Veille Juridique n°79 – janvier 2025. 

Ammattimaisen datan ylläpito: varo kuluttaja-alustoja.

Les obligations des hébergeurs de données en matière de lutte contre la pédopornographie ont une incidence très étendue sur la confidentialité des documents que nous leur confions.

C’est ce qu’a pu constater récemment un avocat parisien à ses dépens, alors qu’il stockait sur Google drive des informations confidentielles extrêmement sensibles dans le contexte d’un dossier pénal.

La décision de la Cour d’appel de Paris du 24 janvier rappelle ainsi aux avocats – ainsi qu’à tout professionnel traitant des données sensibles – que la confidentialité des données n’est pas assurée sur les services d’hébergement tels que Google Drive.

En effet, Google, comme toute autre entreprise soumise au droit des Etats-Unis, peut dans le contexte de la lutte contre la pédocriminalité supprimer un compte d’hébergement ou un compte email en cas de soupçon d’illicéité des données.

Dans le cas d’espèce, l’avocat qui avait stocké plusieurs dizaines d’images pédopornographiques sur Google Drive, traitées dans le contexte légitime d’un dossier pénal, a vu son compte Drive supprimé, de même que son compte Gmail.

Il a de plus été signalé à la NCMEC (National Center for Missing and Exploited Children).

Face à l’avocat qui demandait la restitution de ses données ainsi que des dommages et intérêts à Google, la Cour confirme que la détention des fichiers, même dans un cadre professionnel, ne justifiait pas leur conservation et que la suspension du compte et le signalement étaient légitimes en vertu des obligations légales auxquelles est soumis l’hébergeur.

Rappelons que les algorithmes de détection qui scannent en permanence les fichiers et emails stockés ne font pas la différence entre des fichiers sensibles détenus légitimement et des contenus illicites, et entre des activités personnelles ou professionnelles.

Un compte peut être suspendu sans préavis et sans recours possible, ce qui implique qu’un avocat peut perdre l’accès immédiat à ses dossiers et communications, même dans le cadre d’une activité légitime.

Par ailleurs, toujours en matière de pédopornographie, les hébergeurs américains qui scannent déjà les contenus stockés sur leurs serveurs sont obligés de signaler l’utilisateur au service de police compétent pour la France à savoir l’OFMIN.

Utiliser des services sécurisés est d’autant plus essentiel que l’on exerce une profession réglementée.

Rappelons à ce sujet le rapport publié par l’ANSSI en 2023 concernant l’état de la menace informatique contre les cabinets d’avocats.

Si ces derniers disposent en principe d’un système (e-Drive) et d’une adresse (avocat.fr) dédiés et sécurisés, de la même façon que les médecins, ce n’est pas nécessairement le cas pour toutes les professions, en particulier celles qui ne sont pas réglementées.

Aujourd’hui, les règles européennes, et en particulier la LCEN en France (loi du 21 juin 2004 sur la confiance dans l’économie numérique) ne prévoient pas d’obligation de scanning systématique par les hébergeurs des données stockées, mais une obligation de vérification en cas de notification et de suspicion d’infraction.

Le cadre légal pourrait néanmoins évoluer au niveau européen, avec l’adoption du futur règlement CSAR visant à prévenir et combattre les abus sexuels concernant les enfants.

Si personne ne conteste le bien-fondé des objectifs, le projet de permettre le scanning systématique des communications privées provoque d’intenses discussions.

A l’heure actuelle, il est en tout état de cause fortement conseillé :

• D’utiliser des solutions cloud dédiées aux professionnels, conçues le cas échéant pour les professions réglementées et garantissant le respect du secret professionnel ;
• De séparer strictement les usages personnels et professionnels ;
• De chiffrer les données de bout en bout ;
• De choisir un hébergeur souverain basé en France, ou à tout le moins en Europe.

 

Les 10 et 11 février, la France accueillera le Sommet d’action sur l’intelligence artificielle (IA), qui réunira au Grand Palais des chefs d’État et de gouvernement, des dirigeants d’organisations internationales, des PDG de petites et grandes entreprises, des représentants du monde universitaire, des organisations non gouvernementales, des artistes et des membres de la société civile.

La CNIL publie son plan stratégique 2025-2028. Ce dernier comporte quatre grands axes :

• Intelligence artificielle,
• Droits des mineurs,
• Cybersécurité
• Usages du quotidien numérique.

Elle se concentrera sur deux de ces usages : les applications mobiles et l’identité numérique.

