécanisme dit du guichet unique, qui aurait pu attribuer une compétence à une autre autorité, n’a pas vocation à s’appliquer.

La CNIL a considéré qu’elle était compétente territorialement car le recours à des cookies est effectué dans le « cadre des activités » des sociétés GOOGLE France et AMAZON France qui constituent chacune un « établissement » sur le territoire français.

3.       La qualification contractuelle est sans effet pour la CNIL 

La CNIL indique que la désignation contractuelle d’une entreprise comme étant un sous-traitant n’a aucune incidence sur son statut juridique vis-à-vis de l’autorité.

Dès lors ce qui est retenu est la réalité des faits : la qualification de responsable de traitement se déduit des faits et non de la qualification contractuelle.

La CNIL, comme tout juge, n’est donc pas tenue par la qualification retenue par les parties dans un contrat.

Faits et procédure :

Après une série de contrôles effectués en ligne sur le site web www.amazon.fr entre décembre 2019 et mai 2020 et sur le site web www.google.fr en mars 2020, la Commission a relevé que des cookies publicitaires étaient automatiquement déposés sur l’ordinateur de l’utilisateur et cela sans action de sa part.

Solution :

La CNIL a considéré qu’en déposant automatiquement des cookies sans information ni consentement préalable, Google et Amazon empêchaient nécessairement les internautes d’exprimer valablement leur consentement.

1)      Qui dit dépôt de cookies publicitaires dit consentement obligatoire

La Commission rappelle que seuls les cookies étant strictement nécessaires au bon fonctionnement du site sont exemptés du consentement de l’internaute. Les cookies déposés par Google et Amazon, n’étant pas essentiels au service, ils ne peuvent être déposés qu’après l’acceptation de l’utilisateur.

L’article 82 de la Loi Informatique et Libertés mis en cause dans ces affaires, dispose très clairement que le dépôt de cookies publicitaires ne peut se faire qu’après l’accord préalable de la personne concernée. Cette obligation de consentement, est d’autant plus renforcée par la définition donnée par le RGPD, selon laquelle le consentement se doit d’être recueilli de façon « libre, spécifique, éclairée et univoque ».

Ainsi la pratique des deux géants du net, de déposer des cookies publicitaires automatiquement à l’arrivée sur leur site était une pratique ne respectant pas le principe du consentement préalable.

2)      Une information claire avant tout

Le gendarme français des données relève aussi le manquement à l’obligation d’informer de façon « claire et complète » (article 82 de la Loi Informatique et Libertés), les utilisateurs de services de communications. Le défaut d’information des deux géants du numérique, se manifestait par l’absence d’informations directes ainsi que par des pratiques d’acceptation et de refus des cookies trop complexes.

·       Il est ainsi reproché à Google de ne pas informer suffisamment les internautes utilisant son moteur de recherche. En effet, malgré la présence d’un bandeau d’informations en pied de page, portant la mention « Rappel concernant les règles de confidentialité de Google », aucune information sur le dépôt automatique de cookies sur le terminal de l’utilisateur ne lui était fourni.

De plus, le droit d’opposition de l’utilisateur n’était pas respecté car malgré le refus de ce dernier, un cookie publicitaire était toujours stocké sur son terminal « l'information fournie par les sociétés ne permettait pas aux utilisateurs résidant en France d'être préalablement et clairement renseignés quant au dépôt de cookies sur leur ordinateur ni, par conséquent, des objectifs de ces cookies et des moyens mis à leur disposition quant à la possibilité de les refuser ».

·       Même constat du côté d’Amazon. De façon similaire, l’autorité de contrôle s’est rendue compte qu’en naviguant sur le site www.amazon.fr, le bandeau d’information ne présentait que d’une manière générale et approximative, les finalités des traceurs déposés, via la mention « En utilisant ce site, vous acceptez notre utilisation de cookies pour offrir et améliorer nos services. En savoir plus ».  Ainsi l’internaute ne pouvait comprendre que les cookies déposés avaient pour objectif de lui proposer de la publicité personnalisée mais surtout qu’il lui était possible de les refuser.

Pire encore, lorsqu’un utilisateur arrivait sur le site www.amazon.fr en ayant cliqué sur une publicité provenant d’un site web tiers (par exemple : une liste de résultats dans un moteur de recherche), le défaut d’informations était encore plus accablant.

La CNIL précise en ce sens :

« A cet égard, à l’article 2 de sa recommandation de 2013, la Commission rappelait notamment que l’information devait être préalable au recueil du consentement mais également visible, mise en évidence et complète. En conséquence, la Commission recommandait aux responsables de traitement de mettre en œuvre un mécanisme de recueil de consentement en deux étapes :

- première étape : l’internaute qui se rend sur le site d’un éditeur (page d'accueil ou page secondaire du site) doit être informé, par l’apparition d’un bandeau : des finalités précises des cookies utilisés ; de la possibilité de s’opposer à ces cookies et de changer les paramètres en cliquant sur un lien présent dans le bandeau ;

- seconde étape : les personnes doivent être informées de manière simple et intelligible des solutions mises à leur disposition pour accepter ou refuser tout ou partie des cookies nécessitant un recueil du consentement : pour l’ensemble des technologies visées par l’article 32-II précité ; par catégories de finalités : notamment la publicité, les boutons des réseaux sociaux et la mesure d'audience. »

3)      La compétence de la CNIL

Google remet en cause la compétence matérielle de la CNIL en vertu du « mécanisme de guichet unique » posé par le RGPD, selon lequel c’est l’autorité de contrôle irlandaise (DPC) en tant qu’autorité « chef de file », qui aurait dû se prononcer. On appelle « autorité chef de file », l’autorité de protection des données du pays où se trouve l’établissement principal de l’entreprise.

