Voilà déjà quelques jours que la campagne de vaccination anti-COVID-19 a débuté. En France, comme dans de nombreux autres pays européens, le Gouvernement est vivement critiqué pour sa lenteur. On peut néanmoins noter de précieuses informations quant à la protection des données personnelles dans le cadre de cette campagne et à la garantie du respect des droits et libertés fondamentales des patients.

Revenons au 10 décembre 2020 lorsque la CNIL s’est prononcée sur un projet de décret autorisant la création d’un système d’information (SI) « VACCIN-COVID » où seraient traitées des données personnelles afin de gérer et suivre la campagne de vaccination contre la COVID-19.

La CNIL est ainsi venue encadrer ce traitement en adressant au Ministre de la santé des recommandations visant à assurer la conformité du traitement à la règlementation en vigueur.

Le décret autorisant la création d'un traitement de données à caractère personnel relatif aux vaccinations contre la COVID-19 est entré en vigueur le 26 décembre 2020.

Le 30 décembre 2020, la CNIL a pris acte des améliorations apportées au décret, à la suite de ses recommandations.

Il est important de noter que la vaccination contre la COVID-19 n’est pas obligatoire en France, à ce jour. En effet, les seuls vaccins obligatoires sont limitativement énumérés aux articles L3111-1 et suivants du Code de la santé publique.

Le fait que le VACCIN COVID ne soit pas obligatoire en l’absence de modifications législatives en ce sens, participe au respect du droit à l’intégrité de la personne, c’est-à-dire notamment le droit de donner son consentement libre et éclairé dans le cadre d’actes médicaux. Ce principe est garanti à tout citoyen, conformément à la Charte des droits fondamentaux (article 3).

Le Gouvernement est d’ailleurs venu mettre en avant l’importance de la traçabilité du recueil du consentement lors de la campagne de vaccination, dans son guide à destination du personnel de santé habilité à administrer le vaccin anti-COVID. :

« Il est indispensable d’assurer la traçabilité du recueil du consentement. L’ensemble de la procédure (consultation pré-vaccinale, consentement, vaccination, suivi) est inscrit dans le dossier médical du patient et retracé dans le système d’information de suivi de la vaccination (VACCIN-COVID). »

A titre d’exemple, en Espagne, la vaccination reste certes volontaire mais le Ministre de la Santé a indiqué que le Gouvernement allait tenir un registre des personnes refusant de se faire vacciner contre la COVID-19, fichier amené à être partagé avec d’autres pays européens.

1) Sur les finalités poursuivies (article 1 du décret)

Le SI « VACCIN-COVID » vise à :

- organiser la vaccination des personnes,

- organiser le suivi et l'approvisionnement en vaccins et consommables,

- organiser la production d'informations à destination des personnes vaccinées,

- organiser la mise à disposition de données relatives à la vaccination à des fins de calcul d'indicateurs et de recherche,

- organiser un suivi de pharmacovigilance ainsi que la prise en charge financière des actes liés à la vaccination.

Le projet de décret prévoyait également comme finalité de traitement, l’identification et l'orientation vers un parcours de soins adapté. Or, la CNIL a demandé au Gouvernement de préciser cette notion, ce qui fut chose faite. Le Gouvernement a ainsi indiqué qu’il s’agissait d’orienter les personnes souffrant d'effets indésirables dus à la vaccination.

La CNIL a alors constaté que les finalités du traitement étaient clairement déterminées, explicites et légitimes, et ce conformément à l’article 5 du RGPD. 

L’utilisation par les autorités publiques du SI « VACCIN-COVID », comme de l’application #TousAntiCovid, est donc strictement encadrée par la législation européenne. 

2) Sur les destinataires des données (article 3 du décret)

La CNIL rappelle que chaque responsable de traitement doit définir un profil fonctionnel de destinataire, strictement limité à sa mission, afin de garantir que seules les personnes habilitées et soumises au secret professionnel peuvent accéder aux données de « VACCIN-COVID ».

S’agissant du partage de ces données entre différents systèmes d’information détenus par des autorités publiques, la CNIL a indiqué que les responsables de traitement de chaque SI devaient être clairement indiqués :

« Le ministère devrait mentionner la liste des traitements et des systèmes d'information dans lesquels les données du SI « VACCIN-COVID » seront appelées à figurer, les catégories de données transmises pour chacun de ces traitements ou systèmes, ainsi que les organismes responsables de ces traitements. Dans l'hypothèse où il n'entendrait pas compléter le décret sur ce point, la Commission invite le ministère à diffuser ces informations, par exemple en les rendant publiques sur son site web. »

La CNIL précise que le Gouvernement ayant signalé souhaiter recourir à des sous-traitants, la même logique de transparence vis-à-vis des personnes concernées trouve à s’appliquer : la CNIL invite le Gouvernement à mentionner expressément le recours à des sous-traitants dans le décret ou sur son site web, ainsi que la liste des sous-traitants.

Cette volonté de la CNIL est dans la droite ligne de ce qui est imposée aussi aux personnes morales : le responsable de traitement doit conclure un contrat de protection des données avec ses sous-traitants. Ces derniers sont soumis aux obligations de l’article 28 du RGPD. Cette règle permet notamment au responsable de traitement de contrôler la conformité de ses sous-traitants en les auditant et d’ainsi garantir la bonne protection des données des personnes concernées quand les données sont confiées à un tiers.

Ainsi, l’encadrement des contrats avec les prestataires par le RGPD participe au respect de la vie privée et de la protection des données personnelles, et ce conformément à la Charte des droits fondamentaux (article 7 et 8) et à la Convention européenne de sauvegarde des droits de l’Homme dite CESDH (article 8).

3) Sur les données pseudonymisées (article 3 du décret)

Ces données pourront être transmises aux organismes suivants :

- pour suivre la couverture vaccinale et organiser la vaccination : à l’agence nationale de la santé publique et aux agences régionales de santé ;

- à des fins statistiques : à la direction de la recherche, des évaluations, des études et des statistiques ;

- dans le cadre de l’urgence sanitaire et pour améliorer les connaissances sur le virus : à la plateforme de données de santé – Health Data Hub et à la CNAM.

La CNIL relève que la liste des données pseudonymisées n’est pas détaillée dans le projet de décret.

Or, conformément au principe de minimisation énoncé à l’article 5 du RGPD, seules les données adéquates, pertinentes et limitées à ce qui est nécessaire (au regard des finalités) peuvent être transmises à des destinataires.

La CNIL invite donc le Gouvernement à préciser la liste des données pouvant être transmises.

Au vu des enjeux pour les droits et libertés fondamentales des personnes concernées par la pseudonymisation de leurs données, le Gouvernement s’est engagé à transmettre à la CNIL une analyse d’impact relative à la pseudonymisation.

