24/04/2024

Les données personnelles ne sont pas une marchandise négociable : c’est ce qu’affirme le Comité européen de la protection des données.

Les autorités de contrôle néerlandaise, allemande et norvégienne ont sollicité l'avis du CEPD sur les circonstances et conditions dans lesquelles les modèles de "consent or pay" relatifs à la publicité comportementale peuvent être mis en œuvre par les grandes plateformes en ligne.

Le CEPD rappelle la nécessité pour les responsables du traitement de se conformer, outre aux exigences de recueil du consentement - qui doit être valable, informé, non ambiguë et spécifique - également aux principes de limitation de la finalité, de minimisation des données traitées, d’équité, des principes de protection "by Design" et de protection "by Default".

Le CEPD souligne que "les grandes plateformes en ligne ne pourront pas se conformer aux exigences en matière de consentement si elles ne proposent aux utilisateurs qu'un choix binaire entre le consentement au traitement des données à caractère personnel à des fins de publicité comportementale et le paiement d'une redevance". Il rappelle à cet égard "la nécessité d’empêcher que le droit fondamental à la protection des données ne soit transformé en une marchandise dont les personnes concernées doivent payer pour en jouir".

Les grandes plateformes en ligne ne peuvent pas exploiter librement les données à caractère personnel de leurs utilisateurs simplement parce que ces utilisateurs n’ont pas payé pour qu’elles soient protégées.

EDPB avis du 17 avril 2024 - Opinion 08/2024 on Valid Consent in the Context of Consent or Pay Models Implemented by Large Online Platforms

12/04/2024

Le RGPD n’est pas un joker procédural pour faire annuler un contrôle sanitaire. Un vétérinaire, dont le cabinet avait fait l’objet d’une visite domiciliaire de contrôle par la brigade nationale d'enquête vétérinaire et phytosanitaire, a demandé l’annulation de l’ordonnance autorisant cette visite au motif notamment du non respect du RGPD par l’administration.

Parmi les documents saisis, se trouvaient des données « économiques et personnelles des exploitations agricoles » clientes du vétérinaire

Il était fait grief à l’ordonnance de ne contenir aucune mention requise par le RGPD sur les droits des personnes concernées par ces traitements

Ni la Cour d’appel de Nancy, ni la Cour de cassation n’ont fait droit à sa demande.

La Cour d’appel rappelle que le RGPD ne s'applique pas aux traitement de données personnelles effectués « par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites (...) » et que les états membres sont autorisés à limiter la portée des obligations d’information des personnes prévues à l'article 14 du RGPD lorsque le traitement est « mis en oeuvre par les administrations publiques qui ont pour mission soit de contrôler ou de recouvrer des impositions soit d'effectuer des contrôles de l'activité de personnes physiques ou morales pouvant donner lieu à la constatation d'une infraction ou d'un manquement, des amendes administratives ou à des pénalités ».

La Cour de cassation (Cass., com., 4 avr. 2024 – n° 22-22.221) a rejeté le pourvoi au motif que l’article du code de la santé publique appliqué « n'impos[ait] pas de mention, dans cette ordonnance, des garanties relatives à la protection des données à caractère personnel. »

09/04/2024

La CNIL prononce une sanction de 525 000 euros à l’encontre d’un distributeur de produits reconditionnés pour avoir utilisé, à des fins de prospection commerciale, des données fournies par des courtiers en données, sans s’assurer que les personnes concernées avaient valablement consenti à être démarchées.

Il s’agit d’une suite des opérations de contrôle que la CNIL a menées dans le secteur du phoning et qui ont déjà donné lieu à une précédente sanction de 310 000 euros à l’encontre d’une autre société.

Ici, la société mise en cause procède à des campagnes de démarchage par téléphone (3 millions d’appels sur 1 an) et par SMS (1,4 millions de SMS sur 1 an) pour promouvoir les produits vendus dans ses boutiques. Les données des prospects démarchés ont été achetées auprès de « courtiers » en données, éditeurs de sites de jeux-concours et de tests de produits.

