Veille Juridique n°65 – Novembre 2023.

Plaintes et sanctions : quel agenda 2024 pour les autorités de protection des données ?

L’entrée en vigueur du RGPD a provoqué une prise de conscience en matière de protection des données, aussi bien auprès des responsables de traitement que des particuliers.

Ceci s’est traduit par une augmentation des plaintes auprès des APDs, parfois accusées de ne pas donner suite à ces plaintes faute de ressources suffisantes.

Alors qu’au Royaume-Uni l’« Information Commissioner » a décidé de ne plus traiter certains types de plaintes considérées comme non prioritaires, dans l’Union européenne les autorités sont en principe tenues de traiter toute plainte, à partir du moment où elle est recevable bien entendu.

Ainsi, la Commission norvégienne de recours en matière de protection de la vie privée a annulé une décision de l’APD de clore un dossier de plainte par une simple lettre d’information au responsable du traitement, l’obligeant à évaluer la légalité du traitement et soulignant que l’autorité de protection des données ne peut pas choisir librement les dossiers à instruire ou non.

En France, la CNIL a mis en place en 2022 une procédure de sanction simplifiée lui permettant de traiter plus rapidement certains types de plaintes.

Il s’agit de dossiers pour lesquels il existe une jurisprudence établie, des décisions précédemment rendues par la formation restreinte, ou encore de questions de fait ou de droit qui s’avèrent simples à trancher.

La procédure est écrite, mais elle permet à l’organisme concerné d’être entendu et de présenter des observations orales.

Les sanctions sont plus limitées dans cette configuration, et peuvent consister en un rappel à l’ordre, une injonction de mettre le traitement en conformité – y compris sous astreinte d’un montant maximal de 100 € par jour de retard, ou une amende administrative d’un montant maximal de 20 000 €.

La CNIL vient ainsi de sanctionner dix acteurs privés et publics pour un montant total de 97 000 euros d’amendes pour des manquements :

• À l’obligation de répondre aux demandes de la CNIL ;
• À la minimisation des données ;
• À l’information sur le traitement mis en œuvre et ses finalités ;
• À l’obligation de respecter les droits des personnes, et notamment de répondre à une demande d’opposition.

La CNIL souligne que deux sujets ressortent particulièrement des plaintes qu’elle a eues à traiter: la géolocalisation et la vidéosurveillance permanentes des salariés.

Les traitements mis en œuvre sont souvent effectués en violation du principe de minimisation des données prévu dans le RGPD.

La Commission rappelle notamment que « l’enregistrement en continu des données de géolocalisation, sans possibilité pour les salariés d’arrêter ou de suspendre le dispositif sur les temps de pause est, sauf justification particulière, une atteinte excessive à la liberté d’aller et venir et au droit à la vie privée des salariés. »

Il en va de même en ce qui concerne les dispositifs de vidéosurveillance qui filment de manière constante les salariés à leur poste de travail.

« La prévention des accidents du travail et la constitution d’une preuve ne justifie pas la mise en œuvre de la vidéosurveillance en continu des postes de travail », et les données à caractère personnel collectées n’apparaissent ni adéquates ni pertinentes.

La surveillance permanente des salariés est, sauf exception, disproportionnée au regard des finalités poursuivies.

La CNIL annonce son intention d’intensifier sa politique répressive en 2024, et de prendre ses décisions dans des délais plus resserrés.

Précisons que dans le cadre de leur collaboration au niveau européen, les APDs membres du Comité européen de protection des données ont décidé de donner priorité l’année prochaine aux droits des individus : leur action coordonnée se concentrera sur la façon dont les responsables de traitements répondent aux demandes d’accès des personnes à leurs données, un sujet que l’on devrait retrouver dans les prochaines procédures de sanctions simplifiées de la CNIL.

 

  

• La CNIL a publié le 15 novembre un référentiel concernant les durées de conservation pour les traitements les plus fréquents dans les secteurs social et médico-social et une fiche pratique proposant une méthodologie aux professionnels concernés.
• En partenariat avec l’Autorité de la concurrence (AdlC) et la « Toulouse School of Economics », la CNIL organise le 12 décembre un évènement intitulé « Protection des données et concurrence : une ambition commune ». Lors de cette demi-journée destinée aux régulateurs, chercheurs et professionnels, l’AdlC et la CNIL adopteront et présenteront une déclaration conjointe.
• Le 9 novembre 2023, la CNIL a rappelé à l’ordre le ministère de la Transformation et de la Fonction publiques et le ministère de l’Économie, des Finances et de la Souveraineté industrielle et numérique pour avoir utilisé les coordonnées de plus de deux millions d’agents publics afin de communiquer et de justifier le projet de réforme des retraites alors en cours d’adoption.

