Veille Juridique n°63 – Septembre 2023.

Brexit : état des lieux de la protection des données.

Depuis la sortie du Royaume-Uni de l’Union européenne le 31 janvier 2020, des divergences de plus en plus sensibles apparaissent entre les cadres de protection des données des deux côtés de la manche.

Le pays applique toujours la loi qui transposait au niveau national le RGPD, baptisée « UK GDPR », et depuis le 28 juin 2021, le Royaume-Uni bénéficie d’un niveau de protection adéquat, qui autorise les échanges de données avec l’UE.

La décision d’adéquation est valable jusqu’au 27 juin 2025, mais elle pourrait être révisée de façon anticipative si le cadre juridique du Royaume-Uni venait à être sensiblement modifié avant cette date.

Parmi les évolutions qui pourraient faire sourciller la Commission européenne, figure le fait que le RU ait l’ambition de devenir un « data hub », facilitant les échanges internationaux de données, et l’actuel projet de révision du « UK GDPR » qui entend alléger les obligations des entreprises britanniques.

Le 21 septembre dernier, le Royaume-Uni a formalisé le « data bridge » conclu en juin avec les Etats-Unis.

L’accord entrera en vigueur le 12 octobre.

Le RU a également conclu des accords avec plusieurs pays que l’UE considère déjà comme adéquats : le Canada, Israël, le Japon, la Nouvelle Zélande, la Suisse et l’Uruguay.

Sur sa liste de priorités figurent en outre l’Australie, la Colombie, Dubai, la république de Corée et Singapour.

Cette facilitation des échanges internationaux soulève la question des transferts ultérieurs de données européennes, qui après avoir transité par le RU, seraient réceptionnées dans un deuxième temps par un pays que l’UE ne considère pas comme garantissant une protection équivalente aux données.

Le RU s’oriente en effet vers une évaluation plus pragmatique des garanties offertes par les pays tiers, davantage basée sur le risque.

En parallèle à ces initiatives concernant les transferts de données, le RU prépare un texte de loi sur la protection des données et l’information numérique (« Data Protection and Digital Information (No. 2) Bill ») visant à remplacer l’actuel UK GDPR.

Ce texte a déjà fait l’objet de deux lectures au parlement au printemps dernier et doit encore être débattu en troisième lecture.

Le projet conserve le respect du principe de limitation de la finalité mais modifie son étendue : il autorise les traitements ultérieurs lorsque les données ont été collectées sans consentement, par exemple dans les cas d’utilisation fondée sur l’intérêt public.

L’impact de cette règle sur l’utilisation des cookies n’est pas encore clair, même si le gouvernement déclare vouloir limiter les « pop-ups » indésirables demandant le consentement de l’internaute.

La définition de la recherche scientifique a été mise à jour et élargie, et ses conditions d’exercice assouplies.

Ceci pourrait permettre aux entreprises de traiter plus facilement des données à des fins commerciales, en arguant que ces pratiques commerciales consistent en recherche et développement technologique. 

Le projet réduit aussi les exigences imposées aux entreprises en matière de tenue de registres et de contrôle proactif de leurs activités de traitement des données, sauf pour celles dont le traitement pose des risques élevés pour les droits des individus.

Le texte introduit par ailleurs un cadre pour l’utilisation de « services de vérification numérique fiables et sécurisés », qui semble répondre au projet d’identité numérique de l’Union européenne.

Pour les entreprises qui opèrent dans l’ensemble de l’UE, certains avantages de la réforme visant à réduire la charge administrative seront limités : elles devront toujours, par exemple, nommer un délégué à la protection des données et ne pourront pas bénéficier de l’assouplissement de certaines règles relatives à la conservation des données.

Le projet prévoit enfin de remplacer l’organisme de contrôle existant, l’ICO, par un conseil, et de donner au secrétaire d’État le pouvoir d’orienter certaines activités de l’institution en désignant des priorités stratégiques.

L’existence d’un régulateur indépendant en matière de protection des données sera l’un des éléments clés que l’UE examinera lorsqu’elle réévaluera l' »équivalence essentielle » du Royaume-Uni avec ses règles en matière de protection des données.

Cette question a d’ailleurs déjà suscité des questions au Parlement européen.

