Un réseau social distrayant, ça trompe énormément ?

Le 14 février 2023, le Comité européen de la Protection des Données[1] a adopté trois nouvelles lignes directrices, dont l’une vise à éviter l’utilisation de « designs trompeurs » sur les réseaux sociaux[2].

Le sujet vous intéresse, mais vous n’êtes pas certain d’avoir compris l’essentiel de ces 74 pages disponibles, pour l’heure, exclusivement en anglais ? RGPD-Experts a analysé pour vous les points majeurs à retenir de ces lignes directrices !

Ces préconisations ne s’arrêtent pas aux seuls réseaux sociaux, et sont bien évidemment transposables à toutes les autres plateformes (site Internet, applications mobiles, etc.).

Les « designs trompeurs » : késako ?

Le CEPD entend par l’expression « designs trompeurs » les techniques de conception d’une interface ayant pour objet ou pour effet d’influencer le comportement d’un utilisateur. Plus généralement, il s’agit de tous les procédés susceptibles d’inciter l’internaute à prendre des décisions non désirées ou inconscientes à son détriment – ou en faveur du réseau social – concernant la protection de ses données personnelles.

Ces méthodes sont multiples, et empêchent les internautes d’être véritablement acteurs de la protection de leurs données personnelles.

Les « designs trompeurs » : comment les reconnaître ?

Sans le savoir, nous sommes confrontés en permanence à ces designs pourtant prohibés. Le CEPD les classe selon différentes catégories :

  • Selon leurs effets sur le comportement de l’utilisateur : surcharge d’informations, utilisation des émotions, obstruction, maintien des personnes concernées dans une incertitude sur les pratiques du réseau et sur leurs droits en matière de protection des données, etc.
  • Selon leurs types : certains designs sont trompeurs dans leur contenu (formulation de phrase équivoque, déclarations, sorties de leur contexte, etc.), d’autres le sont dans leur forme (couleurs de l’interface, typographie, etc.).

EXEMPLE DE DESIGNS TROMPEURS

Effets sur les comportement de l’utilisateurMoyen trompeur utilisé par le responsable de traitementTypes de designs trompeursExemples
EFFET DE « SURCHARGE » : Les internautes sont noyés sous une avalanche d’informations afin de les inciter à partager davantage de données ou à autoriser sans le vouloir plus d’opérations de traitement sur leurs données. L’incitation en continu : elle consiste à pousser l’internaute à céder aux demandes du réseau en lui répétant de donner plus de données ou à consentir à l’utilisation de ses données à des fins particulières.Contenu trompeurL’apparition permanente de « pop-up » en ce sens pendant la lecture d’un article.
EFFET DE « SURCHARGE » : Les internautes sont noyés sous une avalanche d’informations afin de les inciter à partager davantage de données ou à autoriser sans le vouloir plus d’opérations de traitement sur leurs données.L’excès d’options : le responsable de traitement offre tellement de possibilités à la personne concernée pour configurer ses préférences / faire ses choix pour gérer ses données que celle-ci finit par abandonner sa démarche.Contenu trompeurNe pas proposer un bouton « tout refuser » lorsque l’utilisateur doit choisir pour quelles finalités il accepte ou non le dépôt de cookies sur son terminal. Las de devoir décocher les consentements donnés par défaut, finalité par finalité, celui-ci pourrait être tenté de finalement accepter la présélection faite pour gagner du temps.
EFFET DE « SURCHARGE » : Les internautes sont noyés sous une avalanche d’informations afin de les inciter à partager davantage de données ou à autoriser sans le vouloir plus d’opérations de traitement sur leurs données.Le labyrinthe : l’internaute peine à obtenir une information / faire une action, car il est contraint de passer par de nombreuses étapes pour y arriver, sans disposer d’une vision globale du schéma qu’il doit suivre pour y parvenir.Interface trompeuseSelon les droits qu’il veut exercer, l’internaute trouve les informations pertinentes à ce sujet dans la « foire aux questions » du site, puis sur son compte personnel, lesquels renvoient ensuite selon les cas à la politique de protection des données ou à un formulaire spécifique.
EFFET « INCITATEUR » : ce procédé affecte les choix des utilisateurs en jouant sur leurs émotions ou via des suggestions visuelles.Le « pilotage » émotionnel : des éléments visuels (couleurs, images, style) sont utilisés pour rendre positives certaines actions de l’internaute pourtant préjudiciables ou, à l’inverse, lui faire peur / le culpabiliser à tort pour l’encourager à agir dans le sens voulu par l’organisme.Contenu trompeurUn réseau social propose à l’internaute de partager sa localisation sous ces termes : « Hey toi ! Tu te sens seul aujourd’hui ? Envie de voir du monde ? Partage ta localisation et regarde si tes amis sont à proximité ! »
EFFET « INCITATEUR » : ce procédé affecte les choix des utilisateurs en jouant sur leurs émotions ou via des suggestions visuelles.La dissimulation de renseignements « à la vue de tous » : les informations sont bien communiquées, mais en réalité cachées aux utilisateurs grâce à diverses méthodes.Interface trompeuseLe lien permettant d’accéder à la politique de protection des données de l’organisme est accessible via un lien écrit en tout petit, de couleur jaune pâle sur une page de fond blanc.
EFFET « D’OBSTRUCTION » : cette technique vise à empêcher ou bloquer les informations/actions des internautes pour conserver la maitrise de leurs données.Les longueurs excessives : le responsable de traitement impose à l’utilisateur un nombre important et inutile d’étapes pour activer certaines options, ou détaille inutilement certaines informations pour l’embrouiller.Interface trompeuseUn individu tente de se désabonner d’une newsletter. Afin de valider sa demande, l’organisme lui demande : 1) De cliquer sur un 1er lien, 2) Puis de renseigner son adresse mail, 3) De confirmer après son souhait grâce au courriel envoyé, 4) D’indiquer pourquoi il souhaite se désabonner, 5) D’évaluer enfin le service/commerçant
EFFET « D’OBSTRUCTION » : cette technique vise à empêcher ou bloquer les informations/actions des internautes pour conserver la maitrise de leurs données.Les actes trompeurs : la divergence entre l’information donnée et l’acte pour y parvenir est susceptible de duper l’utilisateur.Interface trompeuseLors de la validation d’une commande sur Internet, le client a été conduit sans le savoir vers un site d’épargne en ligne de type Paypal, Lydia, etc. Pensant remplir un formulaire permettant la livraison de son achat, il est en réalité en train d’ouvrir un compte sur ces applications bancaires.
EFFET « D’OBSTRUCTION » : cette technique vise à empêcher ou bloquer les informations/actions des internautes pour conserver la maitrise de leurs données.Les impasses : les utilisateurs ne peuvent techniquement pas finaliser leurs actions Interface trompeuseLorsque l’internaute clique sur le lien destiné à retirer le consentement qu’il avait initialement donné à l’utilisation de ses données, il est redirigé vers une page inexistante.
EFFET « DE CONFUSION » : l’information est donnée ou l’interface organisée de telle façon que les utilisateurs ne peuvent pas comprendre les pratiques du réseau social en matière de protection des données ou les modalités d’exercice de leurs droits.Les informations contradictoiresContenu trompeurIl est indiqué tour à tour à l’internaute d’exercer ses droits directement auprès du Délégué à la protection des données, puis auprès d’une personne référente ayant d’autres coordonnées.
EFFET « DE CONFUSION » : l’information est donnée ou l’interface organisée de telle façon que les utilisateurs ne peuvent pas comprendre les pratiques du réseau social en matière de protection des données ou les modalités d’exercice de leurs droits.Les formulations ambiguësContenu trompeurLa politique de protection des données de l’organisme mentionne : « Nous utilisons vos données pour nous permettre de poursuivre nos différentes activités. Nous ne les conservons pas plus que le temps strictement nécessaire à cela ». Ces termes vagues et génériques ne permettent pas à l’internaute de comprendre l’utilisation réellement faite de ses données.
EFFET « D’INSTABILITÉ » : la conception de la plateforme est désorganisée et ne permet pas aux internautes d’utiliser correctement les outils lui permettant de gérer la protection de leurs données personnelles.Les « ruptures » de langage Contenu trompeurAlors que toute l’application est en français, la politique de protection des données de l’organisme est en anglais.
EFFET « D’INSTABILITÉ » : la conception de la plateforme est désorganisée et ne permet pas aux internautes d’utiliser correctement les outils lui permettant de gérer la protection de leurs données personnelles.Les interfaces incohérentes : la présentation de l’application ou du site n’est pas conforme aux attentes raisonnables de l’utilisateur, ce qui est source de confusion.Contenu et interface trompeur Les options de l’internaute pour configurer ses données sont toujours présentées de la moins protectrice à la plus protectrice, sauf à la dernière question. Dans ces conditions, le dernier choix de l’utilisateur pourrait être faussé s’il répond par réflexe selon la même logique que celle appliquée jusqu’alors.
EFFET « D’INSTABILITÉ » : la conception de la plateforme est désorganisée et ne permet pas aux internautes d’utiliser correctement les outils lui permettant de gérer la protection de leurs données personnelles.Les décontextualisations : l’information cherchée par l’internaute ne peut pas être trouvée dans un endroit intuitif pour lui. Interface trompeuseLes options de configuration des préférences de l’internaute en matière de protection des données sont accessibles dans la section « mes éléments », ce que l’intitulé ne permet pas de deviner.
EFFET DE « DISTRACTION » : le site ou l’application est conçue de telle manière que les utilisateurs vont oublier / ne pas penser aux questions liées à la protection de leurs données personnelles. Le détournement d’attention : il s’agit de mettre en concurrence les informations relatives à la protection des données avec d’autres informations, afin de dévier l’internaute de ces questions.Interface trompeuseUne bannière affiche la politique du réseau social en matière de cookies ainsi : « Nous avons créé pour vous la recette des meilleurs cookies jamais cuisinés. Pour connaître les ingrédients, cliquez sur ce lien : « xxx ». Notre site utilise lui aussi des cookies. Si vous voulez en savoir plus, cliquez ici : « yyy ». »
EFFET DE « DISTRACTION » : le site ou l’application est conçue de telle manière que les utilisateurs vont oublier / ne pas penser aux questions liées à la protection de leurs données personnelles.Les suggestions trompeuses : ces procédés visent à instaurer une divergence entre ce que l’utilisateur veut et ce qu’il peut obtenir, afin de le décourager dans ses actions.Interface trompeuseDemander à l’utilisateur s’il veut rendre son profil : – Confidentiel – Accessible à ses amis seulement ; – Ou public ; Tout en pré cochant et mettant en évidence l’option la plus défavorable pour la protection de ses données personnelles., à savoir « public ».

