L’arrêt du Tribunal de l’Union européenne du 26 avril 2023[1], en optant pour une approche subjective de la pseudonymisation des données, tend à restreindre de façon très importante l’application du droit de la protection des données à caractère personnel.

Pourtant, comme nous allons le voir, il n’est pas encore certain qu’il faille donner à cette décision les atours d’une révolution.

I – L’approche subjective de la pseudonymisation par le Tribunal

La décision du Tribunal concerne une affaire opposant le Conseil de résolution unique (CRU) au Contrôleur européen de la protection des données (CEPD).

Le CRU avait mis en place en 2018 une procédure permettant à des actionnaires de Banco Popular d’être entendus à la suite d’une procédure d’insolvabilité les ayant potentiellement lésés.

Ce droit d’être entendu a été mis en œuvre en suivant deux étapes : une phase d’inscription tout d’abord, au cours de laquelle les actionnaires pouvaient faire part de leur intérêt à participer. Après vérification par le CRU de la qualité d’actionnaires des personnes inscrites, s’ouvrait une phase de consultation offrant la possibilité aux actionnaires de commenter la décision de valorisation litigieuse.

Une fois les commentaires collectés, le CRU les a analysés et a demandé à Deloitte, en qualité d’évaluateur indépendant, d’évaluer les commentaires pertinents relatifs à la valorisation litigieuse.

Seuls les commentaires ont été transmis à Deloitte, accompagnés pour chacun d’eux d’un code alphanumérique. Ce code permettait au CRU de relier les commentaires aux données identifiantes reçues lors de la phase d’inscription. Deloitte de son côté n’avait pas accès à la base de données collectées lors de la phase d’inscription.

En 2019, cinq réclamations sont portées devant le CEPD en raison de l’absence d’information des actionnaires ayant répondu au questionnaire concernant la transmission de leurs commentaires par le CRU à Deloitte notamment.

Pour sa défense, le CRU a fait valoir devant le CEPD que les données communiquées à Deloitte ne seraient pas des données à caractère personnel et partant que la règlementation relative à la protection des données à caractère personnel ne s’appliquait pas.

Cette argumentation n’est pas suivie par le CEPD pour lequel « les données que le CRU a partagées avec Deloitte étaient des données à caractère personnel »[2] car le CRU partageait le code alphanumérique permettant de relier les réponses reçues lors de la phase d’inscription aux commentaires reçus lors de la phase de consultation, bien que les données fournies par les participants pour s’identifier lors de la phase d’inscription n’aient pas été communiquées à Deloitte. Deloitte répondait donc bien à la qualification de destinataire dont l’identité aurait dû être communiquée aux personnes intéressées.

C’est cette décision du CEPD qui est attaquée par le CRU devant le TUE.

Le point majeur de la discussion devant le Tribunal concerne la définition des données à caractère personnel.

Le Tribunal rappelle tout d’abord, conformément à la définition que l’on retrouve tant à l’article 4 du Règlement Général sur la Protection des Données[3] (RGPD) qu’à l’article 3 du Règlement 2018/1725[4], qu’une information constitue une donnée à caractère personnel, notamment, si deux conditions cumulatives sont réunies, à savoir :

  •  que cette information « se rapporte » à une personne physique et,
  •  que cette personne soit « identifiée ou identifiable ».

La discussion porte tout d’abord sur les commentaires en tant que tels transmis par le CRU à Deloitte.

Pour le CRU, ces commentaires ne sont pas des données à caractère personnel, ces informations étant « factuelles et juridiques » et « indépendantes des personnes ou des qualités personnelles des réclamants et sans rapport avec leur vie privée »[5]. Pour le CEPD à l’inverse, ces commentaires relèvent de la catégorie des données à caractère personnel, car les réponses des personnes concernées « contenaient et reflétaient leur point de vue personnel »[6].

Le Tribunal s’appuie sur l’appréciation de la Cour, notamment au sein de l’arrêt Nowak[7] pour indiquer que pour qualifier un point de vue de donnée à caractère personnel il convient de s’appuyer « sur l’examen visant à déterminer si, par son contenu, sa finalité ou son effet, un point de vue est lié à une personne déterminée »[8].

Au regard de ces éléments, le Tribunal reproche au CEPD de n’avoir examiné « ni le contenu, ni la finalité, ni l’effet des informations transmises à Deloitte ». Partant, le CEPD ne pouvait conclure que les informations transmises à Deloitte constituaient des informations « se rapportant » à une personne physique.

Le second point discuté concerne la question de savoir si les commentaires transmis à Deloitte par le CRU se rapportent à une personne physique « identifiée ou identifiable ».

Pour le CRU, la communication du code alphanumérique à Deloitte n’a pas conduit à transmettre des données seulement pseudonymisées mais bien anonymisées dans la mesure où le CRU n’a pas partagé avec Deloitte les informations permettant de réidentifier les auteurs des commentaires. Deloitte n’aurait pas eu de moyens légaux d’accéder aux informations supplémentaires d’identification et il n’y aurait donc pas de possibilité raisonnable de combinaison des informations permettant à Deloitte de donner une identité aux codes alphanumériques transmis. Le risque de réidentification étant insignifiant, les informations transmises à Deloitte ne relèvent pas de la catégorie des données à caractère personnel.

A l’inverse, le CEPD soutient qu’à partir du moment où un tiers détient la correspondance entre un code et une identité, les données sont « indirectement » identifiantes et doivent être considérées comme pseudonymisées et non anonymisées. Le CEPD complète sa réponse en précisant que le règlement 2018/1725 n’opérait pas de distinction entre les organismes qui conservaient les données pseudonymisées et ceux qui détenaient les informations supplémentaires et que le fait qu’il s’agissait d’entités différentes n’avait pas pour effet de rendre anonymes les données pour l’entité non détentrice des informations supplémentaires.

Pour se positionner sur ce point, le Tribunal s’appuie sur l’arrêt Breyer de la CJUE, du 19 octobre 2016 concernant la question de savoir si une adresse IP dynamique pouvait être qualifiée de données à caractère personnel pour un site internet alors que seuls l’accès à des informations détenues par le fournisseur d’accès à Internet (FAI) pouvait lui permettre d’identifier à qui appartenait l’adresse IP[9]. Conformément au considérant 26 de la directive, la Cour précise que le fait que les informations permettant l’identification soient détenues par des personnes différentes n’empêche pas la qualification de données à caractère personnel. Néanmoins, la Cour estime qu’une analyse est nécessaire afin de déterminer si la possibilité de combiner l’information détenue avec les informations supplémentaires détenues par un tiers constitue un « moyen susceptible d’être raisonnablement mis en œuvre pour identifier la personne concernée ». Tel ne serait pas le cas si l’identification de la personne concernée était interdite par la loi ou irréalisable en pratique, par exemple en raison du fait qu’elle impliquerait un effort démesuré en termes de temps, de coût et de main-d’œuvre, de sorte que le risque d’une identification paraît en réalité insignifiant.   

Dans l’arrêt Nowak, la Cour avait conclu à la qualification de données à caractère personnel car un site internet dispose de moyens légaux lui permettant de faire identifier la personne concernée grâce aux informations supplémentaires détenues par le FAI.

A la lumière de cette décision de la Cour, le Tribunal précise que « pour déterminer si les informations transmises à Deloitte constituaient des données à caractère personnel, il convient de se placer du point de vue de ce dernier pour déterminer si les informations qui lui ont été transmises se rapportent à des « personnes identifiables »[10].

Le Tribunal considère que le CEPD aurait donc dû examiner si les commentaires transmis à Deloitte constituaient, à l’égard de celui-ci, des données à caractère personnel, et pour cela si la réidentification était raisonnablement possible. N’ayant pas recherché si Deloitte disposait de moyens légaux et réalisables en pratique lui permettant d’accéder aux informations supplémentaires nécessaires à la réidentification des auteurs des commentaires, le CEPD ne pouvait conclure que les informations transmises à Deloitte constituaient des informations se rapportant à « une personne physique identifiable ».

La décision du CEPD est donc annulée.

II – Constats et interrogations

Le point qui fera l’objet ici d’un commentaire est le second point de l’analyse du TUE relatif au caractère identifié ou identifiable des personnes dont Deloitte disposait des commentaires.

Si l’analyse du TUE concernant ce point devait perdurer, son impact sur le droit de la protection des données serait fondamental. En effet, cette approche étend la notion de l’anonymisation et réduit d’autant celle de pseudonymisation. En prescrivant la réalisation d’une analyse du caractère identifiable des personnes concernées du côté du détenteur des informations, ces deux notions revêtent un caractère purement subjectif. Des données pourraient être pseudonymisées pour un responsable de traitement, mais anonymisées pour un destinataire dès lors que ce dernier ne détiendrait pas les informations permettant d’identifier les personnes concernées et ne disposerait pas « de moyens légaux et réalisables en pratique » d’accéder à ces informations. Si le caractère subjectif et donc fluctuant de ces notions devait être consacré, l’applicabilité du droit de la protection des données à caractère personnel en serait diminuée. En effet, à partir du moment où les données sont anonymisées, le cadre juridique visant à protéger les données à caractère personnel n’est plus applicable. Ainsi, par exemple, dans une relation où un responsable de traitement transmet des données pseudonymisées à un tiers, sans moyen pour ce tiers de réidentifier les personnes concernées, ces données deviendraient anonymisées pour ce tiers. Il n’y aurait plus de nécessité de qualifier ce destinataire au regard du RGPD. Ce tiers ne serait pas soumis à l’ensemble des obligations du RGPD pour les données transmises, notamment concernant leur sécurité. Ce raisonnement permettrait par ailleurs de contourner un bon nombre de difficultés concernant les transferts de données hors de l’UE dès lors que l’on peut prouver que ce destinataire hors UE ne dispose pas de moyens réalisables en pratique d’accéder aux informations identifiantes.

