Pomme de reinette et pomme…pas « happy »

 

Le 29 décembre 2022, la CNIL [1] a condamné la multinationale APPLE à une amende de 8 millions d’euros.

Mais quelle a donc a été la pomme de discorde entre l’autorité de contrôle et le géant américain ?

Les produits de communication développés par le groupe APPLE sont fournis avec un système d’exploitation préinstallé. Or, dans l’ancienne version 14.6 du système d’exploitation de l’iPhone (iOS 14.6), la société se permettait d’utiliser en tout liberté l’identifiant assigné à chacun de ses clients pour leur proposer, sans leur autorisation, des publicités personnalisées.

L’association France Digitale a découvert ce ver dans la pomme, et a porté plainte contre la politique d’APPLE en matière de ciblage publicitaire.

Vous êtes pommés…pardon paumés ? RGPD-Experts vous explique tout !

Lorsque les propriétaires d’iPhone se rendaient sur l’App Store de leur téléphone – sorte de magasin virtuel pour télécharger de nouvelles applications – un identifiant leur était automatiquement attribué, en étant lu et/ou déposé sur leur appareil. Cette forme de « cookie façon APPLE » permettait ensuite à l’entreprise d’identifier les préférences de ses utilisateurs, afin de leur soumettre des annonces susceptibles de leur plaire[2].

Une législation bien plus protectrice des données personnelles en Europe qu’au pays des Pommes-pommes Pom-Pom Girls.

Si aux États-Unis les lois sont peu soucieuses de protéger les données personnelles des citoyens américains, ce n’est pas le cas en France ! Avant de recourir à ce type de traceurs, qui ne sont pas strictement nécessaires à la fourniture d’un service, la réglementation impose le recueil préalable du consentement des personnes concernées.

 

 

« Remarque: L’article 82 de la loi n°78-17 du 06 janvier 1978 dite loi « Informatique et Libertés » constitue la transposition en droit interne de l’article 5(3) de la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, plus connue sous le nom de Directive « ePrivacy » ».

La CNIL a relevé que la société à la pomme ne respectait pas ses obligations légales sur ce point.

En effet, le consentement des utilisateurs d’iPhone à ces opérations d’écriture et/ou lecture de données à visée publicitaire n’était pas recueilli lors du parcours d’initialisation du téléphone, à son achat. Au contraire, les paramètres autorisant les publicités personnalisées étaient activés par défaut…

Or, pour être valable, le consentement des personnes concernées doit notamment être donné par un acte positif clair.

 

Pire encore, alors que les internautes doivent pouvoir retirer aussi facilement leur consentement à cette finalité de ciblage publicitaire que le donner, il était particulièrement compliqué pour les usagers d’iPhones de désactiver cette configuration pré-cochée. Ceux-ci devaient se perdre dans les méandres des fonctionnalités de leur portable pour y arriver.

(Icône « Réglages »  Menu « Confidentialité »  « Publicité Apple »)

Autrement dit, tout le travail était pour leur pomme !

Seulement 8 millions d’euros d’amende ?

Pas de quoi tomber dans les pommes pour la firme américaine, qui a réalisé un chiffre d’affaires de 90,1 milliards de dollars pour le seul quatrième trimestre de 2022[3].

La CNIL a toutefois retenu comme circonstance atténuante le fait que le système de publicité personnalisée d’APPLE était basé sur l’analyse d’actions similaires de plusieurs internautes, et non sur l’évaluation des comportements individualisés du propriétaire de l’iPhone.

APPLE s’est, depuis ce petit « pépin », mis en conformité. Dans la nouvelle version de son système d’exploitation iOS15, la société a intégré un dispositif destiné à recueillir le consentement des utilisateurs avant d’utiliser leurs identifiants à des fins de publicité ciblée. La multinationale a toutefois fait appel de la délibération de la CNIL[4]. Affaire à suivre donc

Cette délibération de l’autorité de contrôle vous laisse mi-figue mi-raisin ? Vous ne savez pas quand et comment organiser le recueil du consentement des individus dont vous manipulez les données ? Vos questions sur la gestion de vos cookies et autres traceurs vous mettent le cerveau en compote ?

N’hésitez pas à vous rapprocher de nos services pour être accompagnés dans vos démarches de conformité :

https://www.rgpd-experts.com/contactez-rgpd-experts/

L.H

[1] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[2] Pour comprendre comment fonctionnent les « cookies » et savoir quelles sont les règles applicables en la matière, nous vous invitons à lire notre précédent article sur le sujet : https://www.rgpd-experts.com/mauvaise-gestion-des-cookies/

[3] Selon le propre communiqué d’APPLE sur son site Internet : https://www.apple.com/fr/newsroom/2022/10/apple-reports-fourth-quarter-results/

[4] La délibération de la CNIL est disponible dans son intégralité à l’adresse suivante : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000046907077

 

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires

Les décisions précieuses de la CJUE (Episode 1) L’affaire C-175/20 [1]

 

Lorsque les tribunaux nationaux s’interrogent durant un procès sur le sens à donner à une législation européenne, ils peuvent adresser à la Cour de Justice de l’Union Européenne (CJUE) une question préjudicielle.   Grâce à cette procédure, la CJUE précise peu à peu son interprétation des textes, et notamment du Règlement Général sur la Protection des Données (RGPD). Pas question de juger dans le flou ou « à peu près » ! Cette jurisprudence communautaire permet aux juridictions des États membres d’harmoniser entre elles leurs décisions, et de combler progressivement le manque de précision parfois reproché à ce Règlement.

 

« Le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement ou le sous-traitant est soumis peuvent, par la voie de mesures législatives, limiter la portée des obligations et des droits prévus aux articles 12 à 22 et à l’article 34, ainsi qu’à l’article 5 dans la mesure où les dispositions du droit en question correspondent aux droits et obligations prévus aux articles 12 à 22, lorsqu’une telle limitation respecte l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique » pour garantir, notamment : la sécurité nationale, la prévention et la détection d’infractions pénales, et d’autres objectifs importants d’intérêt public général de l’Union ou d’un État membre, notamment un intérêt économique ou financier important.

– Extrait de l’article 23 du RGPD[2]

Le contexte de l’affaire

Une loi lettone permet à l’administration fiscale de contraindre les publicitaires en ligne de lui communiquer les informations dont ils disposent sur les contribuables qui recourent à leurs services. Invoquant cette disposition, l’administration fiscale de Lettonie a demandé au prestataire de services « SS » d’accéder aux numéros de châssis de certains véhicules mis en avant dans une annonce publiée sur son portail durant l’été 2018.

La demande de l’administration fiscale prévoyait par ailleurs que, si « SS » ne parvenait pas à retrouver ces renseignements, il devrait alors lui fournir chaque mois de nombreuses informations concernant les annonces postées le mois d’avant. Les informations portaient notamment sur le lien de l’annonce, le texte de celle-ci, la marque, le modèle, le numéro de châssis et le prix du véhicule, ainsi que le numéro de téléphone du vendeur.

 

« SS » n’a évidemment pas apprécié que l’administration fiscale regarde de près le contenu de son activité et de celle de ses clients. Il s’est ainsi opposé à sa requête, la jugeant non conforme aux principes de proportionnalité et de minimisation des données à caractère personnel prévus par l’article 5 du RGPD.L’affaire a été portée en justice. Les magistrats lettons ont ensuite questionné la CJUE pour en savoir plus sur la compatibilité et l’articulation entre le droit letton et le RGPD.

 

Remarque:

Les juges lettons ne s’interrogeaient pas ici sur le droit de l’administration fiscale d’obtenir des informations à la disposition d’un prestataire publicitaire. Ils ne remettaient pas en cause le fait que le RGPD tolère, dans certaines situations, la communication forcée de données personnelles – à ceci près qu’ils ignoreraient la portée de cette dérogation.

Le litige portait ici davantage sur :

–          La quantité et le type d’informations susceptibles d’être demandées par l’administration fiscale lettone,

–          Le caractère limité ou illimité de celles-ci, […]

–          La question de savoir si l’obligation de communication à laquelle est soumise « SS » doit être limitée dans le temps. ».

