Veille Juridique n°70 – Avril 2024.

Transferts de données en dehors de l’UE : état des lieux.

Le paysage des transferts internationaux de données se précise au fil des décisions et des prises de position institutionnelles. 

On note ainsi plusieurs initiatives récentes tant au niveau européen que national visant à faciliter les flux de données dans le respect des droits fondamentaux.

Lors d’une réunion organisée le 4 mars dernier avec les représentants des quinze pays déjà reconnus comme adéquats, la Commission européenne a ainsi affiché sa volonté d’élargir les formes de collaboration internationale de l’UE.

Si dans le passé la Commission a privilégié une collaboration avec le Conseil de l’Europe axée sur les droits de l’homme, le commissaire européen à la justice a aussi évoqué en mars une collaboration plus étroite avec l’OCDE, organisation dont les perspectives sont axées sur le développement économique.

 Les pays concernés, en Amérique et en Asie, ont d’ailleurs des approches en matière de la protection de la vie privée qui diffèrent sensiblement de celles de l’Union européenne.

Rappelons que la Commission européenne a renouvelé en janvier les décisions d’adéquation de l’ensemble des pays qui bénéficiaient déjà d’une décision positive.

Ceci a d’ailleurs soulevé des réactions dans le contexte politique actuel, une lettre ouverte soutenue par 11 organisations de la société civile ayant demandé le 22 avril au commissaire européen à la justice de fournir des éclaircissements sur sa décision de renouveler sa décision d’adéquation concernant Israël.

 La lettre questionne notamment le respect des critères d’adéquation en lien avec le traitement des données à des fins de sécurité nationale, le respect des droits de l’homme, de l’État de droit et de l’accès à la justice.

Les transferts restent bien sûr possibles vers les pays ne bénéficiant pas d’une décision d’adéquation, à condition par exemple d’avoir adopté des clauses contractuelles types ou d’avoir mis en place au sein du groupe d’entreprises des règles contraignantes pour encadrer les transferts de données.

Afin d’accompagner les groupes dans cette démarche, la CNIL vient de publier un outil d’auto-évaluation.

Il s’agit d’un questionnaire, qui permet de vérifier le niveau de maturité du projet par rapport aux exigences des référentiels BCR adoptés par le Comité européen de la protection des données (EDPB).

La CNIL recommande de tester le projet avant de lui soumettre les BCR pour approbation.

L’outil permet de vérifier la mise en œuvre effective des engagements suivants :

• Un régime de responsabilité pesant sur le siège européen ou sur la filiale européenne responsable par délégation de la protection des données ;
• Une procédure de formation du personnel ;
• Une procédure d’audit pour veiller au contrôle du respect des BCR ;
• Une procédure interne de gestion des plaintes ;
• Un réseau de délégués à la protection des données ou d’employés qualifiés pour le contrôle du respect des règles ;
• Une procédure permettant de déterminer l’opportunité de conduire une analyse d’impact sur la vie privée (AIPD) ;
• Pour les BCR « sous-traitant », les obligations du sous-traitant envers le responsable de traitement ;
• Des mesures techniques et organisationnelles appropriées permettant de respecter les principes de la protection des données.

La CNIL propose une carte du monde interactive permettant d’identifier le statut de chaque pays en matière de protection des données, et la liste des pays bénéficiant d’une décision d’adéquation est disponible sur le site internet de la Commission européenne.

 

La CNIL a imposé une amende de 525 000 euros à HUBSIDE.STORE le 4 avril pour avoir mené des campagnes de prospection en utilisant des données à caractère personnel obtenues par le biais de formulaires de conception trompeuse, qui ne permettaient pas au responsable du traitement de recueillir un consentement valable.

La secrétaire d’État chargée du Numérique a présenté le 25 mars la feuille de route stratégique de la France pour la Décennie numérique, en présence du directeur général des réseaux de communication, du contenu et des technologies (DG Connect) de la Commission européenne.

« La feuille de route s’articule autour de quatre axes de travail visant à atteindre les objectifs de la “ décennie numérique ” :

• Les compétences numériques,
• Les infrastructures numériques,
• La transformation numérique des entreprises et
• La numérisation des services publics. »

La Quadrature du Net a déposé une plainte le 2 mai devant la CNIL contre un déploiement de vidéosurveillance algorithmique (VSA) qu’elle considère comme illégal.