Pour autant, avant de crier à la révolution, plusieurs points méritent d’être relevés.

En premier lieu, le Tribunal reproche au CEPD de ne pas avoir appliqué le raisonnement développé par la CJUE dans son arrêt Breyer. Le Tribunal ne conclut pas pour autant que le raisonnement aurait nécessairement conduit à considérer que la réidentification n’était pas envisageable. Si l’on reprend les termes de l’arrêt Breyer, celui-ci précise que pour vérifier si l’identification de la personne est possible ou non, il convient de vérifier si l’identification concernée était interdite par la loi ou irréalisable en pratique, « par exemple en raison du fait qu’elle impliquerait un effort démesuré en termes de temps, de coût et de main-d’œuvre, de sorte que le risque d’une identification paraît en réalité insignifiant ». La Cour dans l’arrêt Breyer conclut d’ailleurs à la possibilité de réidentifier les adresses IP par le détenteur d’un site internet dès lors que celui-ci dispose d’un moyen légal de demander au fournisseur d’accès à internet les informations permettant d’identifier l’adresse IP.

A notre connaissance, aucune décision n’a encore été adoptée montrant que des données pseudonymisées pour une partie devraient être considérées comme anonymisées pour une autre. Au regard de la liste des critères indiqués ci-dessus le raisonnement ne doit pas s’arrêter uniquement à une possibilité légale, mais doit également prendre en considération des possibilités pratiques de simples échanges d’information entre partenaires à partir du moment où aucun texte n’empêche cet échange. Si l’analyse devait être confirmée, d’autres décisions seraient nécessaires pour évaluer à partir de quel stade on peut considérer n’avoir aucun moyen significatif de réidentifier les données.

En second lieu, le raisonnement suivi par le Tribunal prend appui sur un arrêt de la Cour datant de 2016, antérieur donc à l’entrée en application du RGPD et du Règlement 2018/1725. La Cour avait alors fait une application de la Directive 95/46[11] applicable à l’époque. Or, parmi les évolutions de ces Règlements par rapport à la Directive précitée, se trouve la définition du terme « pseudonymisation ». La pseudonymisation est « le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable ». La définition n’indique pas que la pseudonymisation dépend de la possibilité pour le détenteur d’accéder aux informations. On pourrait regretter que la définition ne soit pas plus précise en consacrant explicitement l’interprétation de l’arrêt Breyer ou en y mettant fin. Néanmoins, cette définition est à lire également à la lumière du considérant 26 du RGPD : « Les données à caractère personnel qui ont fait l’objet d’une pseudonymisation et qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires devraient être considérées comme des informations concernant une personne physique identifiable ». Le considérant 26 ne précise pas que la pseudonymisation dépend de la possibilité d’accéder à ces informations supplémentaires.

La création de la pseudonymisation n’a pour seul intérêt que de pouvoir être opposée à l’anonymisation. C’est tout le sens que l’on peut trouver au considérant 26 lorsqu’il précise que des données pseudonymisées « devraient être considérées comme des informations concernant une personne physique identifiable ». Quitte à appliquer l’arrêt Breyer, on peut regretter que le Tribunal n’ait fait aucune allusion à l’article 4 ni au considérant 26 du RGPD (considérant 16 du Règlement 2018/1725) ne serait-ce que pour indiquer que, selon lui, cela ne change rien à l’analyse qui précédait l’adoption des Règlements.

Ces différents éléments laissent à penser que la CJUE, saisie d’un cas identique, pourrait appliquer un raisonnement différent en consacrant le caractère objectif de la notion de pseudonymisation telle qu’elle semble ressortir du considérant 26 du RGPD. Dans un arrêt récent du 2 mars 2023, la CJUE évoque d’ailleurs la pseudonymisation en ces termes : « (…) il convient de préciser qu’il découle de l’article 4, point 5, du RGPD, lu en combinaison avec le considérant 26 de ce règlement, que les données à caractère personnel qui ont fait l’objet d’une pseudonymisation et qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires devraient être considérées comme des informations concernant une personne physique identifiable, auxquelles s’appliquent les principes relatifs à la protection des données »[12]. Cet arrêt qui répondait à deux questions préjudicielles traitait notamment la question de la transmission par le juge à un tiers de document contenant des données à caractère personnel dans le cadre d’une procédure judiciaire. Au point 57 précité, la Cour n’évoque pas la possibilité que la pseudonymisation dépende de l’accès aux informations identifiantes par le détenteur des données et ne fait aucunement référence à l’arrêt Breyer.

En troisième et dernier lieu, si l’interprétation de l’arrêt Breyer devait prospérer et survivre au RGPD c’est une partie importante de l’effet utile de ce Règlement qui serait mise à mal. Pour rappel, c’est l’évolution rapide des technologies qui a rendu nécessaire l’adoption de ce texte. Comme l’indique le considérant 7, les technologies « requièrent un cadre de protection des données solide et plus cohérent dans l’Union, assorti d’une application rigoureuse des règles (…). La sécurité tant juridique que pratique devrait être renforcée pour les personnes physiques, les opérateurs économiques et les autorités publiques ».

La sécurité juridique et pratique des données est l’enjeu central du RGPD. Or, des données simplement pseudonymisées peuvent par des moyens détournés permettre une réidentification de la personne concernée. Prendre en compte uniquement les moyens offerts au détenteur des données pour réaliser cette réidentification revient à affaiblir la sécurité des données. En effet, si le détenteur n’a pas les moyens de procéder à une réidentification, il peut en aller différemment pour un pirate informatique qui détiendrait les informations ou d’autres informations permettant cette réidentification.

C’est pour préserver l’effet utile de ce texte que la notion de pseudonymisation y a été consacrée et qu’à notre sens celle-ci ne peut être qu’objective et en aucun cas subjective si l’on souhaite que la protection des données soient conservée. Il reviendra à la CJUE, saisie d’une telle question, de consacrer ou non cette interprétation du considérant 26 du RGPD et de considérer ainsi que des données pseudonymisées pour un détenteur conservent leur caractère pseudonymisé pour un autre détenteur même si ce dernier n’a aucun moyen d’accéder aux informations permettant la réidentification des données à caractère personnel.

Hubert de Segonzac, Avocat associé et DPO externe


[1] TUE, 26 avril 2023, T-557/20, Conseil de Résolution Unique c/ Contrôleur européen de la protection des données.

[2] Pt. 83.

[3] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE

[4] Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n° 45/2001 et la décision n° 1247/2002/CE (Texte présentant de l’intérêt pour l’EEE.)

[5] Pt. 60.

[6] Pt. 61.

[7] CJUE, 20/12/2017, Nowak, C-434/16.

[8] Pt. 73.

[9] CJUE, 19/10/2016, Breyer, C-582/14.

[10] Pt. 97.

[11] Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

[12] CJUE, 02/03/2023, Norra, C-268/21, pt. 57

Le règlement général sur la protection des données[1], qui est entré en application le 25 mai 2018, est construit autour de deux concepts, l’accountability et le privacy by design. A la logique de la directive de 1995[2] qui était principalement tournée vers un mécanisme de formalisme fait de déclarations des traitements à l’autorité de contrôle compétente, la CNIL en France, le RGPD préfère une logique davantage tournée vers la responsabilité des acteurs. Pour ce faire, l’étape de l’analyse d’impact avant la mise en œuvre d’un traitement prend une connotation particulière. En effet, comme l’indique le guide de la CNIL intitulé « Analyse d’impact relative à la protection des données personnelles, PIA (Privacy Impact Assessment), la méthode »[3], maîtriser la bonne méthode pour la réalisation d’une étude d’impact permet à la fois de répondre aux exigences de l’accountability, c’est-à-dire à l’obligation pour le responsable de traitement de pouvoir justifier de la démarche de conformité mise en place, et de la privacy by design, c’est-à-dire la mise en place de solutions répondant dès leur conception aux exigences de protection des données personnelles.

L’analyse d’impact dans le RGPD

L’article 35 du RGPD vient préciser quand l’analyse d’impact doit être mise en place, en donnant des indices liés au type de traitement, à sa nature, à sa portée et au contexte dans lequel il se situe ainsi qu’à ses finalités. Si, au regard de ces différents éléments, les risques pour les droits et libertés des personnes concernées par le traitement sont élevés, le règlement impose qu’une analyse d’impact soit réalisée avant la mise en œuvre du traitement, même si, en pratique, il n’est pas rare de réaliser une telle analyse postérieurement. Cette description étant peu précise et donc sujette à diverses interprétations, l’article 35.3 du règlement liste une série de trois cas pour lesquels l’analyse d’impact est requise (évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques fondée sur un traitement automatisé ;  traitement à grande échelle de catégories de données visées à l’article 9, paragraphe 1 (données sensibles), ou de données visées à l’article 10 ; surveillance systématique à grande échelle d’une zone accessible au public).

En plus de ces cas, des précisions ont été apportées par la CNIL et l’ancien Groupe de Travail « article 29 »[4]. En effet, une analyse d’impact doit obligatoirement être menée :

  • si le traitement envisagé figure dans la liste des opérations de traitement pour lesquelles la CNIL a estimé qu’une analyse d’impact devait être réalisé[5];
  • ou si le traitement remplit au moins deux des neufs critères issus des lignes directrices du Groupe de Travail « Article 29 »[6]:

Omettre une analyse d’impact alors que, pour la CNIL, une telle analyse aurait dû être réalisée entraînera un risque très important, à la fois de sanction et d’investissements supplémentaires pour la révision complète de l’outil déjà développé. On pense particulièrement aux sous-traitants, qui risquent de perdre la totalité de leur clientèle si le service qu’ils proposent n’a pas donné lieu à une analyse d’impact alors même qu’une telle analyse s’imposait.

Comment mener une analyse d’impact ?

