Entre les nouvelles conditions d’utilisation de l’application de messagerie WhatsApp et le bannissement du futur ex-Président américain de la majorité des réseaux sociaux, les modalités d’utilisation des plateformes numériques sont remises en cause.

En principe, chaque site Internet qu’il soit marchand ou non, doit se doter de Conditions générales d’utilisation (CGU). Ce document permet de définir et d’encadrer les modalités d’accès et de navigation du site web, de déterminer les droits et obligations de chaque acteur interagissant sur le site ainsi que les sanctions en cas de non-respects des règles prescrites.

Pour rappel, la rédaction de CGU se fait conformément aux dispositions légales en vigueur et ce contrat est opposable aux utilisateurs à condition qu’ils l’acceptent lors de leur visite sur le site. En général, l’acceptation des CGU est effectuée par l’intermédiaire d’une case à cocher, type   « En cochant cette case, vous certifiez avoir lu et accepté sans réserve les présentes ».

Les modalités d’exercice des plateformes numériques semblent poser un réel problème et notamment au regard des libertés fondamentales des individus. On en constate deux exemples à travers le cas de Twitter et WhatsApp.  

Twitter vs Trump : liberté d’entreprendre vs liberté d’expression ?

Après la suppression ce week-end, d’environ 70 000 comptes propageant les idées du mouvement QAnon (une organisation complotiste pro-Trump), c’est au tour du compte officiel du Président américain de se voir bloqué de façon définitive par Twitter.

Célèbre pour ses tweets chocs, Donald Trump a souvent été rappelé à l’ordre pour ses publications. Cependant en tenant des propos incitant à la violence, qui auraient encouragé l’invasion du Capitole, le 6 janvier dernier, perturbant ainsi la certification de la victoire de Joe Biden, les dirigeants de Twitter ont décidé d’agir. Face à ce nouvel excès, l’oiseau bleu a donc bloqué de façon définitive l’accès du protagoniste à son compte, ce qui a conduit Facebook, Instagram ou encore Snapchat à faire de même en suspendant le compte du président américain.

Cependant, depuis, ces géants d’Internet sont accusés de censure privée. Pour beaucoup et notamment la classe politique française, les GAFAM disposent d’un réel pouvoir leur permettant d’outrepasser leurs droits en contrôlant le débat public et même en restreignant la liberté d’expression, fondement de la démocratie.

En effet, selon le Secrétaire d’État de la transition numérique et des communications électroniques, Cédric O même si l’acte de Twitter paraît justifié, la régulation du débat public ne doit pas dépendre de la seule volonté des plateformes numériques.

« La régulation du débat public par les principaux réseaux sociaux au regard de leurs seules conditions générales d’utilisation alors qu’ils sont devenus de véritables espaces publics et rassemblent des milliards de citoyens, cela semble pour le moins un peu court d’un point de vue démocratique ».

Derrière cette position à l’encontre de Twitter, le secrétaire d’État réaffirme la nécessité d’encadrer l’activité des réseaux sociaux, notamment à travers le Digital Services Act, ce règlement européen qui est actuellement en discussion et que le gouvernement français souhaite transcrire au niveau national dans le cadre du projet de loi « confortant les principes de la République ».

Censure arbitraire ou encadrement de la liberté d’expression de la part des plateformes numériques ?

Pour rappel, les réseaux sociaux tels que Twitter, Facebook ou Google sont considérés comme offrants des services d’hébergement définis à l’article 14 de la directive 2000/31/CE, « directive sur le commerce électronique », ainsi ils mettent à disposition un service consistant à « stocker des informations fournies par un destinataire du service ». En droit interne, l’article 6-I-2 de la LCEN, qui transpose cette directive, définit l’hébergeur comme toute personne physique ou morale qui assure « même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d’écrits, d’images, de sons ou de messages de toute nature fournis par des destinataires de ces services ». Ainsi conformément à ces dispositions, les hébergeurs ne disposent pas d’une obligation générale de surveillance et ne sont donc pas responsables du contenu posté par leurs utilisateurs.

Néanmoins la jurisprudence et les divers politiques les conduisent à changer de positionnement et à contrôler de plus en plus le contenu qu’ils accueillent. De ce fait, ils disposent d’une obligation minimum de surveillance, qui les oblige à retirer les contenus manifestement illicites qui leur ont été signalés.  (CJUE, 3 oct. 2019, Facebook Ireland Limited c/ Eva Glawischnig-Piesczek, aff. C-18/18 )

Au-delà de cette obligation légale, étant des entités privées, les plateformes numériques ont le droit de modérer les publications faites par leurs utilisateurs au regard de leurs conditions d’utilisation. En effet, il s’agit d’entreprises privées ayant des contrats de droit privé, ainsi même si le réseau social Twitter est un fervent défenseur de la liberté d’expression, en cas de non-respect de ses CGU il s’autorise à restreindre la possibilité d’un utilisateur à user de ses services.

« Nous nous réservons le droit de supprimer tout Contenu qui violerait l’Accord d’utilisation, parce qu’il constituerait – par exemple - une violation de droits d’auteur ou de marques de commerce ou tout autre détournement de la propriété intellectuelle, une appropriation illicite de droits de propriété intellectuelle, une usurpation d’identité, une conduite illicite ou un harcèlement. »

En effet, les réseaux sociaux ont permis la création d’une zone libre et « gratuite » d’échanges entre utilisateurs sur Internet, permettant l’exercice de leur liberté d’expression (article 11 de la Déclaration des Droits de l’Homme et du Citoyen et 10 de la Convention européenne des Droits de l’Homme). Généralement c’est sur ce principe même de liberté d’expression que jouent les plateformes numériques pour offrir leurs services aux internautes. Cependant n’étant pas considéré comme un droit absolu, la liberté d’expression peut être restreinte dans certains cas, notamment :

-          en cas de provocations aux crimes et délits, de diffamation et d’injure (article 23 et s. de la loi sur la liberté de la presse du 29 juillet 1881) ;

-          en cas d’atteintes portées à la vie privée ou à la présomption d’innocence (art. 9 et 9-1 du Code civil).

Il pourrait être donc logique de voir un réseau social user de son pouvoir de modération pour supprimer ou bloquer un contenu contrevenant à une des dispositions légales citées, qui sont pour la plupart reprises dans les CGU de la plateforme numérique.

Outre-Atlantique, les plateformes de la Silicon Valley disposent d’une plus grande liberté dans la modération de leur contenu conformément au texte fédéral section 230 du Communications Decency Act. Alors que l’alinéa c.1 dispose qu « aucun fournisseur ou utilisateur d’un service informatique interactif ne doit être traité comme l’éditeur ou l’auteur d’une information provenant d’un autre fournisseur de contenu informatif ».

Le second alinéa exonère de toute responsabilité, les fournisseurs de « toute mesure prise volontairement et de bonne foi pour restreindre l’accès ou la disponibilité de matériel que le fournisseur ou l’utilisateur considère comme obscène, obscène, lascif, dégoûtant, excessivement violent, harcelant ou autrement répréhensible, que ce matériel soit ou non protégé par la constitution ».

Par conséquent, la suspension du compte du Président sortant par Twitter pourrait de ce point de vue et malgré les contestations, être légitime. 

Mais les opérateurs privés sont-ils légitimes à porter ce type de responsabilité ? S’ils retirent ça ne va pas, s’ils ne retirent pas ça ne va pas … voilà un métier bien compliqué qui doit sans aucun doute composer au regard des évolutions de la société dans laquelle il opère… la liberté d’expression est un droit qui s’apprécie à l’aune du pays, de son histoire, de sa culture …

WhatsApp : de nouvelles conditions dangereuses pour les données ?

À partir du 8 février 2021, les utilisateurs de l’application WhatsApp vont devoir accepter les nouvelles CGU et politique de confidentialité afin d’accéder au service de la messagerie.

En effet, certaines données comme par exemple les noms, numéros de téléphone des utilisateurs et de leurs contacts, photos de profil ainsi que le statut indiquant la dernière connexion, l’adresse IP seront partagées avec les autres entités du géant Facebook, notamment Instagram et Messenger. Le groupe précise néanmoins, que disposant d’une messagerie chiffrée de bout en bout, le contenu des messages c’est-à-dire texte, photos et vidéos, seront exclus de ce partage.

Cette pratique n’est pas nouvelle, car depuis 2016 le partage de ces données entre la maison-mère et la filiale était possible cependant WhatsApp donnait le choix aux utilisateurs de s’opposer ou non au partage de ces informations.

Face à cette annonce un vent de panique a soufflé sur les utilisateurs de l’application, les poussant à télécharger massivement d'autres applications de messagerie afin de préserver la confidentialité de leurs données personnelles. L’application Signal s’est ainsi retrouvée en haut du classement des applications les plus téléchargée en France et dans le reste de l’Union européenne, car elle assure ne partager aucune des données personnelles de ses utilisateurs à l’exception des numéros téléphoniques.

Derrière cette évolution, se cache une réelle volonté économique de monétiser l’application afin que les annonceurs aient la possibilité de contacter leurs clients via la messagerie et même d’y vendre directement leurs produits. En effet, seules les données répondant à un objectif professionnel c’est-à-dire avec des entreprises utilisant l’application tel un moyen de communication avec leurs clients seront soumises à ce partage de données. Néanmoins, chaque utilisateur devra tout de même accepter la nouvelle politique d’utilisation de WhatsApp.

Réel changement pour les citoyens européens ?

Alors que le business des données personnelles des utilisateurs est l’essence même des géants du numérique, le Règlement général sur la protection des données assure la protection de la vie privée des citoyens européens.

Selon le texte européen, le partage de données à caractère personnel est autorisé entre une filiale et sa maison-mère à condition que l’utilisateur en ait été informé mais surtout y consent librement. Alors que l’article 4 du texte européen précise que le consentement doit être « libre, éclairé, spécifique et non univoque », le Comité européen de la protection des données rappelle que « Si le consentement est présenté comme une partie non négociable des conditions générales, l’on considère qu’il n’a pas été donné librement ». En l’espèce, sans acceptation des CGU, pas d’accès à la messagerie pour les utilisateurs.

Ainsi si le consentement n’est pas le fondement juridique utilisé, il semblerait que le groupe Facebook se soit fondé sur l’intérêt légitime pour procéder au partage des données de ses utilisateurs. Pour ce faire il doit trouver un juste équilibre entre ses intérêts au traitement des données et les droits et intérêts des utilisateurs sur les données traitées. C’est ce qui explique qu’une simple demande d’acceptation des CGU est suffisante et qu’en retour WhatsApp ne fournisse pas le service « business » aux personnes n’ayant pas accepté.

Cependant pas sûr, que les autorités de contrôle valident les CGU et on peut s’attendre à une nouvelle opposition entre Facebook et les gendarmes des données personnelles.

En dehors de l’Union européenne et du Royaume-Uni, les utilisateurs WhatsApp seront dans l’obligation d’accepter les CGU et donc le partage de leurs données au sein du groupe Facebook. Ils craignent ainsi la revente de leurs données à des annonceurs publicitaires aux fins de création de profils ciblés.

Il est peut-être là le prix à payer de ces applications « gratuites » … une utilisation en contrepartie de nos données. Si ce n’est certes pas nouveau, l’acculturation constante de la population sur la question du sort des données personnelles commence peut-être à avoir des effets…

Sources :

Conditions générales d’utilisation de Twitter

Conditions générales d’utilisation de WhatsApp

Siècle digital : La suspension de Trump sur les réseaux sociaux soulève une question fondamentale

QueChoisir.org

NextInpact : DSA, plateformes et moteurs : le projet d'amendement du gouvernement

Règlement général sur la protection des données

Directive 2000/31/CE (« directive sur le commerce électronique »)

Loi pour la confiance dans l’économie numérique

CJUE, 3 oct. 2019, Facebook Ireland Limited c/ Eva Glawischnig-Piesczek, aff. C-18/18

Section 230 du Communications Decency Act

Voilà déjà quelques jours que la campagne de vaccination anti-COVID-19 a débuté. En France, comme dans de nombreux autres pays européens, le Gouvernement est vivement critiqué pour sa lenteur. On peut néanmoins noter de précieuses informations quant à la protection des données personnelles dans le cadre de cette campagne et à la garantie du respect des droits et libertés fondamentales des patients.

Revenons au 10 décembre 2020 lorsque la CNIL s’est prononcée sur un projet de décret autorisant la création d’un système d’information (SI) « VACCIN-COVID » où seraient traitées des données personnelles afin de gérer et suivre la campagne de vaccination contre la COVID-19.

La CNIL est ainsi venue encadrer ce traitement en adressant au Ministre de la santé des recommandations visant à assurer la conformité du traitement à la règlementation en vigueur.

Le décret autorisant la création d'un traitement de données à caractère personnel relatif aux vaccinations contre la COVID-19 est entré en vigueur le 26 décembre 2020.

Le 30 décembre 2020, la CNIL a pris acte des améliorations apportées au décret, à la suite de ses recommandations.

Il est important de noter que la vaccination contre la COVID-19 n’est pas obligatoire en France, à ce jour. En effet, les seuls vaccins obligatoires sont limitativement énumérés aux articles L3111-1 et suivants du Code de la santé publique.

Le fait que le VACCIN COVID ne soit pas obligatoire en l’absence de modifications législatives en ce sens, participe au respect du droit à l’intégrité de la personne, c’est-à-dire notamment le droit de donner son consentement libre et éclairé dans le cadre d’actes médicaux. Ce principe est garanti à tout citoyen, conformément à la Charte des droits fondamentaux (article 3).

