07/12/2023

La Cour de Justice de l'Union Européenne vient de rendre deux arrêts majeurs d’interprétation du RGPD.

1️⃣Pour ce qui concerne les sanctions prononcées par les autorités nationales de contrôle, comme la CNIL, la CJUE décide, dans deux arrêts du 5 décembre 2023, qu’une sanction ne peut être prononcée à l’encontre d’un responsable de traitement que s’il est établi que celui-ci a commis, délibérément ou par négligence, une violation du RGPD. Autrement dit, pour être sanctionné, une faute doit être démontrée à l’encontre du responsable de traitement. Il ne peut y avoir de sanction automatique au simple constat d’un manquement au RGPD.

➡️Ceci est de nature à éloigner le risque de sanction en cas de fuites de données personnelles à la suite d’une cyberattaque lorsque le responsable de traitement dispose d’un système d’information à l’état de l’art en matière de sécurité.

2️⃣En ce qui concerne la qualité de responsable de traitement, dans son arrêt C-683/21, la CJUE pose le principe selon lequel peut être considérée comme étant responsable du traitement une entité qui a chargé une entreprise de développer une application informatique mobile même si cette entité n’a pas procédé, elle-même, à des opérations de traitement de données par cette application. Une entité est responsable, non seulement pour tout traitement de données à caractère personnel qu’elle effectue elle-même, mais également pour celui qui est réalisé pour son compte dès lors qu’elle a effectivement influé, à des fins qui lui sont propres, sur la détermination des finalités et des moyens de ce traitement.

➡️Ainsi, même si une entité ne traite jamais de données personnelles, elle peut être responsable de traitement. Une manière pour la CJUE d’affirmer qu’une entité ne peut pas se décharger de sa responsabilité au regard du RGPD en déléguant l’entièreté des opérations de traitement à un tiers et ne bénéficiant que des résultats de ces traitements, alors même que ces résultats ne contiennent pas de données personnelles.

Arrêts du 5 décembre 2023, en Grande chambre : C-683/21 et C‑807/21

04/10/2023

Depuis le 19 juillet 2023, le nouveau cadre juridique intitulé EU-US Data Privacy Framework permet de nouveau de transférer des données personnelles depuis l’Europe vers les Etats-Unis.

Les entreprises américaines qui participaient déjà au Privacy Shield (annulé par la CJUE dans sa décision du 16 juillet 2020) ont jusqu’au 10 octobre 2023 pour mettre à jour leur « auto-certification » et participer au EU-US Data Privacy Framework.

Elles sont déjà 2 518 enregistrées sur le site du département du commerce américain, dont Meta, Microsoft, Amazon, Google mais pas (encore) Apple.

29/09/2023

Une amende de 200 000 euros a été prononcée par la CNIL, dans sa délibération du 18 septembre 2023,  à l’encontre d’une société de transport et de logistique en raison d’une collecte excessive de données concernant ses salariés.

La filiale d’une société basée à Hong-Kong avait demandé à ses salariés de fournir les informations suivantes : ethnie, affiliation à un parti politique, situation familiale, identité des parents et des éventuels frères, sœurs et enfants, date et lieu de naissance, numéro de téléphone, employeur, fonctions et situation maritale de ces personnes.

● La collecte de ces données n’est pas justifiée par le besoin de prévenir les proches en cas d’urgence et viole le principe de minimisation.

● En outre, certaines de ces données sont « sensibles », de sorte que leur collecte n’était possible qu’avec le consentement libre et éclairé des salariés.

● Enfin, la CNIL a constaté lors d’un contrôle sur place que des extraits de casier judiciaire B3 étaient conservés dans les dossiers individuels des salariés par l’employeur. Sur ce point, la CNIL considère que si l’employeur peut « consulter », dans certaines circonstances, le casier judiciaire il ne peut pas en conserver un extrait.

26/06/2023

Précisions de la CJUE sur l’étendue du droit d’accès d’un salarié : il ne permet pas de connaitre l’identité des personnes physiques ayant consulté des données personnelles.

Un salarié d’une banque finlandaise, qui était par ailleurs client de cette banque, avait appris que ses données à caractère personnel avaient été consultées par d’autres membres du personnel de la banque dans le cadre d’une enquête interne.

Ayant des doutes sur la licéité de ces consultations, le salarié avait demandé à la banque que lui soit communiquée l’identité des collaborateurs qui avaient consulté ses données, les dates des consultations ainsi que les finalités du traitement. La banque a indiqué les raisons de ces opérations mais a refusé la demande de communiquer l’identité des salariés.

La CJUE (22 juin 2023, C-579/21), saisie d’une question préjudicielle, interprète le RGPD en ce qu’il ne consacre pas de tel droit à connaitre l’identité des salariés qui ont consulté des données. La CJUE indique que les salariés du responsable du traitement ne sont pas considérés comme étant des « destinataires » au sens du RGPD lorsqu’ils traitent des données à caractère personnel sous l’autorité dudit responsable et conformément à ses instructions.

Elle ajoute qu’à supposer que la communication des informations relatives à l’identité de ces salariés à la personne concernée soit nécessaire pour s’assurer de la licéité du traitement de ses données à caractère personnel, elle est néanmoins susceptible de porter atteinte aux droits et aux libertés de ces salariés, dans la mesure où ces informations contiennent elles-mêmes les données à caractère personnel de ces derniers.

