Conformité RGPD – Lettre d’actualité numéro 10

Madame, Monsieur,

Le cabinet Derriennic Associés vous adresse ses meilleurs vœux pour l’année 2019.

Nous vous proposons ce mois-ci, au programme des actualités « RGPD » récentes :

  • la tenue, à Bruxelles, de la 40ème Conférence internationale des Commissaires à la protection des données et de la vie privée ;
  • le projet de lignes directrices du CEPD sur le champ d’application territorial du RGPD ;
  • la mise en demeure de VECTAURY par la CNIL pour absence de consentement au traitement de données de géolocalisation à des fins de ciblage publicitaire ;
  • le rejet d’une demande de déréférencement par la Cour d’appel de Paris.

Tous ces éléments vous seront présentés dans la lettre de ce mois-ci.

Nous vous en souhaitons une bonne lecture,

Rejet d’une demande de déréférencement par la Cour d’appel de Paris

Par décision du 30 novembre 2018, la Cour d’appel de Paris a rejeté la demande d’un ancien agent littéraire qui souhaitait voir déréférencées des url du moteur de recherche Google, au motif que les droits fondamentaux au respect de la vie privée et de la liberté d’expression étaient préservés de manière équilibrée.

Un ancien agent littéraire a constaté qu’en insérant ses nom et prénom à titre de mots clés dans le moteur de recherche Google, onze liens renvoyaient vers des pages internet publiant des contenus (commentaires et articles) « négatifs », en lien avec son ancienne activité.

Après avoir été déboutée de sa demande de déréférencement par le juge des référé du TGI de Paris, la personne concernée a soutenu, devant la Cour d’appel, que les données personnelles traitées par Google ne seraient pas pertinentes ni adéquates, et seraient excessives au regard notamment du temps écoulé depuis la cessation de ses fonctions d’agent littéraire.

La Cour d’appel va apprécier le bien-fondé de sa demande de déréférencement au regard de son droit de rectification et d’opposition.

Dans ce cadre, la Cour d’appel considère qu’« il importe donc de recherche le juste équilibre entre l’intérêt légitime des internautes potentiellement intéressés à avoir accès à une information et les droits de la personne concernée ».

Selon la Cour d’appel, le droit de rectification visé à l’article 40 de la loi du 6 janvier 1978 doit s’interpréter au regard de la directive 95/46/CE, applicable au faits mais aujourd’hui abrogée. Il en résulte que le traitement de données exactes ne doit pas devenir avec le temps, incompatible avec la directive précité. Tel est le cas, selon la Cour d’appel, lorsque les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées, spécialement lorsqu’elles apparaissent inadéquates, qu’elles ne sont pas ou plus pertinentes ou sont excessives au regard de ces finalités et du temps qui s’est écoulé.

S’agissant du droit d’opposition, selon la Cour d’appel, chaque traitement de données à caractère personnel doit être légitimé pour toute la durée pendant laquelle il est effectué.

Dans la mesure où ces liens visent les conditions dans lesquelles la personne concernée a exercé une activité professionnelle d’agent littéraire, que les articles ou commentaires ont été mis en ligne à l’époque de cet exercice professionnel et que, bien que relativement anciens, ils conservent toute leur actualité en critiquant un mode de fonctionnement et de rémunération de certains agents littéraires, la Cour d’appel conclut que les droits fondamentaux au respect de la vie privée et à la liberté d’expression sont préservés de manière équilibrée, de sorte qu’il n’existe aucun trouble manifestement illicite.

Intelligence artificielle et protection des données

Le 23 octobre dernier, à Bruxelles, a eu lieu la 40ème Conférence internationale des Commissaires à la protection des données et de la vie privée, au cours de laquelle a été adoptée une déclaration sur l’éthique et la protection des données dans le secteur de l’intelligence artificielle (IA).