La CNIL retient que l’apparence trompeuse des formulaires de participation à des jeux-concours en ligne utilisés par les « courtiers » ne permet pas de recueillir un consentement libre, éclairé et spécifique des personnes concernées à la collecte de leurs données à des fins de prospection commerciale, caractérisant un manquement à l’article L34-5 du du code des postes et communications électroniques.

La CNIL a considéré que, lors de ses opérations de démarchage téléphonique, la société ne permettait pas aux personnes d’être suffisamment informées, en violation de l’article 14 du RGPD.

Autre enseignement de la décision, la CNIL adopte une attitude réaliste et rationnelle en considérant que la conservation en base active des données clients pendant 5 années après le terme de la relation contractuelle n’est pas un manquement au RGPD dès lors qu’il n’est pas démontré que des personnes auraient accès aux données sans avoir besoin d’en connaître.

Cette sanction a été prise par la CNIL en coopération avec les autorités de contrôle européennes concernées (Belgique, Italie, Espagne, Portugal) car le responsable de traitement traitait des données de clients et prospects dans ces autres pays de l’UE.

Délibération SAN-2024-004 du 4 avril 2024

28/03/2024

Etienne Papin, associé de NEXT avocats, revient sur l'ordonnance du Conseil d'Etat du 22 mars dernier sur laquelle les commentaires à formuler sont nombreux.

Health Data Hub – Le Conseil d’Etat ne suspend pas en référé l'autorisation donnée au HDH d’héberger des données de santé sur Microsoft Azure.

Nous pouvons continuer dans les proverbes pour commenter cette séquence judiciaire : il n’y a pas pire aveugle que celui qui ne veut pas voir. (Notre précédent post sur le sujet)

Le CE a été saisi en référé par un groupement d’associations, d’entreprises et de particuliers d’une demande d’annulation de la délibération de la CNIL du 21 décembre 2024 reconnaissant la légalité de l'hébergement de données sensibles du projet EMC2 par un sous-traitant, Microsoft Ireland, dont la société mère est soumise au droit des Etats-Unis.

Par une ordonnance du 22 mars 2024, le CE rejette ce recours.

Il considère que la condition d’urgence de la procédure de référé n’est pas remplie pour les raisons suivantes :

1️⃣ La décision de la CNIL a été motivée par le fait qu'aucune solution ne répondait aux exigences techniques du HDH dans les délais impartis par la convention signée avec l’Agence Européenne du Médicament.

Autrement dit : nécessité fait loi ! On préfère faire peser un risque sur les données de santé de millions de personnes plutôt que le HDH assume les conséquences d’être en retard dans l’exécution d’un marché… On me permettra de ne pas être convaincu par le raisonnement car ce sont des pans entiers de la protection des données personnelles, en particulier, mais des libertés fondamentales, en général, qui peuvent s’effacer devant une telle considération.

2️⃣ Le risque d'accès aux données par les autorités américaines dans le cadre de leurs programmes de surveillance est actuellement « hypothétique » compte tenu de la mesures de sécurité mise en place, à savoir la pseudonymisation des données.

Mais alors, pourquoi depuis la directive européenne du 24 octobre 1995 explique-t-on aux entreprises que les transferts de données personnelles en dehors de l’Union Européenne sont susceptibles de porter atteintes aux droits et libertés des personnes ? Car, le fait que les autorités américaines accèdent effectivement aux données est toujours « hypothétique » de notre côté de l’Atlantique. Aucun responsable de traitement n’est jamais informé par les services de renseignements américains qu’ils accèdent « effectivement » aux données ! Faut-il vraiment expliquer pourquoi ?

▶️Sur la base de ces considérations, le Conseil d'Etat juge que les requérantes ne démontrent pas que la délibération attaquée porte une atteinte grave et immédiate aux intérêts des requérantes.

