Nouvelle année, bilan et perspectives.
Nouvelle année, bilan et perspectives. Après une année que certains qualifient d’annus horribilis, 2021 est accueillie par beaucoup comme un espoir de changement.
Il est vrai que ces derniers mois ont mis à l’épreuve la résilience de nos sociétés de manière inédite.
L’impact de la pandémie sur notre santé mais aussi sur nos systèmes politiques et nos droits fondamentaux est loin d’être anodin.
Les autorités de protection des données ont consacré une grande partie de leur temps à l’accompagnement et au contrôle dans des domaines clés et très divers liés au virus :
- La recherche médicale,
- La surveillance de la population par drones,
- Le télétravail,
- L’enseignement à distance,
- Le traçage des applis anticovid,
- Les données de vaccination,
Et la question plus large du traitement de données de santé par les autorités publiques en dehors du cadre médical.
Cette attention particulière aux questions soulevées par la gestion de la pandémie n’a toutefois pas empêché la CNIL d’adopter plusieurs sanctions notables, dont deux concernant les géants du web Google et Amazon, pour des montants de plusieurs dizaines de millions d’euros.
D’autres acteurs ont été sanctionnés pour des montants moindres, adaptés à leur chiffre d’affaires, et ces sanctions ont touché tant les grands acteurs commerciaux (voir l’édito du mois de décembre concernant Carrefour) que des TPE : une société employant deux personnes et spécialisée dans l’envoi de courriels de prospection commerciale vient ainsi d’écoper de 7300 euros d’amende, notamment pour manquement à l’obligation de recueil du consentement, avec une astreinte de 1000 euros par jour de retard si la mise en conformité n’intervient pas dans un délai de deux mois.
On ne se hasardera pas à prédire ce que l’année nouvelle nous réserve. Il reste néanmoins possible d’identifier les grands axes et les priorités des acteurs de la protection des données pour les prochains mois.
Ainsi, outre le traitement des données de santé et les mesures de surveillance associées, on relève que la question de l’éthique, du développement de l’intelligence artificielle et des nouvelles technologies reste une priorité.
C’est ce que souligne le Comité européen de protection des données (EDPB) dans sa Stratégie 2021-2023, qui cible notamment
- La biométrie,
- Le profilage,
- Les technologies ad tech,
- Les services cloud et
- La blockchain.
Le Comité indique aussi vouloir s’adresser non plus seulement aux spécialistes de la protection des données, mais directement, de manière plus concrète, aux responsables de traitement, avec des lignes directrices visant à accompagner les TPE et PME.
La concentration d’entreprises dans le domaine des services digitaux est également dans le collimateur des autorités européennes (voir ci-après, « Europe »), de même que les transferts de données entre l’Europe et le reste du monde.
À la suite de l’arrêt Schrems II de la Cour Européenne de Justice, une plus grande attention est portée d’une part aux régimes et lois de surveillance en vigueur dans les pays tiers, et d’autre part aux précautions à prendre dans le cadre des transferts, qui passent notamment par le cryptage des données.
Toujours dans le cadre des transferts de données, ajoutons que, même si le Royaume-Uni a maintenant quitté l’Union Européenne, les données peuvent encore circuler librement entre ce pays et l’UE pendant les six prochains mois, le RGDP y étant encore applicable de façon transitoire.
Le régime des transferts dépendra ensuite de l’adoption par la Commission européenne d’une décision d’adéquation.
Dans le cas contraire, des garanties (telles que des clauses contractuelles) devront être prises avant d’envisager tout transfert.
Malgré les bouleversements vécus ces derniers mois, et peut-être en partie à cause de ces bouleversements qui ont encore accru notre utilisation des nouvelles technologies et le développement du virtuel, la préservation des droits fondamentaux est ainsi plus que jamais d’actualité.
Gageons que nous serons à la hauteur des défis technologiques et humains qui nous attendent.
Et aussi
France :
- Le Conseil d’Etat a confirmé dans son ordonnance du 22 décembre la suspension immédiate de la décision du préfet de police concernant l’utilisation de drones dans le cadre de manifestations ou de rassemblements sur la voie publique.