Les « designs trompeurs » : pourquoi les éviter ?

Ces « designs trompeurs » violent plusieurs dispositions fondamentales du RGPD, et notamment :

  • Le principe de loyauté (art. 5(1)(a) du RGPD) : les responsables de traitement ne doivent pas traiter les données personnelles d’une manière inattendue, préjudiciable, fallacieuse ou discriminatoire pour les personnes concernées.
  • Le principe de minimisation des données (art. 5(1)(b) RGPD) : les responsables de traitement ne peuvent pas collecter autant d’informations sur les internautes qu’ils ne le veulent. Ils sont tenus de limiter le recueil de ces renseignements aux seules données personnelles adéquates et pertinentes au regard des objectifs poursuivis par la collecte de ces données.
  • Le principe de transparence (art. 5(1)(a) & 12 RGPD): les informations relatives aux pratiques et règles applicables en matière de protection des données personnelles doivent être formulées de façon concise, intelligible et facilement accessible pour les personnes concernées.
  • Les règles relatives à la gestion du consentement (art. 4 & 7 RGPD) : lorsque la base légale justifiant le traitement de données est celle du consentement de l’internaute, le responsable de traitement doit mettre en œuvre les mesures appropriées pour s’assurer que le consentement de ce dernier a été donné par un acte positif clair, et qu’il remplit certaines conditions de validité (consentement libre, spécifique, éclairé et univoque). Il appartient également au responsable de traitement de prévoir des dispositifs permettant à l’utilisateur de revenir aisément et à tout moment sur son accord initial.
  • Les règles relatives aux droits des personnes concernées (art. 12 à 23 RGPD) : le responsable de traitement est non seulement tenu d’informer les internautes des droits dont ils disposent sur leurs données personnelles, mais il doit aussi leur permettre de les exercer sans obstacle (droit d’être informé, droit d’accès, de rectification, à l’effacement de leurs données, etc.).

Le CEPD insiste sur le fait que ces règles doivent être respectées durant toute l’expérience de l’utilisateur sur la plateforme, de la création de son compte personnel sur le réseau social à sa clôture, en passant par la configuration ultérieure de son profil et l’exercice de ses droits.

Les responsables de traitement des pages Web et applications non conformes engagent donc leur responsabilité s’ils recourent à ce type de présentations insidieuses.

ATTENTION : au-delà du RGPD, ces « designs trompeurs » peuvent violer d’autres législations, notamment issues du droit de la consommation

Les « designs trompeurs » : comment les bannir ?

Ces dérives sont répandues, sans que cela ne soit nécessairement voulu par les responsables de traitement.

Nous vous rappelons que le RGPD les oblige pourtant à respecter le principe cardinal du « privacy by design and by default », c’est-à-dire de développer leur plateforme de telle manière qu’elle soit protectrice des données personnelles de leurs utilisateurs dans leur conception même, sans que l’internaute n’ait besoin de configurer l’interface en ce sens.

Cette règle est particulièrement vraie lorsque le site ou l’application vise un public de personnes vulnérables à cet égard (enfants, personnes âgées, etc.).

Pour éviter ces écueils, il convient d’avoir à l’esprit quelques bonnes pratiques. Nous vous recommandons notamment :

– De prévoir plusieurs niveaux d’information (des renseignements « de base » aux plus approfondis), et d’utiliser des raccourcis / liens afin de rediriger les utilisateurs directement vers les informations qu’ils recherchent.

– De rédiger vos informations avec des termes clairs et reflétant la réalité de votre activité (politique de protection des données, politique de cookies, etc.).
Hiérarchisez vos propos et définissez les mots que vous employez. Utilisez des exemples pour expliquer vos pratiques, la façon dont les internautes peuvent gérer leurs données ou exercer leurs droits. Expliquez-leur aussi les conséquences de leurs actions. Bref : rendez la lecture de ces documents le plus facile et agréable possible !

– De concentrer en un seul endroit les options ouvertes aux utilisateurs pour gérer leurs préférences en matière de protection des données personnelles, et de les désigner avec des intitulés évidents (gestion du consentement, exercice des droits, etc.).

– D’utiliser un code couleur ou une typologie permettant aux internautes de distinguer clairement les éléments relatifs à la protection de leurs données personnelles des autres sujets.

– De mettre en évidence une seule et unique personne de contact à qui les internautes peuvent adresser leurs questions en matière de protection des données personnelles. – De notifier les internautes de tout changement de votre politique de protection de données.

– Si vous permettez à vos utilisateurs d’utiliser vos services via plusieurs terminaux (ordinateurs, téléphone, tablette), faites en sorte que la configuration du compte de l’internaute enregistrée sur l’un de ses équipements soit prise en compte sur les autres.

Cette liste n’est évidemment pas exhaustive. N’oubliez pas que votre site Internet ou votre application est la première façade de votre conformité !

Notre équipe de professionnels est à vos côtés pour vous aider à respecter vos obligations légales. Rendez-vous sur notre site pour plus d’informations : https://www.rgpd-experts.com/

[1] Cet organe européen indépendant a été institué par le RGPD lui-même. Il a pour mission de contribuer à l’application cohérente de la législation européenne en matière de protection des données. Il publie régulièrement des lignes directrices pour aider les responsables de traitement à comprendre et respecter leurs obligations légales.

[2] CEPD, Lignes directrices 03/2022 du 14 février 2023, « Designs trompeurs sur les interfaces des réseaux sociaux : comment les reconnaître et les éviter » : https://edpb.europa.eu/system/files/2023-02/edpb_03-2022_guidelines_on_deceptive_design_patterns_in_social_media_platform_interfaces_v2_en_0.pdf

L.H

Depuis plus de 18 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

Comment voir la vie d’en haut / vidéo ?

 

Afin de contrôler les manifestations organisées pour la fête du travail le 1er mai dernier, certaines villes ont autorisé les forces de l’ordre à s’aider de drones. Malgré les recours déposés par plusieurs associations contre ces décisions, les tribunaux administratifs ont généralement validé ces dispositifs de surveillance. Tel a notamment été le cas des drones survolant les cortèges de la capitale.

Pas de quoi en faire tout un cinéma ? Peut-être… Si ce n’est que cette méthode (presque) inédite sera probablement monnaie courante dans les prochaines années. Selon le Préfet de police de Paris, les survols des manifestations n’étaient en effet qu’un « test » pour la gestion sécuritaire des Jeux Olympiques de Paris 2024[1].

FLASHBACK : la législation sur l’usage des drones par les forces de l’ordre

Durant le premier confinement, la Préfecture de police de Paris avait déjà utilisé des drones pour veiller au respect des règles instaurées dans le cadre de l’état d’urgence sanitaire. Le Conseil d’État avait toutefois suspendu cette décision, en ce qu’elle s’inscrivait en dehors de tout cadre juridique régissant la question[2].

 

La loi du 25 mai 2021 pour une sécurité globale préservant les libertés, récemment modifiée par la loi du 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure, a permis de pallier ce vide juridique. Ces dispositions autorisent désormais certains services de maintien de l’ordre, de secours ou des douanes à recourir sous conditions à des « caméras installées sur des aéronefs, y compris sans personne à bord » – autrement dit des drones[3].

Durant ce processus législatif, la Commission Nationale de l’Informatique et des Libertés (CNIL) a eu l’occasion d’émettre plusieurs avis sur les modalités envisagées pour la mise en œuvre de ces appareils[4].

Mais l’application de ces textes était conditionnée à l’adoption d’un décret dédié, qui a finalement été adopté quelques semaines avant les manifestations du 1er mai, le 19 avril 2023[5].

 

 

L’intégration de cette nouvelle technologie dans les outils à disposition des forces de l’ordre n’est pas anodine compte tenu des risques qu’elle présente pour les droits et libertés des personnes concernées. Nous ne nous faisons pas de films : même les plus hautes instances le reconnaissent !

 

PAUSE : les risques liés à l’utilisation des drones par les forces de l’ordre

Interrogé sur la constitutionnalité de la loi du 24 janvier 2022, le Conseil Constitutionnel a souligné l’importance d’assortir l’utilisation de ces drones de garanties destinées à sauvegarder le droit au respect de la vie privée des citoyens français. Dans sa décision du 20 janvier 2022[6], il a rappelé la puissance de nuisance de ces appareils : « les drones sont capables de capter, en tout lieu, et sans que leur présence soit détectée, des images d’un nombre très important de personnes et de suivre leurs déplacements dans un vaste périmètre. ».

Afin d’éviter toutes dérives, le législateur a essayé de circonscrire l’utilisation de ces drones[7], notamment en :

  • Limitant les cas dans lesquels il est possible de les utiliser (en particulier pour la prévention d’actes de terrorisme, le secours aux personnes, assurer la sécurité des rassemblements dans des lieux publics, etc.) ;
  • Limitant les fonctionnalités de ces drones (les caméras ne peuvent capter aucun son – vivre le cinéma muet ! Elles ne peuvent pas non plus être équipées de dispositifs de traitements automatisés permettant une reconnaissance faciale, et ne doivent en principe jamais être orientées vers l’intérieur des domiciles privés, etc.) ;
  • Limitant dans le temps (les survols ne peuvent pas être permanents) et dans l’espace le recours à ces drones (en obligeant au préalable la délimitation d’une zone géographique d’intervention) ;
  • Conditionnant l’utilisation de ces drones à l’obtention d’une autorisation écrite et motivée du préfet;
  • Limitant la durée de conservation des images prises (en principe 7 jours maximum et 48 heures lorsqu’elles permettent exceptionnellement de visualiser l’intérieur de résidences privées, sauf à être transmises dans ces délais dans le cadre d’un signalement à l’autorité judiciaire)

 

 

PLAY : les recommandations de la CNIL

 

Déjà avant la promulgation de la loi, le Conseil constitutionnel avait émis plusieurs réserves sur sa constitutionnalité.

Quelques semaines avant l’adoption définitive du décret d’application du 19 avril 2023, la CNIL avait rendu un nouvel avis sur ces dispositions[8]. Contrairement aux précédents, cet avis a cette fois la valeur d’un acte réglementaire unique, ce qui signifie que les administrations souhaitant utiliser ces caméras devront, au préalable, formellement s’engager auprès de la Commission à respecter le cadre légal.

