Veille Juridique n°50 – Août 2022.

Il peut s’avérer ardu d’apprécier le caractère sensible ou non des données que l’on collecte, et de décider si ces données requièrent une protection spécifique en vertu du RGPD.

Nous nous faisions l’écho de ces difficultés d’interprétation dans notre édito de février dernier.

La Cour de justice de l’Union européenne vient, par un arrêt du 1er août 2022, de clarifier la portée de la notion de donnée sensible, ou pour être exact, des catégories particulières de données.

Et selon la Cour, cette portée est particulièrement étendue.

Rappelons que l’article 9 du RGPD s’applique aux données qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.

L’arrêt qui nous intéresse concerne les dispositions d’une loi lituanienne visant à lutter contre la corruption, qui impose à certains acteurs du service public de déclarer leurs intérêts privés ainsi que des informations concernant leur conjoint et leur famille, informations qui seront pour leur quasi-totalité rendues publiques sur internet.

À la suite de l’opposition d’une personne concernée par cette obligation, la Cour est amenée à se prononcer

• Sur le caractère nécessaire de la divulgation en ligne de données relatives au conjoint
• Sur le fait de savoir si ces données concernant le conjoint doivent être considérées comme des données sensibles au sens de l’article 9 du RGPD, car elles permettent de déduire des informations sur l’orientation sexuelle des personnes concernées. La Cour considère en premier lieu que la diffusion en ligne de ces données ne parait pas nécessaire à l’objectif recherché de lutte contre la corruption, et précise ensuite que la notion de donnée sensible doit s’interpréter de façon large.

Jusqu’à présent, certaines interrogations persistaient sur la différence de termes employés dans le libellé de l’article 9, pour réglementer les données qui d’une part « révèlent » les opinions politiques, l’appartenance syndicale, etc ou qui d’autre part « concernent » la santé ou l’orientation sexuelle.

La Cour considère que toutes les catégories particulières de données doivent bénéficier d’une interprétation large, dans le respect du contexte et des autres dispositions du RGPD.

Elle englobe ainsi, dans le cas d’espèce, les données qui sont de nature à révéler, par une opération intellectuelle de rapprochement ou de déduction, l’orientation sexuelle d’une personne physique.

Cet arrêt pourrait avoir un impact conséquent sur la portée des obligations à charge des responsables qui traitent des données « potentiellement » sensibles.

La CNIL semble avoir eu, jusqu’ici, une interprétation plus restrictive de ces obligations : elle indiquait ainsi en janvier dernier que « le seul fait de photographier ou de filmer une image sur laquelle il est possible que certains éléments puissent permettre de déduire des données à caractère personnel constituant des données sensibles ne constitue pas en soi un traitement de données sensibles (…). Ce n’est que si ces images sont traitées afin d’en extraire, d’interpréter ou d’utiliser lesdites données sensibles que le traitement sera regardé comme relevant du régime des traitements de données sensibles. »

Un élément déterminant dans le raisonnement de la Cour semble être le fait que les données soient accessibles publiquement : à partir de ce moment, tout un chacun peut collecter les données, en déduire des informations sensibles, et les traiter pour une finalité totalement étrangère à la finalité d’origine, avec les conséquences que l’on peut craindre pour les personnes concernées.

Rappelons aussi que les déductions effectuées à partir des données disponibles n’ont pas besoin d’être correctes pour relever des exigences du RGPD : en effet, ce qui compte n’est pas la validité ou non des conclusions : des déductions erronées peuvent avoir des conséquences d’autant plus dommageables pour les personnes concernées.

Cette décision devrait avoir un impact sur les responsables qui traitent des données à large échelle et effectuent un profilage des internautes, notamment dans le contexte des réseaux sociaux, en rendant l’obtention du consentement explicite nécessaire.

Ajoutons enfin que les futures réglementations des services digitaux et des marchés digitaux prévoient l’interdiction de l’utilisation de données sensibles pour le ciblage publicitaire.

Combinée à l’interprétation large des données sensibles par la CJUE, on peut envisager une restriction de la publicité comportementale au niveau européen plus sévère que prévue.

Et aussi

France :

La société ACCOR vient de se voir infliger une sanction de 600 000 euros pour avoir procédé à de la prospection commerciale sans le consentement des personnes concernées et pour ne pas avoir respecté les droits des clients et des prospects.