CE n°492369, 22 mars 2024

07/03/2024

La CNIL prononce une sanction de 310 000 euros. Pour réaliser des campagnes de phoning, une société a acheté des fichiers de prospects auprès de « courtiers ». La société a été sanctionnée car la collecte initiale des données n’avait pas été réalisée en conformité avec le #RGPD par les fournisseurs de fichiers. 

Ce que l’on retient de cette décision :

● Le traitement de données personnelles pour réaliser des campagnes de démarchage par téléphone ne peut pas avoir pour base légale l’intérêt légitime du responsable de traitement : les données n’ont pas été collectées en respectant les obligations d’information des personnes concernées.

● Le consentement à recevoir des sollicitations commerciales suite à la participation à un #JeuConcours en ligne n’est pas un consentement spécifique, libre et éclairé : la possibilité offerte de participer au jeu-concours sans accepter de recevoir ces sollicitations n’était pas mise en évidence lorsque cette possibilité n’existait que sous forme d’un lien hypertexte dans le corps du texte, en caractères d’une taille nettement inférieure à celle utilisée pour les boutons et sans mise en valeur particulière

● Le fait d’avoir obtenu les données auprès « d’un courtier » ne décharge pas le responsable du traitement de son obligation de vérifier si les conditions légales lui permettant de réaliser des opérations de prospection sont réunies.

Conclusion : le responsable de traitement ne peut pas se contenter des déclarations ou engagements du fournisseur de données personnelles. Un audit de conformité de la collecte au RGPD doit être réalisé préalablement à l’achat des données.

Délibération de la CNIL SAN-2024-003 du 31 janvier 2024

12/02/2024

RGPD. Le Conseil d’État a confirmé le refus opposé par une association diocésaine à un homme qui demandait l’effacement et l’opposition au traitement de ses données sur un registre de baptême :

- la mention de données personnelles sur le registre des baptêmes ne constitue pas un traitement illicite ;
- la conservation de ces données jusqu'au décès de la personne est nécessaire pour les finalités du traitement, à savoir que le baptême ne peut être reçu qu’une fois, exigence à laquelle pourrait être faire obstacle l’effacement définitif ;
- l’intérêt de l'Église, à la conservation des données est un motif légitime impérieux, prévalant sur l'intérêt moral du demandeur, au regard de l'objet du registre et des conditions de consultation (registre non dématérialisé, dans un lieu clos, accessible à peu de personnes, etc.) ;
- le droit d’opposition est satisfait, par l’ajout d’une mention, en marge du registre, exprimant la volonté de l’intéressé de renoncer à tout lien avec l’Église catholique.

Conseil d'Etat, 2 février 2024 - n°461093

05/02/2024

Qui veut noyer son chien l’accuse de la rage. Ainsi peut être résumée la décision de la #CNIL du 21 décembre 2023, publiée il y a quelques jours, et qui fait beaucoup parler d’elle.

Dans cette décision, la CNIL autorise le GIP Plateforme des Données de Santé, plus connu sous sa dénomination en Anglais « Health Data Hub » (HDH), à héberger des données de santé sur le service #cloud de #Microsoft Ireland Opérations Ltd.

● De quelles données de santé parle-t-on ?

Il s’agit de données pseudonymisées issues :

- des dossiers médicaux des patients ayant été hospitalisés en médecine, chirurgie ou obstétrique depuis 2022 dans 4 hôpitaux partenaires du HDH.
- du Système National des Données de Santé et notamment de l’Assurance Maladie.

● Pourquoi Microsoft pose problème ?

Filiale irlandaise d’une société américaine, le CNIL rappelle que « les autorités états-uniennes sont susceptibles d’adresser à Microsoft des injonctions de communication des données qu’il héberge ». C’est presqu’un lieu commun que de le rappeler.

Fort de ce constat, la CNIL rappelle également sa doctrine qui veut que « pour les bases de données les plus sensibles » il est préconisé « de recourir à un prestataire exclusivement soumis au droit européen ». Cette préconisation avait toujours été respectée dans le cadre d’entrepôts de données de santé.

