Veille Juridique n°80 – février 2025. 

Transferts de données vers les Etats-Unis : un cadre juridique fragilisé.

Le 5 février dernier, 19 députés européens de tous horizons politiques ont demandé à la Commission européenne de se pencher sur la question de savoir si le « Data protection framework » (DPF), qui encadre les transferts de données transatlantiques, est toujours viable.

Le 6 février, le président de la commission des libertés civiles, de la justice et des affaires intérieures lui a posé une question similaire.

Ces questions ont été suscitées par la décision de Donald Trump de mettre fin au mandat des trois membres démocrates du Privacy and Civil Liberties Oversight Board (PCLOB), qui n’a plus le quorum nécessaire pour fonctionner.

Le PCLOB était considéré, dans le contexte de l’accord transatlantique, comme un recours essentiel pour le respect des droits des individus en matière de surveillance de masse.

Depuis, les garanties américaines concernant la protection des données paraissent de plus en plus fragiles.

Selon un article publié par Euractiv le 3 mars, l’un des juges de l’organe d’appel du PCLOB, la Cour de révision de la protection des données, a disparu de la liste des juges figurant sur le site web, et un avocat spécial a démissionné.

En outre « si Donald Trump n’a pas renvoyé les inspecteurs généraux chargés de superviser les agences de renseignement, il en a renvoyé au moins 17 autres », et les membres de la cellule de protection de la vie privée de « l’Office of Personnel Management » auraient également été licenciés.

Enfin, le « Projet 2025 », un programme politique associé à l’administration Trump, considère que le président entrant devrait procéder à une étude du décret « Biden » concernant le DPF, et « réinitialiser les attentes de l’Europe ».

Ce projet prévoit également de suspendre les dispositions qui entravent indûment la collecte de renseignements.

Rappelons que l’absence de mécanismes indépendants de contrôle et de recours concernant les agences de renseignement américaines est à l’origine de l’annulation de l’accord précédent, le bouclier de protection de la vie privée (Privacy shield). 

Ces différents éléments ne laissent rien présager de bon quant à la viabilité de l’accord transatlantique. La question en suspens est de savoir quand la situation sera officiellement clarifiée.

La Commission européenne reste pour le moment silencieuse mais devrait réagir aux questions parlementaires avant la fin du mois.

La Cour de justice de l’Union européenne, déjà saisie de la question, pourrait rendre une décision dans la ligne de ses deux décisions précédentes qui ont invalidé respectivement les « Safe harbour principles » et le « Privacy shield », mais la date de cette décision est encore inconnue.

Qu’en est-il des autorités de protection des données ?

La Datatilsynet norvégienne a publié le 26 février un communiqué sur le sujet. Elle rappelle que la décision d’adéquation de la Commission européenne qui valide l’accord transatlantique continue à s’appliquer jusqu’à ce qu’elle soit éventuellement révoquée par la Commission européenne ou la CJUE.

Les autorités de protection des données (APDs) sont liées par ces décisions et ne peuvent interdire les transferts qui ont lieu conformément à une décision d’adéquation.

Compte tenu du contexte actuel, l’APD conseille néanmoins aux responsables de traitement de développer une stratégie de sortie en cas d’invalidation du cadre actuel, car le changement pourrait intervenir sans période de transition.

La première recommandation aux responsables de traitements aujourd’hui est de dresser un état des lieux exhaustif de l’ensemble des transferts de données opérés par leur entreprise.

La tâche est ardue car les Etats-Unis sont aujourd’hui omniprésents dans notre monde numérique, et, à l’instar de Monsieur Jourdain, nous transférons des données quotidiennement sans le savoir.

Il faudra tenir compte des destinataires clairement identifiés aux Etats-Unis mais aussi par exemple de l’utilisation de services « cloud » américains sur le sol européen, et des multiples services d’affichage ou de connexion tels que Google fonts, analytics ou maps, ou encore Facebook : le Tribunal de l’Union européenne dans sa décision T-354/22 a ainsi condamné la Commission européenne pour violation du RGPD dans le cadre de l’inscription en ligne à un événement qu’elle organisait.