Or Google Ireland Limited a son établissement principal en Irlande. En réponse, le régulateur français précise que le mécanisme de guichet unique ne s’applique pas en l’espèce car il ne concerne que les dispositions du RGPD. Or, l’utilisation des cookies est encadrée par la directive e-Privacy, transposée en droit interne par la Loi Informatiques et Libertés.

En ce sens, la CNIL indique notamment :

« L’avis du CEPD du 19 novembre 2020, invoqué par les sociétés dans leur note en délibéré du 2 décembre 2020, corrobore cette analyse dès lors que dans cet avis le CEPD se borne à appeler de ses vœux l’application du guichet unique au futur règlement, preuve qu’en l’état du droit positif, ce mécanisme ne s’applique pas aux dispositions cookies de la directive ePrivacy en vigueur. »

Concernant sa compétence territoriale, la Commission se fonde sur l’article 3 de la Loi précitée, qui dispose que « l'ensemble des dispositions de la présente loi s'appliquent aux traitements des données à caractère personnel effectués dans le cadre des activités d'un établissement d'un responsable du traitement ou d'un sous-traitant sur le territoire français, que le traitement ait lieu ou non en France ». Ainsi le recours aux traceurs est considéré comme une activité de la société Google France qui constitue « l’établissement » sur le territoire français des sociétés Google LLC et Google Ireland Limited et y assure la promotion de leurs produits et services.

Le même raisonnement a été utilisé pour Amazon Europe Core, qui a pour établissement sur le territoire français Amazon France dont l’une des activités est le recours aux cookies. C’est cette même interprétation extensive des traitements effectués « dans le cadre des activités d’un établissement national lorsque le traitement est en partie sous la responsabilité d’un autre établissement présent au sein de l’Union européenne », qui avait était admis dans l’arrêt de la Cour de Justice de l’Union européenne Facebook Ireland Ltd.[1]

4) La responsabilité des traitements

La CNIL a considéré que Google LLC et Google Ireland Limited étaient deux responsables de traitement conjoints dans le cadre du dépôt des cookies sur le site www.google.fr.

Or, la firme de Mountain View a réfuté la responsabilité conjointe de traitement existante entre Google LLC et Google Ireland Limited, et ce notamment pour réduire le montant de la sanction pécuniaire. Elle a considéré que Google LLC, société mère, n’était qu’un sous-traitant car c’était ce qui était stipulé dans le contrat conclu entre Google LLC et Google Ireland Limited.

Cependant ce moyen fut contredit par la CNIL qui releva que les deux entités déterminent ensemble les finalités et les moyens liés à l’usage des cookies, faisant d’elles des responsables de traitement conjoints. La CNIL considère en outre que l’existence d’un contrat de sous-traitance entre Google LLC et Google Ireland Limited établissant que Google LLC n’est qu’un sous-traitant est sans valeur quant à la réelle qualification juridique de Google LLC :

« La formation restreinte considère que (…) malgré la prise d’effet du contrat de sous-traitance le 22 janvier 2019, la société GOOGLE LLC continue de jouer un rôle fondamental dans l’ensemble du processus décisionnel portant sur le traitement en cause. Elle détermine également les moyens du traitement étant donné que, comme évoqué ci-avant, c’est elle qui conçoit et construit la technologie des cookies déposés sur les terminaux des utilisateurs européens. Dès lors, la formation restreinte retient qu’il convient de lui attribuer également la qualité de responsable du traitement. »

5) Un bras de fer qui se poursuit …

C’est une véritable première car aucune autorité européenne n’avait sanctionné d’un tel montant un manquement aux règles encadrant le dépôt de cookies.

Google LLC est ainsi condamnée au paiement d’une amende de 60 millions d’euros et sa filiale Google Ireland Limited à une amende de 40 millions d’euros au motif d’un manquement aux principes de consentement, d’information et d’opposition en matière de dépôt de cookies.

Amazon est quant à elle, sanctionnée à payer 35 millions d’euros pour dépôt de traceurs sans consentement de l’utilisateur et cela peu important sa provenance.

La Commission justifie les montant des sanctions par le fait que Google en tant que principal moteur de recherche dispose d’une part de marché supérieure à 90% en France. De ce fait, alors que ces pratiques ont affecté près de 50 millions d’utilisateurs, Google a enregistré d’énormes bénéfices grâce aux « revenus publicitaires indirectement générés à partir des données collectées par ces cookies publicitaires ». Pour le porte-parole de la firme de Mountain View la décision de la CNIL « fait l'impasse sur les efforts du groupe en matière de transparence et de protection des utilisateurs. (…) Elle ne prend pas en compte le fait que les règles et les orientations réglementaires françaises sont incertaines et en constante évolution. (…) Nous poursuivons nos échanges avec la Cnil ».

De son côté Amazon dispose d’une part de marché de 20% en France. Ainsi le dépôt de cookies non consentis a permis au site d’e-commerce d’augmenter grandement sa visibilité et donc la consultation de ses produits. La firme d’e-commerce exprime aussi son désaccord, en affirmant que : « La protection des données personnelles de nos clients a toujours été une priorité absolue pour Amazon. Nous mettons continuellement à jour nos pratiques en matière de protection des données personnelles afin de garantir que nous répondions aux besoins et aux attentes en constante évolution des clients et des autorités de régulation et que nous nous conformions pleinement à toutes les lois applicables dans chacun des pays où nous opérons ».