Une grande liberté est laissée au responsable du traitement, accompagné de son DPO le cas échéant, pour mener cette analyse. Le RGPD précise dans ses considérants que « cette analyse d’impact devrait comprendre, notamment, les mesures, garanties et mécanismes envisagés pour atténuer ce risque, assurer la protection des données à caractère personnel et démontrer le respect du présent règlement »[7]. L’article 35.7 du RGPD indique ce qu’elle doit comporter a minima : une description des opérations de traitement envisagées et des finalités du traitement, y compris le cas échéant l’intérêt légitime poursuivi par le responsable du traitement, une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard de leurs finalités, une évaluation des risques pour les droits et libertés des personnes concernées et enfin les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du règlement.

Face au texte relativement lacunaire du RGPD, le responsable de traitement peut se tourner vers les outils mis à sa disposition par la CNIL. Il s’agit notamment de trois guides tels qu’une méthode[8], des modèles utiles pour formaliser l’étude d’impact[9] et des « bases de connaissance »[10]qui constituent un catalogue de mesures destinées à respecter les exigences légales L’autorité de contrôle française propose également aux responsables de traitement un logiciel open source Privacy Impact Assesment (PIA) ayant pour objet, selon cette dernière, de faciliter « la conduite et la formalisation d’analyses d’impact relatives à la protection des données telles que prévues par le RGPD ». Il ne s’agit pas d’un outil qui calcule automatiquement les risques, le risque devant être apprécié par la personne remplissant le formulaire et notamment par le responsable du traitement.

Ces outils permettent ainsi de préciser le niveau de risque à partir de deux indices notamment : la gravité (caractère préjudiciable de la réalisation du risque) et la vraisemblance qu’un tel risque se réalise.

La CNIL précise les différentes étapes de l’analyse. Celle-ci doit démarrer par une présentation et une description du contexte. Le contexte prend en compte les finalités, les enjeux, les supports,… du traitement objet de l’analyse. La seconde étape concerne les mesures mises en œuvre pour la réalisation de ce traitement, qu’elles soient juridiques (consentement de la personne concernée, informations, durée de conservation, droits d’opposition,…) ou opérationnelles (organisation interne, sécurité,…). La troisième étape est l’analyse des risques en tant que telle : d’où viennent-ils, quelle gravité, quelle probabilité qu’ils surviennent ? Puis vient la dernière étape qui consiste à se demander si l’évaluation a été concluante ou non. Si elle ne l’a pas été il convient de prendre des décisions et de se fixer des objectifs afin de remédier aux manquements, et si elle l’a été, il faut acter l’ensemble des mesures prises et les mettre en œuvre lors du traitement. Le responsable du traitement valide ensuite le DPIA.

On peut souligner le fait que ces étapes ne sont pas nécessairement chronologiques. Ainsi, il est indispensable de revenir sur l’étape concernant les mesures une fois l’étape sur les risques réalisées, car la validation des mesures envisagées ne peut se faire qu’au regard des risques prévisibles.

Pour la CNIL une telle méthode devrait être envisagée dès lors qu’un nouveau traitement est mis en place. Alors que l’accountability devient le principe directeur, et que les sanctions imposées par le règlement sont très élevées[11], il semble en effet prudent et raisonnable, malgré les contraintes certaines que cela entraîne, de mettre en place cette analyse de façon systématique. Elle doit être réalisée le responsable de traitement conseillé par son DPO s’il y en a un au sein de l’organisme et assisté, le cas échéant, par ses sous-traitants[12].

Le DPIA étant réalisé au moyen de l’outil PIA de la CNIL ou d’un autre outil logiciel, le responsable dispose d’un rapport qu’il doit conserver précieusement. Cela lui permettra de justifier de la légalité du traitement et que tout a été mis en œuvre, en amont, afin de respecter l’ensemble des principes de l’article 5.1 du RGPD.

Hubert de Segonzac, Avocat associé et DPO externe,
Avec la participation de Salomé Aulias, élève-avocate

 

[1] Règlement UE 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.

[2] Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

[3] Analyse d’impact relative à la protection des données (PIA). CNIL, édition février 2018.

[4] Depuis devenu le « Comité Européen de Protection des Données » à partir de la mise en application du RGPD, le 25 mai 2018.

[5] https://www.cnil.fr/sites/default/files/atoms/files/liste-traitements-aipd-requise.pdf

[6] https://www.cnil.fr/sites/default/files/atoms/files/wp248_rev.01_fr.pdf. Le Groupe de travail article 29 est le prédécesseur du Comité Européen de la Protection des Données mis en place par le RGPD.

[7] Considérant 90 du règlement.

[8] https://www.cnil.fr/sites/default/files/atoms/files/cnil-pia-1-fr-methode.pdf (édition février 2018)

[9] https://www.cnil.fr/sites/default/files/atoms/files/cnil-pia-2-fr-modeles.pdf (édition février 2018)

[10] https://www.cnil.fr/sites/default/files/atoms/files/cnil-pia-3-fr-basesdeconnaissances.pdf (édition février 2018)

[11] Pouvant aller jusqu’à une amende de 20 millions d’euros à 4 % du chiffre d’affaires annuel mondial de l’entreprise.

[12] Selon les lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est «susceptible d’engendrer un risque élevé» aux fins du règlement (UE) 2016/679 telles que modifiées et adoptées en dernier lieu le 04 octobre 2017 (https://www.cnil.fr/sites/default/files/atoms/files/wp248_rev.01_fr.pdf )

cookies

Les États membres ont approuvé hier un mandat de négociation en vue de la révision des règles « ePrivacy » sur la base du texte suivant, à soumettre au Parlement : https://lnkd.in/eAEw2H8

Le projet de règlement ePrivacy, dans sa dernière version, contient notamment les règles suivantes au sujet des cookies et traceurs :

1) L’équipement terminal d’un utilisateur pouvant contenir des informations très personnelles, l’utilisation des capacités de traitement et de stockage et la collecte d’informations à partir de l’appareil ne seront autorisées qu’avec le consentement de l’utilisateur ou ou dans des cas très précis prévus par le règlement.

2) Le fait de subordonner l’accès à un site web au consentement à l’utilisation de cookies à d’autres fins en tant que solution alternative à un « verrou d’accès payant » (cookie-or-pay-wall) sera autorisé si l’utilisateur est en mesure de choisir entre cette offre et une offre équivalente du même fournisseur qui n’implique pas le consentement aux cookies.

3) Un utilisateur final pourra donner son consentement, dans ses paramètres de navigation, à l’utilisation de certains types de cookies en inscrivant sur une liste blanche un ou plusieurs fournisseurs.

Les données personnelles des salariés doivent, comme toute autre catégorie de données à caractère personnel, être conservées pendant une durée « qui n’excède pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées »[1]. Cette règle, dont la méconnaissance peut être lourdement sanctionnée[2] s’applique notamment aux données figurant sur les bulletins de paie, notamment lorsqu’ils sont sous forme électronique.

L’article L. 3243-4 du Code du travail, issu de la loi n°2009-526 du 12 mai 2009, prévoit une durée de conservation du « double des bulletins » ou des « bulletins de paie remis aux salariés sous forme électronique ». Cette durée est une durée de cinq ans. Notons que cette durée de cinq ans n’est nullement une durée absolue à ne pas dépasser, même pour les bulletins de paie sur support papier, puisque ces documents sont également des pièces comptables qui, en tant que telles, doivent, selon l’article L. 123-22 du Code de commerce, être conservées par l’employeur pendant une durée de 10 ans à compter de la clôture des comptes annuels.

Mais il s’avère que la durée de cinq ans de l’article L. 3243-4 du Code du travail n’est désormais plus applicable aux bulletins de paie sous forme électronique, même s’ils étaient visés par ce texte en 2009.

 

Qu’est-ce qu’un bulletin de paie sous forme électronique ?

Selon l’article L. 3243-2 du code du travail « Sauf opposition du salarié, l’employeur peut procéder à la remise du bulletin de paie sous forme électronique, dans des conditions de nature à garantir l’intégrité, la disponibilité pendant une durée fixée par décret et la confidentialité des données ainsi que leur accessibilité dans le cadre du service associé au compte mentionné au 2° du II de l’article L. 5151-6 ».

Il résulte de ce dernier texte, dans sa rédaction actuelle, que « chaque titulaire d’un compte personnel d’activité » […] a « accès à […] un service de consultation de ses bulletins de paie, lorsqu’ils ont été transmis par l’employeur sous forme électronique dans les conditions mentionnées à l’article L. 3243-2 ».

En pratique, il s’agit de bulletins de paie émis nativement sous forme dématérialisée[3]

Un décret en Conseil d’Etat pris après avis de la Commission nationale de l’informatique et des libertés devait en déterminer les modalités.

 

Les durées de conservation du bulletin de paie sous forme électronique

Le décret n° 2016-1762 du 16 décembre 2016, rendu après avis de la CNIL, a finalement fixé les règles suivantes[4] :

L’employeur arrête les conditions dans lesquelles il garantit la disponibilité pour le salarié du bulletin de paie émis sous forme électronique :

  • soit pendant une durée de cinquante ans ;
  • soit jusqu’à ce que le salarié ait atteint l’âge mentionné au dernier alinéa de l’article L. 1237-5, augmenté de six ans (schématiquement 75 ans).

Il ressort, implicitement mais nécessairement, des dispositions réglementaires applicables et notamment de l’article D. 3243-7 du Code du travail que le point de départ des durées qui viennent d’être rappelées est l’émission du bulletin de paie sous forme électronique.

 

De quelle durée de conservation parle-t-on pour les bulletins de paie sous forme électronique ?

Comme le rappelle la CNIL[5], il convient, pour chaque catégorie de données, de définir une durée de conservation :

  • en base active,
  • le cas échéant en archivage intermédiaire,
  • et, le cas échéant (beaucoup plus rarement), en archivage définitif.

