Veille Juridique n°67 – Janvier 2024.

Rolle und Ressourcen von Datenschutzbeauftragten: Ergebnisse eines Jahres von Audits

Le 17 janvier, la CNIL et ses homologues européens ont publié les résultats de leurs investigations sur le rôle et les moyens des délégués à la protection des données (DPD/DPO) dans le contexte de l’application du RGPD.

Ce thème était l’objet de l’action européenne coordonnée du Comité européen de la protection des données (CEPD/EDPB) en 2023.

Les fonctions principales du DPO, prévues aux articles 37 à 39 du RGPD, incluent l’information et le conseil au responsable du traitement sur les questions de protection des données (y compris la réalisation d’analyses d’impact), la sensibilisation et la formation du personnel ainsi que le suivi des violations de données.

Le DPO coopère avec l’autorité de contrôle, et il est le point de contact pour les personnes concernées par le traitement.

Les investigations des autorités de protection des données se sont basées sur un questionnaire élaboré conjointement par l’ensemble des autorités qui le composent.

En France, la CNIL a contrôlé 14 responsables de traitement, et complété l’envoi du questionnaire par plusieurs contrôles sur le terrain.

Les vérifications ont porté sur des acteurs publics tels que des hôpitaux, universités, communes, centres de gestion, et des acteurs privés du secteur du luxe et des transports.

On relève le nombre particulièrement faible de responsables contrôlés.

A l’instar de plusieurs autorités européenne, la CNIL a choisi d’effectuer un nombre limité d’investigations approfondies, alors que d’autres autorités ont contacté plusieurs dizaines de milliers de responsables, sans effectuer de vérifications aussi poussées.

Le rapport de l’EDPB prend ces différences d’approches en considération dans son analyse.

La CNIL dresse un bilan globalement positif du rôle et des moyens octroyés au DPO.

Elle constate que ces derniers disposent en général de moyens suffisants.

Elle souligne toutefois de grandes disparités entre les moyens octroyés aux DPOs des structures publiques qui exercent souvent seuls, surtout dans les petites collectivités, tandis que les DPOs du secteur privé disposent en général d’une équipe.

Cette constatation se confirme au niveau européen.

Parmi les manquements relevés, on note le risque de conflits d’intérêts entre les missions du DPO et les autres tâches qui lui sont confiées, ainsi que le défaut d’association du DPO aux décisions concernant la protection des données.

La CNIL indique à ce propos qu’elle a (en dehors de cette investigation) sanctionné un organisme du secteur social d’une amende de 10 000 euros car le délégué n’était pas en mesure d’exercer correctement ses missions : il n’était pas assez associé aux questions relatives à la protection des données personnelles et ses fonctions manquaient de visibilité pour les employés de l’organisme.

Le rapport européen conclut cette analyse en notant que les DPOs assument de plus en plus, outre leur rôle concernant le RGPD, des rôles clés dans le cadre des nouveaux règlements européens, tels que ceux concernant l’IA, les services numériques, le marché numérique ou les données. 

Ils se voient également confier de nouveaux rôles liés l’éthique, à la gouvernance des données et aux espaces de données.

Face à cette tendance, le Comité met en garde contre les risque accrus de conflits d’intérêts ou l’insuffisance des ressources à la disposition des DPO.

Il souligne que les autorités de protection des données comme les responsables de traitement ont un rôle essentiel à jouer afin que le DPO puisse jouer pleinement son rôle.

 

     