La délibération de la CNIL conforte malheureusement les craintes de l’équipe de RGPD-Experts : force est de constater qu’un flou certain demeure sur les conditions précises et pratiques d’utilisation de ces drones…

Alors que l’autorité régulatrice rappelle fréquemment aux responsables de traitement de ne pas recourir à des descriptifs génériques dans leurs documentations de conformité, la législation en vigueur est ici loin d’être limpide :

  • Ces appareils ne peuvent être utilisés que si cela est « strictement nécessaire à l’exercice des missions concernées et adapté au regard des circonstances de chaque intervention». Bien que le Conseil constitutionnel ait exigé de réserver l’usage des drones à « des cas précis et d’une particulière gravité », cette expression nébuleuse ne permet pas de savoir concrètement dans quelles situations ces mesures peuvent être déployées …
  • Selon quels critères distinguer les cas dans lesquels une simple captation des images en direct suffira, de celles dans lesquels un enregistrement s’imposera ?
  • Quelles sont en réalité les «circonstances d’intervention» justifiant que les drones puissent continuer à filmer, à titre exceptionnel, alors même que l’intérieur de domiciles privés serait visible ?
  • Comment les forces de l’ordre envisagent-elles d’informer les personnes concernées qu’elles sont susceptibles d’être filmées, ainsi que de leurs droits en matière de protection des données personnelles ? La CNIL incite le gouvernement à clarifier l’information du public en général, mais surtout des potentielles cibles des caméras, par l’instauration de dispositifs sonores ou physiques dans les périmètres couverts par les drones.
  • Comment s’assurer du respect des mesures de sécurité destinées à garantir l’anonymisation et l’intégrité des données collectées (chiffrement, horodatage et assignation d’un « tatouage numérique » des flux de vidéo, sécurisation des sauvegardes, etc.) ?

 

Nous espérons que ces questions sans réponses ne seront pas à l’origine d’un scénario catastrophe pour l’avenir, digne d’un film de science-fiction !

Si les ministères ont indiqué à l’autorité de contrôle qu’ils ne pouvaient pas préciser dans le décret les critères objectifs sur lesquels ils se fonderont pour respecter ces règles, compte tenu de la diversité des situations opérationnelles auxquelles les forces de sécurité sont confrontées, ils certifient que ces explications seront rapportées plus en détail dans les doctrines d’emploi qu’ils envisagent d’adresser aux services concernés. Doctrines qui n’auront, elles, aucune valeur contraignante…

Nous n’en sommes donc qu’aux prémices de cette longue saga sur les questions soulevées par l’utilisation des drones par la police et la gendarmerie nationale en matière de protection des données personnelles.

La pratique et la jurisprudence à venir devront probablement combler les silences de la loi…

* * *

Vous aviez loupé des étapes de cette évolution juridique et voudriez rembobiner l’histoire ? Vous n’arrivez pas à suivre le cadre juridique changeant en matière de protection des données ? Suivre vos démarches de conformité est pour vous une véritable péripétie ? Vos connaissances mériteraient un replay ?

Nous vous invitons à prendre contact avec nos services pour plus de renseignements sur nos offres de formation, de solutions de conformité ou d’assistance RGPD : https://www.rgpd-experts.com/contactez-rgpd-experts/

L.H

[1] FranceInfo, « Drones pendant les manifestations du 1er mai », le 2 mai 2023 : https://www.francetvinfo.fr/faits-divers/police/drones-pendant-les-manifestations-du-1er-mai-une-sorte-de-test-en-vue-des-jeux-olympiques-de-2024-explique-le-prefet-de-police-de-paris_5802956.html

[2] Conseil d’État, juge des référés, 18 mai 2020, 440442.

[3] La loi vise également les dispositifs embarqués dans d’autres aéronefs (avions, hélicoptères, etc.). Pour rappel, des règles spécifiques encadrent l’utilisation des drones à titre privé. Elles diffèrent selon leur date de conception, leur catégorie et leur poids.

[4] Délibération n°2021-011 du 26 janvier 2021 et délibération n°2021-078 du 08 juillet 2021.

[5] Décret n°2023-283 du 19 avril 2023 relatif à la mise en œuvre de traitements d’images au moyen de dispositifs de captation installés sur des aéronefs pour des missions de police administrative.

[6] Conseil Constitutionnel, décision n°2021-834 du 20 janvier 2022, Communiqué de presse : https://www.conseil-constitutionnel.fr/actualites/communique/decision-n-2021-834-dc-du-20-janvier-2022-communique-de-presse

[7] Articles L242-1 et suivants du Code de la Sécurité intérieure.

[8] Délibération n°2023-027 du 16 mars 2023 portant avis sur un projet de décret portant application des articles L.242-1 et suivants du Code de la sécurité intérieure : https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000047465509

 

 

Depuis plus de 18 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

Utilisation des applications récréatives par les particuliers et les fonctionnaires :

Des instructions à double vitesse ?

 

Une rapide annonce aux grandes conséquences – Le 24 mars 2023, le gouvernement a interdit « sans délai » à tous les fonctionnaires de télécharger et de faire usage d’applications dites « récréatives » sur leurs téléphones professionnels[1].

Aucune interface n’est nommément visée. Cette mesure concernerait en réalité toutes les applications :

  • De « gaming » (Candy Crush, 2048, jeux d’échecs, le bon vieux Tetris, etc.);
  • De « streaming » (Netflix ou Amazon Prime Vidéo par exemple);
  • De divertissement en général (ce qui cible entre autres les réseaux sociaux tels qu’Instagram ou Snapchat).

 

Un engouement pour les applications récréatives en perte de vitesse ? – Ces consignes s’inscrivent dans le prolongement de nombreux autres avertissements à travers le monde.

Le 23 février 2023, la Commission européenne avait déjà enjoint à tous ses collaborateurs de supprimer l’application de partage de vidéos « TikTok » non seulement de leurs smartphones professionnels, mais aussi de leurs téléphones personnels si des informations relatives à leur travail y transitent[2].

Plusieurs états avaient également déjà pris des mesures similaires au sein de leurs gouvernements et administrations. Emboîtant le pas du Canada ou du Royaume-Uni, les Pays-Bas et la Norvège ont eux aussi récemment banni l’emploi de l’application de vidéos « TikTok » au sein de leurs collectivités.

Les législations identiques se multiplient à un rythme effréné, et les textes restreignant l’usage de ces applications de divertissement sont votés plus vite que la musique !

D’autres pays envisagent des réactions bien plus drastiques. Aux États-Unis, la question de l’interdiction pure et simple de TikTok est actuellement aux cœurs des débats[3].

Est-ce à dire que ces positions gouvernementales sont susceptibles d’apporter des solutions pérennes en termes de protection des données personnelles ? C’est vite dit !

Pour toute justification, le ministre de la Transformation et de la Fonction publique Monsieur Stanislas GUERINI a indiqué que :

« les applications récréatives ne présentent pas les niveaux de cybersécurité et de protection des données suffisant pour être déployées sur les équipements d’administrations. Ces applications peuvent donc constituer un risque sur la protection des données de ces administrations et de leurs agents publics. » .

Au-delà de la compromission des données personnelles des fonctionnaires, c’est en réalité des soupçons d’espionnage par Pékin via ces interfaces qui auraient incité le gouvernement à agir au plus vite.

Si TikTok a reconnu que ses salariés pouvaient accéder à distance depuis l’étranger aux données personnelles de ses utilisateurs, la maison mère de l’application « ByteDance » réfute les accusations portées à son encontre, selon lesquelles elle transmettrait ces informations au gouvernement chinois[4].

Des prises de position vite fait…bien fait ? – Si nos dirigeants sont inquiets pour eux, n’y a-t-il pas de raisons que les particuliers s’alarment eux aussi ? N’y a-t-il pas deux poids deux mesures dans ces instructions ?

La CNIL[5] s’est déjà penchée sur la conformité de certaines de ces applications récréatives. Le réseau social « TikTok » a ainsi fait l’objet de plusieurs condamnations, dont nous vous avions déjà parlé[6].

Mais ces sanctions visent des manquements précis et circonstanciés du Règlement Général sur la Protection des Données (RGPD), alors que les violations des règles applicables en la matière par ces différentes interfaces semblent multiples, et surtout structurelles.

Alors que l’article 58(2)(f) du RGPD prévoit la possibilité pour les autorités de contrôle d’imposer la limitation temporaire ou définitive voire l’interdiction d’un traitement de données, les décisions prises par les autorités régulatrices européennes sont chaque fois limitées, si ce n’est symbolique par rapport aux chiffres d’affaires réalisés par ces plateformes et le nombre de personnes concernées par le traitement de leurs données personnelles en Europe. 

Au-delà de ces sanctions radicales, les autorités de contrôle disposent de tout un panel de mesures correctrices destinées à sécuriser les données des internautes. Si les données des fonctionnaires sont menacées, celles des particuliers le sont sans nul doute tout autant…

La recherche d’un équilibre entre liberté d’expression et protection des données personnelles suggère l’instauration d’un temps de réflexion approfondi sur les enjeux générés par ces applications, et non de régler ces questions en deux temps, trois mouvements.

Si les personnes concernées peuvent en effet décider de continuer à utiliser ces applications malgré le risque qu’elles induisent pour le traitement de leurs données personnelles, c’est notamment à condition que leur consentement ait été donné en toute connaissance de cause. 

Or, il semblerait qu’il reste encore des flous à éclaircir sur ce sujet…

***

 

Chez RGPD-Experts, nous considérons que votre conformité est une question sérieuse à examiner attentivement, pour adapter au maximum les mesures applicables en matière de protection des données à la réalité de votre activité. Comme dit le proverbe : « Qui va vite, va loin ; qui va lentement va mieux » !

Notre équipe de professionnels vous accompagne pour accomplir avec vous un travail de fond, visant à identifier vos obligations légales selon les missions poursuivies par votre organisme, et à trouver les réponses pertinentes à y apporter. Ce travail d’analyse sera la clé de votre conformité, car cela bien connut : rien ne sert de courir, il faut partir à point.