L’établissement clair et précis des catégories de destinataires de données, conformément aux exigences de l’article 13 du RGPD, garantissent l’information éclairée des personnes concernées et l’absence d’ingérence d’autorités non habilitées de prime abord.

Et ce, contrairement à ce que l’on note actuellement à Singapour où les autorités policières peuvent désormais accéder aux données collectées par l’application « Trace Together » dans le cadre d’enquête criminelles. Pourtant, l’application avait été développée prima facie uniquement pour lutter contre la pandémie COVID-19. Nous reviendrons sur ce point en fin d’article.

4) Sur le transfert de données hors de l’Union

Aucune donnée ne sera transmise hors de l’Union européenne, garantissant ainsi la pleine protection des données, accordée par la législation européenne, sans risque d’ingérence par des autorités étrangères.

Il est néanmoins souhaitable de connaître l’hébergeur du SI « VACCCIN-COVID », afin de ne pas être face à une filiale d’une entreprise américaine, comme ce fut le cas pour la Plateforme de données de santé (hébergée par Microsoft).

5) Sur les droits garantis (article 5 du décret)

Les personnes concernées disposeront d’un droit d’accès, de limitation et de rectification, conformément aux exigences du RGPD.

Un droit d’opposition et un droit à l’effacement pourront également être exercés dans l’hypothèse où la vaccination n’a pas encore eu lieu. Ces droits ne pourront plus être exercés après le consentement à l’acte vaccinal car cela vise à garantir l’objectif d’intérêt public qu’est la pharmacovigilance.

Néanmoins, une personne concernée pourra tout de même exercer son droit d’opposition dans le cadre des données pseudonymisées transmises à la Plateforme de données de santé ou à la CNAM, même après avoir consenti à l’acte vaccinal, car ces traitements répondent à la gestion de l’urgence sanitaire (finalité vouée à disparaître à la fin de la période légale d’état d’urgence sanitaire) ainsi qu’à des besoins de recherches.

La CNIL insiste sur la nécessité d’informer clairement les personnes de leurs droits. Ce droit à l’information est un droit fondamental garanti non seulement par le RGPD mais également par la Charte des droits fondamentaux (article 11).

6) Des durées limitées (avis de la CNIL)

Là encore, le RGPD vient encadrer l’utilisation des données de santé par les autorités publiques. En effet, conformément au §39 du RGPD, le responsable de traitement doit définir des durées de conservation, limitées au strict minimum. Autrement dit, on ne peut pas conserver indéfiniment des données personnelles.

Ainsi, les données seront conservées pendant une durée de 10 ans à compter de leur collecte, sauf en cas de détection de risques nouveaux. Dans ce deuxième cas, les données seront conservées pendant une durée de 30 ans.

Ces durées sont justifiées par l’objectif de santé publique poursuivie par la collecte.

7) Sur l’information des personnes concernées (article 4 du décret)

Après avoir été invité par la CNIL a précisé la manière dont il entendait informer les personnes concernées, le Gouvernement a indiqué que les personnes répondant aux critères d’éligibilité au VACCIN-COVID, recevront un bon de vaccination comportant une mention d’information conforme aux exigences du RGPD. Chaque professionnel de santé recevra également une note d’information individuelle à ce sujet.

Là encore, le droit fondamental d’information est garanti.

Parallèle avec la politique de Singapour

De l’autre coté de la planète, à Singapour, l’application « Trace Together » (l’équivalent de notre « Tous anti Covid ») fait parler d’elle. En effet, si notre SI « VACCIN-COVID » ou notre application « Tous anti Covid » ne sont utilisés qu’à des fins de pharmacovigilance et/ou de gestion de l’urgence sanitaire, à Singapour la police peut désormais détourner les données collectées par l’application « Trace Together » afin de les utiliser dans le cadre d’enquêtes criminelles.

L’impact de ce détournement est colossal : aujourd’hui, 78 % de la population singapourienne a téléchargé l’application « Trace Together ».

Le succès du téléchargement de cette application est en partie due au fait que le Gouvernement singapourien avait indiqué que ce téléchargement serait probablement obligatoire pour quiconque souhaiterait se rendre dans un lieu public à compter de début 2021.

Singapour peut désormais mettre en place une surveillance de masse de sa population, via une application qui était de prime abord destinée à lutter contre la pandémie de Covid-19.

Si en France et en Union européenne, nous pouvons nous réjouir du nombre de garde fous législatifs et réglementaires qui protègent notre droit à l’information, nos données personnelles et plus généralement, notre vie privée. Il nous faut néanmoins rester attentifs puisque le Gouvernement a déposé le 21 décembre 2020 un projet de loi instituant un régime pérenne de gestion des urgences sanitaires.

Dans ce projet, le Gouvernement prévoit notamment la possibilité « de conditionner l’accès à certains lieux et l’exercice de certaines activités à la réalisation d’un dépistage ou à la prise d’un traitement préventif ou curatif d’un dépistage ou (de) la prise d’un traitement préventif ou curatif ». Si cette disposition venait à entrée en vigueur, la liberté fondamentale de circulation (article 2 de la CESDH), la liberté de réunion (article 11 CESDH) et le droit à l’intégrité de la personne (article 3 Charte des droits fondamentaux) pourraient s’en trouver amoindris.

En tout état de cause, les députés seront consultés, le Conseil constitutionnel sera consulté et ainsi, si ce projet venait à voir le jour, nous pourrions compter sur nos institutions pour venir encadrer et recadrer ces dispositions. Affaire à suivre !

Mise à jour du 22 janvier 2021 :

Pour rappel, dans la lutte contre la COVID-19, le Gouvernement a déployé 4 outils de traitement : les fichiers SI-DEP et Contact COVID, l’application TousAntiCovid et le SI VACCIN-COVID.

Le 21 janvier 2021, la CNIL a rendu un deuxième avis sur les conditions de mise en oeuvre de ces 4 traitements. Elle note notamment :

• Contact COVID :

  • Traitement par la CNAM : des mauvaises pratiques résiduelles subsistent concernant les conditions d’authentification et la traçabilité des données. De plus, les données ne sont pas hébergées chez un tiers habilité à cette fin. Or les données de santé doivent obligatoirement être hébergées chez un tiers certifié.

  • Traitement par les ARS : la CNIL a invité une ARS à se conformer dans un délai d’un mois concernant les mesures de sécurité et durées de conservation. Des courriers de sensibilisation vont être adressés aux ARS sur le sujet.

• TOUSANTICOVID : la CNIL constate la conformité de l’application en matière de protection des données mais urge le Gouvernement à développer des initiatives et des indicateurs permettant d’évaluer pleinement l’effectivité sanitaire du dispositif.

• SI VACCIN-COVID : la CNIL procédera à des contrôles tout au long du mois de janvier 2021 et son prochain avis public fera état des résultats.