Les questions posées à la CJUE

Question 1 (les juges lettons) : Le RGPD s’applique-t-il bien dans une telle situation ?

Réponse 1 (LaCJUE): OUI

  • La demande de ces informations par l’administration fiscale lettone, ainsi que leur transmission par les prestataires publicitaires, constituent bien des traitements de données personnelles (collecte et communication de données).
  • Une telle demande ne constitue pas un “traitement de données à caractère personnel effectué par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites […] ou d’exécution de sanctions pénales”, au sens de l’article 2(2) du RGPD.

En effet, l’administration fiscale n’intervenait pas ici dans le domaine de la coopération judiciaire en matière pénale ou policière. Rien n’indiquait d’ailleurs, de près ou de loin, que les données demandées concernaient une fraude fiscale des vendeurs des véhicules.

L’administration fiscale agissait uniquement dans son rôle de percepteur des impôts.

Conclusion : l’article 2(2) du RGPD excluant son application pour les traitements de données mis en œuvre dans le cadre d’investigations pénales ne s’applique pas ici.

 

Question 2 : (les juges lettons) : Le RGPD autorise-t-il que l’administration fiscale d’un État membre puisse déroger aux principes de proportionnalité et de minimisation des données, alors même qu’un tel droit ne lui a pas été octroyé par la législation de son pays ?

Réponse 2 : (LaCJUE): OUI SOUS CONDITIONS

Les droits reconnus aux personnes concernées par le RGPD pour assurer la protection de leurs données personnelles peuvent être limités par les législations nationales, à condition :

① que ces législations respectent l’essence des libertés et droits fondamentaux, et 

② que ces limitations constituent une mesure nécessaire et proportionnée pour garantir certains enjeux essentiels, notamment un intérêt économique ou financier important, y compris dans le domaine fiscal (art. 23 RGPD)3.

Remarque : la CJUE précise qu’une telle loi doit être claire et précise, et que son application doit être prévisible pour les justiciables. En d’autres termes, il faut que les citoyens soient en mesure d’identifier les circonstances et les conditions dans lesquelles leurs droits peuvent être limités.

◊ Le texte législatif en question doit détailler la portée de cette entorse faite aux droits des citoyens en matière de protection des données personnelles, les situations dans lesquelles cette limitation peut intervenir, les exigences minimales prévues pour prévenir les risques d’abus, etc.).

 

Question 3 : (les juges lettons) : LE RGPD s’oppose-t-il à ce que l’administration fiscale d’un État membre exige d’un publicitaire sur Internet qu’il lui communique, pendant une période indéterminée et sans que soit précisée la finalité de cette demande de communication, des informations relatives à l’ensemble des contribuables qui auraient publié des annonces sur son site ?

Réponse 3 : (LaCJUE) OUI – L’administration fiscale doit elle-aussi, dans cette hypothèse, respecter les articles 5 (principe de proportionnalité et de minimisation des données) et 6 (base légale du traitement) du RGPD.

  • La demande de l’administration fiscale doit indiquer explicitement les finalités des traitements qu’elle entend réaliser avec ces données, en application de l’article 6 du RGPD. Elle doit d’ailleurs viser la réglementation en vertu de laquelle elle agit.

La base légale [4] de ces traitements serait ici « l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investie l’administration fiscale », puisque la perception de l’impôt et la lutte contre la fraude fiscale constituent bien des missions d’intérêts publics.

  • Le seul fait que l’administration fiscale ne précise aucune limite temporelle à sa demande de collecte de données ne permet pas, en lui seul, de considérer que la durée de ce traitement excède celle strictement nécessaire pour atteindre l’objectif visé par le fisc.

MAIS la CJUE précise qu’il appartient à l’administration fiscale de prouver qu’elle a cherché à minimiser autant que possible la quantité de données à caractère personnel qu’elle souhaite recueillir, et que la collecte de ces données n’excède pas la durée strictement nécessaire pour atteindre l’objectif d’intérêt général qu’elle poursuit.

Et vous, dans tout cela ?

Cette décision rappelle le cadre dans lequel les « tiers autorisés »[5] peuvent solliciter l’accès à des données à caractère personnel provenant des fichiers d’organismes publics ou privés.

Vous ! Oui, vous. Soyez vigilants ! Il ne s’agit pas de transmettre automatiquement toutes les informations que vous traitez aux « autorités » sur simple demande de leur part, et sans autres vérifications ! Autrement, vous vous rendrez coupable d’une violation de données, faute d’avoir respecté la confidentialité attachée à ces renseignements.

 

Dans cette situation, de nombreux points sont à contrôler pour ne pas violer vos obligations en matière de protection des données :

  • Vérifier la validité de la requête qui vous est présentée ;

(La demande est-elle bien écrite ? La réglementation autorisant une telle demande est-elle citée ? La finalité de cette collecte est-elle précisée et justifiée au regard de la mission d’intérêt public poursuivie ? etc.).

  • Vérifier la qualité et la compétence des agents qui se présentent à vous ;
  • Organiser et encadrer le périmètre de leur contrôle ;
  • Conserver une traçabilité des échanges et des investigations réalisées, etc.

 

Nous vous conseillons de rédiger une procédure interne spécifique afin de gérer efficacement ce type de demandes, et de former vos collaborateurs à y réagir sans paniquer. Pour vous y aider, pour pouvez vous appuyer sur le Guide Pratique de CNIL

Il est important d’avoir les bons réflexes ! Si vous souhaitez vous faire accompagner dans vos démarches par une équipe de professionnel habituée à appréhender ces demandes de « tiers autorisés », nous vous invitons à prendre contact avec nos services via notre formulaire de contact : https://www.rgpd-experts.com/contactez-rgpd-experts/

L.H

[1] L’arrêt CJUE, n° C-175/20, « SS » SIA contre Valsts ieņēmumu dienests, 24 février 2022 est disponible dans son intégralité à l’adresse suivante : https://curia.europa.eu/juris/document/document.jsf?text=&docid=254583&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=35938

[2] Pour consulter la version complète de l’article 23 du RGPD, cliquez sur ce lien : https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre3#Article23

[3] Art. (5)(1)(c) RGPD : « Les données à caractère personnel doivent être : […] c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ».

[4] Nous vous invitons à faire une lecture approfondie de l’article 23 du RGPD pour connaître précisément les droits des personnes concernées susceptibles de faire l’objet d’une telle limitation, ainsi que les enjeux justifiant ce type de dérogations.¨

[5] Cette expression de « tiers autorisés » désigne l’ensemble des autorités ou entités disposant d’un pouvoir légalement octroyé de réclamer de tels renseignements.

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires

Alors, quels projets pour la nouvelle année ?

 

RGPD-Experts vous présente ses meilleurs vœux pour 2023 !

Nous vous souhaitons une année riche sur tous les plans, et que vos ambitions les plus secrètes se réalisent.

Que vous soyez entrepreneurs, membres d’une entreprise ou d’une collectivité publique voire bénévoles au sein d’une association, nous nous ferons une joie de vous aider à accomplir les projets qui vous tiennent à cœur, quels qu’ils soient.

Car notre objectif, chez RGPD-Experts, n’est pas d’obtenir la conformité de votre organisme pour le principe. Au-delà de vous accompagner pour assurer la protection des données personnelles que vous manipulez, nous désirons aussi et surtout vous faciliter la vie !

Votre priorité cette année est de vous consacrer plus de temps, et à vos proches ?

Nous œuvrons pour développer des solutions concrètes pour optimiser vos démarches de conformité.

Nous vous assistons dans la mise en place de procédures destinées à simplifier votre quotidien (formulaire pour gérer efficacement vos sous-traitants, réflexes à adopter pour répondre sereinement aux demandes d’exercice de droit des personnes concernées, méthodologie à respecter en cas de violation de données, etc.).

Pour vous aider à rédiger et à tenir à jour votre registre des activités de traitement, tâche particulièrement chronophage, RGPD-Experts a mis au point pour vous REGISTER +.