Depuis Septembre 2020, la CNIL a relevé que le dépôt de cookies publicitaires sans le consentement des utilisateurs, n’est plus pratiqué par les deux géants. Cependant le bandeau d’information ne permet toujours pas de comprendre clairement les finalités des cookies publicitaires et notamment dans le cas de Google, la possibilité pour les internautes de refuser les traceurs.

Ainsi malgré les contestations des deux protagonistes à l’encontre des sanctions allouées à leur encontre, le temps est compté car ils ne disposent que de 3 mois pour se conformer aux exigences de la CNIL. A défaut ils s’exposeront à une pénalité de 100 000 euros par jour de retard.

Google et Amazon pourront ainsi s’aider des lignes directrices de la CNIL du 1er octobre 2020 ainsi que des recommandations portant sur l’usage des cookies et autres traceurs, afin de se conformer aux obligations en matière de publicité ciblée.

A noter que la nouvelle règlementation impose aux sites web d’afficher un bouton « tout accepter » et « tout refuser » lors du recueil du consentement aux cookies. Attention, à partir du 1er Avril 2021, la CNIL n’hésitera pas à sanctionner tout manquement à ces règles !

Retrouvez nos analyses sur les recommandations de la CNIL en matière de dépôt de cookies ainsi que les jurisprudences applicables :

Alerte publicité en ligne : la CNIL dit stop au dépôt de cookies sauvages

La réponse du Conseil d’état, en opposition à celle de la CJUE

Brève actu sur la décision CJUE, 1er oct. 2019, Planet49

Les décisions de la CNIL :

Décision CNIL/ Google LLC et Google Ireland Limited

Décision CNIL/Amazon Europe Core

[1] CJUE, 5 juin 2018, C-210/16

Si certains avaient encore des doutes sur les risques financiers auxquels les expose un manquement au RGPD et à la Loi Informatique et Libertés, la CNIL vient d’établir clairement ses exigences en la matière, faute de quoi, des amendes à 7 chiffres peuvent pleuvoir.

En effet, elle vient de sanctionner avec fermeté les sociétés Carrefour France et Carrefour Banque, à hauteur de 2 250 000 d’euros et 800 000 euros.

Les faits reprochés sont une synthèse de mauvaises pratiques :

- Des sites web aux mentions d’information longues et compliquées ;

- Des cookies publicitaires déposés automatiquement sur les terminaux des visiteurs de leurs sites web ;

- Des durées de conservation annoncées mais pas respectées, couplées à des données obsolètes conservées pendant plus de 5 ans ;

- Des difficultés d’exercice des droits liées à l’exigence injustifiée et constante d’une pièce d’identité ;

- Des droits bafoués avec des données non supprimées malgré les demandes ;

- Des catégories de données collectées sans en informer les personnes concernées.

Ce que l’on en retient ?

La CNIL semble avoir pris le groupe Carrefour pour exemple afin d’établir une feuille de route des mauvaises pratiques. Les organismes traitant des données personnelles sont invités à prendre au sérieux les exigences du RGPD et à adopter un comportement transparent et loyal à l’égard de leurs clients et prospects, sous peine de s’exposer à des amendes records.   

Ces décisions invitent les organismes à repenser leur organisation et à rationaliser leur traitement des données personnelles, ainsi qu’à simplifier le vocabulaire juridique qu’ils utilisent pour garantir une information claire, concise et lisible.

Revenons en détails sur les faits reprochés aux sociétés Carrefour France (grande distribution) et Carrefour banque (secteur bancaire).

Faits et Procédure

Tout d’abord, pourquoi les sociétés Carrefour France et Carrefour Banque ont été contrôlées et donc sanctionnées par la CNIL ?

Tout simplement parce que la CNIL a été saisie de pas moins de 15 plaintes à leur encontre.

Ces plaintes concernaient la collecte de données personnelles via les sites www.carrefour.fr et www.carrefour-banque.fr ainsi que via l’adhésion au programme de fidélité et à la carte Pass du Groupe Carrefour.

La CNIL a alors effectué des contrôles en ligne et des contrôles sur place, entre mai et juillet 2019.

Solution

1. La fin des formules illisibles

L’information fournie n’était ni facilement accessible (i) ni facilement compréhensible (iii) et elle était incomplète/insuffisante s’agissant des durées de conservation, des transferts de données hors UE et de la base légale de traitement (iii).

La CNIL souligne le fait que les mentions d’information étaient trop longues, rédigées dans des termes généraux et imprécis et avec des formules inutilement compliquées.

Cette décision est donc dans la lignée de la sanction de 50 millions d’euros prononcée par la CNIL à l’encontre de Google en janvier 2019.

2. Un rappel classique de l’obligation d’obtenir l’acceptation préalable au dépôt de cookies publicitaires

Des cookies étaient automatiquement déposés sur le terminal des internautes visitant les sites www.carrefour.fr et www.carrefour-banque.fr. Pourtant, le consentement est obligatoire dès lors qu’il ne s’agit pas de cookies purement techniques et nécessaires au bon fonctionnement du site internet. En ce sens, la CNIL semble considérer que les cookies Google Analytics ne peuvent jamais s’apparenter à des cookies nécessaires et que l’internaute doit donc avoir la capacité de les accepter ou de les refuser.

Les entreprises sont donc invitées à revoir au plus tôt leur gestion des cookies à la lumière des dernières recommandations de la CNIL (voir notre article sur le sujet) ; si elles ne souhaitent pas elles aussi être sanctionnées pour dépôt de cookies sans consentement préalable.

