Veille Juridique – Juin 2019.

Le 25 mai 2018, le Règlement général sur la protection des données entrait en application.

Ce nouveau texte a provoqué de nombreux changements dans les pratiques des entreprises, que ce soit au niveau de leur organisation interne ou des contacts avec leurs clients.

Bien que la protection des données soit inscrite dans le cadre légal depuis 1978 en France et 1995 au niveau européen, ce Règlement a donné une nouvelle dynamique à ce qui représente à la fois un droit de l’homme et un enjeu économique. Et les sanctions financières prévues par le nouveau texte n’y sont pas étrangères.

Qu’en est-il en pratique de la mise en conformité, des actions de la CNIL et de ses homologues européens ?

En France, on a assisté à une augmentation spectaculaire des plaintes, des notifications de sécurité et des demandes d’information auprès de la CNIL. L’autorité de contrôle a publié fin mai un bilan chiffré de cette première année, qui fait ainsi état de plus de 11 900 plaintes (+ 30 %) et 2 044 notifications de violation de données. La CNIL poursuit également l’instruction de nombreux dossiers dont une partie en coopération avec ses voisins européens. Elle est ainsi engagée dans 800 procédures transnationales.

Si elle accompagne les entreprises dans leurs efforts de mise en conformité, la CNIL a aussi prononcé de nombreuses sanctions. Attardons-nous sur quelques-unes d’entre elles :

• La sanction la plus spectaculaire est sans aucun doute celle infligée à Google, pour un montant record de cinquante millions d’euros.

• Deux autres sanctions, bien plus modestes, méritent pourtant un intérêt particulier, car elles ont été portées devant le Conseil d’Etat qui en a examiné la proportionnalité.

• Dans l’un des cas daté du 17 avril 2019, le Conseil d’Etat a confirmé la sanction de 75000 euros: après une mise en demeure et plusieurs demandes répétées de la CNIL, l’Adef (Association pour le développement des foyers) n’avait toujours pas remédié à une faille de sécurité permettant d’avoir accès via Internet aux documents des demandeurs de logement. Le délai avec lequel l’association a apporté les mesures correctrices requises a constitué l’un des éléments déterminants pour le Conseil d’Etat.

• Dans le deuxième cas, daté également du 17 avril 2019, le Conseil d’Etat a par contre réduit le montant de la sanction infligée par la CNIL à la société Optical Center : la société avait en effet corrigé dans les deux jours de la notification de la CNIL une faille de sécurité qui permettait via son site web l’accès aux factures des clients. La sanction a été réduite de 250 000 à 200 000 euros.

• On terminera ce bref inventaire par la sanction la plus récente du 13 juin 2019, significative cette fois car elle concerne une TPE : la société Uniontrad Company avait mis en place un dispositif de vidéosurveillance qui plaçait ses salariés sous surveillance constante.

Dans ce cas également, la CNIL avait alerté à deux reprises la société avant de la mettre formellement en demeure de modifier ses pratiques, sans que les mesures requises soient prises à l’issue du délai imparti. La CNIL a prononcé le 18 juin dernier une amende administrative de 20 000 euros, prenant en considération la taille et la situation financière de la société.

On retient de ces différentes affaires que les multinationales comme les plus petites entreprises ou associations sont susceptibles d’être sanctionnées. En outre, toutes les décisions soulignent l’importance de la réactivité du responsable de traitement lors de la constatation d’une infraction, et l’impact cette réactivité sur le montant d’une éventuelle sanction.

Qu’en est-il chez nos voisins européens ?

Tous les indicateurs montrent une augmentation des plaintes et des enquêtes des autorités de protection des données, ainsi que des montants des sanctions.

On compte un peu plus de 280 000 dossiers pour l’ensemble des autorités de protection des données de l’Espace Economique Européen, dont environ 144 000 plaintes et 89 violations de sécurité. Fin mai, 37% étaient en cours d’instruction.

Une initiative de recensement des différentes sanctions au niveau européen, mise à jour par un cabinet de conseil allemand, permet d’avoir une vue globale sur les actions des autorités de supervision: https://www.enforcementtracker.com.

Les sanctions les plus élevées, outre celle adoptée par la CNIL concernant Google, ont été prises par le Portugal, qui a infligé 400 000 euros d’amende à un hôpital pour défaut de protection des données des patients, par la CNIL encore, pour un montant de 400 000 euros à l’encontre d’une agence spécialisée dans l’immobilier, et par l’Espagne au sujet d’une application pour smartphone utilisant à l’insu des individus le micro de leur téléphone. La ligue professionnelle de football espagnole s’est vu infliger pour cette infraction une amende de 250 000 euros, et a fait appel de cette décision.

Vers une coordination des autorités publiques au-delà du RGPD ?

Un nouveau développement digne d’intérêt concerne la coopération des autorités publiques dans le but d’accroître leur cohérence et leur efficacité. Ces initiatives concernent en particulier les autorités de protection des données, celles en charge des questions de concurrence et celles responsables de la protection du consommateur.

Les discussions, initiées en 2016 par le Contrôleur européen de la protection des données dans le cadre du projet de « digital clearing house », sont à présent orchestrées par le secteur académique, et sont soutenues par une résolution du Parlement Européen.

Le projet rassemble aujourd’hui des autorités d’Europe mais aussi d’autres continents. Les synergies développées se concentrent sur la protection des individus dans le contexte de l’économie numérique et du « big data ». La réunion du 5 juin 2019 a rassemblé 25 autorités de contrôle de l’Union européenne et d’ailleurs. Deux dossiers majeurs ont été évoqués, concernant les sociétés Facebook et Microsoft. Les autorités concentrent en outre leurs réflexions sur le développement des services à contrepartie non-pécuniaire. En d’autres termes, jusqu’où peut-on admettre que les individus paient avec leurs données en échange d’un service numérique.

Des orientations concrètes sont attendues à l’automne sur cette question, à l’issue de la prochaine réunion des autorités de contrôle. Il pourrait s’agir d’un développement significatif au regard des enjeux de l’économique numérique.

Et aussi :

• en France : La CNIL met en ligne une nouvelle version de son outil visant à  aider le responsable de traitement dans ses analyses d’impact (AIPD).

• en Europe : vers une interprétation plus stricte des règles de prospection électronique ? Plusieurs autorités de contrôle ont annoncé revoir leur interprétation, au regard de l’obtention du consentement des personnes concernées et des cookies. Il s’agit notamment de la Belgique, de la France, du Royaume-Uni et des Pays-Bas. On notera que le Comité européen de protection des données s’était déjà prononcé explicitement, dans un communiqué de mai 2018 contre l’utilisation des « cookie walls », qui conditionnent l’accès à un site web au consentement des visiteurs.

• dans le monde : afin d’évaluer la nécessité d’une loi réglementant les algorithmes, la Commission du commerce du Sénat américain a examiné, lors d’une audition du 25 juin, comment les sociétés telles que Google, Youtube ou Facebook utilisent l’intelligence artificielle pour influencer