Cette Conférence se tient chaque année à l’automne. Elle réunit l’ensemble des 81 autorités et commissaires à la protection des données et à la vie privée de tous les continents. Elle est ouverte aux intervenants et participants du monde économique, des autorités publiques et de la société civile.

Cette année, une déclaration sur l’éthique et la protection des données dans le secteur de l’intelligence artificielle, reposant sur six principes directeurs, a été adoptée.

Ces six principes sont :

  • le respect des droits de l’homme et du principe de loyauté ;
  • le devoir d’attention, de vigilance et de transparence, en ce qui concerne les effets et les conséquences des systèmes d’IA ;
  • l’amélioration de l’intelligibilité des systèmes d’IA ;
  • l’application des principes de protection de la vie privée par défaut et dès la conception (privacy by design et by default) ;
  • le souci de donner d’avantage de pouvoirs à chaque personne et d’encourager l’exercice des droits individuels ; et
  • la nécessité de réduire les préjugés ou les discriminations illicites pouvant résulter de l’utilisation de des systèmes d’IA.

La Déclaration sur l’éthique et la protection des données dans l’intelligence artificielle est désormais soumise à consultation publique.

Le projet de lignes directrices du CEPD sur le champ d’application territorial du RGPD 

Un nouveau projet de lignes directrices du Comité Européen à la Protection des Données (« CEPD ») a été publié le 23 novembre dernier sur un sujet majeur : le champ d’application territorial du RGPD.

Pour rappel, le sujet du champ d’application du RGPD est traité à l’article 3 de ce règlement et dépend de deux critères : (i) le critère de « l’établissement » ; (ii) le critère du « ciblage ».

Les lignes directrices proposées par le CEDP visent à mieux appréhender l’application de ces critères, en donnant notamment des exemples pratiques.

Nous vous livrons dans le présent article un aperçu de quelques points importants de ce projet (lequel fait 23 pages et existe uniquement en version anglaise).

  • S’agissant du critère dit de « l’établissement »

Le CEDP se réfère à la jurisprudence de la CJUE, pour donner une interprétation large de ce critère.

Aussi, le CEPD indique que les sous-traitants situés dans l’UE doivent bien respecter le RGPD, quand bien même le responsable de traitement est situé hors UE ou ne traite pas de données à caractère personnel relatives à des personnes situées en UE.

Dans cette hypothèse particulière, les exigences de l’article 28 du RGPD doivent bien être reprises dans le contrat du sous-traitant à l’exception de celles relatives à l’aide apportée au responsable de traitement afin qu’il soit conforme au RGPD (ce qui n’est pas véritablement clair).

  • S’agissant du critère dit du « ciblage »

Le CEPD rejoint à nouveau l’interprétation donnée par la CJUE, à savoir la notion de site internet dirigé vers des personnes de l’UE et propose des éléments supplémentaires pour pouvoir retenir l’existence d’un tel « ciblage » :

  • l’offre ou le service concernés désignent nommément un Etat membre de l’UE ;
  • une adresse courriel ou un numéro de téléphone de l’UE sont indiqués ;
  • un nom de domaine type « .eu » est utilisé ;

Le CEPD précise également que le représentant au sein de l’UE, qui doit être désigné par le responsable de traitement/le sous-traitant qui répond au critère du ciblage (cf. article 27 du RGPD), ne peut être le DPO externalisé et peut être sanctionné comme le responsable de traitement ou le sous-traitant, en cas de manquement aux obligations visées dans le RGPD. Le statut d’un tel représentant est donc lourd de conséquence

Ces lignes directrices ont été soumises à consultation publique jusqu’au 18 janvier prochain.

Mise en demeure de VECTAURY par la CNIL pour absence de consentement au traitement de données de géolocalisation à des fins de ciblage publicitaire

La présidente de la CNIL a mis en demeure la société VECTAURY de recueillir le consentement des personnes au traitement de leurs données de géolocalisation à des fins de ciblage publicitaire par le biais des applications mobiles.

