07/03/2025

Dans un arrêt du 27 février 2025, la CJUE se positionne sur les informations à fournir par les établissements de crédit ou de scoring à la personne concernée par une évaluation négative automatisée de crédit.

Un opérateur de téléphonie mobile autrichien a refusé à une cliente un contrat au motif qu’elle n’était pas suffisamment solvable, en se fondant sur une évaluation de crédit automatisée réalisée par l’agence Dun & Bradstreet Austria (D&B).

L’opérateur a été condamné par l’autorité autrichienne de protection des données à communiquer les informations utiles sur la logique sous-jacente à la prise de décision automatisée à la cliente. En raison de la non-exécution par l’opérateur, la personne concernée a saisi le juge compétent pour statuer sur l’exécution.

La juridiction a demandé à la CJUE d’interpréter le RGPD et la directive sur la protection des secrets d’affaires pour savoir quelles informations l’entreprise devait concrètement fournir à la personne concernée.

L’article 15 h) du RGPD prévoit qu’en cas de prise de décision automatisée à la suite d’un profilage, le responsable de traitement doit fournir à la personne concernée « des informations utiles concernant la logique sous-jacente ».

La CJUE rappelle que ces informations doivent être fournies « d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples » ce qui ne sera pas le cas de la « simple communication d’une formule mathématique complexe, telle qu’un algorithme » ou de la « description détaillée de toutes les étapes d’une prise de décision automatisée ».

La Cour suggère à la juridiction autrichienne :
● que peut être « suffisamment transparent et intelligible le fait d’informer la personne concernée de la mesure dans laquelle une variation au niveau des données à caractère personnel prises en compte aurait conduit à un résultat différent »
● que « les informations fournies doivent permettre à la personne concernée de vérifier l’exactitude des données à caractère personnel la concernant sur lesquelles est fondée la prise de décision automatisée »
● que doit être tenue d’expliquer de manière concise, transparente, compréhensible et aisément accessible la procédure et les principes en application desquels le résultat du profilage « réel » a été obtenu.

Enfin, la Cour affirme que si le responsable du traitement considère que les informations demandées comportent des données de tiers protégées ou des secrets d’affaires, il est tenu « de communiquer ces informations prétendument protégées à l’autorité de contrôle ou à la juridiction compétentes, auxquelles il incombe de pondérer les droits et les intérêts en cause aux fins de déterminer l’étendue du droit d’accès de la personne concernée ».

Arrêt C-203/22, 27 fév. 2025, Dun & Bradstreet c. Austria

28/01/2025

"Data Privacy Day" : L’occasion de revenir sur la décision du 9 janvier 2025 de la CJUE qui rappelle que ‘Madame’ ou ’Monsieur’ n’est pas une donnée nécessaire à la réservation d’un titre de transport.

Le 9 janvier dernier, la CJUE censurait la CNIL et la SNCF qui avaient fait échec à la demande d’une association de supprimer l’exigence pour une personne de décliner sa « civilité » dans les procédures de réservation en ligne de titres de transport.

La SNCF justifiait que ce traitement avait pour finalité, en plus de la fourniture d’un service de transport ferroviaire, la personnalisation de la communication commerciale à l’égard du client. La CNIL avait elle aussi retenu le fait que s’adresser aux clients de manière personnalisée était un usage admis dans le domaine des communications commerciales, civiles et administratives.

Usage ne fait pas nécessité pour la CJUE : l’exigence de minimisation des données prévue à l’article 5, 1 c du RGPD impose que les données collectées doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire » au regard des finalités de traitement.

La Cour européenne juge ainsi que « la personnalisation de la communication commerciale peut se limiter au traitement des noms et prénoms des clients, leur civilité et/ou leur identité de genre étant une information qui ne paraît pas strictement nécessaire dans ce contexte ». La SNCF peut en effet opter pour l’utilisation de formules de politesse génériques et inclusives dans sa communication sans que cela ait une incidence sur la fourniture de services de transport, objet principal du contrat en cause.