La CNIL a également alerté sur d’autres contrôles effectués dans la lutte contre la COVID-19 : les cahiers de rappel, présents dans certains établissements recevant du public. La CNIL a notamment constaté que certains établissements avaient utilisés ces cahiers de rappel à des fins de prospections commerciales, en violation du RGPD. La CNIL a donc issu un rappel à l’ordre à ces établissements.

La CNIL souhaite également rassurer les personnes concernées par les traitements liés à la pandémie en indiquant qu’elle procédera à des contrôles à l’issue de la mise en œuvre de tous ces traitements, pour s’assurer de la suppression effective des données.

Sources :

Décret n° 2020-1690 du 25 décembre 2020 autorisant la création d'un traitement de données à caractère personnel relatif aux vaccinations contre la covid-19

Guide de la vaccination pour les médecins, infirmiers et pharmaciens

Code de la santé publique, Chapitre Ier : vaccinations

RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE dit RGPD

CNIL, 30/12/2020 : la collecte de données dans le cadre de la vaccination contre la Covid-19 : quelles garanties pour les personnes ?

Channel New Asia, 04/01/2021 : Singapore Police Force can obtain TraceTogether data for criminal investigations: Desmond Tan

ZDNet, 04/01/2021, Singapore police can access COVID-19 contact tracing data for criminal investigations

Euronews, 29/12/2020 : Spain to keep registry of citizens who refuse to be vaccinated against coronavirus

Charte des droits fondamentaux

Convention européenne de sauvegarde des droits de l’Homme

CNIL, 21/01/2021 : publication du deuxième avis adressé au Parlement sur les conditions de mise en œuvre de SI-DEP, Contact Covid, Vaccin COVID et TousAntiCovid

La Cour de cassation s’est prononcée pour la première fois sur le fait de savoir si une adresse IP et des fichiers de journalisation pouvaient être considérés comme des  données personnelles ; dans une décision au croisement du droit social et du droit des données personnelles. Elle s’est également penchée  sur la licéité d’une preuve obtenue au moyen de données dont la collecte aurait dû être déclarée à la CNIL. Cette décision est intervenue sous le régime prévu par la Loi Informatique et Libertés du 6 janvier 1978, avant l’entrée en vigueur du Règlement européen sur la protection des données dit « RGPD ». A cette époque, il était obligatoire de déclarer tout traitement de données personnelles à la CNIL. Depuis l’entrée en vigueur du RGPD, cette obligation de déclaration a disparu.

Par cette décision, la Cour de cassation permet aux employeurs de mieux comprendre comment encadrer la collecte d’une preuve informatique en matière de contentieux prud’homal.

• Faits et procédure :

Un salarié avait été licencié par l’AFP pour faute grave, après avoir été accusé d’avoir usurpé l’identité informatique de sociétés clientes. Il aurait usurpé cette identité afin d’envoyer par voie électronique 5 demandes de renseignements à une entreprise cliente et concurrente de l’AFP.

Cependant le salarié remet en cause la licéité des moyens de preuve présentés par l’AFP. En effet, la preuve de la faute à l’origine du licenciement est issue de l’exploitation des fichiers de journalisation conservés sur ses serveurs et de l’adresse IP à partir de laquelle les messages litigieux ont été envoyés, pointant du doigt le salarié en question.

• Solution :

1)  L’adresse IP est une donnée personnelle

Dans un premier temps, la chambre sociale confirme[1] qu’une adresse IP est une information se rapportant à une personne physique identifiable. C’est donc une donnée à caractère personnel, conformément aux articles 2 et 22 de la Loi informatique et libertés du 6 janvier 1978.

De ce fait, la collecte de l’adresse IP par l’exploitation d’un fichier de journalisation constitue un traitement de données personnelles.

Le salarié concerné aurait donc dû être informé de l’existence du traitement.

2) Si l’atteinte est proportionnée, le droit de la preuve peut primer sur le droit au respect de la vie privée

Alors que la liberté de la preuve[2] est un principe fondamental en matière prud’homale, il n’en demeure pas moins que cette dernière doit être collectée de façon loyale.

Par exemple, une preuve est jugée comme déloyale lorsqu’elle porte atteinte à la vie privée d’un salarié. C’est ainsi qu’une preuve provenant d’un dossier identifié comme « personnel » par le salarié ne peut être collectée par l’employeur même si le dossier se trouve sur l’ordinateur professionnel du salarié.

Afin de respecter le principe du respect à la vie privée, l’article 23 de la Loi Informatique et Libertés de 1978 (dans sa version antérieure à l’entrée en vigueur du RGPD), imposait à l’employeur de déclarer à la Commission nationale informatique et libertés (CNIL), l’usage de tout dispositif de contrôle permettant la collecte de données personnelles. Le défaut de déclaration, conduisait à rendre irrecevables les preuves portant sur des données personnelles collectées. En effet, l’objectif de ce dispositif était d’informer les personnes concernées du fait que leurs données étaient traitées, afin qu’elles puissent exercer leurs droits.

Pendant longtemps, ce fut la position adoptée par la Cour de cassation, comme le démontre l’arrêt du 8 octobre 2019[3]. Dans ce dernier, la chambre sociale avait jugé un licenciement sans cause réelle et sérieuse lorsque la faute à l’origine du licenciement, avait été recueilli par un moyen de preuve issu d’un dispositif n’ayant pas fait l’objet d’une déclaration à la CNIL en amont. 

Dans l’arrêt d’espèce, la Cour d’appel de Paris juge tout d’abord que le moyen de preuve n’est pas inopposable, en dépit du défaut de déclaration fait auprès de la CNIL et valide donc le licenciement pour faute grave. Selon les juges, l’adresse IP et les fichiers de journalisation ne sont pas utilisés pour contrôler les salariés et ne correspondent pas un traitement de données personnelles nécessitant une déclaration. De ce fait, le mode de preuve est licite et le licenciement valable. Une telle position de la Cour d’appel est justifiée par un arrêt de la chambre sociale[4], dans lequel il était admis, qu’une messagerie d’entreprise n’étant pas utilisée pour surveiller l’activité des salariés, l’absence de déclaration effectuée auprès de la CNIL ne rendait pas la preuve illicite.

Face à cette décision, la Cour de Cassation casse l’arrêt de la Cour d’appel de Paris et fait preuve d’un tout autre raisonnement.

La Cour de Cassation confirme l’illicéité du moyen de preuve qui aurait dû faire l’objet d’une déclaration préalable. Néanmoins, elle ajoute que l’illicéité d’un tel moyen de preuve n’entraîne pas automatiquement son rejet devant les tribunaux.

