Veille Juridique n°68 – Février 2024.

Contrôles de la CNIL : quelles priorités pour 2024 ?

Comme chaque année, la CNIL a publié en ce début 2024 le bilan de son activité passée et ses priorités pour les prochains mois.

Elle indique des contrôles en constante augmentation, rendus plus efficace par la mise en œuvre d’une procédure simplifiée pour certaines affaires.

L’année dernière, les contrôles ont touché des secteurs divers tels que la publicité et le commerce en ligne, la sécurité, la géolocalisation des véhicules, les droits des salariés ou encore le traitement des données de santé.

La CNIL a sanctionné aussi bien des multinationales que des PME, et des acteurs publics comme privés.

La Commission semble toutefois avoir pris conscience des efforts supplémentaires que requiert le respect du RGPD pour les responsables de petites structures.

Elle note ainsi dans une étude sur l’impact économique du RGPD publiée ce 1er mars que « le RGPD est proportionnellement plus favorable aux gros acteurs économiques, qui ont plus de moyens à consacrer à la conformité ».

Elle en tire des conséquences en notant que « le régulateur doit compenser activement cette tendance par une politique exigeante envers les grands acteurs, et plus encore avec les très grands acteurs, à proportion des risques qu’ils suscitent et des moyens dont ils disposent.

Ainsi, comme le précise d’ailleurs la déclaration conjointe CNIL-Autorité de la concurrence de décembre 2023, la CNIL assume déjà, et va assumer encore plus à l’avenir, une dimension asymétrique de son action de régulation sur les marchés numériques, associée à une pleine compréhension des modèles d’affaires, au bénéfice des personnes et de la protection de leurs droits fondamentaux. »

Parmi les actions annoncées cette année, on relève sans surprise les fichiers liés aux Jeux Olympiques et Paralympiques 2024, et le droit d’accès des personnes à leurs données.

En ce qui concerne les Jeux Olympiques, la CNIL entend vérifier l’usage qui sera fait des dispositifs de sécurité et en particulier l’utilisation des caméras augmentées, des codes QR pour les zones à accès restreint et des habilitations d’accès.

Le volume de données et la quantité de partenaires de l’événement conduiront aussi la Commission à vérifier l’utilisation des données de billetterie, pour éviter une réutilisation frauduleuse des données des personnes concernées.

Notons que la problématique de l’utilisation de la reconnaissance faciale par les forces de l’ordre est également reprise dans les priorités du Comité européen de la protection des données (EDPB) dans son programme de travail 2023-2024.

Le droit d’accès des personnes à leurs données est le thème de l’action coordonnée de l’EDPB pour 2024 (voir aussi infra).

Des lignes directrices ont été adoptées sur ce sujet par l’EDPB en 2023 afin d’aider les responsables de traitement à mettre en place des procédures d’accès, complémentaires à celles publiées par la CNIL.

La CNIL se concentrera aussi les données des mineurs collectées en ligne : elle vérifiera si des mécanismes de contrôle de l’âge sont mis en œuvre, quelles mesures de sécurité sont prévues et si le principe de minimisation des données est respecté.

Enfin, elle vérifiera l’impact de la dématérialisation des tickets de caisse et l’utilisation de programmes de fidélité sur les droits des individus.

Le remplacement des tickets de caisse par l’envoi d’un sms ou d’un courriel par exemple, implique la collecte de données additionnelles.

La CNIL précise que ces données, tout comme les informations concernant les achats des individus, ne peuvent être utilisées à des fins de ciblage publicitaire qu’avec le consentement préalable des personnes concernées.

Rappelons enfin que la CNIL peut se saisir d’un dossier indépendamment des priorités identifiées, sur la base d’une plainte, d’une publication dans la presse ou d’un signalement par une autorité de protection des données d’un autre pays européen.

 

    

• La CNIL a infligé le 31 janvier une amende de 100 000 euros au prestataire de services immobiliers PAP.

La CNIL a relevé des manquements concernant les durées de conservation des données, l’information des personnes, l’encadrement des relations entre PAP et un sous-traitant, ainsi que la sécurisation des données (conservation des mots de passe en clair). Les défauts de sécurité relevés exposaient les données à des risques d’attaques informatiques et de fuites.

• Elle a aussi sanctionné ce 31 janvier la société FORIOU d’une amende de 310 000 euros pour avoir utilisé à des fins de prospection commerciale des données fournies par des courtiers en données, sans s’assurer que les personnes concernées avaient valablement consenti à être démarchées.

La CNIL rappelle qu’il appartient à la société utilisatrice des données de s’assurer que les personnes concernées ont exprimé un consentement valide en amont, au moment de la collecte.

La Commission a relevé que, même si la société a imposé certaines exigences contractuelles à ses fournisseurs de données en amont, aucun contrôle effectif de ces exigences n’était opéré en aval.

• Le Conseil d’État a considéré le 30 janvier dernier que les transferts automatiques de données fiscales entre la France et les États-Unis dans le cadre de l’accord FATCA n’enfreignent pas les articles 5 et 46 du RGPD, l’absence de décision d’adéquation n’empêchant pas les transferts de données « nécessaires pour des motifs importants d’intérêt public ».

L’Association des américains accidentels  avait demandé au Conseil d’Etat l’annulation de la décision de la CNIL qui avait conclu au classement de sa plainte.

Le Conseil d’État a considéré que la CNIL avait suffisamment motivé sa décision.

Notons que sur le même sujet, l’autorité de protection des données de Belgique était arrivée à une conclusion différente et avait interdit le transfert des données fiscales des Américains accidentels belges vers les États-Unis.

• La start-up française Mistral spécialisée dans le développement de l’IA a annoncé le 26 février un partenariat stratégique avec Microsoft.

Selon le journal Le Monde, cette annonce fait grincer des dents à Bruxelles, après l’intense lobbying exercé notamment par la France afin de favoriser les start-up européennes et limiter les obligations les concernant dans le futur règlement sur l’IA.

Les eurodéputés verts ont envoyé à la Commission européenne une lettre soulevant des questions sur d’éventuels conflits d’intérêts et des problèmes de transparence concernant le lobbying de Mistral sur ce règlement.

• L’ANSSI a publié mi-janvier trois guides visant à « piloter la remédiation d’un incident cyber ».

Ces guides comprennent trois volets : stratégique, opérationnel et technique.

L’agence rappelle que « si un incident majeur est partiellement ou mal remédié, ses effets peuvent s’étendre dans la durée ».

« Ce fort potentiel de déstabilisation exige (…) un savoir-faire dans l’endiguement de ces cyber-attaques, dans la reprise de contrôle du système d’information compromis et dans le rétablissement d’un état de fonctionnement suffisant ».

La remédiation est une dimension majeure de la réponse à incident cyber, avec l’investigation et la gestion de crise.

• Après huit mois d’expérimentation, le permis de conduire dématérialisé est depuis le 14 février accessible pour toutes les personnes qui en feraient la demande.

Avec l’application France identité, il est aussi possible de dématérialiser sa carte d’identité et de l’utiliser pour certaines démarches, comme faire une procuration.

 

istituzioni e organismi europei

• Le 28 février, l’EDPB a donné le coup d’envoi de son « cadre coordonné d’enquêtes » (CCE) pour 2024.

Tout au long de l’année, les autorités de protection des données (APDs) européennes participeront à cette initiative sur la mise en œuvre du droit d’accès.

Lors de sa séance plénière d’octobre 2023, l’EDPB avait choisi le droit d’accès pour sa troisième action coordonnée de mise en œuvre, « car il est au cœur de la protection des données et constitue l’un des droits de protection des données les plus fréquemment exercés et au sujet duquel les autorités de protection des données reçoivent de nombreuses plaintes. »

• L’EDPB rendra bientôt un avis déterminant sur le modèle économique « acceptez ou payez », qui impose un paiement pour accéder au contenu d’un site internet aux visiteurs qui refusent les cookies.

Meta a adopté cette approche en novembre 2023, ce qui a conduit les APDs néerlandaises, norvégiennes et hambourgeoises à demander à l’EDPB d’adopter un avis contraignant sur la légalité de cette pratique.

La société civile craint que, si ce modèle économique est légitimé, des entreprises de tous les secteurs industriels suivent l’exemple de Meta, ce qui pourrait marquer la fin du véritable consentement à l’utilisation des données.

28 ONGs ont envoyé une lettre à l’EDPB pour l’exhorter à émettre un avis qui protège le droit fondamental à la protection des données.

• Lors de sa session plénière de mi-février, l’EDPB a adopté un avis clarifiant la notion d’établissement principal dans le contexte du guichet unique (« One stop shop »).

Les entreprises ne peuvent pas simplement créer un établissement principal « en fixant une plaque sur une porte » : l’établissement doit être là où les décisions de traitement sont prises, et si elles sont prises à l’étranger, il ne peut y avoir d’établissement principal : le guichet unique ne s’applique pas. L’EDPB a également adopté une déclaration appelant les législateurs de l’UE à s’assurer que le règlement CSAM visant à protéger les droits des enfants en ligne respecte les droits à la vie privée et à la protection des données. 

