Conformité RGPD – Lettre d’actualité numéro 18

Télécharger

Madame, Monsieur,

Nous vous proposons, en ce mois de novembre 2019, de découvrir les actualités suivantes :

• Cookies : le délai d’adaptation validé ;
• Un consentement univoque à l’utilisation des cookies ;
• Publication de la liste des traitements non soumis à analyse d’impact ;
• Les moteurs de recherche interdits de traiter des données « sensibles ».

Nous vous en souhaitons une bonne lecture.

Cookies : le délai d’adaptation validé

Le Conseil d’Etat, par une décision du 16 octobre 2019,  a rejeté deux requêtes visant à annuler, pour excès de pouvoir, la décision de la CNIL concernant son plan d’action en matière de publicité ciblée.

Pour rappel, la CNIL a adopté, par délibération du 4 juillet 2019, des lignes directrices relatives à l’application de l’article 82 de la loi dite « Informatique et Libertés » du 6 janvier 1978 aux opérations de lecture ou écriture dans le terminal d’un utilisateur, notamment aux cookies et autres traceurs, et abrogé sa recommandation du 5 décembre 2013 relative aux cookies et autres traceurs.

Par un communiqué publié sur son site internet le 18 juillet 2019, la CNIL a précisé que cette délibération constitue le socle de son plan d’action et a annoncé engager une concertation permettant d’adopter, au premier trimestre 2020, une recommandation précisant les modalités pratiques du recueil du consentement au dépôt de cookies et de traceurs de connexion. Elle a enfin indiqué qu’une période d’adaptation de six mois serait laissée aux opérateurs afin de leur donner le temps d’intégrer les nouvelles règles.

Contestant la décision de la CNIL de différer l’application de ces nouvelles règles pour laisser aux entreprises le temps de les intégrer, les associations « La Quadrature du net » et « Caliopen » ont demandé au Conseil d’Etat d’annuler, pour excès de pouvoir, ladite décision.

Le Conseil d’Etat a considéré qu’il était loisible à la CNIL « de rendre publique des orientations qu’elle a arrêtées pour l’exercice de ses pouvoirs » et que « contrairement à ce qui est soutenu, la Commission n’a pas méconnu l’étendue de sa compétence en élaborant un plan d’actions en matière de ciblage publicitaire en ligne et en rendant publique la position qu’elle a prise quant à l’usage de ses pouvoirs, notamment de sanction, afin d’atteindre les objectifs qu’elle a définis ».

De plus, selon le Conseil d’Etat, la période d’adaptation laissée par la CNIL « permet à l’autorité de régulation d’accompagner les acteurs concernés, confrontés à la nécessité de définir de nouvelles modalités pratiques de recueil du consentement susceptibles d’apporter, sur le plan technique, les garanties qu’exige l’état du droit en vigueur, dans la réalisation de l’objectif d’une complète mise en conformité de l’ensemble des acteurs à l’horizon de l’été 2020. En outre, ainsi que la CNIL l’a rappelé dans la prise de position contestée, elle continuera à contrôler, durant cette période, le respect des règles relatives au caractère préalable du consentement, à la possibilité d’accès au service même en cas de refus et à la disponibilité d’un dispositif de retrait du consentement facile d’accès et d’usage. »

Dans ces conditions et au vu de l’ensemble des circonstances de l’espèce, le Conseil d’Etat a estimé que « la Commission nationale de l’informatique et libertés ne peut être regardée comme ayant commis une erreur manifeste d’appréciation en retenant de telles orientations pour l’exercice de ses pouvoirs. »

Le Conseil d’Etat en conclut que les requérantes n’étaient pas fondées à demander l’annulation de la décision attaquée et a donc rejeté leur requête.

Lien vers la décision :
https://www.conseil-etat.fr/ressources/decisions-contentieuses/dernieres-decisions-importantes/conseil-d-etat-16-octobre-2019-plan-d-action-de-la-cnil-en-matiere-de-publicite-ciblee

Un consentement univoque à l’utilisation des cookies

L’organisation d’un jeu promotionnel par la société Planet49 a poussé le Bundesgerichtshof (Cour fédérale de justice, Allemagne) à poser plusieurs questions préjudicielles à la CJUE afin de clarifier les conditions de recueil du consentement à l’utilisation de cookies.