Le Gouvernement est d’ailleurs venu mettre en avant l’importance de la traçabilité du recueil du consentement lors de la campagne de vaccination, dans son guide à destination du personnel de santé habilité à administrer le vaccin anti-COVID. :

« Il est indispensable d’assurer la traçabilité du recueil du consentement. L’ensemble de la procédure (consultation pré-vaccinale, consentement, vaccination, suivi) est inscrit dans le dossier médical du patient et retracé dans le système d’information de suivi de la vaccination (VACCIN-COVID). »

A titre d’exemple, en Espagne, la vaccination reste certes volontaire mais le Ministre de la Santé a indiqué que le Gouvernement allait tenir un registre des personnes refusant de se faire vacciner contre la COVID-19, fichier amené à être partagé avec d’autres pays européens.

1) Sur les finalités poursuivies (article 1 du décret)

Le SI « VACCIN-COVID » vise à :

- organiser la vaccination des personnes,

- organiser le suivi et l'approvisionnement en vaccins et consommables,

- organiser la production d'informations à destination des personnes vaccinées,

- organiser la mise à disposition de données relatives à la vaccination à des fins de calcul d'indicateurs et de recherche,

- organiser un suivi de pharmacovigilance ainsi que la prise en charge financière des actes liés à la vaccination.

Le projet de décret prévoyait également comme finalité de traitement, l’identification et l'orientation vers un parcours de soins adapté. Or, la CNIL a demandé au Gouvernement de préciser cette notion, ce qui fut chose faite. Le Gouvernement a ainsi indiqué qu’il s’agissait d’orienter les personnes souffrant d'effets indésirables dus à la vaccination.

La CNIL a alors constaté que les finalités du traitement étaient clairement déterminées, explicites et légitimes, et ce conformément à l’article 5 du RGPD. 

L’utilisation par les autorités publiques du SI « VACCIN-COVID », comme de l’application #TousAntiCovid, est donc strictement encadrée par la législation européenne. 

2) Sur les destinataires des données (article 3 du décret)

La CNIL rappelle que chaque responsable de traitement doit définir un profil fonctionnel de destinataire, strictement limité à sa mission, afin de garantir que seules les personnes habilitées et soumises au secret professionnel peuvent accéder aux données de « VACCIN-COVID ».

S’agissant du partage de ces données entre différents systèmes d’information détenus par des autorités publiques, la CNIL a indiqué que les responsables de traitement de chaque SI devaient être clairement indiqués :

« Le ministère devrait mentionner la liste des traitements et des systèmes d'information dans lesquels les données du SI « VACCIN-COVID » seront appelées à figurer, les catégories de données transmises pour chacun de ces traitements ou systèmes, ainsi que les organismes responsables de ces traitements. Dans l'hypothèse où il n'entendrait pas compléter le décret sur ce point, la Commission invite le ministère à diffuser ces informations, par exemple en les rendant publiques sur son site web. »

La CNIL précise que le Gouvernement ayant signalé souhaiter recourir à des sous-traitants, la même logique de transparence vis-à-vis des personnes concernées trouve à s’appliquer : la CNIL invite le Gouvernement à mentionner expressément le recours à des sous-traitants dans le décret ou sur son site web, ainsi que la liste des sous-traitants.

Cette volonté de la CNIL est dans la droite ligne de ce qui est imposée aussi aux personnes morales : le responsable de traitement doit conclure un contrat de protection des données avec ses sous-traitants. Ces derniers sont soumis aux obligations de l’article 28 du RGPD. Cette règle permet notamment au responsable de traitement de contrôler la conformité de ses sous-traitants en les auditant et d’ainsi garantir la bonne protection des données des personnes concernées quand les données sont confiées à un tiers.

Ainsi, l’encadrement des contrats avec les prestataires par le RGPD participe au respect de la vie privée et de la protection des données personnelles, et ce conformément à la Charte des droits fondamentaux (article 7 et 8) et à la Convention européenne de sauvegarde des droits de l’Homme dite CESDH (article 8).

3) Sur les données pseudonymisées (article 3 du décret)

Ces données pourront être transmises aux organismes suivants :

- pour suivre la couverture vaccinale et organiser la vaccination : à l’agence nationale de la santé publique et aux agences régionales de santé ;

- à des fins statistiques : à la direction de la recherche, des évaluations, des études et des statistiques ;

- dans le cadre de l’urgence sanitaire et pour améliorer les connaissances sur le virus : à la plateforme de données de santé – Health Data Hub et à la CNAM.

La CNIL relève que la liste des données pseudonymisées n’est pas détaillée dans le projet de décret.

Or, conformément au principe de minimisation énoncé à l’article 5 du RGPD, seules les données adéquates, pertinentes et limitées à ce qui est nécessaire (au regard des finalités) peuvent être transmises à des destinataires.

La CNIL invite donc le Gouvernement à préciser la liste des données pouvant être transmises.

Au vu des enjeux pour les droits et libertés fondamentales des personnes concernées par la pseudonymisation de leurs données, le Gouvernement s’est engagé à transmettre à la CNIL une analyse d’impact relative à la pseudonymisation.

L’établissement clair et précis des catégories de destinataires de données, conformément aux exigences de l’article 13 du RGPD, garantissent l’information éclairée des personnes concernées et l’absence d’ingérence d’autorités non habilitées de prime abord.

Et ce, contrairement à ce que l’on note actuellement à Singapour où les autorités policières peuvent désormais accéder aux données collectées par l’application « Trace Together » dans le cadre d’enquête criminelles. Pourtant, l’application avait été développée prima facie uniquement pour lutter contre la pandémie COVID-19. Nous reviendrons sur ce point en fin d’article.

4) Sur le transfert de données hors de l’Union

Aucune donnée ne sera transmise hors de l’Union européenne, garantissant ainsi la pleine protection des données, accordée par la législation européenne, sans risque d’ingérence par des autorités étrangères.

Il est néanmoins souhaitable de connaître l’hébergeur du SI « VACCCIN-COVID », afin de ne pas être face à une filiale d’une entreprise américaine, comme ce fut le cas pour la Plateforme de données de santé (hébergée par Microsoft).

5) Sur les droits garantis (article 5 du décret)

Les personnes concernées disposeront d’un droit d’accès, de limitation et de rectification, conformément aux exigences du RGPD.

Un droit d’opposition et un droit à l’effacement pourront également être exercés dans l’hypothèse où la vaccination n’a pas encore eu lieu. Ces droits ne pourront plus être exercés après le consentement à l’acte vaccinal car cela vise à garantir l’objectif d’intérêt public qu’est la pharmacovigilance.

Néanmoins, une personne concernée pourra tout de même exercer son droit d’opposition dans le cadre des données pseudonymisées transmises à la Plateforme de données de santé ou à la CNAM, même après avoir consenti à l’acte vaccinal, car ces traitements répondent à la gestion de l’urgence sanitaire (finalité vouée à disparaître à la fin de la période légale d’état d’urgence sanitaire) ainsi qu’à des besoins de recherches.

La CNIL insiste sur la nécessité d’informer clairement les personnes de leurs droits. Ce droit à l’information est un droit fondamental garanti non seulement par le RGPD mais également par la Charte des droits fondamentaux (article 11).

6) Des durées limitées (avis de la CNIL)

Là encore, le RGPD vient encadrer l’utilisation des données de santé par les autorités publiques. En effet, conformément au §39 du RGPD, le responsable de traitement doit définir des durées de conservation, limitées au strict minimum. Autrement dit, on ne peut pas conserver indéfiniment des données personnelles.

Ainsi, les données seront conservées pendant une durée de 10 ans à compter de leur collecte, sauf en cas de détection de risques nouveaux. Dans ce deuxième cas, les données seront conservées pendant une durée de 30 ans.

Ces durées sont justifiées par l’objectif de santé publique poursuivie par la collecte.

7) Sur l’information des personnes concernées (article 4 du décret)

Après avoir été invité par la CNIL a précisé la manière dont il entendait informer les personnes concernées, le Gouvernement a indiqué que les personnes répondant aux critères d’éligibilité au VACCIN-COVID, recevront un bon de vaccination comportant une mention d’information conforme aux exigences du RGPD. Chaque professionnel de santé recevra également une note d’information individuelle à ce sujet.

Là encore, le droit fondamental d’information est garanti.

Parallèle avec la politique de Singapour

De l’autre coté de la planète, à Singapour, l’application « Trace Together » (l’équivalent de notre « Tous anti Covid ») fait parler d’elle. En effet, si notre SI « VACCIN-COVID » ou notre application « Tous anti Covid » ne sont utilisés qu’à des fins de pharmacovigilance et/ou de gestion de l’urgence sanitaire, à Singapour la police peut désormais détourner les données collectées par l’application « Trace Together » afin de les utiliser dans le cadre d’enquêtes criminelles.

L’impact de ce détournement est colossal : aujourd’hui, 78 % de la population singapourienne a téléchargé l’application « Trace Together ».

Le succès du téléchargement de cette application est en partie due au fait que le Gouvernement singapourien avait indiqué que ce téléchargement serait probablement obligatoire pour quiconque souhaiterait se rendre dans un lieu public à compter de début 2021.

Singapour peut désormais mettre en place une surveillance de masse de sa population, via une application qui était de prime abord destinée à lutter contre la pandémie de Covid-19.

Si en France et en Union européenne, nous pouvons nous réjouir du nombre de garde fous législatifs et réglementaires qui protègent notre droit à l’information, nos données personnelles et plus généralement, notre vie privée. Il nous faut néanmoins rester attentifs puisque le Gouvernement a déposé le 21 décembre 2020 un projet de loi instituant un régime pérenne de gestion des urgences sanitaires.

Dans ce projet, le Gouvernement prévoit notamment la possibilité « de conditionner l’accès à certains lieux et l’exercice de certaines activités à la réalisation d’un dépistage ou à la prise d’un traitement préventif ou curatif d’un dépistage ou (de) la prise d’un traitement préventif ou curatif ». Si cette disposition venait à entrée en vigueur, la liberté fondamentale de circulation (article 2 de la CESDH), la liberté de réunion (article 11 CESDH) et le droit à l’intégrité de la personne (article 3 Charte des droits fondamentaux) pourraient s’en trouver amoindris.

En tout état de cause, les députés seront consultés, le Conseil constitutionnel sera consulté et ainsi, si ce projet venait à voir le jour, nous pourrions compter sur nos institutions pour venir encadrer et recadrer ces dispositions. Affaire à suivre !

Mise à jour du 22 janvier 2021 :

Pour rappel, dans la lutte contre la COVID-19, le Gouvernement a déployé 4 outils de traitement : les fichiers SI-DEP et Contact COVID, l’application TousAntiCovid et le SI VACCIN-COVID.

Le 21 janvier 2021, la CNIL a rendu un deuxième avis sur les conditions de mise en oeuvre de ces 4 traitements. Elle note notamment :

• Contact COVID :

  • Traitement par la CNAM : des mauvaises pratiques résiduelles subsistent concernant les conditions d’authentification et la traçabilité des données. De plus, les données ne sont pas hébergées chez un tiers habilité à cette fin. Or les données de santé doivent obligatoirement être hébergées chez un tiers certifié.

  • Traitement par les ARS : la CNIL a invité une ARS à se conformer dans un délai d’un mois concernant les mesures de sécurité et durées de conservation. Des courriers de sensibilisation vont être adressés aux ARS sur le sujet.

• TOUSANTICOVID : la CNIL constate la conformité de l’application en matière de protection des données mais urge le Gouvernement à développer des initiatives et des indicateurs permettant d’évaluer pleinement l’effectivité sanitaire du dispositif.

• SI VACCIN-COVID : la CNIL procédera à des contrôles tout au long du mois de janvier 2021 et son prochain avis public fera état des résultats.

La CNIL a également alerté sur d’autres contrôles effectués dans la lutte contre la COVID-19 : les cahiers de rappel, présents dans certains établissements recevant du public. La CNIL a notamment constaté que certains établissements avaient utilisés ces cahiers de rappel à des fins de prospections commerciales, en violation du RGPD. La CNIL a donc issu un rappel à l’ordre à ces établissements.

La CNIL souhaite également rassurer les personnes concernées par les traitements liés à la pandémie en indiquant qu’elle procédera à des contrôles à l’issue de la mise en œuvre de tous ces traitements, pour s’assurer de la suppression effective des données.

Sources :

Décret n° 2020-1690 du 25 décembre 2020 autorisant la création d'un traitement de données à caractère personnel relatif aux vaccinations contre la covid-19

Guide de la vaccination pour les médecins, infirmiers et pharmaciens

Code de la santé publique, Chapitre Ier : vaccinations

RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE dit RGPD

CNIL, 30/12/2020 : la collecte de données dans le cadre de la vaccination contre la Covid-19 : quelles garanties pour les personnes ?

Channel New Asia, 04/01/2021 : Singapore Police Force can obtain TraceTogether data for criminal investigations: Desmond Tan

ZDNet, 04/01/2021, Singapore police can access COVID-19 contact tracing data for criminal investigations

Euronews, 29/12/2020 : Spain to keep registry of citizens who refuse to be vaccinated against coronavirus

Charte des droits fondamentaux

Convention européenne de sauvegarde des droits de l’Homme

CNIL, 21/01/2021 : publication du deuxième avis adressé au Parlement sur les conditions de mise en œuvre de SI-DEP, Contact Covid, Vaccin COVID et TousAntiCovid

La Cour de cassation s’est prononcée pour la première fois sur le fait de savoir si une adresse IP et des fichiers de journalisation pouvaient être considérés comme des  données personnelles ; dans une décision au croisement du droit social et du droit des données personnelles. Elle s’est également penchée  sur la licéité d’une preuve obtenue au moyen de données dont la collecte aurait dû être déclarée à la CNIL. Cette décision est intervenue sous le régime prévu par la Loi Informatique et Libertés du 6 janvier 1978, avant l’entrée en vigueur du Règlement européen sur la protection des données dit « RGPD ». A cette époque, il était obligatoire de déclarer tout traitement de données personnelles à la CNIL. Depuis l’entrée en vigueur du RGPD, cette obligation de déclaration a disparu.

Par cette décision, la Cour de cassation permet aux employeurs de mieux comprendre comment encadrer la collecte d’une preuve informatique en matière de contentieux prud’homal.

