Veille Juridique n°66 – Décembre 2023.

GDPR judikatūra: galvenās tendences 2023. gadam

Que ce soit en France ou au niveau européen, les autorités de protection des données et les instances judiciaires ont pris en 2023 de nombreuses décisions éclairant les conditions d’application du RGPD.

Au niveau européen, les sanctions les plus importantes des autorités de protection des données concernent les géants internationaux de la tech ainsi que quelques entreprises nationales.

Elles visent en particulier le ciblage publicitaire sans le consentement des utilisateurs et le défaut d’information de ces derniers.

• Le 4 janvier 2023, la Commission irlandaise de protection des données a infligé une amende de 390 millions d’euros à Meta Platforms Ireland Ltd. pour utilisation illégale de données personnelles à des fins publicitaires sur Facebook et Instagram.

Elle a également imposé une amende historique de 1,2 milliard d’euros à Meta en mai 2023 pour transfert illégal de données vers les Etats-Unis.

• L’APD irlandaise a en outre infligé une amende de 5,5 millions d’euros à WhatsApp en janvier 2023 pour avoir forcé les utilisateurs à consentir à l’utilisation de données personnelles à des fins « d’amélioration des services et de la sécurité ».
• La CNIL a infligé le 15 juin 2023 une amende de 40 millions d’euros à CRITEO, spécialisée dans la publicité en ligne, notamment pour ne pas avoir vérifié que les personnes dont elle traitait les données avaient donné leur consentement.
• L’autorité italienne de protection des données a infligé en juin dernier une amende de 7,6 millions d’euros à la société de télémarketing TIM SpA pour supervision insuffisante de centres d’appels aux pratiques abusives.

En France, la CNIL a adopté plusieurs autres sanctions qui méritent d’être citées. La Commision s’est notamment attachée :

• A l’absence de base légale dans le contexte de la collecte de données biométriques par la société Clearview ;
• A la question du respect du principe de minimisation des données collectées, en l’occurrence les données de géolocalisation dans l’affaire Cityscoot du 16 mars 2023 ;
• Aux délais de conservation des données dans les affaires KG COM du 8 juin 2023, et Doctissimo du 11 mai 2023 ;
• Au respect des droits des personnes dans les affaires Canal + (12 octobre), Free (20 mars) et Criteo (15 juin).

En ce qui concerne ce dernier point, la CNIL souligne que les données doivent être communiquées au demandeur sous une forme intelligible.

Elle note également que le non-respect du délai d’un mois pour répondre à la demande d’accès est une infraction fréquente.

Rappelons que l’exercice des droits des personnes est le thème des enquêtes cordonnées des autorités de protection des données en Europe pour 2024.

Mentionnons encore, en matière de jurisprudence des cours et tribunaux français, plusieurs décisions récentes en matière de vidéosurveillance.

• Les tribunaux administratifs de Nice et de Lille se sont prononcés respectivement le 23 novembre et le 29 novembre en faveur de communes ayant installé des systèmes de vidéosurveillance algorithmique de reconnaissance faciale, au motif que ces systèmes n’avaient pas (encore) été pleinement activés ou déployés dans un but de vidéosurveillance augmentée.
• Le tribunal administratif de Caen a en revanche considéré de façon plus tranchée par une ordonnance de référé du 22 novembre dernier que le dispositif de vidéosurveillance algorithmique Briefcam portait une atteinte grave et manifestement illégale au respect de la vie privée.

Le juge des référés a constaté une utilisation en dehors de tout cadre légal ou réglementaire et considère qu’« il n’est pas établi ni même allégué que d’autres moyens moins intrusifs au regard de la vie privée ne pouvaient être mis en œuvre afin de préserver l’ordre public. »

La question de la base légale concernant l’utilisation de la vidéosurveillance algorithmique devrait se poser avec encore plus d’acuité avec l’adoption du règlement européen sur l’intelligence artificielle qui encadrera de façon particulièrement stricte la reconnaissance faciale dans l’espace public (voyez à ce propos les brèves infra).