La Cour de cassation précise qu’en application des articles 6 et 8 de la Convention de sauvegarde des droits de l’homme et des libertés fondamentales, le juge ne doit pas par défaut rejeter une preuve illicite mais doit l’apprécier en effectuant un contrôle de proportionnalité afin d’évaluer si « l’atteinte portée à la vie personnelle du salarié est justifiée au regard du droit à la preuve de l’employeur ». A noter que la production d’une telle preuve doit être « indispensable à l’exercice du droit de la preuve de l’employeur et que l’atteinte à la vie privée du salarié est proportionnée au but poursuivi ».

La Cour de cassation a également précisé que cet Arrêt Manfrini s’inspirait des décisions rendues par la Cour européenne des droits de l’homme ; notamment des arrêts Barbulescu (CEDH, 5 septembre 2017, n° 61496/08)[6] et Lopez Ribalda (CEDH, 17 octobre 2019, n° 1874/13 et 8567/13) [7]qui ont admis, sur le fondement du droit au procès équitable et du droit à la preuve qui en découle, des moyens de preuve obtenus au détriment du droit à la vie privée.

La chambre sociale de la Cour de cassation considère donc que le droit de la preuve peut justifier le recueil d’une preuve portant atteinte à la vie privée, sous certaines conditions.  

• Apport de l’arrêt :

Par cette décision en date du 25 novembre 2020, la chambre sociale de la Cour de cassation :

- Confirme qu’une adresse IP est une donnée personnelle

- Considère qu’un mode de preuve portant sur des données personnelles peut être accepté, bien qu’il n’ait pas fait l’objet d’une déclaration auprès de la CNIL dès lors que la preuve est indispensable à l’exercice du droit de la preuve de l’employeur et que l’atteinte à la vie privée du salarié est proportionnée.

La décision de l’arrêt Manfrini, démontre que les juges incluent d’avantage les évolutions technologiques, dans leur raisonnement. Ils considèrent que l’utilisation des fichiers de journalisation et de l’adresse IP n’a pas pour seule finalité le contrôle des salariés. Ils admettent ainsi la possibilité d’une sécurisation des systèmes d’informations de l’entreprise.

De plus, comme en dispose le RGPD, lorsqu’un tel traitement a pour objectif la surveillance des salariés, l’employeur doit impérativement informer les personnes concernées (article 13 du RGPD), consulter le Comité Social d’Entreprise (CSE) et tenir un registre de traitement (article 30 du RGPD).

En matière de surveillance, la CNIL recommande même de réaliser une analyse d’impact, afin de déterminer quelles données sont collectées et pour quelles finalités . Il s’avère donc, que la mise en place d’un tel dispositif répond davantage à un besoin de sécurité que de surveillance par l’employeur.

Ainsi, même s’il semble que la décision fasse primer le droit de la preuve sur le respect à la vie privée et la protection des données personnelles, il ne faut pas oublier que l’atteinte à la vie privée du salarié doit impérativement être proportionnée au but poursuivi et que la preuve produite doit être le seul moyen de prouver le bien-fondé de la décision prise par l’employeur à l’égard de son salarié.

C’est par ce même tempérament que la Cour de cassation a admis, il y a quelque mois, que le droit à la preuve pouvait justifier la production en justice d’éléments issus d’un compte privé Facebook d’un salarié. Dès lors, qu’une telle preuve était indispensable à l’exercice de ce droit et que l’atteinte était proportionnée au but poursuivi[5].

Enfin, cette décision est un moyen d’affirmer la disparition de l’obligation de déclaration auprès de la CNIL, issue de la Loi Informatique et Libertés de 1978 et non reprise par le RGPD. Aujourd’hui, lors d’un traitement de données personnelles, le texte européen impose à l’employeur d’informer les personnes concernées et de tenir un registre des traitements des données.

Sources :

-          Arrêt n°1119 du 25 novembre 2020 (17-19.523) - Cour de cassation - Chambre sociale

-          Note explicative de l’arrêt « Manfrini »

-          Règlement général sur la protection des données personnelles

-          Loi Informatique et Libertés

[1] 1ère Civ., 3 novembre 2016, (pourvoi n° 15-22.595, Bull. 2016, I, n° 206)

[2] Soc, 27 mars 2001 (pourvoi n° 98-44.666, Bull. 2001, V, n° 108)

[3] Soc., 8 octobre 2014, (pourvoi n° 13-14.991, Bull. 2014, V, n° 230)

[4] Soc, 1 juin 2017, (pourvoi n° 15-23.522, Bull. 2017)

[5] Soc, 30 Septembre 2020, (n° 19-12.058)

[6] CEDH, 5 septembre 2017, (n° 61496/08)

[7] CEDH, 17 octobre 2019, (n° 1874/13 et 8567/13)

La version 2.0 de l’application « Stop Covid » vient d’être annoncée ce 22 octobre par le Gouvernement. L’application de traçage des cas contacts se fait une nouvelle santé afin de lutter contre la propagation du virus Covid-19.

En effet alors que sa précédente version a fait un vrai flop (voir notre article ici), ne comptabilisant que 2,6 millions téléchargements depuis le mois de juin, « Tous AntiCovid » se dote de nouvelles fonctionnalités, pour une meilleure utilisation.

• Rappel sur le fonctionnement de l’app

Comme son prédécesseur, « TousAntiCovid » est un dispositif d’alerte permettant de tracer les contacts de l’utilisateur, afin d’identifier les chaînes de contamination et donc de l’avertir lorsqu’il a été en contact avec des personnes ayant été testées positives au virus.  

L’application mobile qui est toujours basée uniquement sur le volontariat, utilise la technologie  Bluetooth et n’a donc pas recours à la géolocalisation. De ce fait, seuls les utilisateurs ayant téléchargé et activé l’application pourront s’échanger des informations.

Tout comme « Stop Covid », l’application est conçue à partir du protocole « Robert » qui suit la logique de minimisation des données et de protection dès la conception.

• Les nouveautés de l’app  

« TousAntiCovid » se veut être un centre d’informations pour les français. L’’application dispose désormais d’actualités, qui sont mises à jour en fonction de l’évolution de la pandémie.

De plus, l’application met à disposition des utilisateurs, des liens vers des outils numériques, telles qu’une carte des lieux où il est possible de se faire tester ainsi que les attestations de déplacement dérogatoire. Cependant l’application ne dispose pas encore de QR Code à scanner à l’entrée des restaurants pour s’enregistrer ni permettant de prendre un rendez-vous afin de se faire tester directement. 

• Ce qu’en pense la CNIL :

Dans son analyse la CNIL conclut que la nouvelle version de l’application mobile n’apporte pas de réelles modifications concernant le traitement des données personnelles.  Ainsi la CNIL ne devrait pas se saisir afin d’en faire un contrôle approfondi. Comme souligné dans son avis rendu en septembre dernier, l’application mobile de traçage est respectueuse des données personnelles et toutes les préconisations demandées par l’autorité de régulation ont été prises en compte.