Quel événement constitue le point de départ de la conservation du bulletin ? La date de son émission ou de son enregistrement en base active ? La date de son archivage (archivage intermédiaire) ?

Dans le référentiel GRH de la CNIL[6], la CNIL répond à ces questions, en retenant que le bulletin de paie « en version dématérialisée » est conservé :

  • 1 mois en base active,
  • 50 ans en archivage intermédiaire (simplification des règles énoncées par l’article D. 3243-8 du Code du travail).

 

Une conservation jusqu’à la date de liquidation des droits à la retraite ?

Les caisses de retraite complémentaire demandaient, avant 2016, aux employeurs de délivrer à leurs salariés ou anciens salariés des pièces justificatives leur permettant de déterminer et de justifier leurs droits à la retraite.

Au demeurant, la CNIL[7] considérait, en 2004, que si les motifs des absences ne devaient pas être conservés au-delà du temps nécessaire à l’établissement des bulletins de paie, « les informations nécessaires à l’établissement des droits du personnel (droits à la retraite..) », pouvaient être « conservées sans limitation de durée ».

L’on en déduisait, en pratique, l’obligation, pour les employeurs, de conserver les bulletins de paie jusqu’à la date de liquidation des droits à la retraite.

Si cette pratique n’a jamais été validée par un texte législatif ou réglementaire, la très longue durée de conservation des bulletins de paie sous forme électronique vient, en quelque sorte, la valider a posteriori.

Pascal ALIX, avocat associé et DPO externe

 

[1] Article 5. 1 e) du RGPD

[2] Article 83.5 du RGPD

[3] D’où le nom du décret n° 2016-1762 du 16 décembre 2016 « relatif à la dématérialisation des bulletins de paie et à leur accessibilité dans le cadre du compte personnel d’activité »

[4] Article D. 3243-8 du Code du travail

[5] https://www.cnil.fr/fr/les-durees-de-conservation-des-donnees

[6] https://www.cnil.fr/fr/publication-du-referentiel-relatif-la-gestion-des-ressources-humaines

[7] délibération n°2004-097 de la CNIL du 9 décembre 2004 décidant la dispense de déclaration des traitements de gestion des rémunérations mis en oeuvre par les personnes morales de droit privé (dispense n° 002)

La question du contrôle de l’activité des télétravailleurs par des outils logiciels de n’est pas une question nouvelle : la cybersurveillance sur les lieux de travail avait déjà donné lieu à un rapport de la CNIL en 2002[1]. Dans le dernier rapport de la CNIL (sur l’activité en 2019), on relève notamment que 10% des plaintes à la CNIL concernent la surveillance des salariés

En France, le contrôle de l’activité des salariés est un droit de l’employeur qui découle de son pouvoir de direction. Cette règle a été affirmée à de multiples reprises par la Cour de Cassation.

Ce droit n’est pas sans limite, bien entendu. Il est limité par les droits et libertés des salariés tels qu’ils sont prévus par le code du travail, la loi informatique et liberté et depuis le 25 mai 2018 par le Règlement Général sur la Protection des Données ou RGPD, ainsi que par des droits fondamentaux, dont l’article 9 du code civil, relatif à la protection de l’intimité de la vie privée. Comme le rappelle fréquemment la Cour de cassation, le salarié a droit, même au temps et au lieu de travail, au respect de l’intimité de sa vie privée. Il convient donc, dans chaque situation, de rechercher un équilibre entre, d’une part, l’exercice, par l’employeur, de son droit de contrôle et, d’autre part, l’exercice, par les salariés, de leurs droits et libertés.

Le confinement mis en place dans le cadre du plan de lutte contre la COVID-19 a été à l’origine d’un passage massif et inédit au télétravail à domicile. le code du travail permettant à l’employeur d’imposer, en cas de risque épidémique, le télétravail aux salariés dont les fonctions permettent le télétravail. Certaines entreprises ont pu craindre que ce passage un peu précipité au télétravail n’engendre une sorte de décrochage des salariés ou, en tout cas, une baisse de productivité ou, de manière plus générale, un non-respect, par les salariés, de leurs obligations contractuelles.

Il convient de conserver présent à l’esprit que le télétravail ne modifie pas, en principe, les obligations des salariés en ce qui concerne leur temps de travail ; cela suppose, d’ailleurs, que l’employeur définisse très clairement les plages horaires pendant lesquelles le salarié est disponible afin qu’il puisse respecter son droit à la déconnexion.

Dans ce contexte, certains employeurs ont pu être tenté, tout d’abord, d’utiliser les fonctionnalités des outils de visioconférence… en contrôlant, par exemple, la présence des salariés à leur poste au moyen de leur webcam ou en enregistrant la totalité des échanges pendant les sessions de visioconférence. Mais d’autres employeurs ont pu souhaiter aller plus loin, en utilisant des outils permettant d’exercer à distance une surveillance plus approfondie.

Il existe différents outils comme TERAMIND, INTERGUARD, ACTIVETRAK, qui permettent d’analyser avec beaucoup de précision la pratiquement totalité des opérations de traitement effectuées au moyen de l’ordinateur utilisé par le salarié dans le cadre du télétravail à domicile, qu’il s’agisse d’un ordinateur mis à disposition par l’employeur ou de l’ordinateur personnel du salarié. Ces outils dit de « monitoring » ont, semble-t-il, été assez largement utilisés par les entreprises… si l’on en croit les déclarations des éditeurs eux-mêmes.

Quelles sont les conditions de légalité, en France, de l’utilisation de ces outils ?

Tout d’abord il faut écarter l’idée selon laquelle l’utilisation de ces outils serait par principe, de manière générale, légale ou illégale. Ce ne sont que des outils, dont l’utilisation doit être adaptée et proportionnée à la nécessité de contrôler l’activité à distance des salariés, que ce soit pour des raisons tenant à la sécurité des données (qui dépend de la nature des données elles-mêmes) ou pour contrôler la productivité et/ou la performance des salariés.

Si on raisonne globalement, indépendamment de chaque cas particulier, quelles sont les conditions à respecter pour que l’utilisation de ces outils reste dans les limites de la légalité ?

Premièrement, leur utilisation doit être parfaitement transparente, c’est-à-dire qu’elle doit donner lieu à une information individuelle, de chaque salarié[2], et collective – c’est-à-dire qu’il convient d’informer et de consulter le comité social économique… Cette exigence de transparence résulte à la fois du code du travail, de la LIL et RGPD.

Au regard de la jurisprudence de la Cour de cassation en matière sociale, les salariés doivent être informés des périodes pendant lesquelles ils sont susceptibles d’être écoutés ou enregistrés.

Deuxièmement, s’agissant d’un traitement de données ayant pour but la surveillance des salariés, ce traitement doit doit être licite[3] c’est-à-dire fondé sur une base légale valable au sens du RGPD. On considère que le salarié se trouve dans une situation de dépendance qui exclut le consentement comme une base légale valable, celui-ci ne pouvant être considéré comme libre. La base légale de ce traitement ayant pour but la surveillance des salariés et/ou la protection des données peut être :

  • l’exécution du contrat de travail
  • ou (plus fréquemment) l’intérêt légitime… pour autant que, dans ce dernier cas, les droits et libertés du salarié ne soient pas supérieurs à l’intérêt de l’entreprise, ce qui s’apprécie au cas par cas.

Troisièmementet c’est peut-être la condition que la plus délicate à réunir – ce traitement doit respecter le principe de minimisation selon lequel l’entreprise, le responsable de traitement, ne doit collecter et traiter que des données personnelles strictement nécessaires… L’on voit bien que si l’on utilise toutes les fonctionnalités d’un outil de monitoring[4], il y a un risque assez important de collecte excessive de données, peu important que les autres conditions aient été respectées.

Quatrièmementet c’est justement la question de l’appréciation du risque pour les droits et libertés des salariés – dès lors qu’il s’agit d’un traitement qui conduit à une surveillance systématique des personnes concernées, considérées comme « vulnérables » dans la mesure où elles sont dans un état de dépendance, le RGPD, tel qu’il est interprété par la CNIL, impose la réalisation d’une étude d’impact sur la vie privée[5]. Même si le passage au télétravail à domicile a été précipité le 17 mars dernier, les employeurs auraient dû, le plus tôt possible, réaliser cette étude d’impact avant de mettre en œuvre la surveillance à distance. La CNIL met du reste à disposition un outil gratuit en ligne, dénommé outil PIA, dont une nouvelle version a été publiée au mois d’avril.

Cinquièmement, les données collectées dans le cadre du « monitoring » ou de ce que l’on dénommait la cybersurveillance ne peuvent être conservées longtemps. Rappelons que les données de vidéosurveillance – avec une finalité assez proche – ne peuvent être conservées, sauf procédure contentieuse ou disciplinaire, que 30 jours.

Sauf texte imposant une durée spécifique ou justification particulière, la CNIL considère, par exemple, que les enregistrements peuvent être conservés jusqu’à six mois au maximum. Les documents d’analyse peuvent quant à eux être conservés jusqu’à un an.

Sixièmement, s’il y a un délégué à la protection des données, celui-ci doit être associé à la mise en œuvre des écoutes ou des enregistrements des appels ou, plus généralement, du dispositif de surveillance (CNIL).

Septièmement, il faut savoir que les salariés qui télétravaillent à domicile disposent, dans certains cas, d’un doit spécifique d’opposition au traitement.

C’est-à-dire lorsque que :

  • la surveillance ne peut être considérée comme nécessaire à l’exécution du contrat… en d’autres termes qu’elle est fondée sur l’intérêt légitime de l’entreprise,
  • que le traitement est susceptible de conduire à une décision fondée exclusivement sur un traitement automatisé produisant des effets juridiques ou l’affectant de manière significative de façon similaire (cas de scoring ou de profilage ayant des conséquences directes, sans appréciation humaine, sur la rémunération ou la carrière)[6].

Huitièmement, le dispositif mis en place ne doit pas porter atteinte au secret des correspondances (analyse des messages d’une boîte à lettre électronique personnelle distincte de la messagerie professionnelle dont la salariée disposait pour les besoins de son activité)[7].

CAS PARTICULIERS

Certains usages sont invalidés par la CNIL.

L’employeur ne peut pas mettre en place un dispositif d’écoute ou d’enregistrement permanent ou systématique, sauf texte légal (par exemple pour les services d’urgence).

Ainsi, la CNIL considère que quelle que soit la finalité poursuivie, une capture d’écran est susceptible de n’être ni pertinente ni proportionnée puisqu’il s’agit d’une image figée d’une action isolée de l’employé, qui ne reflète pas fidèlement son travail.

La CNIL considère également que compte tenu des impacts et risques de détournement et de surveillance associés à ces dispositifs, le couplage des enregistrements téléphoniques avec l’image (capture d’écran ou vidéo) des actions de l’employé est disproportionné lorsqu’il est utilisé pour d’autres finalités que la formation, telles que l’évaluation du personnel, la lutte contre la fraude interne, etc. L’employeur doit alors utiliser des moyens alternatifs à ce type de dispositif.

Par ailleurs, l’écoute en temps réel et l’enregistrement sonore des appels sur le lieu de travail peuvent être réalisés en cas de nécessité reconnue et doivent être proportionnés aux objectifs poursuivis (par ex. formation).

Pascal ALIX, avocat à la Cour, DPO externe, lead auditor (certification EUROPRIVACY – RGPD)

[1] le 11 février 2002

[2] Article L. 1222-4 CT : Aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance.

[3] Au sens de l’article 6 du RGPD

[4] Monitoring de l’usage des logiciels et des applications (lesquelles, combien de temps, etc.), de la navigation sur le réseau internet (quel site – typologie, pro/non-pro, etc.) de l’utilisation de la messagerie (combien d’e-mail, quels destinataires, etc.) quels documents ont été scannés et imprimés, l’utilisation des réseaux sociaux (temps, etc.), jusqu’à l’enregistrement de la frappe sur le clavier et à l’enregistrement avec une fréquence déterminée des écrans affiché par le moniteur ou de la voix.

[5] Article 35 du RGPD

[6] Article 22 du RGPD

[7] Cour de cassation, chambre sociale, 23 octobre 2019, pourvoi n° 17-28448

Lire la suite

cookies

Un petit rappel s’impose. Par délibération du 4 juillet 2019, la CNIL avait adopté des lignes directrices relatives à la conformité de l’écriture et de la lecture des cookies et autres traceurs installés dans le terminal d’un utilisateur au regard de l’article 82 de la Loi Informatique et Libertés, en insistant sur la nécessité, sauf exception, d’obtenir un consentement libre, spécifique, éclairé et univoque se manifestant par une déclaration ou par un acte positif clair avant l’écriture ou la lecture de traceurs et en rappelant la position du CEPD en ce sens. La CNIL rappelait notamment l’interdiction, par le CEPD, du « cookie wall »[1]. Les conclusions du CEPD, dont la position a été rappelée par la CNIL, au sujet du « cookie wall » étaient assez radicales « Pour que le consentement puisse être librement accordé conformément au RGPD, l’accès aux services et aux fonctionnalités ne doit pas être subordonné au consentement de l’utilisateur au traitement de ses données à caractère personnel ou d’informations relatives à son équipement terminal ou traitées par celui-ci. En d’autres termes, les « cookies walls » devraient être explicitement interdits ».

 

Le 19 juin 2020, statuant sur un recours exercé par les principaux groupements agissant dans les secteurs du e-commerce et de la vente à distance, de l’édition de contenus et services en ligne, du marketing digital, de la régie internet et de l’achat d’espace, ainsi que l’union des marques, le Conseil d’Etat a annulé partiellement la délibération de la CNIL[2]. Le Conseil d’Etat censurait la décision de la CNIL en considérant qu’elle ne pouvait légalement interdire les « cookie walls »dans ses lignes directrices, à savoir dans un acte de « droit souple ».

 

La question de la possibilité de mettre en place un « cookie wall » a fait couler beaucoup d’encre. Mais c’est en réalité la nature et les limites du pouvoir normatif de la CNIL qui était en jeu.

 

Les interprétations multiples de la décision du Conseil d’Etat

 

La CNIL insiste sur le fait que « le Conseil d’État a validé pour l’essentiel les lignes directrices »[3]. Le GESTE [4] fait valoir, quant à lui, que « Le Conseil d’État reconnaît ainsi aux médias la liberté de choisir leur business model sans que cela soit au détriment de la protection des données à caractère personnel »[5]. L’Association Française des Correspondants à la protection des Données à caractère Personnel constate que selon le Conseil d’Etat « … la CNIL a outrepassé ses pouvoirs en proclamant une interdiction générale et absolue de la pratique des « cookies walls »…», tout en laissant ensuite la porte ouverte à la possibilité d’un « cookies-or-pay-wall » [6].

 

Rappelons que si la notion de cookie est étrangère au RGPD, qui se borne à définir celui-ci très rapidement et de manière très superficielle le cookie dans son considérant 30, la nouvelle définition du consentement[7] conduit notamment à une présomption d’absence de consentement en cas de couplage, qui peut toutefois être renversée[8].

 

Dans son interprétation de l’article 7, paragraphe 4 du RGPD, éclairé par le considérant 43, le CEPD semble hésiter entre la possibilité d’une validité – fût-elle exceptionnelle – du « cookie wall »  et l’impossibilité absolue d’une telle validité.

 

Après avoir appelé à « bannir » la pratique du « cookie wall », l’AFCDP considère néanmoins qu’il existe des cas « où une offre payante peut être proposée en cas de refus des traceurs », semblant ouvrir la voie au modèle du « cookie-or-pay wall ». Il est exact que « le « troc 2.0 » est « expressément admis par la directive 2019/770 du 20 mai 2019 relative à certains aspects concernant les contrats de fourniture de contenus numériques et de services numériques (considérant 24[9] et articles 2 et 3[10]) ».

 

Le « cookie wall » dans les nouvelles lignes directrices de la CNIL

 

Dans ses nouvelles lignes directrices du 17 septembre 2020[11], la CNIL tempère sa position antérieure, en retenant que la pratique dite de « cookie wall » « est susceptible de porter atteinte, dans certains cas, à la liberté du consentement », en précisant ensuite qu’«en cas de mise en place de « cookie wall », et sous réserve de la licéité de cette pratique qui doit être appréciée au cas par cas, l’information fournie à l’utilisateur devrait clairement indiquer les conséquences de ses choix et notamment l’impossibilité d’accéder au contenu ou au service en l’absence de consentement ».

 

Le « cookie wall » dans la recommandation de la CNIL du 17 septembre 2020

 

Dans sa recommandation du 17 septembre 2020[12], la CNIL, ne souhaitant probablement valider telle ou telle technique de « cookie wall », avec ou sans paiement, à éludé cette question. Il a appartient donc aux opérateurs de déterminer les modalités de la mise en place du « cookie wall » en indiquant clairement les conséquences des choix opérés et… en prenant un risque juridique dès lors que la validité du dispositif sera appréciée « au cas par cas » par la CNIL…

 

Pascal ALIX, avocat au barreau de Paris, DPO externe, Lead auditor (certification EUROPRIVACY)

[1] Délibération n° 2019-093 du 4 juillet 2019 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture ou écriture dans le terminal d’un utilisateur (notamment aux cookies et autres traceurs)

[2] https://www.conseil-etat.fr/actualites/actualites/le-conseil-d-etat-annule-partiellement-les-lignes-directrices-de-la-cnil-relatives-aux-cookies-et-autres-traceurs-de-connexion

[3] https://www.cnil.fr/fr/cookies-et-autres-traceurs-le-conseil-detat-rend-sa-decision-sur-les-lignes-directrices-de-la-cnil

[4] Groupement d’éditeurs de contenus et de services

[5] https://www.geste.fr/les-professionnels-de-la-publicite-en-ligne-et-des-medias-saluent-la-decision-du-conseil-detat/

[6] AFCDP, Les DPD/DPO de l’AFCDP mettent en garde contre la tentation du « cookie wall », GlobalSecurityMag, juillet 2020 : https://www.globalsecuritymag.fr/Les-DPD-DPO-de-l-AFCDP-mettent-en,20200702,100281.html

[7] Considérants 42 et 43, art. 4. 11), 7. 4) du RGPD

[8] Lignes directrices WP259 du G29 sur le consentement au sens du règlement 2016/679, adoptées le 28 novembre 2017, version révisée et adoptée le 10 avril 2018, p. 10

En tout état de cause, la charge de la preuve repose sur le responsable du traitement en vertu de l’article 7, paragraphe 4 »

[9] «… La présente directive devrait dès lors s’appliquer aux contrats par lesquels le professionnel fournit ou s’engage à fournir un contenu numérique ou un service numérique au consommateur et le consommateur fournit ou s’engage à fournir des données à caractère personnel… »

[10] « …La présente directive s’applique également lorsque le professionnel fournit ou s’engage à fournir un contenu numérique ou un service numérique au consommateur, et le consommateur fournit ou s’engage à fournir des données à caractère personnel au professionnel… »

[11] Délibération n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d’un utilisateur (notamment aux « cookies et autres traceurs ») et abrogeant la délibération n° 2019-093 du 4 juillet 2019

[12] Délibération n° 2020-092 du 17 septembre 2020 portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux « cookies et autres traceurs »

Le 9 novembre 2018, le Conseil de l’Union Européenne a approuvé le texte du règlement sur la libre circulation des données non-personnelles[1], destiné non plus à protéger les droits des personnes physiques dans le cadre du traitement de leurs données à caractère personnel, mais à éliminera les obstacles à la libre circulation des données à caractère non personnel dans l’UE. Un accord provisoire avait été conclu le 19 juin 2018 entre le Conseil de l’UE, la Commission et le Parlement Européen[2] sur la base du texte adopté le 4 octobre 2018 au Parlement de Strasbourg[3]. Selon la revue « Clubic »[4], cette nouvelle réglementation « boosterait considérablement l’économie numérique sur le marché mondial et la croissance de la zone (à hauteur de 4 % du PIB d’ici 2020) ».

 

Objectifs

Selon Andrus Ansip, vice-président chargé du marché unique numérique : «Les restrictions liées à la localisation des données sont des signes de protectionnisme […]. Nous avons franchi une nouvelle étape grâce à cet accord pour la libre circulation des données à caractère non personnel afin de promouvoir les innovations technologiques et de nouveaux modèles économiques et de créer un espace européen pour tous les types de données.».

L’idée est d’ouvrir la voie à un véritable marché unique européen du stockage et du traitement des données et, partant, à un secteur européen des services en nuage compétitif, sûr et fiable.

Selon le Parlement européen, « le développement rapide de l’économie des données et des technologies émergentes telles que l’intelligence artificielle, les produits et les services en lien avec l’internet des objets, les systèmes autonomes et la 5G soulèvent de nouvelles questions juridiques quant à l’accès aux données et à leur réutilisation, à la responsabilité, à l’éthique et à la solidarité. Des travaux devraient être envisagés sur la question de la responsabilité, notamment par la mise en œuvre de codes de conduite par autorégulation et d’autres bonnes pratiques, en tenant compte des recommandations, des décisions et des mesures prises sans interaction humaine tout au long de la chaîne de valeur du traitement des données. Ces travaux pourraient également porter sur des mécanismes appropriés visant à déterminer les responsabilités et à transférer les responsabilités entre services coopérant, les assurances et les audits. »[5].

Selon le Conseil d’UE, cette nouvelle règlementation européenne est destinée à « dynamiser l’économie des données et le développement de technologies émergentes telles que les systèmes autonomes transfrontières et l’intelligence artificielle. ». Le but est de créer un espace européen unique (« marché numérique unique ») des données au sein duquel des données de plus en plus nombreuses pourront circuler sans entrave.

La libre-circulation des données non personnelles dans l’UE. Une mesure qualifiée de « cinquième liberté », après les personnes, les biens, les services et les capitaux[6].

Les données concernées sont les données statistiques, les données relatives aux personnes morales, les données anonymisées, ainsi que l’ensemble des autres données qui ne répondent pas à la définition de la donnée à caractère personnel[7][8][9].

 

Les nouvelles règles sur la libre circulation des données à caractère non personnel

La nouvelle réglementation reposera sur les principes suivants :

  1. Assurer la libre circulation des données à travers les frontières

La libre circulation des données à travers les frontières supposera l’interdiction des restrictions liées à leur localisation. En clair, cela signifie l’interdiction pour les États d’imposer le stockage ou le traitement des données non personnelles sur leur sol, à moins qu’elles ne concernent la sécurité publique[10].

Selon la rapporteure suédoise Anna Maria Corazza Bildt (PPE), « Cette législation change vraiment la donne, en offrant à la fois aux entreprises et aux autorités publiques des gains potentiels énormes en termes d’efficacité. Cela réduira le protectionnisme en matière de données, qui menace l’économie numérique, et ouvrira la voie à l’intelligence artificielle, à l’informatique en nuage et à l’analyse des mégadonnées »[11].

Les États membres devront notifier à la Commission toute restriction résiduelle ou prévue concernant des cas précis et limités de traitement des données du secteur public (traitements souverains). Le #RGPD et le #RDNP devront « fonctionner ensemble » pour permettre à la fois la protection des données à caractère personnel et la libre circulation de toutes les données, à caractère personnel et à caractère non personnel.

En cas de jeux de « données composites » (par ex. jeux de données comprenant à la fois (1) des données inférées ou dérivées constituant des données à caractère personnel et (2) des données statistiques ou des données d’exploitation non identifiantes), la disposition du RGPD garantissant la libre circulation des données à caractère personnel s’appliquera à la partie personnelle du jeu[12].

 

  1. Assurer la disponibilité des données à des fins de contrôle réglementaire

Les pouvoirs publics doivent pouvoir avoir accès aux données à des fins de contrôle et de surveillance quel que soit l’endroit où elles sont stockées ou traitées dans l’UE, sous peine de sanction en cas d’entrave [13]. Cet aspect de la nouvelle réglementation est probablement un de ceux qui sera examiné de près par les acteurs du Cloud ainsi que par les acteurs de la protection des données à caractère personnel.

Le projet de #RDNP prévoit que les « autorités compétente » peuvent, après avoir vainement demandé l’accès aux donnés d’un utilisateur et faute d’accord de coopération spécifique, « solliciter l’assistance de l’autorité compétente dans un autre État membre, conformément à la procédure prévue à l’article 7[14] ».

Rappelons qu’EUROPOL s’inquiétait des conséquences des nouvelles règles sur la protection des données en ce qu’elles peuvent parfois « compliquer l’accès des bases de données listant les propriétaires des sites internet lors des enquêtes policières »[15]. Comme dans d’autres domaines, il sera parfois nécessaire d’arbitrer entre liberté et sécurité.

 

  1. Encourager l’instauration de codes de conduite de l’UE pour les services en nuage (Cloud)

Il s’agit de lever les obstacles au changement de fournisseur de services de stockage en nuage et à la portabilité de l’ensemble des données numériques – et pas seulement des données à caractère personnelle – pour leur rapatriement sur les systèmes informatiques internes des utilisateurs ou vers d’autres systèmes informatiques.

Le projet de règlement prévoit qu’au plus tard le … [48 mois à partir de la date de publication du présent règlement [16]], la Commission soumet un rapport au Parlement européen, au Conseil et au Comité économique et social européen, notamment sur « l’élaboration et la mise en œuvre effective des codes de conduite, ainsi que la fourniture effective d’informations par les fournisseurs de services ».

Le projet de #RDNP prévoit, comme le #RGPD, des « sanctions effectives, proportionnées et dissuasives en cas de manquement à l’obligation de fournir des données, conformément au droit de l’Union et au droit national »[17]

Le projet de #RDNP prévoit, comme le #RGPD, une période transitoire de 24 mois pendant laquelle les organismes doivent se mettre en conformité[18].

Pascal ALIX, Avocat à la Cour et Délégué à la Protection des Données

 

[1] http://data.consilium.europa.eu/doc/document/PE-53-2018-INIT/en/pdf

[2] http://europa.eu/rapid/press-release_IP-18-4227_fr.htm

[3] http://www.europarl.europa.eu/sides/getDoc.do?type=TA&reference=P8-TA-2018-0381&format=XML&language=FR

[4] « l’Union européenne crée un « Schengen » de la donnée » https://www.clubic.com/pro/it-business/securite-et-donnees/actualite-844266-libre-circulation-union-europeenne-cree-schengen-donnee.html

[5] http://www.europarl.europa.eu/sides/getDoc.do?type=TA&reference=P8-TA-2018-0381&format=XML&language=FR

[6] https://www.euractiv.fr/section/economie/news/a-fifth-freedom-of-the-eu-meps-back-end-of-data-localisation/

[7] Article 3 1) du projet de règlement : « «données», les données autres que les données à caractère personnel au sens de l’article 4, point 1), du règlement (UE) 2016/679 »

[8] Article 4 1) du RGPD : toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou social

[9] par exemple « les lots de données agrégées et anonymisées utilisés pour le big data et l’analyse, les données sur l’agriculture de précision qui peuvent aider à surveiller et optimiser l’utilisation de pesticide et d’eau, ou les données sur les besoins de maintenance de machines industrielles » (https://www.nextinpact.com/brief/l-ue-s-apprete-a-signer-le-reglement-sur-la-libre-circulation-des-donnees-6523.htm).

[10] Le lobby « Cispe Cloud », représentant les acteurs du cloud (dont Amazon, OVH, Hetzner ou encore Ikoula) se félicite de cette adoption.

[11] https://www.euractiv.fr/section/economie/news/a-fifth-freedom-of-the-eu-meps-back-end-of-data-localisation/

[12] http://europa.eu/rapid/press-release_IP-18-4227_fr.htm

[13] Considérant 24 du projet de Règlement : « le présent règlement devrait clairement préciser qu’il ne porte pas atteinte au pouvoir des autorités compétentes de demander ou d’obtenir l’accès à des données conformément au droit de l’Union ou au droit national, et que les autorités compétentes ne peuvent se voir refuser l’accès aux données au motif que les données sont traitées dans un autre État membre. ».

[14] Article 5 2.

[15] https://www.euractiv.fr/section/economie/news/privacy-regulators-in-hotseat-over-future-of-fundamental-website-owners-list/

[16] Projet actuel

[17] Article 5 4.

[18] Par ex. article 4

Lire la suite

Le règlement général sur la protection des données (RGPD) considère l’enfant comme une personne concernée particulièrement vulnérable[1], méritant une protection spécifique[2] du fait de son incapacité à comprendre les risques qu’entraine un traitement de ses données personnelles.

Le législateur européen a introduit une distinction entre les mineurs de plus de 16 ans et les mineurs de moins de 16 ans.  Les premiers pouvant consentir seul à un traitement réalisé dans le cadre d’un « offre directe de services de la société de l’information »[3], à savoir un service payant fourni en ligne[4]. La loi française elle, opère cette distinction à l’âge de 15 ans[5]. En dessous de cet âge, le consentement doit être donné par les titulaires de l’autorité parentale ou conjointement avec eux[6] . Pour l’ensemble des traitements ne ressortissant pas des services de la société de l’information[7], le consentement ne semble pas borné par cette limite d’âge.

Lorsque l’on aborde la notion d’enfant cependant, une autre question se pose, relative celle-ci à l’exercice des droits de ce dernier.

Les mineurs peuvent-il exercer les droits des articles 15 et suivants du RGPD en tant que personnes concernées ?

Le Chapitre III du RGPD, « Droit de la personne concernée », qui se borne à faire référence à : « une personne physique identifiée ou identifiable [8] », n’évoque pas la question des droits des mineurs à cet égard.

Sachant que ces droits sont éminemment personnels et ne peuvent être exercés que par la personne concernée elle-même, peut-on considérer, en l’absence de disposition spécifique dans les articles 15 et suivants, que le mineur peut exercer seul ces droits et ainsi bénéficier de la possibilité de maitriser ses données personnelles sans l’autorisation des titulaires de l’autorité parentale ?

Le RGPD prend en compte le statut particulier de l’enfant lorsqu’il évoque les modalités de délivrance de l’information (concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant[9]). Or, cette information porte notamment sur les droits dont les personnes concernées disposent en cas de traitement de ses données personnelles.

Information sur les droits et exercice des mêmes droits sont pourtant à dissocier : le mineur est informé mais ne peut exercer seul ses droits.

En effet, l’article 388-1-1 du Code civil prévoit que l’administrateur légal représente le mineur dans tous les actes de la vie civile, sauf les cas dans lesquels la loi ou l’usage autorise les mineurs à agir eux-mêmes.

Or, ni la loi « informatique et libertés » du 6 janvier 1978 modifiée et adaptée ni le RGPD ne prévoient pas une telle autorisation pour l’exercice des droits.

Pour le droit d’accès, la CNIL indique que les titulaires de l’autorité parentale sont habilités à l’exercer[10]. Il semble admis que le régime du droit de rectification est identique[11].

Concernant le nouveau droit à l’oubli consacré par l’article 40-II de la loi « informatique et libertés » du 6 janvier 1978 modifiée et adaptée, s’il concerne des données collectées alors que les personnes concernées étaient mineures au moment de la collecte, il est apparemment exercé par le titulaire de l’autorité parentale[12].

Les autres droits ne semblent pas devoir être traités différemment en l’absence de précisions particulières les concernant.

La loi française introduit une exception intéressante dans le domaine des traitements de données de santé pour les mineurs de plus de 15 ans.

L’article 59 de la loi « informatique et libertés » du 6 janvier 1978 modifiée et adaptée prévoit en effet que pour les traitements de données à caractère personnel réalisés dans le cadre de recherches mentionnées aux 2° et 3° de l’article L. 1121-1 du code de la santé publique[13] ou d’études ou d’évaluations dans le domaine de la santé, ayant une finalité d’intérêt public et incluant des personnes mineures, le mineur âgé de quinze ans ou plus peut s’opposer à ce que les titulaires de l’exercice de l’autorité parentale aient accès aux données le concernant recueillies au cours de la recherche, de l’étude ou de l’évaluation. Le mineur reçoit alors l’information et exerce seul ses droits.

Pour ces mêmes traitements, le mineur âgé de quinze ans ou plus peut s’opposer à ce que les titulaires de l’exercice de l’autorité parentale soient informés du traitement de données si le fait d’y participer conduit à révéler une information sur une action de prévention, un dépistage, un diagnostic, un traitement ou une intervention pour laquelle le mineur s’est expressément opposé à la consultation des titulaires de l’autorité parentale[14] (…) Il exerce alors seul ses droits.

Qu’est-ce qui motive ces exceptions ? Le législateur a considéré qu’il s’agissait ici d’un domaine particulièrement sensible pour le mineur car touchant à sa santé et ayant un caractère très intime, comme un dernier recoin de vie privée inaccessible, même aux titulaires de l’autorité parentale. S’il s’agit de l’alignement du seuil de maturité adopté dans d’autres domaines (services de la société de l’information, consentement en matière de sexualité), l’on voit mal ce qui justifie le maintien de l’exigence de l’autorisation parentale pour l’exercice, par les mineurs de 15 ans et plus, de leurs droits d’accès, de rectification, à l’effacement, à la limitation, à la portabilité et d’opposition.

Pascal Alix, avocat à la Cour et DPO externe

Séverine Lair, avocat à la Cour

[1] Considérant 75.

[2] Considérant 38 : « Les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu’ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel (…) ».

[3] Article 8 du RGPD.

[4] CJUE, affaire C-434/15, 20 décembre 2017, Asociación Profesional Elite Taxi/Uber Systems Spain SL

[5] Article 7-1 de la LIL modifiée.

[6] « donné ou autorisé par le titulaire de la responsabilité parentale » selon le RGPD

[7] Comme la réservation d’un transport au moyen d’une application (CJUE, affaire C-434/15, 20 décembre 2017, Asociación Profesional Elite Taxi/Uber Systems Spain SL, précité).

[8] Article 4.1 du RGPD.

[9] Le Considérant 58 reprend cette même idée.

[10] « Pour les mineurs et les incapables majeurs, ce sont, selon les cas, les parents, le détenteur de l’autorité parentale ou le tuteur qui effectuent la démarche. » https://www.cnil.fr/fr/professionnels-comment-repondre-une-demande-de-droit-dacces.

[11] Informatique et libertés, La protection des données à caractère personnel en droit français et européen, A ; DEBET, et autres, coll. Les intégrales, Lextenso Editions, 2015, p.1443.

[12] Alain Bensoussan (https://www.alain-bensoussan.com/avocats/droit-effacement-donnees-mineurs/2017/02/13/)

[13] « 2° Les recherches interventionnelles qui ne comportent que des risques et des contraintes minimes, dont la liste est fixée par arrêté du ministre chargé de la santé, après avis du directeur général de l’Agence nationale de sécurité du médicament et des produits de santé ;

3° Les recherches non interventionnelles qui ne comportent aucun risque ni contrainte dans lesquelles tous les actes sont pratiqués et les produits utilisés de manière habituelle. »

[14] Article L.1111-5 et L.1111-5-1 du Code de la santé publique : le professionnel de santé doit cependant d’abord rechercher l’accord du mineur sur cette consultation.

L’article 35.4 du RGPD prévoit que « l’autorité de contrôle établit et publie une liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise ». Cette liste établie par la CNIL a été publiée le 6 novembre 2018 au journal officiel[1].

Les traitements concernés sont les suivants :

– certains traitements recourant à des données de santé (traitements par les établissements de santé ou médico sociaux pour la prise en charge des personnes, traitements portant sur les données génétiques de personnes vulnérables, traitements permettant la constitution d’un entrepôt de données ou d’un registre, traitement de données biométriques pour la reconnaissance de personnes incluant des personnes vulnérables). Dans le domaine du médico-social, sont également concernés les traitements ayant pour finalité l’accompagnement social ou médico-social des personnes et les traitements ayant pour finalité la gestion de l’alerte et le signalement dans le domaine social et sanitaire ;

– des traitements dans le domaine de la gestion des ressources humaines (profils et surveillance constante de l’activité des employés) et des relations professionnelles (traitements ayant pour finalité la gestion de l’alerte et le signalement en matière professionnelle) ;

– certains traitements en lien avec le logement (instruction des demandes et gestion des logements sociaux) ;

– certains traitements mettant en œuvre un profilage (profilage faisant appel à des données de sources externes, profilage pouvant aboutir à l’exclusion du bénéfice d’un contrat, à sa suspension ou à sa rupture) ;

– les traitements mutualisés de manquements contractuels constatés, susceptibles d’aboutir à une décision d’exclusion ou de suspension du bénéfice d’un contrat ;

– les traitements de données de localisation à large échelle.

Sur son site internet, la CNIL met à disposition cette liste accompagnée d’exemples concrets[2], utile pour les responsables de traitement.

Suite aux préconisations du CEPD[3], la CNIL a précisé que cette liste n’était pas exhaustivedes traitements n’y figurant pas pouvant néanmoins nécessiter la réalisation d’un PIA.

Par ailleurs, la CNIL rappelle dans ses dernières lignes directrices[4] que les traitements réunissant deux des neuf critères établis par le G29[5] doivent également faire l’objet d’un PIA (demande d’ajout du CEPD). La CNIL précise que cette liste sera revue régulièrement « selon son appréciation des « risques élevés » que peuvent présenter certains traitements ».

Le CEPD a indiqué que les traitements comprenant des données biométriques ou génétiques ne présentaient pas systématiquement un risque élevé et qu’un autre critère du G29 devait être présent pour imposer un PIA.

Ont également été intégrés à la liste initiale sur avis du CEPD, les traitements utilisant les données de localisation (si deux des critères du G29 sont remplis) et les traitements impliquant la surveillance systématique des salariés (si deux des critères du G29 sont remplis).

Pascal Alix, avocat à la Cour et DPO externe

Séverine Lair, avocat à la Cour

 

[1] Délibération n°2018-327 du 11 octobre 2018 portant adoption de la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise

[2] https://www.cnil.fr/fr/ce-quil-faut-savoir-sur-lanalyse-dimpact-relative-la-protection-des-donnees-aipd

[3] Opinion9/2018 on the draft list of the competent supervisory authority of France regarding the processing operations subject to the requirement of a data protection impact assessment (Article 35.4 GDPR), Adopted on 25th September2018

[4] Délibération n° 2018-326 du 11 octobre 2018 portant adoption de lignes directrices sur les analyses d’impact relatives à la protection des données (AIPD) prévues par le règlement général sur la protection des données (RGPD)

[5] WP 248rév.01,17/FR, Lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est « susceptible d’engendrer un risque élevé » aux fins du règlement (UE) 2016/679, adoptées le 4 avril 2017 et modifiée le 4 octobre 2017

Lire la suite

Une nouvelle délibération[1] de la CNIL permet de souligner l’importance de veiller à la sécurité des données lorsque l’on en confie le traitement, totalement ou partiellement, à un sous-traitant.