Le ministre avait utilisé l’ENSAP, une plateforme numérique sur laquelle sont disponibles les documents confidentiels des agents publics, tels que leur bulletin de paie mensuel. 

La formation restreinte de la CNIL a notamment rappelé que la plateforme ENSAP ne peut pas servir à une communication de nature politique.

• Dans une décision du 16 novembre, le Conseil constitutionnel censure l’activation à distance des téléphones portables pour la captation de sons et d’images prévue par la loi d’orientation et de programmation de la justice concernant la loi organique relative à l’ouverture, à la modernisation et à la responsabilité du corps judiciaire.

Le Conseil estime que cette activation à distance, sans qu’il soit nécessaire pour les enquêteurs d’accéder physiquement à des lieux privés en vue de la mise en place de dispositifs de surveillance, est de nature à porter une atteinte particulièrement importante, et non proportionnée, au droit au respect de la vie privée.

Il souligne aussi le fait que cette mesure permet de surveiller aussi bien les personnes visées par les investigations que des tiers. 

En revanche, le Conseil constitutionnel ne censure pas l’activation à distance d’appareils électroniques à des fins de géolocalisation.

• Par une ordonnance de référé du 22 novembre 2023, le tribunal administratif de Caen a considéré que le dispositif de vidéosurveillance algorithmique Briefcam utilisé par la communauté de communes Cœur Côte Fleurie (comprenant notamment Deauville-Trouville) porte une atteinte grave et manifestement illégale au respect de la vie privée, et a enjoint les responsables d’effacer les données à caractère personnel issues de l’usage du logiciel.

Le juge des référés a constaté une utilisation en dehors de tout cadre légal ou réglementaire et considère qu’« il n’est pas établi ni même allégué que d’autres moyens moins intrusifs au regard de la vie privée ne pouvaient être mis en œuvre afin de préserver l’ordre public. »

• Le 8 novembre 2023, une coalition de six organisations, dont la Quadrature du Net et EDRi, a déposé un recours devant le Conseil d’État contre le décret français d’application du règlement relatif à la lutte contre la diffusion de contenus terroristes en ligne.

Elles demandent au Conseil d’État de saisir la Cour de justice de l’Union européenne (CJUE) d’une question préjudicielle sur la validité du TERREG au regard des droits fondamentaux protégés par le droit de l’Union européenne, et pointe les atteintes à la liberté d’expression et au droit à l’information en ligne.

 

 

Institutions et organismes européens

• Les commissions de l’environnement et des libertés civiles du Parlement européen ont adopté le 28 novembre leur position sur la création d’un espace européen des données de santé afin de favoriser la portabilité des données de santé personnelles et un partage plus sûr.

Les députés souhaitent notamment rendre obligatoire l’autorisation explicite des patients pour l’utilisation secondaire de leurs données de santé.

• L’Union européenne a adopté une révision du règlement eIDAS, ouvrant la voie à l’introduction d’une identité numérique à l’échelle de l’UE.

Certains aspects restent contestés, en particulier, les « certificats d’authentification de sites web qualifiés » (QWAC), qui obligeront les navigateurs à accepter des certificats racine émis par le gouvernement et conçus pour prévenir la fraude et l’usurpation d’identité, ce qui constitue pour certains experts en cybersécurité un risque d’intrusion dans l’authentification sur le web : les fournisseurs de navigateurs ne seraient pas en mesure de rejeter un QWAC, même s’il représentait une menace pour la sécurité.

• Alors que les négociations concernant le futur règlement sur l’IA se poursuivent au moment où nous écrivons ces lignes, un certain nombre de questions restent en suspens, dont celle de la prise en considération des modèles de fondation tels ChatGPT dans le règlement.

Une position de la société civile communiquée le 16 novembre aux négociateurs européens relève également la problématique de l’étendue de la protection contre les dommages liés à l’utilisation de l’IA à des fins de police, de migration et de sécurité nationale.

