Conformité RGPD – Lettre d’actualité numéro 13

1er avril 2019

Télécharger

Madame, Monsieur,

Nous vous proposons, en ce mois d’avril, une lettre RGPD composée des actualités suivantes :

  • Un nouvel avis de l’EDPB sur l’interaction entre la directive “ePrivacy” et le RGPD ;
  • Une décision de la Cour d’appel de Grenoble ordonnant de faire procéder à l’effacement de données à caractère personnel par l’autorité fiscale américaine ;
  • Une décision de la Cour d’appel de Paris affirmant que l’hébergeur n’est pas responsable du traitement relatif aux sites internet qu’il héberge

Quelle interaction entre la directive « e privacy » et le RGPD ?

L’EDPB a publié un avis le 12 mars dernier, en réponse à trois questions qui lui ont été soumises par l’autorité belge de protection des données.

Est-ce que le fait qu’un traitement de données entre dans le champ d’application matériel à la fois de la directive « ePrivacy » et du RGPD limite les compétences, missions et pouvoir des autorités de protection des données ?

L’EDPB précise que les autorités de protection des données sont compétentes pour contrôler le respect du RGPD, le simple fait qu’une partie du traitement tombe sous l’application de la directive « ePrivacy » ne vient pas limiter leur compétence d’autorité de contrôle dans le cadre du RGPD.

Lorsqu’elles exercent leurs pouvoirs dans le cadre du RGPD, est-ce que les autorités de protection des données doivent prendre en compte les dispositions de la directive « ePrivacy », et si oui dans quelle mesure ?

L’EDPB indique que la ou les autorité(s) désignée(s) comme compétentes par les États membres sont seules responsables pour faire appliquer les dispositions de la loi nationale transposant la directive « ePrivacy », y compris dans les cas où le traitement de données à caractère personnel entre dans le champ d’application matériel à la fois de la directive et du RGPD.

Dès lors qu’un manquement au RGPD peut également constituer un manquement à la directive « ePrivacy », l’autorité de protection des données pourra en tenir compte. Toutefois, toute décision prise devra être justifiée sur la seule base du RGPD, sauf si l’autorité chargée de la protection des données s’est vu attribuer des compétences supplémentaires au titre de la directive « ePrivacy » par la législation nationale des États membres.

Dans quelle mesure les mécanismes de coopération et de cohérence sont-ils applicables aux traitements qui déclenchent, du moins en ce qui concerne certaines opérations de traitement, le champ d’application matériel à la fois du RGPD et de la directive « ePrivacy » ?

Selon l’EDPB, les mécanismes de coopération et de cohérence mis à la disposition des autorités chargées de la protection des données en vertu du chapitre VII du RGPD concernent le contrôle de l’application des dispositions du RGPD et ne s’appliquent donc pas dans le cadre du contrôle du respect de la directive « ePrivacy ».

Pour plus de détails : https://edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-52019-interplay-between-eprivacy-directive_fr

  • Voir notamment les précisions apportées par l’EDPB des cas où il n’y a pas d’interaction entre la directive « ePrivacy » et le RGPD, soit parce que la question est hors champs d’application du RGPD ou bien hors champ d’application de la directive, ainsi que les cas qui entrent dans le champ d’application des deux textes.
  • L’EDPB apporte également des éclairages utiles sur la signification de cet article 1 (2) de la directive « ePrivacy » qui énonce que cette directive a pour objectif de « préciser et compléter » les dispositions de la directive 95/46/CE, (remplacée depuis par le RGPD).

L’obligation d’effacer les données à caractère personnel traitées à tort

Par une décision du 12 mars 2019, la Cour d’appel de Grenoble a confirmé une décision du juge des référés ordonnant à une banque française de « faire toutes diligences à ses frais auprès des autorités fiscales des Etats-Unis afin qu’elles procèdent à l’effacement de ses déclaration FATCA » impliquant à tort un particulier.

Un particulier a été considéré, à tort, par la Banque Rhône Alpes, comme présentant un critère d’« américanéïté », en l’occurrence son lieu de naissance. Cela a entrainé la déclaration, par la Banque Rhône Alpes, du compte du particulier aux autorités fiscales des Etats-Unis, dans le cadre du règlement FATCA (« Foreign Account Tax Compliance Act »).