3. Fixer des durées c’est bien, s’y tenir c’est mieux !

Si les entreprises sont parfois invitées à arbitrer elles-mêmes les durées de conservation à mettre en place (notamment en l’absence d’une durée de conservation légale) ; encore faut-il le faire de manière pragmatique et opérationnelle.

La question à se poser est alors la suivante : pendant combien de temps ai-je réellement besoin de ces données au regard de mon utilisation ? Est-ce raisonnable au regard du risque que cela représente en matière de protection des données ?

 En ce sens, la CNIL a considéré que la durée de conservation de 4 ans des données clients après leur dernier achat telle qu’établie par Carrefour était une durée excessive.

Les entreprises doivent donc mettre à jour leur durée de conservation à la lumière de cette information.

En outre, Carrefour ne respectait pas les durées qu’elle avait elle-même fixées. La CNIL a notamment constaté que les données de plus de 28 millions d’utilisateurs inactifs depuis 5 à 10 ans étaient toujours conservées.

Enfin, dans le cadre de l’exercice de droits, la CNIL a constaté que Carrefour conservait pendant 1 à 6 ans les justificatifs d’identité. Or, l’autorité de contrôle considère que rien ne justifie la conservation des pièces d’identité dès lors que la demande a été traitée.

Qu’en est-il de l’archivage intermédiaire à des fins contentieuses ? Dans le cadre de l’exercice des droits, la CNIL considère qu’il est pertinent de conserver simplement le courrier de réponse favorable, car ce courrier présente moins de risque pour la personne concernée que la conservation de son justificatif d’identité.

Ainsi, si vous annoncez une durée de conservation, assurez-vous de vous y tenir en pratique et que cette durée soit bien justifiée au regard de la finalité du traitement !

4. Un rappel de l’obligation de faciliter l’exercice des droits

Comme en matière de cookies, la CNIL a rappelé qu’il doit être aussi facile de consentir au traitement de ses données que de le refuser.

Or, dans le cadre de Carrefour, toute demande d’exercice des droits (sauf pour l’opposition à une prospection commerciale) était soumise à la communication d’une pièce d’identité alors même que ce n’était pas nécessaire.

Il faut donc élargir les moyens de vérification de l’identité de la personne concernée en acceptant par exemple tout moyen permettant de justifier de son identité, autrement que sa pièce d’identité. Par exemple : une double authentification via un envoi de SMS + email.

De plus, Carrefour ne respectait pas le délai d’1 mois pour répondre aux demandes d’exercices de droits. Il est donc recommandé de repenser son organisation et d’allouer les moyens humains et financiers permettant de répondre dans les temps aux demandes d’exercice de droits et ainsi garantir l’effectivité des droits.

5. Un rappel de l’obligation de garantir l’effectivité des droits            

Le renforcement des droits des personnes dont les données sont traitées est une des grandes nouveautés du RGPD et la CNIL n’a pas manqué de le souligner lors de ses décisions contre le Groupe Carrefour.

Notamment, il était reproché à Carrefour de ne pas avoir répondu à des demandes de personnes souhaitant accéder à leurs données (droit d’accès) ; de ne pas avoir procédé à l’effacement de données malgré des demandes (droit à l’effacement) ou encore de ne pas avoir pris en compte les demandes d’opposition à l’envoi de SMS ou courrier électronique (droit d’opposition). En effet, des internautes ayant exprimé leur opposition à la prospection commerciale avaient vu leur demande ignorée.

A cette occasion, la CNIL a considéré que la société Carrefour aurait dû traiter les différentes demandes au jour le jour, afin d’être sure qu’aucune ne soit oubliée.

6. Absence de collecte loyale des données en cas d’imprécision         

Dans le cadre de sa décision contre Carrefour Banque, la CNIL a souligné que celle-ci avait manqué de loyauté envers ses clients car elle ne les avait pas clairement informés du partage des données avec l’entité Carrefour France. De plus, lors de la souscription à la carte Pass, Carrefour Banque indiquait ne collecter que les données relatives au nom, prénom et email alors qu’en réalité elle collectait également les adresses postales, numéro de téléphone et nombre d’enfants des personnes ayant souscrits.

Il faut donc être précis lorsque l’on indique les catégories de données collectées et ne pas se contenter de formules générales.

La CNIL n’a pas assorti ses sanctions d’une injonction car elle a constaté que depuis les contrôles, les sociétés Carrefour avaient fourni des efforts importants pour se mettre en conformité sur tous les manquements constatés. Elles ont notamment mis à jour les fonctionnalités de leurs sites web, refondu leurs parcours de souscription, et précisé leurs mentions d’information.

Nous retenons que cette décision est dans la continuité de la célèbre sanction Google où la CNIL avait souligné la complexité d’accès à l’information dans le parcours client.

Sources :

Délibération de la formation restreinte n° SAN-2020-008 du 18 novembre 2020 concernant la société CARREFOUR France

Délibération de la formation restreinte n° SAN-2020-009 du 18 novembre 2020 concernant la société CARREFOUR BANQUE

Résumé des délibérations de la CNIL

La version 2.0 de l’application « Stop Covid » vient d’être annoncée ce 22 octobre par le Gouvernement. L’application de traçage des cas contacts se fait une nouvelle santé afin de lutter contre la propagation du virus Covid-19.

En effet alors que sa précédente version a fait un vrai flop (voir notre article ici), ne comptabilisant que 2,6 millions téléchargements depuis le mois de juin, « Tous AntiCovid » se dote de nouvelles fonctionnalités, pour une meilleure utilisation.