Au moyen de l’hyperlien « connect with Facebook », affiché sur la page d’accueil, elle avait « créé les conditions permettant la transmission de l’adresse IP du demandeur à Facebook » et, par conséquent vers les États-Unis, pendant une période où le Privacy shield avait été invalidé.

Là où des alternatives européennes existent, celles-ci peuvent présenter une solution intéressante. On se réfère par exemple au cloud européen ou au cloud français certifié.

En matière de traceurs, la CNIL a publié une liste d’outils de mesure d’audience anonymes.

Dans les cas où le transfert reste indispensable, l’exportateur devra s’appuyer sur des outils tels que les clauses contractuelles types ou les règles d’entreprise contraignantes, et effectuer une analyse d’impact en documentant précisément les risques d’interception des données outre-Atlantique par les autorités et les garanties prévues, tâche particulièrement difficile.

La CNIL a publié le 31 janvier la version finale de son guide sur les analyses d’impact en matière de transferts de données hors Union Européenne.

Tout comme son homologue norvégien, il est vraisemblable qu’elle publiera des recommandations en lien avec les prochains développements internationaux.

 

  

Un amendement vient d’être introduit dans une proposition de loi contre le trafic de stupéfiants, qui vise à obliger les plateformes à mettre en œuvre des mesures permettant aux forces de l’ordre d’accéder aux données, en particulier celles des services de messagerie cryptée.

Dans des commentaires adressés au gouvernement et aux parlementaires, plusieurs entreprises dont Apple, Amazon, Google et Microsoft se sont opposées à cet amendement, en se référant aux positions du Comité européen de la protection des données (EDPB) et du Contrôleur européen de la protection des données (EDPS) contre l’affaiblissement du chiffrement de bout en bout.

La proposition sera examinée dans l’hémicycle à compter du 17 mars.

Ces développements font écho à des initiatives gouvernementales similaires dans plusieurs pays européens ainsi qu’aux Etats-Unis (voyez infra, développements nationaux).

La CNIL a rappelé le moteur de recherche Qwant au respect des obligations du RGPD en matière d’anonymisation des données.

Les données utilisées par la société dans le cadre de la vente des espaces publicitaires du moteur de recherche, opérée via MICROSOFT, étaient présentées comme anonymes par Qwant. 

La CNIL constate que « malgré les fortes précautions prises en 2019 pour éviter la ré-identification des personnes, le jeu de données transmis entraînait l’application du RGPD et en particulier de ses articles 12 et 13 ».

La Commission considère qu’il s’agit d’une erreur d’analyse initiale sur la qualification des données transmises sans intentionnalité de se soustraire aux dispositions du RGPD, et ne prononce, de ce fait, pas de sanction.

La Commission a également infligé une amende de 40 000 euros à une entreprise d’agence immobilière pour la surveillance excessive de ses employés au moyen d’un logiciel (Time doctor) qui enregistrait les périodes présumées d’inactivité et prenait régulièrement des captures d’écran de leur ordinateur.

Les employés étaient en outre enregistrés en permanence.

La CNIL reproche notamment au responsable l’absence d’analyse d’impact, l’absence de base légale au traitement, et le non-respect du principe de minimisation des données.

Elle a également publié une mise à jour de ses Tables Informatique et Libertés, et des Cahiers récapitulatifs de l’année 2024 concentrant ses nouvelles décisions importantes ainsi que l’essentiel de la jurisprudence nationale et européenne en matière de protection des données.

 

Institutions et organismes européens

A la suite du rapport Digital Fairness Fitness Check publié le 3 octobre 2024, la Commission européenne envisage d’élaborer un règlement sur l’équité numérique (« Digital fairness act ») pour résoudre les problèmes de protection des consommateurs dans l’environnement en ligne, tels que la résiliation ou le renouvellement automatique des abonnements et la conversion des essais gratuits en abonnements payants.