• Faits et procédure :

Un salarié avait été licencié par l’AFP pour faute grave, après avoir été accusé d’avoir usurpé l’identité informatique de sociétés clientes. Il aurait usurpé cette identité afin d’envoyer par voie électronique 5 demandes de renseignements à une entreprise cliente et concurrente de l’AFP.

Cependant le salarié remet en cause la licéité des moyens de preuve présentés par l’AFP. En effet, la preuve de la faute à l’origine du licenciement est issue de l’exploitation des fichiers de journalisation conservés sur ses serveurs et de l’adresse IP à partir de laquelle les messages litigieux ont été envoyés, pointant du doigt le salarié en question.

• Solution :

1)  L’adresse IP est une donnée personnelle

Dans un premier temps, la chambre sociale confirme[1] qu’une adresse IP est une information se rapportant à une personne physique identifiable. C’est donc une donnée à caractère personnel, conformément aux articles 2 et 22 de la Loi informatique et libertés du 6 janvier 1978.

De ce fait, la collecte de l’adresse IP par l’exploitation d’un fichier de journalisation constitue un traitement de données personnelles.

Le salarié concerné aurait donc dû être informé de l’existence du traitement.

2) Si l’atteinte est proportionnée, le droit de la preuve peut primer sur le droit au respect de la vie privée

Alors que la liberté de la preuve[2] est un principe fondamental en matière prud’homale, il n’en demeure pas moins que cette dernière doit être collectée de façon loyale.

Par exemple, une preuve est jugée comme déloyale lorsqu’elle porte atteinte à la vie privée d’un salarié. C’est ainsi qu’une preuve provenant d’un dossier identifié comme « personnel » par le salarié ne peut être collectée par l’employeur même si le dossier se trouve sur l’ordinateur professionnel du salarié.

Afin de respecter le principe du respect à la vie privée, l’article 23 de la Loi Informatique et Libertés de 1978 (dans sa version antérieure à l’entrée en vigueur du RGPD), imposait à l’employeur de déclarer à la Commission nationale informatique et libertés (CNIL), l’usage de tout dispositif de contrôle permettant la collecte de données personnelles. Le défaut de déclaration, conduisait à rendre irrecevables les preuves portant sur des données personnelles collectées. En effet, l’objectif de ce dispositif était d’informer les personnes concernées du fait que leurs données étaient traitées, afin qu’elles puissent exercer leurs droits.

Pendant longtemps, ce fut la position adoptée par la Cour de cassation, comme le démontre l’arrêt du 8 octobre 2019[3]. Dans ce dernier, la chambre sociale avait jugé un licenciement sans cause réelle et sérieuse lorsque la faute à l’origine du licenciement, avait été recueilli par un moyen de preuve issu d’un dispositif n’ayant pas fait l’objet d’une déclaration à la CNIL en amont. 

Dans l’arrêt d’espèce, la Cour d’appel de Paris juge tout d’abord que le moyen de preuve n’est pas inopposable, en dépit du défaut de déclaration fait auprès de la CNIL et valide donc le licenciement pour faute grave. Selon les juges, l’adresse IP et les fichiers de journalisation ne sont pas utilisés pour contrôler les salariés et ne correspondent pas un traitement de données personnelles nécessitant une déclaration. De ce fait, le mode de preuve est licite et le licenciement valable. Une telle position de la Cour d’appel est justifiée par un arrêt de la chambre sociale[4], dans lequel il était admis, qu’une messagerie d’entreprise n’étant pas utilisée pour surveiller l’activité des salariés, l’absence de déclaration effectuée auprès de la CNIL ne rendait pas la preuve illicite.

Face à cette décision, la Cour de Cassation casse l’arrêt de la Cour d’appel de Paris et fait preuve d’un tout autre raisonnement.

La Cour de Cassation confirme l’illicéité du moyen de preuve qui aurait dû faire l’objet d’une déclaration préalable. Néanmoins, elle ajoute que l’illicéité d’un tel moyen de preuve n’entraîne pas automatiquement son rejet devant les tribunaux.

La Cour de cassation précise qu’en application des articles 6 et 8 de la Convention de sauvegarde des droits de l’homme et des libertés fondamentales, le juge ne doit pas par défaut rejeter une preuve illicite mais doit l’apprécier en effectuant un contrôle de proportionnalité afin d’évaluer si « l’atteinte portée à la vie personnelle du salarié est justifiée au regard du droit à la preuve de l’employeur ». A noter que la production d’une telle preuve doit être « indispensable à l’exercice du droit de la preuve de l’employeur et que l’atteinte à la vie privée du salarié est proportionnée au but poursuivi ».

La Cour de cassation a également précisé que cet Arrêt Manfrini s’inspirait des décisions rendues par la Cour européenne des droits de l’homme ; notamment des arrêts Barbulescu (CEDH, 5 septembre 2017, n° 61496/08)[6] et Lopez Ribalda (CEDH, 17 octobre 2019, n° 1874/13 et 8567/13) [7]qui ont admis, sur le fondement du droit au procès équitable et du droit à la preuve qui en découle, des moyens de preuve obtenus au détriment du droit à la vie privée.

La chambre sociale de la Cour de cassation considère donc que le droit de la preuve peut justifier le recueil d’une preuve portant atteinte à la vie privée, sous certaines conditions.  

• Apport de l’arrêt :

Par cette décision en date du 25 novembre 2020, la chambre sociale de la Cour de cassation :

- Confirme qu’une adresse IP est une donnée personnelle

- Considère qu’un mode de preuve portant sur des données personnelles peut être accepté, bien qu’il n’ait pas fait l’objet d’une déclaration auprès de la CNIL dès lors que la preuve est indispensable à l’exercice du droit de la preuve de l’employeur et que l’atteinte à la vie privée du salarié est proportionnée.

La décision de l’arrêt Manfrini, démontre que les juges incluent d’avantage les évolutions technologiques, dans leur raisonnement. Ils considèrent que l’utilisation des fichiers de journalisation et de l’adresse IP n’a pas pour seule finalité le contrôle des salariés. Ils admettent ainsi la possibilité d’une sécurisation des systèmes d’informations de l’entreprise.

De plus, comme en dispose le RGPD, lorsqu’un tel traitement a pour objectif la surveillance des salariés, l’employeur doit impérativement informer les personnes concernées (article 13 du RGPD), consulter le Comité Social d’Entreprise (CSE) et tenir un registre de traitement (article 30 du RGPD).

En matière de surveillance, la CNIL recommande même de réaliser une analyse d’impact, afin de déterminer quelles données sont collectées et pour quelles finalités . Il s’avère donc, que la mise en place d’un tel dispositif répond davantage à un besoin de sécurité que de surveillance par l’employeur.

Ainsi, même s’il semble que la décision fasse primer le droit de la preuve sur le respect à la vie privée et la protection des données personnelles, il ne faut pas oublier que l’atteinte à la vie privée du salarié doit impérativement être proportionnée au but poursuivi et que la preuve produite doit être le seul moyen de prouver le bien-fondé de la décision prise par l’employeur à l’égard de son salarié.

C’est par ce même tempérament que la Cour de cassation a admis, il y a quelque mois, que le droit à la preuve pouvait justifier la production en justice d’éléments issus d’un compte privé Facebook d’un salarié. Dès lors, qu’une telle preuve était indispensable à l’exercice de ce droit et que l’atteinte était proportionnée au but poursuivi[5].

Enfin, cette décision est un moyen d’affirmer la disparition de l’obligation de déclaration auprès de la CNIL, issue de la Loi Informatique et Libertés de 1978 et non reprise par le RGPD. Aujourd’hui, lors d’un traitement de données personnelles, le texte européen impose à l’employeur d’informer les personnes concernées et de tenir un registre des traitements des données.

Sources :

-          Arrêt n°1119 du 25 novembre 2020 (17-19.523) - Cour de cassation - Chambre sociale

-          Note explicative de l’arrêt « Manfrini »

-          Règlement général sur la protection des données personnelles

-          Loi Informatique et Libertés

[1] 1ère Civ., 3 novembre 2016, (pourvoi n° 15-22.595, Bull. 2016, I, n° 206)

[2] Soc, 27 mars 2001 (pourvoi n° 98-44.666, Bull. 2001, V, n° 108)

[3] Soc., 8 octobre 2014, (pourvoi n° 13-14.991, Bull. 2014, V, n° 230)

[4] Soc, 1 juin 2017, (pourvoi n° 15-23.522, Bull. 2017)

[5] Soc, 30 Septembre 2020, (n° 19-12.058)

[6] CEDH, 5 septembre 2017, (n° 61496/08)

[7] CEDH, 17 octobre 2019, (n° 1874/13 et 8567/13)

La dématérialisation continue des échanges de nos sociétés n’épargne pas la sphère publique : les collectivités territoriales se modernisent et numérisent progressivement leurs services (les « téléservices »), poursuivant ainsi leur transition numérique.

Cette dernière induit toutefois une nouvelle sphère de risques qui est propre au numérique : les cyberattaques.

En réponse à ces risques, la cybersécurité s’est développée. Celle-ci est d’autant plus cruciale pour les collectivités, que sont en jeu les données des administrés et que celles-ci revêtent souvent un caractère hautement privé voir sensible (niveau social, santé, éducation, famille).

La sécurité des systèmes informatiques des collectivités territoriales est donc un enjeu actuel majeur.   

Qu’est-ce que la cybersécurité ?

L’Autorité nationale de la sécurité des systèmes d’information (« ANSSI ») définit la cybersécurité comme « état recherché pour un système d’information lui permettant de résister à des événements, issus du cyberespace, susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles »

Quelles sont les obligations légales et réglementaires en termes de cybersécurité ?

Lorsque les données traitées sont des données à caractère personnel (c’est-à-dire des informations se rapportant à une personne physique identifiée ou identifiable), la loi n° 78-17 du 6 janvier 1978 dite « Informatique et libertés » mettait à la charge du responsable du traitement l’obligation « de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès » (ancien article 34 de la loi).

Le règlement européen sur la protection des données (« RGPD ») entré en application le 25 mai 2018 a repris cette obligation de sécurité et impose au responsable de traitement de mettre en œuvre “les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque” que sont, par exemple, la pseudonymisation ou le chiffrement (articles 32 et suivants du règlement).

Plus spécifiquement, dans le cadre de leurs relations avec les administrés, les autorités administratives sont soumises, en vertu de l’article 9 de l’ordonnance n°2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives, à un référentiel de sécurité nommé Référentiel Général de Sécurité (« RGS »).

Le RGS définit un ensemble de règles de sécurité qui s’imposent aux autorités administratives dans la sécurisation de leurs systèmes d’information. Les fonctions des systèmes d’information doivent respecter les règles fixées par ce référentiel afin d’assurer la sécurité des données transitant par les téléservices.

Ce référentiel a d’ailleurs été complété au niveau européen par le règlement n°91/2014 dit « eIDAS » qui s’applique aux collectivités territoriales lorsqu’elles mettent en œuvre un système d’identification électronique, de signature électronique ou un cachet électronique dans le cadre de téléservices à destination du public.

Les collectivités sont donc soumises à un certain nombre d’obligations visant à garantir la sécurité des données qu’elles traitent. Pourtant, la prise de conscience au niveau local des potentiels impacts des cyberattaques et la mise en place d’actions concrètes pour s’en prémunir ne semblent pas encore totalement acquises.

Quelle démarche les collectivités territoriales doivent-elles alors adopter ?

Au mois de novembre 2020, l’ANSSI et l’Association des Maires de France (« AMF »), ont publié un guide « Cybersécurité : toutes les communes et intercommunalités sont concernées » ayant pour objectif d’insuffler au sein des collectivités des méthodes et mesures de cybersécurité dans la gestion de leurs activités. 

En effet, les risques d’attaques augmentant et les usages numériques se développant (notamment le télétravail en période de la COVID), l’ANSSI et l’AMF plaident pour un investissement accru des communes et intercommunalités dans le développement de la protection de leur système d’information et pour une protection contre tout « sinistre numérique ».

Le guide insiste d’ailleurs particulièrement sur le rôle déterminant des élus dans la prise en compte des enjeux de cybersécurité ainsi que sur la nécessité de mettre à disposition des moyens suffisants et, au besoin, de mettre en commun ces moyens entres collectivités au travers par exemple de l’intercommunalité. En ce sens, il est rappelé que la responsabilité incombe au collecteur ainsi qu’aux dirigeants de leurs collectivités (maires et présidents d’intercommunalités).

Afin d’accompagner ces derniers, les axes d’action prioritaires suivants ont été identifiés :

-          La sensibilisation des agents, le comportement humain étant un facteur amplificateur ou réducteur des risques de cyberattaques ;

-          L’identification des systèmes d’information, des matériels et des logiciels employés et l’adaptation de ces outils aux besoins de la collectivité ;

-          L’analyse des clauses contractuelles conclus avec les prestataires informatiques et les responsabilités respectives des cocontractants ;

-          La définition d’un plan de crise (plan de continuité d’activité (« PCA ») et plan de reprise d’activité (« PRA »)).

Une trentaine de recommandations sont ensuite énoncées, selon quatre grands thèmes :

(1)    La gouvernance : il est préconisé notamment de prévoir un dispositif financier d’accompagnement pour une gouvernance partagée entre les communes et les intercommunalités, ou encore de promouvoir la mutualisation afin que les plus petites communes puissent bénéficier de l’expertise et des moyens financiers des entités plus importantes.

(2)    Les moyens : la logique financière actuelle doit être inversée en ce sens qu’il convient d’évaluer les besoins en cybersécurité avant d’allouer un certain budget et non de déterminer les besoins en fonction des moyens financiers ; les agents des collectivités qui traitent de données sensibles doivent être accompagnés et formés en priorité…

(3)    La résilience : elle implique d’élaborer des scénarios de cyberattaques et de les intégrer dans les PCA et PRA ; de communiquer ces documents aux fournisseurs afin qu’ils l’appliquent en cas de réalisation du risque ; ou encore de désigner des référents locaux en matière de sécurité informatique.

