17/09/2024

Le RGPD est-il soluble dans le droit financier ? Deux sociétés d’investissement allemandes détiennent des participations indirectes, par l’intermédiaire de sociétés fiduciaires, dans des fonds d’investissement organisés sous la forme de sociétés en commandite de droit allemand. Les associés exercent leurs droits dans les sociétés en commandite par l’intermédiaire des sociétés fiduciaires.

Les deux sociétés d’investissement souhaitent obtenir des sociétés fiduciaires l’identité de tous leurs associés qui détiennent des participations indirectes dans les fonds d’investissement concernés, par l’intermédiaire de ces sociétés fiduciaires. Les associés en question font valoir que la jurisprudence allemande accorde aux associés le droit de connaître le nom de leurs autres associés, y compris aux commanditaires « indirects ». Les associés auraient ainsi un intérêt légitime à pouvoir entrer en contact et négocier avec les autres associés le rachat de leurs parts sociales, ou encore pour se coordonner avec ceux-ci en vue de former une volonté commune dans le cadre de décisions d’associés.

Les sociétés fiduciaires s’y opposent au fondement du RGPD.

Saisie par le juge allemand d’une question préjudicielle, la CJUE a rendu le 12 septembre 2024 une réponse de normand.

La CJUE examine les trois fondements qui pourraient justifier un traitement consistant en la divulgation de ces identités en l’absence de consentement des intéressés :

● L’exécution d’un contrat (art. 6.1.b RGPD) : au contraire, la CJUE relève que les contrats de participation et de fiducie en cause prévoient expressément l’interdiction de communiquer les données relatives aux investisseurs indirects à d’autres détenteurs de participations.
● L’intérêt légitime de tiers (les sociétés d’investissement) (art. 6.1.f RGPD) : toujours pas. La CJUE relève que les associés d’un tel fonds d’investissement ne peuvent pas raisonnablement s’attendre à ce que leurs données soient divulguées à d’autres associés indirects de ce fonds d’investissement.
● L’obligation légale (art. 6.1.c RGPD) : à condition que la jurisprudence allemande invoquée soit claire et précise, que son application soit prévisible pour les justiciables et qu’elle réponde à un objectif d’intérêt public et soit proportionnée à celui-ci.

L'arrêt du 12 septembre 2024 - affaires C-17/22 et C-18/22

14/05/2024

La ville de Beaucaire (Gard) mise en demeure de respecter la réglementation applicable par la CNIL. Le dispositif en cause était mis en œuvre depuis 1995 et comportait, lors du contrôle de la CNIL, 73 caméras implantées dans des zones accessibles au public, dont certaines étaient équipées de dispositifs de lecture de plaques d’immatriculation.

Par un arrêt du 30 avril 2024, le Conseil d’État a confirmé la sanction de la CNIL:

● La collecte des données de plaques d’immatriculation visait à pouvoir répondre aux éventuelles réquisitions des forces de l'ordre pour l'exercice de leurs missions de police judiciaire. La CNIL et le Conseil d’État jugent que ce traitement ne pouvait être mis en œuvre par la commune dès lors qu’il ne répondait à aucune des finalités prévues par le code de la sécurité intérieure énumérées limitativement en son article L251-2 : par exemple « la protection des bâtiments et installations publics et de leurs abords » ou « la régulation des flux de transport » ;

● La sécurité et la confidentialité des données n’était pas assurée : insuffisance de la complexité des mots de passe utilisés, obsolescence du système d’exploitation car la mise à jour du serveur n’était pas assurée depuis près de 10 ans et le réseau ne faisait pas l'objet d'une segmentation.

Conseil d'État, 10e et 9e chambres réunies, 30 avril 2024 – n° 472864

07/05/2024

Collecte de données personnelles des salariés - les sanctions pénales sont rares, mais possibles ! Les faits en cause dans cet arrêt de cassation concernent l’activité d’une société effectuant pour le compte de ses clients "des recherches sur des personnes portant sur des données à caractère personnel telles qu'antécédents judiciaires, renseignements bancaires et téléphoniques, véhicules, propriétés, qualité de locataire ou de propriétaire, situation matrimoniale, santé, déplacements à l'étranger".

Les personnes objet de ces enquêtes pouvaient être des salariés, des candidats, des clients, des prestataires, etc.

Le prévenu, dirigeant de la société prestataire, a été condamné à un an d’emprisonnement avec sursis et 20 000 euros d’amende pour collecte de données personnelles par un moyen déloyal et complicité, et complicité de détournement de la finalité d’un fichier.

La Cour de cassation confirme l’arrêt d’appel sur la caractérisation de l’infraction : "le fait que les données à caractère personnel collectées par le prévenu aient été pour partie en accès libre sur internet ne retire rien au caractère déloyal de cette collecte, dès lors qu’une telle collecte, de surcroît réalisée à des fins dévoyées de profilage des personnes concernées et d'investigation dans leur vie privée, à l'insu de celles-ci, ne pouvait s’effectuer sans qu’elles en soient informées".