L’adoption de la loi pourrait avoir lieu au printemps prochain.

 

• Le 18 septembre 2023, la CNIL a sanctionné la société de fret aérien SAF LOGISTICS à hauteur de 200 000 euros pour avoir collecté une quantité trop importante de données auprès de ses salariés, notamment des données sensibles et des extraits de casiers judiciaires.

Elle est aussi sanctionnée pour ne pas avoir suffisamment coopéré avec les services de la CNIL.

• Fin septembre a eu lieu la semaine européenne du développement durable, l’occasion pour la CNIL de communiquer sur son cahier dédié à la question : elle y explore les intersections entre protection des données, des libertés, et de l’environnement : « protéger les données protège-t-il la planète ?  Nos libertés sont-elles en transition ? Faut-il partager les données pour protéger l’environnement ? »

Le document tente de répondre à ces questions et propose des recommandations pour rapprocher deux objectifs.

• La CNIL a publié cet été un projet de guide sur la réutilisation des données publiques.

Le guide reprend la position de la CNIL, de ses homologues, ainsi que les décisions de justice française et européenne, enrichi d’une série de consultations de différents acteurs directement impliqués dans le développement des démarches d’ouverture, de partage et de réutilisation des données publiquement accessibles (partenaires institutionnels, associations et entreprises, avocats, chercheurs).

• Le 29 août, la CNIL a mis la société Boursorama en demeure de se mettre en conformité avec les dispositions du RGPD, « notamment en cessant le traitement des identifiants de connexion au site impots.gouv.fr » : Boursorama demandait en effet l’accès à l’identifiant et au mot de passe du site impots.gouv.fr à celles et ceux qui souhaiteraient obtenir un prêt ou ouvrir un plan d’épargne en actions.

La CNIL indique que la société dispose d’un délai de deux mois pour se mettre en conformité.

• Mozilla lance un appel public à réagir à la future loi SREN qui prévoit la mise en place d’un « filtre anti-arnaques » sur internet.

La fondation estime, dans l’intitulé de sa pétition, que la France force les navigateurs web « à censurer des sites web ».

Un mécanisme obligatoire exigerait des intermédiaires la mise en place de toutes les mesures adéquates pour empêcher l’accès des internautes aux adresses jugées néfastes, et cela pendant une durée de sept jours au minimum.

Sur le fond, la fondation juge louable de chercher à lutter contre la fraude sur le net.

Cependant, elle conteste les méthodes retenues pour remplir cet objectif qui créent un précédent, la stratégie de filtrage pouvant une fois en place être étendue à d’autres enjeux.

 

 

Institutions et organismes européens

• La Commission européenne publie des lignes directrices sur la nouvelle directive européenne sur la cybersécurité, NIS2.

Cette directive impose des obligations en matière de sécurité, de notification des incidents et de gouvernance aux entités de divers secteurs critiques, notamment l’énergie, les transports, la finance, la santé et l’infrastructure numérique.

Les deux documents d’orientation aident à déterminer si les exigences de la NIS2 ou les exigences sectorielles s’appliquent, et visent à garantir que les exigences d’enregistrement sont cohérentes dans l’ensemble de l’Union.

• Dans le courant du mois d’octobre, la commission des libertés civiles du Parlement européen commencera l’examen du règlement pour la « protection de l’enfance sur Internet » (CSAM).

Ce texte fait l’objet de critiques de plus en plus virulentes, concernant en particulier la mesure visant à obliger les grandes plates-formes à scanner de manière préventive les contenus privés échangés avec leurs services pour y détecter les images pédopornographiques.

De nombreux acteurs de la société civile, l’ensemble des autorités européennes de protection des données mais aussi les juristes du Conseil de l’UE estiment que le règlement imposerait « des limitations particulièrement importantes au droit à la vie privée » et qu’il y a un « risque sérieux » qu’il soit contraire aux textes fondamentaux de l’UE.

• Le mois de la cybersécurité est l’occasion pour ENISA, l’agence européenne de la sécurité de l’information, de publier des recommandations concernant les rançongiciels.

Parmi les documents disponibles figurent des conseils pour les opérateurs du secteur de l’électricité, cible privilégiée des hackeurs.