Cependant la CNIL reste vigilante et met un point d’honneur à ce que le principe relatif à la vie privée des utilisateurs soit respecté par cette nouvelle version.  C’est pourquoi, en fonction des évolutions à venir de l’application et notamment concernant des modifications du traitement des données personnelles, la Commission envisage d’effectuer des contrôles.

Le plus grand défi reste sans surprise le même qu’avec « Stop Covid » : cette nouvelle application sera-t-elle assez convaincante pour que les français la téléchargent et surtout, l’utilisent ?

Cédric 0, Secrétaire d'État chargé du Numérique adresse en ce sens des mots d’encouragements aux français : « Nous avons besoin de vous, (...) téléchargez-la” expliquait-il, parce qu’elle “n’est utile que si nous sommes très nombreux à le faire”.

Retrouvez l’analyse complète de la CNIL juste ici : https://www.cnil.fr/fr/tousanticovid-la-cnil-revient-sur-levolution-de-lapplication-stopcovid

•  Rappel du contexte :

Ce jeudi 16 juillet 2020, la Cour de Justice de l’Union européenne (CJUE) a rendu une décision qui a eu l’effet d’une bombe (CJUE, Aff. C-311/18, Data Protection Commissioner contre Facebook Irlande Ltd et Schrems). Bien qu’assez prévisible, la Cour invalide la décision d’exécution (UE) 2016/1250 du 12 juillet 2016 relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-Etats-Unis, dit « accord Privacy Shield ». Adopté en 2016, à la suite de l’invalidation de l’accord du Safe Harbor par la CJUE, le Privacy Shield avait pour mission d’encadrer le transfert des données personnelles entre l’Europe et les États-Unis. Cependant dès ses débuts, ce « bouclier » fait l’objet d’attaques de la part du Parlement européen, de la CNIL et de diverses associations (La quadrature du Net, NYOB). Ces entités reprochaient l’accès des services de sécurité américaine (FBI, NSA …)  aux données européennes transférées, à la suite des révélations d’Edward Snowden de 2013. D’ailleurs, le G29 avait jugé trop faible les dispositions du texte encadrant les données personnelles transmises Outre Atlantique ainsi que trop complexes les modalités de recours à un médiateur américain.

• Les Faits :

[1]Cette affaire débute par l’arrêt Schrems I, dans lequel Maximilian Schrems, activiste autrichien et fervent défenseur de la protection de la vie privée, décide de porter plainte auprès de l’Autorité irlandaise de contrôle[2] pour contester les transferts[3] des données personnelles européennes opérés par Facebook vers les États-Unis. En tant qu’utilisateur Facebook, ses données à caractère personnel[4] étaient transférées par Facebook Irlande vers les centres de données de Facebook Inc établis aux États-Unis afin d’y être traitées. Cependant, ce dernier reprochait une protection trop faible de la part de la législation américaine, notamment du fait de l’ingérence des services de sécurité américaine dans les données européennes transmises.

Dans un premier temps, cette demande fut rejetée au motif que dans sa décision 2000/520 du 26 juillet 2000, la Commission européenne avait jugé que les États-Unis assuraient un niveau de protection adéquat[5].

Peu de temps après, à la suite d’une question préjudicielle posée par la Haute Cour d’Irlande, la CJUE affirma l’inverse et annula l’accord Safe Harbor[6]. De là, M. Schrems fut invité par l’Autorité de contrôle irlandaise à reformuler sa plainte[7], dans laquelle, il demanda d’interdire pour l’avenir la transmission des données personnelles européennes vers les États-Unis, surtout que Facebook Irlande effectuait désormais ce transfert sur le fondement des clauses types de protection de l’annexe de la décision 2010/87[8] .

Alors que l’Autorité de contrôle irlandaise initia une procédure devant la Haute Cour d’Irlande, afin que cette dernière pose une question préjudicielle à la CJUE. Au même moment, on apprenait l’adoption de l’accord Privacy Shield par une décision de la Commission européenne, en date du 12 juillet 2016 (UE 2016/1250).

• Problème :

La Haute Cour d’Irlande a alors fait un recours préjudiciel devant la CJUE afin que celle-ci se prononce sur : l’applicabilité du RGPD en matière de transfert de données fondé sur des clauses contractuelles types (1), le niveau de protection requis par le RGPD dans le cadre d’un tel transfert (2), ainsi que sur la validité de ces clauses et de l’accord Privacy Shield (3).

• Apports :

C’est par une décision très attendue, que la CJUE rend un arrêt le 16 juillet 2020, dans lequel elle invalide le bouclier de protection des données UE/États-Unis mais juge la décision relative aux clauses contractuelles types conformes à la Charte des droits fondamentaux de l’Union.

Pour rappel, le RGPD met en place des mécanismes qui encadrent le transfert des données personnelles vers des pays tiers. L’accord du Privacy Shield est un des principaux mécanismes permettant une adéquation. Cependant en l’absence de cet accord, il revient au responsable de traitement de s’assurer de cette adéquation en vertu de l’article 46 du RGPD

La CJUE répond aux deux (2) premières questions préjudicielles ; et :

-          Confirme que le droit de l’Union et a fortiori le RGPD s’applique aux transferts de données personnelles européennes vers les États-Unis, dans un but commercial et même si les données sont au cours du transfert susceptibles d’être traitées à des fins de sécurité publique, de défense et de sûreté de l’État par les autorités américaines.[9]

-          Affirme que dans le cadre du transfert des données personnelles fondé sur des clauses types de protection, le niveau de protection requis par le RGPD en matière de droit des personnes concernées (droits opposables et voies de droit effectives) doit être substantiellement équivalent au droit de l’Union[10]. Dans son considérant 108, le RGPD rappelle que des garanties doivent  « assurer le respect des exigences en matière de protection des données et des droits des personnes concernées d’une manière appropriée au traitement au sein de l’Union, y compris l’existence de droits opposables de la personne concernée et de voies de droit effectives, ce qui comprend le droit d’engager un recours administratif ou juridictionnel effectif et d’introduire une action en réparation, dans l’Union ou dans un pays tiers. ».

La Cour rajoute que les autorités de contrôle doivent obligatoirement suspendre ou interdire un tel transfert vers un pays tiers lorsque les clauses types de protection des données ne sont pas respectées conformément au droit de l’Union dans l’État en question[11].

o    L’accord Privacy Shield = Une invalidité des transferts de données  

De façon assez prévisible, les juges européens décident d’invalider l’accord Privacy Shield au motif que « les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis portant sur l’accès et l’utilisation par les autorités publiques américaines ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union, par le principe de proportionnalité, en ce que les programmes de surveillance fondés sur cette réglementation ne sont pas limités au strict nécessaire ».