• Rappel sur le fonctionnement de l’app

Comme son prédécesseur, « TousAntiCovid » est un dispositif d’alerte permettant de tracer les contacts de l’utilisateur, afin d’identifier les chaînes de contamination et donc de l’avertir lorsqu’il a été en contact avec des personnes ayant été testées positives au virus.  

L’application mobile qui est toujours basée uniquement sur le volontariat, utilise la technologie  Bluetooth et n’a donc pas recours à la géolocalisation. De ce fait, seuls les utilisateurs ayant téléchargé et activé l’application pourront s’échanger des informations.

Tout comme « Stop Covid », l’application est conçue à partir du protocole « Robert » qui suit la logique de minimisation des données et de protection dès la conception.

• Les nouveautés de l’app  

« TousAntiCovid » se veut être un centre d’informations pour les français. L’’application dispose désormais d’actualités, qui sont mises à jour en fonction de l’évolution de la pandémie.

De plus, l’application met à disposition des utilisateurs, des liens vers des outils numériques, telles qu’une carte des lieux où il est possible de se faire tester ainsi que les attestations de déplacement dérogatoire. Cependant l’application ne dispose pas encore de QR Code à scanner à l’entrée des restaurants pour s’enregistrer ni permettant de prendre un rendez-vous afin de se faire tester directement. 

• Ce qu’en pense la CNIL :

Dans son analyse la CNIL conclut que la nouvelle version de l’application mobile n’apporte pas de réelles modifications concernant le traitement des données personnelles.  Ainsi la CNIL ne devrait pas se saisir afin d’en faire un contrôle approfondi. Comme souligné dans son avis rendu en septembre dernier, l’application mobile de traçage est respectueuse des données personnelles et toutes les préconisations demandées par l’autorité de régulation ont été prises en compte.

Cependant la CNIL reste vigilante et met un point d’honneur à ce que le principe relatif à la vie privée des utilisateurs soit respecté par cette nouvelle version.  C’est pourquoi, en fonction des évolutions à venir de l’application et notamment concernant des modifications du traitement des données personnelles, la Commission envisage d’effectuer des contrôles.

Le plus grand défi reste sans surprise le même qu’avec « Stop Covid » : cette nouvelle application sera-t-elle assez convaincante pour que les français la téléchargent et surtout, l’utilisent ?

Cédric 0, Secrétaire d'État chargé du Numérique adresse en ce sens des mots d’encouragements aux français : « Nous avons besoin de vous, (...) téléchargez-la” expliquait-il, parce qu’elle “n’est utile que si nous sommes très nombreux à le faire”.

Retrouvez l’analyse complète de la CNIL juste ici : https://www.cnil.fr/fr/tousanticovid-la-cnil-revient-sur-levolution-de-lapplication-stopcovid

RAPPEL DU CONTEXTE : feuilleton interminable… ou presque

Depuis 2013, ce sujet est récurrent dans les tribunes de la CNIL qui publie régulièrement des recommandations. Depuis l’entrée en vigueur du RGPD, les choses ne se sont pas simplifiées. Dans ce cadre, la CNIL a publié ses lignes directrices en matière de cookies le 4 juillet 2019 (règles applicables). En janvier dernier, elle a publié un projet de recommandation des modalités pratiques du recueil de consentement conforme aux règles applicables, ouvert à consultation publique.

La CNIL a adopté la version finalisée le 17 septembre 2020, version révélée aujourd’hui, 1er octobre 2020.

Ni prescriptive ni exhaustive, cette recommandation a pour but de guider les professionnels ayant recours aux cookies afin qu’ils recueillent le consentement des internautes en bonne et due forme.

2 objectifs affichés :

• Clarifier la situation en orientant les acteurs sur le cadre applicable ;

• Informer l’internaute sur le contrôle qu’il peut exercer sur ces traceurs.

Quelles sont les principales avancées de cette recommandation ?

·         Adieu les cookies walls : désormais, le simple fait de continuer sa navigation sur un site internet ne vaudra pas consentement au dépôt de cookies.

Consentement : l’internaute doit consentir au dépôt de cookies par un acte positif clair, tel que le fait de cocher une case « accepter le dépôt des cookies ».

Réciprocité : aussi simple d’accepter et de refuser ! Le retrait du consentement doit être accessible facilement et à tout moment pour l’internaute. Le refus du dépôt de cookies doit être aussi facile d’accès que l’acceptation du dépôt de cookies.

Informations : les internautes doivent être clairement informés de l’intérêt d’installer chaque cookie et des conséquences en cas de refus ou d’acceptation. Les internautes doivent également être informés de l’identité des acteurs utilisant les traceurs.

·         Les acteurs exploitant ces traceurs doivent pouvoir prouver à tout moment qu’ils ont recueilli un consentement libre, éclairé, spécifique et univoque de l’internaute.

Quels sont les conseils ergonomiques de la CNIL ?

 1. Sur le consentement

La CNIL recommande vivement aux acteurs de proposer 2 boutons dès le premier stade d’information :

- un bouton tout accepter

- un bouton tout refuser

Elle recommande également de prévoir 1 bouton permettant de consentir ou refuser, finalité par finalité, au deuxième niveau d’information. Exemple : j’accepte le dépôt de cookies à des fins statistiques mais je refuse le dépôt de cookies à des fins publicitaires.

2. Sur l’information

La CNIL propose l’illustration suivante pour informer les internautes des finalités de dépôt de cookies. Elle recommande de le faire au premier niveau d’information :  

POLITIQUE COOKIES

Publicité personnalisée : (nom de votre site/application et des sociétés partenaires) utilise(nt) des traceurs dans le but de mesure l’audience de la publicité (nom de votre site) sans vous profiler.