La CNIL publie en outre plusieurs orientations à destination des responsables de traitement en ce début d’année.

Elle a publié le 31 janvier la version finale de son guide sur les analyses d’impact en matière de transferts de données hors Union Européenne.

Dans une publication du 23 janvier, elle rappelle les vérifications à effectuer lorsque l’on utilise des bases de données librement mises à disposition sur Internet ou fournies par un tiers.

Elle réagit aussi aux violations de données de grande ampleur qui ont touché des millions de personnes en 2024, et propose des mesures de renforcement de sécurité pour faire face aux risques d’attaque.

Celles-ci concernent les procédures internes à l’entreprise ainsi que les précautions à prendre en cas de sous-traitance.

Elle rappelle encore ses recommandations sur la manière d’intégrer des SDK (« Software Development Kit » dans les applications mobiles, et indique qu’elle conduira des contrôles pour garantir leur conformité au RGPD.

Elle a enfin publié le 20 janvier le bilan de ses contrôles dans le cadre d’une action coordonnée européenne concernant le respect du droit d’accès, et constate que les mesures mises en œuvre par les responsables de traitement sont parfois insuffisantes : par exemple, lorsque les personnes exercent leur droit d’accès à l’intégralité de leurs données, certains organismes ne fournissent qu’une réponse partielle ou incomplète.

L’association UFC-Que Choisir a perdu son procès contre Google.

En juin 2019, elle lançait une action de groupe contre la société, dénonçant des pratiques contraires au RGPD: géolocalisation intrusive, suivi des déplacements sans consentement, publicités ciblées non sollicitées.

L’action collective s’appuyait sur une décision de la CNIL qui avait infligé à Google une amende record de 50 millions d’euros.

L’association réclamait 1000 euros par utilisateur concerné, pour un total de 27 milliards d’euro.

Le tribunal judiciaire de Paris a rejeté la demande invoquant l’absence de preuves suffisantes et condamné l’association à verser 10 000 euros de frais de justice à Google.

 

Institutions et organismes européens

Le 16 janvier, le Comité européen de la protection des données a adopté des lignes directrices concernant la pseudonymisation.

Celles-ci précisent la définition et les conditions d’application de la pseudonymisation, ainsi que ses avantages.

Elles fournissent également un certain nombre d’exemples.

Si la pseudonymisation ne dispense pas de l’application du RGPD aux données, elle permet néanmoins de réduire les risques liés aux traitements (par exemple en cas de ransomware).

Les lignes directrices sont ouvertes pour commentaire jusqu’au 28 février.

Le mercredi 29 janvier, le tribunal de l’Union européenne (TUE) a donné raison au Comité européen de la protection des données (EDPB), dans un litige qui l’opposait à l’autorité de protection des données (APD) irlandaise.

La décision du Comité, mise en cause par l’Irlande, demandait à l’APD d’élargir son enquête concernant les infractions de l’entreprise Meta au RGPD.

Le tribunal note « qu’un élargissement d’enquête, nécessairement demandé par au moins la moitié des autorités de contrôle (…), ne vise pas, contrairement à ce que soutient la requérante, à compliquer la tâche de la personne ayant déposé une réclamation ou celle du responsable de traitement visé par celle-ci, mais constitue une mesure pour défendre leurs droits respectifs » (§56).

Dans sa décision T-354/22, le Tribunal de l’Union européenne a condamné la Commission européenne pour violation du RGPD dans le cadre de l’inscription en ligne à un événement qu’elle organisait.

Au moyen de l’hyperlien « connect with Facebook », affiché sur la page d’accueil, la Commission « a créé les conditions permettant la transmission de l’adresse IP du demandeur à Facebook » et, par conséquent vers les États-Unis.

À l’époque, le Privacy shield avait été invalidé et la transmission a donc été jugée contraire à l’article 46 du règlement 2018/1725.

La Cour a estimé que « le préjudice moral invoqué par le requérant doit être considéré comme réel et certain » puisque le transfert « a placé le requérant dans une situation d’insécurité à l’égard du traitement de ses données à caractère personnel, en particulier de son adresse IP ».

Cette décision pourrait avoir des conséquences en cas d’invalidation du « Data privacy framework », car elle reconnaît que le simple fait de connecter un utilisateur d’Internet à un service américain constitue un transfert de données à caractère personnel vers les États-Unis.