Il est clair que pour la Cour, la législation américaine ne limite pas au strict minimum l’accès de ses autorités aux données personnelles et ne répond donc pas au principe de proportionnalité, encadrant la protection des données. L’exigence d’équivalence prévue à l’article 45 du RGPD n’est donc pas respectée. En effet, il n’existe aucune limitation à la permission de certains programmes de surveillance à user des données transmises, ni de garanties fortes pour les citoyens non américains, éventuellement visés et encore moins pour ces derniers, de droits concrets à opposer aux autorités américaines devant le juge.

Enfin, la possibilité du recours à un médiateur américain, (comme indiqué dans la décision BPD) n’assurait pas selon la Cour, l’indépendance du médiateur à prendre des décisions contraignantes à l’encontre des services de renseignements américains.[12]

 Cet arrêt a donc un impact important sur toutes entreprises transférant des données vers les États-Unis qui vont devoir revoir leurs contrats. En effet, dans sa FAQ sur l’invalidation du Privacy Shield, la CNIL affirme qu’aucun délai de grâce n’est offert aux entreprises transférant des données aux États-Unis sur le cadre juridique du Privacy Shield car la loi américaine ne fournit pas un niveau de protection équivalent à celui de l’Union européenne.

o   La validation des clauses contractuelles types

La CJUE valide la décision 2010/87 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants situés dans des pays tiers[13]. Il s’agit d’un modèle de contrat type défini par la Commission européenne autorisant les entreprises à exporter les données personnelles de citoyens européens vers le reste du monde[14].

Une condition est néanmoins à respecter : L’usage de clauses contractuelles types est autorisé seulement si le niveau de protection imposé par le droit européen est assuré. La CNIL précise que cette évaluation, doit prendre en compte les circonstances des transferts et les mesures supplémentaires qu’il est possible de mettre en place.

Dans le cas contraire, le transfert de données devra soit être suspendu, soit interdit par le responsable de traitement. Un travail de renforcement des clauses relative à la protection des données personnelle devra être effectué, afin que les entreprises puissent transmettre des données à leur filiales ou maison mères situées sur le sol américain.

Attention, bien qu’en théorie, la CJUE donne la liberté à chaque entreprise de décider si les données personnelles transférées dans le pays destinataire sont conformément protégées ; en pratique sa mise en œuvre semble être beaucoup plus hasardeuse. En effet, alors que la Cour reproche à la législation américaine de ne pas respecter les droits du RGPD, elle ne tranche pas la question concernant le transfert de données sur le sol américain, laissant planer une insécurité juridique. Comme indiqué dans ses conclusions, la protection offerte par la législation américaine est insuffisante et les clauses types ne permettent pas un encadrement du transfert des données suffisantes. Cette question se posera pour tous les États disposant de lois relatives à la sécurité nationale qui permettent des ingérences dans les droits fondamentaux européens (Exemples : Australie, Chine).  

En effet comme le précise la CNIL dans sa FAQ, il sera possible de transférer des données vers des États tiers en se fondant sur les clauses types ou des règles d’entreprises contraignantes à condition qu’importateur et exportateur, vérifient que dans leur mise en œuvre, le niveau de protection demandé par le RGPD soit respecté dans le pays tiers.

Il est également possible de fonder un transfert de données vers un État tiers sur une nouvelle mesure d’adéquation. Il s’agit d’une mesure se fondant sur les lois nationales de l’État tiers pour déterminer qu’il assure un niveau de protection substantiellement équivalent à celui de l’Union en matière de droits et libertés fondamentales.

Néanmoins, ces mesures sont aujourd’hui en nombre restreint. En effet, il n’existe pour le moment de mesures d’adéquation que pour les pays suivants :  Andorre, Argentine, Canada (accord partiel), les îles Féroé, Guernesey, Israël, l’île du Man, Japon, Jersey, Nouvelle-Zélande, Suisse et Uruguay.

Il faudrait donc que la Commission européenne et les États-Unis renégocient un nouvel accord.

Ainsi, même si les clauses contractuelles types sont validées par le règlement[15] de nombreuses questions restent en suspens tel que leur articulation en pratique par le responsable de traitement, le destinataire des données et le sous-traitant qui s’engagent à mettre en place un traitement en conformité avec le règlement. Ainsi que la définition des notions d’exportateur et/ou de destinataire de données, qui relèvera des autorités européennes en accord avec les autorités américaines.

La CNIL a d’ores et déjà commencé à répondre à quelques interrogations à la suite de l’invalidation du Privacy Shield. Ainsi elle rappelle que l’article 28.3 du RGPD régit les relations entre le responsable de traitement et les sous-traitants, et que ce dernier ne peut effectuer des transferts vers un autre État que s’il dispose d’une autorisation contractuelle. L’autorité de contrôle précise aussi les cas de dérogation possible au transfert de données personnelles vers les États-Unis ainsi que les modalités entourant l’utilisation des clauses de contrat type ou des BCR.

Et demain : Une souveraineté nationale ?

Cette décision a provoqué de nombreuses réactions, tant du côté européen que du côté américain. Pour l’Autorité de contrôle irlandaise et pour Max Schrems, la réponse de la CJUE est synonyme de victoire pour le respect de la vie privée. La Commissaire européenne Věra Jourová, a d’ailleurs revendiqué son souhait que le gouvernement américain adopte une loi fédérale équivalente au RGPD pour assurer une protection forte contre l’ingérence des autorités de surveillance.

Cependant outre-Atlantique, le Secrétaire au Commerce, Wilbur Ross a fait part de sa déception quant à la décision de la Cour, et déclare que le Département du Commerce continuera à se fonder sur l’accord Privacy Shield, de même que les parties qui sont liées contractuellement à l’accord. La Computer & Communications Industry Association (organisation réunissant notamment Google, Samsung et Amazon) souligne quant à elle, l’inquiétude et le flou juridique d’une telle décision sur les grands groupes américains.

Même si l’arrêt ne concerne pas les données dites nécessaires telles que le contenu de courriel ou la réservation d’un voyage, la transmission de données est indispensable à la continuité de l’économie numérique. Il est donc urgent que les dirigeants politiques européens et américains trouvent ensemble, un accord conforme aux droits de l’Union. Le commissaire européen à la Justice, Didier Reynders a d’ailleurs déclaré travailler sur des outils afin que la protection des données personnelles soit assurée lors de leur transfert outre-Atlantique.

Par cette décision, le but n’est pas que l’Union européenne s’isole du reste du monde car cela aurait des conséquences négatives sur la compétitivité des entreprises européennes, et cela empêcherait la bonne collaboration internationale sur des sujets sensibles tels que la lutte contre le cybercrime, le terrorisme ou encore la crise sanitaire du Covid-19.

La décision de la CJUE est une sorte de rappel à l’ordre des autorités de contrôle jugées trop indulgentes dans la mise en œuvre du RGPD. La CNIL a d’ailleurs fait savoir qu’elle a pris connaissance de l’arrêt [16] et qu‘elle collabore avec les autres autorités européennes afin de mettre en œuvre des mécanismes permettant un transfert en adéquation avec la décision rendue.  