05/05/2023

Quels sont les documents devant être remis dans le cadre d’un droit d’accès ? Quelle réparation pour la personne concernée en cas de violation du #RGPD ? Dans deux arrêts du 4 mai 2023, la CJUE a répondu aux questions soumises par des juridictions autrichiennes :

1️⃣ Dans une première affaire (CJUE, 4 mai 2023, C-300/21), le renvoi préjudiciel portait sur le point de savoir si la simple violation du RGPD suffisait pour conférer à la personne concernée un droit à réparation ou si la réparation n’était possible qu’au-delà d’un certain degré de gravité du dommage moral subi.

Le service postal autrichien collectait, dans le cadre de son activité de vente d’adresses, des informations sur les affinités politiques sans le consentement des personnes concernées. Le requérant affirmait avoir ressenti un sentiment d’humiliation en raison de l’établissement d’une affinité particulière avec un parti politique autrichien et a demandé réparation du préjudice subi du fait de ce traitement illicite.

La CJUE répond en 3 points :

- Toute violation du RGPD n’ouvre pas, à elle seule, un droit à réparation ; - Le droit à réparation n’est pas réservé aux dommages moraux atteignant un certain seuil de gravité ; - Il appartient à chaque État membre de fixer les critères permettant de déterminer l’étendue de la réparation sous réserve de respecter les principes d’équivalence et d’effectivité.

2️⃣ Dans la seconde affaire (CJUE, 4 mai 2023, C-487/21), la CJUE devait déterminer si le droit pour une personne d’obtenir une « copie » de ses données à caractère personnel implique que lui soit remis par le responsable de traitement une reproduction fidèle et intelligible de toutes ses données ou si l’obligation de l’article 15 §3 du RGPD est satisfaite lorsque le responsable du traitement transmet les données à caractère personnel sous la forme d’un tableau synthétique.

Une personne avait exercé son droit d'accès auprès d’une agence de renseignements commerciaux pour le traitement de ses données dans le cadre d’un service de fourniture d’informations sur sa solvabilité à des tiers. Le requérant estimait que la liste synthétique fournie par par l’agence en réponse à sa demande ne lui permettait pas de comprendre comment ses données personnelles étaient traitées.

La CJUE indique que le droit d’accès du RGPD suppose le droit d’obtenir la copie d’extraits de documents, voire de documents entiers, ou encore d’extraits de bases de données qui contiennent, entre autres, les données personnelles de la personne concernée.

05/04/2023

La diffusion en direct de cours d’enseignement scolaire peut-elle se faire sans recueil du consentement des enseignants ?

Pendant la pandémie et les périodes de confinement, un Ministre de l’Éducation allemand avait aménagé la possibilité pour les élèves d’assister aux cours par vidéoconférence. Le consentement des élèves était recueilli, mais pas celui des enseignants. Un recours a été introduit par le comité représentatif des enseignants.

La juridiction allemande saisie a soumis une question préjudicielle à la CJUE en interprétation du RGPD sur le point de savoir si une réglementation nationale pouvait permettre de ne pas recueillir le consentement des enseignants dans un tel cas.

Dans un arrêt du 30 mars 2023, la CJUE a interprété l’article 88 du RGPD « Traitement de données dans le cadre des relations de travail » qui aménage la possibilité pour les Etats Membres d’adopter des réglementations nationales dites « règles plus spécifiques » concernant le traitement des données à caractère personnel des employés dans le cadre des relations de travail.

La CJUE indique ainsi que pour que cet article s’applique, les règles nationales doivent être… « plus spécifiques ». La règlementation nationale peut prévoir que le recueil du consentement des enseignants au traitement en cause n’est pas requis si : 1️⃣La loi interne a un contenu normatif propre au domaine règlementé et donc distinct des règles générales du RGPD ; 2️⃣Elle prévoit des mesures appropriées et spécifiques pour protéger les droits et libertés des personnes concernées.

Si tel n’est pas le cas, l’article 88 du RGPD relatif aux "règles plus spécifiques" ne sera pas applicable.

Mais il pourra encore être vérifié si la règlementation nationale constitue une base juridique au traitement au sens de l’article 6 du RGPD (ex. exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, ou encore le respect d’une obligation légale à laquelle le responsable du traitement est soumis).

La balance entre le droit au respect des données personnelles des enseignants et le droit à l’enseignement des élèves en période de crise sanitaire devra être évaluée par la juridiction allemande de renvoi.

28/03/2023

CITYSCOOT a pour activité la location courte durée de scooters. La CNIL a constaté qu’elle collectait des données de géolocalisation du véhicule toutes les 30 secondes au cours des locations et conservait l’historique des trajets.

La CNIL constate également un manquement à l’obligation de veiller à la minimisation des données puisqu’aucune finalité invoquée par CITYSCOOT (à savoir la gestion des infractions au code de la route, la gestion des réclamations clients, le support aux utilisateurs et la gestion des sinistres et vols) ne justifie une collecte de données aussi fine et intrusive de la vie privée de ses clients.

La CNIL a également constaté un manquement lié aux contrats conclus avec des sous-traitants : trois d’entre eux ne contenaient pas toutes les mentions prévues par le RGPD.

Enfin, un manquement à l’obligation d’information et d’obtention du consentement des utilisateurs est constaté : en utilisant un mécanisme de reCAPTCHA fourni par GOOGLE sur son application et sur son site web, des données collectées étaient transmises à GOOGLE pour analyse. Or, CITYSCOOT ne fournissait aucune information à l'utilisateur et ne recueillait pas son consentement préalable, que ce soit pour accéder aux informations stockées sur son équipement ou pour écrire des informations sur celui-ci.

Pour ces raisons, dans sa décision du 16 mars 2023, la CNIL prononce une amende de 125 000 euros à l'encontre de cette société.