Dans l’arrêt « Mousse » du 9 janvier 2025 (C-394/23), la Cour de justice de l’Union européenne (CJUE) considère qu’il n’est pas nécessaire de demander aux acheteurs de billets de train s’ils doivent être appelés « Monsieur » ou « Madame ».

La Cour rappelle que « pour qu’un traitement de données à caractère personnel soit considéré comme nécessaire à l’exécution d’un contrat, au sens de cette disposition, il doit être objectivement indispensable pour atteindre une finalité qui fait partie intégrante de la prestation contractuelle destinée à la personne concernée ».

En l’espèce, la Cour indique qu’une solution praticable et moins intrusive semble exister : l’entreprise concernée pourrait opter pour une communication basée sur des formules de politesse génériques, inclusives et non corrélées avec l’identité de genre présumée.

Dans un arrêt du 9 janvier également, la CJUE a clarifié les critères de définition des demandes « excessives » au sens de l’article 57(4) du RGPD, en soulignant qu’il ne s’agit pas seulement du nombre de demandes formulées par la personne concernée, mais davantage de l’intention abusive à l’origine de ces demandes.

Cette décision concerne les APDs mais le raisonnement est intéressant pour les responsables de traitement.

La CJUE considère que les autorités de contrôle ont la charge de la preuve et doivent démontrer une intention abusive de la part de la personne qui a fait la demande.

L’arrêt de la CJUE du 19 décembre 2024 (affaire C-65/23) précise que si les accords d’entreprise peuvent constituer une base juridique spécifique, les employeurs doivent s’assurer que ce type d’accord est conforme au RGPD.

Dans le cas d’espèce, une entreprise allemande et son comité d’entreprise avaient conclu des accords concernant le traitement des données des employés.

Le litige portait sur l’utilisation d’un nouveau logiciel basé sur le cloud par lequel les données personnelles étaient transférées vers des serveurs aux États-Unis.

La CJCE souligne que les tribunaux nationaux sont tenus de vérifier le respect de tous les principes du RGPD, même si le traitement des données est basé sur une convention collective.

 

Actualité des pays membres de l’Union Européenne.

En Belgique, l’APD a réprimandé le 7 janvier un employeur pour avoir traité illégalement des allégations concernant l’agression d’un mineur par l’un de ses employés.

Le responsable de la sécurité de l’employeur avait demandé à l’Autorité nationale de sécurité française de prolonger l’habilitation de sécurité d’un de ses employés, demande rejetée par une décision motivée de l’Autorité, transmise à la direction et à l’employé.

La direction a toutefois transmis cette information au supérieur hiérarchique direct de la personne concernée, qui a lancé une action disciplinaire à son encontre.

L’APD pointe des infractions multiples, dont l’absence de base légale, la transmission de données en l’absence d’une finalité compatible, le traitement illégal de données sensibles et l’absence de transparence à l’égard de la personne concernée.

Au Danemark, l’APD a accepté la demande du F.C. Copenhagen d’utiliser la technologie de reconnaissance faciale lors des matchs de football en vertu du droit national, au motif que l’application prévue des suspensions constitue un intérêt public substantiel.

Aucune autorisation n’a été accordée pour les événements autres que les matches de football.

L’association danoise « Danes je nov dan » a lancé un outil conçu pour tester la capacité des utilisateurs à identifier les contenus générés par l’IA tout en les informant sur les risques associés à leur utilisation abusive.

Présenté sous la forme d’un quiz interactif, l’outil couvre différents domaines tels que la reconnaissance d’images synthétiques, de textes et de vidéos.

Contrairement à son homologue danoise, l’APD espagnole a estimé que la mise en œuvre d’un système optionnel de reconnaissance faciale, utilisé pour gérer l’accès à un stade de football, violait le principe de minimisation des données puisqu’il existait des alternatives moins invasives, et a sur cette base infligé une amende de 200 000 euros aux responsables.

L’APD espagnole a également sanctionné l’opérateur CI Postal d’une amende de 200 000 euros pour avoir, entre septembre et octobre 2022, abandonné dans des espaces publics environ 8000 courriers qui lui avaient été confiés par plusieurs entreprises.

L’APD constate une violation des articles 5(1)(f) et 32 du RGPD en matière de confidentialité et de sécurité, et pointe l’absence d’un système de traçabilité pour les courriers et une formation insuffisante des employés aux règles de protection des données.

Elle a aussi condamné la société Generali España à une amende de 4 000 000 € après avoir constaté d’importantes lacunes dans l’approche de la société en matière de sécurité des données, ayant permis à un tiers non autorisé d’accéder aux données de plus de 25 000 anciens clients.

