Outils analytiques : l’impact d’une décision de justice – et des services de renseignement - sur nos sites web.
Veille Juridique n°44 – Février 2022
Outils analytiques : l’impact d’une décision de justice – et des services de renseignement – sur nos sites web. L’arrêt « Schrems II » de la Cour de Justice de l’Union européenne était déjà, au moment de sa publication en juillet 2020, considéré comme un arrêt majeur dans le contexte de la protection des données à caractère personnel, et plus précisément des transferts vers les Etats-Unis.
Il entraîne aujourd’hui des conséquences de plus en plus étendues, suites logiques des constats de la Cour quant aux risques d’accès des renseignements américains aux données européennes.
Ces conséquences touchent aujourd’hui les outils d’utilisation courante que sont les solutions de mesure d’audience et les polices de caractère de la société Google.
Nous mentionnions déjà le mois dernier les décisions en cascade prises par les autorités de protection des données de l’Autriche, des Pays-Bas, de la Norvège et de l‘Allemagne, auxquelles viennent s’ajouter celles de la CNIL et du Liechtenstein.
Ces décisions font suite aux plaintes (101 au total) déposées auprès des autorités par Max Schrems et son association NOYB (European Center for Digital Rights) visant à faire respecter par les GAFAM l’arrêt de la Cour de Justice.
Les conclusions des autorités sont les suivantes :
- Les données d’identification des cookies et les adresses IP non anonymisées, telles qu’elles sont utilisées par Google Analytics, sont des données à caractère personnel.
Elles peuvent en outre être combinées à d’autres données identifiables détenues par des tiers (les services de renseignement).
- Le fait que les données soient collectées via un site web européen n’est pas pertinent pour évaluer le risque d’accès par des tiers : ce qui l’est, c’est le transfert des données vers les Etats-Unis
- Les transferts vers les Etats-Unis ne sont autorisés qu’à condition que des garanties appropriées soient prises, de façon complémentaire aux clauses contractuelles types par exemple, pour éliminer le risque d’accès du gouvernement tiers aux données.
- Les autorités de protection des données ont considéré que les garanties supplémentaires prises par Google ne suffisaient pas à exclure la possibilité d’accès des services de renseignements américains aux données.
Les sanctions consistent pour le moment surtout en avertissements et ordres de bloquer l’utilisation des outils incriminés par les gestionnaires de sites internet. La CNIL informe avoir lancé plusieurs procédures de mise en demeure à cet égard.
Si Google Analytics est largement répandu, l’impact de ces décisions ne s’y limitera pas : les autorités de protection des données étendent leur analyse « à d’autres outils utilisés par des sites et qui donnent lieu à des transferts de données d’internautes européens vers les États-Unis ».
De nombreux opérateurs européens, gestionnaires de sites dans le secteur public ou privé se trouvent donc concernés.
On sait qu’il vaut mieux prévenir que guérir, et dans ce cas, se tourner – pour autant qu’ils existent, vers des outils qui ne collectent pas de données personnelles ou qui les stockent sur des serveurs locaux.
La CNIL recommande ainsi que les outils servent uniquement à produire des données statistiques anonymes, ce qui permet en outre une exemption de consentement de l’internaute.
Elle a entamé une procédure d’évaluation des solutions existantes, et publie sur son site internet les solutions conformes à ces exigences, parmi lesquelles on trouve par exemple Matomo, Wysistat, Beyable, ou Compass.
Précisons que même les outils les plus vertueux peuvent parfois être configurés de différentes façons : il appartient au gestionnaire du site de vérifier que la configuration par défaut répond aux exigences de la loi.
Dans le contexte actuel, limiter les données accessibles aux tiers s’avère en tout état de cause une pratique à encourager, que les risques d’accès proviennent d’outre atlantique ou d’ailleurs.
Et aussi
France :
La CNIL soumet un projet de position à consultation publique jusqu’au 11 mars 2022 concernant les caméras « intelligentes » ou « augmentées » dans les espaces publics.
Elle publie également son nouveau plan stratégique 2022-2024, autour de trois axes prioritaires pour une société numérique de confiance : « favoriser le respect des droits, promouvoir le RGPD comme un atout et cibler la régulation sur des sujets à forts enjeux ».
Ses thématiques prioritaires de contrôle pour l’année 2022 sont la prospection commerciale, le cloud et la surveillance du télétravail.
La France lance une campagne nationale de sensibilisation à la cybermalveillance, en coopération avec les médias, destinée à orienter le public vers les solutions de cybersécurité.