Nous vous invitons à prendre contact avec nos services pour plus de renseignements sur nos offres de formation, de solutions de conformité ou d’assistance RGPD : https://www.rgpd-experts.com/contactez-rgpd-experts/

 

 

L.H

 

[1] Communiqué de presse du 24 mars 2023 du Ministre de la Transformation et de la fonction publique : https://www.transformation.gouv.fr/files/presse/cp_interdiction_applications_recreatives_telephone_pro_agents.pdf

[2] Article d’actualité de Représentation en France du 23, février 2023 : https://france.representation.ec.europa.eu/informations/la-commission-renforce-sa-cybersecurite-et-suspend-lutilisation-de-tiktok-sur-les-appareils-de-son-2023-02-23_fr

[3] « Tiktok menacé d’interdiction aux États-Unis », Le Monde, 23 mars 2023 : https://www.lemonde.fr/economie/article/2023/03/23/tiktok-menace-d-interdiction-aux-etats-unis-veut-jouer-l-opinion-contre-les-gouvernements-occidentaux_6166709_3234.html

[4] Nous vous invitons à lire notre précédent article sur le sujet : https://www.rgpd-experts.com/transfer-de-donnees/

[5] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[6] Notamment à travers le post suivant : https://www.rgpd-experts.com/mauvaise-tactique-de-tiktok/

 

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

Le RGPD : plus trop la tasse de thé des Anglais ?

 

En sortant de l’Union européenne (UE), le Royaume-Uni s’est soustrait du champ d’application de nombreuses législations européennes. Parmi elles figure notamment le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, plus connu sous le nom de « Règlement Général sur la Protection des Données » (RGPD).

Débriefing : petits rappels historiques et légaux – Le Royaume-Uni s’est officiellement retiré de l’UE le 31 janvier 2020. S’est alors ouverte une période de transition d’un an, durant laquelle le pays est provisoirement resté soumis aux règles communautaires.

À partir du 31 décembre 2020, le sort réservé aux données personnelles traitées au Royaume-Uni ne devait donc en principe plus être régi par le RGPD en tant que tel. En effet, ce texte étant un règlement et non une directive, il a été directement applicable dans les États membres de l’UE dès son entrée en vigueur, sans que ceux-ci aient eu besoin d’en retranscrire le contenu dans leurs propres lois nationales[1].

Pour surmonter cette difficulté, qui aurait porté préjudice à la fois aux citoyens britanniques et aux rapports commerciaux qu’entretient le Royaume-Uni avec le reste des pays de l’Union, le gouvernement britannique a promulgué une série de lois destinées à transposer la quasi-totalité du RGPD dans son ordre juridique.

Le feed-back de la Commission européenneLa Commission européenne a considéré que le nouveau droit positif du Royaume-Uni assurait bien un niveau de protection des données personnelles équivalent à celui garanti par le RGPD.

 

L’institution européenne a ainsi adopté une décision d’adéquation le 28 juin 2021[2]. Celle-ci a notamment pour effet de dispenser les responsables de traitement soumis au RGPD européen d’avoir à accomplir des formalités supplémentaires avant de transférer des données personnelles vers le Royaume-Uni.

Cette décision vaut en théorie pour une durée de quatre années, sauf décision contraire de la Commission européenne. L’institution a toutefois précisé qu’elle surveillerait attentivement l’évolution de la législation et les pratiques britanniques à ce sujet, et qu’elle se réservait le droit de suspendre, abroger ou modifier sa décision d’adéquation s’il était démontré que le Royaume-Uni n’assurait plus un niveau de protection adéquat des données personnelles.

Mais, bien qu’averti des conséquences d’un éventuel « retour en arrière » de sa part, le Royaume-Uni n’est-il pas en train de filer à l’anglaise ?

Le récent bad buzz du gouvernement britannique – Le 8 mars 2023, la secrétaire d’État anglaise à la Science, à l’Innovation et à la Technologie Madame Michelle DONELAN a présenté au Parlement un récent projet de loi, qui pourrait bien changer la donne[3]. Le texte prévoit un aménagement des dispositions actuellement en vigueur, jugées trop contraignantes pour les entreprises. Brandissant le fait que cette réforme permettrait de réaliser près de 4 milliards de livres d’économies en 10 ans, il y serait question de :

1 – Assouplir les règles sur l’exploitation des données personnelles dans le cadre de la recherche scientifique

L’article 6(1)(b) RGPD définit le principe de limitation des finalités, c’est-à-dire que les données à caractère personnel doivent être : […] « collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ; le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n’est pas considéré, conformément à l’article 89, paragraphe 1, comme incompatible avec les finalités initiales ».

Le projet de loi anglais vise à étendre la définition de la « recherche scientifique » pour y inclure les activités de recherche dans le secteur commercial. L’idée serait que les entreprises puissent elles aussi réutiliser des données qu’elles auraient préalablement collectées auprès de leurs clients et partenaires pour leurs propres activités de recherche et développement.

2 – Réduire les formalités administratives incombant aux responsables de traite

Sous l’empire du RGPD, tout responsable de traitement est tenu à un principe « d’accountability ». Il s’agit pour lui non seulement de devoir respecter ses obligations légales en matière de protection des données, mais d’être en mesure de démontrer à chaque instant de sa conformité (art. 5(2) du RGPD).

Cette mesure est particulièrement protectrice des personnes concernées qui, en cas de désaccord, n’ont pas à apporter la preuve du manquement de l’organisme ; preuve difficilement accessible pour elles puisque ces justificatifs sont précisément souvent détenus par le responsable de traitement.

Estimant cette exigence trop astreignante pour les responsables de traitement, le gouvernement britannique souhaite en réduire considérablement le champ d’application. Il est d’avis que seuls les organismes poursuivant des activités susceptibles de présenter un risque pour les droits et libertés des personnes concernées devraient désormais tenir une documentation de leur conformité.

Pas cool pour les citoyens dont les informations personnelles sont manipulées au quotidien, mais de façon trop insignifiante aux yeux du gouvernement du 10 Downing Street pour s’assurer du degré de conformité du responsable de traitement (démarchage et prospection, profilage en ligne, renseignements RH des entreprises, etc.).

Le texte prévoit également un allègement des règles de consentement des personnes concernées pour le dépôt de cookies[4].

3 – Encourager les transferts de données à l’international…

…En exemptant, entre autres, les responsables de traitement de vérifier que le destinataire étranger continue de respecter ses obligations en matière de protection des données, après leur contrôle initial.

OH MY GOD ! Autant de rétropédalages ?…

Le projet de loi émet l’idée de créer deux cadres règlementaires distincts. Les groupes britanniques désirant poursuivre leurs activités dans l’Union européenne seraient, malgré tout, encore obligés de respecter le RGPD[5]

Mais nous en savons encore peu pour l’instant, cette réforme n’ayant curieusement pas fait la une des tabloïds…

 

Mauvais timing pour une telle annonce – Si le gouvernement britannique a réaffirmé dans son projet de loi son souhait de maintenir un haut niveau de protection aux données personnelles manipulées sur son territoire, il est permis d’en douter.

Cette évolution du cadre légal va nécessairement être analysée de près par la Commission européenne, puisqu’elle risque d’amoindrir le niveau de protection accordée aux éventuelles données personnelles de résidents européens transférées vers le Royaume-Uni…

D’autant que le gouvernement britannique a récemment signé avec les États-Unis un accord bilatéral autorisant les autorités de chaque pays à réclamer aux organismes de l’autre la communication des données personnelles qu’ils auraient en leur possession, lors d’investigations sur certains crimes relevant du grand banditisme ou du terrorisme. Cette entente, conclue le 3 octobre 2022, intervient dans le cadre du CLOUD ACT américain[6] & [7] . Elle pourrait ainsi donner un accès direct aux autorités américaines à des données personnelles de résidents européens envoyées de prime abord « en toute confiance » au Royaume-Uni…

En dehors de toute révision anticipée de la décision d’adéquation rendue par l’Institution européenne, celle-ci expire dans tous les cas le 27 juin 2025. Sa prorogation éventuelle sera l’occasion d’un examen des garanties offertes par le Royaume-Uni sur cette problématique.

Considérera-t-elle que tout est « Okay »

Nous vous rappelons qu’en l’absence de décision d’adéquation, les responsables de traitement soumis au RGPD ne pourront plus transférer de données personnelles vers le Royaume-Uni sans avoir pris des garanties appropriées pour s’assurer de leur sécurité là-bas. L’article 46 du RGPD dresse la « check-list » de ces garanties, qui peuvent être : un arrangement administratif contraignant et exécutoires, pour les organismes publics (1) ; des règles d’entreprise contraignantes (2) ; des clauses types de protection des données, soit spécifiques ou approuvées par la Commission européenne (3) ; voire l’engagement du destinataire de suivre un code de conduite approuvé (4) ou le cahier des charges d’une certification qui lui aurait été délivrée (5).

* * *

Contrairement à ce qu’affirme le gouvernement britannique, ces obligations légales sont un véritable atout pour les organismes, à l’heure où les personnes concernées ont davantage d’attente sur la manière dont sont recueillies et exploitées leurs informations personnelles.

Ce n’est un scoop pour personne : loin d’être un coût supplémentaire pour les sociétés, leurs démarches de conformité sont désormais largement valorisables et valorisées sur le marché.

Perdus dans l’identification et la gestion des différents pans de votre conformité ?

Notre équipe de professionnels est à l’écoute de vos demandes et de vos besoins.

Nous vous invitons à prendre contact les services de RGPD-Experts via notre formulaire :

https://www.rgpd-experts.com/contactez-rgpd-experts/

 

L.H

 

[1] Cette applicabilité immédiate des règlements européens découle de l’effet « direct » qui leur est reconnu.

[2] La décision d’exécution de la Commission du 28 juin 2021 constatant, conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil, le niveau de protection adéquat des données à caractère personnel assuré par le Royaume-Uni est disponible dans son intégralité à l’adresse suivante : https://commission.europa.eu/system/files/2021-06/decision_on_the_adequate_protection_of_personal_data_by_the_united_kingdom_-_general_data_protection_regulation_fr_0.pdf

[3] Tel qu’indiqué dans un communiqué du gouvernement britannique accessible en ligne : https://www.gov.uk/government/news/british-businesses-to-save-billions-under-new-uk-version-of-gdpr

[4] https://www.usine-digitale.fr/article/exit-le-rgpd-le-royaume-uni-assouplit-ses-regles-sur-la-protection-des-donnees.N2109356

[5] Ibid.