● Pourquoi la CNIL change de doctrine ?

Selon un avis technique rendu par un comité d’expert, « aucun prestataire potentiel ne propose d’offres d’hébergement répondant aux exigences techniques et fonctionnelles du GIP PDS pour la mise en œuvre du projet ».

Et la CNIL de conclure, à contre coeur : « pour autant (…) il est nécessaire que les engagements pris vis-à-vis de l’EMA puissent être honorés. Dans ces conditions, elle autorise la constitution de l’entrepôt ».

● Quels sont les « engagements vis-à-vis de l’EMA » (European Medicines Agency) en question ?

Il faut s’armer de patience pour trouver sur internet que, à la suite d’un appel d’offres lancé par l’Agence Européenne du Médicament (EMA) intitulé « Real World Data Subscription - Hospital Database from any EU/EEA Country », le HDH a été attributaire en décembre 2021 d’un marché portant sur le lot 3 ainsi résumé « Access to and use of a hospital database from any EU/EEA country; the database should provide data from hospital electronic health care records or hospital drug utilisation or prescription records available at the individual-patient level; to be of a sufficient sample size, the database should cover several hospitals or an established network of hospitals ».

En creusant encore, on peut encore trouver (i) les spécifications techniques du marché et (ii) le projet de contrat de service conclu entre l’EMA et l’HDH.

Rien dans ces documents qui ne puisse faire la lumière sur la nécessité qu’il y aurait à conclure avec un groupe américain pour remplir les objectifs du marché. Au contraire, les documents du marché rappellent « Processing of personal data in connection with this service must comply with Union data protection legislation, in particular, Regulation (EU) 2016/679 (General Data Protection Regulation) ».

Si, comme le disent les experts, « aucun prestataire potentiel ne propose d’offres d’hébergement répondant aux exigences techniques et fonctionnelles du GIP PDS pour la mise en œuvre du projet », les exigences du HDH étaient-elles nécessaires pour répondre au marché conclu avec l’EMA ?

● Ce que l’on peut conclure

La décision de la CNIL est surprenante à plusieurs titres.

Politique : il y a peu de chances que la France et l’Europe rattrapent leur retard technologique s’il suffit de se dire que l’Amérique peut pourvoir à tout, tout le temps, tout de suite et au juste prix.

Technique : sans aucune prétention de compétence en la matière, on reste dubitatif devant l’affirmation selon laquelle il ne saurait y avoir en France ou en Europe aucune entreprise pouvant répondre aux besoins fonctionnels et techniques résultant du lot 3 de l’appel d’offres de l’EMA.

Juridique : et c’est dans ce domaine qu’on s’autorise à avoir un avis. L’incapacité (déclarée) de ne pouvoir faire autrement pour respecter ses engagements et l’impossibilité (affirmée) à trouver une solution technique européenne est la justification imparable au non respect du droit. Le RGPD doit ici se soumettre à un étonnant principe de réalité (voire de pseudo-réalité).

Espérons que le CNIL saura être aussi conciliante quand ce sera une société privée qui s’en prévaudra…

26/01/2024

Contrôle de l’activité des salariés. Retour sur la lourde sanction prononcée par la CNIL contre Amazon France Logistique (AFL) le 27 décembre 2023 pour les dispositifs de surveillance mis en œuvre dans ses entrepôts en France. Lors de ses contrôles, la CNIL a relevé que chaque salarié au sein des entrepôts était équipé d’un boîtier sur lequel il devait s’identifier et au moyen duquel il devait scanner des codes-barres des étiquettes pour chaque action accomplie : "réception" de colis, "rangement", "prélèvement" et "emballage".

La CNIL relève que, via ce dispositif, AFL "collecte en continu des données relatives à l’activité des salariés" et que "l’ensemble de ces données d’activité (…) sont associées à l’identité du salarié sous la forme d’indicateurs de productivité, de qualité et relatifs aux périodes d’inactivité."