Intuitif et sécurisé, ce logiciel vous permettra de rédiger et de mettre à jour votre registre des activités de traitement sans prise de tête. Il est également un outil idéal pour superviser vos actions RGPD en temps réel, et en un clic.

Notre application regorge de fonctionnalités, qui répondent à vos exigences de performance et d’amélioration continue en matière de protection des données, tel qu’un module d’affectation et de suivi des tâches à accomplir, avec date programmée et relances automatiques.

 

 

Nous vous proposons également un abonnement “Assistance RGPD”. Grâce à cette formule, vous pourrez accéder à notre base de connaissances dédiée à la protection des données. Fini les recherches inutiles ! Vous bénéficierez également d’une réponse rapide de nos experts sur toutes les questions que vous vous poserez sur votre conformité.

 

 

Et si vous souhaitez vous reposer au maximum sur des professionnels aguerris pour piloter vos démarches de conformité, vous pouvez aussi désigner les professionnels de RGPD-Experts comme Délégués à la Protection des Données externes. Profitez ainsi d’un accompagnement permanent de vos collaborateurs !

 

 

Vous l’aurez compris : nous veillons à mettre à votre disposition une multitude de services,
pour que votre sérénité au travail soit synonyme de tranquillité à la maison.

Votre priorité est de développer vos compétences professionnelles et de vous investir davantage au travail ? 

Notre équipe d’experts, qualifiés par Bureau Veritas, vous propose chaque mois un enseignement et un partage d’expérience de 35 heures pour développer vos aptitudes.

RGPD-Experts vous accompagne également dans la préparation des épreuves de certification de vos compétences de DPO par Bureau Veritas, si vous souhaitez que vos connaissances soient reconnues officiellement.

Notre formation est certifiée Qualiopi, pour une prise en charge OPCO / FNE / Pôle Emploi.

En équipe ou seul, nos échanges et entrainements et cas pratiques, vous permettront d’actualiser vos compétences professionnelles sur des problématiques liées à la protection des données.

À l’heure des nouvelles technologies et d’une valorisation croissante du patrimoine informationnel des organismes, cette formation sera un atout tant pour vous que pour votre organisme. En savoir plus sur nos dates des formations sur l’année 2023

« Investir dans la formation, c’est conjuguer au présent mais aussi au futur le souci des hommes et le souci des résultats »

– Philippe BLOCH, auteur contemporain

Pour une année 2023 paisible mais pleine de découvertes, nous vous invitons à consulter l’ensemble de nos offres sur notre site Internet :

https://www.rgpd-experts.com/

Ou à nous contacter via notre formulaire :

https://www.rgpd-experts.com/contactez-rgpd-experts/

L.H

 

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

La société MICROSOFT CORPORATION, société multinationale créée en 1976 dont le siège social est situé aux États-Unis, a pour activité principale le développement et la vente de systèmes d’exploitation, de logiciels applicatifs, de matériels et de services dérivés. Elle a également une activité de conseil et de support pour l’ensemble des produits MICROSOFT. La société MICROSOFT IRELAND OPERATIONS LIMITED , est une filiale de la société MICROSOFT CORPORATION dont le siège social est situé 1, Microsoft Place, South County Business Park, Leopardstown à Dublin. La société MIOL exploite et développe le moteur de recherche Bing dans l’Espace économique européen.

Le domaine  » bing.com  » accessible depuis la France comptait 10 801 000 utilisateurs uniques résidant en France en septembre 2020 et le chiffre d’affaires attribuable au domaine  » bing.com  » en France s’est élevé à en 2020 et à en 2021. La société MICROSOFT FRANCE, filiale de la société MICROSOFT CORPORATION et société sœur de la société MIOL, est une société par actions simplifiée, immatriculée au registre du commerce et des sociétés de Nanterre sous le numéro 327733184, dont le siège social est situé 37/45, quai du Président Roosevelt, Issy-les-Moulineaux . L’objet de ce contrôle était de vérifier la conformité de tout traitement accessible à partir du domaine  » bing.com  » depuis un terminal situé en France à la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés et au règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 . Le 13 novembre 2020, la société MICROSOFT FRANCE a transmis des éléments de réponse à la CNIL.

Le 4 février 2021, la société MICROSOFT FRANCE a été auditionnée et a fourni des réponses aux questions posées par la délégation, relatives notamment aux relations entre les sociétés MICROSOFT FRANCE, MICROSOFT CORPORATION et MIOL, à l’organisation de la protection des données à caractère personnel au sein de MICROSOFT et à la responsabilité des traitements de publicité ciblée liés au moteur de recherche Bing. Le 16 février 2021, la société MICROSOFT FRANCE a transmis des éléments de réponse complémentaires. « – la délégation s’est rendue sur le domaine  » bing.

Enfin, la délégation a cliqué sur les liens  » Déclaration de confidentialité  » et  » Plus d’options  » situés sur la fenêtre surgissante. Les 12 juillet et 31 août 2021, sur la base d’informations fournies par la société MIOL, la société MICROSOFT FRANCE a communiqué des éléments de réponse complémentaires aux demandes formulées par la délégation. Aux fins d’instruction de ces éléments, la présidente de la Commission a, le 23 décembre 2021, désigné Monsieur François PELLEGRINI en qualité de rapporteur sur le fondement de l’article 39 du décret n° 2019-536 du 29 mai 2019. Le 13 juillet 2022, le rapporteur a fait notifier à la société MIOL un rapport détaillant le manquement à l’article 82 de la loi Informatique et Libertés qu’il estimait constitué en l’espèce.

Le 9 septembre 2022, la société a produit ses observations en réponse au rapport de sanction. Le rapporteur a répondu aux observations de la société le 10 octobre 2022. Le 15 novembre 2022, la société a produit de nouvelles observations en réponse à celles du rapporteur. Par courrier du 16 novembre 2022, le rapporteur a informé le conseil de la société que l’instruction était close, en application de l’article 40, III, du décret modifié n°2019-536 du 29 mai 2019.

Par courrier du 16 novembre 2022, la société a été informée que le dossier était inscrit à l’ordre du jour de la formation restreinte du 1er décembre 2022. Le rapporteur et la société ont présenté des observations orales lors de la séance de la formation restreinte.

En défense, la société n’a pas fait d’observations sur la compétence de la CNIL

 » Il s’ensuit que, pour ce qui concerne le contrôle des opérations d’accès et d’inscription d’informations dans les terminaux des utilisateurs en France d’un service de communications électroniques, même procédant d’un traitement transfrontalier, les mesures de contrôle de l’application des dispositions ayant transposé les objectifs de la directive 2002/58/CE relèvent de la compétence conférée à la CNIL par la loi du 6 janvier 1978  » .

Sur la compétence territoriale de la CNIL

Le rapporteur considère que la CNIL est territorialement compétente en application de ces dispositions dès lors que le traitement, objet de la présente procédure, consistant en des opérations d’accès ou d’inscription d’informations dans le terminal des utilisateurs résidant en France, lors de la navigation sur le site web  » bing.com « , est effectué dans le  » cadre des activités  » de la société MICROSOFT FRANCE, qui constitue  » l’établissement  » sur le territoire français de la société MIOL. En défense, la société n’a pas fait d’observations sur ce point. La CJUE estime en outre qu’une société, personne morale autonome, du même groupe que le responsable de traitement, peut constituer un établissement du responsable de traitement au sens de ces dispositions . En l’occurrence, la formation restreinte relève, tout d’abord, que la société MICROSOFT FRANCE, est le siège de la filiale française de la société MICROSOFT CORPORATION.