• Le Comité européen de protection des données (EDPB) a adopté le 14 novembre des lignes directrices sur le champ d’application technique de l’article 5(3) de la directive ePrivacy.

Le Comité explique que l’émergence de nouvelles méthodes de traçage visant à remplacer les outils de traçage existants tels que les cookies, et à créer de nouveaux modèles commerciaux, est devenue une préoccupation majeure en matière de protection des données.

Les lignes directrices abordent plus précisément le « device fingerprinting » et les techniques les plus communes telles que le suivi des URL et des pixels, le suivi basé sur l’IP uniquement, les rapports concernant l’internet des objets (IoT) ou encore les identifiants uniques.

• Le Contrôleur européen de la protection des données (EDPS) a publié mi-novembre un « TechDispatch » consacré à l’intelligence artificielle explicable (« explainable AI »), afin de remédier à l’effet « boîte noire » de l’IA.

Il aborde la question des risques des systèmes d’IA opaques et décrit comment l’IA peut intégrer la transparence, l’interprétabilité et l’explicabilité.

L’EDPS a également publié le 8 novembre une étude sur l’essence des droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel.

Ce document examine l’exigence de respecter l' »essence » de ces droits lorsqu’ils sont limités en vertu du droit de l’Union européenne (UE).

• Dans une décision du 9 novembre, la CJUE a précisé son interprétation de la donnée à caractère personnel.

Elle a estimé que les numéros d’identification des véhicules ne sont pas, en tant que tels, des données à caractère personnel.

Toutefois, ils deviennent des données à caractère personnel lorsqu’une personne (physique) qui y a accès a les moyens d’identifier le propriétaire du véhicule.

• La CJUE a adopté le 7 décembre deux arrêts importants concernant le fournisseur dominant de services d’information sur le crédit (« Schufa ») en Allemagne.

La Cour a notamment déclaré que le traitement automatisé de la solvabilité (« scoring ») est soumis à une interdiction de principe en vertu de l’art. 22 du RGPD.

Elle ajoute que l’entreprise qui établit un score de crédit par des moyens automatisés reste soumise à l’article 22, même si c’est une autre entreprise qui s’appuie sur ce score pour prendre des décisions ayant un impact (négatif) sur la personne concernée – raisonnement qui pourrait avoir un impact sur les systèmes d’assistance par l’IA.

La Cour a également confirmé que les tribunaux nationaux disposent de pouvoirs étendus pour contrôler les autorités chargées de la protection des données.

• La Cour européenne des droits de l’homme a publié en novembre un document recensant sa jurisprudence en matière de protection des données à caractère personnel.
• ENISA, l’agence européenne de la cybersécurité, a publié le bilan 2023 des menaces informatiques selon les secteurs d’activité.

Selon le « Threat Landscape 2023 », l’administration publique et les gouvernements restent des cibles privilégiées, suivis par les secteurs de la Santé, de l’industrie manufacturière, des transports et de la finance.

• Le 28 novembre, l’ONG noyb a déposé une plainte contre Meta auprès de l’autorité autrichienne de protection des données.

L’ONG conteste le « choix » laissé aux utilisateurs européens entre consentir à être suivis à des fins de publicité personnalisée ou payer jusqu’à 251,88 euros par an « pour conserver leur droit fondamental à la protection des données sur Instagram et Facebook ». 

Dans le même contexte, le Bureau Européen des Unions de Consommateurs (BEUC) a déposé plainte le 30 novembre auprès du réseau des autorités de protection des consommateurs (CPC) au motif que Meta se livre à des pratiques commerciales déloyales.

Il évalue également si Meta enfreint le RGPD.

• 110 organisations de la société civile appellent les décideurs politiques de l’UE à rejeter la réforme en cours d’EURODAC.

La base de données, conçue pour collecter et stocker les données des demandeurs d’asile, « serait transformée en un outil de surveillance traitant les personnes en quête de protection comme des suspects de crime, y compris des enfants de 6 ans dont les empreintes digitales et les images faciales seront intégrées dans la base de données. »

 

Actualité des pays membres d’Europe.

• En Belgique, l’APD a considéré le 23 novembre, dans une affaire de surveillance sur le lieu de travail, que le contrôle du travail par caméra effectué de manière continue n’est pas conforme au principe du traitement minimal des données.