Enfin, au niveau européen, la Cour de justice de l’Union européenne (CJUE) a adopté plusieurs décisions qui clarifient en particulier les principes applicables aux traitements automatisés, et la prise en compte du dommage dans les violations du RGPD:

• La CJUE a ainsi adopté le 7 décembre deux arrêts importants concernant le fournisseur dominant de services d’information sur le crédit en Allemagne (« Schufa »).

La Cour a notamment déclaré que le traitement automatisé de la solvabilité (« scoring ») est soumis à une interdiction de principe en vertu de l’art. 22 du RGPD.

Elle ajoute que l’entreprise qui établit un score de crédit par des moyens automatisés reste soumise à l’article 22, même si c’est une autre entreprise qui s’appuie sur ce score pour prendre des décisions ayant un impact (négatif) sur la personne concernée, raisonnement qui pourrait avoir un impact sur les systèmes d’assistance par l’IA.

• En matière de dommages, dans l’arrêt Osterreichische Post AG du 4 mai 2023, la Cour avait jugé que la violation des dispositions du RGPD ne suffit pas à conférer un droit à réparation à la personne concernée par le traitement irrégulier : il faut encore qu’elle prouve un préjudice. Ce préjudice doit en revanche être réparé même s’il ne présente pas un certain degré de gravité.
• Dans son arrêt du 14 décembre 2023, la CJUE donne une interprétation large du dommage moral.

La cour précise notamment que la crainte qu’une personne éprouve concernant un potentiel usage abusif de ses données à caractère personnel par des tiers à la suite d’une violation du RGPD est susceptible, à elle seule, de constituer un dommage moral.

Combiné à l’arrêt Österreichische Post AG, qui établit qu’il n’y a pas de seuil minimum pour les dommages immatériels, cet arrêt pourrait favoriser le développement des recours collectifs en Europe.

Rappelons que la France, comme ses partenaires européens, est en voie de transposer en droit national la directive du 25 novembre 2020 sur les actions représentatives en défense des intérêts collectifs des consommateurs.

 

   

• La CNIL a publié mi-décembre des « Tables Informatique et Libertés » à destination des professionnels de la protection des données.

Ces tables regroupent et classent les résumés de nombreuses décisions de juridictions françaises et européennes, notamment de la Cour européenne des droits de l’homme, de la Cour de justice de l’Union européenne, du Conseil constitutionnel, du Conseil d’État et de la Cour de cassation.

Les tables reprennent également certaines décisions de l’EDPB et de la CNIL, se concentrant sur celles établissant une doctrine nouvelle ou fixant des principes.

• La CNIL a également publié mi-décembre un guide de sensibilisation au RGPD afin d’accompagner les services de prévention et de santé au travail (SPST) dans leur mise en conformité.
• Après l’EDPB, c’est au tour de la Direction générale de la concurrence, de la consommation et de la répression des fraudes de publier une page destinée à alerter les consommateurs sur les « dark patterns », ces techniques ou procédés destinés à influencer les choix des internautes afin de les amener à commander des produits ou souscrire des services qu’ils n’auraient pas pleinement choisis.
• Le ministère de l’Intérieur vient de finaliser la réorganisation de ses services de lutte contre la cybercriminalité.
• Le nouveau « Commandement du ministère de l’Intérieur dans le cyberespace » (Comcyber-MI) a été créé par décret du 23 novembre 2023, et coordonnera l’ensemble des moyens du ministère.
• Un autre décret acte la création d’un nouvel « Office anti-cybercriminalité » (OFAC) qui fusionne, au sein de la Police, la sous-direction de lutte contre la cybersécurité et l’ancien office l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC).
• Enfin, un troisième décret formalise la création d’une unité nationale cyber, rattachée à la direction générale de la gendarmerie nationale.

Les Groupes iliad, CMA CGM et Schmidt Futures ont créé « Kyutai » : il s‘agit d’un laboratoire à but non lucratif de recherche en intelligence artificielle dont l’ambition est de s’attaquer aux principaux défis de l’IA tels que le développement de grands modèles multimodaux et l’invention de nouveaux algorithmes.

 

Eiropas iestādes un struktūras

• L’UE est parvenue à un accord politique le 9 décembre sur le règlement sur l’IA qui devrait être officiellement adopté au début de l’année 2024.