La société MICROSOFT FRANCE a précisé qu’en l’espèce, plusieurs personnes de l’équipe en charge de la gestion de la publicité du moteur de recherche Bing, à savoir l’équipe Microsoft Advertising qui dépend de la société MIOL, sont des salariés de la société MICROSOFT FRANCE et s’occupent du marché français. En l’espèce, la formation restreinte note que les opérations d’accès ou d’inscription d’informations dans le terminal des utilisateurs situés en France, lors de l’utilisation du moteur de recherche Bing, sont intrinsèquement liées aux activités de la société MICROSOFT FRANCE. En effet, la société MIOL exploite et développe dans l’Espace économique européen le moteur de recherche Bing, sur lequel des espaces publicitaires sont achetés par des annonceurs, la promotion de ces outils publicitaires étant assurés, pour le marché français, par une partie de l’équipe Microsoft Advertising. Le rapporteur considère que la société MIOL agit en qualité de responsable du traitement en cause, en ce qu’elle détermine les finalités et les moyens du traitement consistant en des opérations d’accès ou d’inscriptions d’informations dans le terminal des utilisateurs résidant en France lors de l’utilisation du moteur de recherche Bing.

La société n’a pas fait valoir d’observations sur ce point. La formation restreinte souligne que, dans son courrier du 13 novembre 2020, la société MICROSOFT FRANCE, qui communique  » sur la base des informations qui ont été communiquées par Microsoft Ireland Operations Limited « , faisait état du rôle de MIOL en tant que responsable du traitement des données effectué à partir du domaine  » bing.com  » pour les utilisateurs de l’EEE, du Royaume-Uni et de la Suisse et précisait que MIOL exerçait une influence décisive sur les finalités et les modalités de mise en œuvre des traitements et notamment les traitements relatifs à la publicité ciblée. La formation restreinte relève enfin que ces propos ont été confirmés par la société MICROSOFT FRANCE lors de l’audition du 4 février 2021. Il résulte de ce qui précède que la société MIOL détermine les finalités et les moyens du traitement consistant en des opérations d’accès ou d’inscriptions d’informations dans le terminal des utilisateurs résidant en France, lors de l’utilisation du moteur de recherche Bing, et agit donc en qualité de responsable du traitement en cause.

« 2° Soit, est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur « . La société indique que seules les finalités essentielles sont activées avant que l’utilisateur donne son consentement. La société soutient que ces finalités indissociables sont strictement nécessaires à la fourniture des services  » bing.com  » tels que demandés par l’utilisateur. En outre, le rapporteur précise, en réponse à l’argumentation de la société considérant la finalité de lutte contre la fraude au sens large comme une finalité essentielle exemptée de consentement, que seule la finalité de lutte contre les attaques en déni de service pourrait être exemptée de consentement.

Le rapporteur relève que les autres finalités évoquées ne relèvent pas du champ des exemptions prévues par l’article 82 de la loi Informatique et Libertés puisqu’elles n’ont pas vocation à faciliter une communication électronique et ne sont pas strictement nécessaires à la fourniture d’un service expressément demandé par l’utilisateur.

La société, dans ses dernières observations, soutient que les finalités de détection des maliciels et de lutte contre la désinformation, et la fraude publicitaire sont strictement nécessaires à la fourniture du service  » bing.com « , service qui produit des résultats de recherche pertinents, fiables et sûrs. La société soutient que le terme service doit être interprété en référence aux attentes légitimes d’un utilisateur, ainsi qu’aux obligations légales du fournisseur, concernant l’intégrité, la qualité et la sécurité. La société soutient également que dans ce cas, la conformité aux exigences du RGPD serait alors supervisée par la Data Protection Commission, l’autorité de protection irlandaise, dans le cadre du guichet unique prévu par le RGPD, et non pas par la CNIL.  » La formation restreinte relève à titre illustratif que la Commission précise, dans ses lignes directrices du 17 septembre 2020, que  » l’utilisation d’un même traceur pour plusieurs finalités, dont certaines n’entrent pas dans le cadre de ces exemptions, nécessite de recueillir préalablement le consentement des personnes concernées, dans les conditions rappelées par les présentes lignes directrices.

À cet égard, le considérant 42 de ce Règlement prévoit que  » le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice « . La formation restreinte rappelle que si ces instruments n’ont certes pas de caractère impératif, ils visent à interpréter les dispositions législatives applicables et à éclairer les acteurs sur la mise en place de mesures concrètes permettant de garantir le respect des dispositions légales, afin qu’ils mettent en œuvre ces mesures ou des mesures d’effet équivalent. En ce sens, il est précisé dans les lignes directrices que celles-ci  » ont pour objet principal de rappeler et d’expliciter le droit applicable aux opérations de lecture et/ou d’écriture d’informations dans l’équipement terminal de communications électroniques de l’abonné ou de l’utilisateur, et notamment à l’usage des témoins de connexion « . En effet, ce principe de liberté du consentement implique que l’utilisateur bénéficie d’une  » véritable liberté de choix « , comme souligné au considérant 42 du RGPD, et donc que les modalités qui lui sont proposées pour manifester ce choix ne soient pas biaisées en faveur du consentement.

« S’agissant des modalités de refus possibles, dans cette même recommandation, la Commission a préconisé  » fortement que le mécanisme permettant d’exprimer un refus de consentir aux opérations de lecture et/ou d’écriture soit accessible sur le même écran et avec la même facilité que le mécanisme permettant d’exprimer un consentement. En effet, elle estime que les interfaces de recueil du consentement qui nécessitent un seul clic pour consentir au traçage tandis que plusieurs actions sont nécessaires pour  » paramétrer  » un refus de consentir présentent, dans la plupart des cas, le risque de biaiser le choix de l’utilisateur, qui souhaite pouvoir visualiser le site ou utiliser l’application rapidement. Par exemple, au stade du premier niveau d’information, les utilisateurs peuvent avoir le choix entre deux boutons présentés au même niveau et sur le même format, sur lesquels sont inscrits respectivement  » tout accepter  » et  » tout refuser « ,  » autoriser  » et  » interdire « , ou  » consentir  » et  » ne pas consentir « , ou toute autre formulation équivalente et suffisamment claire.  » La Commission considère que cette modalité constitue un moyen simple et clair pour permettre à l’utilisateur d’exprimer son refus aussi facilement que son consentement « .

 

Le rapporteur a donc considéré que les conditions de recueil du consentement mises en œuvre par la société MIOL sur le site web  » bing.com  » n’étaient pas conformes aux dispositions de l’article 82 de la loi Informatique et Libertés telles qu’éclairées par l’article 4, paragraphe 11, du RGPD sur la liberté du consentement, au moment du contrôle en ligne du 11 mai 2021 et jusqu’au 29 mars 2022, date à laquelle la société a mis en place un bouton  » Tout refuser « . A défaut, l’équilibre entre les modalités d’acceptation et de refus n’est pas respecté. En effet, un utilisateur d’Internet est généralement conduit à consulter de nombreux sites.

Au regard de ce qui précède, la formation restreinte considère qu’un manquement aux dispositions de l’article 82 de la loi Informatique et Libertés, interprétées à la lumière du RGPD, est constitué, dans la mesure où, au moment du contrôle en ligne du 11 mai 2021 et jusqu’à la mise en place d’un bouton  » Tout refuser  » le 29 mars 2022, l’utilisateur n’avait pas la possibilité de refuser les opérations de lecture et/ou d’écriture avec le même degré de simplicité qu’il avait de les accepter.

2° Une injonction de mettre en conformité le traitement avec les obligations résultant du règlement de l’article 83, paragraphe 2, du Règlement relatif aux avantages financiers obtenus du fait du manquement et à toute autre circonstance. À cet égard, la formation restreinte relève que les clients de l’équipe Microsoft Advertising pour le public français, tels que achètent des espaces publicitaires sur le moteur de recherche Bing et collaborent avec l’équipe Microsoft Advertising afin de cibler les publics locaux et ainsi proposer les publicités les plus pertinentes. La formation restreinte relève que l’affichage de publicités personnalisées à un internaute n’est possible que si la navigation de ce dernier a pu être tracée grâce à un traceur, afin de déterminer quel contenu serait le plus pertinent à afficher. La formation restreinte relève également que les comptes de Microsoft Corporation et de ses filiales qui sont publiquement disponibles démontrent que la publicité constitue l’un des modèles économiques majeurs du groupe Microsoft.