(4)    La relation des collectivités avec les tiers : il est préconisé de formaliser un « plan d’assurance sécurité » avec les prestataires, d’inclure systématiquement des clauses relatives à la sécurité numérique et des clauses de réversibilité.

Il est par ailleurs souligné que la connaissance du RGPD et le travail de sensibilisation du délégué à la protection des données (« DPO ») sont de solides bases pour mettre en œuvre les bonnes pratiques de la sécurité numérique.

Pour plus d’exhaustivité, nous vous invitons à consulter :

-          directement le guide ANSSI-AMF « Cybersécurité : toutes les communes et intercommunalités sont concernées »  ;

-          la décision du Conseil d’Etat en date de novembre dernier.

Si certains avaient encore des doutes sur les risques financiers auxquels les expose un manquement au RGPD et à la Loi Informatique et Libertés, la CNIL vient d’établir clairement ses exigences en la matière, faute de quoi, des amendes à 7 chiffres peuvent pleuvoir.

En effet, elle vient de sanctionner avec fermeté les sociétés Carrefour France et Carrefour Banque, à hauteur de 2 250 000 d’euros et 800 000 euros.

Les faits reprochés sont une synthèse de mauvaises pratiques :

- Des sites web aux mentions d’information longues et compliquées ;

- Des cookies publicitaires déposés automatiquement sur les terminaux des visiteurs de leurs sites web ;

- Des durées de conservation annoncées mais pas respectées, couplées à des données obsolètes conservées pendant plus de 5 ans ;

- Des difficultés d’exercice des droits liées à l’exigence injustifiée et constante d’une pièce d’identité ;

- Des droits bafoués avec des données non supprimées malgré les demandes ;

- Des catégories de données collectées sans en informer les personnes concernées.

Ce que l’on en retient ?

La CNIL semble avoir pris le groupe Carrefour pour exemple afin d’établir une feuille de route des mauvaises pratiques. Les organismes traitant des données personnelles sont invités à prendre au sérieux les exigences du RGPD et à adopter un comportement transparent et loyal à l’égard de leurs clients et prospects, sous peine de s’exposer à des amendes records.   

Ces décisions invitent les organismes à repenser leur organisation et à rationaliser leur traitement des données personnelles, ainsi qu’à simplifier le vocabulaire juridique qu’ils utilisent pour garantir une information claire, concise et lisible.

Revenons en détails sur les faits reprochés aux sociétés Carrefour France (grande distribution) et Carrefour banque (secteur bancaire).

Faits et Procédure

Tout d’abord, pourquoi les sociétés Carrefour France et Carrefour Banque ont été contrôlées et donc sanctionnées par la CNIL ?

Tout simplement parce que la CNIL a été saisie de pas moins de 15 plaintes à leur encontre.

Ces plaintes concernaient la collecte de données personnelles via les sites www.carrefour.fr et www.carrefour-banque.fr ainsi que via l’adhésion au programme de fidélité et à la carte Pass du Groupe Carrefour.

La CNIL a alors effectué des contrôles en ligne et des contrôles sur place, entre mai et juillet 2019.

Solution

1. La fin des formules illisibles

L’information fournie n’était ni facilement accessible (i) ni facilement compréhensible (iii) et elle était incomplète/insuffisante s’agissant des durées de conservation, des transferts de données hors UE et de la base légale de traitement (iii).

La CNIL souligne le fait que les mentions d’information étaient trop longues, rédigées dans des termes généraux et imprécis et avec des formules inutilement compliquées.

Cette décision est donc dans la lignée de la sanction de 50 millions d’euros prononcée par la CNIL à l’encontre de Google en janvier 2019.

2. Un rappel classique de l’obligation d’obtenir l’acceptation préalable au dépôt de cookies publicitaires

Des cookies étaient automatiquement déposés sur le terminal des internautes visitant les sites www.carrefour.fr et www.carrefour-banque.fr. Pourtant, le consentement est obligatoire dès lors qu’il ne s’agit pas de cookies purement techniques et nécessaires au bon fonctionnement du site internet. En ce sens, la CNIL semble considérer que les cookies Google Analytics ne peuvent jamais s’apparenter à des cookies nécessaires et que l’internaute doit donc avoir la capacité de les accepter ou de les refuser.

Les entreprises sont donc invitées à revoir au plus tôt leur gestion des cookies à la lumière des dernières recommandations de la CNIL (voir notre article sur le sujet) ; si elles ne souhaitent pas elles aussi être sanctionnées pour dépôt de cookies sans consentement préalable.

3. Fixer des durées c’est bien, s’y tenir c’est mieux !

Si les entreprises sont parfois invitées à arbitrer elles-mêmes les durées de conservation à mettre en place (notamment en l’absence d’une durée de conservation légale) ; encore faut-il le faire de manière pragmatique et opérationnelle.

La question à se poser est alors la suivante : pendant combien de temps ai-je réellement besoin de ces données au regard de mon utilisation ? Est-ce raisonnable au regard du risque que cela représente en matière de protection des données ?

 En ce sens, la CNIL a considéré que la durée de conservation de 4 ans des données clients après leur dernier achat telle qu’établie par Carrefour était une durée excessive.

Les entreprises doivent donc mettre à jour leur durée de conservation à la lumière de cette information.

En outre, Carrefour ne respectait pas les durées qu’elle avait elle-même fixées. La CNIL a notamment constaté que les données de plus de 28 millions d’utilisateurs inactifs depuis 5 à 10 ans étaient toujours conservées.

Enfin, dans le cadre de l’exercice de droits, la CNIL a constaté que Carrefour conservait pendant 1 à 6 ans les justificatifs d’identité. Or, l’autorité de contrôle considère que rien ne justifie la conservation des pièces d’identité dès lors que la demande a été traitée.

Qu’en est-il de l’archivage intermédiaire à des fins contentieuses ? Dans le cadre de l’exercice des droits, la CNIL considère qu’il est pertinent de conserver simplement le courrier de réponse favorable, car ce courrier présente moins de risque pour la personne concernée que la conservation de son justificatif d’identité.

Ainsi, si vous annoncez une durée de conservation, assurez-vous de vous y tenir en pratique et que cette durée soit bien justifiée au regard de la finalité du traitement !

4. Un rappel de l’obligation de faciliter l’exercice des droits

Comme en matière de cookies, la CNIL a rappelé qu’il doit être aussi facile de consentir au traitement de ses données que de le refuser.

Or, dans le cadre de Carrefour, toute demande d’exercice des droits (sauf pour l’opposition à une prospection commerciale) était soumise à la communication d’une pièce d’identité alors même que ce n’était pas nécessaire.

Il faut donc élargir les moyens de vérification de l’identité de la personne concernée en acceptant par exemple tout moyen permettant de justifier de son identité, autrement que sa pièce d’identité. Par exemple : une double authentification via un envoi de SMS + email.

De plus, Carrefour ne respectait pas le délai d’1 mois pour répondre aux demandes d’exercices de droits. Il est donc recommandé de repenser son organisation et d’allouer les moyens humains et financiers permettant de répondre dans les temps aux demandes d’exercice de droits et ainsi garantir l’effectivité des droits.

5. Un rappel de l’obligation de garantir l’effectivité des droits            

Le renforcement des droits des personnes dont les données sont traitées est une des grandes nouveautés du RGPD et la CNIL n’a pas manqué de le souligner lors de ses décisions contre le Groupe Carrefour.

Notamment, il était reproché à Carrefour de ne pas avoir répondu à des demandes de personnes souhaitant accéder à leurs données (droit d’accès) ; de ne pas avoir procédé à l’effacement de données malgré des demandes (droit à l’effacement) ou encore de ne pas avoir pris en compte les demandes d’opposition à l’envoi de SMS ou courrier électronique (droit d’opposition). En effet, des internautes ayant exprimé leur opposition à la prospection commerciale avaient vu leur demande ignorée.

A cette occasion, la CNIL a considéré que la société Carrefour aurait dû traiter les différentes demandes au jour le jour, afin d’être sure qu’aucune ne soit oubliée.

6. Absence de collecte loyale des données en cas d’imprécision         

Dans le cadre de sa décision contre Carrefour Banque, la CNIL a souligné que celle-ci avait manqué de loyauté envers ses clients car elle ne les avait pas clairement informés du partage des données avec l’entité Carrefour France. De plus, lors de la souscription à la carte Pass, Carrefour Banque indiquait ne collecter que les données relatives au nom, prénom et email alors qu’en réalité elle collectait également les adresses postales, numéro de téléphone et nombre d’enfants des personnes ayant souscrits.

Il faut donc être précis lorsque l’on indique les catégories de données collectées et ne pas se contenter de formules générales.

La CNIL n’a pas assorti ses sanctions d’une injonction car elle a constaté que depuis les contrôles, les sociétés Carrefour avaient fourni des efforts importants pour se mettre en conformité sur tous les manquements constatés. Elles ont notamment mis à jour les fonctionnalités de leurs sites web, refondu leurs parcours de souscription, et précisé leurs mentions d’information.

Nous retenons que cette décision est dans la continuité de la célèbre sanction Google où la CNIL avait souligné la complexité d’accès à l’information dans le parcours client.

Sources :

Délibération de la formation restreinte n° SAN-2020-008 du 18 novembre 2020 concernant la société CARREFOUR France

Délibération de la formation restreinte n° SAN-2020-009 du 18 novembre 2020 concernant la société CARREFOUR BANQUE

Résumé des délibérations de la CNIL

La sécurité des systèmes d’information est vitale.

C’est ce qu’à souhaiter affirmer l’autorité britannique de protection des données (Information Commissionner’s Office - ICO) en condamnant avec fermeté la compagnie aérienne British Airways et le groupe hôtelier Marriott pour manquement à leur obligation de sécurité ayant entrainé des violations de données personnelles.

Ces amendes sont à ce jour les plus élevées jamais prononcées pour manquement à l’obligation de sécurité :

-       British Airways écope d’une amende de 20 millions de livres sterling (22 millions d’euros) et

-        Mariott d’une amende de 18,4 millions de livres sterling (20 millions d’euros).

Faits

D’une part, en 2018, British Airways a subi une cyberattaque au cours de laquelle les données personnelles d’environ 430 000 personnes ont été rendues accessibles.

Les données concernées étaient notamment les noms, prénoms, adresses et, pour plus de 200 000 personnes, leurs données de cartes bancaires (numéros de CB et codes CVV).

D’autre part, la filiale Starwoord hotels and Resorts Worldwide du groupe hôtelier Marriott a été victime d’une cyberattaque pendant 4 ans, cyberattaque détectée seulement en 2018. Marriott a vu divulguer les comptes clients de 39 millions de personnes dont notamment 30 millions d’européens. Ont ainsi été corrompu les noms, prénoms, e-mails et numéros de passeport des clients.

Solution

Afin d’établir une sanction adaptée, l’ICO a coopéré avec les autres autorités européennes de protection des données, conformément au mécanisme de « guichet unique » prévu par le RGPD.

Les deux dossiers concernant tous deux un manquement à l’obligation de sécurité, l’amende encourue était de 2 % du chiffre d’affaires ou 10 millions d’euros, le montant le plus élevé l’emportant, conformément au RGPD.

L’ICO a considéré que British Airways et Marriott ont toutes deux manqué à leur obligation de sécurité en ne mettant pas en œuvre toutes les mesures techniques et organisationnelles de nature à garantir la sécurité des données personnelles qu’elles traitaient.

L’ICO souligne par exemple que British Airways aurait pu détecter voire neutraliser la cyberattaque si elle avait :

- limiter l'accès aux applications, aux données et aux outils à ce qui est nécessaire pour remplir le rôle d'un utilisateur ;

- effectuer des tests rigoureux, sous la forme de simulation d'une cyberattaque, sur les systèmes de l'entreprise ;

- protéger les comptes des employés et des tiers par une authentification à plusieurs facteurs.

Ces décisions montrent donc l’importance du respect des règles d’hygiène de cybersécurité et illustrent la capacité de coopération des autorités européennes de protection des données.  

Sources :

https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2020/10/ico-fines-marriott-international-inc-184million-for-failing-to-keep-customers-personal-data-secure/

https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2020/10/ico-fines-british-airways-20m-for-data-breach-affecting-more-than-400-000-customers/

https://www.cnil.fr/fr/cybersecurite-ico-en-cooperation-avec-la-cnil-inflige-amendes-record

La commercialisation des données est un débat sans fin qu’Amazon n’a pas peur de relancer ! En effet, le géant américain vient de lancer un nouveau programme baptisé Shopper Panel qui récompense les consommateurs acceptant de partager leurs données d’achats.

Mais de quoi parle-t-on exactement ?

Amazon a décidé de solliciter les consommateurs en suivant leurs habitudes d’achats, en dehors de sa plateforme www.amazon.com, via l’application Amazon Shopper Panel. Amazon justifie cette démarche par la volonté d’améliorer ses services et de proposer des publicités plus ciblées.

L’entreprise de Jeff Bezos souhaite ainsi identifier quels sont les produits et services que le consommateur préfère acheter en dehors de sa plateforme.

Comment ça marche ?

Pour le moment cette application n’est disponible que pour les consommateurs américains, sur invitation.

Le consommateur doit envoyer 10 factures par mois pour tout achat effectué chez des commerçants autre qu’Amazon (la liste peut être très variée : épiceries, grands magasins, pharmacie, cinémas, restaurants).

Amazon indique que la collecte repose sur l’opt-in : le consommateur ne communique que les données qu’il a décidé de communiquer et peut à tout moment supprimer les reçus.

Quelles données ?

Les données pouvant figurer sur une facture sont notamment les nom, prénom, coordonnées de contact (email, téléphone, adresse postale). En outre, sur les factures de pharmacie, les médicaments achetés peuvent indiqur des informations sur l’état de santé de l’acheteur et sont donc considérées comme des données sensibles. Enfin, Shopper Panel étant une application, Amazon collecte notamment les données de connexions, le type de téléphone que le consommateur utilise ou encore le type de système d’exploitation utilisé.