La CNIL relève en particulier l’illicéité de 3 indicateurs mesurant en continu : ● La vitesse d’exécution des tâches à la seconde près en signalant "le rangement d’un article dans les 1,25 seconde du rangement de l’article précédent" et "en y associant un indicateur d’erreur chaque fois que cette vitesse est inférieure à 1,25 seconde" ("Stow Machine") ;
● Les temps de latence supérieurs à 10 min d’inactivité sur une tâche dépourvus de justification apparente ("Idle times") ;
● Les temps d’inactivité inférieurs à 10 min "à des moments critiques de la journée", soit en début et fin de session de travail ainsi qu’avant et après les pauses.

L’ensemble de ces données étaient accessibles aux supérieurs hiérarchiques en temps réel et pendant 31 jours. La CNIL constate également la non-conformité de traitements de vidéosurveillance.

La CNIL relève ainsi de nombreux manquements :

● Absence de base légale du traitement : AFL ne peut invoquer son intérêt légitime à mettre en œuvre ces traitements pour des finalités de gestion des commandes en temps réel, de planification du travail et d’évaluation des performances. La CNIL considère qu’il est porté une atteinte disproportionnée aux droits des personnes concernées : violation de la vie privée des salariés, absence de conditions de travail qui respectent leur sécurité, leur santé et leur dignité.
● Manquement au principe de minimisation des traitements
● Manquement à l’obligation d’information les personnes
● Manquement à la sécurité des données

La CNIL conclut que "ces traitements de données à caractère personnel induisent une pression démesurée sur les travailleurs, portant une atteinte disproportionnée à leurs droits et libertés au regard des objectifs économiques et commerciaux de la société" et décide de prononcer une amende de 32 millions d’euros, soit 3% du chiffre d’affaires réalisé par la société.

23/01/2024

La CNIL a rendu public une sanction de 10 millions d’euros prononcée le 29 décembre 2023 à l’encontre de YAHOO EMEA LIMITED (société Irlandaise) pour des violations de la réglementation française.

La CNIL retient sa compétence pour sanctionner YAHOO EMEA LIMITED.

● La CNIL constate d’abord la présence d’un établissement en France de YAHOO EMEA LTD, au sens de l’article 3 de la loi du 6 janvier 1978, à savoir a société YAHOO FRANCE. Plusieurs critères sont retenus :
- Selon ses statuts, YAHOO FRANCE a notamment pour objet « la promotion sur le marché français des produits et solutions publicitaires de YAHOO » ;
- YAHOO FRANCE agit dans le cadre d’un contrat de prestation de service pour YAHOO EMEA LIMITED afin de promouvoir ses produits auprès de ses clients français ;
- YAHOO FRANCE appartient au même groupe que YAHOO EMEA LIMITED ;
- La présidence de YAHOO FRANCE est exercée par la société mère de YAHOO EMEA LIMITED ;
- YAHOO FRANCE refacture à YAHOO EMEA LIMITED ses coûts de fonctionnement et lui rend des comptes.

● La CNIL retient ensuite que le seul fait, pour YAHOO FRANCE, de promouvoir sur le marché français les produits commercialisés par YAHOO EMEA LIMITED est suffisant pour considérer que YAHOO FRANCE traite les données dans le cadre de ses activités sur le territoire français.

● Au final, il est reproché à YAHOO EMEA LIMITED de ne pas respecter l’article 82 de la loi du 6 janvier 1978 en déposant plus d’une vingtaine de cookies publicitaires sans le consentement des visiteurs de Yahoo.com et Yahoo Mail, et ce peu important qu’il s’agisse de cookies tiers. Il est également reproché à la société de contraindre l’utilisateur à ne pas retirer son consentement, car s’il le faisait, il serait alors privé d’accès à sa messagerie électronique. La CNIL affirme qu’à supposer la mise en place d’un « cookie wall » valable, il est obligatoire de proposer une solution alternative afin de permettre à l’internaute de retirer son consentement.