L’arrêt d’appel est toutefois cassé sur un moyen relatif à l’imprécision de la période sur laquelle le tribunal était saisi, ce qui viole l’article 388 du code de procédure pénale. L’ordonnance de renvoi visait des faits commis entre 2009 et 2012. Or, le tribunal a pris en compte également des faits remontant jusqu’à 2003.

Cass., crim., 30 avril 2024, n° 23-80.962

24/04/2024

Les données personnelles ne sont pas une marchandise négociable : c’est ce qu’affirme le Comité européen de la protection des données.

Les autorités de contrôle néerlandaise, allemande et norvégienne ont sollicité l'avis du CEPD sur les circonstances et conditions dans lesquelles les modèles de "consent or pay" relatifs à la publicité comportementale peuvent être mis en œuvre par les grandes plateformes en ligne.

Le CEPD rappelle la nécessité pour les responsables du traitement de se conformer, outre aux exigences de recueil du consentement - qui doit être valable, informé, non ambiguë et spécifique - également aux principes de limitation de la finalité, de minimisation des données traitées, d’équité, des principes de protection "by Design" et de protection "by Default".

Le CEPD souligne que "les grandes plateformes en ligne ne pourront pas se conformer aux exigences en matière de consentement si elles ne proposent aux utilisateurs qu'un choix binaire entre le consentement au traitement des données à caractère personnel à des fins de publicité comportementale et le paiement d'une redevance". Il rappelle à cet égard "la nécessité d’empêcher que le droit fondamental à la protection des données ne soit transformé en une marchandise dont les personnes concernées doivent payer pour en jouir".

Les grandes plateformes en ligne ne peuvent pas exploiter librement les données à caractère personnel de leurs utilisateurs simplement parce que ces utilisateurs n’ont pas payé pour qu’elles soient protégées.

EDPB avis du 17 avril 2024 - Opinion 08/2024 on Valid Consent in the Context of Consent or Pay Models Implemented by Large Online Platforms

12/04/2024

Le RGPD n’est pas un joker procédural pour faire annuler un contrôle sanitaire. Un vétérinaire, dont le cabinet avait fait l’objet d’une visite domiciliaire de contrôle par la brigade nationale d'enquête vétérinaire et phytosanitaire, a demandé l’annulation de l’ordonnance autorisant cette visite au motif notamment du non respect du RGPD par l’administration.

Parmi les documents saisis, se trouvaient des données « économiques et personnelles des exploitations agricoles » clientes du vétérinaire

Il était fait grief à l’ordonnance de ne contenir aucune mention requise par le RGPD sur les droits des personnes concernées par ces traitements

Ni la Cour d’appel de Nancy, ni la Cour de cassation n’ont fait droit à sa demande.

La Cour d’appel rappelle que le RGPD ne s'applique pas aux traitement de données personnelles effectués « par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites (...) » et que les états membres sont autorisés à limiter la portée des obligations d’information des personnes prévues à l'article 14 du RGPD lorsque le traitement est « mis en oeuvre par les administrations publiques qui ont pour mission soit de contrôler ou de recouvrer des impositions soit d'effectuer des contrôles de l'activité de personnes physiques ou morales pouvant donner lieu à la constatation d'une infraction ou d'un manquement, des amendes administratives ou à des pénalités ».

La Cour de cassation (Cass., com., 4 avr. 2024 – n° 22-22.221) a rejeté le pourvoi au motif que l’article du code de la santé publique appliqué « n'impos[ait] pas de mention, dans cette ordonnance, des garanties relatives à la protection des données à caractère personnel. »

09/04/2024

La CNIL prononce une sanction de 525 000 euros à l’encontre d’un distributeur de produits reconditionnés pour avoir utilisé, à des fins de prospection commerciale, des données fournies par des courtiers en données, sans s’assurer que les personnes concernées avaient valablement consenti à être démarchées.

Il s’agit d’une suite des opérations de contrôle que la CNIL a menées dans le secteur du phoning et qui ont déjà donné lieu à une précédente sanction de 310 000 euros à l’encontre d’une autre société.

Ici, la société mise en cause procède à des campagnes de démarchage par téléphone (3 millions d’appels sur 1 an) et par SMS (1,4 millions de SMS sur 1 an) pour promouvoir les produits vendus dans ses boutiques. Les données des prospects démarchés ont été achetées auprès de « courtiers » en données, éditeurs de sites de jeux-concours et de tests de produits.

La CNIL retient que l’apparence trompeuse des formulaires de participation à des jeux-concours en ligne utilisés par les « courtiers » ne permet pas de recueillir un consentement libre, éclairé et spécifique des personnes concernées à la collecte de leurs données à des fins de prospection commerciale, caractérisant un manquement à l’article L34-5 du du code des postes et communications électroniques.

La CNIL a considéré que, lors de ses opérations de démarchage téléphonique, la société ne permettait pas aux personnes d’être suffisamment informées, en violation de l’article 14 du RGPD.