La société Planet49 avait organisé, sur son site internet, un jeu promotionnel. Sur la page de soumission de la participation, étaient présentes deux mentions accompagnées d’une case à cocher.

La première mention, dont la case n’était pas cochée par défaut, se lisait comme suit :

« J’accepte que des sponsors et partenaires m’informent par voie postale, par téléphone, par courrier électronique ou par message SMS de promotions dans leur domaine d’activité respectif. Je peux les déterminer ici moi-même faute de quoi l’organisateur les sélectionnera. Je peux revenir à tout moment sur mon acceptation. Pour plus d’informations à ce sujet, ici. »

La seconde mention, dont la case était cochée par défaut, se lisait comme suit :

« J’accepte que le service d’analyse du web Remintrex soit mis en œuvre chez moi. En conséquence, l’organisateur du jeu promotionnel, [Planet49], installera des cookies après avoir été agréé pour le jeu promotionnel, ce qui lui permettra d’exploiter par Remintrex mes navigations sur le web et mes visites sur les sites web des partenaires publicitaires et d’adresser de la publicité centrée sur mes intérêts. Je peux supprimer les cookies à tout moment. Lire les détails ici. »

Il convient de relever que la participation au jeu était conditionnée à l’acceptation, par l’internaute, de faire l’objet d’opérations de prospection commerciale, dans les conditions visées par la première mention.

Dans le cadre d’une mise en demeure qui est restée sans suite, la fédération des organisations et associations de consommateurs a soutenu que les déclarations d’accord sollicitées par Planet49 au moyen des première et seconde cases à cocher ne remplissaient pas les conditions requises par le droit national allemand applicable.

La fédération a introduit devant le Landgericht Frankfurt am Main (tribunal régional de Francfort-sur-le-Main) un recours tendant, en substance, à ce que Planet49 cesse de solliciter de telles déclarations d’accord et qu’elle soit condamnée à lui verser la somme de 214 euros, majorée d’intérêts depuis le 15 mars 2014. Cette juridiction a fait partiellement droit à ce recours.

À la suite d’un appel interjeté par Planet49 devant l’Oberlandesgericht Frankfurt am Main (tribunal régional supérieur de Francfort-sur-le-Main), cette juridiction a estimé que la demande de la fédération tendant à ce que Planet49 cesse d’inclure, dans des conventions de jeu promotionnel passées avec des consommateurs, la seconde mention, dont la seconde case à cocher était cochée par défaut, n’était pas fondée en ce que, d’une part, l’utilisateur avait connaissance de la possibilité de décocher cette case et, d’autre part, celle-ci était présentée dans une typographie suffisamment claire et donnait des informations sur les modalités d’utilisation des cookies, sans qu’il soit nécessaire de divulguer l’identité des tiers susceptibles d’avoir accès aux informations recueillies.

Le Bundesgerichtshof (Cour fédérale de justice), saisi par la fédération d’un recours en révision, a considéré que l’issue du litige au principal dépendait de l’interprétation des dispositions combinées de l’article 5, paragraphe 3, et de l’article 2, sous f), de la directive 2002/58, de l’article 2, sous h), de la directive 95/46 ainsi que de l’article 6, paragraphe 1, sous a), du règlement 2016/679.

Éprouvant des doutes sur la validité, au regard de ces dispositions, de l’obtention, par Planet49, du consentement des utilisateurs de son site internet au moyen de la seconde case à cocher ainsi que sur l’étendue de l’obligation d’information prévue à l’article 5, paragraphe 3, de la directive 2002/58, le Bundesgerichtshof a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :

1. Le consentement est-il valablement donné lorsque le stockage d’informations ou l’accès à des informations stockées dans l’équipement terminal de l’utilisateur est autorisé par une case cochée par défaut que l’utilisateur doit décocher pour refuser de donner son consentement ?
2. Quelles sont les informations que le fournisseur de service doit donner à l’utilisateur au titre de l’information claire et complète ? La durée de de fonctionnement des cookies et l’accès ou non de tiers aux cookies en font-ils partie ?

S’agissant de la première question, la CJUE a indiqué que le consentement à l’utilisation des cookies doit, selon le considérant 32 du RGPD, être un « acte positif ». Une case pré cochée n’est donc pas suffisante pour recueillir le consentement, peu important d’ailleurs que des données à caractère personnel soient, ou non, traitées par le biais des cookies.