Amazon indique néanmoins qu’elle supprimera les informations qu’elle considère comme sensibles, en précisant que tel est le cas pour les factures de pharmacie. Encore faut-il que cette suppression soit effective.

Le débat sur la commercialisation de données sensibles reste ouvert.

Quel est le prix de ces données ?

L’utilisateur du programme Amazon Shopper Panel recevra 10 dollars par mois, sous forme de solde Amazon ou de don de bienfaisance (le programme contient une liste limitative de 12 organisations caritatives bénéficiaires). Amazon indique qu’en répondant en plus à des enquêtes, les consommateurs pourront également bénéficier de récompenses supplémentaires, sans indiquer lesquelles.

Sources :  

https://advertising.amazon.com/en-us/blog/consumers-shop-omnichannel/

https://techcrunch.com/2020/10/20/amazon-launches-a-program-to-pay-consumers-for-their-data-on-non-amazon-purchases/

https://panel.amazon.com/

La version 2.0 de l’application « Stop Covid » vient d’être annoncée ce 22 octobre par le Gouvernement. L’application de traçage des cas contacts se fait une nouvelle santé afin de lutter contre la propagation du virus Covid-19.

En effet alors que sa précédente version a fait un vrai flop (voir notre article ici), ne comptabilisant que 2,6 millions téléchargements depuis le mois de juin, « Tous AntiCovid » se dote de nouvelles fonctionnalités, pour une meilleure utilisation.

• Rappel sur le fonctionnement de l’app

Comme son prédécesseur, « TousAntiCovid » est un dispositif d’alerte permettant de tracer les contacts de l’utilisateur, afin d’identifier les chaînes de contamination et donc de l’avertir lorsqu’il a été en contact avec des personnes ayant été testées positives au virus.  

L’application mobile qui est toujours basée uniquement sur le volontariat, utilise la technologie  Bluetooth et n’a donc pas recours à la géolocalisation. De ce fait, seuls les utilisateurs ayant téléchargé et activé l’application pourront s’échanger des informations.

Tout comme « Stop Covid », l’application est conçue à partir du protocole « Robert » qui suit la logique de minimisation des données et de protection dès la conception.

• Les nouveautés de l’app  

« TousAntiCovid » se veut être un centre d’informations pour les français. L’’application dispose désormais d’actualités, qui sont mises à jour en fonction de l’évolution de la pandémie.

De plus, l’application met à disposition des utilisateurs, des liens vers des outils numériques, telles qu’une carte des lieux où il est possible de se faire tester ainsi que les attestations de déplacement dérogatoire. Cependant l’application ne dispose pas encore de QR Code à scanner à l’entrée des restaurants pour s’enregistrer ni permettant de prendre un rendez-vous afin de se faire tester directement. 

• Ce qu’en pense la CNIL :

Dans son analyse la CNIL conclut que la nouvelle version de l’application mobile n’apporte pas de réelles modifications concernant le traitement des données personnelles.  Ainsi la CNIL ne devrait pas se saisir afin d’en faire un contrôle approfondi. Comme souligné dans son avis rendu en septembre dernier, l’application mobile de traçage est respectueuse des données personnelles et toutes les préconisations demandées par l’autorité de régulation ont été prises en compte.

Cependant la CNIL reste vigilante et met un point d’honneur à ce que le principe relatif à la vie privée des utilisateurs soit respecté par cette nouvelle version.  C’est pourquoi, en fonction des évolutions à venir de l’application et notamment concernant des modifications du traitement des données personnelles, la Commission envisage d’effectuer des contrôles.

Le plus grand défi reste sans surprise le même qu’avec « Stop Covid » : cette nouvelle application sera-t-elle assez convaincante pour que les français la téléchargent et surtout, l’utilisent ?

Cédric 0, Secrétaire d'État chargé du Numérique adresse en ce sens des mots d’encouragements aux français : « Nous avons besoin de vous, (...) téléchargez-la” expliquait-il, parce qu’elle “n’est utile que si nous sommes très nombreux à le faire”.

Retrouvez l’analyse complète de la CNIL juste ici : https://www.cnil.fr/fr/tousanticovid-la-cnil-revient-sur-levolution-de-lapplication-stopcovid

Faits

Créé par arrêté le 29 novembre 2019, le Health Data Hub (ou Plateforme des données de santé) est un groupement d’intérêt public, rassemblant des données de santé issues de diverses sources[1]. Ces données de santé proviennent notamment de l’Assurance Maladie, l’Assistance Publique des Hôpitaux de Paris ou encore l’Institut national du cancer[2]. L’ambition de cette Plateforme est de centraliser les données de santé détenues par des entités françaises, dans une géante base de données commune, afin de faciliter la recherche.

Les projets de recherche menés sur cette Plateforme sont aujourd’hui encadrés par deux critères cumulatifs[3] 

1.        Ils doivent obtenir un avis favorable d’un Comité de Protection des Personnes (CPP) lorsque leurs recherches impliquent la personne humaine ; ou bien un avis favorable du Comité Ethique et Scientifique pour les Recherches, les Etudes et les Evaluations dans le domaine de la Santé (CESREES) lorsque leurs recherches n’impliquent pas la personne humaine ;

2.       Ils doivent être autorisés par la CNIL sauf s’ils peuvent faire l’objet d’une déclaration de conformité à une méthodologie de référence.

Le 15 avril 2020, en pleine crise sanitaire due à la COVID-19, la Plateforme a signé un contrat avec une filiale irlandaise de l’entreprise américaine Microsoft afin que cette dernière héberge lesdites données de santé et concède à la Plateforme les licences de logiciels nécessaires au traitement de ces données pour les finalités légalement autorisées.

Cette décision a été vivement critiquée.

Procédure

Le 28 septembre 2020, plusieurs associations, syndicats et requérants individuels se sont insurgés contre le risque que cet hébergement par Microsoft pouvait représenter au regard du droit au respect de la vie privée et à la protection des données personnelles. Ils ont donc saisi le juge référé-liberté du Conseil d’Etat[4].

Microsoft étant une entreprise américaine, les requérants considèrent qu’il existe un risque grave et manifeste de transferts de données de santé vers les Etats-Unis et qu’il faut donc suspendre immédiatement le transfert entre Microsoft et la Plateforme de données de santé. Les requérants attirent l’attention de la juridiction sur le risque potentiel d’accès aux données par les autorités américaines, à des fins de surveillance. Ils rappellent à cet égard la récente invalidation du mécanisme certificateur dénommé Privacy Shield par la Cour de justice de l’Union européenne (CJUE) qui encadrait jusqu’alors les transferts de données UE-Etats-Unis (retrouvez nos articles sur le sujet juste ici).

Réponse du Conseil d’Etat

Le Conseil d’Etat relève trois points principaux :

1) D’un point de vue technique d’abord : les données sont actuellement hébergées dans un centre de données aux Pays-Bas et pourraient prochainement être transférées dans un centre de données en France. D’un point de vue légal ensuite : la Plateforme de données de santé et Microsoft se sont contractuellement engagés à ne pas transférer de données hors de l’Union européenne. La Plateforme de données de santé s’est engagée sur ce point auprès de la CNIL également. De plus, un arrêté du 9 octobre 2020 interdit tout transfert de données de santé dans le cadre de ce contrat.

2) La CJUE n’a à ce jour pas jugé que le droit de l’Union interdisait le transfert de données, sur le territoire de l’Union, à des entreprises américaines. Un tel transfert ne viole donc pas la législation de l’Union en matière de protection des données.

3) Le Conseil d’Etat relève que les données de santé sont pseudonymisées avant leur hébergement et traitement par Microsoft et qu’il existe un intérêt public important de maintenir cette plateforme en l’état car elle dispose d’importants moyens techniques utiles à la lutte contre la pandémie de COVID-19.

Le Conseil d’Etat considère alors que l’hébergement du Health Data Hub par Microsoft ne présente pas une illégalité grave et manifeste nécessitant la suspension immédiate du transfert de données de santé entre ces deux entités.

Néanmoins, le Conseil d’Etat n’exclut pas l’existence d’un risque de transfert de données vers les Etats-Unis. Il enjoint donc au Health Data Hub de continuer à renforcer la protection des données de santé hébergées par Microsoft via la recherche de mesures techniques et organisationnelles appropriées.

Le Conseil d’Etat ordonne à la Plateforme de conclure un avenant à son contrat avec Microsoft dans un délai de 15 jours suivants la notification de sa décision. Cet avenant devra stipuler que seul le droit de l’Union ou le droit de l’Etat membre auquel est soumis la filiale Microsoft (l’Irlande en l’occurrence) est applicable à l’ensemble des services Microsoft souscrits par le Health Data Hub.

Le Conseil d’Etat a par ailleurs souligné que l’hébergement du Health Data Hub par Microsoft était potentiellement une solution temporaire, en attendant qu’un nouveau sous-traitant soit désigné par le Gouvernement.

Enfin, le Conseil d’Etat a rappelé le rôle de la CNIL dans le contrôle des finalités poursuivies par les projets en lien avec la Plateforme de données de santé.

La décision par ici.

[1] Arrêté du 29 novembre 2019 https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000039433105/

[2] Site officiel de la Plateforme de données de santé https://www.health-data-hub.fr/

[3] CNIL, plateforme des données de santé : https://www.cnil.fr/fr/la-plateforme-des-donnees-de-sante-health-data-hub

[4] Conseil d’Etat, référé-liberté, 14 octobre 2020 https://www.conseil-etat.fr/actualites/actualites/health-data-hub-et-protection-de-donnees-personnelles-des-precautions-doivent-etre-prises-dans-l-attente-d-une-solution-perenne

Le 6 octobre 2020, la Cour de justice de l’Union européenne (CJUE) a rendu deux décisions très attendues en matière de surveillance étatique.

Plusieurs organisations non-gouvernementales et associations au Royaume-Uni, en France et en Belgique contestaient la collecte par les Etats des données de connexion de citoyens à des fins de renseignement.

Faits 

Revenons tout d’abord en 2015 au Royaume-Uni…

Un rapport de la Commission du renseignement et de la sécurité du Parlement du Royaume-Uni avait rendu public l’existence de pratiques de recueil et d’utilisation de données relatives à des communications de masse par différents services de sécurité et de renseignement du Royaume-Uni.

Ces pratiques étaient autorisées par :

-       une mesure législative qui imposait aux opérateurs d’accès Internet et de téléphonie de conserver toutes les données relatives au trafic et à la localisation de leurs clients

-       une mesure législative qui imposait à ces opérateurs d’accorder aux autorités nationales compétentes l’accès à ces données

Le 5 juin 2015, Privacy International, une organisation non-gouvernementale spécialisée dans la protection des droits de l’Homme et plus particulièrement de la vie privée, avait saisi le tribunal chargé des pouvoirs d’enquête au Royaume-Uni d’un recours en contestant la légalité de ces pratiques au regard du droit de l’Union et notamment de la directive « vie privée et communication électroniques » de 2002.

Procédure 

Privacy International considère que ces pratiques sont illégales au regard du droit de l’Union car elles portent atteinte au droit à la vie privée des citoyens.

Le Gouvernement du Royaume-Uni, défendeur, conteste la compétence du droit de l’Union dans cette affaire. Il considère que l’obligation de conservation des données ainsi que l’obligation de les transmettre sont de la compétence exclusive de chaque Etat membre car cela a trait à la sécurité nationale.

La juridiction britannique a donc interrogé la Cour de Justice de l’UE pour savoir si le droit de l’Union s’appliquait en l’espèce ou non.

La réponse de la CJUE 

1. La CJUE considère que le droit de l’Union s’applique à ces législations nationales.

Ainsi, la Cour de l’Union confirme sa décision Tele2 Sverige et Watson rendue en 2016. Dans cette dernière, elle précisait que les Etats ne pouvaient pas imposer aux opérateurs d’accès Internet et de téléphonie une « obligation généralisée et indifférenciée » de collecte et de conservation des données relatives au trafic et aux données de localisation.

Néanmoins, de nombreux Etats tels que le Royaume-Uni, la Belgique ou encore la France continuaient à exiger des opérateurs qu’ils collectent en masse les données de connexions et leur y donne accès aux fins de renseignement.

2. La CJUE précise que les pratiques dénoncées par Privacy International excède les limites du strict nécessaire et ne saurait être considérées comme étant justifiées, dans une société démocratique.

La CJUE procède ici à un contrôle de proportionnalité.

La CJUE énonce donc que les législations nationales en cause sont contraires au droit de l’Union.

Quid de la Belgique et de la France ?

Même son de cloche côté belge et français pour des faits similaires : https://cdn2.nextinpact.com/medias/arret-c_511_18fr.pdf

- La CJUE précise dans cette deuxième affaire que des mesures législatives imposant aux opérateurs d’accès Internet et de téléphonie, à titre préventif, une conservation généralisée et indifférenciée des données relatives au trafic et à la localisation est également contraire au droit de l’Union car il s’agit d’ingérences particulièrement graves dans les droits fondamentaux garantis par la Charte de l’Union.

Les exceptions à cette interdiction :

1. La CJUE considère qu’un Etat membre faisant face à une menace grave pour la sécurité nationale qui s’avère réelle et actuelle ou prévisible, peut imposer aux opérateurs de conserver de manière généralisée et indifférenciée des données de trafic/localisation. Cette possibilité doit être limitée dans le temps au strict nécessaire et faire l’objet d’un contrôle effectif par une juridiction ou autorité administrative indépendante.

2. La CJUE indique également que les Etats membres peuvent conserver des données de manière ciblée, dans un temps limité au strict nécessaire, sur la base d’éléments objectifs et non discriminatoires, en fonction de catégories de personnes concernées ou au moyen d’un critère géographique.