La CNIL recommande ensuite de mettre en place un bouton de menu déroulant permettant à l’internaute d’obtenir plus de détails sur les finalités du dépôt. Par exemple, le fait que la publicité personnalisée permette de ne pas présenter de manière trop répétitive une même publicité à un internaute.

Pour encore plus de transparence, le responsable de traitement peut également indiquer les catégories de données collectées.

3. Sur la durée de conservation de l’acceptation ou du refus de dépôt de cookies

La CNIL suggère aux acteurs de conserver le refus de l’internaute « pendant un certain temps » afin de ne pas le réinterroger à chaque connexion au site internet.

Elle recommande également de ne plus afficher le bandeau « cookies » au bout d’un laps de temps court de navigation dès lors que l’internaute n’a pas manifesté son choix d’accepter le dépôt de cookies. L’apparition de ce bandeau pourrait conditionner le confort de navigation de l’internaute et le pousser à accepter le dépôt de cookies.

Enfin, elle considère que le fait de conserver l’acceptation ou le refus pendant une durée de 6 mois constitue une bonne pratique de la part des éditeurs.

4. Sur le retrait du consentement

Un lien accessible à tout moment sur le service concerné afin de retirer ce consentement serait une bonne pratique pour permettre à l’internaute de retirer facilement son consentement.

5. Sur la preuve du recueil conforme du consentement

Cette preuve pourrait notamment être une capture d’écran du site ou de l’application, horodatée, pour chaque version.

Quels sont les traceurs exemptés du recueil du consentement ?

-          Les traceurs destinés à s’authentifier auprès d’un service

-          Ceux destinés à garder en mémoire le panier d’achat de l’internaute sur un site marchant

-          Certains traceurs de statistiques de fréquentation

Cette liste n’est pas exhaustive et a vocation à simplement donner des illustrations en la matière.

La CNIL indique que le délai de mise en conformité est de 6 mois. Autrement dit, à compter de mars 2021, la CNIL pourra faire des contrôles et sanctionner les organismes qui ne se conforment pas aux nouvelles règles de protection !

Pour lire la recommandation c’est par ici !

Retrouvez nos articles sur cette saga cookies :

La réponse du Conseil d’état, en opposition à celle de la CJUE

Brève actu sur la décision CJUE, 1er oct. 2019, Planet49

Ainsi que notre infographie sur la meilleure recette de cookies pour être conforme :



Principe général : l’obligation de sécurité de l’employeur 

L’employeur doit prendre les mesures nécessaires « pour assurer la sécurité et protéger la santé physique et morale des travailleurs » (article L. 4121-1 du Code du travail).

Le salarié doit prendre soin de sa santé et de sa sécurité ainsi que de celles des autres personnes concernées par ses actions ou omissions au travail, en fonction des instructions données par l’employeur (article L. 4122-1 du Code du travail).

Ce qu’en dit la CNIL 

La CNIL rappelle que seul le personnel de santé compétant, tel que la médecine du travail, peut procéder aux tests médicaux, sérologiques ou de dépistage et que ce personnel est soumis au secret médical.

Ainsi l’employeur, n’a accès qu’à l’éventuel avis d’aptitude ou d’inaptitude à reprendre le travail, tel qu’émis par le professionnel de santé[1].

Ce qu’en dit le Ministère du travail 

Le Ministère du travail a publié le 17 septembre 2020 une mise à jour du protocole national sanitaire pour assurer la santé et la sécurité des salariés face à l’épidémie de COVID-19 dans lequel il précise que les seules campagnes pouvant être menées auprès des salariés sont celles décidées par les autorités sanitaires. Des campagnes de tests par les entreprises ne peuvent être envisagées pour le moment[2].

Ce qu’en dit la Haute autorité de santé 

La Haute autorité de santé précise notamment concernant l’usage des tests sérologiques COVID-19 que : « il est primordial que ces tests ne soient utilisés qu’à des fins médicales, dans le cadre d’une prise en charge individuelle. Des utilisations à des fins collectives, telles que l’organisation du travail au sein d’une entreprise ou l’aide au déconfinement, ne sont pas envisageables. »

[1] https://www.cnil.fr/fr/coronavirus-covid-19-les-rappels-de-la-cnil-sur-la-collecte-de-donnees-personnelles-par-les

[2] p.13 https://travail-emploi.gouv.fr/IMG/pdf/protocole-national-sante-securite-en-entreprise.pdf

Saisi d’un recours dirigé contre la sanction infligée par la CNIL à Google, le Conseil d’État confirme, par une décision du 19 juin 2020, que la société n’a pas délivré une information suffisamment claire et transparente aux utilisateurs du système d’exploitation Android et ne les a pas mis à même de donner un consentement libre et éclairé au traitement de leurs données personnelles aux fins de personnalisation des annonces publicitaires. Le Conseil d’Etat estime par ailleurs que la sanction de 50 millions d’euros n’est pas disproportionnée.

En cette période d’état d’urgence sanitaire lié à l’épidémie du Covid-19, l’objectif des pouvoirs publics est de limiter la propagation du virus.   

Le dispositif déployé par le Gouvernement dans cet optique est large, et n’est pas seulement limité à l’application Stop Covid, car elle couvre aussi les fichiers SI-Dep et Contact Covid. 

Le fichier SI-DEP nommé « Système d’Informations de DEPistage » est une base de données enregistrant les résultats des laboratoires des tests effectués par les laboratoires ainsi que les établissements hospitaliers.  

