CONTACT

Conformité RGPD – Lettre d’actualité numéro 22

05 mars 2020 | Derriennic Associés |

Télécharger

Madame, Monsieur,

Nous vous proposons, en ce mois de mars 2020, de découvrir les actualités suivantes :

  • Conservation des données liées à la carte SIM : une atteinte justifiée et proportionnée à la vie privée ;
  • Droit d’accès : la RATP perd les données, la CNIL classe la plainte ;
  • Compteurs LINKY : la CNIL met en demeure ENGIE et EDF ;
  • Italie : 27 millions d’euros pour un opérateur de téléphonie mobile.

Nous vous en souhaitons une bonne lecture.

Conservation des données liées à la carte SIM : une atteinte justifiée et proportionnée à la vie privée

La Cour européenne des droits de l’homme a affirmé, dans un arrêt du 30 janvier 2020, que la conservation des données personnelles des utilisateurs de cartes SIM prépayées par les opérateurs de téléphonie mobile n’emporte pas violation du droit à la vie privée. 

La loi allemande sur les télécommunications impose aux opérateurs de téléphonie mobile de recueillir et de conserver des données personnelles (nom, prénom, adresse, date de naissance, etc.) relatives à leurs clients, y compris les utilisateurs de cartes SIM prépayées. Voyant dans ces dispositions une atteinte disproportionnée à leur vie privée, deux ressortissants allemands ont introduit une action devant la Cour constitutionnelle fédérale allemande, qui a estimé que les dispositions en cause étaient justifiées et proportionnées. Les deux particuliers ont intenté un recours devant la CEDH.

Dans cette décision du 30 janvier 2020, la CEDH a considéré que cette obligation légale imposant aux opérateurs de conserver les données à caractère personnel de leurs utilisateurs ne constitue pas une violation de l’article 8 de la Convention, protégeant le droit au respect de la vie privée des individus. En effet, les juges ont accueilli l’argumentaire de l’Etat allemand selon lequel la loi litigieuse (i) poursuit un but légitime de protection de la sécurité nationale, et (ii) constitue certes une atteinte à la vie privée de ses citoyens, mais que celle-ci est justifiée et proportionnée.

S’agissant de la poursuite d’un but légitime de protection de la sécurité nationale, la Cour a rappelé que les autorités nationales jouissent d’une certaine marge d’appréciation dans le choix des moyens permettant d’atteindre l’objectif légitime de protection de la sécurité nationale. Or, en l’espèce, les juges ont estimé que l’Allemagne n’avait pas enfreint sa marge de manœuvre en poursuivant les buts de sécurité nationale et de lutte contre les infractions pénales.

Ces objectifs apparaissent comme légitimes en ce qu’ils sont liés à la sûreté publique, la défense de l’ordre, la prévention des infractions pénales et la protection des droits d’autrui. En effet, les cartes SIM prépayées sont souvent utilisées par les délinquants en matière de criminalité organisée et de terrorisme car elles sont plus discrètes que les lignes de téléphone permanentes. Face à ces considérations, la Cour a estimé que cette ingérence était nécessaire car, de nos jours, les méthodes d’enquête doivent s’adapter aux moyens de communication modernes pour prévenir efficacement les infractions.

S’agissant de la proportionnalité de l’atteinte à la vie privée des citoyens, la Cour a considéré, après avoir mis en balance le droit à la vie privée des individus et les différents objectifs d’intérêt général évoqués, qu’un juste équilibre était respecté. En effet, les juges ont tenu compte des différentes garanties présentes dans la loi allemande, considérant ainsi que celle-ci est conforme aux exigences de la Convention.

Ils ont notamment relevé que les données recueillies étaient limitées de sorte à ne pas être trop personnelles (numéro de téléphone, nom, prénom, adresse et date de naissance), et ne permettre qu’une identification de l’utilisateur, et ce sur une période définie et limitée. En outre, les utilisateurs disposent de moyens de recours et de garanties effectives en cas d’abus, la loi énumérant par exemple de façon limitative les autorités habilitées à demander accès aux données collectées. Il existe donc des garde-fous juridiques suffisants.

