Cette newsletter trimestrielle LAVOIX présente une sélection des actualités juridiques du domaine de la protection des données personnelles pour la période mars-mai 2023.
1. Délibérations de la CNIL
La CNIL clôture la procédure contre FREE
Par une délibération du 20 mars 2023, la CNIL a clôturé la procédure d’injonction qui avait été annoncée le 30 novembre 2022. L’injonction portait sur les droits d’accès de certains plaignants, particulièrement sur l’identité d’un courtier en données.
L’astreinte n’a pas été liquidée, la société FREE démontrant être dans l’impossibilité matérielle de se conformer complètement à l’injonction.
Cette clôture de l’injonction pose la question de la pertinence de cette exigence de traçabilité de la chaîne de données (conformément au principe de transparence) en parallèle des principes de minimisation et de limitation de conservation des données, ces derniers ayant été privilégiés en l’espèce.
CityScoot sanctionnée à hauteur de 125 000 euros
La société de location de scooters en libre-service a été épinglée par la CNIL pour atteinte au principe de minimisation, un encadrement insuffisant des relations de sous-traitance et un défaut d’information et de base légale au regard du dépôt de cookies.
La CNIL rappelle ainsi la qualification de données à caractère personnel en cas de rapprochement de bases de données associant des informations relatives à une personne physique identifiée ou identifiable. Les données de géolocalisation sont qualifiées de « données à caractère hautement personnel », reprenant les termes du CEPD (Comité européen de la protection des données). Enfin, la validité des accords de sous-traitance dépend de leur contenu, qui doit reprendre de façon suffisamment précise et adaptée l’ensemble des mentions requises par le RGPD.
Liquidation de l’astreinte à l’encontre de CLEARVIEW AI
La CNIL s’était prononcée le 17 octobre 2022 à l’encontre de la société de développement de logiciel de reconnaissance faciale. Au regard de la persistance des manquements, la CNIL avait enjoint la société de se mettre en conformité, cette injonction étant assortie d’une « astreinte d’un montant de 100 000 euros par jour de retard et liquidable à l’issue d’un délai de deux mois ».
La CNIL a constaté que les manquements n’avaient pas été corrigés.
Par la délibération du 17 avril 2023, elle a donc liquidé l’astreinte pour un montant total de 5 200 000 euros.
2. Documentation de la CNIL
La CNIL publie une nouvelle version de son guide de la sécurité des données
En 17 fiches thématiques, la CNIL a mis à jour le guide pratique sur la sécurité des données personnelles. Cette mise à jour prend en compte ses dernières recommandations.
Destiné aux responsables de traitement et aux sous-traitants, ce guide explique toutes les précautions à prendre en la matière, notamment sur les mesures d’authentification des utilisateurs (fiche n°2), la traçabilité des accès dans les systèmes multi-utilisateurs (fiche n°4) ou encore les mesures techniques de sécurité informatique (fiches n°15 et 17).
La CNIL publie un dossier thématique sur l’identité numérique
Sous la forme de dossier thématique, nouveau support pour l’autorité, sont présentés l’état des lieux, les enjeux et les recommandations de la CNIL sur l’identité numérique.
L’identité numérique y est définie comme un « ensemble d’attributs associés à une personne physique qui permet de la relier à d’autres données ». Cela comprend par exemple l’Assurance Maladie, France Connect ou encore la nouvelle carte nationale d’identité électronique, dénommée « France Identité ». Sur cette dernière, la CNIL émet un avis positif, à condition qu’elle devienne pas obligatoire : ce système donne la possibilité aux personnes concernées de ne divulguer qu’une sélection d’informations et améliorerait la sécurité des procédures.
3. Actualités légales et jurisprudentielles – France
La Cour de cassation rappelle la mise en balance entre le droit à la protection des données et le droit à la preuve
Pour vérifier l’existence d’une potentielle discrimination salariale, un salarié demandait copie de données personnelles de ses collègues, à savoir leurs bulletins de salaire.
La chambre sociale interprète de manière stricte le considérant 4 du RGPD, pour appliquer ensuite le droit à la preuve et retient : « cette communication d’éléments portant atteinte à la vie personnelle d’autres salariés était indispensable à l’exercice du droit à la preuve et proportionnée au but poursuivi, soit la défense de l’intérêt légitime de la salariée à l’égalité de traitement entre hommes et femmes en matière d’emploi et de travail ».
Délai de 72h pour déposer plainte et être indemnisé par son assureur en cas de cyber-incident
De plus en plus de polices d’assurance prévoient le risque de cyber-incident. Le nouvel article L. 12-10-1 du Code des assurances ajoute une obligation de déposer plainte auprès des autorités compétentes dans le délai de 72h afin de bénéficier d’une indemnisation à ce titre.
Dans le sens d’une simplification des procédures pour les victimes de violations de données personnelles, cette nouvelle disposition permet un alignement exact avec l’article 33 du RGPD qui prévoyait déjà un délai de 72h pour notifier à la CNIL une telle violation.
Le Conseil d’Etat enjoint la CNIL de mettre en demeure Google de déréférencer un article de presse
Exerçant son droit à l’effacement des données, un requérant avait saisi la CNIL, qui avait refusé de mettre en demeure Google de supprimer un article de presse datant de 2017 et relatant des faits de 2014 sur une condamnation pénale.