• La CNIL a infligé plusieurs sanctions importantes ces dernières semaines.
• Le 29 décembre 2023, elle a sanctionné la société Yahoo d’une amende de 10 millions d’euros pour ne pas avoir respecté le choix des internautes qui refusaient les cookies sur son site internet, et ne pas avoir permis aux utilisateurs de sa messagerie de librement retirer leur consentement aux cookies.
• Après avoir mené des inspections sur place dans les entrepôts d’Amazon France Logistique, elle a aussi constaté le 27 décembre dernier plusieurs violations du RGPD concernant la surveillance étendue des lieux de travail, et a infligé une amende de 32 millions d’euros à la multinationale. Amazon a selon la CNIL mis en place un système de surveillance « excessivement intrusif », et utilise un système de surveillance sans information, et insuffisamment sécurisé.
• La CNIL a également infligé le 29 décembre dernier une amende de 105 000 euros à NS Cards France, un distributeur de monnaie électronique, pour conservation excessive des données personnelles, politiques de confidentialité incomplètes, mesures de sécurité insuffisantes et absence de consentement de l’utilisateur concernant les cookies non nécessaires.
• Enfin, elle lance une consultation publique sur un projet de guide concernant l’analyse d’impact des transferts de donnée hors Espace économique européen : une évaluation du niveau de protection du pays destinaire des données doit en effet être effectuée avant tout transfert vers un pays ne bénéficiant pas d’une décision d’adéquation, ainsi qu’une appréciation des garanties à apporter à ce transfert. Les contributions peuvent être envoyées jusqu’au 12 février 2024.
• L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a annoncé le lancement de Hackropole, une nouvelle plateforme conçue pour faire découvrir les métiers de la cybersécurité. La plateforme propose plus de 300 épreuves ouvertes à tous, couvrant tous les domaines de la cybersécurité, de la cryptographie au piratage informatique.

 

Europäische Institutionen und Gremien 

• La Belgique a pris début janvier la présidence du Conseil de l’Union européenne pour six mois avec pour slogan « Protéger, renforcer et préparer ».

Parmi les sujets qui seront abordés en 2024 figurent la cyber-résilience des produits connectés, l’identité numérique, les espaces de données, l’application transfrontalière du RGPD et l’intelligence artificielle.

 2024 sera également une année de mise en œuvre pour de nombreuses lois finalisées l’année dernière, notamment la loi sur les services numériques, Dort loi sur les marchés numériques und die loi sur la gouvernance des données.

• Le 2 février, les ambassadeurs des 27 pays de l’Union européenne ont approuvé à l’unanimité, mais non sans mal, le règlement sur l’intelligence artificielle, entérinant ainsi, au niveau gouvernemental, l’accord politique conclu en décembre.

Après le vote des commissions parlementaires européennes mi-février, l’adoption en séance plénière est provisoirement prévue pour les 10 et 11 avril.

Le règlement entrera en vigueur 20 jours après sa publication au journal officiel.

Les interdictions relatives aux pratiques prohibées commenceront à s’appliquer six mois après, et les obligations relatives aux modèles d’IA d’ici un an.

• En parallèle, la Commission européenne a annoncé le 24 janvier la création d’un bureau européen de l’IA pour contribuer à la mise en œuvre et à l’application du futur règlement.

Ce bureau aura pour objectif de publier des orientations afin d’établir des règles harmonisées dans toute l’UE, et d’encourager et de faciliter l’élaboration de codes de pratiques et de codes de conduite au niveau de l’Union.

• Le processus législatif relatif au règlement CSAR (« chat control ») étant loin d’être achevé, l’Union européenne a proposé de prolonger une solution provisoire permettant aux géants de la tech de scanner les appareils de leurs clients à la recherche de matériel pédopornographique sur une base volontaire.

Cette mesure a suscité des critiques, notamment de la part du Contrôleur européen de la protection des données (EDPS). Dans un avis publié le 29 janvier, il indique être préoccupé par les objectifs de ce règlement, qui restreindrait notamment le droit des individus à la confidentialité de leurs communications.

• Le 31 janvier, la Commission européenne a publié le tableau de bord en matière de transparence du règlement sur les services numériques (DSA). Celui-ci donne un aperçu des décisions de modération de contenu des très grandes plateformes en ligne.
• Le règlement européen sur les données est entré en vigueur en janvier 2024.

Ses objectifs sont notamment de favoriser le partage équitable des données, de permettre aux organismes du secteur public d’utiliser les données détenues par le secteur privé à des fins spécifiques d’intérêt public, et de permettre aux clients de changer facilement de fournisseur de services de traitement de données afin de favoriser le marché européen du cloud.

• La Commission européenne va enquêter sur le partenariat entre Microsoft et OpenAI, dans le cadre duquel MS prévoit d’intégrer une suite d’outils d’IA dans ses propres produits.

Dans un communiqué de presse du 9 janvier, la Commission invite toutes les parties intéressées à partager leur expérience et à faire part de leurs commentaires sur le niveau de concurrence dans le contexte des mondes virtuels et de l’IA générative, ainsi que de leurs idées sur la manière dont le droit de la concurrence peut contribuer à garantir que ces nouveaux marchés restent compétitifs.