Ainsi, après avoir rappelé que la protection des données personnelles relatives aux abonnés joue un rôle fondamental dans l’exercice du droit au respect de la vie privée, de sorte que toute utilisation de ces données ne doit pas être contraire aux garanties de l’article 8 de la Convention, la Cour a estimé que l’ingérence de l’Etat dans la vie privée des citoyens était conforme aux exigences de la Convention.

Lien vers la décision : ici

Droit d’accès : la RATP perd les données, la CNIL classe la plainte

Dans un arrêt du 12 février 2020, le Conseil d’Etat a rejeté la requête en annulation d’une décision de la CNIL, par laquelle elle avait classé la plainte d’un ancien salarié de la RATP concernant son droit d’accès.

Dans un arrêt du 12 février 2020, le Conseil d’Etat a rejeté la requête en annulation d’une décision de la CNIL, par laquelle elle avait classé la plainte d’un ancien salarié de la RATP concernant son droit d’accès.

Un ancien employé de la RATP avait formulé, le 10 janvier 2018, une demande d’accès à ses bulletins mensuels de pointage et ses fiches de paie auprès de son ancien employeur.

La RATP avait fait partiellement droit à la demande, indiquant au salarié que les bulletins mensuels de pointage antérieurs à juin 2009 n’étaient pas communicables car conservés sur des microfiches et qu’il manquait le bulletin mensuel de pointage du mois d’octobre 2011.

L’ancien employé, insatisfait de cette réponse, avait formulé une plainte auprès de la CNIL. Cette dernière est entrée en contact avec la RATP afin d’obtenir le reliquat des documents dont le salarié souhaitant obtenir la communication.

Saisie par la CNIL, la RATP a communiqué certains de ces documents. Toutefois, d’autres documents concernés par les demandes d’accès, parfois anciens n’ont, selon les mots de la RATP, « pas pu être retrouvés sans qu’une explication satisfaisante puisse être fournie au demandeur ».

Malgré cette réponse, la CNIL a décidé de clore la plainte.

Le particulier a demandé l’annulation de cette décision pour excès de pouvoir devant le Conseil d’Etat. La Haute juridiction  n’a pas fait droit à cette demande, estimant que la CNIL avait mené une instruction dont le caractère partial n’était pas établi et au terme de laquelle le requérant avait été à même d’exercer son droit d’accès.

Ainsi, le Conseil d’Etat n’a pas annulé la décision de la CNIL, malgré l’absence d’explication de la RATP quant aux documents manquants.

Lien vers la décision : ici

Compteurs LINKY : la CNIL met en demeure ENGIE et EDF 

Par deux décisions du 31 décembre 2019 et du 10 février 2020, rendues publiques le 11 février dernier, la Présidente de la CNIL a mis en demeure les sociétés ENGIE et EDF, du fait du non-respect de certaines exigences relatives au recueil du consentement et d’une durée de conservation excessive des données de consommation issues des compteurs communicants « LINKY ». 

La CNIL a mené deux contrôles sur place chez EDF et ENGIE, entre les mois de février et mai 2019, afin de contrôler la conformité des traitements de données personnelles mis en œuvre par ces sociétés.

La CNIL a, au cours de ces contrôles, constaté plusieurs manquements relatifs :

  • D’une part, aux modalités de recueil du consentement des abonnés pour la collecte des données de consommation desdites données ; et
  • D’autre part, aux durées de conservation au regard des finalités pour lesquelles elles sont traitées.

S’agissant des modalités de recueil du consentement des personnes concernées, la CNIL a constaté que :

  • En ce qui concerne EDF, une seule case à cocher permettait de recueillir le consentement de l’abonné pour trois finalités distinctes: l’affichage dans l’espace client des consommations quotidiennes, l’affichage des consommations à la demi-heure et l’affichage de conseils personnalisés pour aider les abonnés à maîtriser leur consommation d’électricité.
  • En ce qui concerne ENGIE, une seule case à cocher permettait de recueillir le consentement de l’abonné pour deux finalités distinctes : l’affichage dans l’espace client des consommations quotidiennes et l’affichage des consommations à la demi-heure.

Par conséquent, estimant que le consentement des abonnés n’était ni spécifique ni éclairé, la CNIL a mis en demeure les deux sociétés de recueillir un consentement valide au sens du RGPD, « par exemple, en mettant en place une case à cocher pour chaque opération de traitement et, à défaut, supprimer lesdites données collectées ».