[6] https://www.justice.gov/opa/pr/landmark-us-uk-data-access-agreement-enters-force

[7] Pour en savoir plus sur le Cloud Act américain et ses conséquences sur votre conformité, nous vous invitons à consulter notre précédent article sur le sujet : https://www.rgpd-experts.com/google-analytics/

 

 

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

 

 

 

 

 

 

L’EDPB se félicite des améliorations apportées par le cadre UE-États-Unis sur la protection des données, mais des inquiétudes subsistent

 

Après les remarques de la commission des libertés civiles de la justice et des affaires intérieures du Parlement européen Lien, c’est au tour de l’EDPB de faire le point sur le projet d’adéquation des USA.

Bruxelles, 28 février

L’EDPB a adopté son avis sur le projet de décision d’adéquation concernant le cadre de protection des données à caractère personnel entre l’UE et les États-Unis. L’EDPB accueille favorablement les améliorations substantielles telles que l’introduction d’exigences reflétant les principes de nécessité et de proportionnalité pour la collecte de données par les services de renseignement américains et le nouveau mécanisme de recours pour les personnes concernées de l’UE.

En même temps, il exprime des préoccupations et demande des clarifications sur plusieurs points. Ceux-ci concernent, en particulier, certains droits des personnes concernées, les transferts ultérieurs, le champ d’application des exemptions, la collecte temporaire de données en masse et le fonctionnement pratique du mécanisme de recours. L’EDPB apprécierait que non seulement l’entrée en vigueur mais aussi l’adoption de la décision soient conditionnées à l’adoption de politiques et de procédures actualisées pour mettre en œuvre l’Executive Order 14086 par toutes les agences de renseignement américaines. L’EDPB recommande à la Commission d’évaluer ces politiques et procédures mises à jour et de partager son évaluation avec l’EDPB.

Andrea Jelinek, présidente de l’EDPB, a déclaré :  » Un niveau élevé de protection des données est essentiel pour sauvegarder les droits et libertés des individus de l’UE. Tout en reconnaissant que les améliorations apportées au cadre juridique américain sont significatives, nous recommandons de répondre aux préoccupations exprimées et de fournir les clarifications demandées afin de garantir la pérennité de la décision d’adéquation. Pour la même raison, nous pensons qu’après le premier examen de la décision d’adéquation, des examens ultérieurs devraient avoir lieu au moins tous les trois ans et nous nous engageons à y contribuer. »

Le projet de décision d’adéquation, publié par la Commission européenne le 13 décembre 2022, est basé sur le cadre de protection des données (DPF) UE-États-Unis – censé remplacer le Privacy Shield invalidé par la CJUE dans l’arrêt Schrems II. L’élément clé du DPF est constitué par les principes du cadre UE-États-Unis de protection des données, qui ont été publiés par le ministère américain du commerce. Le DPF n’est applicable qu’aux organisations américaines qui se sont auto-certifiées. L’EDPB a maintenant adopté son avis sur le projet de décision, qui prend en compte à la fois les aspects commerciaux et l’accès et l’utilisation des données par les autorités publiques américaines.

En ce qui concerne les aspects commerciaux, l’EDPB se félicite d’un certain nombre de mises à jour apportées aux principes du DPF. Il note également qu’un certain nombre de principes restent essentiellement les mêmes que dans le cadre du Privacy Shield. À ce titre, certaines préoccupations demeurent, par exemple, en ce qui concerne certaines exemptions au droit d’accès, l’absence de définitions clés, le manque de clarté quant à l’application des principes du DPF aux sous-traitants, la large exemption au droit d’accès pour les informations accessibles au public, et l’absence de règles spécifiques sur la prise de décision automatisée et le profilage. L’EDPB réaffirme également que le niveau de protection ne doit pas être affaibli par les transferts ultérieurs. Il invite donc la Commission à préciser que les garanties imposées par le destinataire initial à l’importateur dans le pays tiers doivent être effectives au regard de la législation du pays tiers, avant tout transfert ultérieur.

En outre, l’EDPB demande à la Commission de clarifier la portée des exemptions concernant l’obligation d’adhérer aux principes du DPF et souligne l’importance d’une surveillance et d’une application efficaces du DPF. Ces aspects seront suivis de près par l’EDPB, ainsi que l’efficacité des voies de recours offertes aux personnes concernées de l’UE dont les données sont traitées en violation du RGPD.

En ce qui concerne l’accès du gouvernement aux données transférées aux États-Unis, l’EDPB reconnaît les améliorations significatives apportées par l’Executive Order (EO) 14086. L’EO introduit les concepts de nécessité et de proportionnalité en ce qui concerne la collecte de données par les services de renseignement américains (renseignement électromagnétique).

En outre, le nouveau mécanisme de recours crée des droits pour les individus de l’UE et est soumis à l’examen de la Commission de surveillance de la vie privée et des libertés civiles (PCLOB). Le PE consacre également davantage de garanties pour assurer l’indépendance de la Cour de révision de la protection des données (CRPD), par rapport au mécanisme précédent du médiateur et introduit des pouvoirs plus efficaces pour remédier aux violations, y compris des garanties supplémentaires pour les personnes concernées.

L’EDPB souligne qu’une surveillance étroite est nécessaire concernant l’application pratique des principes de nécessité et de proportionnalité nouvellement introduits. Une plus grande clarté est également nécessaire concernant la collecte temporaire en vrac et la conservation et la diffusion ultérieures des données collectées en vrac.

L’EDPB s’inquiète également de l’absence d’obligation d’autorisation préalable par une autorité indépendante pour la collecte de données en masse en vertu de l’Executive Order 12333, ainsi que de l’absence de contrôle indépendant systématique ex post par un tribunal ou un organe indépendant équivalent.

En ce qui concerne l’autorisation indépendante préalable de la surveillance au titre de la section 702 de la FISA, le PCLOB regrette que la Cour FISA ne contrôle pas la conformité avec l’Executive Order 14086 lorsqu’elle certifie des programmes autorisant le ciblage de personnes non américaines, alors même que les autorités de renseignement qui exécutent le programme sont liées par celui-ci. Des rapports du PCLOB sur la manière dont les garanties de l’EO 14086 seront mises en œuvre et comment ces garanties sont appliquées lorsque des données sont collectées en vertu de la section 702 de la FISA et de l’EO 12333 seraient particulièrement utiles.

En ce qui concerne le mécanisme de recours, l’EDPB reconnaît les garanties supplémentaires prévues, telles que le rôle des avocats spéciaux et l’examen du mécanisme de recours par le PCLOB. En même temps, l’EDPB est préoccupé par l’application générale de la réponse standard du DPRC notifiant au plaignant que soit aucune violation couverte n’a été identifiée, soit une détermination exigeant une remédiation appropriée a été émise, d’autant plus que cette décision ne peut pas faire l’objet d’un appel. L’EDPB invite donc la Commission à surveiller de près le fonctionnement pratique de ce mécanisme.

 

A.R

Condamnation d’OVH & surveillance par les hébergeurs des contenus publiés sur le Web

 

Les généralités exposées à tout va par des « spécialistes » du droit de la conformité en ferait presque parfois oublier toutes les subtilités de cette matière.

L’arrêt de la Cour de cassation du 23 novembre 2022[1] vient rappeler des principes pourtant fondamentaux du droit de la protection des données à caractère personnel :

  • D’abord, que le Règlement Général sur la Protection des Données (RGPD) n’est pas le seul texte régissant le sujet.
  • Ensuite, que les organismes ne respectant pas ces règles n’encourent pas des risques sur le seul plan administratif, avec les enquêtes et éventuelles sanctions de la CNIL[2], mais engagent également leurs responsabilités pénale et civile.

Examinons ensemble dans quel contexte se présente l’affaire.

Plus besoin de vous présenter la société française OVH[3], qui agissait ici sous sa casquette d’hébergeur de sites Internet. L’entreprise assurait, dans ce contexte, la visibilité de la page Web de la société espagnole « Subrogalia », dont l’objet est d’organiser l’entremise entre une mère acceptant de porter un enfant et des parents d’intention.

Le 1er février 2016, l’association « Juristes pour l’enfance » a demandé à OVH de retirer sans délai le contenu publié par Subrogalia via leurs services. Leurs posts étaient en effet accessibles en France, alors que la gestation pour autrui (GPA) y est interdite.

OVH a refusé de procéder à cette suppression, estimant qu’il ne lui appartenait pas de trancher elle-même le litige opposant vraisemblablement Subrogalia et l’association des Juristes pour l’enfance. OVH a toutefois précisé qu’il exécuterait toute décision de justice l’obligeant à retirer cette publication.

OVH était-il obligé de faire droit à la demande de l’association ?

La Cour de cassation a jugé que oui.

Elle rappelle pour cela les dispositions de l’article 6(I)(2) de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique :

« Les personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d’écrits, d’images, de sons ou de messages de toute nature fournis par des destinataires de ces services ne peuvent pas voir leur responsabilité civile engagée du fait des activités ou des informations stockées à la demande d’un destinataire de ces services si elles n’avaient pas effectivement connaissance de leur caractère illicite ou de faits et circonstances faisant apparaître ce caractère ou si, dès le moment où elles en ont eu cette connaissance, elles ont agi promptement pour retirer ces données ou en rendre l’accès impossible. »[4]

L’association des Juristes pour l’enfance reproche précisément à OVH de ne pas avoir rendu impossible l’accès au site de Subrogalia, alors même qu’elle avait attiré l’attention de l’hébergeur sur le caractère illicite de son contenu.

Elle réclame à OVH une indemnité pour le préjudice moral qu’elle dit avoir subi du fait de cette mise en ligne. Le problème sous-jacent est le suivant : la gestation pour autrui est peut-être illicite en France, mais elle est autorisée sous conditions en Espagne, pays où est implantée la société Subrogalia.

OVH a donc notamment fait valoir que, selon elle :

La loi française ne s’appliquait pas ici, puisque le fait générateur du dommage moral que l’association indique subir s’est produit en Espagne.

Subrogalia ne propose des prestations d’accompagnement à la gestation pour autrui que dans les pays où cette maternité de substitution est légale. OVH estime que le seul fait que ce contenu soit accessible depuis la France est indifférent. Selon lui, la gestation pour autrui fait l’objet de débats et d’options juridiques très différentes selon les pays, mais n’est pas unanimement réprouvée par une norme de droit international. Dans ces conditions, OVH estime qu’il n’est pas possible de qualifier les informations publiées par Subrogalia via ses services d’hébergement de “manifestement illicites”.