La CJUE fait ici une application logique d’un principe cardinal du RGPD, souvent non respecté : ne doivent être traitées que les données nécessaires à la finalité du traitement.

20/01/2025

Le non-respect du RGPD par l’administration ne permet pas d’échapper au paiement de ses cotisations sociales !…

Une cotisante était redevable du paiement de la cotisation subsidiaire maladie (CSM). Celle-ci a contesté cet appel de cotisation devant le tribunal judiciaire. Elle relève que la mise en place de la CSM requiert la réalisation de deux traitements de ses données personnelles mais que les administrations concernées ne l’avaient pas informée de ces traitement conformément à l’article 14 du RPGD.

Le premier traitement concerne la transmission des données entre l’administration fiscale et les Urssaf (Acoss), le second concerne le traitement des données par les Urssaf.

● S’agissant du premier traitement, le tribunal affirme que les cotisants ont été informés de la transmission des données à caractère personnel par la DGFIP par la publication de la loi instituant la CSM au Journal Officiel. S’il fallait être convaincu par cette explication, tous les traitements des administrations seraient exonérés du respect des articles 13 et 14 du RGPD dès lorsqu’ils sont nécessaires à l’application d’un texte légal ou réglementaire. Ce n’est pourtant pas l’esprit du RGPD.

● S’agissant du second traitement, le tribunal constate que l’URSSAF n’a pas informé la cotisante de sa mise en place ni de ses droits d’accès et de rectification. Pour autant, le tribunal affirme que cette absence d’information n’a pas causé de préjudice à la cotisante puisque les données transmises n’étaient pas « inexactes, incomplètes, équivoques ou périmées ni interdites ». Encore une motivation étrange puisque les sujets sont sans rapports. On ne peut pas attendre des responsables de traitement qu’ils n’informent correctement que des traitements illicites ! Ainsi, à en croire le tribunal, le non-respect des ses obligations d’information par le responsable de traitement ne causerait, par essence, aucun préjudice aux personnes concernées dont elles pourraient se plaindre !

Cette décision s’inscrit dans un mouvement jurisprudentiel (CA Paris 12 janvier 2024, CA Toulouse 17 octobre 2024 notamment) des juridictions qui refusent de prononcer la nullité de l’appel des cotisations pour un défaut d’information concernant le traitement de données personnelles nécessaire à l’établissement des cotisations.

Tribunal judiciaire, Clermont-Ferrand, 9 janvier 2025 – n° 24/00032

01/10/2025

La CNIL, dans une décision du 5 décembre 2024, a prononcé une amende de 240 000 € contre la société KASPR pour avoir collecté les coordonnées d’utilisateurs de LinkedIn.

KASPR propose une extension Chrome permettant à ses utilisateurs d’accéder aux informations de contacts de plus de 160 millions de personnes. Une fois activé, l’outil recherche toutes les informations disponibles en ligne et les affiche directement sur la page sur laquelle se trouve l'utilisateur.

À la suite du dépôt de plusieurs plaintes, la formation restreinte de la CNIL a effectué un contrôle et a relevé quatre manquements au RGPD :

Les données des utilisateurs de Linkedin ont été collectées illicitement, cette collecte s’étant effectuée non seulement sur les personnes ayant coché « tout le monde sur LinkedIn peut accéder à mes données personnelles » dans les réglages de leurs comptes, mais également aux personnes ayant coché « uniquement les relations de premier degré », et « uniquement les relations de premier et second degré ». Les utilisateurs KASPR synchronisaient l’extension KASPR avec leur compte LinkedIn, ce qui a permis à KASPR de récupérer les coordonnées disponibles sur LinkedIn des contacts directs des utilisateurs. KASPR pouvait ainsi accéder à ces données de contact et les communiquer à ses autres utilisateurs.

Les données étaient conservées pendant 5 ans, durée que la CNIL a estimé disproportionnée.