• Le député Philippe Latombe, membre de la CNIL, a attaqué le 7 septembre devant le Tribunal de l’Union Européenne le Data Privacy Framework, qui permet depuis cet été les échanges de données entre l’UE et les Etats-Unis.
• Latombe a déposé deux recours, l’un pour suspendre l’accord immédiatement et l’autre sur le contenu du texte.

Il sollicite du Tribunal la suspension de l’accord en urgence, en invoquant un règlement européen de 1958 qui impose que les textes européens de portée générale soient rédigés dans les quatre langues officielles, alors que depuis le 10 juillet, le DPF n’existe qu’en anglais.

• L’utilisation d’outils de visioconférence pose des questions de protection des données, d’autant que les données font très souvent l’objet d’un transfert hors UE.

La Cour de justice de l’UE a effectué une « analyse d’impact de transfert (TIA) » dans le cadre de son utilisation de Cisco Webex, et a soumis le traitement à l’autorisation du Contrôleur européen de la protection des données (EDPS).

La décision de l’EDPS et l’analyse d’impact de la CJUE sont des références utiles pour tout responsable de traitement utilisant ces outils dans un contexte professionnel.

 

Actualité des pays membres d’Europe.

• L’APD belge a rejeté une plainte le 16 août dernier, malgré l’existence de violations du RGPD.

Elle a estimé que les violations n’avaient pas eu d' »impact social et/ou personnel majeur » et que les ressources nécessaires à l’examen de la plainte seraient donc disproportionnées.

• À la suite de la décision contraignante de résolution des litiges de l’EDPB, l’APD irlandaise a publié le 1er septembre sa décision finale, estimant notamment que TikTok a enfreint le principe de loyauté du RGPD lors du traitement de données personnelles relatives à des enfants âgés de 13 à 17 ans.

Dans la fenêtre contextuelle d’inscription, les enfants étaient incités à opter pour un compte public.

La décision finale de l’APD considère que les paramètres publics par défaut étaient également contraires aux principes de la protection des données par conception et par défaut, de la minimisation des données et de la transparence.

En plus d’un blâme et d’une ordonnance de mise en conformité, l’autorité de protection des données de l’Irlande a imposé une amende de 345 millions d’euros.

• L’APD de Basse-Saxe, en collaboration avec six autres autorités de protection des données, a élaboré un guide sur l’utilisation de Microsoft 365 à des fins professionnelles.

Les autorités recommandent qu’un accord complémentaire soit conclu entre la partie responsable et Microsoft, qui devra prévaloir sur tous les textes contractuels contradictoires.

Cet accord devrait notamment régir les délais d’effacement adaptés aux besoins du responsable de traitement, les exigences en matière d’information sur le recours à des sous-traitants., ainsi que le traitement de données par Microsoft à ses propres fins commerciales.

• L’APD italienne rappelle dans une ordonnance de mi-juillet concernant le traitement des données à des fins de marketing qu’il n’est pas justifié, au regard du principe de limitation de la conservation des données, de conserver les données jusqu’à la date de retrait du consentement.

Ce rappel figure déjà dans les lignes directrices 5/2020 de l’EDPB, selon lequel le contexte et les attentes légitimes des individus doivent être pris en compte : il est de bonne pratique d’exiger un nouveau consentement de façon régulière.

• La Cour suprême italienne a confirmé le caractère illégitime du licenciement d’un employé par une banque italienne en raison d’une surveillance illégale des courriels et d’une filature de cet employé.

La Cour suprême a déclaré qu’il est nécessaire d’assurer un juste équilibre entre les exigences de la protection des intérêts et des biens de l’entreprise liés à la liberté d’initiative économique, et la protection de la dignité et de la vie privée du travailleur, en fonction des circonstances.

La surveillance de toutes les communications sur l’ordinateur portable de l’entreprise du défendeur était injustifiée car elle était indiscriminée, non limitée et parce que le demandeur n’avait pas informé le défendeur de la surveillance possible des communications de son ordinateur portable, ni de la nature et de l’étendue de la surveillance.

• Dans une décision publiée le 21 août, l’APD espagnole a sanctionné un responsable de traitement pour avoir violé les articles 28(2) et 28(3) du RGPD.