Force est de constater que la Cour de cassation n’est pas de cet avis.

D’une part, la Haute Juridiction a estimé que le caractère illicite de la pratique de la GPA était sans ambiguïté au regard du droit français actuel. Peu important les débats autour de cette question, seuls comptent les textes, qui n’autorisent pas en France ces grossesses de substitution.

D’autre part, la Cour de cassation a jugé que le site Internet de la société espagnole Subrogalia était accessible en français, et que ses clients étaient originaires de quatre États, dont la France. Dès lors, elle estime que le public français était la cible d’un contenu pourtant interdit sur son sol.

A défaut pour OVH d’avoir agi promptement pour rendre inaccessible ce site aux citoyens français, la Haute Juridiction a estimé qu’il y avait bien lieu de condamner OVH à verser 3.000 € de dommages et intérêts à l’association des Juristes pour l’enfance, afin d’indemniser leur préjudice moral pour ces faits.

Si OVH n’a vraisemblablement pas ici été poursuivi sur le plan pénal, ce qui aurait pu être le cas, nul doute qu’il aurait préféré ne pas se voir condamné sur le plan civil. Sans compter l’impact de cette décision sur son image de marque !

Quelle que soit votre activité, voici les leçons à tirer de cette décision :

  • N’occultez pas les multiples législations susceptibles de s’appliquer à votre structure, selon vos missions, et pouvant avoir une influence sur vos démarches de conformité. Nous vous l’assurons : ces réglementations sont bien plus nombreuses que vous ne le soupçonnez !
  • Ne méprenez pas la dimension internationale de vos publications, qui impacte nécessairement vos obligations en matière de protection des données personnelles (éventuelle désignation d’un représentant du responsable de traitement ou sous-traitant dans l’Union Européenne, gestion des flux de données intra et extra-communautaires, soumission à des règles locales plus ou moins strictes, etc.).

 

  • Soyez vigilants sur le respect de la législation en vigueur par vos propres partenaires contractuels, fournisseurs et/ou sous-traitants.

Il en va de votre réputation, et de votre budget.

 

Si cette décision vous laisse perplexes : ne restez pas seuls !

Notre équipe d’experts vous propose une entremise parfaitement légale, avec un de ses professionnels qualifié et expérimenté, afin de vous assister dans vos démarches de conformité. N’hésitez pas à contacter nos services pour toute demande de renseignement :

https://www.rgpd-experts.com/contactez-rgpd-experts/

 

[1] L’arrêt Cass. Civ. 1ère, 23 nov. 2022, n° 21-10.220 est disponible dans son intégralité à l’adresse suivante : https://www.courdecassation.fr/decision/637f23873aa45005d42d80c4

[2] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[3] Nous vous aidons tout de même à mieux cerner ce géant du numérique : OVH est une entreprise française agissant essentiellement comme fournisseur d’accès à Internet, hébergeur de serveurs, opérateur de télécommunication et fournisseurs de service de cloud.

[4] Nous attirons votre attention sur le fait que la rédaction de ce texte a évolué plusieurs fois depuis les faits, qui datent de 2016.

L.H

 

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

 

L’organisme de crédit interdit de collecter des données via les demandes d’accès et les registres civils.

 

Il y a deux ans, Noyb a déposé une plainte GDPR contre le courtier en données de crédit KSV 1870. L’agence autrichienne d’évaluation du crédit stockait des données non sollicitées de personnes jusqu’alors inconnues qui exerçaient leur droit légal d’accéder à leurs données. Aujourd’hui, l’autorité autrichienne de protection des données (DSB) a publié sa décision sur cette affaire : l’agence d’évaluation du crédit ne peut pas collecter de données par le biais de demandes d’accès à des registres d’état civil.

Décision de l’ORD autrichien.

L’agence d’évaluation du crédit stocke des données provenant de demandes d’information. Les Européens ont le droit de soumettre une demande d’information aux entreprises pour savoir quelles données sont traitées à leur sujet. Pour confirmer l’identité de la personne, une entreprise demande souvent des données supplémentaires : une pièce d’identité, un nom, une adresse ou une date de naissance, par exemple. Naturellement, les entreprises ne peuvent utiliser ces informations supplémentaires que dans le but de répondre à une demande d’accès et doivent ensuite les supprimer à nouveau. Ce n’est pas le cas du leader du secteur des agences d’évaluation du crédit autrichiennes : KSV 1870 stocke des informations sur les personnes lorsqu’elles demandent l’accès à leurs données.

Approche systématique de la KSV. L’approche du KSV est systématique – nous avons reçu de nombreux cas similaires. Une personne concernée avait déposé une demande d’accès au titre de l’article 15 du GDPR auprès du KSV. L’agence de crédit a répondu qu’aucune donnée personnelle de la personne concernée n’avait été traitée. Du moins jusqu’à présent. Le KSV a fait valoir que les informations supplémentaires fournies par la personne concernée afin de faire valoir son droit d’accès seraient désormais stockées dans la « base de données commerciale ». Mais ce n’est pas tout : avant cela, les informations de la personne concernée provenant de la demande d’accès étaient comparées à ses données dans le registre central des résidents et ajoutées à la base de données des entreprises.

« L’ORD nous a donné raison : Le modèle commercial de KSV 1870, qui consiste à utiliser les demandes d’information des personnes concernées pour enrichir sa base de données économiques, est illégal. Le traitement de toute information supplémentaire provenant du registre civil est également clairement illégal. Nous supposons que, outre la personne que nous représentons, d’innombrables autres Autrichiens sont concernés. Ceux-ci peuvent exiger de la KSV la suppression des données traitées illégalement. » – Marco Blocher, avocat spécialisé dans la protection des données chez noyb.eu

DPA et Noyb sont d’accord : KSV agit de manière illégale. Les actions de KSV violent le principe de limitation de la finalité selon l’article 5, paragraphe 1, point b), du RGPD. Ce principe stipule que les données doivent être collectées dans un but précis. Un traitement ultérieur pour une autre finalité n’est autorisé que s’il est compatible avec la finalité initiale. Le DPD a estimé qu’il n’y avait aucune raison apparente de traiter les données de la demande d’accès aux notations de crédit, et qu’il n’y avait pas non plus de mandat légal pour la collecte générale des données. En outre, le DPD a ordonné la suppression des données obtenues illégalement.

la Noyb surveille de près les négociants en données. Les industries dont l’activité principale est le commerce de données doivent être tenues à des normes particulièrement strictes en matière de protection des données. Le problème est que les agences d’évaluation du crédit ne sont guère réglementées : si elles ne sont autorisées à traiter que les données pertinentes pour la solvabilité, il n’existe aucune définition des informations spécifiques que cela inclut. Comme les agences d’évaluation du crédit ont accès à un grand nombre de données, elles doivent les traiter de manière particulièrement responsable.

 

Les précieuses décisions de la CJUE (Episode 2) L’affaire C-184/20

Une nouvelle question préjudicielle[1] posée à la Cour de Justice de l’Union Européenne (CJUE) permet d’interpréter encore davantage le sens à donner aux dispositions issues du Règlement Général sur la Protection des Données (RGPD).

Le contexte de l’affaire

Les circonstances de cette décision résonnent différemment, à quelques jours de la Saint-Valentin : il faut croire qu’en politique, comme en amour, tout est une question de confiance !

Au cœur de cette affaire : la transparence due au public par les dirigeants[2].

Une loi lituanienne du 02 juillet 1997 impose la publicité des déclarations d’intérêts et de patrimoine de ses responsables publics, comme cela est le cas dans plusieurs autres États de l’Union Européenne (UE). Ce texte habilite également une autorité indépendante, la « Haute Commission », à veiller au respect de cette exigence de transparence. A ce titre, elle est notamment chargée de poster sur Internet les déclarations d’intérêts privés qui lui sont adressées.

« OT », le directeur d’un établissement public lituanien actif dans le domaine de la protection de l’environnement, n’a vraisemblablement pas eu le cœur à l’ouvrage. Ce dernier a en effet refusé de soumettre sa déclaration, estimant que cette obligation contrevient à ses droits fondamentaux (droit en matière de protection des données personnelles et droit au respect de sa vie privée).

L’affaire a été portée en justice, et les magistrats lituaniens ont questionné la CJUE pour en savoir plus sur la compatibilité et l’articulation entre leur droit national et le RGPD.

Vous ne connaissez pas ces textes par cœur ? Ah bon ? Voici donc un petit rappel utile :

Les questions posées à la CJUE

  • Vous l’aurez compris, se pose en substance la question de savoir si le RGPD permet qu’une loi nationale organise la mise en ligne systématique, par l’autorité de contrôle compétente, de la déclaration d’intérêts privés réalisée par un directeur d’établissement percevant des fonds publics.

Ayez le cœur bien accroché, car il est nécessaire de tenir un raisonnement construit pour parvenir à la réponse !

Tout d’abord, il convient de vérifier si un tel traitement est licite.

Pour cela, il faut que le traitement de données que constitue cette publication ait une base légale, c’est-à-dire d’un fondement juridique justifiant sa mise en œuvre. Ici, la loi lituanienne impose à la Haute commission de poster sur son site Internet les déclarations de patrimoine qu’elle reçoit. Cette publication est donc justifiée par l’obligation légale à laquelle est soumise la Haute commission, conformément à l’article 6(1)(c) du RGPD (cf. supra).

Mais l’existence d’une loi prescrivant le traitement de données ne suffit pas. Encore faut-il que cette loi réponde ensuite à plusieurs critères :

  • Les dispositions législatives en cause doivent poursuivre un objectif légitime d’intérêt public ;
  • Le traitement de données concerné doit répondre effectivement à l’objectif légitime poursuivi ;
  • Le traitement de données concerné doit répondre à l’objectif légitime de manière proportionnée.

La publicité de ces déclarations de patrimoine poursuit-elle un objectif légitime d’intérêt public ?

Pour la CJUE, cela ne fait aucun doute. Selon elle, cette mesure a à cœur de « renforcer les garanties de probité et d’impartialité des décideurs du secteur public, [de] prévenir les conflits d’intérêts » et les pratiques illégales dans le secteur public. D’autant que de nombreux textes imposent précisément aux pays de l’UE de lutter contre la corruption, tant au niveau international qu’au niveau communautaire.

Cette mise en ligne est-elle apte à atteindre l’objectif d’intérêt général de lutte contre la corruption ?