Par un arrêt du 20 avril 2023, le Conseil d’Etat a annulé la décision de la CNIL. Il a notamment considéré que l’article ne nourrissait pas le débat public, la personne concernée n’ayant pas de notoriété particulière, et l’article ne décrivant pas la situation judiciaire actuelle.
4. Actualités légales et jurisprudentielles – Europe & International
L’enseignement scolaire public diffusé en direct est soumis au RGPD
En Allemagne, la diffusion en direct de cours par visioconférence demandait le consentement des étudiants ou de leurs représentants, sans demander le consentement des enseignants au traitement de leurs données personnelles. La juridiction administrative nationale avait des doutes sur la compatibilité de la réglementation spécifique nationale avec l’article 88 du RGPD, qui concerne le traitement des données dans le cadre des relations de travail. Elle a donc saisi la Cour de justice de l’Union européenne (CJUE) à titre préjudiciel.
Par un arrêt du 30 mars 2023, la Cour confirme que les traitements en cause sont soumis au RGPD. La Cour considère ensuite qu’une réglementation nationale ne peut constituer une règle plus spécifique au sens de l’article 88 (1) du RGPD si les conditions de l’article 88 (2) du RGPD ne sont pas remplies. Enfin, lorsque lesdites conditions ne sont pas remplies, la juridiction nationale saisie doit vérifier que le traitement dispose bien d’une base légale en vertu de la réglementation nationale visée.
Le registre du personnel peut constituer un moyen de preuve, tout en préservant le droit à la protection des données personnelles
Le 2 mars 2023, la CJUE a poursuivi sa tendance à la mise en balance des droits : en l’occurrence, il s’agissait du droit à la preuve et du droit à la protection des données.
Elle retient que la production du registre du personnel à des fins de contrôle fiscal (donc différentes des finalités initiales de collecte des données en cause) peut être valable si les conditions des articles 6(3) et 6(4) du RGPD sont réunies, à savoir qu’elle soit fondée sur le droit national et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique. La juridiction nationale est tenue de prendre en considération, dans chaque espèce, les intérêts des personnes concernées, et notamment les exigences découlant du principe de minimisation des données.
La qualification de données personnelles peut dépendre de l’entité qui les traite
La CJUE s’est prononcée le 26 avril 2023 sur le fait que le CEPD ait reproché au CRU (Conseil de résolution unique – autorité de résolution de l’Union bancaire européenne) d’avoir communiqué des données au cabinet Deloitte sans en informer les personnes concernées : le cabinet aurait eu accès à des réponses à des questionnaires, contenant des codes alphanumériques.
La CJUE considère que cette exigence d’information aurait dû être appréciée du point de vue du cabinet Deloitte, et non du CRU : le CEPD aurait dû rechercher si le cabinet disposait de moyens légaux et réalisables pour ré-identifier les auteurs des commentaires. En l’espèce, ces moyens auraient par exemple été les tables de correspondance des codes alphanumériques.
La CJUE précise les contours du droit d’accès
Dans un arrêt du 4 mai 2023, la CJUE a précisé l’article 15, (3) du RGPD, relatif au droit d’accès des personnes concernées.
Elle confirme son interprétation de l’étendue des documents pouvant être copiés : « la reproduction d’extraits de documents voire de documents entiers ou encore d’extraits de bases de données qui contiennent, entre autres, les données à caractère personnel faisant l’objet d’un traitement peut s’avérer indispensable, […] dans le cas où la contextualisation des données traitées est nécessaire pour en assurer l’intelligibilité. […] le contexte dans lequel ces données font l’objet d’un traitement est un élément indispensable pour permettre à la personne concernée de disposer d’un accès transparent et d’une présentation intelligible de ces données. » (§ 41 et 42)
La juridiction de renvoi demandait également de définir le terme « informations » de cet article 15, §3. La CJUE répond que ces informations se limitent nécessairement aux données personnelles de la personne concernée, sans considération de forme : le fait qu’il s’agisse de métadonnées n’a pas d’incidence, sous réserve de vérifier qu’il s’agit bien de données personnelles (§ 49-51).
Le CEPD adopte ses lignes directrices sur le droit d’accès
Ces lignes directrices précisent les modalités de mise en œuvre du droit d’accès, prévu à l’article 15 du RGPD.
Elles précisent ainsi les principes qui doivent guider ce droit : fourniture d’informations complètes, correctes, d’indicateurs temporels et respect des exigences de cyber-sécurité. Elles donnent ensuite des recommandations pratiques au responsable de traitement devant répondre à une demande d’accès, quant aux moyens d’accès les plus appropriés, quant au format des informations, ou encore au délai de réponse.
Réaction des autorités de contrôle face à ChatGPT
Plusieurs autorités de contrôle se sont intéressées au récent outil conversationnel d’intelligence artificielle, qui collecterait des données personnelles afin de « s’entraîner » dans un objectif de perfectionnement, ou encore qui ne limiterait pas son accès en cas d’utilisation par des mineurs.
Les autorités britannique et italienne ont formulé des avertissements, tandis que l’autorité canadienne a annoncé avoir ouvert une enquête.
Article rédigé par : Caroline ALET, Jeanne BRETON, Pierre-Emmanuel MEYNARD et Camille PECNARD