S’agissant de la seconde question, la CJUE a indiqué que la durée de fonctionnement et la liste des destinataires, ou les catégories de destinataires, devaient faire partie de l’information à fournir aux utilisateurs :

« L’information sur la durée de fonctionnement des cookies doit être considérée comme répondant à l’exigence d’un traitement loyal des données prévue par ledit article [article 10 de la directive 95/46], en ce que, dans une situation telle que celle en cause au principal, une durée longue, voire illimitée, implique la collecte de nombreuses informations sur les habitudes de navigation et la fréquence des visites éventuelles de l’utilisateur sur les sites des partenaires publicitaires de l’organisateur du jeu promotionnel. »

« Quant à la possibilité ou non pour des tiers d’avoir accès aux cookies, il s’agit d’une information comprise dans les informations mentionnées à l‘article 10, sous c), de la directive 95/46, ainsi qu’à l’article 13, paragraphe 1, sous e), du règlement 2016/679, dès lors que ces dispositions mentionnent explicitement les destinataires ou les catégories de destinataires des données. »

Lien vers la décision :
http://curia.europa.eu/juris/document/document.jsf;jsessionid=B25E2F46B30685495E0DE31BD5E2B3F8?text=&docid=218462&pageIndex=0&doclang=fr&mode=lst&dir=&occ=first&part=1&cid=5228689

Publication de la liste des traitements non soumis à analyse d’impact

La CNIL a rendu une délibération N°2019-118 du 12 septembre 2019 portant adoption de la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données n’est pas requise.

L’analyse d’impact est une notion introduite par le RGPD, dont l’article 35 en impose la réalisation dans les cas suivants :

• l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire;
• le traitement à grande échelle de catégories particulières de données ou de données à caractère personnel relatives à des condamnations pénales et à des infractions ; ou
• la surveillance systématique à grande échelle d’une zone accessible au public.

Le Comité Européen de la Protection des Données (CEPD) avait dressé, dans ses lignes directrices d’avril 2017, une liste de 10 critères et avait considéré que le traitement devait nécessiter une analyse d’impact en présence de 2 de ces critères.

Le CEPD avait cependant affirmé que certains traitements, bien que réunissant 2 des 10 critères, pourraient, dans certains cas, être dispensés d’analyse d’impact, sous réserve que le responsable du traitement soit en mesure d’expliquer et de documenter sa décision.

De son côté, après avoir listé, dans une délibération du 11 octobre 2018, les opérations de traitement soumises à analyse d’impact, la CNIL a, dans sa délibération du 12 septembre 2019, dressé une liste des opérations de traitement non soumises à la réalisation de cette analyse.

Ainsi, la liste des opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données n’est pas, selon la CNIL, requise, est la suivante :

• traitements, mis en œuvre uniquement à des fins de ressources humaines et dans les conditions prévues par les textes applicables, pour la seule gestion du personnel des organismes qui emploient moins de 250 personnes, à l’exception du recours au profilage ;
• traitements de gestion de la relation fournisseurs ;
• traitements mis en œuvre dans les conditions prévues par les textes relatifs à la gestion du fichier électoral des communes ;
• traitements destinés à la gestion des activités des Comités d’entreprise et d’établissement ;
• traitements mis en œuvre par une association, une fondation ou toute autre institution sans but lucratif pour la gestion de ses membres et de ses donateurs dans le cadre de ses activités habituelles dès lors que les données ne sont pas sensibles ;
• traitements de données de santé nécessaires à la prise en charge d’un patient par un professionnel de santé exerçant à titre individuel au sein d’un cabinet médical, d’une officine de pharmacie ou d’un laboratoire de biologie médicale ;
• traitements mis en œuvre par les avocats dans le cadre de l’exercice de leur profession à titre individuel ;
• traitements mis en œuvre par les greffiers des tribunaux de commerce aux fins d’exercice de leur activité ;
• traitements mis en œuvre par les notaires aux fins d’exercice de leur activité notariale et de rédaction des documents des offices notariaux ;
• traitements mis en œuvre par les collectivités territoriales et les personnes morales de droit public et de droit privé aux fins de gérer les services en matière d’affaires scolaires, périscolaires et de la petite enfance ;
• traitements mis en œuvre aux seules fins de gestion des contrôles d’accès physiques et des horaires pour le calcul du temps de travail, en dehors de tout dispositif biométrique ; à l’exclusion des traitements des données qui révèlent des données sensibles ou à caractère hautement personnel ;
• traitements relatifs aux éthylotests, strictement encadrés par un texte et mis en œuvre dans le cadre d’activités de transport aux seules fins d’empêcher les conducteurs de conduire un véhicule sous l’influence de l’alcool ou de stupéfiants.