Selon la CJUE, cette publicité est susceptible d’influer sur l’exercice des fonctions des personnes tenues de remplir cette déclaration de patrimoine. Cette mesure joue donc un rôle de prévention des conflits d’intérêts et de corruption. Elle permet à tout à chacun d’en avoir le cœur net sur la probité de ces dirigeants, d’« accroître la responsabilité des acteurs du secteur public et, partant, à renforcer la confiance des citoyens dans l’action publique ».

Le traitement de données (la publication) est-il strictement proportionné au but poursuivi ?

Là se situe le point bloquant de cette mesure pour la CJUE.

Pour être proportionné, un traitement de données ne doit pas aller au-delà de ce qui est nécessaire pour concrétiser l’objectif qu’il poursuit. Autrement dit, le but recherché ne doit pas pouvoir être atteint de manière aussi efficace par d’autres moyens moins attentatoires aux droits fondamentaux des personnes concernées.

Or, justement, la CJUE a ici estimé que cette publicité excessive, en particulier au regard de l’impact de cette mesure sur le droit au respect de la vie privée des déclarants et de celle de leurs proches. La Cour relève que la loi lituanienne contrevient au principe de « minimisation des données » prévu à l’article 5(1)(c) du RGPD, notamment car :

  • Un nombre trop important de professionnels est concerné par la publicité de leur déclaration.

Il y a lieu de pondérer cette obligation en tenant compte de la position hiérarchique, de l’étendue des compétences et des pouvoirs dont dispose le dirigeant en matière d’engagement et de gestion de fonds publics. La CJUE est donc d’avis que les directeurs d’établissements ne soient pas traités comme d’autres catégories de fonctions. Selon elle, un simple contrôle du contenu de leur déclaration par la Haute commission, sans mise en ligne, est suffisant. A condition toutefois que cette autorité dispose des moyens nécessaires pour procéder à ces vérifications…

  • L’ampleur des données réclamées est exagérée, tel que le fait de solliciter la mention de « toute transaction conclue au cours des derniers mois civils dont la valeur excède 3.000 €».
  • Trop d’informations devant figurer sur la déclaration de patrimoine ont vocation à être publiées.

Pour la CJUE, il conviendrait de réduire cette liste. La Cour relève que le même niveau de transparence pourrait être atteint s’il était fait uniquement référence, dans la publication, à l’expression générique de « conjoint, concubin ou partenaire », plutôt que de révéler l’identité de ce(tte) dernier(e).

Pas besoin que tous les décideurs publics se livrent à ce point à cœur ouvert pour les responsabiliser !

Sur ce point, la CJUE apporte une précision importante. En répondant à une deuxième question qui lui est adressée, elle souligne que le fait de dévoiler le nom des conjoints/concubins est susceptible de révéler certains aspects sensibles de la vie privée des déclarants, y compris, par exemple, leur orientation sexuelle. Dans ces conditions, la mise en ligne des déclarations d’intérêts privés s’avère être un traitement portant sur des catégories particulières de données, au sens de l’article 9 du RGPD (cf. supra). En effet, s’il ne comporte pas de données « intrinsèquement sensibles », il comprend des données « dévoilant indirectement, au terme d’une opération intellectuelle de déduction ou de recoupement, des informations de cette nature ». Ce d’autant que la publication de ces renseignements sur le Web les rend accessibles à un nombre potentiellement illimité de personnes. Cette mise en ligne risque d’exposer les proches des déclarants à des démarchages commerciaux répétés, voire à des risques d’agissements criminels par des gens qui ne les porteraient pas dans leur cœur…

 

« OT » a donc eu raison de faire contre mauvaise fortune, bon cœur, pour faire valoir ses droits !

 

Et nous, dans tout cela ?

La France s’est dotée de lois similaires. Sur le même principe qu’en Lituanie, une autorité administrative indépendante est investie de la mission de contrôler l’application des règles en matière de prévention des conflits d’intérêts et de lutte contre la corruption : la Haute Autorité pour la transparence de la vie publique[3].

La loi n° 2013-907 du 11 octobre 2013 prévoit cependant expressément que l’adresse personnelle de l’auteur de la déclaration de patrimoine, ainsi que l’identité des membres de sa famille, ne peuvent pas être rendus publics. Cette obligation de déclaration concerne également moins de responsables publics qu’en Lituanie (globalement, les personnes investis d’un mandat électif et les présidents/directeurs généraux des sociétés dans lesquelles plus de la moitié du capital social est détenu par l’État).

MAIS PRUDENCE – La CJUE précise que sa conclusion n’est pas forcément valable pour tous les Etats membres de l’UE. Selon elle, pour apprécier la légalité de ces publications impératives de déclarations d’intérêts, il convient de prendre en compte « l’ensemble des éléments de droit et de fait propres à l’État membre concerné », tels que l’existence d’autres mesures destinées à prévenir les conflits d’intérêts ou l’ampleur du phénomène de corruption au sein du service public, par exemple.

♥ ♥ ♥

Quelles données collecter ? Pourquoi ? Comment ? Sous quelles conditions ?

Vous êtes perdu parmi toutes ces obligations légales ?

Haut les cœurs ! Pour tout comprendre, il suffit d’être bien accompagné !

Notre équipe d’experts est présent pour vous assister dans vos démarches de conformité.

Si le cœur vous en dit, appelez-nous à la rescousse via notre formulaire de contact, ne serons de tout cœur à vos côtés :

https://www.rgpd-experts.com/contactez-rgpd-experts/

L.H

[1] Lorsqu’un tribunal d’un pays de l’Union Européenne (UE) s’interroge, lors d’un procès, sur la portée du champ d’’application d’une législation européenne et son articulation avec le droit national, les juges de cet État membre peuvent adresser à la Cour de Justice de l’Union Européenne (CJUE) une question préjudicielle, pour savoir comment interpréter les textes en cause. 

[2] L’arrêt CJUE, n°C-184/20 « OT contre Vyriausioji tarnybinės etikos komisija », 1er août 2022, est disponible dans son intégralité à l’adresse suivante : https://curia.europa.eu/juris/document/document.jsf?text=&docid=263721&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=345786

[3] Pour en savoir plus sur la Haute autorité pour la transparence de la vie publique, rendez-vous sur son site : https://www.hatvp.fr/temps-forts-2/

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

 

Pomme de reinette et pomme…pas « happy »

 

Le 29 décembre 2022, la CNIL [1] a condamné la multinationale APPLE à une amende de 8 millions d’euros.

Mais quelle a donc a été la pomme de discorde entre l’autorité de contrôle et le géant américain ?

Les produits de communication développés par le groupe APPLE sont fournis avec un système d’exploitation préinstallé. Or, dans l’ancienne version 14.6 du système d’exploitation de l’iPhone (iOS 14.6), la société se permettait d’utiliser en tout liberté l’identifiant assigné à chacun de ses clients pour leur proposer, sans leur autorisation, des publicités personnalisées.

L’association France Digitale a découvert ce ver dans la pomme, et a porté plainte contre la politique d’APPLE en matière de ciblage publicitaire.

Vous êtes pommés…pardon paumés ? RGPD-Experts vous explique tout !

Lorsque les propriétaires d’iPhone se rendaient sur l’App Store de leur téléphone – sorte de magasin virtuel pour télécharger de nouvelles applications – un identifiant leur était automatiquement attribué, en étant lu et/ou déposé sur leur appareil. Cette forme de « cookie façon APPLE » permettait ensuite à l’entreprise d’identifier les préférences de ses utilisateurs, afin de leur soumettre des annonces susceptibles de leur plaire[2].

Une législation bien plus protectrice des données personnelles en Europe qu’au pays des Pommes-pommes Pom-Pom Girls.

Si aux États-Unis les lois sont peu soucieuses de protéger les données personnelles des citoyens américains, ce n’est pas le cas en France ! Avant de recourir à ce type de traceurs, qui ne sont pas strictement nécessaires à la fourniture d’un service, la réglementation impose le recueil préalable du consentement des personnes concernées.

 

 

« Remarque: L’article 82 de la loi n°78-17 du 06 janvier 1978 dite loi « Informatique et Libertés » constitue la transposition en droit interne de l’article 5(3) de la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, plus connue sous le nom de Directive « ePrivacy » ».

La CNIL a relevé que la société à la pomme ne respectait pas ses obligations légales sur ce point.

En effet, le consentement des utilisateurs d’iPhone à ces opérations d’écriture et/ou lecture de données à visée publicitaire n’était pas recueilli lors du parcours d’initialisation du téléphone, à son achat. Au contraire, les paramètres autorisant les publicités personnalisées étaient activés par défaut…

Or, pour être valable, le consentement des personnes concernées doit notamment être donné par un acte positif clair.

 

Pire encore, alors que les internautes doivent pouvoir retirer aussi facilement leur consentement à cette finalité de ciblage publicitaire que le donner, il était particulièrement compliqué pour les usagers d’iPhones de désactiver cette configuration pré-cochée. Ceux-ci devaient se perdre dans les méandres des fonctionnalités de leur portable pour y arriver.

(Icône « Réglages »  Menu « Confidentialité »  « Publicité Apple »)

Autrement dit, tout le travail était pour leur pomme !

Seulement 8 millions d’euros d’amende ?

Pas de quoi tomber dans les pommes pour la firme américaine, qui a réalisé un chiffre d’affaires de 90,1 milliards de dollars pour le seul quatrième trimestre de 2022[3].

La CNIL a toutefois retenu comme circonstance atténuante le fait que le système de publicité personnalisée d’APPLE était basé sur l’analyse d’actions similaires de plusieurs internautes, et non sur l’évaluation des comportements individualisés du propriétaire de l’iPhone.

APPLE s’est, depuis ce petit « pépin », mis en conformité. Dans la nouvelle version de son système d’exploitation iOS15, la société a intégré un dispositif destiné à recueillir le consentement des utilisateurs avant d’utiliser leurs identifiants à des fins de publicité ciblée. La multinationale a toutefois fait appel de la délibération de la CNIL[4]. Affaire à suivre donc

Cette délibération de l’autorité de contrôle vous laisse mi-figue mi-raisin ? Vous ne savez pas quand et comment organiser le recueil du consentement des individus dont vous manipulez les données ? Vos questions sur la gestion de vos cookies et autres traceurs vous mettent le cerveau en compote ?

