Un début d’été marqué par des sanctions record et de nouvelles mesures d’accompagnement.
Veille Juridique – juillet-août 2019.
Le début de l’été voit grimper le thermomètre mais aussi le montant des amendes pour infraction aux règles de protection de la vie privée.
On relève notamment l’annonce par l’ICO, l’autorité de supervision britannique, de son intention d’imposer deux sanctions (‘notice of intention to fine’) pour un total dépassant 280 millions de Livres, à l’encontre respectivement du groupe hôtelier Marriot International pour un équivalent de 111 millions d’euros, et de British Airways pour un montant de plus de 200 millions d’euros.
Dans les deux cas, les violations du RGPD ont trait à des piratages rendus possibles par des défaillances en matière de sécurisation des données, qui ont exposé les données de plusieurs centaines de milliers de clients.
L’ICO a également infligé le 19 juillet une amende de 80 millions de Livres à une agence immobilière de Londres pour avoir omis de sécuriser pendant deux ans plus de 18 000 données de clients.
On notera que la plupart des sanctions récentes se concentrent sur les failles de sécurité et les accès illégaux à l’intérieur comme à l’extérieur des entreprises.
Outre atlantique, la Federal Trade Commission des Etats-Unis a négocié avec Facebook une amende (settlement order) de cinq milliards de dollars pour violation de la vie privée des internautes.
Cette amende est sans précédent dans l’histoire de la FTC, et reste l’une des plus élevées jamais infligées par l’Etat américain.
Elle reste néanmoins relative face aux 55,8 milliards de chiffre d’affaire annuel de Facebook. Dans son communiqué du 24 juillet, la FTC développe les raisons de son action, en lien avec le non-respect de ses injonctions de 2012 en matière de protection des données.
Outre cette amende, la société se voit imposer une restructuration de son modèle de protection des données, incluant un comité de supervision plus indépendant de son CEO, et des règles plus strictes de gestion des applications tierces et des données des internautes, en particulier en matière de reconnaissance faciale, de gestion de mots de passe et de cryptage des données.
Si les autorités de supervision font un usage croissant de leurs pouvoirs de contrôle, elles veillent également à orienter les pratiques des entreprises au regard du cadre légal.
La CNIL a ainsi communiqué le 18 juillet sur les règles applicables aux cookies, ces traceurs installés sur les terminaux des utilisateurs et qui permettent en particulier le ciblage publicitaire.
La CNIL met à jour les exigences nécessaires à l’obtention du consentement des internautes : ce consentement ne peut plus être implicite, et doit résulter d’une action claire de l’individu.
Les « cookie walls », qui empêchent d’accéder à un site si l’on n’accepte pas les cookies, sont proscrits.
Cette interprétation de la validité du consentement avait déjà été clarifiée par le Comité européen de protection des données dans un communiqué de mai 2018.
Elle est confirmée par le libellé du RGPD, et devrait se trouver encore explicitée dans le futur règlement « vie privée et communications électroniques », qui remplacera la Directive 2002/58/CE « ePrivacy ».
Une nouvelle recommandation de la CNIL viendra préciser les modalités pratiques de recueil du consentement, et une période d’adaptation de six mois sera laissée aux entreprises afin de leur permettre de se mettre en conformité avec la loi.
Et aussi :
En Europe :
La Commission européenne publie ce 24 juillet un rapport faisant le point, un an après, sur la mise en œuvre du RGPD.
Elle identifie les actions mises en place par les autorités de supervision, le renforcement de leur coopération, ainsi que les efforts de mise en conformité du secteur privé.
La Commission annonce son intention de soutenir ces efforts à l’aide de différents outils tels que clauses contractuelles types, codes de conduite et mécanismes de certification, avec une attention particulière pour les PMEs.
Du point de vue international, la Corée du Sud pourrait être le prochain pays à bénéficier d’un niveau de protection adéquat facilitant les transferts de données. La Commission envisage d’autres types d’accords multilatéraux afin de faciliter les échanges internationaux de données.
Dans le monde :
- Etats-Unis :
Des voix se font entendre au sénat américain pour promouvoir l’adoption d’une loi fédérale sur la protection des données.
Un texte de loi en ce sens a été introduit par le sénateur Ron Wyden en novembre 2018.
Au niveau des Etats, la Californie est un précurseur : le CCPA, California Consumer Privacy Act, entrera en vigueur le premier janvier 2020 mais reste actuellement sujet à des amendements du Sénat américain. Souvent comparé au RGPD, surtout en ce qui concerne les droits d’information et d’opposition des personnes concernées, il s’en distingue notamment par son champ d’application centré sur la protection des consommateurs.
Asie :
Une succession d’événements liés à la protection des données à caractère personnel a eu lieu à Singapour pendant première quinzaine de juillet, réunissant dans différentes enceintes les professionnels du secteur.
Les discussions du forum Asie Pacifique ont été résumés par l’IAPP.
Elles mettent l’accent sur la responsabilisation des entreprises et la supervision par les autorités de contrôle.