Le particulier a, en 2018, apporté à la banque la preuve que son lieu de naissance est situé au Canada, et non aux Etats-Unis. Si la banque, qui a bien tenu compte de cette information, s’est abstenue de transmettre une déclaration à l’autorité fiscale américaine s’agissant de l’année 2017, elle n’a, toutefois, pas effacé les données traitées dans le cadre du FATCA antérieurement à 2017, ni demandé aux autorités fiscales américaines d’effacer lesdites données.

Le particulier a demandé à la Banque Rhône Alpes la suppression de l’ensemble des données à caractère personnel le concernant, traitées dans le cadre du FATCA.

Après avoir essuyé un refus de la part de la Banque Rhône Alpes, il a assigné cette dernière devant le juge des référés afin d’obtenir l’effacement des données par la banque, et lui imposer de faire toutes les diligences afin que les autorités fiscales américaines procèdent également à l’effacement. Cette demande s’appuyait sur les articles 16 et 17 du RGPD (droits de rectification et d’effacement).

Le juge des référés a relevé que les conséquences des agissements de la banque sur la situation fiscale du particulier, d’une part, ainsi que les « tracasseries » que le particulier était susceptible de rencontrer en cas de voyage aux Etats-Unis, d’autre part, étaient constitutifs d’un trouble manifestement illicite.

Il a, en conséquence, ordonné, par décision du 4 juillet 2018 :

  • que la Banque Rhône Alpes efface toutes les données à caractère personnel du particulier traitées dans le cadre du FATCA antérieurement à 2017 ; et
  • que la Banque Rhône Alpes fasse toutes diligences à ses frais auprès des autorités fiscales des Etats-Unis afin qu’elles procèdent à l’effacement total de ses déclarations FATCA impliquant le particulier, pour les périodes antérieurs à 2017.

La Cour d’appel, saisie par la Banque Rhône Alpes, a confirmé l’ordonnance déférée en toutes ses dispositions et a ajouté : « la Banque Rhône Alpes ne peut se limiter à une rectification de l’erreur à compter de 2018, M. X. ayant un droit fondamental à ce que toutes les données le concernant soient définitivement effacées du ficher FATCA ».

L’hébergeur n’est pas responsable du traitement relatif à l’exploitation de sites internet

La Cour d’appel de Paris, dans un arrêt du 1er mars 2019, a affirmé que l’hébergeur d’un site internet n’est pas responsable du traitement de données à caractère personnel relatif à l’exploitation dudit site.

La société Oxeva a pour activité la création et l’hébergement de sites internet, dont les sites annuaire.laposte.fr et societe.com.

Un avocat a estimé qu’Oxeva, avait associé, via plusieurs des sites qu’elle hébergeait, son nom et son activité à des numéros de téléphone surtaxés qui n’étaient pas les siens, et ce, sans son autorisation, ce qui aurait entrainé un détournement de sa clientèle.

L’avocat a adressé une lettre de mise en demeure à Oxeva afin d’obtenir l’effacement de ces informations erronées.

Oxeva n’a pas donné suite à cette lettre. L’avocat l’a donc assignée en référé afin d’obtenir, sous astreinte, le retrait de « l’ensemble de ses informations personnelles sur quelque site ou emplacement que ce soit » en invoquant notamment, à l’appui de sa demande, son droit de rectification et son droit à l’effacement.

Les premiers juges ont rejeté cette demande de retrait, en retenant principalement que le demandeur n’avait pas établi, alors que la société était hébergeur de contenus, la notification préalable des contenus illicites au sens de la loi du 21 juin 2004.

La Cour d’appel a confirmé la décision de première instance en relevant l’absence de notification préalable du contenu illicite, mais également en affirmant que le simple hébergeur « n’est pas le responsable du traitement de données à caractère personnel relatif à l’exploitation des sites internet, et ; qu’ainsi, il ne lui appartient pas d’effectuer de quelconque démarche relative à l’exploitation desdits sites internet, ou à celle des services de mise en relation (formalités Cnil, éventuel recueil du consentement, informations relatives aux activités de commerce électronique via lesdits sites internet, mentions légales sur lesdits sites internet …). »

DERRIENNIC ASSOCIES