Le rapport annuel 2021 du groupe mentionne ainsi que sa marge brute a augmenté de 10 % en 2021 grâce, notamment, au secteur de la publicité. La mise en conformité devait avoir lieu pour le 1er avril 2021. Des centaines de milliers d’acteurs, des plus petits sites aux plus importants, se sont mis en conformité et ont introduit sur leur interface de recueil du consentement un bouton  » Refuser  » ou  » Continuer sans accepter « . La formation restreinte note également qu’avant le contrôle en ligne du 11 mai 2021, un premier contrôle en ligne avait été réalisé par la délégation le 29 septembre 2020, et qu’une audition de la société MICROSOFT FRANCE avait été organisée le 4 février 2021 avec la délégation.

La formation restreinte relève pourtant que ce n’est que le 29 mars 2022 que la société a choisi d’insérer un bouton  » Tout refuser « , suite à la désignation d’un rapporteur par la présidente de la Commission. En dernier lieu, la formation restreinte rappelle qu’en application des dispositions de l’article 20, paragraphe III, de la loi Informatique et Libertés, la société MIOL encourt une sanction financière d’un montant maximum de 2% de son chiffre d’affaires ou de 10 millions d’euros, le montant le plus élevé étant retenu. Compte tenu du chiffre d’affaires de la société s’élevant à en 2021, le montant maximal de l’amende encourue en l’espèce s’élève donc à plus de . Dès lors, au regard de la responsabilité de la société, de ses capacités financières et des critères pertinents de l’article 83, paragraphe 2, du Règlement évoqués ci-avant, la formation restreinte estime qu’une amende de soixante millions d’euros à l’encontre de la société MICROSOFT IRELAND OPERATIONS LIMITED apparaît justifiée.

La société soutient que le prononcé d’une injonction n’est pas nécessaire. Elle estime dès lors nécessaire le prononcé d’une injonction afin que la société se mette en conformité avec les obligations applicables en la matière. En second lieu, la formation restreinte rappelle que le montant de l’astreinte doit être à la fois proportionné à la gravité des manquements commis et adapté aux capacités financières du responsable de traitement. Au regard de ces éléments, la formation restreinte considère comme justifié le prononcé d’une injonction assortie d’une astreinte d’un montant de soixante mille euros par jour de retard et liquidable à l’issue d’un délai de trois mois.

La société conteste la proposition du rapporteur de rendre publique la présente décision. Elle considère que la publication de la sanction entraînerait des conséquences importantes et disproportionnées en termes d’image et de réputation. Pour justifier cette demande de publicité, le rapporteur invoque notamment le nombre de personnes concernées et la nature du manquement constitué en l’espèce. La formation restreinte considère que la publicité de la présente décision se justifie au regard de la gravité des manquements en cause, de la portée du traitement et du nombre de personnes concernées.

La formation restreinte relève que cette mesure permettra d’alerter les utilisateurs français du moteur de recherche Bing de la caractérisation du manquement à l’article 82 de la loi Informatique et Libertés dans ses différentes branches et du prononcé d’une injonction pour y remédier. Enfin, la mesure est proportionnée dès lors que la décision n’identifiera plus nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.  » prononcer à l’encontre de la société MICROSOFT IRELAND OPERATIONS LIMITED une injonction de recueillir le consentement des utilisateurs lors de leur arrivée sur le site web  » bing.

A.R

 

Transfert de données : les clauses contractuelles types (CCT) de la Commission européenne

 

Les clauses contractuelles types sont des modèles de contrats de transfert de données personnelles adoptés par la Commission européenne.
Les modèles de clauses contractuelles ont été mis à jour par la Commission européenne le 4 juin 2021.

À compter du 27 décembre 2022, les anciennes clauses contractuelles types de la Commission ne peuvent plus être utilisées.
La Cour de justice de l’Union européenne , dans son arrêt du 16 juillet 2020, a indiqué qu’en règle générale, les clauses contractuelles types peuvent toujours être utilisées pour transférer des données vers un pays tiers . Cependant, la CJUE a souligné qu’il incombe à l’exportateur et à l’importateur de données d’évaluer en pratique si la législation du pays tiers permet de respecter le niveau de protection requis par le droit de l’UE et les garanties fournies par les CCT.

Si ce niveau ne peut pas être respecté, les entreprises doivent prévoir des mesures supplémentaires pour garantir un niveau de protection essentiellement équivalent à celui prévu dans l’Espace économique européen, et elles doivent s’assurer que la législation du pays tiers n’empiétera pas sur ces mesures supplémentaires de manière à les priver d’effectivité.

Concernant les États-Unis, la Cour a estimé que le droit américain en matière d’accès aux données par les services de renseignement ne permet pas d’assurer un niveau de protection essentiellement équivalent voir en particulier le considérant 145 de l’arrêt de la Cour, la clause 4 de la décision 2010/87/UE de la Commission, la clause 5 de la décision 2001/497/CE de la Commission et l’annexe II.

La poursuite des transferts de données personnelles vers les États-Unis sur la base des CCT dépendra donc des mesures supplémentaires que vous pourriez mettre en place. L’ensemble formé par les mesures supplémentaires et les CCT, après une analyse au cas par cas des circonstances entourant le transfert, devra garantir que la législation américaine ne compromet pas le niveau de protection adéquat que les clauses et ces mesures garantissent.
Dans tous les cas de transferts , si vous arrivez à la conclusion que le respect des garanties appropriées ne sera pas assuré compte tenu des circonstances du transfert et malgré d’éventuelles mesures supplémentaires, vous êtes tenu de suspendre ou de mettre fin au transfert de données personnelles.

Où puis-je trouver les clauses contractuelles types de la Commission européenne ?

https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX:32021D0914&locale=fr

Les nouvelles clauses contractuelles types remplacent les précédentes datant de 2001 et 2004. Une période de transition de trois mois à partir de l’entrée en vigueur des nouvelles clauses contractuelles types a été prévue .
Pendant une période supplémentaire de 15 mois, les exportateurs et les importateurs de données ont pu continuer à invoquer les anciennes clauses contractuelles types, mais au-delà cette période tous ont dû mettre à jour leurs clauses contractuelles types ou un autre outil de transfert.
À compter du 27 décembre 2022, les anciennes clauses contractuelles types ne peuvent plus être utilisées.

Qu’est-ce qui change avec les nouvelles clauses contractuelles types ?

Les nouvelles clauses contractuelles types, en plus de reprendre les principales protections des droits des personnes et clauses, apportent en outre plusieurs changements, pour tenir compte du RGPD et intégrer de nouveaux mécanismes.

Une structure par module.

Tout d’abord, les clauses contractuelles type combinent des clauses générales avec une approche par module pour répondre à divers scénarios de transfert.

Clauses multipartites ou « clauses d’amarrage »

Les nouvelles clauses contractuelles types permettent également à de nouvelles entités, quelles qu’elles soient, d’accéder aux clauses contractuelles types, et de devenir une nouvelle partie dans le contrat, comme sous-traitant ou responsable de traitement.
Elles permettent à plusieurs parties exportatrices de données de conclure un contrat et à de nouvelles parties d’y être ajoutées au fil du temps, au-delà des signataires initiaux.
Une nouvelle partie peut accéder au contrat seulement avec l’accord des autres parties du contrat.

Prise en compte de la législation du pays tiers de destination des transferts de données applicable à l’importateur

Les nouvelles clauses contractuelles types intègrent aussi la jurisprudence de la CJUE dans l’affaire dite « Schrems II » et imposent à l’exportateur de données de tenir compte de la législation applicable à l’importateur des données pour déterminer si les clauses contractuelles types pourront produire tous leurs effets.

Effectuez les démarches nécessaires auprès de La CNIL.
Transmettez les clauses à la CNIL uniquement dans le cas où vous avez modifié le contenu des modèles officiels de l’Union Européenne.

A.R

Le CEPD met à jour le référentiel BCR « responsable de traitement »

 

Que sont les règles d’entreprise contraignantes ou BCR ?