• La Commission européenne a publié le 15 janvier son rapport sur l’évaluation des 11 décisions d’adéquation adoptées en vertu de la directive sur la protection des données de 1995.

Elle constate que les données à caractère personnel transférées de l’Union européenne vers Andorre, l’Argentine, le Canada, les îles Féroé, Guernesey, l’île de Man, Israël, Jersey, la Nouvelle-Zélande, la Suisse et l’Uruguay continuent de bénéficier d’une décision d’adéquation dans le cadre du RGPD.

• Le Comité européen de la protection des données (EDPB) a publié un outil d’audit de site web pour la mise en conformité avec le règlement général sur la protection des données de l’UE.

L’outil été développé par le pool d’experts de l’EDPB et peut être utilisé par les autorités de protection des données, ainsi que par les responsables du traitement et les sous-traitants, pour rationaliser la « préparation, la réalisation et l’évaluation » des audits. Il s’agit un logiciel libre et open source sous licence EUPL 1.2 qui peut être téléchargé sur code.europa.eu.

• L’EDPB a également publié le 18 janvier un dossier sur la sécurité du traitement et la notification des violations de données.

Le document analyse les décisions adoptées par les autorités de contrôle conformément à l’article 60 du RGPD dans le cadre du mécanisme de guichet unique dans le domaine de la sécurité du traitement et des violations de données à caractère personnel.

• La Cour de Justice de l’UE a décidé dans un arrêt du 30 janvier que la conservation générale et indifférenciée des données biométriques et génétiques des personnes condamnées pour des infractions pénales, jusqu’à leur décès, est contraire au droit de l’UE et notamment du droit à l’oubli.
• La CJUE a également décidé le 16 janvier que le RGPD s’applique aux commissions parlementaires nationales.

La Cour a clarifié le concept de sécurité nationale, et a déclaré qu’en l’absence de preuve d’un objectif de sécurité nationale, les tribunaux nationaux doivent déterminer si l’article 2(2)(a) concernant le champ d’application du RGPD s’applique.

• Les géants de la tech ont jusqu’au 6 mars pour se conformer aux dispositions du règlement européen sur les marchés numériques, et doivent notamment permettre à leurs utilisateurs de s’inscrire à un seul service sans le lier automatiquement à un autre.

C’est dans ce contexte que Meta a annoncé, le 22 janvier, que les utilisateurs d’Instagram et Facebook pourront gérer leurs comptes séparément, afin que leurs informations ne soient plus partagées entre les deux comptes.

Google a également mentionné sur la page de son centre d’aide la possibilité pour les utilisateurs européens de sélectionner les services qu’ils souhaitent maintenir liés en termes de partage de données.

 

Actualité des pays membres d’Europe

• Le 11 décembre 2023, en coopération avec la CNIL, l’autorité de protection des données (APD) néerlandaise a prononcé à l’encontre des sociétés Uber B.V. et Uber Technologies

Inc. une amende de dix millions d’euros pour plusieurs manquements à l’information des chauffeurs. 

Ces manquements concernent notamment les modalités du droit d’accès aux données, les transferts hors UE, les durées de conservation et le droit à la portabilité des données.

• L’APD néerlandaise a également infligé une amende de 150 000 euros à ICS, une société de cartes de crédit, pour n’avoir pas effectué d’analyse d’impact (DPIA).

Dans ses considérations, l’APD a insisté sur le fait que l’absence de DPIA constitue une violation du RGPD en soi, mais qu’elle augmente également la probabilité d’autres violations du règlement car il n’y a pas de prise en compte des risques avant la mise en œuvre du traitement.

• L’APD belge a infligé une amende de 174 640 euros à un courtier en données.

Entre autres violations, le responsable du traitement ne pouvait pas s’appuyer sur un intérêt légitime pour collecter des données auprès de tiers.

Il a aussi omis d’informer le demandeur sur les sources et les destinataires des données dans le cadre d’une demande d’accès. 

• L’autorité belge a aussi enquêté sur les pratiques d’un responsable du traitement à la suite d’une violation de données concernant près de 90 000 personnes.

Elle n’a pas adopté de sanction, considérant que la violation de données était un incident isolé et que le responsable du traitement s’était conformé à l’article 33 du RGPD.