Les formulaires de réservation comportaient une cache pré-cochée par défaut, prévoyant l’envoi automatique aux clients d’une newsletter comportant des offres commerciales de partenaires.

La CNIL a également constaté des anomalies techniques répétitives ayant empêché de nombreuses personnes de s’opposer à la réception des messages.

La décision de la CNIL a fait l’objet d’une procédure de coopération avec les autorités des autres pays de l’UE dans lesquels le groupe ACCOR traite des données, à l’issue de laquelle le Comité européen de protection des données a enjoint la CNIL d’augmenter le montant de l’amende afin que la mesure prise soit davantage dissuasive.

Parmi les éléments pris en considération, on relève le nombre de manquements, le fait que ces manquements portent sur plusieurs principes fondamentaux de la protection des données personnelles et constituent une atteinte substantielle aux droits des personnes, ainsi que le nombre de personnes concernées et la situation financière de la société.

Courant août, il devenu impossible de se connecter à France Connect avec ses identifiants Ameli, le bouton de connexion ayant été désactivé par Bercy.

En cause une recrudescence des attaques (phishing) utilisant ces identifiants. La direction générale des finances publiques travaillerait à la sécurisation de France Connect et projette de basculer progressivement les démarches les plus sensibles, notamment celles permettant d’accéder à des versements financiers, vers des services d’identification plus sécurisés.

Le 25 août, l’ONG noyb.eu a déposé une plainte contre Google auprès de la CNIL.

Google est accusé d’ignorer l’arrêt de la Cour de justice des Communautés européennes (CJCE) sur les courriels de marketing direct et d’avoir utilisé sa plateforme de messagerie Gmail pour envoyer des courriels publicitaires non sollicités sans le consentement valable des utilisateurs.

Le géant de l’adtech français, Criteo, pourrait être condamné à une amende de 60 millions d’euros

dans le cadre d’une enquête ouverte par la CNIL.

Il s’agit à ce stade d’une décision préliminaire, rendue publique le 5 août dernier par l’organisation à l’origine de la plainte, Privacy International.

Europe :

Les compétences de l’UE en matière d’enquête sur les logiciels espions ont été critiquées lors d’une audition parlementaire mardi 30 août, au cours de laquelle un représentant d’Europol a déclaré que le mandat de l’agence se limitait à soutenir les États membres qui choisissaient de lancer une enquête.

À ce jour, on sait qu’au moins 14 gouvernements européens ont acheté des logiciels espions auprès du groupe NSO à l’origine du logiciel espion Pegasus, et les experts estiment que de nombreux autres fournisseurs opèrent dans l’UE.

L’ancien responsable de la sécurité de Twitter, Peiter « Mudge » Zatko, a déposé une plainte contre la société, récemment rendue publique.

Le document détaille une série d’allégations accablantes sur des questions de sécurité, de confidentialité et de protection des données (entre autres) ainsi que des affirmations selon lesquelles Twitter avait induit en erreur ou avait l’intention d’induire en erreur les organismes de surveillance régionaux quant à sa conformité avec les lois locales.

Les autorités de contrôle irlandaise et française se sont saisies du dossier.

La Commission irlandaise de protection des données a infligé une amende de 405 millions d’euros à la plateforme de médias sociaux Instagram, détenue par Meta, pour violation du RGPD.

L’amende est la deuxième plus élevée en vertu du RGPD après une pénalité de 746 millions d’euros à l’encontre d’Amazon, et la troisième pour une entreprise détenue par Meta prononcée par le régulateur irlandais.

La décision vise la violation par Instagram de la vie privée des enfants, notamment la publication des adresses électroniques et des numéros de téléphone des enfants.

Le tribunal régional supérieur de Cologne (OLG Köln) a accordé 500 € à un particulier, en raison du retard pris par un responsable du traitement pour lui fournir les informations demandées conformément à l’article 15, paragraphe 1, du RGPD (via GDPRhub).

Dans une affaire similaire, l’APD italienne a infligé une amende de 20 000 € à la Deutsche Bank pour ne pas avoir répondu en temps utile à la demande d’accès d’une personne concernée (via GDPRhub).

L’APD grecque a infligé une amende de 30 000 € à un centre de diagnostic médical pour avoir violé le principe d’intégrité et de confidentialité des données : le responsable avait perdu des images de mammographie en raison de mesures techniques et organisationnelles insuffisantes.