Une consultation publique et une analyse d’impact préalables seraient en préparation.

La Commission a finalement décidé de retirer sa proposition de règlement ePrivacy, dont l’objectif était de moderniser et clarifier les obligations de la directive actuelle, tout en les harmonisant avec les principes du RGPD.

Le texte suscitait des controverses concernant notamment la portée des exceptions aux principes de confidentialité des communications.

De nouvelles propositions législatives sont sur la table, qui ont pour objectif de régler les questions de protection de la vie privée, tout en séparant les aspects de surveillance commerciale et de surveillance de l’État.

La directive sur la responsabilité en matière d’IA, qui visait à actualiser les règles de l’UE en matière de sécurité des produits pour couvrir l’IA et l’automatisation, figure également sur la liste des propositions législatives retirées.

En écho aux conclusions du sommet de Paris sur l’IA de février dernier, le programme de travail de la Commission européenne pour 2025 met l’accent sur la compétitivité, avec pour objectif explicite de favoriser la croissance économique en soutenant l’innovation.

Le 2 février, les premières dispositions du règlement sur l’IA sont entrées en vigueur, notamment l’article 5, qui traite des pratiques d’IA interdites.

Deux jours plus tard, la Commission européenne a publié des lignes directrices donnant un aperçu des pratiques d’IA jugées inacceptables en raison des risques qu’elles représentent pour les valeurs européennes et les droits fondamentaux.

Plusieurs autorités de protection des données (APDs), présentes lors du sommet sur l’IA, ont publié une déclaration commune à l’issue d’une table ronde « sur la mise en place de cadres de gouvernance des données fiables pour encourager le développement d’une IA innovante et protectrice de la vie privée », soulignant la nécessité d’intégrer les principes de protection de la vie privée dès la conception des systèmes d’IA et de mettre en œuvre des cadres internes solides de gouvernance des données.

Dans le même temps, l’EDPB a annoncé le 12 février étendre le champ d’action de son groupe de travail ChatGPT à l’application de l’IA et mettre en place une « équipe de réaction rapide pour coordonner les actions des autorités chargées de la protection des données » en ce qui concerne les questions sensibles urgentes liées à l’IA.

L’EDPB a annoncé début mars le lancement de son action coordonnée de contrôles pour 2025 sur le droit à l’effacement.

Cette action fait suite aux actions coordonnées sur l’utilisation du cloud par le secteur public (2022), la désignation et le rôle des DPOs (2023) et le droit d’accès (2024).

Le service de recherche du Parlement européen a publié le 26 février une note d’information sur la tension entre la prévention de la discrimination algorithmique et le traitement de catégories spéciales de données.

Le document identifie des incertitudes concernant l’application conjointe du règlement sur l’IA et du RGPD, qui pourraient nécessiter une réforme législative ou des orientations supplémentaires.

Le 27 février dernier, la CJUE a rendu un jugement important concernant la portée des droits des individus concernés par une décision automatisée.

Dans l’affaire C 203/22 Dun & Bradstreet Austria, la Cour précise que l’article 15(1)(h) du RGPD « offre à la personne concernée un véritable droit à l’explication sur le fonctionnement du mécanisme qui sous-tend une prise de décision automatisée dont cette personne a fait l’objet et sur le résultat auquel cette décision a abouti » (par 57).

Les données de tiers protégés ou les secrets d’affaires ne dispensent pas le responsable d’explications concrètes : celui-ci est « tenu de communiquer ces informations prétendument protégées à l’autorité de contrôle ou à la juridiction compétentes, auxquelles il incombe de pondérer les droits et les intérêts en cause aux fins de déterminer l’étendue du droit d’accès de la personne concernée prévu à l’article 15 du RGPD » (par 67).