3. De même, cette directive ne s’oppose pas à de telles mesures prévoyant une conservation généralisée et indifférenciée des adresses IP, pour autant que la durée de conservation est limitée au strict nécessaire.

Ainsi même si la CJUE modifie le cadre d’utilisation des données personnelles, les fournisseurs d’accès Internet/téléphonie pourront tout de même être amené à conserver les données collectées, comme par exemple dans le cadre de la lutte contre le terrorisme.

Les services de renseignements notamment français considèrent la décision de la Cour de l’Union comme un désastre qui entrave sérieusement leur travail d’enquête.

Pour la Quadrature du Net, association spécialisée dans la défense des droits et libertés des internautes et demandeur dans la deuxième affaire, il s’agit d’une « défaite victorieuse » car la CJUE a instauré de nombreuses exceptions à cette interdiction de collecter les données de manière généralisée.

La suite de cette saga sur la surveillance de masse se poursuivra au sein de chaque juridiction nationale (le Tribunal chargé des pouvoirs d’enquête au Royaume-Uni, le Conseil d’Etat en France et la Cour constitutionnelle en Belgique) qui devra se prononcer sur les législations et décrets attaqués.

Sources :

Rapport de la Commission du renseignement et de la sécurité du Parlement du Royaume-Uni sur les données personnelles et la sécurité, mars 2015 

Décision Tele2 Sverige et Watson de la Cour de justice de l’Union européenne, 21 décembre 2016

Décision du tribunal chargé des pouvoirs d’enquête au Royaume-Uni , Privacy International, juillet 2018

Communiqué de presse de la Cour de justice de l’Union européenne, 6 octobre 2020

Décision Privacy International C-623/17 de la Cour de justice de l’Union européenne , 6 octobre 2020

Décision La Quadrature du Net e.a., affaires jointes C-511/18 et C-512/18 et Ordre des barreaux francophones et germanophone e.a., C-520/18 de la Cour de justice de l’Union européenne, 6 octobre 2020

Communiqué de la Quadrature du Net, 6 octobre 2020

Article du Monde, La justice de l’UE s’oppose à la collecte massive des données de connexions Internet et téléphoniques par les Etats, 6 octobre 2020

Directive « vie privée et communication électroniques » de 2002 

[Mise à jour 16/09/2020]

La Haute Cour d’Irlande a ce Lundi 15 Septembre temporairement gelée l’enquête de la CNIL irlandaise, autorisant Facebook à procéder à un contrôle judiciaire de la décision préliminaire de l’autorité de régulation.

L’homologue irlandaise de la CNIL ordonne à Facebook de stopper les transferts de données vers les USA

Les premières conséquences sur l’invalidation de l’accord de transfert transatlantique du Privacy Shield rendue par une décision de la CJUE du 16 juillet 2020 ne se sont pas fait attendre. En effet, comme le rapporte, le Wall Street Journal dans un article publié le 9 septembre, la CNIL irlandaise, Data Protection Commission, a rendu une ordonnance préliminaire contre Facebook fin août.

L’objet : L’autorité irlandaise interdit à Facebook de se prévaloir des clauses contractuelles types afin d’envoyer des données outre-Atlantique. Ainsi, il n’est plus possible pour le géant américain d’envoyer les données des utilisateurs européens vers les serveurs situés aux États-Unis.

Pourquoi : Alors que ces clauses contractuelles types n’ont pas été invalidées par les juges européens, il revenait à chaque autorité nationale d’en apprécier le recours. L’arrêt Schrems II a invalidé le Bouclier de protection des données pour défaut de garanties juridiques offertes par les États-Unis concernant leurs programmes de surveillance (retrouvez notre article ici). L’utilisation des clauses contractuelles types pour transférer les données européennes outre-Atlantique est subordonnée au respect par la législation étasunienne d’un niveau de protection adéquat au droit européen. Or, ce niveau de protection n’étant pas atteint du côté américain, l’usage par Facebook des clauses contractuelles pour le transfert de données transatlantique n’est pas possible.

Conséquences : Facebook doit choisir entre :

- Cesser tout transfert vers les États-Unis en utilisant des serveurs hébergés dans un pays adéquat pour traiter les données des utilisateurs européens ;

- Arrêter tout traitement des données et donc fermer ses services aux utilisateurs européens.

Résistance du Géant américain

Du côté de Facebook, la réaction ne s’est pas fait attendre, car ce dernier a fait appel devant la Haute Cour irlandaise afin de contester l’ordonnance. En effet, alors que l’entreprise dit avoir travaillé durement afin de se conformer à la décision de la CJUE, selon le porte-parole de la société, Nick Clegg déclare que « L'absence d'un mécanisme de transfert de données international, sûr, sécurisé et légal aurait des conséquences néfastes pour l’économie européenne ». La position du 1er réseau social est claire, tant qu’aucune précision n’aura été apportée, elle continuera de transférer les données du Vieux Continent vers ses serveurs américains conformément à la décision des juges européens.

Le refus du géant américain envers la demande du gendarme irlandais est risqué car l’entreprise s’expose à une amende pouvant aller jusqu’à 20 millions d’euros ou bien 4% de son chiffre d’affaires mondial (Article 83 du RGPD). Pour rappel, selon son rapport annuel 2019, Facebook totalise un chiffre d’affaires confortable de 18,5 milliards de dollars [article source https://www.nextinpact.com/lebrief/41302/11058-facebook---pres-de-70-milliards-de-dollars-de-chiffre-d-affaires--2-89-milliards-d-utilisateurs-par-mois] .  

La CNIL irlandaise mettra-t-elle ses menaces à exécution ?

Dans ce cas, face au montant encouru de l’amende, est-ce que Mark Zuckerberg se pliera aux exigences de la Commission ou bien préférera-t-il payer l’amende et tenter le bras de fer ?

Les conséquences de l’invalidation du Privacy Shield

Cette affaire illustre parfaitement l’incertitude juridique de la décision rendue par la CJUE en invalidant le Privacy Shield. Pour Facebook, une décision claire doit être prise, « les entreprises ont besoin de règles claires et précises, étayées par un solide État de droit, pour protéger à long terme les flux de données transatlantiques » [article source https://www.lesnumeriques.com/vie-du-net/privacy-shield-facebook-somme-de-garder-les-donnees-des-utilisateurs-europeens-loin-des-etats-unis-n154327.html].

C’est pourquoi une initiative a déjà été prise par certains acteurs du cloud (Google, IBM, Cisco,..) dans le but de créer des standards internationaux afin d’encadrer le transfert des données personnelles hors UE.

Il est certain que l’arrêt du 16 Juillet 2020 a remis totalement en cause le fonctionnement des GAFAM et plus largement de tous les services en ligne qui constituent notre écosystème numérique, et cela « pourrait avoir un effet très significatif sur les entreprises qui en dépendent et sur les services en ligne dont dépendent de nombreuses personnes et entreprises », selon Nick Glenn.

Alors que certains pointent la décision et les lourdes conséquences que cela pourrait avoir sur l’économie européenne, d’autres plaident pour une souveraineté européenne et voient une opportunité pour le développement des entreprises de la tech européennes ainsi qu’une réforme du droit américain.

La révision du Privacy Shield ainsi que l’enquête de la CNIL irlandaise devraient nous apporter plus de réponse sur l’avenir du transfert des données personnelles.

Invalidation du Privacy Shield par la CJUE : quelles conséquences pour les entreprises transférant des données vers les Etats-Unis ?

RAPPEL JURIDIQUE

Tout d’abord, il est de bon ton de rappeler quelques règles juridiques de base.

L’accord Privacy Shield était un mécanisme d’auto-certification permettant aux entreprises américaines de traiter des données personnelles de citoyens européens. Il avait pour fondement juridique une décision d’adéquation de la Commission Européenne (Décision d'exécution (UE) 2016/1250 de la Commission du 12 juillet 2016).

La Commission Européenne avait donc considéré que ce mécanisme offrait des garanties équivalentes à celles mises en œuvre par le droit de l’Union en matière de protection des données personnelles.

Néanmoins, la Cour de Justice de l’Union Européenne (CJUE) est habilitée à se prononcer sur la validité d’un acte de l’Union sur renvoi préjudiciel.

Dans le cas d’espèce, la CJUE indique aux autorités nationales que le mécanisme du Privacy Shield n’est pas valide au regard du droit de l’Union mais que les clauses contractuelles types encadrant les transferts de données vers des états tiers sont valides sous réserve de mécanismes effectifs de protection.

QUE DIT LE COMITÉ EUROPÉEN DE PROTECTION DES DONNÉES ?

Le CEPD interdit désormais tout transfert de données personnelles vers les Etats-Unis fondé sur le Privacy Shield, et ce de manière immédiate [1].

QUE DISENT LA COMMISSION EUROPÉENNE ET LE SECRÉTAIRE DU DÉPARTEMENT DU COMMERCE AMÉRICAIN ?

Dans un communiqué paru le 10 août 2020 sur le site de la Commission européenne, il est simplement indiqué que la Commission et le département du commerce américain allaient entamer des discussions afin d’améliorer le Privacy Shield afin de se conformer à la décision de la CJUE [2].

QUE FAIRE ?

Par suite de l’invalidation du Privacy Shield par la CJUE, plus de 5300 entreprises certifiées Privacy Shield doivent désormais trouver un nouveau mécanisme garantissant la protection des données personnelles en matière de transfert UE-Etats-Unis [3].

Il reste alors à évaluer les mécanismes les plus pertinents au cas par cas :

·       Les clauses contractuelles types de la Commission européenne (dans le respect des réserves émises par la CJUE)

·       Les règles d’entreprise contraignantes (article 47 du RGPD)

·       Les codes de conduite (article 46 du RGPD)

·       Les exceptions de l’article 49 du RGPD tels que le traitement fondé sur le consentement de la personne concernée ou sur l’exécution d’un contrat [4]

Chaque entreprise réalisant des transferts de données personnelles devra procéder en plusieurs étapes :

1.       Cartographier ses transferts et ses contrats

2.       Auditer ses cocontractants pour vérifier la localisation des transferts de données, si possible interdire les transferts vers les Etats-Unis   

3.       Si transfert vers les Etats-Unis, modifier ses contrats pour obliger le prestataire américain à ne divulguer les données que sur décision de justice

4.       Auditer ses cocontractants en cours d’exécution du contrat pour vérifier qu’ils se conforment bien aux exigences du RGPD

5.       Informer les personnes concernées par le transfert vers les Etats-Unis et leur indiquer leurs droits

Si vous ne pouvez pas mettre en place les garanties appropriées et que vous souhaitez continuer à transférer vos données vers les Etats-Unis, vous êtes tenus de notifier votre autorité de contrôle [5].

Au regard de l’incertitude juridique régnant actuellement et dans l’attente de précisions de la part des autorités de protection de données, il est aujourd’hui souhaitable et fortement recommandable de :

• Exiger des garanties contractuelles supplémentaires du prestataire situé sur le territoire américain (qui soient plus protectrices que les CCT actuelles).

• Recourir à des prestataires dont les centres de données se situent sur le territoire de l’Espace Economique Européen.

• Recourir à des prestataires dont les centres de données se situent sur le territoire d’un pays présentant un niveau de protection adéquat.

• Transférer des données vers les Etats-Unis dans les cas limitativement énumérés par l’article 49 du RGPD si ces transferts ne sont pas répétitifs et ne concernent qu’un nombre limité de personnes.
  

[1] https://www.cnil.fr/fr/invalidation-du-privacy-shield-la-cnil-et-ses-homologues-analysent-actuellement-ses-consequences

[2] https://ec.europa.eu/info/news/joint-press-statement-european-commissioner-justice-didier-reynders-and-us-secretary-commerce-wilbur-ross-7-august-2020-2020-aug-07_en

[3] https://www.commerce.gov/news/press-releases/2020/07/us-secretary-commerce-wilbur-ross-statement-schrems-ii-ruling-and

[4] https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_2_2018_derogations_en.pdf

[5] https://www.cnil.fr/fr/invalidation-du-privacy-shield-les-premieres-questions-reponses-du-cepd

•  Rappel du contexte :

Ce jeudi 16 juillet 2020, la Cour de Justice de l’Union européenne (CJUE) a rendu une décision qui a eu l’effet d’une bombe (CJUE, Aff. C-311/18, Data Protection Commissioner contre Facebook Irlande Ltd et Schrems). Bien qu’assez prévisible, la Cour invalide la décision d’exécution (UE) 2016/1250 du 12 juillet 2016 relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-Etats-Unis, dit « accord Privacy Shield ». Adopté en 2016, à la suite de l’invalidation de l’accord du Safe Harbor par la CJUE, le Privacy Shield avait pour mission d’encadrer le transfert des données personnelles entre l’Europe et les États-Unis. Cependant dès ses débuts, ce « bouclier » fait l’objet d’attaques de la part du Parlement européen, de la CNIL et de diverses associations (La quadrature du Net, NYOB). Ces entités reprochaient l’accès des services de sécurité américaine (FBI, NSA …)  aux données européennes transférées, à la suite des révélations d’Edward Snowden de 2013. D’ailleurs, le G29 avait jugé trop faible les dispositions du texte encadrant les données personnelles transmises Outre Atlantique ainsi que trop complexes les modalités de recours à un médiateur américain.

• Les Faits :

[1]Cette affaire débute par l’arrêt Schrems I, dans lequel Maximilian Schrems, activiste autrichien et fervent défenseur de la protection de la vie privée, décide de porter plainte auprès de l’Autorité irlandaise de contrôle[2] pour contester les transferts[3] des données personnelles européennes opérés par Facebook vers les États-Unis. En tant qu’utilisateur Facebook, ses données à caractère personnel[4] étaient transférées par Facebook Irlande vers les centres de données de Facebook Inc établis aux États-Unis afin d’y être traitées. Cependant, ce dernier reprochait une protection trop faible de la part de la législation américaine, notamment du fait de l’ingérence des services de sécurité américaine dans les données européennes transmises.