Autre enseignement de la décision, la CNIL adopte une attitude réaliste et rationnelle en considérant que la conservation en base active des données clients pendant 5 années après le terme de la relation contractuelle n’est pas un manquement au RGPD dès lors qu’il n’est pas démontré que des personnes auraient accès aux données sans avoir besoin d’en connaître.

Cette sanction a été prise par la CNIL en coopération avec les autorités de contrôle européennes concernées (Belgique, Italie, Espagne, Portugal) car le responsable de traitement traitait des données de clients et prospects dans ces autres pays de l’UE.

Délibération SAN-2024-004 du 4 avril 2024

28/03/2024

Etienne Papin, associé de NEXT avocats, revient sur l'ordonnance du Conseil d'Etat du 22 mars dernier sur laquelle les commentaires à formuler sont nombreux.

Health Data Hub – Le Conseil d’Etat ne suspend pas en référé l'autorisation donnée au HDH d’héberger des données de santé sur Microsoft Azure.

Nous pouvons continuer dans les proverbes pour commenter cette séquence judiciaire : il n’y a pas pire aveugle que celui qui ne veut pas voir. (Notre précédent post sur le sujet)

Le CE a été saisi en référé par un groupement d’associations, d’entreprises et de particuliers d’une demande d’annulation de la délibération de la CNIL du 21 décembre 2024 reconnaissant la légalité de l'hébergement de données sensibles du projet EMC2 par un sous-traitant, Microsoft Ireland, dont la société mère est soumise au droit des Etats-Unis.

Par une ordonnance du 22 mars 2024, le CE rejette ce recours.

Il considère que la condition d’urgence de la procédure de référé n’est pas remplie pour les raisons suivantes :

1️⃣ La décision de la CNIL a été motivée par le fait qu'aucune solution ne répondait aux exigences techniques du HDH dans les délais impartis par la convention signée avec l’Agence Européenne du Médicament.

Autrement dit : nécessité fait loi ! On préfère faire peser un risque sur les données de santé de millions de personnes plutôt que le HDH assume les conséquences d’être en retard dans l’exécution d’un marché… On me permettra de ne pas être convaincu par le raisonnement car ce sont des pans entiers de la protection des données personnelles, en particulier, mais des libertés fondamentales, en général, qui peuvent s’effacer devant une telle considération.

2️⃣ Le risque d'accès aux données par les autorités américaines dans le cadre de leurs programmes de surveillance est actuellement « hypothétique » compte tenu de la mesures de sécurité mise en place, à savoir la pseudonymisation des données.

Mais alors, pourquoi depuis la directive européenne du 24 octobre 1995 explique-t-on aux entreprises que les transferts de données personnelles en dehors de l’Union Européenne sont susceptibles de porter atteintes aux droits et libertés des personnes ? Car, le fait que les autorités américaines accèdent effectivement aux données est toujours « hypothétique » de notre côté de l’Atlantique. Aucun responsable de traitement n’est jamais informé par les services de renseignements américains qu’ils accèdent « effectivement » aux données ! Faut-il vraiment expliquer pourquoi ?

▶️Sur la base de ces considérations, le Conseil d'Etat juge que les requérantes ne démontrent pas que la délibération attaquée porte une atteinte grave et immédiate aux intérêts des requérantes.

CE n°492369, 22 mars 2024

07/03/2024

La CNIL prononce une sanction de 310 000 euros. Pour réaliser des campagnes de phoning, une société a acheté des fichiers de prospects auprès de « courtiers ». La société a été sanctionnée car la collecte initiale des données n’avait pas été réalisée en conformité avec le #RGPD par les fournisseurs de fichiers. 

Ce que l’on retient de cette décision :

● Le traitement de données personnelles pour réaliser des campagnes de démarchage par téléphone ne peut pas avoir pour base légale l’intérêt légitime du responsable de traitement : les données n’ont pas été collectées en respectant les obligations d’information des personnes concernées.

● Le consentement à recevoir des sollicitations commerciales suite à la participation à un #JeuConcours en ligne n’est pas un consentement spécifique, libre et éclairé : la possibilité offerte de participer au jeu-concours sans accepter de recevoir ces sollicitations n’était pas mise en évidence lorsque cette possibilité n’existait que sous forme d’un lien hypertexte dans le corps du texte, en caractères d’une taille nettement inférieure à celle utilisée pour les boutons et sans mise en valeur particulière

● Le fait d’avoir obtenu les données auprès « d’un courtier » ne décharge pas le responsable du traitement de son obligation de vérifier si les conditions légales lui permettant de réaliser des opérations de prospection sont réunies.

Conclusion : le responsable de traitement ne peut pas se contenter des déclarations ou engagements du fournisseur de données personnelles. Un audit de conformité de la collecte au RGPD doit être réalisé préalablement à l’achat des données.

Délibération de la CNIL SAN-2024-003 du 31 janvier 2024