Cet arrêt encourage donc les entreprises à reconsidérer le traitement des données personnelles sur le sol européen, dans le but de se conformer au RGPD. Mais surtout, afin de s’affranchir de la domination états-unienne et peut-être affirmer une souveraineté numérique européenne.

Base juridique :

·        Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données

o    Articles 3 ; 26 ; 28

·        Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE dit « RGPD »

o    Considérants 6 ; 10 ;101 ; 103 ; 107 à 109 ; 114 ; 116 ; 141

o    Articles 2 ; 4 ; 23 ; 45 ;46 ;49 ; 51 ; 57 ; 58 ; 64 ; 77 ; 78 ; 94

·        Décision CJUE, Aff. C-311/18, Data Protection Commissioner contre Facebook Ireland Ltd et Schrems

o    Décision CPT :

Considérant 11

Articles 1 ; 3 ; 4 ; 5 ; 6 ; 8 ; 9 ; 12

o    Décision BPD :

Considérants 68 ; 69 ; 76 ; 77 ; 109 ; 112 à 116 ; 120 ; 136 ; 140

·        Décision  d’exécution (UE) 2016/1250 du 12 juillet 2016 relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-Etats-Unis

·        Décision de la Commission européenne du 26 juillet 2000 conformément à la directive 95/46/CE relative à la pertinence de la protection assurée par les principes de la « sphère de sécurité »

·        Décision de la Commission européenne du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE

[1] Point 50 de la décision

[2] Article 51 du RGPD

[3] Article 28 de à la directive 95/46/CE (aujourd’hui considérant 141 et article 77 du RGPD)

[4] Définition à l’article 4 du RGPD

[5] Décision de la Commission européenne du 26 juillet 2000 conformément à la directive 95/46/CE relative à la pertinence de la protection assurée par les principes de la « sphère de sécurité » (article 3/25/26)

[6] Arrêt de la CJUE du 6 octobre 2015, « Schrems », C-362/14

[7] Article 78 RGPD

[8] Décision de la Commission européenne du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE

[9] Point 89 de la décision

[10] Considérant 114 ; 116 du RGPD et point 105 de la décision

[11] Considérant 107 à 109 du RGPD et point 121 de la décision

[12] Point 196 de la décision

[13] Point 149 de la décision

[14] Article 46 §1 et §2 c) et d) du RGPD

[15] Considérant 81 ; 108 ; 109 ; 168 et article 28 ; 64 du RGPD

[16] Communiqué de la CNIL du 17 juillet 2020

Saisi d’un recours dirigé contre la sanction infligée par la CNIL à Google, le Conseil d’État confirme, par une décision du 19 juin 2020, que la société n’a pas délivré une information suffisamment claire et transparente aux utilisateurs du système d’exploitation Android et ne les a pas mis à même de donner un consentement libre et éclairé au traitement de leurs données personnelles aux fins de personnalisation des annonces publicitaires. Le Conseil d’Etat estime par ailleurs que la sanction de 50 millions d’euros n’est pas disproportionnée.

En cette période d’état d’urgence sanitaire lié à l’épidémie du Covid-19, l’objectif des pouvoirs publics est de limiter la propagation du virus.   

Le dispositif déployé par le Gouvernement dans cet optique est large, et n’est pas seulement limité à l’application Stop Covid, car elle couvre aussi les fichiers SI-Dep et Contact Covid. 

Le fichier SI-DEP nommé « Système d’Informations de DEPistage » est une base de données enregistrant les résultats des laboratoires des tests effectués par les laboratoires ainsi que les établissements hospitaliers.  

Le fichier Contact Covid est quant à lui, une aide apportée aux professionnels de santé, les permettant de prendre en charge les cas infectés par le virus. 

Ces outils numériques ont donc pour but d’identifier le plus rapidement possible, les personnes contaminées, celles qui sont susceptibles d’avoir contaminé ainsi que les chaînes de contamination. 

La star de ce plan de déconfinement reste Stop Covid qui est une application mobile de traçage de contacts de l’utilisateur, ayant pour objectif d’identifier les chaines de contamination et de les avertir lorsqu’ils ont été en contact avec des personnes ayant été testés positif au virus.  

Il s’agit d’une application sans tracking qui est basé uniquement sur le volontariat. Ainsi seulement les personnes ayant téléchargé puis activé l’application sont aptes à s’échanger des informations.  

Ce dispositif d’alerte utilise la technologie du Bluetooth et n’a donc pas recours à la géolocalisation. 

Cependant, contrairement à ce qui est dit par les fervents défenseurs de l’application, les données ne sont pas anonymes.  

C’est en effet, ce que la CNIL rappelle dans une FAQ qui vient d’être publiée : les informations traitées ne sont pas « anonymisées» au sens du RGPD.  

Il est plus exacte de parler de pseudo : tout au long de l’utilisation de l’application, une liste de pseudonymes temporaires des appareils « croisés » les derniers 14 jours, est stocké dans le smartphone de l’utilisateur. Aucun fichier des contacts personnels, ni de personnes atteintes du virus ne devrait donc être constitué.  

L’utilisateur contaminé aura le choix de faire remonter les données pseudonymisées de ses contacts vers un serveur central et sera invité à consulter un médecin.  

Ce qu’en pense la CNIL 

Saisie en amont de la mise en place, la CNIL a rendu 2 avis favorables les 24 avril 2020 et 25 mai 2020 sur :  

• la mise en oeuvre de l’application « Stop Covid » ; et  

• l’encadrement juridique des fichiers SI-Dep et Contact Covid.  

Dans ses avis la CNIL, constate que « ses principales recommandations ont été prises en compte et estime ainsi que ce dispositif temporaire, basé sur le volontariat, peut légalement être mis en œuvre ».  

Quelques réserves sont maintenues par la Commission :  

• sur la nécessité d’offrir de meilleures garanties aux utilisateurs s’agissant des conditions d’utilisation et des modalités d’effacement des données personnelles ainsi qu’établir un fondement législatif beaucoup plus explicite ;  

• sur l’importance du suivi des données des personnes vulnérables que sont les mineurs ;  

• ainsi que de confirmer le droit d’opposition et le droit d’effacement des données pseudonymisées enregistrées, dans le décret à venir.  

Enfin, la CNIL souligne que la durée de vie de l’application ne doit pas excéder les 6 mois suivant la date de fin de l’état urgence sanitaire (en principe arrêté au 10 juillet 2020). Elle réclame aussi au Gouvernement, le libre accès et dans son intégralité au code source.  