La CNIL précise que le responsable de l’un de ces traitements restera soumis à l’ensemble des autres obligations lui incombant au titre du RGPD :

« Si la présence d’une opération de traitement sur la présente liste dispense de réaliser une analyse d’impact, le responsable de traitement reste soumis à l’ensemble des autres obligations qui lui incombent en application du RGPD et de la loi du 6 janvier 1978. Notamment, le fait qu’une activité de traitement relève de cette liste ne signifie pas qu’un responsable de traitement est exempté des obligations énoncées à l’article 32 du RGPD en matière de sécurité du traitement. »

Lien vers la délibération :
https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000039248939&categorieLien=id

Les moteurs de recherche interdits de traiter des données « sensibles »

Le Conseil d’Etat (CE) a posé à la Cour de justice de l’Union européenne (CJUE) une série de questions préjudicielles portant sur le traitement de catégories particulières de données par l’exploitant d’un moteur de recherche. La CJUE, dans un arrêt du 24 septembre 2019 (affaire C-136/17), a apporté ses réponses.

Un certain nombre de particuliers avait demandé en vain à Google de déréférencer, parmi les résultats affichés par le moteur de recherche éponyme, divers liens menant vers des pages web publiées par des tiers.

Compte tenu du refus de Google de faire droit à leur demande, les requérants avaient saisi la CNIL, laquelle n’avait pas donné suite à ces plaintes.

Saisi par les requérants, le CE a décidé de surseoir à statuer et a posé à la CJUE les questions préjudicielles suivantes :

Question n°1

Dans sa première question, le CE a demandé à la CJUE « si les dispositions de l’article 8, paragraphes 1 et 5, de la directive 95/46 doivent être interprétées en ce sens que l’interdiction ou les restrictions relatives au traitement des catégories particulières de données à caractère personnel, visées par ces dispositions, s’appliquent, sous réserve des exceptions prévues par cette directive, également à l’exploitant d’un moteur de recherche dans le cadre de ses responsabilités, de ses compétences et de ses possibilités en tant que responsable du traitement effectué pour les besoins du fonctionnement de ce moteur ».

La CJUE, qui a relevé que l’article 8 de la directive 95/46 ne prévoyait aucune dérogation, a répondu que l’interdiction de traiter des catégories particulières de données à caractère personnel s’appliquait bien, « sous réserve des exceptions prévues par la directive, à l’exploitant d’un moteur de recherche dans le cadre de ses responsabilités, de ces compétences et de ses possibilités en tant que responsable du traitement effectué lors de l’activité de ce moteur, à l’occasion d’une vérification opérée par cet exploitant, sous le contrôle des autorités nationales compétentes, à la suite d’une demande introduite par la personne concernée ».

Question n°2

La seconde question posée par le CE consistait en une série de questions, dont la première était :

« Les dispositions de l’article 8, paragraphes 1 et 5, de la directive 95/46 doivent-elles être interprétées en ce sens que l’interdiction ainsi faite, sous réserve des exceptions prévues par cette directive, à l’exploitant d’un moteur de recherche de traiter des données relevant de ces dispositions l’obligerait à faire systématiquement droit aux demandes de déréférencement portant sur des liens menant vers des pages web qui traitent de telles données ? »

Selon la CJUE, « les dispositions de l’article 8, paragraphe 1 et 5, de la directive 95/46 doivent être interprétées en ce sens que, en vertu de celles-ci, l’exploitant d’un moteur de recherche est en principe obligé, sous réserve des exceptions prévues par cette directive, de faire droit aux demandes de déréférencement portant sur des liens menant vers des pages web sur lesquelles figurent des données à caractère personnel qui relèvent des catégories particulières visées par ces dispositions ».

Le CE a également posé la question suivante, portant sur les exceptions à l’interdiction posée par l’article 8 :

« Dans une telle perspective, comment s’interprètent les exceptions prévues à l’article 8 […] lorsqu’elles s’appliquent à l’exploitant d’un moteur de recherche, eu égard à ses responsabilités, ses compétences et ses possibilités spécifiques ? En particulier, un tel exploitant peut-il refuser de faire droit à une demande de déréférencement lorsqu’il constate que les liens en cause mènent vers des contenus qui, s’ils comportent des données relevant des catégories énumérées au paragraphe 1 de l’article 8, entrent également dans le champs des exceptions prévues par le paragraphe 2 de ce même article, notamment [les points a) et e) de ce paragraphe ? »

La CJUE a indiqué, au sujet du consentement, qui doit être spécifique à l’activité de référencement du moteur de recherche : « il est, en pratique, difficilement envisageable, et il ne ressort, du reste, pas du dossier soumis à la Cour, que l’exploitant d’un moteur de recherche sollicite le consentement explicite des personnes concernées avant de procéder, pour les besoins de son activité de référencement, au traitement des données à caractère personnel les concernant. En tout état de cause […], le fait même qu’une personne formule une demande de référencement signifie, en principe, que, à tout le moins à la date de cette demande, elle ne consent plus au traitement effectué par l’exploitant du moteur de recherche ».

A l’inverse, le fait que la personne concernée ait elle-même rendu les données publiques « a vocation à s’appliquer tout autant à l’exploitant du moteur de recherche qu’à l’éditeur de la page web en question ».

La CJUE a ainsi répondu : « un tel exploitant peut refuser de faire droit à une demande de déréférencement lorsqu’il constate que les liens en cause mènent vers des contenus comportant des données à caractère personnel qui relèvent des catégories particulières visées par cet article 8, paragraphe 1, mais dont le traitement est couvert par l’exception prévue audit article 8, paragraphe 2, sous e), à conditions que ce traitement répondent à l’ensemble des autres conditions de licéité posées par cette directive et à moins que la personne concernée n’ait, en vertu de l’article 14, premier alinéa, sous a), de ladite directive, le droit de s’opposer audit traitement pour des raisons prépondérantes et légitimes tenant à sa situation particulière ».

Le CE a également posé la question suivante :

«Les dispositions de la directive 95/46 doivent-elles être interprétées en ce sens que, lorsque les liens dont le déréférencement est demandé mènent vers des traitements de données à caractère personnel effectués aux seules fins de journalisme ou d’expression artistique ou littéraire qui, à ce titre, en vertu de l’article 9 de la directive 95/46, peuvent collecter et traiter des données relevant des catégories mentionnées à l’article 8, paragraphes 1 et 5, de cette directive, l’exploitant d’un moteur de recherche peut, pour ce motif, refuser de faire droit à une demande de déréférencement ?»

La CJUE a répondu que l’exploitant d’un moteur de recherche saisi d’une demande de déréférencement portant sur un lien vers une page web sur laquelle des données à caractère personnel relevant des catégories particulières visées à l’articles 8, paragraphe 1 ou 5, de cette directive sont publiées, devait « sur la base de tous les éléments pertinents du cas d’espèce et compte tenu de la gravité de l’ingérence dans les droits fondamentaux de la personne concernée au respect de la vie privée et à la protection des données à caractère personne, consacrés aux articles 7 et 8 de la charte des droits fondamentaux de l’Union européenne, vérifier, au titre des motifs d’intérêt public important visés à l’article 8, paragraphe 4, de ladite directive et dans le respect des conditions prévues à cette dernière disposition, si l’inclusion de ce lien dans la liste des résultats, qui est affichée à la suite d’une recherche effectuée à partir du nom de cette personne, s’avère strictement nécessaire pour protéger la liberté d’information des internautes potentiellement intéressés à avoir accès à cette page web au moyen d’une telle recherche, consacrée à l’article 11 de cette charte ».

Lien vers la décision :
http://curia.europa.eu/juris/document/document.jsf?text=&docid=218106&pageIndex=0&doclang=fr&mode=req&dir=&occ=first&part=1&cid=903374