• L’APD autrichienne a infligé une amende de 10 000 euros à un responsable du traitement pour ne pas avoir coopéré avec elle dans le cadre d’une procédure de réclamation, violant ainsi l’article 31 du RGPD.
• En Allemagne, un chercheur en sécurité a été condamné le 17 janvier à une amende de 3 000 euros pour avoir découvert et signalé une faille de sécurité dans une base de données de commerce électronique qui exposait près de 700 000 dossiers de clients.

Repérer un mot de passe en clair et l’utiliser sans autorisation dans le cadre d’une recherche a été considéré comme un délit.

Cette décision, qui fera l’objet d’un appel, est critiquée par un expert en sécurité pour son effet dissuasif sur la recherche légitime concernant la vulnérabilité des systèmes.

• L’APD danoise a constaté fin janvier une violation des règles de sécurité du RGPD par une municipalité qui n’avait pas chiffré les disques durs de ses ordinateurs.

Un ordinateur de travail avait été volé au domicile d’un employé et contenait des données personnelles sensibles, des données de sécurité sociale et des données concernant des mineurs.

Le disque dur n’était pas crypté.

L’enquête a permis de découvrir que près de 1 200 ordinateurs portables de la municipalité n’étaient pas cryptés non plus.

• Le 24 janvier, Le National Cyber Security Centre du Royaume-Uni a publié un rapport préoccupant sur l’impact à court terme de l’IA sur la cybermenace.

Le rapport note en particulier que l’IA augmentera certainement le volume et l’impact des cyberattaques au cours des deux prochaines années avec une amélioration des tactiques, techniques et procédures existantes.

Il note aussi que l’IA limite les difficultés pour les cybercriminels amateurs qui pourront bientôt lancer des attaques de phishing (hameçonnage) sophistiquées, difficiles à identifier pour les destinataires.

 

• Fin janvier, Thierry Breton, commissaire au marché intérieur et Alejandro N. Mayorkas, secrétaire américain à la sécurité intérieure, ont discuté du plan d’action conjoint UE-États-Unis pour des produits cyber-sûrs, suite au sommet UE-États-Unis d’octobre 2023.

Cette collaboration entre la Commission et les agences réglementaires américaines concernées a pour but d’explorer une possible reconnaissance mutuelle des exigences en matière de cybersécurité sur les produits de consommation matériels et logiciels de l’internet des objets.

Le plan d’action s’appuie sur le cadre de la loi de l’UE sur la cyberrésilience et sur le programme d’étiquetage de la cybersécurité proposé par les États-Unis (Cyber Trust Mark Act).

• L’administration Biden-Harris a annoncé le 29 janvier des mesures clés en matière d’IA à la suite du décret du président Biden adopté il y a trois mois.

Le décret prévoit notamment de fixer des exigences essentielles en matière de divulgation pour les développeurs des systèmes les plus puissants, d’évaluer les risques de l’IA pour les infrastructures critiques et d’« entraver les efforts des acteurs étrangers pour développer l’IA à des fins dommageables ».

Les agences et départements fédéraux concernés ont indiqué qu’ils avaient mené à bien toutes les actions prévues par le décret dans un délai de 90 jours et indiqué l’état d’avancement des mesures prévues à plus long terme.

• Le gouvernement du Canada a créé un « glossaire des « renseignements personnels et de la protection de la vie privée » qui contient les termes anglais et français de plus de 300 concepts.

Il comprend également d’autres informations terminologiques (qui peuvent varier d’une entrée à l’autre) qui incluent d’autres désignations, des définitions, des notes et des exemples d’utilisation.

• Deux chercheurs de la Fondation Carnegie pour la paix internationale ont exhorté le gouvernement sud-africain à accorder la plus grande priorité à la cybersécurité et à adopter un leadership plus fort dans ce domaine sur la scène internationale.

Malgré sa dépendance numérique, les chercheurs indiquent que la cyberstratégie du pays manque cruellement de fonds et le gouvernement n’a pas de position claire dans les débats sur la cybergouvernance.

Selon le Conseil sud-africain pour la recherche scientifique et industrielle, l’Afrique du Sud est le pays d’Afrique le plus visé par ces cyber-attaques et se situe au huitième rang mondial.