Ce que contrôle la CNIL  

Deux jours seulement après la sortie de l’application StopCovid et avec le cap du million d’utilisateurs franchi quelques jours après, l’Autorité administrative se lance dans un contrôle à posteriori afin de vérifier sur le terrain, le bon fonctionnement des dispositifs mis en place. 

Le but ? Simple, vérifier que ses recommandations concernant les modalités de recueil du consentement et d’information des personnes ont été respectées.  

Le CNIL sera donc très vigilante sur les droits d’accès et d’opposition des personnes, tout comme sur les dispositifs de sécurité mis en place afin de protéger les flux de données. 

Ces contrôles débuteront dès le mois de juin et continueront pendant toute la période d’utilisation des fichiers, jusqu’à la fin de leur utilisation et de la suppression des données collectées. 

Ils seront effectués sur le terrain, c’est-à-dire dans les locaux de la Caisse Nationale de l’assurance maladie (CNAM) et du ministère des Solidarités et de la Santé. Mais aussi en ligne pour l’app StopCovid, ainsi que par le biais de questionnaires et de demandes de documents. 

La Commission met en garde sur sa volonté le cas échéant d’adopter des mesures correctrices telles que des mises en demeure et/ou des sanctions en cas de non-respect de ces points de façon grave ou répété. 

La réalisation de ces contrôles sera utile afin d’alimenter le rapport communiqué par le Gouvernement au Parlement effectué tous les trois mois concernant la mise en œuvre des systèmes d’information développés pour lutter contre la propagation de l’épidémie (article 11 de la loi n° 2020-546 du 11 mai 2020 prorogeant l’état d’urgence sanitaire). 

Il s’agit là du premier chapitre d’une longue saga sur la gestion de crise mêlant à la fois les questions de vie privée et de sécurité.  

Sources  

CNIL, L’application mobile StopCovid en questions, 5 juin 2020 

CNIL, SI-DEP, Contact Covid et StopCovid : la CNIL lance sa campagne de contrôles, 4 juin 2020 

Le Brief, La CNIL rappelle que StopCovid n'est pas anonyme, Cédric O évoque « 1 million » d'utilisateurs (ou d'activations), 8 Juin 2020, Next Inpact

Il y a moins d’une semaine, nous vous briefions sur la position récente de la CJUE sur les cookies. A peine cette brève publiée que le Conseil d’Etat dévoile sa décision sur le sujet, en complète opposition avec la Cour de Justice.

Rappel du contexte

Pour rappel, le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur le 25 mai 2018. Ce texte exige des éditeurs de sites internet qu’ils s’assurent que l’internaute consente explicitement à l’installation de cookies et autres traceurs dans son appareil à des fins de publicité ciblée.

Plus d’un an après, bien des entreprises ne se sont pas mises en conformité. La CNIL a choisi de leur accorder un délai supplémentaire d’un an pour se mettre en conformité concernant l’installation de cookies, une faveur que la Quadrature du Net avait attaquée en justice.

La décision

Dans cette décision, le juge administratif se montre plus réservé, surtout par rapport au juge européen. Alors que ce dernier militait en faveur de la vie privée, le Conseil d’Etat se retranche derrière le « large pouvoir d’appréciation » de la CNIL.

Le Conseil d’Etat estime que les tolérances accordées aux entreprises leur permettent de s’approprier les nouvelles règles issues du RGPD et de les respecter d’ici l’été 2020. Ainsi, les pratiques de ces entreprises ne sont ni illégales, ni une violation de la vie privée des personnes physiques. Il serait possible d’y voir un délai de mise en conformité accordé jusqu’en mai 2020.

Toutefois, la décision n’empêchera pas la CNIL de contrôler et de sanctionner les manquements les plus graves, une opportunité des poursuites qu’elle pratique déjà. Mais comment justifiera-t-elle auprès des entreprises sanctionnées le choix des poursuites ?  

De leur côté, les associations, dont la Quadrature du Net, pourront tout de même poursuivre les éditeurs fautifs au civil et au pénal : les lignes directrices de la CNIL n’ont aucun pouvoir contraignant sur ces juridictions.

Entre conformité actuelle et conformité future, que choisir ?

La décision du Conseil d’Etat est compliquée à mettre en œuvre à plusieurs égards.

1 - Elle entre en contradiction directe avec la décision de la CJUE dans l’arrêt « Planet49 ». 

Celle-ci affirme sans ambiguïté que les simples bandeaux d’information sont inacceptables. Un geste positif de consentement de la part de l’internaute est indispensable. Si la décision a pour fondement la Directive ePrivacy de 2002 et non pas le RGPD, les deux textes sont étroitement liés. En effet, ils ont vocation à former le « Package européen Vie Privée » une fois la directive révisée. La solution a vocation à s’appliquer tout autant sur la base de RGPD. 

2 - Le Conseil d’Etat ne respecte pas la hiérarchie des normes.

L’arrêt « Planet49 », rendu au titre d’une demande préjudicielle, donne l’interprétation officielle de la CJUE sur les textes concernés. Cette interprétation est, légalement, immédiatement applicable dans tous les Etats membres. En effet, les décisions de la CJUE forment un ordre juridique propre depuis les arrêts Van Gend en Loos du 5 février 1963 et Costa contre ENEL du 15 juillet 1964.

La tolérance accordée par la CNIL et la volonté de contradiction affichée par le juge administratif sont d’autant plus surprenantes que les autres autorités de contrôle européennes n’hésitent pas à sanctionner l’installation de cookies sans véritable consentement.

A titre d’exemple, l’autorité de contrôle espagnole (AEPD) a récemment sanctionné la compagnie aérienne Vueling en raison de la gestion non conforme des cookies sur son site internet. Vueling a accepté sa faute et a payé rapidement ; sa sanction a donc été réduite de 30 000€ à 18 000 €. Ces sommes n’approchent manifestement pas les plafonds de 20 Millions d’euros et 4% du Chiffre d’Affaires mondial annuel, mais la pratique a tout de même été sanctionnée.

3 - Elle crée un important facteur de risque pour les entreprises.

Ces dernières ont maintenant deux choix. Premièrement, elles peuvent suivre la position de la CJUE et se mettre en conformité maintenant. Deuxièmement, elles peuvent compter sur cette « période de tolérance » pour ne pas se mettre en conformité. Dans ce cas, elles ne sont tout de même pas à l’abri :

• D’une sanction de la CNIL, celle-ci se réservant toujours le droit de sanctionner les atteintes qu’elle estime « particulièrement graves ».

• De plaintes des particuliers et/ou associations, qui aura toutes les chances d’aboutir, la tolérance de la CNIL ne valant que pour elle.

En conclusion, cette décision crée plus de questions qu’elle n’en résout. Surtout, prendre la CNIL au mot crée un véritable risque pour les entreprises. En cas de doute, il nous semble plus sûr de suivre la position européenne.

Source

Pour lire la décision, c’est par ici !