Données personnelles Janvier-Février 2023 - Propriété intellectuelle

Cette newsletter bimestrielle LAVOIX présente une sélection des actualités juridiques du domaine de la protection des données personnelles pour la période janvier-février 2023.

1. Délibérations de la CNIL

La CNIL sanctionne le réseau social TIKTOK pour atteinte aux règles applicables en matière de cookies

Par une délibération du 29 décembre 2022, la CNIL a condamné TIKTOK à une amende de 5 millions d’euros sur le fondement de l’article 82 de la loi Informatique et Libertés.

Elle lui a notamment reproché ne de pas permettre aux utilisateurs de refuser les cookies aussi facilement que de les accepter et de ne pas les avoir informés sur les objectifs de la collecte des cookies. En l’occurrence, plusieurs clics étaient nécessaires pour refuser les cookies alors que seulement un clic permettait de les accepter.

La société APPLE sanctionnée à hauteur de 8 millions d’euros en raison de ses méthodes de personnalisation des annonces publicitaires non conformes

Le géant du numérique a été sanctionné par une délibération de la CNIL du 29 décembre 2022 pour un manquement à l’article 82 de la loi Informatique et Libertés.

La société n’aurait pas respecté son obligation d’information : lorsqu’un utilisateur allait sur l’Apple Store, ses identifiants étaient automatiquement lus et utilisés afin de personnaliser les annonces publicitaires diffusées sur l’application, sans son consentement préalable. Ces identifiants n’étant pas nécessaires à la fourniture du service de l’Apple Store, ils ne pouvaient donc pas être utilisés sans le consentement préalable de l’utilisateur.

Dans le calcul du montant, la CNIL a notamment pris en compte la portée du traitement limitée à l’Apple Store, le nombre d’utilisateurs concernés, les bénéfices tirés et la mise en conformité entreprise en cours de procédure.

Sanction de la société VOODOO à hauteur de 3 millions d’euros pour non-respect du consentement des utilisateurs

La CNIL a condamné la société de jeux pour smartphone le 29 décembre 2022 pour manquement à l’article 82 de la loi Informatique et Libertés et a prononcé à son encontre une injonction de recueillir le consentement de l’utilisateur afin de pouvoir utiliser son identifiant technique (« IDFV ») à des fins publicitaires. L’IDFV permet à un éditeur d’une application sur l’Apple Store de suivre les habitudes de navigation d’un utilisateur sur les applications dans le but de personnaliser les annonces publicitaires qui lui sont faites.

Cette condamnation est assortie d’une astreinte de 20 000 euros par jour de retard.

La CNIL met en demeure deux établissements pour atteinte au RGPD

Deux établissements dans le domaine de l’enseignement supérieur ont été mis en demeure par la CNIL, fin 2022, à la suite d’une plainte, de se mettre en conformité, dans un délai de deux mois, avec le RGPD concernant notamment la durée de conservation, l’information insuffisante des étudiants concernant la collecte de leurs données et les mesures de sécurité mises en œuvre.

Concernant la durée de conservation des données, les établissements ne prévoyaient pas de durée de conservation minimum. En outre, les mesures de sécurité en matière de mots de passe auraient été considérées comme insuffisantes et ne respecteraient pas les recommandations de la CNIL.

2. Documentation de la CNIL

La CNIL publie le bilan annuel de son activité répressive en 2022

En 2022, la CNIL a rendu 21 sanctions dont 19 amendes et 2 décisions de liquidation d’astreinte, pour une somme totale de 101 277 900 euros.

Les décisions rendues portent essentiellement sur le défaut d’information des personnes, le non-respect de leurs droits, la non coopération avec la CNIL, l’atteinte à la sécurité des données personnelles, la mauvaise gestion des cookies ou encore les manquements en lien avec la prospection commerciale.

La formation restreinte de la CNIL a prononcé 17 de ces sanctions dans le cadre de la procédure simplifiée mise en place début 2022 pour répondre à l’augmentation des plaintes.