• Le Parlement européen, et plus particulièrement la sous-commission de la défense, étaient en état d’alerte maximale fin février après la découverte de traces de piratage sur les téléphones de deux de ses membres, faisant craindre cyberattaques et ingérence étrangère à l’approche des élections européennes de juin.

Le journal Politico mentionnait en décembre dernier un rapport interne indiquant que la cybersécurité de l’institution « n’a pas encore atteint les normes de l’industrie » et n’est « pas totalement en ligne avec le niveau de menace » posé par les pirates informatiques.

Ces nouvelles révélations font suite à des incidents antérieurs au cours desquels d’autres membres du Parlement européen ont été ciblés par les logiciels espions Pegasus et Predator.

• Le 19 février, la Commission européenne a lancé une enquête concernant les droits des enfants sur TikTok.

Elle soupçonne en particulier des violations concernant la transparence et les obligations de protection des mineurs au regard du règlement sur les services numériques (DSA), notamment une conception addictive, une vérification de l’âge et des paramètres de confidentialité par défaut insuffisants. Le DSA est en vigueur dans l’UE depuis le 17 février.

• Les États membres de l’UE, avec le soutien de la Commission européenne et l’Agence européenne pour la cybersécurité (ENISA), ont publié le 21 février un rapport sur la cybersécurité et la résilience des infrastructures et réseaux de communication européens.

Ce rapport fait suite à une évaluation par les États membres des risques liés à ces infrastructures et réseaux.

L’évaluation a permis d’identifier un certain nombre de menaces, telles que wipers, attaques par ransomware, attaques de la chaîne d’approvisionnement, attaques physiques ou encore sabotage.

• Le 13 février, la Cour européenne des droits de l’homme (CEDH) s’est prononcée dans l’affaire Podchasov sur la collecte et l’accès aux communications privées des citoyens par la Russie.

En plein débat sur les dangers supposés des communications chiffrées, la Cour a clairement indiqué que l’affaiblissement du chiffrement des communications de l’ensemble des citoyens n’était pas justifié.

Selon E. Tuchtfeld, « cette décision envoie un message important non seulement à l’État russe, mais aussi aux autres gouvernements européens qui envisagent d’installer des « portes dérobées » sur des services de messagerie cryptés tels que Telegram, Signal ou WhatsApp ».

• La CEDH a également considéré dans un jugement du 15 février que la conservation systématique et indiscriminée des données de télécommunications utilisées en Slovénie contre un ancien juge au cours de son procès devait être considérée comme une violation de son droit à la vie privée.

A l’époque de la condamnation du requérant, les fournisseurs de services de communication étaient obligés de conserver les données de télécommunication de manière systématique et indifférenciée pendant une période de 14 mois.

La Cour a estimé qu’une telle conservation n’était pas dans les limites de ce qui est nécessaire dans une société démocratique.

La conservation, l’accès et le traitement des données dans le cadre de la procédure pénale à l’encontre du requérant ont ainsi violé son droit au respect de la vie privée.

 

Notizie dai paesi membri dell'Unione Europea.

• En Belgique, l’APD a mis à disposition sur son site internet une section « Documents pour le DPO »

Elle inclut notamment des décisions judiciaires et de l’APD relatives aux DPOs, par exemple sur des sujets comme le conflit d’intérêts et la protection contre le licenciement.

• L’APD belge a également a considéré qu’indépendamment du retrait d’une plainte, elle avait toujours le pouvoir de déclarer une violation des droits de la personne concernée et d’infliger une amende en raison du non-respect du RGPD.
• L’APD italienne a annoncé le 29 février qu’elle avait imposé une amende de plus de 79 millions d’euros à Enel Energia pour de graves manquements dans le traitement des données personnelles de nombreux utilisateurs du secteur de l’électricité et du gaz, effectué à des fins de télémarketing.
• L’APD a également infligé une amende de 5 000 euros à la municipalité de Syracuse pour n’avoir pas communiqué les coordonnées du DPO conformément à l’article 37 du RGPD.
• L’APD grecque a infligé une amende de 5 000 euros à un responsable du traitement car son DPO n’avait pas répondu, malgré plusieurs rappels, au questionnaire qu’elle lui avait envoyé dans le contexte de l’action européenne coordonnée des APDs en 2023.
• En Espagne, l’APD a refusé que les obligations de vérification en matière de lutte contre le blanchiment d’argent servent d’excuse à une banque pour obliger le plaignant à fournir des détails sur l’origine de son argent par le biais de courriels non chiffrés.

Elle a imposé une amende de 2 500 000 euros au responsable du traitement.

• L’APD danoise, dans sa cinquième décision relative à Chromebook, a estimé que 53 municipalités avaient illégalement partagé des données personnelles d’étudiants avec Google à des fins de développement propres à Google, en violation de l’article 6(1)(e) du RGPD.
• Au Royaume-Uni, l’APD a infligé une amende de 409 080 euros (350 000 livres sterling) au ministère britannique de la défense pour la divulgation de 265 adresses électroniques de personnes cherchant à quitter l’Afghanistan à la suite de l’arrivée au pouvoir des talibans en 2021.
• Le Service de renseignement de la Confédération (SRC) suisse est mis en cause par le magazine Republik, qui a publié mi-janvier une enquête affirmant que le SRC a accès aux courriels de tous les Suisses et qu’il surveille massivement leurs communications en vertu d’une loi de 2016.

Les données seraient collectées à même les câbles de communication, via des équipements installés dans les infrastructures des fournisseurs d’accès à internet. Le SRC dément ces accusations (via la lettre AFCDP).

• Une cyberattaque contre une société américaine a conduit à la divulgation d’informations sensibles sur les forces aériennes suisses sur le dark web.

Le groupe de pirates ALPHV a revendiqué l’attaque, qui a eu pour conséquence la publication de documents classifiés, notamment un contrat de 5 millions de dollars entre la Suisse et la société Ultra Intelligence & Communications, fournisseur de technologies de chiffrement et de communication pour le secteur de la défense.

En juillet 2023, une attaque similaire avait frappé la société suisse Xplain, suivie en novembre par un piratage de la société de logiciels Concevis, travaillant également pour le secteur de la défense et l’administration fiscale.

 

• L’administration Biden a adopté le 28 février un décret visant à protéger les données personnelles sensibles des Américains contre l’exploitation par certains pays tiers (« countries of concern »).

Ce décret autorise le procureur général à empêcher le transfert à grande échelle des données personnelles des Américains vers les pays qui suscitent des inquiétudes et prévoit des garanties pour d’autres activités susceptibles de permettre à ces pays d’accéder aux données sensibles des Américains.

Ces données concernent notamment les données génomiques, biométriques, les données de santé, de géolocalisation ou encore les données financières.

• Le « National Institute of Standards and Technology » (NIST) des Etats-Unis a publié en février des mesures concrètes pour intégrer la sécurité à chaque phase du cycle de développement des logiciels.

Le guide recommande aux fabricants de donner la priorité à une série de mesures concrètes, notamment l’établissement d’exigences de sécurité de base pour l’intégration de logiciels libres et l’extension de la surveillance des « données de provenance ».

• Toujours aux Etats-Unis, la Federal Trade Commission (FTC) vient d’interdire à Avast de vendre les données de navigation de ses clients à des fins publicitaires.

La FTC enquêtait suite aux accusations selon lesquelles Avast aurait vendu ces données de navigation alors qu’elle affirmait que ses produits bloquaient le pistage en ligne. Avast est condamnée à une amende de 16,5 millions de dollars.

Notons que l’APD Tchèque avait sanctionné la société en avril 2023 pour les mêmes raisons.

• Les révisions apportées à la loi géorgienne de protection des données sont entrées en vigueur le 1er mars.

Ces modifications visent à garantir une protection plus proche celle du RGPD. 

Il est dorénavant interdit aux opérateurs de téléphonie mobile et à leurs fournisseurs de services SMS d’utiliser les données personnelles des citoyens à des fins de marketing direct sans leur consentement préalable.

En outre, il est désormais obligatoire pour les institutions publiques et certaines entreprises privées de nommer un délégué à la protection des données.

• Le Commissariat à la protection des données personnelles de Hong Kong (PCPD) a effectué des contrôles de conformité auprès de 28 organisations locales d’août 2023 à février 2024 concernant leurs traitements des données à caractère personnel dans le cadre de l’utilisation de l’IA.

L’exercice a porté sur divers secteurs, notamment les télécommunications, la finance et l’assurance, les services de beauté, la vente au détail, les transports, l’éducation et les ministères.

Le PCPD n’a constaté aucune infraction, même s’il note qu’un nombre croissant d’organisations tant publiques que privées déploient l’IA pour améliorer leur efficacité opérationnelle quotidienne.