Le fichier Contact Covid est quant à lui, une aide apportée aux professionnels de santé, les permettant de prendre en charge les cas infectés par le virus. 

Ces outils numériques ont donc pour but d’identifier le plus rapidement possible, les personnes contaminées, celles qui sont susceptibles d’avoir contaminé ainsi que les chaînes de contamination. 

La star de ce plan de déconfinement reste Stop Covid qui est une application mobile de traçage de contacts de l’utilisateur, ayant pour objectif d’identifier les chaines de contamination et de les avertir lorsqu’ils ont été en contact avec des personnes ayant été testés positif au virus.  

Il s’agit d’une application sans tracking qui est basé uniquement sur le volontariat. Ainsi seulement les personnes ayant téléchargé puis activé l’application sont aptes à s’échanger des informations.  

Ce dispositif d’alerte utilise la technologie du Bluetooth et n’a donc pas recours à la géolocalisation. 

Cependant, contrairement à ce qui est dit par les fervents défenseurs de l’application, les données ne sont pas anonymes.  

C’est en effet, ce que la CNIL rappelle dans une FAQ qui vient d’être publiée : les informations traitées ne sont pas « anonymisées» au sens du RGPD.  

Il est plus exacte de parler de pseudo : tout au long de l’utilisation de l’application, une liste de pseudonymes temporaires des appareils « croisés » les derniers 14 jours, est stocké dans le smartphone de l’utilisateur. Aucun fichier des contacts personnels, ni de personnes atteintes du virus ne devrait donc être constitué.  

L’utilisateur contaminé aura le choix de faire remonter les données pseudonymisées de ses contacts vers un serveur central et sera invité à consulter un médecin.  

Ce qu’en pense la CNIL 

Saisie en amont de la mise en place, la CNIL a rendu 2 avis favorables les 24 avril 2020 et 25 mai 2020 sur :  

• la mise en oeuvre de l’application « Stop Covid » ; et  

• l’encadrement juridique des fichiers SI-Dep et Contact Covid.  

Dans ses avis la CNIL, constate que « ses principales recommandations ont été prises en compte et estime ainsi que ce dispositif temporaire, basé sur le volontariat, peut légalement être mis en œuvre ».  

Quelques réserves sont maintenues par la Commission :  

• sur la nécessité d’offrir de meilleures garanties aux utilisateurs s’agissant des conditions d’utilisation et des modalités d’effacement des données personnelles ainsi qu’établir un fondement législatif beaucoup plus explicite ;  

• sur l’importance du suivi des données des personnes vulnérables que sont les mineurs ;  

• ainsi que de confirmer le droit d’opposition et le droit d’effacement des données pseudonymisées enregistrées, dans le décret à venir.  

Enfin, la CNIL souligne que la durée de vie de l’application ne doit pas excéder les 6 mois suivant la date de fin de l’état urgence sanitaire (en principe arrêté au 10 juillet 2020). Elle réclame aussi au Gouvernement, le libre accès et dans son intégralité au code source.  

Ce que contrôle la CNIL  

Deux jours seulement après la sortie de l’application StopCovid et avec le cap du million d’utilisateurs franchi quelques jours après, l’Autorité administrative se lance dans un contrôle à posteriori afin de vérifier sur le terrain, le bon fonctionnement des dispositifs mis en place. 

Le but ? Simple, vérifier que ses recommandations concernant les modalités de recueil du consentement et d’information des personnes ont été respectées.  

Le CNIL sera donc très vigilante sur les droits d’accès et d’opposition des personnes, tout comme sur les dispositifs de sécurité mis en place afin de protéger les flux de données. 

Ces contrôles débuteront dès le mois de juin et continueront pendant toute la période d’utilisation des fichiers, jusqu’à la fin de leur utilisation et de la suppression des données collectées. 

Ils seront effectués sur le terrain, c’est-à-dire dans les locaux de la Caisse Nationale de l’assurance maladie (CNAM) et du ministère des Solidarités et de la Santé. Mais aussi en ligne pour l’app StopCovid, ainsi que par le biais de questionnaires et de demandes de documents. 

La Commission met en garde sur sa volonté le cas échéant d’adopter des mesures correctrices telles que des mises en demeure et/ou des sanctions en cas de non-respect de ces points de façon grave ou répété. 

La réalisation de ces contrôles sera utile afin d’alimenter le rapport communiqué par le Gouvernement au Parlement effectué tous les trois mois concernant la mise en œuvre des systèmes d’information développés pour lutter contre la propagation de l’épidémie (article 11 de la loi n° 2020-546 du 11 mai 2020 prorogeant l’état d’urgence sanitaire). 

Il s’agit là du premier chapitre d’une longue saga sur la gestion de crise mêlant à la fois les questions de vie privée et de sécurité.  

Sources  

CNIL, L’application mobile StopCovid en questions, 5 juin 2020 

CNIL, SI-DEP, Contact Covid et StopCovid : la CNIL lance sa campagne de contrôles, 4 juin 2020 

Le Brief, La CNIL rappelle que StopCovid n'est pas anonyme, Cédric O évoque « 1 million » d'utilisateurs (ou d'activations), 8 Juin 2020, Next Inpact

Le démarchage abusif est une inconvenance pour la plupart des Français à laquelle la liste d’opposition Bloctel ne répond que partiellement. Par une décision du 26 novembre, la CNIL entend contribuer à la solution en infligeant ainsi une amende de 500 000 euros à une entreprise qui se livrait à cette pratique.

Retour sur cette décision et ses retombées pratiques pour les entreprises qui utilisent ce mode de démarchage.