Cette sanction a été prononcée alors qu’il n’existait aucun contrat entre le responsable du traitement et les sous-traitants et que le responsable du traitement n’avait pas été informé de l’implication des sous-traitants dans les activités de traitement des données.

• L’APD espagnole publie un blog sur les monnaies numériques, dans lequel elle aborde les plus grands risques posés par les crypto-monnaies : volatilité, spéculation, faux sentiment de disponibilité, de sécurité et d’anonymat.
• La Commission électorale du Royaume-Uni a déclaré le 8 août dernier qu’elle avait été victime d’une violation de données.

La cyberattaque remonterait au mois d’août 2021, et a été découverte en octobre 2022.

Les pirates, qui restent non identifiés, ont eu accès aux données de 40 millions d’électeurs inscrits sur les listes électorales entre 2014 et 2022.

• Le gouvernement britannique a mis en veilleuse ses projets visant à affaiblir le cryptage en ligne par la mise en œuvre du projet de loi sur la sécurité en ligne (Online Safety Bill).

Ce projet de loi visait à obliger les messageries telles que WhatsApp l’analyse des conversations de leurs utilisateurs pour y déceler des contenus pédopornographiques. Les clauses controversées resteraient dans le projet de loi, mais le gouvernement britannique a déclaré qu’il n’obligerait pas les entreprises technologiques à les appliquer.

• Une équipe le chercheur britanniques a publié en aout 2023 un article sur sa mise au point d’une intelligence artificielle (IA) capable de déchiffrer un mot de passe simplement en écoutant les sons produits par les touches du clavier.

L’IA a été entrainée sur un ensemble de données de plus de 100 000 frappes de clavier, et testée avec succès sur une variété d’appareils, y compris des ordinateurs portables, des smartphones et des enceintes connectées.

 

• L’Organisation internationale de normalisation a récemment publié la norme ISO 22989 :2022 – Concepts et terminologie de l’IA, qui établit la terminologie et décrit les concepts dans le domaine de l’IA.

Ce document peut être utilisé pour l’élaboration d’autres normes et pour soutenir la communication entre diverses parties intéressées ou parties prenantes. Il est applicable à tous les types d’organisations (entreprise  commerciales, agences gouvernementales, organisations à but non lucratif).

• Meta s’apprêterait à mettre en place un abonnement payant pour ses plateformes de médias sociaux Instagram et Facebook.

Selon le Wall Street journal, les utilisateurs qui ne souhaitent pas être suivis à des fins de publicité personnalisée devraient payer entre 10 et 15 € par mois en fonction du terminal utilisé (smartphone, ordinateur).

• La video-surveillance avec reconnaissance biométrique est au cœur d’un scandale en Argentine : erreurs, système susceptible d’être manipulé, accès non autorisés, absence de mesures de transparence…

Soixante-quinze pour cent de la capitale est sous vidéosurveillance, mais le système de reconnaissance faciale est critiqué après qu’au moins 140 erreurs ont conduit à des contrôles de police ou à des arrestations depuis 2019.

Des activistes ont décidé de poursuivre le gouvernement de la ville en justice et ont obtenu en avril 2022 la désactivation du système.

Depuis, la ville de Buenos Aires se bat pour le remettre en service.

• Un chercheur indonésien en sécurité a révélé sur Twitter qu’un pirate a mis en vente pour 10 000 dollars un fichier comportant les données de près de 35 millions de détenteurs de passeports.

L’auteur du piratage serait déjà connu pour avoir volé et mis en vente en 2022 les données de 1,3 milliard de cartes SIM issues des serveurs du ministère indonésien de la Communication et des Technologies de l’information et est aussi soupçonné d’être à l’origine du vol d’informations personnelles de 17 millions de clients de la compagnie d’électricité indonésienne en 2022 (via l’AFCDP).

• L’Arabie saoudite a publié mi-septembre son règlement d’application de la loi sur la protection des données personnelles ainsi qu’un règlement sur le transfert de données personnelles en dehors du Royaume.
• Le 15 octobre 2021, le gouvernement rwandais a promulgué une loi sur la protection des données personnelles et de la vie privée.

Le gouvernement a accordé une période de transition de deux ans pour permettre aux individus et aux organisations d’aligner leurs activités de traitement des données sur la loi. Celle-ci prendra fin le 15 octobre 2023.