L’APD estonienne a infligé une amende de 85 000 euros (10 % du chiffre d’affaires) à l’entreprise Asper Biogene pour absence de protection adéquate des données sensibles dans un cas de ransomware.

L’entreprise réalise des tests génétiques tels que des tests de paternité et des dépistages de maladies héréditaires.

Les pirates ont pu télécharger plus de 33 Go de fichiers PDF, ni anonymisés ni pseudonymisés, concernant environ 100 000 estoniens.

En Grèce, l’APD a imposé une amende de 50 000 euros au ministère de la crise climatique et de la protection civile pour avoir omis de désigner un DPO, violant ainsi – entre autres – l’article 37 du RGPD.

La startup chinoise Deepseek a lancé fin janvier un chatbot similaire au ChatGPT d’OpenAI et au Co-Pilot de Microsoft.

Outre les accusations des géants américains, selon lesquels Deepseek aurait utilisé des données générées par leurs propres systèmes, le chatbot chinois a déjà attiré l’attention de l’APD italienne : le 30 janvier, l’APD a bloqué le chatbot en Italie et ouvert une instruction après avoir reçu de Deepseek des réponses jugées totalement insuffisantes à ses questions.

Les APDs irlandaise, belge et française ont également indiqué s’être saisies du sujet.

Les décisions concernant les « dark patterns » en matière de cookies se multiplient : en Suède, l’APD a réprimandé une société de jeux d’argent pour la mauvaise conception de sa bannière de cookies.

La mise en évidence graphique de l’option d’acceptation et les étapes supplémentaires requises pour refuser les cookies rendaient le consentement invalide au regard de l’article 6 du RGPD.

L’APD a également publié trois décisions de réprimande à l’encontre d’entreprises qui, pendant des périodes allant de quelques mois à plusieurs années, avaient intégré le service de mesure d’audience de Meta (Meta Pixel) dans leurs pages web.

Cette intégration avait pour effet de renvoyer du trafic vers Meta de façon invisible pour les utilisateurs.

 

L’APD britannique (ICO) annonce dans un communiqué de presse du 23 janvier s’attaquer au problème de la conformité des cookies concernant les 1 000 sites web les plus importants du Royaume-Uni.

L’ICO publie également une « stratégie » visant à garantir que le suivi en ligne offre aux personnes « des choix clairs et une confiance dans la manière dont leurs informations sont utilisées », et de nouvelles orientations sur les modèles « consentir ou payer ».

Aux Etats-Unis, les trois membres démocrates du Conseil de surveillance de la vie privée et des libertés civiles (PCLOB – Privacy and Civil Liberties Oversight Board), conseil chargé d’examiner les programmes de surveillance de la sécurité nationale sous l’angle de la protection de la vie privée, ont été licenciés le 27 janvier après avoir refusé de démissionner comme la Maison Blanche le leur avait demandé.

Le PCLOB était considéré, dans le contexte du « Data Privacy Framework » entre l’Europe et les Etats-Unis, comme un recours essentiel pour le respect des droits des individus en matière de surveillance de masse.

L’impact de cette mesure sur la viabilité de l’accord transatlantique est encore inconnu à ce jour.

Après avoir révoqué le décret de l’ancien président Joe Biden sur l’IA, Donald Trump en a signé un nouveau, qui « révoque certaines politiques et directives existantes en matière d’IA qui constituent des obstacles à l’innovation américaine dans le domaine de l’IA, ouvrant ainsi la voie aux États-Unis pour qu’ils agissent de manière décisive afin de conserver leur position de leader mondial en matière d’intelligence artificielle ».

Le 23 janvier, OpenAI a dévoilé son agent « Operator », décrit comme « un agent qui peut aller sur le web pour effectuer des tâches à votre place ».

Alors que les applications d’IA générative peuvent, par exemple, répondre à des questions, résumer des textes et créer des images et vidéos synthétiques, les applications d’IA agentique peuvent exécuter des tâches plus complexes non seulement de création mais aussi de mise en œuvre de contenu.

Operator est ainsi conçu pour automatiser des tâches telles que planifier des vacances, remplir des formulaires, ou commander des courses.

Il est formé pour interagir avec les boutons, menus et champs de texte usuels du web, et peut également poser des questions complémentaires pour personnaliser davantage ces tâches.

Open AI précise que les utilisateurs peuvent prendre le contrôle de l’écran à tout moment.