L’activité de la société VECTAURY est d’établir le profil des mobinautes à partir de leurs habitudes de déplacements afin d’afficher de la publicité ciblée pour le compte de ses clients annonceurs sur les smartphones.

Elle utilise la technologie SDK permettant notamment de collecter des données de géolocalisation et l’identifiant publicitaire mobile qu’elle croise avec des « points d’intérêts » (correspondant au point de vente physique des enseignes des partenaires) pour afficher de la publicité en fonction des lieux visités.

La société VECTAURY réalise également des campagnes marketing à travers l’achat d’espaces publicitaires sur les plateformes de ventes aux enchères de publicités en temps réel. Pour ce faire, elle reçoit des données de géolocalisation et identifiants publicitaires mobile de smartphones sur lesquels la publicité ciblée doit être affichée.

Sur la qualité de responsable du traitement

La CNIL considère cette société comme responsable de traitement dès lors qu’elle détermine dans une large mesure les finalités et les moyens des traitements mis en œuvre dans le cadre de l’utilisation du SDK et des dispositifs d’enchères de publicités en temps réel.

La CNIL relève, en effet, que la société VECTAURY traite pour son propre compte les données à caractère personnel collectées via le SDK pour vendre des services d’analyse ou de profilage à ses clients.

Un manquement à l’obligation de recueil du consentement sur les données provenant des SDK

La société VECTAURY indique traiter ces données avec le consentement des personnes concernées. Toutefois, les vérifications de la CNIL ont permis de constater que le consentement n’est pas valablement recueilli.

En effet :

  • Les personnes ne sont pas correctement informées de la nature des données collectées, des finalités du traitement ou encore de l’identité du responsable de traitement.
  • La société a récemment proposé la mise en place d’un système de recueil du consentement (Consent Management Provider – CMP) pour renforcer l’information. Néanmoins, la CNIL observe que ce CMP n’est pas systématiquement implanté dans les applications et qu’il n’est, en outre, pas satisfaisant notamment car :
  • L’information donnée à l’utilisateur est insuffisante et manque de clarté (or, le consentement doit être éclairé) ;
  • que le consentement recueilli est global à plusieurs traitements (or, le consentement doit être spécifique) ;
  • Enfin, la collecte des données de géolocalisation est activée par défaut (or, le consentement doit résulter d’un acte positif).

Un manquement à l’obligation de recueil du consentement sur les données provenant des offres d’enchère en temps réel d’espace publicitaire

La société VECTAURY est destinataire de données à caractère personnel par le biais d’enchères en temps réel auxquelles elle décide, ou non, de donner suite.

Ces données sont collectées, à l’origine, dans des applications sans lien contractuel avec VECTAURY, et sont transmises, pendant la procédure d’enchère, à plusieurs séries d’intermédiaires avant d’être prises en charge et traitées par la société VECTAURY.

Les deux finalités pour lesquelles les données sont transmises à VECTAURY sont la passation d’une enchère d’une part, et la définition d’un profil commercial des individus d’autre part.

La société VECTAURY met en avant :

  • d’une part, le consentement donné par les utilisateurs pour mettre en œuvre le traitement des données à caractère personnel, notamment de géolocalisation, contenues dans les offres d’enchère en temps réel ; et
  • d’autre part, la garantie contractuelle des émetteurs de données concernant le consentement de chaque utilisateur.

Par ailleurs, la CNIL a considéré que l’obligation de l’article 7 du RGPD concernant le recueil du consentement ne saurait être remplie « par la seule présence d’une clause contractuelle garantissant un consentement initial valablement collecté ». Ainsi, selon la CNIL, il appartient à la société VECTAURY de démontrer, « pour la totalité des données qu’elle traite », la « validité » du consentement exprimé.

N’étant pas en mesure de le démontrer, la société VECTAURY est en manquement aux dispositions de l’article 7 susvisé.

DERRIENNIC ASSOCIES