S’agissant des durées de conservation des données personnelles, la CNIL a constaté que :

  • En ce qui concerne EDF, les données de consommations quotidiennes et à la demi-heure étaient conservées en base active jusqu’à cinq ans après la résiliation du contrat, sans qu’il soit procédé à un archivage intermédiaire.

Par ailleurs, la CNIL a relevé que les données de consommation fines (à la demi-heure) n’étaient pas nécessaires pour établir la facturation de l’électricité consommée, qui présente un caractère mensuel.

De plus, la CNIL a rappelé que l’obligation des fournisseurs d’électricité de conserver l’historique de la consommation des clients est limitée à une durée de trois ans suivant la date de recueil de leur consentement.

  • En ce qui concerne ENGIE, les coordonnées du client et les données nécessaires à l’exécution du contrat (dont les données de consommation mensuelles) étaient conservées en base active jusqu’à trois ans après la résiliation du contrat, puis archivées en base intermédiaire pendant huit ans.

Or, la CNIL a relevé que la conservation des données de consommation pendant trois ans à l’issue de la résiliation du contrat ne pouvait être justifiée (i) ni par les besoins de la prospection commerciale puisque ces données n’étaient pas nécessaires à cette finalité ; (ii) ni par la mise à disposition de ces données dans l’espace client de l’abonné, puisque ces données n’étaient effectivement mises à sa disposition que pour une durée d’un an à l’issue de la résiliation du contrat.

Dans ces conditions, la CNIL a estimé que les durées de conservations des données étaient excessives et, a donc mis en demeure EDF et ENGIE de « définir et mettre en œuvre une politique de conservation des données qui n’excède pas la durée nécessaire aux finalités pour lesquelles ces données sont collectées et, au besoin, purger les données non conformes à cette politique de durée de conservation ».

La CNIL a accordé aux deux sociétés un délai de trois mois pour se mettre en conformité.

Liens des décisions :

EDF : ici

ENGIE : ici

Italie : 27 millions d’euros pour un opérateur de téléphonie mobile

L’autorité de contrôle italienne a infligé une amende de 27 802 946 € à un opérateur de téléphonie mobile, en raison des manquements commis lors d’opérations de prospection commerciale. 

L’autorité de contrôle italienne a infligé une amende de 27 802 946 € à un opérateur de téléphonie mobile, en raison des manquements commis lors d’opérations de prospection commerciale.

L’autorité de contrôle italienne (GPDP) a reçu des centaines de plaintes relatives à la réception d’appels promotionnels non sollicités émanant de la société Tim, deuxième opérateur de téléphonie mobile italien. Ces sollicitations avaient lieu sans le consentement des personnes concernées, malgré leur inscription sur la liste des personnes ne souhaitant pas être contactées, ou encore malgré que ces personnes aient manifesté leur volonté de ne plus être contactées.

A la suite d’une enquête, l’autorité de contrôle a mis en lumière de nombreux manquements à la législation applicable en matière de protection des données à caractère personnel :

  • une personne aurait été appelée 155 fois au cours d’un seul mois ;
  • 200.000 personnes appelées ne figureraient pas sur la liste de contacts de Tim ;
  • Tim n’aurait pas exercé pas un contrôle suffisant sur le fonctionnement de certains de ses centres d’appel ;
  • Tim n’aurait pas mis à jour correctement les « listes noires » où sont inscrites les personnes ne souhaitant pas recevoir d’appel ;
  • les listes noires de Tim et celles des centres d’appel auraient présenté des décalages ;
  • la possibilité de pouvoir adhérer à un programme offrant des rabais et des prix aurait été subordonné à un consentement à recevoir des appels à des fins de prospection.

L’autorité de contrôle italienne a, en conséquence, prononcé une amende de 27 802 946 € à l’encontre de Tim, et lui aurait imposé 20 mesures correctives.

Il s’agit là du second montant le plus important prononcé à titre d’amende par une autorité de contrôle européenne, derrière l’amende de 50 000 000 € infligée à GOOGLE par la CNIL.

Liens de la publication : ici