Dans un premier temps, cette demande fut rejetée au motif que dans sa décision 2000/520 du 26 juillet 2000, la Commission européenne avait jugé que les États-Unis assuraient un niveau de protection adéquat[5].

Peu de temps après, à la suite d’une question préjudicielle posée par la Haute Cour d’Irlande, la CJUE affirma l’inverse et annula l’accord Safe Harbor[6]. De là, M. Schrems fut invité par l’Autorité de contrôle irlandaise à reformuler sa plainte[7], dans laquelle, il demanda d’interdire pour l’avenir la transmission des données personnelles européennes vers les États-Unis, surtout que Facebook Irlande effectuait désormais ce transfert sur le fondement des clauses types de protection de l’annexe de la décision 2010/87[8] .

Alors que l’Autorité de contrôle irlandaise initia une procédure devant la Haute Cour d’Irlande, afin que cette dernière pose une question préjudicielle à la CJUE. Au même moment, on apprenait l’adoption de l’accord Privacy Shield par une décision de la Commission européenne, en date du 12 juillet 2016 (UE 2016/1250).

• Problème :

La Haute Cour d’Irlande a alors fait un recours préjudiciel devant la CJUE afin que celle-ci se prononce sur : l’applicabilité du RGPD en matière de transfert de données fondé sur des clauses contractuelles types (1), le niveau de protection requis par le RGPD dans le cadre d’un tel transfert (2), ainsi que sur la validité de ces clauses et de l’accord Privacy Shield (3).

• Apports :

C’est par une décision très attendue, que la CJUE rend un arrêt le 16 juillet 2020, dans lequel elle invalide le bouclier de protection des données UE/États-Unis mais juge la décision relative aux clauses contractuelles types conformes à la Charte des droits fondamentaux de l’Union.

Pour rappel, le RGPD met en place des mécanismes qui encadrent le transfert des données personnelles vers des pays tiers. L’accord du Privacy Shield est un des principaux mécanismes permettant une adéquation. Cependant en l’absence de cet accord, il revient au responsable de traitement de s’assurer de cette adéquation en vertu de l’article 46 du RGPD

La CJUE répond aux deux (2) premières questions préjudicielles ; et :

-          Confirme que le droit de l’Union et a fortiori le RGPD s’applique aux transferts de données personnelles européennes vers les États-Unis, dans un but commercial et même si les données sont au cours du transfert susceptibles d’être traitées à des fins de sécurité publique, de défense et de sûreté de l’État par les autorités américaines.[9]

-          Affirme que dans le cadre du transfert des données personnelles fondé sur des clauses types de protection, le niveau de protection requis par le RGPD en matière de droit des personnes concernées (droits opposables et voies de droit effectives) doit être substantiellement équivalent au droit de l’Union[10]. Dans son considérant 108, le RGPD rappelle que des garanties doivent  « assurer le respect des exigences en matière de protection des données et des droits des personnes concernées d’une manière appropriée au traitement au sein de l’Union, y compris l’existence de droits opposables de la personne concernée et de voies de droit effectives, ce qui comprend le droit d’engager un recours administratif ou juridictionnel effectif et d’introduire une action en réparation, dans l’Union ou dans un pays tiers. ».

La Cour rajoute que les autorités de contrôle doivent obligatoirement suspendre ou interdire un tel transfert vers un pays tiers lorsque les clauses types de protection des données ne sont pas respectées conformément au droit de l’Union dans l’État en question[11].

o    L’accord Privacy Shield = Une invalidité des transferts de données  

De façon assez prévisible, les juges européens décident d’invalider l’accord Privacy Shield au motif que « les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis portant sur l’accès et l’utilisation par les autorités publiques américaines ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union, par le principe de proportionnalité, en ce que les programmes de surveillance fondés sur cette réglementation ne sont pas limités au strict nécessaire ».

Il est clair que pour la Cour, la législation américaine ne limite pas au strict minimum l’accès de ses autorités aux données personnelles et ne répond donc pas au principe de proportionnalité, encadrant la protection des données. L’exigence d’équivalence prévue à l’article 45 du RGPD n’est donc pas respectée. En effet, il n’existe aucune limitation à la permission de certains programmes de surveillance à user des données transmises, ni de garanties fortes pour les citoyens non américains, éventuellement visés et encore moins pour ces derniers, de droits concrets à opposer aux autorités américaines devant le juge.

Enfin, la possibilité du recours à un médiateur américain, (comme indiqué dans la décision BPD) n’assurait pas selon la Cour, l’indépendance du médiateur à prendre des décisions contraignantes à l’encontre des services de renseignements américains.[12]

 Cet arrêt a donc un impact important sur toutes entreprises transférant des données vers les États-Unis qui vont devoir revoir leurs contrats. En effet, dans sa FAQ sur l’invalidation du Privacy Shield, la CNIL affirme qu’aucun délai de grâce n’est offert aux entreprises transférant des données aux États-Unis sur le cadre juridique du Privacy Shield car la loi américaine ne fournit pas un niveau de protection équivalent à celui de l’Union européenne.

o   La validation des clauses contractuelles types

La CJUE valide la décision 2010/87 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants situés dans des pays tiers[13]. Il s’agit d’un modèle de contrat type défini par la Commission européenne autorisant les entreprises à exporter les données personnelles de citoyens européens vers le reste du monde[14].

Une condition est néanmoins à respecter : L’usage de clauses contractuelles types est autorisé seulement si le niveau de protection imposé par le droit européen est assuré. La CNIL précise que cette évaluation, doit prendre en compte les circonstances des transferts et les mesures supplémentaires qu’il est possible de mettre en place.

Dans le cas contraire, le transfert de données devra soit être suspendu, soit interdit par le responsable de traitement. Un travail de renforcement des clauses relative à la protection des données personnelle devra être effectué, afin que les entreprises puissent transmettre des données à leur filiales ou maison mères situées sur le sol américain.

Attention, bien qu’en théorie, la CJUE donne la liberté à chaque entreprise de décider si les données personnelles transférées dans le pays destinataire sont conformément protégées ; en pratique sa mise en œuvre semble être beaucoup plus hasardeuse. En effet, alors que la Cour reproche à la législation américaine de ne pas respecter les droits du RGPD, elle ne tranche pas la question concernant le transfert de données sur le sol américain, laissant planer une insécurité juridique. Comme indiqué dans ses conclusions, la protection offerte par la législation américaine est insuffisante et les clauses types ne permettent pas un encadrement du transfert des données suffisantes. Cette question se posera pour tous les États disposant de lois relatives à la sécurité nationale qui permettent des ingérences dans les droits fondamentaux européens (Exemples : Australie, Chine).  

En effet comme le précise la CNIL dans sa FAQ, il sera possible de transférer des données vers des États tiers en se fondant sur les clauses types ou des règles d’entreprises contraignantes à condition qu’importateur et exportateur, vérifient que dans leur mise en œuvre, le niveau de protection demandé par le RGPD soit respecté dans le pays tiers.

Il est également possible de fonder un transfert de données vers un État tiers sur une nouvelle mesure d’adéquation. Il s’agit d’une mesure se fondant sur les lois nationales de l’État tiers pour déterminer qu’il assure un niveau de protection substantiellement équivalent à celui de l’Union en matière de droits et libertés fondamentales.

Néanmoins, ces mesures sont aujourd’hui en nombre restreint. En effet, il n’existe pour le moment de mesures d’adéquation que pour les pays suivants :  Andorre, Argentine, Canada (accord partiel), les îles Féroé, Guernesey, Israël, l’île du Man, Japon, Jersey, Nouvelle-Zélande, Suisse et Uruguay.

Il faudrait donc que la Commission européenne et les États-Unis renégocient un nouvel accord.

Ainsi, même si les clauses contractuelles types sont validées par le règlement[15] de nombreuses questions restent en suspens tel que leur articulation en pratique par le responsable de traitement, le destinataire des données et le sous-traitant qui s’engagent à mettre en place un traitement en conformité avec le règlement. Ainsi que la définition des notions d’exportateur et/ou de destinataire de données, qui relèvera des autorités européennes en accord avec les autorités américaines.

La CNIL a d’ores et déjà commencé à répondre à quelques interrogations à la suite de l’invalidation du Privacy Shield. Ainsi elle rappelle que l’article 28.3 du RGPD régit les relations entre le responsable de traitement et les sous-traitants, et que ce dernier ne peut effectuer des transferts vers un autre État que s’il dispose d’une autorisation contractuelle. L’autorité de contrôle précise aussi les cas de dérogation possible au transfert de données personnelles vers les États-Unis ainsi que les modalités entourant l’utilisation des clauses de contrat type ou des BCR.

Et demain : Une souveraineté nationale ?

Cette décision a provoqué de nombreuses réactions, tant du côté européen que du côté américain. Pour l’Autorité de contrôle irlandaise et pour Max Schrems, la réponse de la CJUE est synonyme de victoire pour le respect de la vie privée. La Commissaire européenne Věra Jourová, a d’ailleurs revendiqué son souhait que le gouvernement américain adopte une loi fédérale équivalente au RGPD pour assurer une protection forte contre l’ingérence des autorités de surveillance.

Cependant outre-Atlantique, le Secrétaire au Commerce, Wilbur Ross a fait part de sa déception quant à la décision de la Cour, et déclare que le Département du Commerce continuera à se fonder sur l’accord Privacy Shield, de même que les parties qui sont liées contractuellement à l’accord. La Computer & Communications Industry Association (organisation réunissant notamment Google, Samsung et Amazon) souligne quant à elle, l’inquiétude et le flou juridique d’une telle décision sur les grands groupes américains.

Même si l’arrêt ne concerne pas les données dites nécessaires telles que le contenu de courriel ou la réservation d’un voyage, la transmission de données est indispensable à la continuité de l’économie numérique. Il est donc urgent que les dirigeants politiques européens et américains trouvent ensemble, un accord conforme aux droits de l’Union. Le commissaire européen à la Justice, Didier Reynders a d’ailleurs déclaré travailler sur des outils afin que la protection des données personnelles soit assurée lors de leur transfert outre-Atlantique.

Par cette décision, le but n’est pas que l’Union européenne s’isole du reste du monde car cela aurait des conséquences négatives sur la compétitivité des entreprises européennes, et cela empêcherait la bonne collaboration internationale sur des sujets sensibles tels que la lutte contre le cybercrime, le terrorisme ou encore la crise sanitaire du Covid-19.

La décision de la CJUE est une sorte de rappel à l’ordre des autorités de contrôle jugées trop indulgentes dans la mise en œuvre du RGPD. La CNIL a d’ailleurs fait savoir qu’elle a pris connaissance de l’arrêt [16] et qu‘elle collabore avec les autres autorités européennes afin de mettre en œuvre des mécanismes permettant un transfert en adéquation avec la décision rendue.  

Cet arrêt encourage donc les entreprises à reconsidérer le traitement des données personnelles sur le sol européen, dans le but de se conformer au RGPD. Mais surtout, afin de s’affranchir de la domination états-unienne et peut-être affirmer une souveraineté numérique européenne.

Base juridique :

·        Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données

o    Articles 3 ; 26 ; 28

·        Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE dit « RGPD »

o    Considérants 6 ; 10 ;101 ; 103 ; 107 à 109 ; 114 ; 116 ; 141

o    Articles 2 ; 4 ; 23 ; 45 ;46 ;49 ; 51 ; 57 ; 58 ; 64 ; 77 ; 78 ; 94

·        Décision CJUE, Aff. C-311/18, Data Protection Commissioner contre Facebook Ireland Ltd et Schrems

o    Décision CPT :

Considérant 11

Articles 1 ; 3 ; 4 ; 5 ; 6 ; 8 ; 9 ; 12

o    Décision BPD :

Considérants 68 ; 69 ; 76 ; 77 ; 109 ; 112 à 116 ; 120 ; 136 ; 140

·        Décision  d’exécution (UE) 2016/1250 du 12 juillet 2016 relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-Etats-Unis

·        Décision de la Commission européenne du 26 juillet 2000 conformément à la directive 95/46/CE relative à la pertinence de la protection assurée par les principes de la « sphère de sécurité »

·        Décision de la Commission européenne du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE

[1] Point 50 de la décision

[2] Article 51 du RGPD

[3] Article 28 de à la directive 95/46/CE (aujourd’hui considérant 141 et article 77 du RGPD)

[4] Définition à l’article 4 du RGPD

[5] Décision de la Commission européenne du 26 juillet 2000 conformément à la directive 95/46/CE relative à la pertinence de la protection assurée par les principes de la « sphère de sécurité » (article 3/25/26)

[6] Arrêt de la CJUE du 6 octobre 2015, « Schrems », C-362/14

[7] Article 78 RGPD

[8] Décision de la Commission européenne du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE

[9] Point 89 de la décision

[10] Considérant 114 ; 116 du RGPD et point 105 de la décision

[11] Considérant 107 à 109 du RGPD et point 121 de la décision

[12] Point 196 de la décision

[13] Point 149 de la décision

[14] Article 46 §1 et §2 c) et d) du RGPD

[15] Considérant 81 ; 108 ; 109 ; 168 et article 28 ; 64 du RGPD

[16] Communiqué de la CNIL du 17 juillet 2020

En cette période d’état d’urgence sanitaire lié à l’épidémie du Covid-19, l’objectif des pouvoirs publics est de limiter la propagation du virus.   

Le dispositif déployé par le Gouvernement dans cet optique est large, et n’est pas seulement limité à l’application Stop Covid, car elle couvre aussi les fichiers SI-Dep et Contact Covid. 

Le fichier SI-DEP nommé « Système d’Informations de DEPistage » est une base de données enregistrant les résultats des laboratoires des tests effectués par les laboratoires ainsi que les établissements hospitaliers.  

Le fichier Contact Covid est quant à lui, une aide apportée aux professionnels de santé, les permettant de prendre en charge les cas infectés par le virus. 