La CJUE a par ailleurs considéré le 13 février que les autorités de contrôle et les tribunaux doivent tenir compte du fait qu’un responsable du traitement fait partie d’une entreprise au sens des articles 101 et 102 du Traité sur le fonctionnement de l’Union européenne (TFUE) lorsqu’ils fixent le montant des amendes.

En outre, elles doivent fonder le montant maximal des amendes sur le chiffre d’affaires de l’entreprise et non sur celui du responsable du traitement.

L’avocat général du Tribunal de l’UE a partagé le 6 février ses conclusions sur l’affaire EDPS contre SRB (C-413/23 P).

L’affaire porte sur la question de savoir si les données pseudonymisées transmises par une agence de l’UE, le Conseil de résolution unique, à sa société de conseil Deloitte, constituent des données à caractère personnel du point de vue de Deloitte.

L’AG se concentre sur les moyens raisonnables dont dispose le destinataire pour identifier les individus concernés, adoptant une interprétation nettement plus restreinte de la notion de données personnelles que l’EDPS et l’EDPB. La décision finale est attendue avant l’été.

 

Actualité des pays membres de l’Union Européenne.

Une décision judiciaire allemande (OLG Dresden/Germany (Az.: 4 U 940/24) vient confirmer que les responsables de traitement sont responsables non seulement de leurs propres actions, mais aussi des actions de leurs sous-traitants.

La Cour a souligné qu’il ne suffit pas de faire confiance au sous-traitant, sans vérifier, comme dans le cas d’espèce, qu’il a effectivement effacé les données sous-traitées en fin de contrat.

Les conséquences d’une vérification insuffisante peuvent perdurer longtemps après l’incident initial, comme ce fut le cas ici suite à un piratage ayant provoqué une fuite de données, suivie de poursuites judiciaires et d’une atteinte à la réputation du responsable de traitement.

En Espagne, l’APD a infligé une amende de 1,2 million d’euros au fournisseur de téléphonie mobile Orange pour n’avoir pas empêché l’émission d’une carte SIM dupliquée à un tiers qui l’a utilisée pour accéder au compte bancaire de la personne concernée.

L’APD a estimé que l’opérateur n’avait pas mis en œuvre les mesures de protection appropriées.

Toujours en Espagne, l’APD a infligé au groupe bancaire coopératif Caja Rural plusieurs amendes pour violation du RGPD à la suite d’une violation de données due à des mesures de sécurité inadéquates et d’une vulnérabilité du système informatique.

Dans cette affaire, l’APD a considéré chaque banque membre du groupe coopératif comme individuellement responsable, même si toutes faisaient appel au même prestataire informatique, et a prononcé des sanctions allant de 6 200 euros à 400 000 euros en fonction du nombre de clients et de la rapidité de réaction des banques.

L’APD grecque a pris une décision visant à faciliter l’exercice des droits individuels auprès de Google.

Elle a ordonné à la société de supprimer les liens apparaissant dans les résultats de recherche du nom de la personne concernée, et a ordonné à Google de modifier sa procédure de demande de suppression en permettant l’envoi de pièces jointes, en fournissant des informations de contact directes et en cessant les réponses automatisées.

Aux Pays-Bas, une capture d’écran partagée par un expert en cybersécurité (et ancien superviseur du service de renseignement civil) sur la plateforme Bluesky révèle que Google Analytics collecte des données sur les candidats à l’emploi au sein des services de renseignement civil et militaire du pays.

Ces informations ont conduit un député à demander des éclaircissements au ministre de l’Intérieur.

L’APD polonaise a infligé une amende de 350 000 euros (1 527 855 PLN) à l’exploitant d’un site web et de 4 590 euros (20 037 PLN) à son sous-traitant pour violation de la sécurité des données après qu’une erreur de configuration du site web a entraîné une violation des données concernant 21 453 personnes.

En Roumanie, l’entreprise Unicredit a fait l’objet d’une sanction de 15 000 euros (74 652 lei) pour deux violations de données dues à des applications internes.