Le RGPD s’applique dans l’Union européenne et protège également les personnes concernées dans l’UE si elles sont, par exemple, clientes d’entreprises situées à l’étranger. Les BCR créent des droits pour les personnes concernées en tant que tiers bénéficiaires, et contiennent des engagements pris par les entités du groupe visant à établir un niveau de protection des données essentiellement équivalent à celui prévu par le RGPD.

BCR-C : les nouvelles recommandations du CEPD

Lors de la séance plénière du 14 novembre 2022, le Comité européen de la protection des données a adopté des recommandations sur la demande d’approbation et sur les éléments et principes devant figurer dans les règles d’entreprise contraignantes du responsable de traitement . Les nouvelles recommandations consignent les interprétations communes dégagées par les autorités de protection des données dans le cadre des procédures d’approbation de BCR depuis l’entrée en application du RGPD. Elles clarifient les exigences du référentiel, fournissent des orientations supplémentaires et visent à favoriser ainsi la compréhension des attentes des autorités par l’ensemble des entreprises candidates. De plus, ce document actualisé fait la distinction entre ce qui doit être contenu dans le dossier présenté à l’autorité de protection des données en charge de l’instruction et ce qui doit figurer dans le corps des BCR.

Enfin, ces recommandations intègrent les exigences de l’arrêt « Schrems II » de la Cour de justice de l’Union européenne. Avec le nouveau référentiel, les entités adhérentes aux BCR s’engagent à ne transférer des données qu’après avoir procédé à une analyse de la législation du pays tiers de destination. Le même travail d’actualisation du référentiel applicable aux BCR « sous-traitant » est en cours d’élaboration. Les recommandations adoptées le 14 novembre sont soumises à une consultation publique jusqu’au 10 janvier 2023.

Licenciement maladroit ou à bon droit d’un Délégué à la Protection des Données ?

Le Conseil d’État précise la notion d’indépendance du DPO [1]

 

Afin de lui permettre de mener à bien ses missions, le Règlement Général sur la Protection des Données (RGPD) octroie au Délégué à la Protection des Données un statut pour le moins singulier.

Ce texte communautaire est toutefois peu précis, voire contredit par les législations nationales des États membres de l’Union européenne (UE).

Dans une décision récente du 21 octobre 2022, le Conseil d’État est venu apporter quelques clarifications bienvenues[2]. De quoi remettre les organismes sur le droit chemin…

 

►QUOI ? Petit rappel des textes

D’après le Règlement Général sur la Protection des Données, les Délégués à la Protection des Données doivent « être en mesure d’exercer leurs fonctions et missions en toute indépendance » [Considérant 97].

Cette indépendance trouve d’abord un sens dès le début de la collaboration du DPO avec l’organisme. En effet, le choix de ce bras droit n’est pas totalement libre. Il doit être désigné en raison de son expertise juridique et technique en matière de protection des données à caractère personnel.

Quant à l’indépendance du DPO durant l’exécution et la rupture de sa collaboration avec son employeur, celle-ci est encadrée par l’article 38(3) du RGPD, qui prévoit que :

Le responsable du traitement et le sous-traitant veillent à ce que le délégué à la protection des données ne reçoive aucune instruction en ce qui concerne l’exercice des missions. Le délégué à la protection des données ne peut être relevé de ses fonctions ou pénalisé par le responsable du traitement ou le sous-traitant pour l’exercice de ses missions.

►QUI ? L’indépendance du Délégué à la Protection des Données interne

Le Délégué à la Protection des Données peut être interne ou externe à l’entité qui le désigne, tant qu’il répond aux critères de compétences et qu’il n’existe aucune situation de conflits d’intérêts susceptible d’entraver ses actions.

Lorsque l’organisme souhaite faire appel à l’un de ses membres, il ne peut donc pas nommer une personne investie d’un poste à responsabilités. De par ses fonctions, celle-ci est en effet nécessairement amenée à déterminer les finalités et moyens des traitements de données, autrement dit à être responsable de traitements.

Comment un Délégué à la protection des données pourrait-il aller droit au but dans ses préconisations, si les recommandations qu’il lui revient de faire s’opposent à d’autres logiques commerciales, RH ou logistiques dont il serait lui-même aussi en charge ?

Dans une entreprise ou une collectivité, le Délégué à la Protection des Données interne ne peut donc être qu’un membre du personnel du responsable de traitement, c’est-à-dire lié à lui par un contrat de travail.

Or, en droit français, le contrat de travail se définit comme « le contrat par lequel une personne physique (le salarié) s’engage à exécuter un travail sous la subordination d’une personne physique ou morale (l’employeur), en échange d’une rémunération »[3].

 

Le pouvoir juridique reconnu à l’employeur sur son salarié, du fait de ce lien de subordination, n’est-il pas incompatible avec l’indépendance du DPO interne ?

Comment le DPO interne peut-il jouer son rôle non seulement de conseil, mais de contrôle et d’alerte, s’il doit se tenir droit comme un « i » vis-à-vis de sa hiérarchie ?

 

►POURQUOI ? La recherche d’un juste équilibre entre indépendance et subordination

Choisir un DPO interne présente plusieurs avantages : connaissance approfondie du fonctionnement de l’organisme, conscience des contraintes auxquelles la structure doit faire face en matière de protection des données, meilleure disponibilité et réactivité, etc.

Puisque le DPO interne ne peut recevoir « aucune instruction en ce qui concerne l’exercice de ses missions », sa hiérarchie ne devrait avoir un droit de regard sur lui que pour l’encadrement de ses conditions de travail, et non sur le contenu de son travail.

Exemple : son supérieur pourrait avoir son mot à dire sur son emploi du temps, notamment sur la validation de ses demandes de congés, tant que sa décision est sans rapport avec ses fonctions de DPO.

Cette relation hybride est d’autant plus compliquée lorsque le salarié n’exerce les fonctions de Délégué à la Protection des Données qu’à temps partiel. Dans une forme de schizophrénie professionnelle, l’employé est supposé être soumis à ce lien de subordination pour les missions qui ne découlent pas de son rôle de DPO, et censé pouvoir s’en extraire pour les activités qui en relèvent…

La législation ballote donc le statut de Délégué à la Protection des Données interne de gauche à droite entre indépendance et subordination…

►COMMENT ? Le cas particulier de la sanction du DPO

Pour mémoire, le Délégué à la Protection des Données « ne peut être relevé de ses fonctions ou pénalisé […] pour l’exercice de ses missions ».

Cette disposition garantit la liberté de parole du DPO. Il doit pouvoir s’opposer librement aux directives données par le responsable de traitement lorsque celles-ci sont susceptibles de compromettre la protection de données personnelles. Cet extrait du RGPD lui permet d’intervenir sans craindre de représailles – autrement dit d’agir comme son rôle, et non comme son supérieur, l’exige.

 

Pour autant, comme tout salarié, le DPO interne peut ne pas filer droit. Son comportement peut devenir source de difficultés dans l’entreprise…

L’indépendance du DPO définie par le RGPD est-elle synonyme d’immunité professionnelle ?

Zoom sur la jurisprudence communautaire

 

 

Dans un arrêt du 22 juin 2022, la Cour de Justice de l’Union européenne (CJUE) a précisé que l’interdiction de pénaliser un Délégué à la protection des données vise à préserver l’indépendance fonctionnelle de ce dernier[4]. En d’autres termes, ces sanctions sont interdites lorsqu’elles sont motivées par un fait tiré de l’exercice des missions de DPO.

Exemples : un retard dans l’avancement de carrière du DPO ayant déconseillé de mettre en place un traitement de données qui, après analyse d’impact sur la vie privée, présenterait des risques résiduels élevés pour les droits et libertés des personnes concernées ; le refus d’octroyer au DPO des avantages dont bénéficient d’autres salariés après qu’il ait alerté sa hiérarchie sur leur manque de sensibilisation sur les enjeux liés à la protection des données…

Mais la CJUE a précisé que ces dispositions n’ont « pas pour objet de régir globalement les relations de travail entre un responsable du traitement ou un sous-traitant et des membres de son personnel ».