N’hésitez pas à vous rapprocher de nos services pour être accompagnés dans vos démarches de conformité :

https://www.rgpd-experts.com/contactez-rgpd-experts/

L.H

[1] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[2] Pour comprendre comment fonctionnent les « cookies » et savoir quelles sont les règles applicables en la matière, nous vous invitons à lire notre précédent article sur le sujet : https://www.rgpd-experts.com/mauvaise-gestion-des-cookies/

[3] Selon le propre communiqué d’APPLE sur son site Internet : https://www.apple.com/fr/newsroom/2022/10/apple-reports-fourth-quarter-results/

[4] La délibération de la CNIL est disponible dans son intégralité à l’adresse suivante : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000046907077

 

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires

Les décisions précieuses de la CJUE (Episode 1) L’affaire C-175/20 [1]

 

Lorsque les tribunaux nationaux s’interrogent durant un procès sur le sens à donner à une législation européenne, ils peuvent adresser à la Cour de Justice de l’Union Européenne (CJUE) une question préjudicielle.   Grâce à cette procédure, la CJUE précise peu à peu son interprétation des textes, et notamment du Règlement Général sur la Protection des Données (RGPD). Pas question de juger dans le flou ou « à peu près » ! Cette jurisprudence communautaire permet aux juridictions des États membres d’harmoniser entre elles leurs décisions, et de combler progressivement le manque de précision parfois reproché à ce Règlement.

 

« Le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement ou le sous-traitant est soumis peuvent, par la voie de mesures législatives, limiter la portée des obligations et des droits prévus aux articles 12 à 22 et à l’article 34, ainsi qu’à l’article 5 dans la mesure où les dispositions du droit en question correspondent aux droits et obligations prévus aux articles 12 à 22, lorsqu’une telle limitation respecte l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique » pour garantir, notamment : la sécurité nationale, la prévention et la détection d’infractions pénales, et d’autres objectifs importants d’intérêt public général de l’Union ou d’un État membre, notamment un intérêt économique ou financier important.

– Extrait de l’article 23 du RGPD[2]

Le contexte de l’affaire

Une loi lettone permet à l’administration fiscale de contraindre les publicitaires en ligne de lui communiquer les informations dont ils disposent sur les contribuables qui recourent à leurs services. Invoquant cette disposition, l’administration fiscale de Lettonie a demandé au prestataire de services « SS » d’accéder aux numéros de châssis de certains véhicules mis en avant dans une annonce publiée sur son portail durant l’été 2018.

La demande de l’administration fiscale prévoyait par ailleurs que, si « SS » ne parvenait pas à retrouver ces renseignements, il devrait alors lui fournir chaque mois de nombreuses informations concernant les annonces postées le mois d’avant. Les informations portaient notamment sur le lien de l’annonce, le texte de celle-ci, la marque, le modèle, le numéro de châssis et le prix du véhicule, ainsi que le numéro de téléphone du vendeur.

 

« SS » n’a évidemment pas apprécié que l’administration fiscale regarde de près le contenu de son activité et de celle de ses clients. Il s’est ainsi opposé à sa requête, la jugeant non conforme aux principes de proportionnalité et de minimisation des données à caractère personnel prévus par l’article 5 du RGPD.L’affaire a été portée en justice. Les magistrats lettons ont ensuite questionné la CJUE pour en savoir plus sur la compatibilité et l’articulation entre le droit letton et le RGPD.

 

Remarque:

Les juges lettons ne s’interrogeaient pas ici sur le droit de l’administration fiscale d’obtenir des informations à la disposition d’un prestataire publicitaire. Ils ne remettaient pas en cause le fait que le RGPD tolère, dans certaines situations, la communication forcée de données personnelles – à ceci près qu’ils ignoreraient la portée de cette dérogation.

Le litige portait ici davantage sur :

–          La quantité et le type d’informations susceptibles d’être demandées par l’administration fiscale lettone,

–          Le caractère limité ou illimité de celles-ci, […]

–          La question de savoir si l’obligation de communication à laquelle est soumise « SS » doit être limitée dans le temps. ».

Les questions posées à la CJUE

Question 1 (les juges lettons) : Le RGPD s’applique-t-il bien dans une telle situation ?

Réponse 1 (LaCJUE): OUI

  • La demande de ces informations par l’administration fiscale lettone, ainsi que leur transmission par les prestataires publicitaires, constituent bien des traitements de données personnelles (collecte et communication de données).
  • Une telle demande ne constitue pas un “traitement de données à caractère personnel effectué par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites […] ou d’exécution de sanctions pénales”, au sens de l’article 2(2) du RGPD.

En effet, l’administration fiscale n’intervenait pas ici dans le domaine de la coopération judiciaire en matière pénale ou policière. Rien n’indiquait d’ailleurs, de près ou de loin, que les données demandées concernaient une fraude fiscale des vendeurs des véhicules.

L’administration fiscale agissait uniquement dans son rôle de percepteur des impôts.

Conclusion : l’article 2(2) du RGPD excluant son application pour les traitements de données mis en œuvre dans le cadre d’investigations pénales ne s’applique pas ici.

 

Question 2 : (les juges lettons) : Le RGPD autorise-t-il que l’administration fiscale d’un État membre puisse déroger aux principes de proportionnalité et de minimisation des données, alors même qu’un tel droit ne lui a pas été octroyé par la législation de son pays ?

Réponse 2 : (LaCJUE): OUI SOUS CONDITIONS

Les droits reconnus aux personnes concernées par le RGPD pour assurer la protection de leurs données personnelles peuvent être limités par les législations nationales, à condition :

① que ces législations respectent l’essence des libertés et droits fondamentaux, et 

② que ces limitations constituent une mesure nécessaire et proportionnée pour garantir certains enjeux essentiels, notamment un intérêt économique ou financier important, y compris dans le domaine fiscal (art. 23 RGPD)3.

Remarque : la CJUE précise qu’une telle loi doit être claire et précise, et que son application doit être prévisible pour les justiciables. En d’autres termes, il faut que les citoyens soient en mesure d’identifier les circonstances et les conditions dans lesquelles leurs droits peuvent être limités.

◊ Le texte législatif en question doit détailler la portée de cette entorse faite aux droits des citoyens en matière de protection des données personnelles, les situations dans lesquelles cette limitation peut intervenir, les exigences minimales prévues pour prévenir les risques d’abus, etc.).

 

Question 3 : (les juges lettons) : LE RGPD s’oppose-t-il à ce que l’administration fiscale d’un État membre exige d’un publicitaire sur Internet qu’il lui communique, pendant une période indéterminée et sans que soit précisée la finalité de cette demande de communication, des informations relatives à l’ensemble des contribuables qui auraient publié des annonces sur son site ?

Réponse 3 : (LaCJUE) OUI – L’administration fiscale doit elle-aussi, dans cette hypothèse, respecter les articles 5 (principe de proportionnalité et de minimisation des données) et 6 (base légale du traitement) du RGPD.

  • La demande de l’administration fiscale doit indiquer explicitement les finalités des traitements qu’elle entend réaliser avec ces données, en application de l’article 6 du RGPD. Elle doit d’ailleurs viser la réglementation en vertu de laquelle elle agit.

La base légale [4] de ces traitements serait ici « l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investie l’administration fiscale », puisque la perception de l’impôt et la lutte contre la fraude fiscale constituent bien des missions d’intérêts publics.

  • Le seul fait que l’administration fiscale ne précise aucune limite temporelle à sa demande de collecte de données ne permet pas, en lui seul, de considérer que la durée de ce traitement excède celle strictement nécessaire pour atteindre l’objectif visé par le fisc.

MAIS la CJUE précise qu’il appartient à l’administration fiscale de prouver qu’elle a cherché à minimiser autant que possible la quantité de données à caractère personnel qu’elle souhaite recueillir, et que la collecte de ces données n’excède pas la durée strictement nécessaire pour atteindre l’objectif d’intérêt général qu’elle poursuit.

Et vous, dans tout cela ?

Cette décision rappelle le cadre dans lequel les « tiers autorisés »[5] peuvent solliciter l’accès à des données à caractère personnel provenant des fichiers d’organismes publics ou privés.

Vous ! Oui, vous. Soyez vigilants ! Il ne s’agit pas de transmettre automatiquement toutes les informations que vous traitez aux « autorités » sur simple demande de leur part, et sans autres vérifications ! Autrement, vous vous rendrez coupable d’une violation de données, faute d’avoir respecté la confidentialité attachée à ces renseignements.

 

Dans cette situation, de nombreux points sont à contrôler pour ne pas violer vos obligations en matière de protection des données :

  • Vérifier la validité de la requête qui vous est présentée ;

(La demande est-elle bien écrite ? La réglementation autorisant une telle demande est-elle citée ? La finalité de cette collecte est-elle précisée et justifiée au regard de la mission d’intérêt public poursuivie ? etc.).

  • Vérifier la qualité et la compétence des agents qui se présentent à vous ;
  • Organiser et encadrer le périmètre de leur contrôle ;
  • Conserver une traçabilité des échanges et des investigations réalisées, etc.

 

Nous vous conseillons de rédiger une procédure interne spécifique afin de gérer efficacement ce type de demandes, et de former vos collaborateurs à y réagir sans paniquer. Pour vous y aider, pour pouvez vous appuyer sur le Guide Pratique de CNIL

Il est important d’avoir les bons réflexes ! Si vous souhaitez vous faire accompagner dans vos démarches par une équipe de professionnel habituée à appréhender ces demandes de « tiers autorisés », nous vous invitons à prendre contact avec nos services via notre formulaire de contact : https://www.rgpd-experts.com/contactez-rgpd-experts/

L.H

[1] L’arrêt CJUE, n° C-175/20, « SS » SIA contre Valsts ieņēmumu dienests, 24 février 2022 est disponible dans son intégralité à l’adresse suivante : https://curia.europa.eu/juris/document/document.jsf?text=&docid=254583&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=35938

[2] Pour consulter la version complète de l’article 23 du RGPD, cliquez sur ce lien : https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre3#Article23

[3] Art. (5)(1)(c) RGPD : « Les données à caractère personnel doivent être : […] c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ».

[4] Nous vous invitons à faire une lecture approfondie de l’article 23 du RGPD pour connaître précisément les droits des personnes concernées susceptibles de faire l’objet d’une telle limitation, ainsi que les enjeux justifiant ce type de dérogations.¨

[5] Cette expression de « tiers autorisés » désigne l’ensemble des autorités ou entités disposant d’un pouvoir légalement octroyé de réclamer de tels renseignements.

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires