La CNIL intensifie les sanctions pour manquements au RGPD grâce à la procédure simplifiée

Ce qu’il faut retenir

En 2024, la CNIL a prononcé 69 nouvelles sanctions dans le cadre de la procédure simplifiée. Ces sanctions, qui portent sur divers manquements au RGPD, représentent un montant total de 715.500 euros.

 

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-la-cnil-intensifie-les-sanctions-pour-manquements-au-rgpd-grace-a-la-procedure-simplifiee

Prospection commerciale : la CNIL confirme sa position en matière de collecte de données et de réutilisation de fichiers de prospects

 

Ce qu’il faut retenir

Après les amendes prononcées en 2022 et 2023 à l’encontre de responsables de traitement, la CNIL affirme sa jurisprudence en matière de constitution et d’utilisation de fichiers de prospects par les “data brokers” et les annonceurs. Deux nouvelles amendes ont été prononcées à l’encontre d’un courtier en données et d’un annonceur, mettant l’accent sur la validité du consentement et sur la responsabilité des sociétés réutilisatrices des bases de données.

 

Lire la suite de l'article :  https://www.deleporte-wentz-avocat.com/actualite-prospection-commerciale-la-cnil-confirme-sa-position-en-matiere-de-collecte-de-donnees-et-de-reutilisation-de-fichiers-de-prospects

Transferts de données à l’international - la République de Corée reconnue comme offrant un niveau de protection adéquat

La République de Corée vient d’entrer dans le club des pays reconnus par la Commission européenne comme offrant un niveau de protection adéquat aux traitements de données à caractère personnel. Il s’agit du 14é pays ou territoire extérieur à l’Union européenne à bénéficier de ce statut particulier en matière de flux transfrontières de données personnelles.

Le 17 décembre 2021, la Commission européenne a publié sa décision d’adéquation concernant la République de Corée. (1) Cette décision permet désormais aux organismes situés dans l’UE de transférer des données personnelles vers des destinataires et sous-traitants situés en Corée du Sud, sans formalités particulières. (2)

Les décisions d’adéquation sont accordées par la Commission européenne en application de l’article 45 du Règlement général pour la protection des données (RGPD). Elles font suite à une analyse approfondie de la réglementation du pays tiers sur la protection des données pour évaluer son niveau d’équivalence avec la réglementation européenne. La procédure d’examen préalable peut prendre plusieurs mois, voire plusieurs années, et impliquer des demandes d’adaptation de la réglementation du pays tiers. Toutefois, la décision d’adéquation ne signifie pas que les règles du pays tiers doivent être identiques au RGPD, mais uniquement qu’elles offrent un niveau d’équivalence essentielle.

En l’espèce, des discussions étaient en cours avec la Corée depuis octobre 2018 avec une première visite de députés européens à Séoul. La procédure menant à la décision d’adéquation s’est poursuivie et des pourparlers avaient été signés entre la Commission et l’autorité de contrôle coréenne (Personal Information Protection Commission - PIPC), en mars 2021.

La Corée a dû modifier sa législation sur la protection des données, notamment pour mettre en place une autorité de contrôle indépendante, des procédures plus transparentes, et la possibilité pour les résidents européens d’avoir accès à un mécanisme de correction en cas de traitement de données illicite ou non-conforme, y compris la possibilité de porter plainte auprès de l’autorité de contrôle coréenne, l’équivalent de la CNIL.

La décision d’adéquation de la République de Corée sera réexaminée par la Commission dans trois ans, puis selon une périodicité maximum de quatre ans, afin de s’assurer que la réglementation coréenne répond toujours aux critères d’adéquation au droit européen de la protection des données personnelles. Au cas où la Corée s’éloignerait de ces critères, la décision d’adéquation pourra être retirée lors de son réexamen.

A noter que les responsables de traitement et sous-traitants coréens qui étaient déjà soumis au RGPD en application de l’article 3.2 (traitements liés à l'offre de biens ou de services à des personnes concernées situées dans l’UE, ou au suivi de leur comportement) ne verront pas leurs obligations modifiées par la décision d’adéquation.

   Après Israël, puis le Japon en janvier 2019, la Corée est le troisième pays d’Asie à obtenir une décision d’adéquation, sachant que la plupart des pays d’Asie de l’Est et du Sud-Est ont adopté ou récemment révisé leurs réglementations en matière de protection des données personnelles, se rapprochant ainsi des standards internationaux de la protection des données.

* * * * * * * * * * *

(1) Commission implementing decision of 17 December 2021 pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council on the adequate protection of personal data by the Republic of Korea under the Personal Information Protection Act

(2) Cette décision d’adéquation s’applique à l’Espace économique européen (EEE), qui compte, en sus des pays membres de l’UE, l’Islande, le Liechtenstein et la Norvège.


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Janvier 2022

La Chine adopte sa loi sur la protection des données personnelles

Avec l’essor des services numériques, la protection des données personnelles est devenue un sujet phare du droit des personnes. Outre l’Union européenne, de plus en plus de pays à travers le monde ont adopté leur propre réglementation sur la protection des données personnelles, souvent inspirées des lignes directrices de l’OCDE sur la protection de la vie privée, voire de la réglementation européenne. Certains pays, tels que les Etats-Unis, ont opté pour une approche sectorielle de la protection des données avec par exemple des lois spécifiques aux services financiers, aux consommateurs, aux enfants, etc., alors que d’autres tels que le Canada, le Japon ou Singapour, ont opté pour une approche globale.

Après avoir adopté une loi sur la cybersécurité en juin 2017, suivie d’une loi sur la sécurité des données en juin dernier, la République Populaire de Chine vient de renforcer sa réglementation sur la protection des données avec l’adoption d’une nouvelle loi, de portée globale, sur la protection des données personnelles (Personal Information Protection Law - PIPL) le 20 août 2021. Bien que comportant de nombreuses ressemblances avec le RGPD, la PIPL n’est pas exactement une loi-miroir du règlement européen.

Nous étudions ci-après les principales règles de la PIPL du point de vue des droits des personnes, puis des obligations des responsables de traitements, l’application territoriale de la loi et enfin, les sanctions applicables.


1. Les principales dispositions de la PIPL relatives aux  droits des personnes concernées

Les droits des personnes concernées, tels que définis dans la PIPL, sont généralement très similaires au RGPD, ainsi que les définitions de “données personnelles” et de “traitement de données personnelles” notamment.

    a) “Données personnelles” et “traitement de données personnelles” dans la PIPL
Les données personnelles sont définies comme tout type de données concernant des personnes identifiées ou identifiables, enregistrées de manière électronique ou autre. Les données anonymisées ne sont pas considérées comme des données personnelles.

Les traitements de données personnelles comprennent notamment les opérations de collecte, stockage, utilisation, transmission, suppression de données personnelles. Comme le RGPD, la PIPL impose que les traitements de données personnelles reposent sur les principes de licéité, loyauté, et transparence de la collecte (droit à l’information).

    b) Le consentement
Le consentement de la personne concernée constitue la base de la licéité d’un traitement de données personnelles. Il doit être informé, libre, et résulter d’un acte clair de la personne. Le consentement doit être révocable, sans remettre en cause le traitement réalisé jusqu’à la date de sa révocation.

Un consentement spécifique est requis dans les cas suivants : transfert de données par le responsable de traitement à un tiers, publication de données personnelles, collecte de données personnelles par des équipements de sécurité dans des espaces publics, traitement de données sensibles et transferts de données à l’international.

Les cas dans lesquels le consentement n’est pas requis sont limités : pour l’exécution d’un contrat avec la personne concernée, pour la gestion des ressources humaines conformément à la réglementation et aux conventions collectives, aux fins de conformité à la loi, pour répondre à des problèmes de santé publique et pour protéger la santé ou la vie de la personne, pour des reportages journalistiques “dans des limites raisonnables”, etc. On notera par ailleurs que la PIPL n’intègre pas la notion d’intérêt légitime.

    c) Les droits de la personne sur ses données
La personne concernée dispose de droits sur ses données similaires à ceux applicables en Europe, tels que les droits d’accès, de rectification et de suppression des données, ainsi que le droit de recevoir une copie des données collectées. Le droit à la portabilité est également prévu, sous réserve de précisions sur les modalités d’exercice de ce droit, devant être apportées par la CAC (Cyberspace Administration of China - l’autorité de contrôle équivalente de la CNIL).

    d) Les données sensibles
Une protection renforcée est prévue pour les données sensibles. La notion de “donnée sensible” couvre les données personnelles qui, en cas de divulgation non autorisée, porteraient atteinte à la dignité ou à la sécurité de la personne concernée ou de ses biens. Par exemple, les données biométriques, la religion, la santé, la situation financière, la géolocalisation ainsi que les données personnelles des enfants de moins de 14 ans sont considérées comme des données sensibles. Contrairement au RGPD, il ne s’agit pas d’une liste exhaustive.

Les données sensibles peuvent faire l’objet d’un traitement sous certaines conditions, telles que : la réalisation d’une analyse d’impact par le responsable du traitement préalablement à sa mise en oeuvre, une finalité spécifique et nécessaire, et sous réserve de mesures de sécurité adaptées, l’information de la personne concernée sur la nécessité du traitement de données et ses conséquences, le consentement spécifique de la personne concernée.

    e) Les données des défunts
Enfin, contrairement au RGPD, la PIPL prend en compte la possibilité pour les proches d’une personne décédée de gérer ses données personnelles (accès aux données, mise à jour, suppression). La France prévoit cette possibilité avec la Loi pour une république numérique de 2016. (voir notre article sur ce sujet)

2. Les obligations des responsables du traitement

    a) La mise en oeuvre de la PIPL
Le responsable du traitement est responsable de la mise en oeuvre de la PIPL (identification des traitements de données, mise en place de procédures adaptées, assurer la sécurité des données, former les salariés, mener régulièrement des audits de conformité, etc.), et du respect des droits des personnes concernées. Les entreprises traitant de larges volumes de données personnelles devront désigner un délégué à la protection des données (DPO). Le seuil entraînant cette obligation doit encore être fixé.

    b) Les analyses d’impact
Le responsable du traitement doit réaliser une analyse d’impact avant la mise en oeuvre de certains types de traitements :
    - nouveau traitement de données sensibles,
    - traitement de données faisant l’objet d’une décision automatisée,
    - partage de données personnelles avec d’autres organismes ou divulgation publique de données,
    - transfert de données à l’international,
    - traitement ayant un impact significatif sur les droits des personnes.
Ces types de traitements doivent par ailleurs être réalisés pour une finalité spécifique et nécessaire, et sous réserve de mesures de sécurité adaptées et du consentement spécifique de la personne concernée après avoir été informée sur la nécessité du traitement de données et ses conséquences.

    c) Les violations de données
Enfin, en cas de violation de données (fuites de données, intrusion frauduleuse dans le système informatique de l’opérateur, etc.), le responsable du traitement doit immédiatement prendre des mesures correctives et notifier la violation aux autorités et aux personnes concernées.


3. L’application territoriale de la PIPL

    a) La localisation des données personnelles de citoyens chinois
La loi sur la cybersécurité de 2017 imposait le stockage des données personnelles et des données “importantes” (à savoir les données sensibles, de sécurité nationale ou stratégiques) collectées par les opérateurs d’infrastructures d’information critiques, sur le territoire chinois. Toutefois, cette disposition était considérée comme trop imprécise. Une incertitude demeurait notamment pour les données des opérateurs de réseaux et des grandes entreprises du numérique.

La PIPL apporte des précisions sur l’obligation de localisation des données personnelles.

Les opérateurs d’infrastructures d’information critiques restent tenus de stocker les données personnelles sur le territoire chinois, sauf lorsqu’un transfert international est nécessaire, et sous réserve notamment du consentement spécifique de la personne concernée, d’avoir passé un test de sécurité des données organisé par la CAC, et de la signature de clauses contractuelles types entre l’organisme chinois et l’entreprise étrangère. Les conditions du test et les clauses contractuelles types doivent être publiées par la CAC.

    b) Les dispositions d’application extra territoriale
Comme le RGPD, la PIPL comporte des dispositions d’application extra territoriale.

La PIPL est en effet applicable notamment :
    - aux traitements réalisés en dehors de la Chine mais dont la finalité est de proposer des produits ou des services aux résidents situés en Chine, et
    - aux traitements dont la finalité est d’analyser et évaluer les activités des Chinois.

Les organismes réalisant ces types de traitements de données depuis l’étranger devront soit créer un bureau dédié en Chine, soit désigner un représentant en Chine pour s’assurer de l’application de la loi - obligation similaire au RGPD, qui prévoit la nomination d’un représentant dans l’UE.


4. Les sanctions prévues en cas de non-conformité à la PIPL

    a) Les sanctions
Deux types de sanctions sont prévus par la PIPL :
    - une amende maximum de 50 millions de RMB (environ 6,6 millions €) ou 5% des revenus de  l’année précédente, applicable à l’organisme fautif ;
    - une amende fixée entre 100.000 RMB (environ 13.000€) et 1 million de RMB (environ 130.000€), applicable aux personnes physiques responsables d’un manquement à la PIPL et l’interdiction de poursuivre leurs activités de directeur, superviseur, responsable ou DPO de l’organisme en cause.

    b) Le contrôle de la conformité
La conformité à la PIPL est assurée par la Cyberspace Administration of China (CAC), l’autorité de contrôle au niveau global, mais également par les ministères et services concernés du Conseil d’Etat et les services concernés des gouvernements locaux.

Il convient de noter que la PIPL n’est pas applicable aux services du gouvernement.


   La PIPL doit entrer en application le 1er novembre 2021 - laissant très peu de temps aux organismes concernés (les entreprises présentes sur le territoire chinois et les entreprises à l’international traitant des données personnelles de résidents chinois) pour se mettre en conformité. Après la phase de mise en conformité au RGPD en 2018-2019, les entreprises européennes présentes en Chine et celles traitant de données personnelles de résidents chinois doivent engager un projet similaire de mise en conformité à la PIPL, couvrant notamment des audits internes pour identifier les traitements éventuellement concernés par la loi, l’adaptation des politiques de protection des données personnelles et des procédures internes, le cas échéant, la nomination d’un représentant local.

Dans la mesure où certaines dispositions manquent encore de précision ou doivent être complétées, il sera nécessaire de suivre les conditions d’application et d’interprétation de la PIPL par les autorités chinoises concernées, dont la CAC.

* * * * * * * * * * *

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Septembre 2021

Protection des données personnelles : analyse comparative entre le RGPD (UE) et les CBPR (APEC)

 

Suite à notre précédent article présentant le système des CBPR (Cross-Border Privacy Rules) permettant les transferts de données personnelles entre sociétés situées dans la région Asie-Pacifique (APEC) (1), nous faisons ici une brève analyse comparative entre le RGPD (2) et le système des CBPR afin d’aider à comprendre les objectifs de ces deux systèmes de protection des données personnelles, ce qui les rapproche, mais aussi ce qui les différencie.

1. Principes fondamentaux et fonctionnement : RGPD vs CBPR

Même si les objectifs du RGPD et des CBPR sont similaires, c’est-à-dire permettre le transfert de données personnelles à l’international dans des conditions juridiques sécurisée, les fondamentaux et leur fonctionnement diffèrent.

    1.1 Le RGPD : une application homogène dans l’Union européenne

Le RGPD est entré en application le 25 mai 2018. Ce texte a vocation à s’appliquer de manière homogène dans les Etats-membres de l’Union européenne. (3) Le règlement est venu abroger la directive sur la protection des données personnelles datant d’octobre 1995, qui était devenue obsolète puisqu’elle avait été adoptée avant l’essor des services sur internet (Big data, Cloud computing, …) et l’expansion des GAFAM.

L’objectif principal du RGPD est la protection des consommateurs, et par le biais de règles de consentement renforcées, de leur redonner du pouvoir sur leur données personnelles.

Le RGPD s’applique à tout organisme, privé et public, responsable de traitement ou sous-traitant, situé dans l’Union européenne, qui traite des données personnelles. Le règlement s’applique également aux organismes situés en dehors de l’UE qui ciblent tout ou partie du marché européen et à ce titre, traitent des données personnelles de résidents européens. (4)

Tout organisme situé au sein de l’UE doit donc être en conformité avec le RGPD. Les transferts de données personnelles au sein de l’UE sont réalisés librement, de même que les transferts de données personnelles entre une organisme situé dans l’UE et un organisme situé dans un pays offrant un niveau de protection adéquat. (5) Les transferts vers les pays tiers sont interdits, sauf adoption par les deux parties de clauses contractuelles types (CCT) validées par la commission européenne, un contrat ad hoc validé par une autorité de contrôle (CNIL par exemple), ou en vertu de règles d’entreprise contraignantes (Binding corporate rules ou BCR) pour les transferts de données personnelles intra-groupe.

    1.2 Les CBPR : un système flexible applicable sur la base du volontariat

Le système des CBPR est établi sur la base du Privacy Framework de l’APEC (Asia-Pacific Economic Cooperation). Ce système date de 2005 et a été mis à jour en 2015. Contrairement au RGPD, les CBPR ne s’appliquent pas automatiquement dans les pays membres de l’APEC. A ce jour, seuls 9 pays, sur les 21 pays membres de l’APEC, on adhéré au système des CBPR. (6)

L’objectif des CBPR est avant tout économique, c’est-à-dire, de fluidifier les transferts de données personnelles entre les organismes situés dans des pays membres, de manière juridiquement sécurisée, aux fins de développer les flux économiques, et notamment le commerce électronique. (7)

Les CBPR fonctionnent sur les principes de flexibilité et de volontariat. “Flexibilité” : les CBPR ne remplacent pas la réglementation sur la protection des données des pays participant au système CBPR et leur application est soumise à un certain degré de flexibilité. Les pays dont la réglementation sur la protection des données personnelles est plus stricte conservent le “bénéfice” de leur réglementation. Certaines dispositions du cadre de protection des données peuvent également être adaptées compte tenu des différences aux niveaux social, culturel, économique et juridique des pays participants. “Volontariat” : seuls les organismes situés dans les pays adhérant aux CBPR peuvent décider de se faire certifier conformes aux CBPR.adhérent,

Par ailleurs, les CBPR ne s’appliquent qu’aux responsables de traitement (“controllers”). Les sous-traitants (“data processors”) peuvent, quant à eux, se faire certifier conformes aux PRP (Privacy Recognition for Processors), qui viennent compléter les CBPR. Il est donc nécessaire, pour une société responsable de traitement, de s’assurer que son co-contractant, situé dans un pays est effectivement certifié CBPR et/ou PRP avant de lui transférer des données personnelles.

Les sociétés certifiées CBPR / PRP des pays de l’APEC participants peuvent ainsi librement transférer des données personnelles entre elles. Les transferts vers des sociétés non certifiées, des pays de l’APEC non participants, et vers les pays tiers sont en principe interdits, sauf dispositions figurant dans les lois nationales de protection des données personnelles.

Enfin, on notera que l’UE compte environ 400 millions d’habitants, et est composée de pays relativement homogènes en terme de développement économique. Les pays de l’APEC participant au système CBPR en comptent le double, soit environ 817 millions d’habitants. Toutefois ces pays sont plus disparates économiquement.

2. Les principes et dispositions caractéristiques aux deux systèmes

Dans la mesure où le RGPD et le Privacy Framework de l’APEC, sur lequel repose le système des CBPR, s’inspirent des lignes directrices de l’OCDE sur la protection de la vie privée, on retrouve plusieurs principes fondamentaux communs aux deux systèmes. (8) Toutefois, leur mise en oeuvre est différente. (9) Nous abordons ci-après les principales similarités et différences entre les deux systèmes.

    2.1 Principales similarités entre les deux systèmes

Comme mentionné plus haut, dans la mesure où les deux systèmes, RGPD et CBPR sont issus des lignes directrices de l’OCDE sur la protection de la vie privée, on retrouve des similarités entre eux, même si les termes utilisés ne sont pas nécessairement identiques. Nous reprenons les principaux concepts par équivalence. Les références aux CBPR se rapportent au Privacy Framework (PF) de l’APEC.

    - Champ d’application matériel
Le RGPD s'applique aux traitements de données à caractère personnel, automatisés en tout ou en partie, ainsi qu'aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans un fichier. (RGPD art. 2) Comme mentionné plus haut, contrairement aux CBPR, le règlement s’applique aux responsables de traitement et aux sous-traitants.

Le système CBPR s’applique aux personnes physiques ou morales, privées ou publiques qui contrôlent la collecte, détiennent, traitent, utilisent ou transfèrent des données personnelles. Les CBPR ne s’appliquent qu’aux responsables de traitement et sont complétés par les PRP, applicables aux sous-traitants. Il s’agit toutefois d’un système flexible, adaptable aux différences sociales, culturelles, économiques et juridiques des pays participants. (par. 17 PF)

    - Définitions
“Donnée personnelle” : selon le RGPD, une donnée à caractère personnel signifie “toute information se rapportant à une personne physique identifiée ou identifiable” (la personne concernée). (Art 4.1 RGPD) La définition des CBPR est sensiblement la même. (par. 9 PF)

“Responsable du traitement” (data controller ou personal information controller) : selon le RGPD, le responsable du traitement est la personne physique ou morale, qui détermine les finalités et les moyens du traitement. Il peut y avoir des responsables du traitement conjoints. (art. 4.7 RGPD) Les CBPR définissent le responsable du traitement comme la personne physique ou morale qui contrôle la collecte, le traitement, l’utilisation et le fait de détenir des données personnelles. (par.10 PF)

    - Principes relatifs au traitement des données à caractère personnel
Le RGPD reprend et enrichit les principes applicables aux traitements de données par rapport à la directive d’octobre 1995, à savoir, les notions de licéité, loyauté, transparence du traitement, de finalités déterminées, explicites et légitimes, de minimisation (traitement limité aux données nécessaires au regard des finalités), données exactes et à jour, conservées pendant une durée limitée, de manière sécurisée et confidentielle. (art. 5.1 RGPD)

On retrouve ces principes dans le système CBPR, à savoir, les principes d’information et de consentement de la personne concernée (“notice, consent and choice”) (par. 21 à 23 et 26 PF), de limitation des données collectées (par. 24) et de finalité (par. 25), ainsi que les notions d’intégrité et de données à jour. (par. 27)

    - Principe de responsabilité (“accountability”)
Le principe de responsabilité a été renforcé avec le RGPD, le responsable du traitement devant être en mesure de démontrer être en conformité avec le règlement. (Considérant 85 et art. 5 2 RGPD)

Le système des CBPR reconnaît ce principe de responsabilité en matière de conformité du responsable du traitement. (par. 32 PF)

    - Principe de sécurité des données
Les responsables du traitement et leurs sous-traitants sont responsables de la sécurité (physique et logique) des données qu’ils traitent, compte tenu notamment de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques et du coût des mesures de sécurité par rapport au niveau de sensibilité des données traitées. (art. 32-1 RGPD)

Le principe de sécurité des données contre la perte, les accès non autorisés aux données ou la destruction, l’utilisation, la modification ou la divulgation non autorisées des données, est également reconnu par les CBPR. (par. 28 PF)

    2.2 Principales différences entre les deux systèmes

Il existe toutefois de nombreuses différences entre les deux systèmes, en commençant par les objectifs poursuivis par le RGPD et par les CBPR respectivement.

    - Objectifs
Le RGPD a pour objectif de permettre la libre circulation des données personnelles au sein de l’Union européenne, ainsi que d’assurer la protection des personnes concernant leurs données personnelles. Le RGPD définit la protection des personnes physiques concernant le traitement des données personnelles comme un droit fondamental. (1er considérant et art. 1er RGPD)

Les CBPR fournissent un système de protection des données personnelles permettant de lever les barrières aux transferts de données, en assurant le développement du commerce et des relations économiques dans la région APEC. Le Privacy Framework reconnaît le droit des personnes concernées à une attente légitime en matière de protection des données, et contre une utilisation abusive de ces données. (par. 20 PF)

    - Champ d’application territoriale
Le RGPD s'applique aux traitements de données personnelles effectués sur le territoire de l’Union européenne, que les traitements aient effectivement lieu ou non dans l’UE. Le règlement produit également des effets extra-territoriaux, puisqu’il s’applique aussi aux traitements de données concernant des personnes résidant dans l’UE par des organismes situés hors de l’UE. (art. 3 RGPD)

Les CBPR ne définissent pas de champ d’application territoriale puisque le système ne s’applique qu’aux pays de l’APEC ayant adhéré aux CBPR et uniquement aux organismes certifiés CBPR (et/ou PRP pour les sous-traitants). Toutefois, les autorités de contrôle des pays participants sont encouragées à coopérer entre elles pour assurer l’application effective des CBPR (par. 62 s. PF).

    - Sous-traitant (data processor)
Le RGPD définit le sous-traitant comme la personne physique ou morale qui traite des données à caractère personnel pour le compte du responsable du traitement. (art. 4.8 RGPD)

Le Privacy Framework de l’APEC et les CBPR ne s’appliquent pas aux sous-traitants.

    - Données accessibles au public
D’une manière générale, le RGPD s’applique aux données personnelles, qu’elles soient accessibles publiquement (données accessibles sur les réseaux sociaux par exemple : nom, prénom, photos, etc.), ou non.

Le Privacy Framework de l’APEC et les CBPR s’appliquent de manière très limitée aux données personnelles accessibles publiquement. Dans la mesure où la personne concernée a en principe rendu ses données publiques, et que ses données ne sont pas collectées directement auprès d’elle, on considère que les principes d’information et de choix ne sont pas applicables. (par. 11 PF)

    - Adaptations par les Etats-membres / pays participants
Même s’il s’agit d’un règlement européen, applicable directement par les Etats-membres, le RGPD prévoit quelques domaines résiduels sur lesquels les Etats-membres peuvent légiférer. Ainsi, en France, la loi Informatique et Libertés a été modifiée par ordonnance le 12 décembre 2018 pour intégrer ces dispositions aménagées. (10)

Les pays qui adhèrent au système des CBPR peuvent appliquer des exceptions au champ d’application du système correspondant à leur situation spécifique.

    - Violations de données personnelles, notification et correction
Le RGPD définit la violation de données à caractère personnel comme une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données. (Art. 4.12 RGPD) Alors que précédemment l’obligation de notifier les violations de données aux autorités de contrôle ne s’appliquait en France qu’aux seuls opérateurs télécom, le RGPD a étendu cette obligation à tous les organismes. En cas de violation de données personnelles, la procédure de notification et de correction est décrite à l’article 33 du RGPD.

Les CBPR ne comprennent pas de définition de violation de données personnelles. Toutefois, les  pays participants doivent prévoir des procédures de notification aux autorités de contrôle ou aux personnes concernées en cas de violation de données.

    - Durée de conservation des données personnelles
Le RGPD limite la durée de conservation des données à caractère personnel. Les données personnel sont conservées sous une forme permettant l'identification des personnes concernées pendant la durée nécessaire aux finalités pour lesquelles elles sont traitées. Elles sont ensuite supprimées. Elles peuvent cependant être conservées pour des durées plus longues, sous une forme anonymisée, en cas de traitement à des fins archivistiques, de recherche scientifique ou historique ou à des fins statistiques. (art. 5.1 RGPD)

En revanche, le Privacy Framework ne prévoit pas d’obligation de limitation de durée de conservation des données.

    - Données des enfants
Enfin, l’article 8 du RGPD prévoit des règles spécifiques pour la protection des données personnelles des mineurs, avec la possibilité pour chaque Etat-membre de fixer le seuil de l’âge de cette protection spécifique entre 13 et 16 ans (fixé à 15 ans en France).

Le Privacy Framework ne prévoit pas de protection spécifique pour les données des mineurs.


    Le système des CBPR, complété par les PRP, n’est pas reconnu par la Commission européenne comme offrant un niveau de protection adéquate. Parmi les pays membres de l’APEC, seuls le Canada et le Japon sont actuellement reconnus par la Commission européenne comme des pays offrant un niveau de protection adéquate. En conséquence, pour les autres pays de l’APEC, participant ou non au système des CBPR, les transferts de données entre un organisme situé dans l’Union européenne et une société certifiée située dans un pays de l’APEC doivent respecter les règles européennes de transfert à l’international (adoption de CCT, signature d’un contrat approuvé par une autorité de contrôle ou transfert couvert par des BCR).

* * * * * * * * * * *

(1) Site de l’APEC L'APEC compte parmi ses membres une grande partie des pays de l’Asie du sud et de l’est. A noter que l’Inde n’est pas membre de l’APEC.

(2) Règlement général pour la protection des données n° 2016-679, ou RGPD

(3) Le RGPD ne s’applique pas de manière identique dans toute l’Union. Le règlement permet aux Etats-membres d’adopter des dispositions spécifiques dans quelques domaines identifiés.

(4) Article 3 - RGPD

(5) Les pays membres de l’APEC offrant un niveau de protection adéquate sont le Canada, le Japon, et la Nouvelle-Zélande (hors système CBPR). Des pourparlers sont en cours entre la Commission européenne et la République de Corée pour ajouter ce pays à la liste des pays offrant un niveau de protection adéquate. Le Privacy Shield (Bouclier de protection), en place entre l’Union européenne et les Etats-Unis (membre de l’APEC), a été invalidé par un arrêt de la Cour de justice de l’Union européenne (CJUE) le 16 juillet 2020.

(6) Les 9 pays de l’APEC participant au système des CBPR à la date du présent article sont : l’Australie, le Canada, la Corée du Sud, les Etats-Unis, le Japon, le Mexique, les Philippines, Singapour, et Taiwan.

(7) “GDPR and CBPR: Reconciling Personal Data Protection and Trade”, APEC policy support unit, Policy Brief No.23, October 2018

(8) Lignes directrices de l’OCDE

(9) Les CBPR reposent sur 9 principes fondamentaux, définis dans le Privacy Framework de l’APEC. Il s’agit des principes de : responsabilité (accountability), information des personnes (notice), choix (choice), limitation des données collectées (collection limitation), intégrité des données personnelles (integrity of personal information), règles d’utilisation des données personnelles (uses of personal information), règles de sécurité des données (security safeguards), règles relatives aux droits d’accès et de rectification (access and correction), et règles relatives à la prévention des dommages comprenant l’obligation de notification en cas de violation de données (preventing harm). En revanche, les CBPR ne prévoient pas le principe de la limitation de la durée de conservation des données.

(10) Ordonnance n°2018-1125 du 12 décembre 2018 prise en application de l'article 32 de la loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles et portant modification de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et diverses dispositions concernant la protection des données à caractère personnel.


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Novembre 2020

Flux transfrontières de données personnelles en Asie-Pacifique : le système CBPR

Les règles transfrontières de protection des données (Cross-Border Privacy Rules ou CBPR) ont été développées par l’APEC en 2011, pour permettre aux entreprises de ses pays membres de transférer des données personnelles selon des règles sûres et reconnues.

Fondé en 1989, l’APEC (Asia-Pacific Economic Cooperation ou Coopération Economique pour l’Asie-Pacifique) est un forum économique régional intergouvernemental regroupant 21 pays bordant le Pacifique. L’APEC a pour mission de faciliter la croissance économique et la coopération entre ses 21 membres. Outre les Etats-Unis, le Canada, le Mexique, le Chili et la Russie, l’APEC compte également parmi ses membres la Chine, l’Australie, le Japon, la Corée, Singapour, l’Indonésie et la Malaisie notamment. (1)

1. Qu’est-ce que le système CBPR ?

    1.1 Un système de transfert de données personnelles, basé sur le volontariat

A l’instar du RGPD européen, le système CBPR a pour objet de fluidifier les transferts de données personnelles entre les pays adhérents dans la région Asie-Pacifique. Mais alors que le RGPD s’impose à tous les organismes situés dans l’Union européenne et aux entreprises non-européennes qui ciblent le marché européen, les CBPR s’appliquent aux seules entreprises, responsables de traitement, qui choisissent, de manière volontaire, de se faire certifier conformes aux CBPR, et qui sont situées dans les pays membres de l’APEC appliquant les CBPR. (2)

Contrairement à l’Union européenne, dont les Etats membres partagent un certain nombre de valeurs sociétales, économiques, juridiques et politiques en application des traités d’adhésion européens, la région Asie-Pacifique ne dispose pas de traité d’union similaire, même s’il existe une volonté d’aller vers une plus grande intégration économique à l’échelle régionale.

Alors que les Etats membres de l’UE ont une même vision des principes relatifs à la protection de la vie privée et des consommateurs, il n’en est pas de même dans la région Asie-Pacifique, qui englobe des sociétés diverses, culturellement et économiquement notamment. Ne disposant pas de l’équivalent des règlements ou directives au niveau régional, les législations des différents pays membres de l’APEC sont diverses. Par exemple, certains pays ont adopté une loi sur la protection des données personnelles, plus ou moins protectrice, d’autres pas encore.

Forts de ce constat, les membres de l’APEC ont reconnu l’importance de la mise en oeuvre de principes de protection des données personnelles efficaces aux fins de fluidifier les flux de données entre leurs entreprises.

La philosophie des CBPR est donc différente de celle du RGPD.

    1.2 Sur quels principes fonctionnent les CBPR ?

Le système des CBPR est établi sur la base du Privacy Framework de l’APEC datant de 2005, et mis à jour en 2015. (3) Ce “cadre de la vie privée” constitue un modèle pour les lois nationales de protection de la vie privée des membres de l’APEC, et un socle de règles minimum pour les pays n’ayant pas encore légiféré dans ce domaine et souhaitant adhérer au système. On y retrouve notamment les principes fondamentaux de la protection des données personnelles, issus des lignes directrices de l’OCDE sur la protection de la vie privée. (4)

Ainsi, les CBPR reposent sur 9 principes fondamentaux, à savoir : les principes de responsabilité (accountability), d’information des personnes (notice), de choix (choice), de limitation des données collectées (collection limitation), d’intégrité des données personnelles (integrity of personal information), règles d’utilisation des données personnelles (uses of personal information), règles de sécurité des données (security safeguards), règles relatives aux droits d’accès et de rectification (access and correction), et règles relatives à la prévention des dommages comprenant l’obligation de notification en cas de violation de données (preventing harm). En revanche, les CBPR ne prévoient pas le principe de la limitation de la durée de conservation des données. (5)

    1.3 CBPR et Privacy Framework - un système de certification qui ne concerne que les responsables de traitement

Le système CBPR fonctionne sur le volontariat des Etats qui souhaitent, ou non, y adhérer, et parmi les Etats adhérents, des sociétés qui souhaitent se faire certifier. Grâce à ce système, les gouvernements et les entreprises certifiées s’assurent que, lors des mouvements de données personnelles transfrontières, celles-ci sont protégées selon les règles du système CBPR applicable dans les pays adhérents.

Les pays membres de l’APEC souhaitant rejoindre le système CBPR doivent suivre une procédure de demande d’adhésion, identifier un organe gouvernemental en charge de l’application des règles de protection des données personnelles (équivalent des autorités de contrôle telles que la CNIL), et au moins un organisme tiers certificateur. Pour les Etats-Unis, l’organe gouvernemental est la Federal Trade Commission et l’organisme tiers certificateur est la société TRUSTe.

Les entreprises souhaitant être certifiées CBPR doivent soumettre un dossier à un agent certificateur accrédité dans leur pays d’origine. Ce dossier comprend notamment leur politique sur la protection des données personnelles, dont les droits d’accès et de correction de leurs données  par les consommateurs, la nomination d’un délégué à la protection des données (DPO) et les règles de sécurité appliquées par l’entreprise. Celui-ci doit ensuite certifier que la politique de protection de la vie privée de la société est conforme au Privacy Framework. La certification est valable un an, renouvelable.

La certification CBPR est en principe un engagement de respect de leurs données personnelles par l’entreprise envers les consommateurs, conformément au Privacy Framework. La conformité au Privacy Framework est cependant un minima. Si la loi locale sur la protection des données personnelles est plus exigeante, l’entreprise devra évidemment se conformer à sa loi locale.

L’agent certificateur est également l’organisme en charge de la résolution des litiges entre les entreprises certifiées CBPR et les consommateurs.

En résumé, seules les entreprises certifiées CBPR, situées dans l’un des pays membres de l’APEC ayant adhéré au système CBPR peuvent bénéficier de ce système. A ce jour, 9 pays, sur les 21 membres de l’APEC, ont rejoint le système CBPR : les Etats-Unis, le Canada, le Mexique, le Japon, la Corée du Sud, Taiwan, les Philippines, Singapour et l’Australie.


2. Le système de PRP, le nécessaire complément aux CBPR, applicable aux sous-traitants

Contrairement au RGPD qui est applicable aux responsables de traitement (“controllers”) et aux sous-traitants (“data processors”), le système des CBPR ne s’applique qu’aux responsables de traitement.

Afin de permettre aux responsables de traitement d’identifier plus facilement des sous-traitants (hébergeurs, développeurs, etc.) dans la région Asie-Pacifique, respectueux des règles de protection des données personnelles, le système des CBPR a été complété par le système de PRP (Privacy Recognition for Processors - ou système de reconnaissance de la vie privée pour les sous-traitants).

Le système de PRP constitue le socle d’engagements en matière de respect des données personnelles qu’un sous-traitant doit respecter pour être certifié. Toutefois, même si les PRP n’intègrent pas le Privacy Framework, qui ne concerne que les responsables de traitement, ce système de règles doit permettre aux sous-traitant certifiés de démontrer leur capacité à traiter les données personnelles qui leur sont confiées, conformément aux règles édictées par les CBPR.

Comme pour les entreprises certifiées CBPR, l’adhésion aux PRP par les sous-traitants passe par une procédure de certification par un organisme tiers certificateur. La conformité des sous-traitants certifiés PRP est également assurée par les organismes certificateurs.

Toutefois, les responsables de traitement certifiés CBPR n’ont pas l’obligation de contracter avec des sous-traitant certifiés PRP.


    De grands groupes tels que Apple, Cisco Systems, General Electric, IBM et leurs filiales ont adopté les CBPR et/ou les PRP. Cependant, bien que les systèmes des CBPR et PRP couvrent une population et un PIB cumulés plus larges que toute l’Union européenne, peu de sociétés les ont encore adoptés. Ceci peut être la conséquence de plusieurs facteurs. La liste des membres de l’APEC participant au système CBPR (9 pays à ce jour) reste limitée. Certains pays n’ont rejoint le système CBPR que récemment : Singapour a rejoint le CBPR en avril 2018 et l’Australie et Taiwan en novembre 2018. De nombreuses entreprises locales ne connaissent pas encore l’existence du système des CBPR et des PRP dans la région. Il n’existe à ce jour que 3 agents certificateurs (Etats-Unis, Japon et Singapour). Enfin, certains pays, tels la Chine, ont mis en oeuvre une politique de non-transfert de données à l’international, ralentissant le mouvement d’adhésion aux CBPR.

Enfin, on précisera que l'adhésion des pays membres de l'APEC au système des CBPR ne modifie pas les règles de transfert de données entre l'Union européenne et ces pays. Hormis le Canada, le Japon, et les Etats-Unis (Privacy Shield) considérés par l'UE comme offrant un niveau de protextion adéquate, les transferts de données personnelles vers les autres pays ayant adhéré au système CBPR (Mexique, Corée du Sud, Taiwan, Philippines, Singapour et Australie) restent soumis aux règles de transfert à l'international, à savoir, soumis aux clauses contractuelles types, à un contrat ad hoc validé par une autorité de contrôle, ou pour les groupes de sociétés, à des BCR.

                                                                 * * * * * * * * * * *

(1) Site de l’APEC : L'APEC compte parmi ses membres une grande partie des pays de l’Asie du sud et de l’est. A noter que l’Inde n’est pas membre de l’APEC.

(2) Site des CBPR

(3) Privacy Framework de l’APEC

(4) Lignes directrices de l’OCDE 

(5) “GDPR and CBPR: Reconciling Personal Data Protection and Trade”, APEC policy support unit, Policy Brief No.23, October 2018

 

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Juin 2020

Transferts de données personnelles et Brexit : comment se préparer à une sortie de l’UE sans accord ?

Le rejet du plan de sortie de l’Union européenne par les parlementaires britanniques à deux reprises, les 15 janvier et 12 mars derniers, laisse planer la possibilité d’un Brexit sans accord le 29 mars 2019, et ce même en cas d’un report éventuel de quelques semaines. La sortie du Royaume-Uni de l’Union européenne sans accord posera de multiples problèmes, dont celui des transferts de données personnelles entre l’UE (et l’Espace économique européen - EEE) et le Royaume-Uni. Les sociétés de services numériques, les établissements financiers et les multinationales sont particulièrement concernés.

Les sociétés britanniques et leurs co-contractants européens doivent donc être préparés en cas de sortie de l’UE sans accord (« hard Brexit » ou « no-deal Brexit »), afin de minimiser les conséquences d’une telle situation sur leurs activités.

Bien que le Royaume-Uni ait mis à jour sa réglementation sur la protection des données personnelles avec le Data Protection Act 2018,(1) entré en application en même temps que le RGPD le 25 mai 2018, un hard Brexit signifierait la fin de la libre circulation des données personnelles entre l’Union européenne et le Royaume-Uni. Le Royaume-Uni sera alors considéré comme un pays tiers à l’UE et à l’EEE, sans pouvoir bénéficier du statut de pays offrant un niveau de protection adéquat. Les sociétés concernées, responsables de traitement, cotraitants et sous-traitants, devront mettre en place des accords de même type que les entreprises à l’international.

Voyant la date butoir se rapprocher, le Comité européen de la protection des données (CEPD) et la CNIL ont publié, courant février, des conseils à l’attention des organismes concernés par les transferts de données entre l’Union européenne et le Royaume-Uni.(2)


1. La mise en place d’outils de transfert de données pour continuer à assurer un niveau de protection adéquat

Les transferts de données depuis un pays membre de l’Union européenne vers un pays extérieur à l’UE ne bénéficiant pas d’une décision d’adéquation sont soumis à l’exigence de “garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives”, définies par des documents contraignants pour les deux parties, responsable du traitement et destinataire des données. (art. 46 du RGPD)

Ces documents peuvent être :

    - Les clauses contractuelles types (CCT)
Les CCT sont des contrats types de transferts de données adoptés par la Commission européenne. Les CCT doivent être signées telles quelles, et ne peuvent être modifiées par les parties. Il existe deux types de CCT : les CCT entre responsable du traitement européen et responsable du traitement de pays tiers (co-responsables de traitements) et les CCT entre responsable du traitement européen et sous-traitant d’un pays tiers.(3)

    - Les contrats “ad hoc”
Les clauses contractuelles spécifiques, ou “ad hoc” sont des contrats de transferts de données négociés entre les parties. Ces contrats doivent cependant être préalablement autorisés par la CNIL, après avis du CEPD.

    - Les codes de conduite et les mécanismes de certification
Ces deux outils ont été créés avec le RGPD. Comme pour les contrats “ad hoc”, les codes de conduite et mécanismes de certification doivent avoir été préalablement autorisés par la CNIL, après avis du CEPD. Ces outils étant nouveaux, ils semblent peu appropriés pour gérer les transferts de données entre l’UE et le Royaume-Uni, alors que les délais de mise en conformité sont très serrés.

    - Les règles contraignantes d’entreprise (ou binding corporate rules - BCR)
Les BCR sont des politiques intra-groupe, mises en oeuvre au sein de groupes ou sociétés multinationales et applicables à toutes les sociétés du groupe dans le monde. (art. 47 du RGPD) L’adoption des BCR est soumise à une procédure d’approbation par la CNIL. Comme pour les codes de conduite, le délai de mise en place de BCR rend cet outil peu approprié en l’espèce.(4)

Ainsi, pour les entreprises concernées par des transferts de données personnelles vers le Royaume-Uni n’ayant pas de BCR (transferts au sein de sociétés d’un même groupe), l’outil le plus adapté, compte tenu de la situation, est le CCT, document “prêt-à-signer” permettant de se mettre en conformité dans des délais très courts.

En cas d’utilisation de services cloud par des sociétés situées dans l’Union européenne, il conviendra de se poser la question de la situation des data centers et prendre éventuellement les mesures appropriées de mise en conformité : rapatriement des données personnelles sur le continent ou signature de CCT avec le prestataire de services cloud.

Des décisions devront être prises très rapidement par les entreprises concernées pour minimiser les blocages de transferts de données entre le continent européen et le Royaume-Uni.


2. Les autres mesures de mise en conformité des sociétés britanniques et non-européennes

Les sociétés britanniques et non-européennes devront également se mettre en conformité avec le RGPD en cas de “hard Brexit”.

    - La désignation d’un représentant dans l’UE
En vertu des articles 3(2) et 27 du RGPD, les sociétés britanniques responsables de traitement ou sous-traitantes, qui traitent d’importants volumes de données de résidents européens, devront désigner un représentant situé dans l’un des Etats-membres, comme toute société non-européenne dans la même situation.

Quant aux sociétés non-européennes qui auraient désigné un représentant britannique, elles devront désigner un nouveau représentant situé dans l’un des Etats-membres pour se mettre en conformité.

    - La désignation d’une autorité chef de file dans l’UE
Enfin, les sociétés non-européennes qui auraient désigné l’autorité de contrôle britannique (ICO) comme autorité de contrôle chef de file devront rapidement désigner une nouvelle autorité de contrôle dans l’un des Etats-membres, conformément à l’article 56 du RGPD.


3. La situation des données en provenance du Royaume-Uni

Les transferts de données personnelles vers l’UE en provenance du Royaume-Uni ne seraient pas soumis à des procédures supplémentaires pour garantir les droits des personnes concernées. Ces données personnelles britanniques pourront être transférées librement vers l’Union européenne, sous réserve d’être ensuite traitées conformément à la réglementation applicable.


    En l’absence de mise en place des outils juridiques appropriés avant la date effective du Brexit, tout transfert de données depuis l’UE vers le Royaume-Uni deviendra illicite. Cette situation peut paraître paradoxale alors que le Royaume-Uni est pour l’instant soumis au RGPD et donc considéré comme offrant les garanties nécessaires pour la protection des données personnelles en provenance du continent.

La Commission devrait très probablement régulariser cette situation dans les mois qui viennent en prenant une décision d’adéquation pour le Royaume-Uni.

                                                                          * * * * * * * * * * * *


(1) https://ico.org.uk/for-organisations/data-protection-act-2018/
 

(2) Se préparer à un Brexit sans accord : quelles questions ? Quels conseils de la CNIL ? site de la CNIL

(3) https://www.cnil.fr/fr/les-clauses-contractuelles-types-de-la-commision-europeenne

(4) https://www.cnil.fr/fr/les-regles-dentreprise-contraignantes-bcr-binding-corporate-rules


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mars 2019

La CNIL prononce une sanction record de 50 millions d’euros à l’encontre de Google

Le 21 janvier 2019, la formation restreinte de la CNIL a prononcé une sanction pour un montant de 50 millions d’euros, à l’encontre de la société Google LLC.(1) Cette délibération, la première rendue en application du RGPD, est particulièrement motivée quant aux règles de compétence de l’autorité de contrôle pour engager la procédure, et quant aux manquements constatés.

L’un des objectifs du RGPD est de donner aux personnes concernées plus de maîtrise sur leurs données personnelles, en renforçant les principes de transparence et de consentement éclairé, grâce à une information préalable claire et compréhensible.

En l’espèce, la décision de la CNIL sanctionne un manque de transparence de la part de Google et met en cause la validité du consentement obtenu à partir d’informations qui “ne sont pas toujours claires et compréhensibles”, ni aisément accessibles pour les utilisateurs.

Les 25 et 28 mai 2018, soit juste après l’entrée en application du RGPD, la CNIL a été saisie de deux plaintes collectives en vertu de l’article 80 du RGPD, déposées pour le compte de près de 10.000 personnes, par les associations None Of Your Business et La Quadrature du Net. Ces plaintes étaient motivées par le fait que Google traitait les données personnelles des utilisateurs de ses services, notamment à des fins de ciblage publicitaire, sans base juridique valable.

En septembre 2018, la CNIL a procédé à un contrôle en ligne pour vérifier la conformité à la loi Informatique et Libertés et au RGPD des traitements de données personnelles réalisés par Google. Pour ce faire, la Commission a analysé le parcours d’un utilisateur et les documents auxquels il peut avoir accès, en créant un compte Google au moment de la configuration de son téléphone mobile sous Android.


1. La compétence de la CNIL pour engager la procédure contre Google

Avant même d’aborder les manquements constatés par la formation restreinte de la CNIL(2), celle-ci justifie notamment sa compétence pour engager cette procédure contre la société Google.

La société Google contestait en effet la compétence de la CNIL, en soutenant que le siège européen de Google étant situé en République d’Irlande, l’autorité de protection des données irlandaise (Data Protection Commission) était compétente en qualité d’autorité chef de file.

La formation restreinte rappelle que la notion d’établissement principal suppose que l’établissement concerné dispose d’un “pouvoir de décision vis-à-vis des traitements de données à caractère personnel (…)”, et que ce pouvoir de décision comprend “l’exercice effectif et réel d’activité de gestion déterminant les décisions principales quant aux finalités et aux moyens du traitement.” Cette notion doit s’apprécier in concreto et ne peut reposer que sur la déclaration de l’entreprise en cause.

En l’espèce, Google ne démontre pas que sa filiale irlandaise disposait d’un pouvoir décisionnel sur les finalités et les moyens des traitements concernés. Le rôle de Google Ireland Limited se concentrait sur les activités commerciales et financières de Google en Europe. Par ailleurs, Google Ireland Limited n’était pas mentionnée dans les Règles de confidentialité de la société au 25 mai 2018 (date de l’entrée en application du RGPD), et n’avait pas désigné de délégué à la protection des données (DPO).

La formation restreinte en conclut que Google Ireland Limited ne peut être considérée comme l’établissement principal européen de Google LLC au sens de l’article 4 (16) du RGPD. Elle ne peut donc identifier une autorité chef de file. Après avoir consulté les autres autorités de contrôle européennes et pris en compte les lignes directrices publiées par le CEPD (3), la CNIL se déclare compétente pour engager cette procédure.


2. Les manquements constatés par la CNIL

Pour établir ses constatations, la formation restreinte a analysé le parcours d’un utilisateur et les documents contractuels auxquels il peut avoir accès, en créant un compte Google lors de la configuration de son téléphone mobile sous Android.

Deux séries de manquements au RGPD ont été constatés :

     1 - Un manquement aux obligations de transparence et d’information

Le RGPD repose sur les deux principes fondamentaux de transparence et d’information. La formation restreinte reprend les articles correspondants (art. 12 et 13 notamment) et les applique à la lettre à la procédure de création de compte sur Google.

Selon l’article 12 du RGPD, les informations fournies à la personne concernée doivent être concises, transparentes, compréhensibles, aisément accessibles, et rédigées en termes clairs et simples. L’article 13 prévoit que le responsable de traitement fournit les informations suivantes à la personne concernée au moment de la collecte des données, à savoir l’identité et les coordonnées du responsable du traitement, le cas échéant les coordonnées du DPO, les finalités du traitement ainsi que sa base juridique, les destinataires des données, le cas échéant, le fait que les données seront transférées vers un pays tiers, etc.

En l’espèce, les informations délivrées par Google aux utilisateurs ne sont pas suffisamment accessibles, claires et compréhensibles. Certaines informations obligatoires ne sont pas fournies aux utilisateurs : “des informations essentielles, telles que les finalités pour lesquelles les données sont traitées, la durée de conservation des données ou les catégories de données utilisées pour la personnalisation de la publicité, sont excessivement disséminées dans plusieurs documents, qui comportent des boutons et liens qu’il est nécessaire d’activer pour prendre connaissance d’informations complémentaires. L’information pertinente n’est accessible qu’après plusieurs étapes, impliquant parfois jusqu’à cinq ou six actions.”

L’architecture générale de l’information, mise en place par Google, rend l’accès à certaines informations clés difficile. Ainsi, même si ces informations sont fournies par Google, elles sont difficiles à trouver car nécessitent de passer de page en page, par plusieurs clics, avant de les atteindre.

La formation restreinte conclut à un défaut global d’accessibilité des informations délivrées par la société.

La formation restreinte met ensuite l’accent sur le caractère “massif et intrusif” des traitements mis en oeuvre par Google. Elle rappelle que les données collectées par Google à travers ses différents services proviennent de sources très variées : données d’utilisation du téléphone portable (Android), de la messagerie Gmail, de la plateforme de vidéos YouTube, données de navigation sur internet avec les cookies Google Analytics déposés sur des sites tiers, données de géolocalisation…

Ces données relèvent de trois catégories : les données produites par la personne concernée (nom, mot de passe, adresse email, etc.), les données générées par son activité (adresse IP, identifiant uniques de l’utilisateur, données de réseaux mobiles et sans fil, géolocalisation, etc.), et les données dérivées à partir des données produites par la personne ou générées par son activité (ciblage publicitaire sur la base notamment des centres d’intérêt des utilisateurs, à partir de leur activité sur internet, ou recommandations personnalisées).

La formation restreinte considère que les finalités annoncées dans les différents documents sont “trop génériques au regard de la portée des traitements mis en oeuvre et de leurs conséquences.” La description des données collectées est imprécise et incomplète. Au vu de ces éléments, elle considère que l’utilisateur n’est pas à même de prendre la mesure des conséquences des principaux traitements sur sa vie privée.

Le manque de clarté et la difficulté des utilisateurs à “comprendre l’ampleur des traitements mis en place par Google”, considérés comme “particulièrement massifs et intrusifs” est en partie la conséquence du nombre de services proposés par Google, de la quantité de données collectées ainsi que leur nature.

     2 - Un manquement à l’obligation de disposer d’une base légale pour les traitements de personnalisation de la publicité

La deuxième série de manquements concerne la validité du consentement.

L’un des principes fondamentaux du droit de la protection des données repose sur la caractère licite du traitement, et particulièrement le consentement de l’utilisateur qui doit être libre, spécifique, éclairé et univoque, et recueilli par un acte positif clair (art. 4 (11) RGPD). Les conditions relatives au recueil et au retrait du consentement figurent à l’article 7 du RGPD.

A ce titre, la CNIL relève que le consentement de l’utilisateur n’est pas valablement recueilli car non suffisamment éclairé, dans la mesure où l’information, telle que l’information sur les traitements de personnalisation de la publicité, est disséminée dans plusieurs documents et parfois difficile à localiser.

La CNIL relève ensuite que le consentement n’est ni “spécifique” car il concerne plusieurs traitements alors que le RGPD implique un consentement distinct pour chaque traitement ou finalité, ni “univoque” dans la mesure où plusieurs cases sont pré-cochées par défaut alors qu’elles devraient être décochées.

La formation restreinte en conclut que le consentement des utilisateurs n’est pas valablement recueilli car il n’est pas donné par un acte positif et distinct pour chacun des traitements mis en oeuvre.


3. Les motivations justifiant le montant de la sanction

Enfin, la formation restreinte justifie le montant de cette sanction, fixé en application des nouvelles dispositions du RGPD (art. 83), compte tenu de la gravité des manquements constatés, du nombre d’utilisateurs, du nombre de services et du volume de données concernés, et du fait que ces manquements sont continus et non pas délimités dans le temps. La CNIL rappelle ainsi que “le renforcement des droits des personnes est l’un des axes majeurs du Règlement” et que “les personnes physiques devraient avoir le contrôle des données à caractère personnel les concernant.”

Les manquements constatés permettent, selon la formation restreinte, de justifier une amende qui, en l’espèce, a été fixée à 4% du chiffre d’affaires de la société Google, soit 50 millions d’euros. Cette amende reste cependant très en deçà du plafond de 20% du chiffre d’affaires mondial de Google (110 milliards de dollars en 2017 pour sa maison-mère, Alphabet), prévu par le RGPD.

La société Google a annoncé sa décision de former un recours devant le Conseil d’Etat.


    L’objectif de remplacer la précédente directive d’octobre 1995 par un règlement est d’assurer une approche unifiée du droit de la protection des données personnelles dans l’Union européenne. A ce titre, la formation restreinte mentionne avoir consulté les autres autorités de contrôle et se réfère à plusieurs reprises dans sa délibération aux lignes directrices du CEPD. On peut donc s’attendre au développement d’une “jurisprudence” homogène des autorités de contrôle européennes.

Cette première sanction de la CNIL donne un aperçu de l’application effective du RGPD et comment la conformité à la nouvelle réglementation est appréhendée par l’autorité de contrôle, à savoir une interprétation stricte du règlement. La CNIL sanctionne ici une architecture de l’information trop complexe et peu instinctive pour l’utilisateur, ainsi que des textes souvent rédigés dans des termes peu clairs ou trop généraux.

La difficulté pour Google, comme pour toutes les plateformes proposant plusieurs services, sera de concilier les impératifs de concision, transparence et simplicité de l’information avec ceux de clarté et spécificité du consentement, afin d’être considérée conforme aux dispositions du RGPD, alors même que ces dispositions impliquent des documents contractuels plus longs car plus détaillés. Même si Google a choisi de former un recours contre la délibération de la CNIL, la société devra faire un réel effort de simplification et de transparence de l’information.

                                                                   * * * * * * * * * * *


(1) Délibération de la formation restreinte n°SAN-2019-001 du 21 janvier 2019 prononçant une sanction pécuniaire à l’encontre de la société Google LLC

(2) La formation restreinte de la CNIL est un collège spécifique composé de 6 membres. Elle est chargée de mener les procédures de non-conformité au RGPD et à la loi Informatique et Libertés et, le cas échéant, de prononcer des sanctions pécuniaires.

(3) Le comité européen à la protection des données (CEPD, ex-groupe de travail Article 29 ou G29) rassemble les autorités des 28 Etats-membres. Il a notamment pour mission de clarifier la mise en œuvre du RGPD en vue d’assurer une application uniforme du règlement. Ainsi, 19 lignes directrices ont été adoptées et 6 sont en cours d’élaboration par le CEPD.


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Février 2019

RGPD : pendant quelle durée conserver les données personnelles ?

L’un des sujets d’achoppement entre l’Union européenne et les “GAFA” concerne la durée de conservation des données personnelles collectées. Pour ces sociétés, lorsque les traitements sont soumis au droit américain (droit de l’état de Californie notamment), la question de la durée de conservation des données personnelles ne se pose pas, celles-ci pouvant généralement être conservées sans limitation. Il n’en est pas de même en Europe.

Le RGPD impose non seulement de minimiser les données collectées, c’est-à-dire de limiter les catégories et les volumes de données personnelles collectées, mais également, de limiter leur durée de conservation. (1)

La question n’est pas nouvelle puisque le principe de durée limitée de conservation des données figure déjà à l’article 6 de la loi Informatique et Libertés de janvier 1978. (2)

Mais que signifie le fait de conserver les données pour une durée limitée ? Et comment définir cette durée ? La réponse à ces questions est relativement complexe. En effet, il n’existe pas une durée unique de conservation des données personnelles, mais des durées variables suivant la finalité des traitements.

Certaines données n’ont pas besoin d’être conservées pendant une durée supérieure à leur utilisation effective (quelques minutes à quelques jours). En revanche, d’autres catégories de données personnelles doivent être conservées pendant une durée fixée par la loi, afin par exemple, de permettre aux parties d’exercer leurs droits ou de prouver un acte juridique ou l’exécution d’une obligation. Les données personnelles concernées ne seront effacées qu’à l’expiration de ce délai.

En matière de durée de conservation des données personnelles, la distinction peut s’opérer ainsi : celles pour lesquelles il existe des règles relatives à la durée de conservation (délai de prescription), et celles non couvertes par un délai de prescription.


1. Les données devant être conservées pendant un délai légal

Certaines catégories de données doivent être conservées pendant une durée déterminée par le délai de prescription. (3) En effet, chacune des parties concernées doit pouvoir rapporter la preuve d’un acte juridique (achat / vente, paiement d’une prestation, paiement de la TVA, etc.) pendant un délai raisonnable, fixé par la loi.

Il existe de multiples délais de prescription légale, que ce soit en droit civil, commercial, fiscal ou pénal par exemple.

En règle générale :
    - en matière civile, le délai de prescription applicable aux biens et services fournis par un vendeur ou prestataire professionnel à un consommateur est de 2 ans. En matière de salaires, la prescription est de 3 ans ;
    - en matière commerciale, le délai de prescription est fixé à 5 ans pour les obligations entre commerçants et entre commerçants et non-commerçants (consommateurs) ;
    - enfin, en matière fiscale, le délai de prescription est fixé à 3 ans (fin de la troisième année qui suit celle au titre de laquelle l'imposition est due). (4)

Comment appliquer ces délais à la durée de conservation des données personnelles collectées ? Il convient d’identifier la finalité du fichier afin de déterminer la durée de conservation applicable aux données collectées.

Exemple de données collectées dans le cadre de la relation entre l’entreprise et ses clients :
    - Contrat de vente ou de prestation de services : les données devant être conservées concernant les contrat comprennent, outre le contrat, les coordonnées du client (nom, prénom, adresse, etc.). Ces données doivent être conservées pendant 5 ans.
    - Facturation et paiement : les données devant être conservées comprennent les coordonnées du client (nom, prénom, adresse, etc.) et les données de facturation. Ces données doivent être conservées pendant 3 ans.
    - Obligations fiscales (TVA, IS) : les données devant être conservées comprennent les données de facturation. Ces données doivent être conservées pendant 3 ans.

Exemple de données collectées dans le cadre de la relation entre l’entreprise et ses salariés :
    - Gestion de la paie : les données devant être conservées comprennent les coordonnées du salarié (nom, prénom, adresse, etc.) et les données de salaire. Ces données doivent être conservées pendant 3 ans.

Comme on peut le voir par les quelques exemples ci-dessus, certaines catégories de données sont utilisées pour plusieurs actes (inscription sur un site de e-commerce, achats en ligne, commandes de prestations, etc.) eux-mêmes couverts par des délais de prescription différents. Il conviendra d’identifier l’objectif poursuivi par la collecte de données et appliquer la durée correspondant à cette finalité.

Afin de s’assurer que l’on ne conserve que les données nécessaires pendant la durée légale applicable, il conviendra de les cartographier en identifiant les traitements pour lesquels ces données sont utilisées et déterminer la durée de prescription légale la plus longue. Les autres données seront supprimées.


2. Les données non couvertes par un délai de conservation légal

La durée de conservation des données collectées pour certains traitements n’est pas soumise à un délai de conservation légal. Il conviendra alors d’appliquer strictement le principe de conservation uniquement pour le temps nécessaire à l’accomplissement de la finalité poursuivie lors de la collecte.

Par exemple :
    - en matière de vidéosurveillance sur le lieu de travail, la CNIL recommande une durée de conservation des données de quelques jours à un mois maximum ;
    - les coordonnées de la carte bancaire du client lors d’un achat en ligne ne doivent être conservées que pendant la durée de réalisation de l’opération de paiement, éventuellement augmentée du délai de rétractation ;
    - les coordonnées d’un prospect inactif doivent être supprimées au bout d’un délai maximum de trois ans. (5)


Enfin, certaines données personnelles peuvent faire l’objet d’un archivage. Il convient de déterminer les règles d’archivage dans une procédure interne. La CNIL a défini trois types d’archives : la base active (ou archives courantes), les archives intermédiaires et les archives définitives. L’obligation de sécurité applicable en matière de traitement de données personnelles s’applique également aux données archivées (sécurité technique et physique) et sera adaptée à la nature des données archivées.

    En conclusion, il est vivement recommandé de prévoir une procédure spécifique relative à la détermination de la durée de conservation des données personnelles collectées. Cette procédure définira les objectifs poursuivis par la collecte, les catégories de données personnelles collectées, l’existence ou non de durées de conservation légale, la nécessité ou non d’archiver certaines données, etc. Par ailleurs, la loi n’est pas statique, même en matière de délais de prescription ou de conservation. Il conviendra de mettre cette procédure à jour en tenant compte de l’évolution de la loi et de la jurisprudence.

                                                                         * * * * * * * * * * * *

(1) Article 5 1. e) du RGPD “1. Les données à caractère personnel doivent être: (…) e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l'article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation).”

(2) Article 6 5° de la loi Informatique et Libertés: “[Les données] sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.”

(3) Il s’agit de la prescription extinctive. A l’issue du délai de prescription, le droit (ex. créance) s’éteint du fait de l’inaction de son titulaire. Par exemple, si le créancier d’une dette ne réclame pas le règlement d’une facture impayée, la créance s’éteint à l’issue du délai de prescription. Une fois le délai de prescription dépassé, le titulaire du droit ne peut plus l’exercer en cas d’inaction. (c.civ. art. 2219)

(4) Liste non exhaustive

(5) Voir la norme simplifiée n°48 (NS-048) de la CNIL relative à la gestion de clients et de prospects


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mai 2018