Ces outils numériques ont donc pour but d’identifier le plus rapidement possible, les personnes contaminées, celles qui sont susceptibles d’avoir contaminé ainsi que les chaînes de contamination. 

La star de ce plan de déconfinement reste Stop Covid qui est une application mobile de traçage de contacts de l’utilisateur, ayant pour objectif d’identifier les chaines de contamination et de les avertir lorsqu’ils ont été en contact avec des personnes ayant été testés positif au virus.  

Il s’agit d’une application sans tracking qui est basé uniquement sur le volontariat. Ainsi seulement les personnes ayant téléchargé puis activé l’application sont aptes à s’échanger des informations.  

Ce dispositif d’alerte utilise la technologie du Bluetooth et n’a donc pas recours à la géolocalisation. 

Cependant, contrairement à ce qui est dit par les fervents défenseurs de l’application, les données ne sont pas anonymes.  

C’est en effet, ce que la CNIL rappelle dans une FAQ qui vient d’être publiée : les informations traitées ne sont pas « anonymisées» au sens du RGPD.  

Il est plus exacte de parler de pseudo : tout au long de l’utilisation de l’application, une liste de pseudonymes temporaires des appareils « croisés » les derniers 14 jours, est stocké dans le smartphone de l’utilisateur. Aucun fichier des contacts personnels, ni de personnes atteintes du virus ne devrait donc être constitué.  

L’utilisateur contaminé aura le choix de faire remonter les données pseudonymisées de ses contacts vers un serveur central et sera invité à consulter un médecin.  

Ce qu’en pense la CNIL 

Saisie en amont de la mise en place, la CNIL a rendu 2 avis favorables les 24 avril 2020 et 25 mai 2020 sur :  

• la mise en oeuvre de l’application « Stop Covid » ; et  

• l’encadrement juridique des fichiers SI-Dep et Contact Covid.  

Dans ses avis la CNIL, constate que « ses principales recommandations ont été prises en compte et estime ainsi que ce dispositif temporaire, basé sur le volontariat, peut légalement être mis en œuvre ».  

Quelques réserves sont maintenues par la Commission :  

• sur la nécessité d’offrir de meilleures garanties aux utilisateurs s’agissant des conditions d’utilisation et des modalités d’effacement des données personnelles ainsi qu’établir un fondement législatif beaucoup plus explicite ;  

• sur l’importance du suivi des données des personnes vulnérables que sont les mineurs ;  

• ainsi que de confirmer le droit d’opposition et le droit d’effacement des données pseudonymisées enregistrées, dans le décret à venir.  

Enfin, la CNIL souligne que la durée de vie de l’application ne doit pas excéder les 6 mois suivant la date de fin de l’état urgence sanitaire (en principe arrêté au 10 juillet 2020). Elle réclame aussi au Gouvernement, le libre accès et dans son intégralité au code source.  

Ce que contrôle la CNIL  

Deux jours seulement après la sortie de l’application StopCovid et avec le cap du million d’utilisateurs franchi quelques jours après, l’Autorité administrative se lance dans un contrôle à posteriori afin de vérifier sur le terrain, le bon fonctionnement des dispositifs mis en place. 

Le but ? Simple, vérifier que ses recommandations concernant les modalités de recueil du consentement et d’information des personnes ont été respectées.  

Le CNIL sera donc très vigilante sur les droits d’accès et d’opposition des personnes, tout comme sur les dispositifs de sécurité mis en place afin de protéger les flux de données. 

Ces contrôles débuteront dès le mois de juin et continueront pendant toute la période d’utilisation des fichiers, jusqu’à la fin de leur utilisation et de la suppression des données collectées. 

Ils seront effectués sur le terrain, c’est-à-dire dans les locaux de la Caisse Nationale de l’assurance maladie (CNAM) et du ministère des Solidarités et de la Santé. Mais aussi en ligne pour l’app StopCovid, ainsi que par le biais de questionnaires et de demandes de documents. 

La Commission met en garde sur sa volonté le cas échéant d’adopter des mesures correctrices telles que des mises en demeure et/ou des sanctions en cas de non-respect de ces points de façon grave ou répété. 

La réalisation de ces contrôles sera utile afin d’alimenter le rapport communiqué par le Gouvernement au Parlement effectué tous les trois mois concernant la mise en œuvre des systèmes d’information développés pour lutter contre la propagation de l’épidémie (article 11 de la loi n° 2020-546 du 11 mai 2020 prorogeant l’état d’urgence sanitaire). 

Il s’agit là du premier chapitre d’une longue saga sur la gestion de crise mêlant à la fois les questions de vie privée et de sécurité.  

Sources  

CNIL, L’application mobile StopCovid en questions, 5 juin 2020 

CNIL, SI-DEP, Contact Covid et StopCovid : la CNIL lance sa campagne de contrôles, 4 juin 2020 

Le Brief, La CNIL rappelle que StopCovid n'est pas anonyme, Cédric O évoque « 1 million » d'utilisateurs (ou d'activations), 8 Juin 2020, Next Inpact

En cette période de fêtes, les cadeaux ne sont pas les seuls à arriver dans nos boîtes aux lettres. Les courriers électroniques nous informant des mises à jour de politiques de confidentialité ou de conditions d’utilisation se multiplient, un phénomène qui n’est pas sans rappeler la frénésie qui a précédé l’entrée en application du RGPD.

Et pour cause. Le California Consumer Privacy Act (« CCPA »), promulgué le 28 juin 2018, entre en application le 1er janvier 2020. De l’autre côté de l’Atlantique, le RGPD a ainsi fait des émules.

Si son entrée en vigueur commence à dater, la question de son application est, elle, toujours d’actualité pour bien des entreprises, aussi bien françaises qu’européennes ou internationales. Dès lors, l’apparition de ce nouveau texte pose beaucoup d’interrogations : quel est son but ? quelles sont ses implications pour les entreprises ? comment le concilier avec le RGPD ? etc.

Une loi née d’une initiative citoyenne

L’originalité de cette loi est qu’elle est le résultat d’une prise de conscience et d’une initiative citoyenne. L’association Californians for Consumer Privacy a porté ce texte par un référendum signé par plus de 600 000 Californiens. Le texte a ensuite été repris par le Parlement d’état. Cette loi est donc le produit d’une prise de conscience citoyenne.

Cette loi vise principalement à permettre aux résidents californiens de savoir quelles données personnelles sont collectées à leur sujet, de refuser la vente de leurs informations et de bénéficier de garanties concernant le traitement de leurs données personnelles. Tout comme pour le RGPD, l’objectif -louable- est de permettre aux personnes de reprendre le contrôle de leurs informations personnelles.

Les entreprises sont dorénavant tenues de communiquer aux particuliers les informations qu’elles détiennent sur eux ou encore de recueillir le consentement explicite de la personne avant la vente de ces données.

Si les deux textes présentent des similitudes, ils ne sont cependant pas sans différences.

Les différences entre le RGPD et le CCPA

1.   Le champ d’application territorial

Alors que le RGPD s’applique à toutes les organisations qui traitent les données de personnes physiques présentes sur le territoire européen, le CCPA ne s’applique que si trois critères se trouvent réunis :

1. Être une entreprise ;

2. Basée en Californie ;

3. Dont le chiffre d’affaires brut annuel dépasse les 25 millions de dollars OU dont plus de 50% de l’activité trouve sa source dans la vente de données personnelles OU qui détient les données personnelles de plus de 50 000 personnes, ménages ou appareils.

Concrètement, seules sont visées les grandes entreprises californiennes et celles qui se spécialisent dans la marchandisation de la donnée, comme les régies publicitaires. Le choix de ces critères alternatifs rappellent ainsi ont peut-être été choisis car ne sont pas sans rappeler le scandale Cambridge Analytica.

2. La définition d’une donnée personnelle

Le RGPD définit la donnée personnelle de manière très large. Il s’agit de toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement. Le texte s’arrête à cette définition, après avoir donné plusieurs exemples.

La définition donnée par le CCPA est similaire, mais comporte toutefois des exclusions explicites. Ainsi, les informations librement rendues publiques par les gouvernements locaux, d’état et fédéral, ne sont pas considérées comme des données personnelles.

3. Les droits conférés

Les deux législations protègent le droit à l’information ainsi que le droit d’accès aux données personnelles de chaque individu. Le CCPA protège en outre :

• Le droit de demander l’interdiction de la vente de ses informations personnelles. Un tel droit se manifeste par un opt-out spécifique qui doit être visible sur les sites des entreprises concernées.

• Le droit de ne pas subir de discrimination à la suite de l’exercice de ses droits. Autrement dit, chacun doit pouvoir profiter d’un service de même qualité à un même prix.

Il faut noter que ces droits ne concerneront que les résidents californiens, soit environ 40 millions de personnes. Par comparaison, le RGPD concerne non seulement les 513,5 millions de résidents sur le territoire de l’Union Européenne (« UE »), mais aussi toute personne, même non-résidente en UE, dont les données sont traitées par une entreprise située sur ce territoire.

4. Les sanctions

Les sanctions du RGPD qui sont aujourd’hui bien connues, peuvent aller jusqu’à 4% du chiffre d’affaires mondial de l’organisation sanctionnée ou encore 20 millions d’euros. Le CCPA, lui, se distingue de deux manières.

D’une part, il distingue entre les violations de données, pour lesquelles le consommateur peut poursuivre l’entreprise concernée, et la non-conformité en général, pour laquelle seul le Procureur Général peut poursuivre en justice.

D’autre part, les sanctions financières peuvent aller jusqu’à 7 500$ par violation. Ce nombre paraît minime, comparé aux sanctions prévues par le RGPD. Néanmoins, les violations peuvent aisément s’accumuler et seul l’avenir dira comment ces sanctions seront appliquées.

Aucune autorité de contrôle n’existant en Californie, le Procureur Général s’en rapproche le plus. En effet, les entreprises peuvent lui demander conseil sur leur mise en conformité. Ce surplus d’activités devra être géré par ses services et il est raisonnable de penser qu’un temps d’adaptation et des moyens supplémentaires devront être déployés avant le prononcé de sanctions effectives. De l’aveu même du Procureur Général en exercice, Xavier Becerra, seuls trois poursuites pourraient être menées en 2020.

Conclusion

Si le CCPA semble s’inspirer du RGPD, ces deux textes ne revêtent pas la même portée.

Le CCPA représente une étape incontestable vers une prise de conscience à l’échelle du continent américain.

Toutefois, ce texte pose de véritables questions, non seulement en termes d’application en parallèle au RGPD, mais aussi parce qu’il autorise de manière explicite la vente de données personnelles. Cette étape n’a à ce jour pas été franchie en Europe et fait l’objet d’un sérieux débat sur la marchandisation des données d’un individu.

Ainsi, la question de la possibilité et de l’opportunité d’harmoniser les législations à l’échelle mondiale est une fois de plus posée.

Sources et documents sur les sujets abordés dans cet article

https://leginfo.legislature.ca.gov/faces/codes_displayText.xhtml?division=3.&part=4.&lawCode=CIV&title=1.81.5.

https://www.caprivacy.org/about

https://www.kqed.org/news/11792899/the-california-consumer-privacy-act-mandates-what-again-exactly

https://www.nextinpact.com/news/106349-retour-sur-scandale-cambridge-analytica-et-molle-reponse-facebook.htm

https://www.nextinpact.com/news/106454-affaire-cambridge-analytica-pressions-europeennes-saccentuent-sur-facebook.htm

Brève actu sur la décision CJUE, 1er oct. 2019, Planet49

Les faits semblent familiers. Un site, en l’espèce, édité par la société Planet49, organise un jeu. Les participants remplissent un formulaire d’inscription. La case autorisant l’exploitation de leurs données personnelles à des fins publicitaires est décochée, mais celle autorisant l’installation de cookies publicitaires au bénéfice des plusieurs dizaines de partenaires de Planet49 sur le matériel des participants, elle, l’est bel et bien. Il était également impossible de participer au jeu sans accepter cette condition. La Fédération allemande des organisations de consommateurs a donc assigné Planet49. Le renvoi préjudiciel devant la CJUE a abouti un rejet formel d’une telle pratique par la Cour des "cookies walls"

L’essentiel à retenir : 3 points pratiques

• Le consentement doit être actif ainsi fini les bandeaux d’information sur les cookies ou les cases cochées par défaut : les juges sont catégoriques sur ce point et jugent intolérable de se contenter de bandeaux informatifs sur les cookies ou de cases cochées par défaut.

• Tous les cookies sont concernés y compris les cookies nécessaires au fonctionnement du site : Ce principe de consentement actif s’applique aussi aux cookies qui ne collectent pas de données personnelles. Il s’agit d’un apport important, car beaucoup d’entreprises n’offrant pas de service de e-commerce négligent cet aspect de leur site internet ; après tout, leur site n’utilise que des cookies de fonctionnement et/ou de statistiques

• Les durées de fonctionnement et les tiers qui ont accès doivent être révélés : les responsables de traitement doivent indiquer la durée de fonctionnement des cookies mais aussi la possibilité pour un tiers d’y accéder. Les entreprises devront donc mentionner chacun des partenaires qui ont communication de ces cookies.

Un apport peut-il en cacher un autre ?

Cette décision n’est peut-être pas surprenante car elle confirme des principes de protection des données déjà bien établis, notamment dans le RGPD en matière de consentement et de transparence. Bien que les faits jugés datent de 2013, nous pouvons analyser que cette décision s’applique après l’entrée en vigueur du RGPD.

Selon nous, son véritable apport réside dans la position prise par la Cour de justice de l’Union européenne vis-à-vis des autorités de protection nationales. La Cour donne ainsi le ton. En comparaison, la CNIL avait accordé aux entreprises un délai additionnel d’un an pour se mettre en conformité relativement à l’installation de cookies, une faveur que la Quadrature du Net avait attaquée en justice.

La décision de la CJUE est donc une raison de plus d’attendre le verdict du juge administratif dans cette affaire.

Pour aller plus loin : #CJUE #NextInpact #CNIL