La société sanctionnée, Darty, utilisait un logiciel développé par la société EPTICA pour sa gestion des demandes de service après-vente. Informée par un éditeur de site internet spécialisé dans la sécurité des systèmes d’information d’une violation de données à caractère personnel, la CNIL a réalisé un contrôle en ligne le 2 mars 2017, puis un contrôle sur place le 15 mars 2017. Elle a pu observer à cette occasion que l’URL à partir de laquelle les clients peuvent déposer leur demande de service après-vente permettait d’accéder très facilement à 912 938 fiches, en modifiant simplement le numéro d’identifiant présent dans l’URL. Les données accessibles sur ces fiches sont les noms, prénoms, adresse postale et électronique ainsi que les commandes effectuées.

Cette délibération permet de faire un rappel de la différence entre responsable de traitement et sous-traitant et de mettre une nouvelle fois en lumière l’importance pour le responsable de traitement de veiller scrupuleusement sur les traitements confiés au sous-traitant.

I- Définition du responsable de traitement

Est responsable de traitement, selon l’article 3 de la loi Informatique et Libertés modifiée, « (…) la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens ». Darty a fait valoir qu’elle n’avait jamais demandé la création de l’URL viciée à son sous-traitant. Ce développement n’apparaît d’ailleurs pas dans le cahier des charges de la mission confiée au sous-traitant. Darty indiquait de plus ne jamais utiliser cette URL car elle disposait de son propre formulaire de collecte sur son site internet.

Ainsi, pour Darty, c’était le sous-traitant seul qui avait déterminé les moyens du traitement, en créant cette URL ainsi que tout le contenu du formulaire de collecte qui n’était pas personnalisable par Darty. Partant, le sous-traitant devrait être considéré, pour Darty, comme responsable de traitement.

La CNIL n’a pas suivi ce raisonnement. En effet, Darty et son sous-traitant s’étaient mis d’accord sur des moyens de traitement même si la création de l’URL mise en cause n’en faisait pas partie. Le seul fait qu’EPITCA ait ajouté un moyen de traitement non défini au contrat n’est pas un caractère suffisant pour considérer cette société comme responsable de traitement. Par son développement sur l’identification du responsable de traitement, la CNIL montre surtout qu’entre la détermination des finalités et des moyens, la détermination des finalités est décisive dans la qualification du responsable de traitement.

Or, concernant la détermination des finalités, le rôle de Darty est très clair. Quels que soient les moyens de traitement utilisés, ils se rattachent tous à un seul et même traitement, celui des données à caractère personnel des clients de Darty et avec une seule finalité, le suivi des demandes de service après-vente adressées à Darty. Le sous-traitant ne pourrait être lui-même responsable de traitement ou coresponsable que s’il traitait les données pour son compte ou pour d’autres finalités que celles définies par la société Darty. Mais ceci n’est pas le cas en l’espèce.

Pour la CNIL, Darty agit donc bien en tant que responsable de traitement. L’ajout d’un moyen de traitement sans que Darty ne l’ait demandé n’est pas suffisant pour inverser les rôles. Darty est donc tenue au respect des articles 34 et 35 de la loi de janvier 1978 modifiée, et donc d’assurer la sécurité des données dont le traitement est confié au sous-traitant.

II – Le responsable de traitement a violé l’obligation de sécurité prévue par les articles 34 et 35 de la loi du 6 janvier 1978 modifiée

Darty étant responsable de traitement, il lui revient d’assurer la sécurité des données personnelles qu’elle traite ou dont elle confie le traitement.

La violation des données personnelles étant liée à un développement non demandé au sous-traitant,  la question se posait de savoir si la responsabilité de Darty pouvait être engagée. La jurisprudence est néanmoins très claire sur ce point : « la circonstance que des opérations de traitement de données soient confiées à des sous-traitants ne décharge par le responsable de traitement de la responsabilité qui lui incombe de préserver la sécurité des données traitées pour son compte »[2]. Quand bien même certains développements n’avaient pas été demandés par Darty, cette dernière, en tant que responsable de traitement, devait vérifier que l’ensemble des développements réalisés par le sous-traitant permettait d’assurer la sécurité des données comme l’y oblige l’article 35 de loi du 6 janvier 1978 modifiée. Et si certains modules étaient considérés comme inutiles, Darty aurait dû les faire désactiver.

La CNIL relève par ailleurs que Darty a choisi un logiciel standard pour son besoin relatif au service après-vente. Or, la CNIL rappelle que lorsqu’un responsable de traitement a recours à un logiciel standard, il lui revient d’en vérifier la sécurité et les caractéristiques. Le défaut de sécurité en l’espèce étant facilement détectable, la CNIL considère que Darty n’a pas respecté cette obligation. La CNIL en profite pour rappeler à tous les responsables de traitement qui liront la délibération, que la bonne pratique en matière de sécurité est de vérifier « de façon régulière » les formulaires accessibles et permettant la collecte de données personnelles. La CNIL rappelle également une autre bonne pratique, qui revient à « désactiver les fonctionnalités ou modules d’un outil qui ne seraient pas utilisés ou pas nécessaires ». On peut relever que la CNIL ne s’arrête pas aux modules non utilisés mais va plus loin avec les modules qui ne seraient pas nécessaires. Ce faisant, la CNIL intègre le privacy by default, principe qui devient obligatoire le 25 mai 2018 avec l’entrée en application du RGPD et qui oblige les responsables de traitement à créer ou utiliser des outils de traitements qui ne réalisent par défaut que des traitements de données nécessaires et qui garantissant le plus haut niveau de protection. En laissant le module alors qu’il n’était pas nécessaire, en plus de violer l’article 34 sur la sécurité, Darty n’a pas respecté le privacy by default.

Enfin, la CNIL considère que Darty n’a pas veillé suffisamment à ce que, une fois signalée, la faille soit réparée au plus tôt. Darty a été informée de la violation par la CNIL le 6 mars. Elle a informé son prestataire le jour même. Mais la réparation n’a été effective que le 15 mars, à l’issue du second contrôle de la CNIL. Ce délai de 9 jours est trop long pour la CNIL. Darty aurait dû réaliser un suivi régulier de la résolution du litige alors qu’elle ne s’est tenue informée qu’une seule fois pendant ce délai de neuf jours. On comprend de la délibération que le suivi régulier, au regard de la faille, aurait dû être un suivi quotidien.

Mais malgré ce délai de réparation trop long, la CNIL relève que Darty a réagi rapidement en informant son sous-traitant le jour même et que la violation a cessé « dans un délai raisonnable ». Par ailleurs, la CNIL voit d’un bon œil l’audit que Darty a réalisé en août 2017 sur le nouvel outil de gestion. La mise en œuvre de cette bonne pratique tend en effet à montrer que Darty a bien intégré ce qui a pu lui être reproché.

La CNIL condamne donc Darty, en tenant compte de l’ensemble des circonstances, à une amende « proportionnée » d’un montant de 100 000 euros. Elle a par ailleurs souhaité la publication de sa décision « au regard du contexte actuel dans lequel se multiplient les incidents de sécurité et de la nécessité de sensibiliser les internautes quant au risque pesant sur la sécurité de leurs données ».

Au regard de cette décision deux points semblent pouvoir être soulignés. La rigueur de la CNIL tout d’abord dans le contrôle de la relation responsable de traitement/sous-traitant. Le responsable de traitement aura bien du mal à se protéger derrière l’action d’un sous-traitant dès lors que les finalités du traitement concerné par la violation sont des finalités gérées pour le compte du responsable. Même si le sous-traitant n’a pas respecté le cahier des charges, le responsable de traitement est mis en cause car il lui revient de veiller à l’ensemble des mesures mises en place par le sous-traitant pour son compte. On ne saurait donc trop conseiller à tout responsable de traitement de prévoir au sein des contrats les liant avec leurs sous-traitants une clause d’audit permettant de s’assurer que la sécurité des données est respectée. Avec le RGPD, si la responsabilité du sous-traitant pourra plus facilement être engagée, cela ne dédouanera pas nécessairement le responsable de traitement qui pourra se voir infliger une sanction bien supérieure à 100 000 euros.

Le second point à souligner concerne justement le montant de la sanction. Après Hertz condamné à 40 000 euros cet été, également pour une faute d’un sous-traitant, les 100 000 euros de condamnation de Darty apparaissent comme une mise en garde pour les responsables de traitement. Alors que Darty a réagi dans un délai inférieur à 10 jours, que les données objet de la violation n’étaient pas des données sensibles, et que la CNIL souligne la bonne collaboration de Darty, elle inflige néanmoins une amende somme toute assez élevée, proche de l’ancien montant maximum de 150 000 euros (mais éloigné du montant maximum actuel qui est de 3 millions d’euros). Tout comme la publication de la décision permet de sensibiliser les personnes concernées, ce montant est un avertissement pour les responsables de traitement. La CNIL n’hésitera pas, progressivement, à sanctionner de plus en plus fortement une violation de données. Pour mémoire, à compter du 25 mai 2018, l’amende pourra atteindre, selon les cas, 10 ou 20 millions d’euros, 2% ou 4% du chiffre d’affaires annuel.

Pascal ALIX, avocat et DPO externe

Hubert de SEGONZAC, avocat et DPO externe

[1] CE, 11 mars 2015, Sté Total raffinage marketing et société X.

[2] Délibération n°SAN-2018-001 du 8 janvier 2018 prononçant une sanction pécuniaire à l’encontre de la société Etablissements Darty et Fils

Lire la suite