Ces dernières n’avaient pas fait l’objet de tests préalables à leur déploiement, et l’APD sanctionne un non-respect de l’article 25(1) du RGPD imposant la protection des données dès la conception (« privacy by design »).

À la suite d’un ordre du gouvernement britannique de casser le chiffrement d’iCloud, Apple vient de retirer l’ensemble de sa fonction de sécurité avancée du Royaume-Uni.

L’ordre concernait spécifiquement la fonction introduite en 2023, qui permet aux utilisateurs d’iCloud d’opter pour le chiffrement de bout en bout de toutes les données stockées sur le cloud de l’entreprise et garantit qu’aucun tiers, Apple inclus, ne peut accéder aux données.

La société avait le choix entre retirer la fonctionnalité de cryptage ou créer une porte dérobée qui aurait compromis le cryptage pour tous les utilisateurs dans le monde, cette deuxième option étant exclue pour Apple.

Dans le même temps, la Suède exige également des portes dérobées, poussant Signal à avertir qu’il quitterait le pays si une telle législation était adoptée.

Ajoutons que les Etats-Unis poursuivent, selon un article de Forbes du 24 février, le même objectif d’accès aux données cryptées.

 

La Corée du Sud vient d’adopter une loi sur l’IA qui entrera en vigueur en janvier 2026.

La loi s’aligne sur le règlement européen sur l’IA : elle introduit des obligations pour les entreprises d’IA, en particulier pour l’IA à fort impact et l’IA générative, en mettant l’accent sur la gestion des risques, la protection des utilisateurs et la transparence.

L’IAPP rapporte qu’un groupe de sénateurs américains siégeant au « Senate Select Committee on Intelligence » a envoyé une lettre le 5 février à la Maison Blanche pour « s’alarmer des risques pour la vie privée et la sécurité nationale posés par le Department of Government Efficiency » (DOGE), récemment créé.

La lettre considère que les actions du DOGE risquent d’exposer des informations classifiées et d’autres informations sensibles mettant en péril la sécurité nationale et violant la vie privée des Américains.

Plusieurs procès sont en cours concernant l’accès illégal aux données traitées par ces agences.

Les demandes des services de renseignement aux données détenues par les GAFAM ont explosé ces dernières années.

C’est ce qui ressort d’une étude publiée par la société Proton, sur la base des rapports de transparence d’Apple, Meta et Google entre 2014 et 2024.

Comme le rappelle 01net, ces derniers sont contraints par la loi américaine (Fisa, Cloud Act) de répondre aux demandes des autorités qui veulent accéder à des enregistrements téléphoniques, textes, courriels ou sauvegardes Cloud.

« Les demandes d’accès aux données d’utilisateurs (toute nationalité) comme les emails ou messages, remises aux autorités américaines par Google, Apple et Meta au cours des dix dernières années, ont (…) augmenté en moyenne, pour ces trois entreprises, de… 600 %. »

La loi malaisienne sur la protection des données personnelles a été renforcée afin d’accroître considérablement les pouvoirs de l’autorité de régulation et de renforcer les droits des personnes.

Elle sera mise en œuvre en trois phases au cours du premier semestre 2025, à savoir le 1er janvier, puis le 1er avril et le 1er juin.

L’enquête « tracking files », menée par plusieurs médias au niveau international, dont Le Monde, France Info et l’œil du 20h en France, révèle l’ampleur du traçage et le détail des données personnelles traitées par les courtiers en données.

Les données personnelles géolocalisées de millions d’utilisateurs sont agrégées dans des conditions souvent peu transparentes : ainsi, jouer en ligne sur son smartphone grâce à une application peut générer la transmission de données telles que les heures de connexion, le modèle de smartphone ou la position géographique, éléments collectés dans de gigantesques fichiers vendus par des courtiers tels que l’américain Datastream Group.

Plus de 47 millions de personnes figurent dans ce dernier fichier.

Les données de tout un chacun peuvent se trouver concernées, mais aussi celles de diplomates, militaires ou encore journalistes.