La CNIL a aussi envoyé 147 lettres de mises en demeures et étudié 18 dossiers européens.

S’agissant du bilan des sanctions prononcées depuis l’entrée en vigueur du RGPD, de la loi Informatique et Liberté et de la directive ePrivacy, la CNIL aurait prononcé des amendes pour un montant cumulé à hauteur de 500 millions d’euros contre des entreprises de toutes tailles et de tous secteurs.

Au niveau Européen, les sanctions prononcées dépasseraient, cumulativement, les 2,5 milliards d’euros.

La CNIL accompagne les recruteurs dans la mise en conformité avec le RGPD

Le 30 janvier 2023, la CNIL publie un Guide de recrutement pour accompagner les professionnels dans les étapes du recrutement, les aider à se mettre en conformité avec le RGPD et à faire face à l’essor des nouvelles technologies dans le milieu professionnel dans un objectif de protection de la vie privée des candidats.

Le guide est divisé en deux parties dont l’une présente les principes fondamentaux en matière de protection des données personnelles sous forme de fiches et l’autre propose des questions-réponses plus spécifiques et pratiques.

3. Actualités légales et jurisprudentielles – France

Un contrat de réalisation de site internet peut être annulé sur le fondement du RGPD

La chambre commerciale de la Cour d’appel de Grenoble a décidé le 12 janvier 2023 que le contrat de prestation de service pouvait être annulé pour erreur sur une qualité essentielle du site internet, la société contractante pouvant « s’attendre légitimement à ce que le site ne collecte pas illégalement des données personnelles ».

En l’occurrence, le site permettait un accès à des données personnelles sans information ni consentement de la personne concernée, contrairement à ce qu’affirmait la politique de confidentialité dudit site. Il en résultait une responsabilité pesant sur la société contractante, sans en avoir été informée par le prestataire de service, information pourtant déterminante dans la conclusion du contrat.

4. Actualités légales et jurisprudentielles – Europe & International

La société META sanctionnée par l’Autorité de contrôle irlandaise

L’Autorité irlandaise a prononcé deux sanctions à l’encontre du groupe Meta pour traitement illicite et manque de transparence, au regard des conditions générales des services prévoyant une base légale de traitement contractuelle, notamment pour la diffusion de publicités personnalisées.

Il a été considéré que la base légale du traitement ne pouvait pas être contractuelle. Ces sanctions ont été permises à la suite des résolutions prises par le CEPD et publiées le 12 janvier 2023, concernant Instagram et Whatsapp.

Les sanctions ont atteint 210 millions d’euros et 180 millions d’euros. Le groupe Meta a été mis en demeure de se mettre en conformité au RGPD dans un délai de trois mois.

La Cour de justice de l’Union européenne (CJUE) précise la portée de l’obligation d’information

Par arrêt du 12 janvier 2023, le juge européen a rappelé que toute personne a le droit de savoir à qui ses données personnelles ont été communiquées. Ce droit découle de l’obligation d’information prévue à l’article 15, §1, c) du RGPD.

La Cour précise, au regard du droit d’accès et du principe de transparence, que le responsable de traitement a l’obligation de fournir à la personne concernée l’identité des destinataires spécifiques à qui les données ont été communiquées. Si le responsable de traitement démontre que les demandes d’accès sont manifestement infondées ou excessives, il peut n’indiquer que les catégories de destinataires en cause.

La CJUE retient que les recours civils et administratifs prévus par le RGPD peuvent être introduits simultanément

Un deuxième arrêt du 12 janvier 2023 valide l’introduction concomitante, concurrente et indépendante de deux recours devant une juridiction administrative et une juridiction judiciaire, en application des articles 77, 78 et 79 du RGPD et ce, au regard du droit à un recours effectif devant un tribunal.

Il appartient dès lors aux Etats de s’assurer que les modalités concrètes d’exercice de ces voies de recours respectent ce droit fondamental.