L’accord provisoire interdirait, par exemple, la manipulation cognitive du comportement, la collecte non ciblée d’images faciales à partir d’Internet ou de séquences de vidéosurveillance, la reconnaissance des émotions sur le lieu de travail et dans les établissements d’enseignement, le scoring social, la catégorisation biométrique pour déduire des données sensibles, telles que l’orientation sexuelle ou les croyances religieuses, et certains cas de police prédictive pour les individus.

L’accord prévoit plusieurs exceptions pour les services répressifs et les migrations.

• Lors de sa dernière réunion plénière, le Comité européen de la protection des données a adopté une lettre répondant à l’initiative de la Commission européenne relative à l’engagement volontaire en matière de cookies (« cookie pledge »).

Le Comité soutient de façon générale le document, et recommande aux entreprises, lorsque l’utilisateur a refusé la collecte de ses données, d’attendre un an avant de renouveler ses demandes de consentement afin de réduire la lassitude des utilisateurs (« cookie fatigue ») qui à force de sollicitations cliquent au hasard au lieu d’exercer réellement leurs droits.

• Dans un arrêt du 7 décembre 2023, la CJUE précise que l’imposition d’une amende pour violation du RGPD présuppose une violation commise délibérément ou par négligence.

Elle développe en outre l’étendue de la responsabilité et la qualification du responsable de traitement: cette définition peut ainsi viser une entité qui a chargé une entreprise de développer une application informatique mobile et qui a, dans ce contexte, participé à la détermination des finalités et des moyens du traitement, même si cette entité n’a pas procédé elle-même aux opérations de traitement, qu’elle n’a pas donné explicitement son accord pour la réalisation de ces opérations ou pour la mise à disposition du public de l’application.

Elle rappelle que la qualification de deux entités comme étant responsables conjoints du traitement ne présuppose ni l’existence d’un accord entre ces entités sur la détermination des finalités et des moyens du traitement ni l’existence d’un accord qui fixe les conditions relatives à leur responsabilité.

• Le 21 décembre dernier, la CJUE a jugé que le droit à réparation au titre de l’article 82 du RGPD remplit une fonction compensatoire, « en ce qu’une réparation pécuniaire fondée sur ladite disposition doit permettre de compenser intégralement le préjudice concrètement subi du fait de la violation de ce règlement », et non une fonction dissuasive ou punitive.

La gravité de la violation ayant causé le dommage concerné ne doit donc pas influer sur le montant des dommages intérêts.

• Microsoft a introduit une nouvelle version d’Outlook destinée à remplacer en 2024 le programme de messagerie et le calendrier intégrés à Windows, qui suscite l’inquiétude des autorités européennes de protection des données.

Microsoft pourrait accéder aux courriels et pièces jointes lorsqu’un utilisateur ajoute un compte de messagerie non Microsoft à l’application, via les identifiants IMAP et SMTP de ce compte.

 

Ziņas no Eiropas dalībvalstīm.

• Alors que Marie-Laure Denis serait reconduite à la présidence de la CNIL selon un communiqué de l’Elysée publié fin novembre, Helen Dixon, la présidence de l’APD irlandaise, a annoncé le 15 novembre 2023 sur LinkedIn son départ en février 2024, après 10 ans d’exercice.
• L’APD italienne a infligé une amende de 40 000 euros à un responsable de traitement qui avait accédé aux comptes de messagerie de trois de ses anciens employés en violation de l’article 5(1) et de l’article 13 du RGPD.

L’autorité a également estimé qu’un responsable du traitement gestionnaire de copropriété avait enfreint l’article 5(1)(a), et l’article 6 du RGPD pour avoir illégalement installé un système de vidéosurveillance sans l’adoption préalable d’une résolution de la copropriété.

L’APD a imposé une amende de 1 000 euros et une interdiction de traitement.