Europe :
Lors de sa réunion plénière du 22 février, le Comité européen de protection des données (EDPB) a adopté une lettre concernant la Convention sur la cybercriminalité du Conseil de l’Europe et son 2e protocole additionnel, lettre par laquelle il s’inquiète des possibilités pour les gouvernements tiers de demander directement des données aux fournisseurs de services européens.
Il a également publié des lignes directrices sur les codes de conduite en tant qu’instruments de transfert internationaux de données, et une lettre sur les questions de responsabilité dans le contexte de l’intelligence artificielle.
Le 15 février, le Comité européen de protection des données a en outre lancé sa première action coordonnée de contrôle sur l’utilisation du cloud par le secteur public.
L’utilisation du cloud, qui a doublé en six ans dans l’UE, a encore vu son utilisation croître pendant la pandémie, avec des conséquences sur le respect des règles de droit européennes. 22 autorités de protection des données, dont la CNIL, vont envoyer des questionnaires à 75 autorités publiques afin de vérifier le respect du RGPD et le cas échéant entamer des contrôles formels.
CISPE, l’organisation des fournisseurs de services d’infrastructure pour le cloud, a annoncé l’approbation par l’EDPB de son code de conduite pour la protection des données.
Plusieurs sociétés l’ont déjà signé, dont Aruba, Amazon Web Services, Elogic, Leaseweb, Outscale et OVHCloud.
Le code prévoit notamment la possibilité pour les utilisateurs de choisir de stocker les données dans l’Espace économique européen.
Les ONGs peuvent aussi subir des contrôles : L’Autorité belge de protection des données a ainsi prononcé deux sanctions à l’encontre de l’ONG EU DisinfoLab et d’un de ses chercheurs, à la suite d’une saisine de la CNIL. Les manquements au RGPD constatés portent sur la collecte massive de données dans le cadre d’une étude visant à identifier l’orientation politique des personnes à l’origine de tweets sur « l ’affaire Benalla ».
Dans une décision importante, l’autorité belge de protection des données a en outre sanctionné le Bureau européen de la publicité interactive (IAB Europe) d’une amende de 250 000€ pour violation des principes de légalité, loyauté et transparence, absence de mesures techniques et organisationnelles de protection des données, absence de registre, d’analyse d‘impact et de désignation d’un DPO. Derrière cette liste d’infractions, c’est le principe du “real time bidding” (la mise aux enchères des données des internautes via les plateformes de gestion du consentement – CMPs) qui est sanctionné compte tenu de son opacité totale pour les personnes concernées.
L’autorité italienne de protection des données a sanctionné un club privé à hauteur de 2000€ pour avoir orienté ses caméras de surveillance vers la voie publique, sans signalisation claire, en violation des articles 5(1)(a), 5(1)(c) et 13 du RGPD.
Aux Pays-Bas, la Cour du district de La Haye a sanctionné un employeur ayant enregistré secrètement la communication téléphonique de son employé. Pour la cour, soupçonner son employé de contacter ses clients pour monter sa propre affaire ne suffit pas à légitimer l’enregistrement secret des appels.
Toujours aux Pays-Bas, l’autorité de protection des données a sanctionné une société de média à hauteur de 525.000,00 € : cette dernière demandait aux personnes exerçant leur droit d’accès à leurs données une copie de leur carte d’identité, demande considérée comme non justifiée et en infraction avec l’article 12(2) du RGPD.
L’autorité espagnole de protection des données a adopté une sanction de 200 000€ à l’encontre de la fédération espagnole de football pour avoir partagé l’enregistrement d’une visioconférence sur Zoom, sans information préalable ni consentement des participants.
Egalement en Espagne, les transports routiers d’Amazon ont été sanctionnés à hauteur de 2.000.000,00 € pour la collecte illégale d’informations relatives au casier judiciaire dans le cadre de leur procédure de recrutement.
International :
Le Comité International de la Croix Rouge vient d’être victime d’une cyberattaque très perfectionnée, et aux conséquences potentiellement importantes compte tenu de la sensibilité des données traitées par l’organisation. Le site web fournit en date du 16 février une information exemplaire destinée au public et expliquant les circonstances de l’attaque, les risques potentiels et les actions entreprises pour limiter ces risques.
Anne Christine Lacoste
Partenaire du Cabinet Olivier Weber Avocat, Anne Christine Lacoste est juriste spécialisée en droit des données ; elle a été Responsable Relations Internationales auprès Contrôleur Européen de la Protection des Données et œuvré à la mise en place du RGPD dans l’Union Européenne.