Outre l’amende, l’APD a ordonné au centre de communiquer la violation aux personnes concernées (via GDPRhub).

La Cour suprême espagnole a jugé que l’exercice de ses droits par un individu auprès du responsable du traitement (articles 15 à 22 du RGPD) n’est pas une condition préalable au dépôt d’une plainte auprès d’une autorité de protection des données : cette dernière peut agir même si la personne concernée ne s’est pas d’abord adressée au responsable (via GDPRhub).

En Suisse, une nouvelle loi sur la protection des données entrera en vigueur le 1er septembre 2023.

Certains commentateurs relèvent que plusieurs principes seraient moins contraignants que ceux du RGPD, notamment ceux relatifs au consentement et au DPO.

Les exigences en matière de sécurité sont en revanche particulièrement détaillées.

International :

Les entités européennes peuvent être à la portée du Cloud Act, même si elles sont situées en dehors des Etats Unis, tranche une étude réalisée par un cabinet d’avocat pour le compte du ministère de la Justice et de la Sécurité des Pays-Bas, et rendue publique le 26 juillet dernier.

Il est possible pour les entreprises européennes de minimiser ce risque en établissant une  » muraille de Chine  » avec les Etats-Unis, notamment en n’employant aucun Américain ou n’ayant aucun client américain, qui pourraient justifier une intervention des Etats-Unis au titre du Cloud Act.

Toutefois, même ce bouclier serait insuffisant si l’entité utilise des technologies américaines, le Cloud Act permettant d’accéder aux données via des sous-traitants/fournisseurs de matériel et de logiciels, de/vers les fournisseurs de cloud.

Ces conclusions ont soulevé un débat quant aux offres telles que le « Cloud de confiance » Bleu (les technologies de Microsoft proposées par Orange et Capgemini) et S3ns (celles de Google avec Thales).

Aux Etats-Unis, Facebook a accepté de régler une transaction dans le cadre du scandale « Cambridge Analytica », concernant l’accès par cette dernière aux données privées de dizaines de millions d’utilisateurs de Facebook dans un contexte de campagne électorale. Le scandale avait éclaté suite aux révélations d’un lanceur d’alerte de Cambridge Analytica à l’Observer en 2018, qui avaient déjà conduit Facebook à payer une amende pour l’équivalent de plusieurs milliards d’euros.

A Cuba, la loi sur la protection des données personnelles a été publiée au Journal officiel ce 25 août. Elle entrera en vigueur 180 jours après sa publication.

La Russie a modifié sa loi sur la protection des données suite à la signature de la Convention 108+ du Conseil de l’Europe.

La nouvelle loi fédérale n° 266 du 14 juillet 2022 modifie substantiellement certains des actes législatifs régissant le traitement des données personnelles en Russie, et inclut dorénavant une obligation de notifier les violations de données.

Les tensions politiques et sécuritaires croissantes entre Pékin et l’Occident ont suscité au Royaume-Uni des appels à une révision du transfert de données génétiques vers la Chine à partir d’une base de données biomédicales contenant l’ADN d’un demi-million de citoyens britanniques.

Les meilleures mesures de sécurité ne protègent pas des failles des sous-traitants.

Le 24 août, la société Twilio a signalé que des pirates informatiques s’étaient introduits dans ses systèmes.

Twilio fournit des services de vérification à ses clients, dont l’entreprise de messagerie cryptée Signal.

Lorsqu’un utilisateur enregistre son numéro de téléphone, Twilio lui envoie un SMS contenant un code de vérification, qu’il saisit ensuite dans Signal.

Même si les conséquences pour Signal et ses utilisateurs sont limitées, en raison de la façon dont le service est conçu, il s’agit là d’un avertissement pour toute plateforme ou service qui risque ainsi d’être manipulé pour transmettre des informations d’identification à un attaquant.

En Australie, Google LLC doit payer une amende de 60 millions de dollars pour avoir trompé les consommateurs sur la collecte et l’utilisation de leurs données de localisation personnelles sur les téléphones Android.

Anne Christine Lacoste

Partenaire du Cabinet Olivier Weber Avocat, Anne Christine Lacoste est juriste spécialisée en droit des données ; elle a été Responsable Relations Internationales auprès Contrôleur Européen de la Protection des Données et œuvré à la mise en place du RGPD dans l’Union Européenne.