Associant la SNCF et la RATP avec un panel d’entreprises, dont le groupe Atos et ChapsVision, le projet Prevent PCP prend la forme d’un marché public qui permet aux entreprises de déployer leurs systèmes de VSA des grandes gares à travers l’Europe pour détecter des « bagages abandonnés », via une méthode reposant sur l’identification et le suivi des propriétaires des bagages.

En France, ces systèmes de VSA sont ainsi déployés depuis des mois dans la gare du Nord et la gare de Lyon à Paris ou, plus récemment, dans la gare de Marseille-Saint-Charles.

 

Institutions et organismes européens

Le Comité Européen de la Protection des Données (EDPB) a adopté mi-avril son programme de travail pour 2024-2027.

Au cours des quatre prochaines années, l’EDPB continuera à promouvoir le respect du RGPD en élaborant des orientations pratiques et en développant des documents destinés à un public plus large.

La coopération en matière d’application de la législation reste également une priorité. 

Un nouvel aspect de la stratégie est l’accent mis sur l’interaction avec le nouveau cadre réglementaire numérique.

L’EDPB continuera d’accorder une attention particulière aux défis posés par les nouvelles technologies, telles que l’IA.

L’EDPB a également pris position le 17 avril en ce qui concerne le modèle « payez ou acceptez les cookies » imposé aux utilisateurs des grandes plateformes en ligne.

En novembre 2023, Meta avait mis en place une redevance mensuelle pour les utilisateurs qui refusaient d’être suivis à des fins de publicité personnalisée.

Des organisations de défense des droits civils avaient réagi en déposant plusieurs plaintes auprès des autorités compétentes en matière de protection des données (APDs), qui ont demandé à l’EDPB un avis contraignant sur la question.

Cet avis remet en question le modèle imposé par Meta et les plateformes similaires : pour le comité, « dans la plupart des cas, il ne sera pas possible pour les grandes plateformes en ligne de se conformer aux exigences d’un consentement valable si elles ne confrontent les utilisateurs qu’à un choix binaire entre consentir au traitement des données personnelles à des fins de publicité comportementale et payer une redevance ».

Le Comité rappelle que le consentement doit être libre, et qu’une alternative imposant un paiement dissuasif exclurait un consentement librement donné.

Il enjoint les plateformes à mettre en place un modèle alternatif de publicité basé sur une collecte plus limitée de données à caractère personnel.

L’initiative de la Commission européenne visant à inciter les entreprises de la Big Tech à s’engager volontairement dans un « cookie pledge », qui permettrait de réduire le pistage des internautes et de renforcer leur consentement, n’a pas réussi à s’imposer.

Selon un porte-parole de la Commission à Euronews, la majorité des entreprises ont estimé que l’introduction d’une approche volontaire concernant la publicité numérique était « prématurée compte tenu de l’entrée en vigueur récente d’une nouvelle législation dans ce domaine, telle que le règlement sur les services numériques (DSA) et le règlement sur les marchés numériques (DMA) ».

Le 11 avril, la CJUE a estimé qu’un responsable du traitement n’est pas exonéré de sa responsabilité en matière de dommages-intérêts en vertu du RGPD, du simple fait qu’une personne agissant sous son autorité n’a pas suivi ses instructions.

Pour évaluer le montant des dommages et intérêts dus à titre de réparation, les critères établis pour la fixation des amendes administratives ne doivent pas être pris en compte.

L’avocat général de la CJUE a rendu son avis le 25 avril dans une affaire concernant l’utilisation par Meta de données rendues publiques par le plaignant.

Selon l’AG, l’application du « principe de minimisation des données » limite l’utilisation qui peut être faite des données à caractère personnel à des fins publicitaires, même si les utilisateurs ont consenti à la publicité.

Ce principe s’applique quelle que soit la base juridique utilisée pour le traitement : même un utilisateur qui consent à une publicité personnalisée ne peut pas voir ses données personnelles utilisées indéfiniment.

Par ailleurs, le principe de « limitation de la finalité » énoncé à l’article 5(1) du RGPD reste applicable dans le contexte du « web scraping » : des informations accessibles au public (sensibles dans le cas d’espèce) ne peuvent être prélevées et traitées à d’autres fins telle que de la publicité ciblée.

Une plainte a été déposée par l’ONG noyb auprès de l’autorité autrichienne de protection des données (APD) concernant les « hallucinations » de ChatGPT qui violeraient les principes du RGPD.