La Chambre des Litiges de l’APD a déclaré qu’il s’agissait d’une infraction grave mais, s’agissant d’une petite entreprise, elle lui a notifié la violation et lui a demandé de rendre le traitement conforme sans lui infliger d’amende.

• L’APD danoise a rejeté le projet de la ville de Copenhague de développer des outils d’IA pour identifier les citoyens ayant besoin d’une réhabilitation, car la législation nationale invoquée aux fins de l’article 6(1)(e) et de l’article 6(3) du RGPD n’était pas suffisamment spécifique en ce qui concerne la portée de l’utilisation de l’IA.
• La Cour fédérale du travail allemande a mis en œuvre la décision C-453/21 de la CJUE, estimant que le président du comité d’entreprise d’une filiale avait été licencié à juste titre en tant que DPO du groupe d’entreprises en raison d’un conflit d’intérêts entre les deux fonctions.
• Aux Pays-Bas, l’APD a imposé le 24 novembre à l’agence d’assurance des employés (Uitvoeringsinstituut Werknemersverzekeringen – UWV) des mesures correctives à l’égard de 703 personnes bénéficiant d’allocations.

Jusqu’au début de cette année, l’UWV suivait illégalement le comportement en ligne de ces personnes bénéficiant d’allocations de chômage à l’aide d’un algorithme.

• Dans le cadre d’une procédure au titre de l’article 60 du RGPD, l’APD irlandaise a réprimandé AirBnb Ireland pour avoir enfreint les principes de minimisation et de limitation du stockage des données et pour avoir invoqué de manière invalide l’article 6(1)(f), du RGPD comme motif de traitement, lors de la conservation des documents d’identité d’une personne concernée.
• L’APD italienne a lancé fin novembre une enquête sur des sites web publics et privés afin de vérifier l’adoption de mesures de sécurité appropriées pour empêcher la collecte massive (webscraping) de données personnelles par des tiers à des fins d’entraînement d’algorithmes d’intelligence artificielle.
• Le tribunal régional de Berlin a estimé que LinkedIn s’était livré à des pratiques commerciales déloyales et en violation du RGPD, en ne considérant pas l’utilisation des paramètres « do not track » (DNT) comme une objection au traitement et en pré-cochant le paramètre « off-LinkedIn visibility » lorsque les utilisateurs créent un compte pour la première fois.

Les DNT, malgré l’absence de normalisation, représentent selon le tribunal une objection efficace au traitement des données : en d’autres termes, le droit d’opposition prévu par le RGPD peut également être exercé par des moyens automatisés tels que les paramètres du navigateur.

• Les ministres du numérique et de la technologie du G7 et l’OCDE se sont réunis virtuellement le 1er décembre 2023 pour poursuivre leurs discussions visant à opérationnaliser la « libre circulation des données en toute confiance » (Data Free Flow with Trust – DFFT) en vue de faciliter les flux de données transfrontaliers.

Les progrès et prochaines étapes font l’objet d’un communiqué disponible en ligne.

• Les PDG des plus grandes plateformes de médias sociaux comparaissent devant la commission judiciaire du Sénat américain le 6 décembre pour y témoigner de l’exploitation sexuelle des enfants et sur l’incapacité présumée des entreprises à protéger les enfants sur leurs plateformes.
• Le gouvernement australien a réagi publiquement au rapport d’examen de la loi sur la protection de la vie privée publié le 28 septembre 2023, et affirme son engagement à renforcer les normes australiennes en matière de protection de la vie privée afin de les aligner plus étroitement sur les normes mondiales.

 

Une série de propositions viserait à introduire des protections supplémentaires concernant la vie privée des enfants.

• Elon Musk a annoncé que Grok, son chatbot d’intelligence artificielle, serait opérationnel début décembre.

Développé par xAI, la société d’IA de Musk, le chatbot sera une fonctionnalité in-app pour les abonnés Premium+ de X.

• YouTube a publié un billet de blog annonçant diverses mesures visant à étiqueter les contenus générés par l’IA et à lutter contre les « deepfakes ».

L’entreprise entend introduire des mises à jour qui informeront les utilisateurs lorsque le contenu qu’ils voient est synthétique.

YouTube demandera à cet effet aux créateurs d’indiquer s’ils ont créé un contenu modifié ou synthétique réaliste, y compris à l’aide d’outils d’IA.