Les faits

La société en cause est spécialisée dans l’isolation thermique des domiciles des particuliers. C’est dans le cadre de son activité qu’elle effectuait, au travers de plusieurs centres d’appels, des campagnes de prospection téléphonique.

L’affaire commence par une plainte auprès de la CNIL. Une personne disait être démarchée très régulièrement par cette société, même après avoir indiqué oralement ne plus vouloir être appelée et qu’elle avait également exercé son droit d’opposition par courrier.

Un contrôle dans les locaux de l’entreprise a révélé que non seulement d’autres particuliers étaient dans la même situation, mais aussi divers manquements allant de commentaires injurieux sur les clients dans des zones de commentaires à l’encadrement insuffisant des transferts de données personnelles vers l’étrangers.

L’entreprise ne s’étant pas mise en conformité après une mise en demeure d’octobre 2018, restait seule la voie de la sanction.

La décision

La formation restreinte de la CNIL a pu constater 5 manquements au RGPD :

• L’absence de prise en compte du droit d’opposition des personnes. En effet, aucune procédure ne permettait de s’assurer efficacement que les personnes s’étant opposées au démarchage téléphonique ne soient plus appelées (arts 12 et 21 du RGPD) ;

• La présence de données non pertinentes consistant en des commentaires injurieux ou en lien avec la santé des personnes dans le fichier client de la société (art. 5-1-c) du RGPD) ;

• L’information insuffisante des personnes démarchées sur le traitement de leurs données personnelles et les droits dont elles bénéficient (art. 13 du RGPD);

• Le défaut de coopération avec la CNIL (art. 31 du RGPD) ; et

• L’encadrement insuffisant des transferts de données personnelles vers des prestataires situés hors de l’Union européenne, les centres d’appel étant pour beaucoup situés en Afrique du Nord (art. 44 du RGPD).

C’est sur la base de ces manquements, dont elle souligne le nombre, la persistance et la gravité, que la CNIL prononce une injonction de se mettre en conformité avec astreinte de 500 euros par jour de retard, ainsi qu’une amende de 500 000 euros à la société.

Ce qu’il faut en retenir

Dans cette délibération, la CNIL raffermit sa position et envoie 3 messages importants.

1. Les sanctions élevées ne seront pas réservées aux plus grandes entreprises ou aux multinationales. Les entreprises tentées de ne pas se mettre en conformité en se justifiant par leur petite ou moyenne taille sont désormais averties du pouvoir des plaintes venant du public, qui peuvent déclencher un contrôle.

2. Les entreprises spécialisées dans le démarchage, sous toutes ses formes, sont fortement encouragées à se mettre en conformité, car la CNIL entend ouvertement se tourner en priorité vers les sujets qui affectent le plus la vie quotidienne des particuliers.

3. Le comportement des entreprises lors de la procédure sera pris en compte au moment de la sanction. En l’espèce, l’entreprise refusait de coopérer avec la CNIL et avait tenté de se justifier, sans succès, par la mauvaise qualité des conseils qu’elle avait engagés. Raison de plus de montrer patte blanche lors d’un éventuel contrôle.

Sources :

• https://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000039419459

• https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679

• https://www.cnil.fr/fr/futura-internationale-sanction-de-500-000-euros-pour-demarchage-telephonique-illegal

En avril dernier, plus de 200 personnes ont assigné Enedis pour s’opposer à l’installation d’un compteur électrique Linky ou en demander le retrait. Elles estimaient que l’installation de ce compteur à leur domicile constituait un trouble manifestement illicite notamment basé sur la violation de l’article article 5, 1, a du RGPD qui impose un traitement licite, loyal et transparent des données à caractère personnel collectées. Les demandeurs invoquaient l’absence de recueil du consentement et le manque de transparence d’Enedis (responsable de traitement).

Le juge a rejeté leur demande. Selon lui, « la société Enedis établit qu’elle s’est soumise au contrôle de la CNIL, tant au stade de la conception du compteur “Linky” qu’au cours de son test, puis de son déploiement ».

Dans ses recommandations, la CNIL avait notamment sollicité que : les dispositifs de comptage soient conformes à des référentiels de sécurité approuvés par le ministre chargé de l'énergie, que la courbe de charge ne puisse être collectée que lorsque des problèmes d'alimentation ont effectivement été détectés ; que les paramètres de réglage des compteurs soient, par défaut, les plus protecteurs possible pour les usagers ou encore que les compteurs doivent pouvoir être mis à jour afin de rester en permanence à l'état de l'art.

Pour le magistrat, la société semble avoir suivi ces recommandations puisqu’il constate que « les compteurs “Linky” assurent une anonymisation des informations pendant leur transmission, d’une part par leur cryptage, et d’autre part par l’absence de toute référence d’identification nominative, ce qui a été confirmé par l’étude effectuée par la CNIL au terme de la période de test ».

Le juge s’est ainsi basé sur l’étroite collaboration de la société Enedis avec la CNIL aussi bien en amont du projet qu’au moment de sa réalisation pour relever la conformité du dispositif.

Il faut sans doute retenir que les démarches proactives qui visent à prendre en compte la protection des données personnelles dès la conception du projet sont essentielles. Elles favorisent la bonne réussite du projet et sa conformité à la réglementation (privacy by design & by default).

Une fois la conformité établie et documentée en amont le responsable de traitement pourra implémenter un projet de manière sécurisée en limitant les risques d’engagement de sa responsabilité. En outre, pouvoir documenter sa conformité aussi bien envers ses clients, ses prestataires ou encore la CNIL est vecteur de compétitivité, de confiance et renforce ainsi l’image professionnelle de votre entité.