Max Schrems, directeur de noyb, a déclaré que sa plainte avait été déclenchée par le fait que ChatGPT n’avait pas fourni sa date d’anniversaire exacte et l’avait remplacée par une hypothèse farfelue, alors que le chatbot n’indique pas aux utilisateurs qu’il ne dispose pas des données correctes pour répondre à une demande.

L’entreprise d’IA aurait refusé de corriger ou de supprimer les mauvaises réponses et elle ne divulgue aucune information sur les données traitées, leurs sources ou leurs destinataires.

Depuis l’entrée en vigueur du DSA en août 2023, les grandes plateformes en ligne et les moteurs de recherche (« VLOP » et « VLOSE ») sont tenus de fournir des référentiels publicitaires accessibles au public et transparentes.

Un nouveau rapport de Mozilla, en collaboration avec CheckFirst, examine cette question pour les services offerts par 11 entreprises dont AliExpress, l’App Store d’Apple, Bing, Booking.com, Alphabet (Google Search et YouTube), LinkedIn ou Meta (Facebook et Instagram).

Le rapport constate « une grande variation entre les plateformes » et affirme qu’aucune d’entre elles n’a « un référentiel publicitaire entièrement fonctionnel et qu’aucune ne fournira aux chercheurs et aux groupes de la société civile les outils et les données dont ils ont besoin pour contrôler efficacement l’impact des publicités VLOPs lors des prochaines élections en Europe » (via GDPRtoday).

  

Actualité des pays membres d’Europe.

L’APD belge a considéré le 2 avril que la collecte de l’empreinte numérique du terminal d’un utilisateur (« online fingerprinting ») devait, en principe, être fondée sur le consentement de la personne concernée.

Cette technique permet au responsable du traitement de proposer des services qui identifient le visiteur du site même lorsqu’il navigue en mode incognito ou qu’il utilise un VPN, en lui attribuant un identifiant unique.

Combiné à la localisation de l’utilisateur, cet identifiant permet de suivre, entre autres, le nombre de visites de l’utilisateur.

L’APD a émis un avertissement notamment pour manquement à l’obligation d’information et utilisation des coordonnées de la personne concernée pour l’envoi de courriels de marketing.

L’entreprise de cybersécurité et d’antivirus Avast a été condamnée en appel par l’APD tchèque à une amende de 13,7 millions d’euros, soit l’amende la plus élevée jamais imposée par l’APD.

L’entreprise n’a pas rendues anonymes les données de navigation de plus de 100 millions d’utilisateurs avant de les partager avec des tiers à des fins d’analyse de marché.

Rappelons qu’Avast a également été sanctionnée en février aux Etats-Unis par la Federal Trade Commission (FTC) et a été contrainte de payer une somme de plus de 18 million de dollars.

Elle fait en outre l’objet d’une plainte collective aux Pays-Bas pour les mêmes infractions.

En Finlande, le hacker responsable du piratage des dossiers des patients du centre de psychothérapie Vastaamo qui avait exigé une rançon de 400 000 euros pour les données volées a été condamné à six ans et trois mois de prison par le tribunal de district de l’ouest d’Uusimaa. 

Le piratage concerne les dossiers d’environ 33 000 patients, un nombre inégalé de victimes dans l’histoire judiciaire de la Finlande. 

À l’époque, l’APD avait imposé une amende administrative de 608 000 euros à Vastaamo pour violation du RGPD, pour avoir négligé ses obligations en matière de traitement sécurisé des données personnelles et pour avoir tardé à signaler la violation de données.

L’ancien PDG de la société a été condamné l’année dernière à trois mois de prison avec sursis pour ne pas avoir protégé les données sensibles des particuliers.

L’entreprise a depuis déposé le bilan.

Aux Pays-Bas, le groupe de télécommunications Odido, anciennement T-Mobile Nederland, s’est vu infliger une amende de 175 000 euros par l’inspection des infrastructures numériques pour avoir traité à tort des données relatives au trafic dans le cadre d’un projet commun avec l’agence nationale des statistiques.

Le projet visait à développer un algorithme capable de fournir des informations sur les mouvements de grands groupes de personnes, mais les processus d’Odido ont enfreint la législation en matière de vie privée : Odido avait pris soin de pseudonymiser les données traitées, mais sans qu’aucun des clients ne soit informé de l’étude.

L’APD grecque a imposé une amende de 2 995 140 euros à la Poste hellénique pour n’avoir pas mis en œuvre les mesures de sécurité appropriées, ce qui a entraîné une violation de données affectant plus de 4 millions de personnes.