• L’APD norvégienne a infligé une amende de 1 754 678 euros (20 millions de couronnes norvégiennes) à l’administration du travail et de la protection sociale (NAV) et a émis plusieurs ordonnances pour 12 violations, attribuées à une « grave négligence sur une longue période » dans la sécurité de l’information et les systèmes informatiques de l’administration.
• L’APD danoise a réprimandé l’Agence pour le gouvernement numérique pour avoir utilisé JavaScript dans le cadre de MitID, l’identifiant numérique danois.

Alors que les risques liés à l’utilisation de ce langage de programmation sont connus, l’Agence l’a utilisé sans procéder à une évaluation préalable des risques, violant ainsi, entre autres, l’article 32(1) du RGPD.

• Un article du New Scientist publié le 18 décembre mentionne qu’une intelligence artificielle entrainée à partir de données personnelles (dossiers médicaux, professionnels et financiers) concernant six millions de danois a pu prédire les risques de décès avec plus de précision que les modèles existants, y compris ceux utilisés dans le secteur de l’assurance.

Les chercheurs à l’origine de cette technologie affirment qu’elle pourrait avoir un impact positif sur la prédiction précoce des problèmes sociaux et sanitaires, mais qu’elle doit rester hors des mains des grandes entreprises.

• Après l’adoption en octobre dernier de la loi sur la sécurité en ligne (Online Safety Bill), critiquée par la société civile car compromettant notamment le chiffrement de bout en bout des communications, le Royaume-Uni prépare une nouvelle loi controversée sur les pouvoirs d’investigation.

Selon un rapport de Politico, la principale préoccupation concernant ce projet concerne le régime dit des « notices » : celui-ci permettrait au ministère de l’intérieur d’exiger des entreprises qu’elles l’informent de tout projet de modification des produits ou des systèmes de leurs services, impliquant une possible perte de contrôle de ces dernières sur leurs propres produits et les empêchant par exemple de corriger des vulnérabilités du code que le gouvernement ou ses partenaires voudraient exploiter.

Le projet de loi est actuellement au stade du rapport, la prochaine séance étant prévue pour le 23 janvier.

 

• Les agences de cybersécurité de 18 pays ont convenu dans un document dévoilé le 26 novembre 2023 de créer des modèles « secure by design » en matière d’intelligence artificielle : les entreprises qui conçoivent et utilisent l’IA doivent la développer et la déployer de manière à protéger leurs clients et le grand public contre toute utilisation abusive.

Cet accord, non contraignant, a été adopté par les États-Unis, le Canada, le Japon, et 7 états de l’UE (Allemagne, Estonie, France, Italie, Pologne, Tchéquie) ainsi que la Norvège et le Royaume-Uni.

• Aux Etats-Unis, peu avant la fin de l’année, Google a accepté de régler un recours collectif de 5 milliards de dollars concernant le mode incognito de son navigateur Chrome. Google était accusé de continuer à suivre, collecter et identifier les données de navigation des utilisateurs en temps réel, même après l’ouverture d’une nouvelle fenêtre incognito.

Selon Euractiv, les termes spécifiques de l’accord ne sont pas encore publics, mais un accord formel devrait être soumis au tribunal d’ici le 24 février.

• L’Agence californienne de protection de la vie privée (CCPA) s’est prononcée en faveur d’une proposition législative qui obligerait les vendeurs de navigateurs web à inclure une fonction permettant aux personnes d’exercer leurs droits par le biais de signaux de préférence de type « opt-out ».

La CCPA note que de nombreux navigateurs exigent pour le moment des consommateurs qu’ils installent un plugin tiers capable de transmettre le signal. 

Les navigateurs qui supportent nativement les signaux de préférence opt-out représentent actuellement moins de 10 % du marché mondial des navigateurs web.

• La Commission fédérale du commerce (FTC) a proposé fin décembre de nouvelles limites pour les entreprises qui collectent des données sur les enfants de moins de 13 ans et des normes plus strictes pour la conservation de ces informations, dans le cadre d’une mise à jour de son règlement sur la protection de la vie privée des enfants (COPPA).
• Toujours aux Etats-Unis, une action collective accuse l’assureur de soins de santé américain Humana d’avoir utilisé à tort un modèle d’IA pour refuser à des personnes âgées des soins de réadaptation essentiels.