● KASPR n’a informé les personnes concernées que quatre ans après la collecte de leurs données par un courrier en anglais, ce qui ne permet pas une information transparente et compréhensible.

● KASPR se contentait d’indiquer que les coordonnées avaient été collectées à partir de sources publiquement accessibles, information trop peu précise compte tenu des informations dont elle disposait sur les sources des données.

La CNIL a enjoint KASPR de se mettre en conformité et a prononcé une amende de 240 000 euros.

11/12/2024

Que retenir de la sanction d’Orange ? La CNIL a prononcé le 14 novembre 2024 une amende record de 50 millions d’euros contre Orange SA. Il s’agit de la sanction la plus élevée prononcée contre une société française par la CNIL.

● Elle est prononcée sans contrôle sur place mais à la suite de constatations faites en ligne par les agents de la CNIL sur le webmail d’Orange. Les entreprises sont donc potentiellement, en permanence, sous le contrôle de la CNIL lorsqu’elles exploitent des services en ligne.

● Un courrier électronique n’est pas qu’un courrier électronique… c’est plus ! C’est aussi, dans une interface de webmail, un contenu présenté à l’écran de l’utilisateur ressemblant à un courrier électronique…

On est peu convaincu par la décision de la CNIL sur ce point, même si elle a pour elle de s’appuyer sur l’arrêt de la CJUE du 25 novembre 2021 qui statuait en ce sens mais dans d’autres circonstances, car l’espèce soumise à la CJUE concernait un litige pour concurrence déloyale entre deux sociétés commerciales.

Ici, il s’agit d’infliger une amende de 50 000 000 d’euros. Conformément à un principe juridique établi, la loi pénale est d’interprétation stricte et une sanction administrative ne devrait être prononcée qu’à la suite d’une interprétation restrictive du texte qui la fonde.

Or, l’article L34-5 CPCE qui fonde la sanction, ne se lit que comme interdisant, sans l’accord du récepteur, « l’envoi » d’un message publicitaire d’un système de messagerie émetteur vers un système de messagerie récepteur, ce qui n’était pas le cas en l’espèce.

Il y a, de plus, une forme de fictivité dans l’approche : il aurait suffit d’afficher le même message, sur la même page mais à un endroit distinct de la liste des courriers électroniques reçus pour échapper à la sanction.

Ici encore, la prétendue neutralité technologique de l’article L34-5 CPCE et la lecture téléologique qu’il faudrait en faire ne convainc pas : le justiciable doit savoir de quelle technologie une loi parle : or, un email n’est pas autre chose qu’un email au sens des standards techniques de l’internet (SMTP / POP / IMAP).

Il y a, enfin, une nouvelle distorsion de concurrence entre les acteurs européens et américains : un message publicitaire présenté sur la page html affichée par un navigateur est sanctionné chez Orange et légal sur un moteur de recherche…

● Le support (ici l'exploitant du webmail) est responsable de la violation de l’article L34-5 CPCE sans pouvoir reporter sa responsabilité sur les annonceurs.

27/09/2024

La CNIL rappelle régulièrement aux établissements d’enseignement leurs obligations en matière de protection des données à caractère personnel. Fin 2022, la CNIL a mis en demeure deux établissements d’enseignement supérieur pour non-respect du RGPD, suite à des contrôles sur la gestion des données administratives et pédagogiques des étudiants. Les manquements concernaient la durée de conservation des données, l’information insuffisante des étudiants, l’absence de contrats conformes avec les sous-traitants, et des mesures de sécurité, notamment sur les mots de passe. En juillet 2024, la CNIL a prononcé, via sa procédure simplifiée, une amende administrative de 20 000 euros à l’encontre d’un établissement d’enseignement supérieur privé pour non-respect des exigences de minimisation des données, durée de conservation et défaut de sécurité des données.

Décision CNIL, procédure simplifiée du 25 juillet 2024