Puisque la présence d’un DPO vise à garantir l’effectivité de la législation applicable en matière de protection des données, la Cour estime qu’il reste tout à fait envisageable de sanctionner voire de licencier un Délégué à la Protection des Données qui ne possèderait plus les qualités professionnelles requises pour ce poste, ou qui n’effectueraient pas ses missions selon les prescriptions du RGPD.

 

► A qui de droit ? – Encore faut-il justifier que le défaut de compétences ou les fautes reprochées au Délégué à la protection des données ne résultent pas d’une carence du responsable de traitement lui-même.

En effet, celui-ci est tenu d’allouer à son salarié DPO toutes les ressources nécessaires pour exercer ses missions. Il doit lui avoir fourni le temps ainsi que les moyens financiers, humains et matériels suffisants pour accomplir sa prestation.

Cette obligation implique également d’accorder à l’employé DPO la possibilité d’entretenir régulièrement ses connaissances. D’après une étude menée par l’Agence pour la Formation professionnelle des Adultes (AFPA), 75% des Délégués à la Protection des Données interrogés expriment un besoin d’améliorer leur savoir et 44% d’entre eux considèrent devoir bénéficier d’une formation complète sur le sujet [5].

Amis DPO, vous êtes en droit de demander des formations !

Notre équipe d’experts, qualifiés par Bureau Veritas, vous propose chaque mois un enseignement et un partage d’expériences de 35 heures pour développer vos aptitudes.
RGPD-Experts vous accompagne également dans la préparation des épreuves de certification de vos compétences de DPO par Bureau Veritas, si tel est votre souhait.

Notre formation est certifiée Qualiopi, pour une prise en charge OPCO / FNE / Pôle Emploi.
Nous vous invitons à nous contacter via notre formulaire : https://www.rgpd-experts.com/contactez-rgpd-experts/

Zoom sur la jurisprudence nationale

 

 

Le 21 octobre dernier, le Conseil d’État est allé plus loin que la Cour de Justice de l’Union européenne.

Au-delà de l’hypothèse de la faute ou de l’insuffisance professionnelle, celui-ci a admis le licenciement d’un Délégué à la Protection des Données « à raison de manquements aux règles internes à l’entreprise applicables à tous ses salariés », tant que cette procédure n’est pas « incompatible avec l’indépendance fonctionnelle qui lui est garantie par le RGPD ». Le statut de DPO ne lui confère donc aucun passe-droit.

En l’occurrence, il était reproché au salarié des carences dans l’exercice de ses fonctions (l’absence de production d’une feuille de route demandée, des alertes répétées de non-conformité non motivées et non documentées, une absence de réponse aux sollicitations des salariés de la société et une absence de disponibilité délibérée), mais aussi la violation de règles internes à la société (affranchissement des chaînes hiérarchiques en s’adressant directement aux collaborateurs d’une équipe sans l’aval de son chef, ou prise de congés sans en avertir en temps utile ses supérieurs).

Il convient de rappeler que le Délégué à la Protection des Données n’est pas un salarié protégé au sens du droit du travail.[6]Son licenciement n’est ainsi régi par aucune procédure particulière. L’autorisation de l’Inspection du travail n’est donc pas nécessaire.

       * * *

La Cour de Justice de l’Union européenne a rappelé que chaque État membre est libre de prévoir des dispositions plus protectrices en matière de licenciement du Délégué à la Protection des Données.[7]

En Allemagne, un DPO ne peut être congédié qu’en cas de « motifs graves ». En Espagne, il doit avoir commis une faute intentionnelle ou une négligence grave dans l’exercice de ses fonctions.

A quand une harmonisation du statut du Délégué à la Protection des Données entre les pays européens ?

L.H

 

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

 

 

[1] Acronyme généralement retenu pour désigner le Délégué à la Protection des Données, de l’anglais « Data Protection Officer ».

[2] La décision n°459254 du Conseil d’État du 21 octobre 2022 est disponible dans son intégralité à l’adresse suivante : https://www.conseil-etat.fr/fr/arianeweb/CE/decision/2022-10-21/459254 .

[3] Selon la formule habituelle retenue par la Cour de cassation.

[4] CJUE 22 juin 2022, Leistritz AG c. LH, aff. C-534/20, [ https://curia.europa.eu/juris/document/document.jsf?text=&docid=261462 ]

[5] « Evolution de la fonction de Délégué à la Protection des Données », Etude de 2022 menée par l’Agence pour la Formation Professionnelle des Adultes (AFPA) et disponible en ligne à l’adresse suivante : https://travail-emploi.gouv.fr/IMG/pdf/synthese_dpo.pdf .

[6] Selon la doctrine de la CNIL en la matière, confirmée par Monsieur le Sénateur Claude RAYNAL dans sa réponse ministérielle à la question écrite n°02896, publiée au JO Sénat le 25 janvier 2019.

[7] Revue de droit du travail 2022 (p.625), Fanny GABROY, « Le statut du délégué à la protection des données en droit du travail ».

 

La société INFOGREFFE sanctionnée par la CNIL : Quand même les services dérivés de la justice ne respectent pas les principes sur la durée de conservation des données personnelles.

 

La CNIL[1] a, ces derniers temps, montré sa volonté de renforcer ses contrôles. Le 8 septembre 2022, sa formation restreinte a ainsi condamné la société INFOGREFFE à une amende de 250 000 euros pour avoir conservé trop longtemps les données personnelles des abonnés de son site Internet[2].

Il est temps que l’info se greffe à tous : la législation en vigueur en matière de protection des données n’autorise pas une conservation infinie des données collectées.

  Infogreffe.fr ? Un service pour gagner du temps dans ses recherches et formalités

 

INFOGREFFE est un groupement d’intérêt économique (GIE) des greffes des tribunaux de commerce français. Il propose, entre autres, d’accéder en un rien de temps aux informations légales concernant les entreprises nationales, via son site Internet « infogreffe.fr ».

Certains documents ne peuvent cependant être visualisés qu’à condition de se créer un compte payant. A cette occasion, l’entité recueille de nombreuses données personnelles sur ses abonnés : nom, prénom mais aussi coordonnées et données bancaires. Or, un des membres d’INFOGREFFE s’est aperçu que celui-ci conservait en clair les mots de passe de ses utilisateurs, et se permettait même de les communiquer par téléphone sur simple demande nominative au service d’assistance. Autrement dit, n’importe qui peut obtenir les données de connexion d’un abonné en se faisant passer pour lui lors d’un appel avec l’organisme.

Cette pratique constitue un manquement grave à l’obligation faite depuis la nuit des temps au responsable de traitement d’assurer la protection des données personnelles qu’il manipule[3]. Un comble au regard du slogan « Entreprendre en confiance » accompagnant le logo d’INFOGREFFE…

Mais surtout, la plainte de cet individu a donné lieu à l’ouverture d’une enquête par la CNIL, qui a révélé – en plus – une violation du GIE aux règles applicables en matière de conservation des données. C’est ce thème particulier, qui n’attire en temps ordinaire pas beaucoup l’attention, que nous allons ici examiner.

Détermination des durées de conservation

Le responsable de traitement ne peut pas garder indéfiniment les données personnelles qu’il recueille.

Il ne peut les conserver sous une forme permettant l’identification des personnes concernées que « pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles ont été collectées » (art. 5(1)(e) RGPD). Cela suppose donc de prendre le temps de définir clairement, en amont, à quoi vous serviront ces données.

—–>        La loi prévoit parfois une durée minimum de conservation des données

Exemple : l’article L.3243-4 du Code du travail impose à l’employeur de conserver un double des bulletins de paie de ses salariés pendant au moins 5 ans.

—–>        Lorsque cela n’est pas le cas, cette durée est laissée à la libre appréciation du responsable de traitement. Celui-ci devra être en mesure de justifier que la période qu’il a arrêtée est proportionnelle à l’utilisation projetée des données[4].

Remarque :les personnes concernées doivent être informées de cette durée de conservation lors de la collecte de leurs données personnelles ou, lorsque cela n’est pas possible, des critères utilisés pour déterminer cette durée (art. 13(2)(a) et 14(2)(a) RGPD). L’organisme ne peut pas se contenter d’utiliser des phrases génériques lui permettant de faire la pluie et le beau temps sur le sujet, telle que « notre société ne conservera vos données que pour une période limitée ».

A) La conservation en base active

Les données sont conservées de façon à être facilement accessibles, car elles servent encore à réaliser l’objectif pour lequel elles ont été collectées (la finalité du traitement).

Exemple ici : un fichier recensant les abonnés du site « infogreffe.fr » ayant encore un compte actif.

 

ATTENTION – la conservation en base active des données n’exempte pas le responsable de traitement d’assurer, dans le même temps, leur protection. Il doit veiller à ce que ces informations soient stockées et exploitées dans un environnement sécurisé.

 

B) L’archivage intermédiaire

Même si la raison pour laquelle les données avaient été initialement recueillies a disparu, l’organisme peut de temps en temps avoir un intérêt administratif à garder ces renseignements. Certaines dispositions législatives ou réglementaires peuvent d’ailleurs le lui imposer.

Exemple ici : les factures et documents comptables émis par le site « infogreffe.fr » doivent être conservés pendant 10 ans, alors même que l’intéressé ne serait plus abonné, conformément à l’article L.123-22 du Code du commerce.

Cette étape suppose que l’organisme opère un tri entre les données qu’il estime devoir garder, et celles qui ne lui sont plus d’aucune utilité.

Les données personnelles toujours nécessaires devront être stockées dans des espaces distincts de celles conservées en base active. Elles ne pourront être consultées que de manière ponctuelle, par des personnes spécialement habilitées justifiant de leur besoin d’en connaître.

En l’occurrence, la « Charte de confidentialité » du site web « infogreffe.fr » prévoyait que les données de ses abonnés seraient conservées pendant 36 mois à compter de la dernière commande de prestation et/ou de documents, sans prendre en compte une possible extension de cette période pour la prévention des contentieux.INFOGREFFE a omis à tort de détailler, dans sa politique de durées de conservation des données, qu’il entendait garder ces informations plus longtemps pour d’éventuelles opérations de recouvrement. 

 

D) L’archivage définitif

Lorsque les données personnelles ont fait leur temps et ne présentent plus aucun intérêt pour l’organisme, elles doivent être détruites. Cette opération doit être menée régulièrement et en temps utile. Une suppression fréquente des données obsolètes joue tant en faveur des personnes concernées que de l’entité

Exemple : en cas de cyberattaque, l’ampleur de la violation des données personnelles exploitées par l’organisme sera ainsi limitée, ce qui pourra être un argument pour diminuer d’autant sa responsabilité.

 

ATTENTION – Des règles spécifiques s’appliquent à l’égard des archives publiques et des données présentant un intérêt historique, scientifique ou statistique, justifiant qu’elles ne fassent l’objet d’aucune destruction. Ces régimes singuliers sont notamment inclus au sein du Code du patrimoine.

« Votre emploi du temps doit donc inclure un créneau régulier dédié au tri de vos données »

 

 

Application de la durée de conservation

La seule détermination d’une durée maximale de conservation des données ne suffit pas à être conforme. Encore faut-il prendre les mesures qui s’imposent pour traduire cet engagement dans les faits. Ici, les investigations de la CNIL ont révélé que les données collectées par INFOGREFFE n’ont pas été supprimées à temps. Un quart des données des comptes souscrits sur son site a en effet été conservé au-delà des 36 mois affichés par l’organisme.

 

 Votre conformité suppose de vous doter des moyens humains, matériels et financiers nécessaires pour concrétiser votre politique de durée de conservation des données. » Votre vigilance ne doit pas être un passe-temps mais bien une occupation à plein temps.

 

Remarque : l’obligation de limiter la durée de conservation ne vise que les données « permettant l’identification des personnes concernées ». Elle est donc écartée lorsque les données ont été anonymisées, c’est-à-dire lorsqu’un ensemble de techniques ont été employées pour rendre impossible, et de manière irréversible, toute identification de la personne.

Exemple : remplacer les données identifiantes (nom, prénom…) par des données non identifiantes (alias, numéro…).

Le cas d’INFOGREFFE révèle que la CNIL peut, lors de son contrôle, mettre en évidence d’autres problèmes que ceux pour lesquels elle avait été saisie. En l’absence d’une « démarche RGPD continue » au sein de votre organisme, il vous sera impossible de rectifier l’ensemble de vos lacunes à temps pour les camoufler aux yeux de la Commission.

“Que tout le temps qui passe, ne se rattrape guère… Que tout le temps perdu, ne se rattrape plus !” Barbara

Par les temps qui courent, nous ne pouvons que vous conseiller de ne pas perdre de temps pour assurer votre mise en conformité et votre maintien en conformité.

Soyez dans l’air du temps, et automatisez vos process !

RGPD-Experts a conçu pour vous REGISTER +, un registre des activités de traitement entièrement dématérialisé permettant de suivre simplement et efficacement votre conformité.

 

Dotée entre autres d’une fonction de stockage et d’archivage des anciens traitements de données, REGISTER + sera pour vous un précieux outil de pilotage de vos démarches RGPD. Cette solution dispose notamment de modules vous permettant d’affecter et de suivre des tâches à date programmée, idéals pour une gestion organisée et sereine des durées de conservation de vos données.

 

L.H

 

[1] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[2] La délibération complète de la CNIL est disponible dans son intégralité à l’adresse suivante : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000046280956?init=true&page=1&query=san-2022-018&searchField=ALL&tab_selection=all

[3] En effet, cette obligation n’est pas une nouveauté issue du Règlement Général sur la Protection des Données (RGPD), mais est imposée depuis plus de quarante ans par la loi dite « Informatique et Libertés » du 06 janvier 1978.

[1] Les référentiels et anciennes normes simplifiées de la CNIL peuvent servir de guides en la matière.

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

 

 

 

Accompagner les entreprises soumises aux évolutions réglementaires

 

Le Règlement général sur la Protection des données, entré en application le 25 mai 2018, a pour objectifs de protéger les libertés et droits fondamentaux des personnes physiques tout en garantissant la libre circulation des données à caractère personnel au sein de l’Union européenne et des pays adéquats. À l’heure actuelle, la protection des données est un enjeu majeur pour les entreprises souhaitant traiter un maximum de données le plus qualitativement possible tout en respectant leurs clients, leurs collaborateurs et les nouvelles réglementations induites par les autorités de contrôle.

Face à cet enjeu, les deux sociétés ont mis en commun leurs connaissances et leurs compétences autour d’un partenariat ayant donné naissance au logiciel Register +. D’une part, la société suisse Rumya est spécialisée dans le développement d’outils digitaux de mise en conformité depuis 2018. D’autre part, la société française RGPD-Experts, spécialisée dans la protection des données depuis 2005, accompagne l’intégration de la réglementation dans les entreprises.

Garantir la conformité RGPD

Conçu par des praticiens confirmés de la protection des données et de la sécurité informatique, Register + est un logiciel offrant une réponse concrète aux entreprises. Facile à mettre en œuvre, il propose une approche très pragmatique et assiste efficacement les professionnels au quotidien. La solution permet de respecter l’intégralité des besoins en termes de registres et de suivi de la conformité. Elle donne également la possibilité de démontrer que l’entreprise a répondu adéquatement aux exigences du RGPD en matière de respect des droits des personnes, de gestion des violations de données et de gestion des consentements.

Grâce à ces fonctionnalités, les entreprises peuvent prouver leur conformité tout en apportant une vraie valeur ajoutée, en termes de maitrise de leur patrimoine de données et d’optimisation de leurs processus.

La sécurité informatique, et par conséquent la confiance numérique, n’a jamais été aussi sensible, tant pour le législateur que pour les utilisateurs de ces services digitaux.

Découvrez l’inégalité de l’interview ici