L’APD espagnole (AEPD) avait décidé d’infliger une amende de 2 000 000 € à une banque pour n’avoir pas obtenu le consentement des personnes concernées par le traitement de leurs données à caractère personnel.

Le responsable du traitement ayant reconnu sa faute a finalement payé une amende réduite de 1 200 000 euros. 

En effet, une loi espagnole (39/2015) concernant les procédures administratives permet à un contrôleur de reconnaître sa responsabilité pour une violation présumée et/ou de payer l’amende proposée par l’AEPD au stade de l’enquête en échange d’une réduction de 40 % du montant de l’amende.

L’AEPD a également infligé une amende de 3 500 000 euros à un responsable du traitement qui n’avait pas effectué une évaluation adéquate des risques et qui avait négligé des failles de sécurité évitables, ce qui a entraîné une violation de données affectant 1,3 million de personnes.

En Suède, l’APD a adressé un blâme à un responsable du traitement pour avoir demandé aux personnes concernées de fournir une copie de leur pièce d’identité ainsi que des documents signés par courrier dans le contexte d’une demande de suppression de données, alors qu’il n’y avait aucun motif raisonnable de douter de l’identité des personnes concernées.

 

Grindr a fait l’objet d’un recours collectif au Royaume-Uni, alléguant que l’application de rencontres LGBTQ partageait avec des annonceurs des informations sensibles sur ses utilisateurs, telles que leur statut VIH et leur orientation sexuelle.

Selon un rapport de la BBC, l’application aurait utilisé une « technologie de suivi secrète » pour collecter et partager illégalement ces données avec des tiers (via GDPRtoday).

Le 3 mai, le Conseil de l’OCDE a adopté des révisions aux Principes concernant l’intelligence artificielle.

En réponse aux développements récents des technologies de l’IA, notamment l’émergence de l’IA généraliste et générative, les principes mis à jour abordent plus directement les défis associés à l’IA concernant la vie privée, les droits de propriété intellectuelle, la sécurité et l’intégrité de l’information.

Aux Etats-Unis, la section 702 de la loi américaine sur la surveillance du renseignement étranger (FISA) vient d’être réautorisée pour deux ans.

Cette section qui autorise une surveillance limitée sans mandat de certaines communications, doit être renouvelée régulièrement par le Congrès.

Le vote aurait été controversé, le Congrès ayant examiné plusieurs propositions visant à actualiser le texte de la loi: selon Associated Press, il y aurait eu désaccord sur la question de savoir si le FBI devait être limité dans l’utilisation de la loi pour espionner les Américains.

Le Sénat a finalement adopté le projet de loi le 20 avril avec très peu de changements au texte.

Le 23 avril, le Sénat a adopté le Protecting Americans from Foreign Adversary Controlled Applications Act (loi sur la protection des Américains contre les applications contrôlées par des adversaires étrangers), un projet de loi qui a été largement décrit comme une interdiction de TikTok.

Le président américain Joe Biden vient de signer la loi, ce qui obligera la plateforme chinoise à séparer ses activités américaines de celles de sa société mère ByteDance, ou à accepter que les citoyens américains ne puissent plus utiliser le service.  TikTok a déjà anoncé un recours en justice.

Une proposition d’ordonnance de la Commission fédérale du commerce des États-Unis (FTC) du 15 avril accuse une société de télésanté mentale d’avoir violé sa politique de confidentialité et d’avoir induit ses clients en erreur au sujet de sa politique d’annulation de services.

La FTC entend infliger une amende de 7 millions de dollars à Cerebral et à son PDG pour avoir collecté des informations personnellement identifiables sur ses clients et les avoir ensuite vendues à des tiers.

La Cour européenne des droits de l’homme traite actuellement plusieurs milliers de recours  concernant des condamnations en Turquie pour appartenance à une organisation terroriste armée, fondées sur l’utilisation présumée de l’application de messagerie cryptée appelée « Bylock ».

Les requérants affirment que leurs condamnations ont été fondées sur leur utilisation présumée de cette application qui, selon les tribunaux turcs, avait été conçue pour l’usage exclusif des membres du FETÖ/PDY sous l’apparence d’une application globale.

Toute personne ayant utilisé Bylock pouvait, en principe, selon eux, être condamnée sur cette seule base pour appartenance à une organisation terroriste armée.