La CJUE retient la non-conformité de la collecte systématique de données biométriques d’un mis en examen

La Cour a jugé le 26 janvier 2023 que le droit national bulgare, concernant la collecte de données génétiques et biométriques des personnes mis en examen, intégrées dans un fichier de police était incompatible avec la directive dite « police-justice » (directive (UE) 2016/680 du 27 avril 2016).

Ces données sont qualifiées de sensibles, et doivent donc bénéficier d’un régime de protection accru. Elles ne peuvent être traitées qu’en cas de nécessité absolue, au regard des principes de licéité et de minimisation.

La Cour en a conclu qu’une collecte forcée et systématique de données génétiques et biométriques de toute personne mise en examen n’est pas conforme au droit européen.

La CJUE précise le statut du délégué à la protection des données (DPD)

Par arrêt du 9 février dernier, le juge européen s’est prononcé sur le statut protégé du DPD, particulièrement en cas de conflits d’intérêts. Il a retenu qu’un conflit d’intérêt peut être caractérisé « lorsqu’un délégué à la protection des données se voit confier d’autres missions ou tâches, qui conduiraient ce dernier à déterminer les finalités et les moyens du traitement de données à caractère personnel auprès du responsable du traitement ou de son sous-traitant ». Cette précision doit désormais être prise en compte par les responsables de traitement et les sous-traitants lorsqu’ils sont amenés à choisir leur DPD.

Le même arrêt a par ailleurs autorisé qu’une législation nationale ne prévoie qu’une révocation du DPD membre du personnel pour un motif grave, même si ce motif n’est pas lié à l’exercice de ses missions.

Cet arrêt doit être rapproché d’une décision récente du Conseil d’Etat qui avait défini le conflit d’intérêts du DPD de manière casuistique.

Les nouvelles clauses contractuelles types de la Commission européenne sont entrées en vigueur

Depuis le 27 décembre 2022, la version actualisée des clauses contractuelles types proposées par la Commission européenne doit être utilisée, voire de nouveau signée lorsque l’ancienne version servait de fondement à la licéité du transfert en dehors de l’Union européenne.

Cette mise à jour résulte de l’arrêt Schrems II du 16 juillet 2020, dans lequel la CJUE avait précisé que l’importateur et l’exportateur de données devaient prévoir des mesures supplémentaires s’ils constataient qu’en pratique les garanties fournies par les clauses contractuelles types n’étaient pas suffisantes.

Publication des lignes directrices sur les « dark patterns », ou designs déceptifs

Le CEPD a publié la version définitive de ses lignes directrices sur les dark patterns.

Ces lignes directrices doivent permettre aux designers et aux utilisateurs de réseaux sociaux de reconnaître ces pratiques trompeuses. Le CEPD pointe du doigt le fait de surcharger le site de demandes, encourageant les utilisateurs à autoriser des traitements de données sans le vouloir, le fait d’inciter le choix des utilisateurs en faisant appel à leurs émotions, ou encore le fait d’entraver la gestion des données en rendant difficile certaines actions.

Article rédigé par : Caroline ALET, Jeanne BRETON, Claire GOURJON, Pierre-Emmanuel MEYNARD et Camille PECNARD

Publié le : 27 mars 2023Catégories : PublicationMots-clés : Data Alert

Plus d’actu

L’étiquetage du vin : créativité sous contrainte(s)

Clause grand-père pour les mandataires OEB

Innovation & Hydrogène – La France en première ligne pour un hydrogène propre

Sursis à statuer en cas de procédures parallèles devant la JUB et l’OEB

Données personnelles

Janvier-Février 2023

Partager cet article

Plus d’actu

L’étiquetage du vin : créativité sous contrainte(s)

Clause grand-père pour les mandataires OEB

Innovation & Hydrogène – La France en première ligne pour un hydrogène propre

Sursis à statuer en cas de procédures parallèles devant la JUB et l’OEB