Le Conseil d’Etat ordonne la cessation des mesures de surveillance par drone de ces manifestations ou rassemblements, tant que n’aura pas été adopté un texte autorisant la création d’un traitement de données à caractère personnel.
Il reste à voir si la proposition de loi Sécurité Globale sera à même de justifier un tel recours aux drones.
Dans son appréciation de l’urgence, le CE mentionne à cet égard « le nombre important de personnes susceptibles de faire l’objet des mesures de surveillance litigieuses et l’atteinte qu’elles sont susceptibles de porter à la liberté de manifestation », ainsi que le fait que « le ministre n’apporte pas d’élément de nature à établir que l’objectif de garantie de la sécurité publique lors de rassemblements de personnes sur la voie publique ne pourrait être atteint pleinement, dans les circonstances actuelles, en l’absence de recours à des drones. »
- En matière de reconnaissance faciale, le Conseil d’Etat a en revanche dans une décision du 4 novembre validé l’authentification en ligne à partir de données biométriques permettant d’accéder à certains télé-services de l’administration publique (Alicem).
Le CE considère notamment que les données collectées sont nécessaires et proportionnelles à la finalité du traitement (les données biométriques sont détruites après création des identifiants électroniques) et les usagers gardent la possibilité d’accéder aux services via un identifiant distinct.
- Le 7 décembre, la CNIL a prononcé une amende de 35 millions d’euros à l’encontre d’Amazon Europe Core pour dépôt de cookies sur l’ordinateur des visiteurs de son site sans consentement préalable ni information satisfaisante.
Europe :
- La presse a amplement commenté la publication par la Commission européenne de sa proposition de réglementation des services numériques.
Ce nouveau cadre juridique, s’il est validé par le Parlement Européen et le Conseil, résultera en une profonde mise à jour de la directive européenne « eCommerce » dans le but de mieux protéger les consommateurs et de favoriser un marché du numérique plus équilibré.
Le texte crée des obligations conséquentes à charge des acteurs de la « tech », en particulier les plateformes d’accès telles que Google ou Facebook.
Ceux-ci devront mettre en place des mesures de d’information, de reporting, d’audit, de gestion du risque et de coopération.
Un Comité européen des services numériques sera créé, avec un rôle comparable et complémentaire à celui du Comité européen de protection des données.
Ces obligations devraient entrer en vigueur au plus tôt en 2023.
- Un homme a été condamné pour meurtre en Allemagne sur la base d’un enregistrement effectué par Alexa, l’assistant vocal d’Amazon.
L’homme avait utilisé l’assistant vocal sur le lieu du crime, ce qui a permis de confirmer sa présence sur place.
Amazon a fourni aux juges, à leur demande, les enregistrements qui étaient stockés sur des serveurs à l’étranger.
Indépendamment de la question de l’utilisation de tels enregistrements à des fins judiciaires, le traitement de données par les assistants vocaux a fait l’objet d’une mise au point de la CNIL, disponible sur son site.
International :
- Russie : Facebook a payé une amende de quatre millions de roubles (cinquante mille dollars) pour avoir refusé de localiser en Russie les données de ses utilisateurs russes, obligation à laquelle sont soumises toutes les entreprises étrangères actives dans le domaine des nouvelles technologies.
Les autorités russes ont précédemment bloqué le réseau social LinkedIn pour les mêmes raisons.
- La Chine se préparerait à réglementer l’utilisation de la biométrie et de la reconnaissance faciale dans sa loi sur les données à caractère personnel.
Selon le porte-parole de la Commission des affaires législatives, si l’objectif est de respecter les principes de proportionnalité et de nécessité dans le traitement des données, « de nombreuses options restent ouvertes ».
Anne Christine Lacoste
Partenaire du Cabinet Olivier Weber Avocat, Anne Christine Lacoste est juriste spécialisée en droit des données ; elle a été Responsable Relations Internationales auprès Contrôleur Européen de la Protection des Données et œuvré à la mise en place du RGPD dans l’Union Européenne.