Veille Juridique n°81 – mars 2025. 

Kršitve podatkov: kateri organi pregona in kakšne so sankcije?

Qui n’a pas reçu récemment un courriel de son fournisseur de service de télécommunication, ou de l’ONG à laquelle il verse un don mensuel, l’informant que ses coordonnées, ses identifiants et parfois ses données bancaires, ont été compromises ?

A l’heure où les violations de données se multiplient, la protection des systèmes informatiques devient un enjeu majeur pour les entreprises.

Depuis l’entrée en vigueur du RGPD et de la directive NIS2, la sécurité des traitements de données est réglementée de manière stricte et les violations sont assorties de sanctions élevées pour les responsables de traitement.

Parmi les obligations, mentionnons celle de notifier la violation sous certaines conditions à la CNIL et aux personnes concernées, de remédier à la violation et de prendre toute mesure utile afin d’en atténuer les conséquences.

La CNIL dispose de pouvoirs d’enquête étendus, et elle a pour mission d’accompagner mais aussi de sanctionner les responsables de traitement lorsqu’un défaut de sécurité est à l’origine de la violation de données.

La Commission a imposé plusieurs sanctions ces dernières années :

• Bouygues Telecom a été sanctionné à hauteur de 250 000 € en 2017 à cause d’une sécurisation insuffisante de son site client B&You, qui permettait via une modification d’URL d’accéder aux contrats de 2 millions de clients.
• En 2016, Uber s’est vu imposer une amende de 400 000 € pour défaut de sécurité ayant compromis 57 millions de comptes, et pour absence de notification à la CNIL dans les délais légaux.
• Plus récemment Dedalus Biologie a exposé les données de santé de 500 000 patients à cause d’une mauvaise configuration de serveur par un sous-traitant et a été sanctionné à hauteur de 1,5 millions d’euros par la CNIL.
• Enfin, en octobre dernier, une sanction de 750 000 € a été infligée à l’entreprise de sécurisation de cryptoactifs Ledger pour protection insuffisante des données de ses clients. La société avait subi – et gardé sous silence – plusieurs violations de données personnelles en 2020, ayant affecté de nombreux clients et prospects.

La Commission semble néanmoins privilégier actuellement l’accompagnement à la sanction, et publie sur son site internet de nombreuses recommandations à l’intention des responsables de traitement.

En début d’année, elle a réagi aux violations de données de grande ampleur qui ont touché des millions de personnes en 2024, et proposé des mesures de renforcement de sécurité pour faire face aux risques d’attaque.

La CNIL insiste sur les procédures internes à l’entreprise ainsi que les précautions à prendre en cas de sous-traitance.

Ailleurs en Europe, de nombreuses entreprises se voient infliger des amendes allant de quelques milliers à plusieurs centaines de milliers d’euros, pour avoir par exemple « oublié » de supprimer les droits d’accès au système informatique d’anciens employés, bâclé la conception d’une application bancaire ou la configuration d’un site web, transmis par erreur une carte sim au mauvais client, téléchargé un fichier client sur Whatsapp ou encore pour ne pas avoir contrôlé suffisamment les pratiques d’un sous-traitant.

Au niveau supranational, la Cour de justice de l’Union européenne fournit aussi des précisions, notamment en matière d’indemnisation des victimes.

Si la personne est tenue de prouver l’existence d’un préjudice causé par une violation de données, ce préjudice ne doit pas atteindre un certain degré de gravité (Aff. C 300/21, Aff. C-590/22).

Ainsi, la crainte éprouvée par une personne que ses données à caractère personnel aient été divulguées à des tiers peut ouvrir droit à réparation, dès lors que la personne apporte la preuve de sa crainte, avec ses conséquences négatives (Aff. C 340/21, Aff. C 687/21, Aff. C-590/22).

La CJUE a également jugé que la réparation d’un dommage moral causé par le vol de données à caractère personnel n’est pas limitée aux cas où il est démontré qu’il a effectivement donné lieu à une usurpation d’identité.

Un dommage réparable peut donc exister sans qu’une usurpation d’identité puisse être caractérisée. (Affaires C 182/22 et C 189/22).

Avec le développement des actions collectives, les entreprises qui ne prennent pas au sérieux les risques de violations de données s’exposent non seulement aux sanctions de la CNIL mais également aux recours des individus.

 

 

L’Assemblée nationale a voté dans la soirée de jeudi 20 mars pour le maintien de la confidentialité des messageries chiffrées.

La mesure prévoyait la possibilité d’imposer à ces plateformes de messagerie (Signal, WhatsApp, etc.) de communiquer les correspondances des trafiquants aux services de renseignement.

« Les députés avaient supprimé cette mesure, qui agrège contre elle de nombreux acteurs et experts de la cybersécurité, en commission des lois la semaine dernière. Il existe à leurs yeux un risque trop important de créer une faille qui mette en danger les conversations de l’ensemble des utilisateurs de ces plateformes ».

Afin que les professionnels concernés « puissent se préparer aux concertations ou aux consultations à venir », la CNIL a présenté le 27 mars le programme de travail et les orientations qu’elle souhaite adopter en 2025.

Parmi les thèmes abordés, on trouve des fiches pratiques sur l’IA, des projets de référentiel concernant les sous-traitants, la santé, le secteur bancaire, les durées de conservation dans les domaines du marketing et des ressources humaines, trois projets de recommandations concernant le consentement « multi-terminaux », les pixels dans les courriels et l’économie des seniors ; enfin, la CNIL poursuivra ses travaux sur les dashcams et la prospection politique.

La décision de la CNIL autorisant, sous réserves, l’agence européenne des médicaments à accéder à des extractions de données du SNDS dans le cadre du projet DARWIN (Data Analysis and Real-World Interrogation Network) EU, a été publiée sur Légifrance.

La Commission critique le choix d’un hébergeur soumis à un droit extraterritorial, ce qui expose à un risque de communication de données sensibles à des puissances étrangères mais autorise néanmoins le traitement, pour une durée limitée à trois ans pour l’échantillon de données et un an après publication d’étude.

Dans une décision du 28 mars, l’autorité française de la concurrence a infligé à Apple une amende de 150 millions d’euros « pour abus de position dominante dans le secteur de la distribution d’applications mobiles sur les appareils iOS et iPadOS ».

La mesure vise spécifiquement l’App Tracking Transparency (ATT) d’Apple, qui permet aux utilisateurs de choisir facilement s’ils souhaitent ou non activer le suivi par des tiers.

L’autorité considère que le cadre lui-même « n’est pas fondamentalement problématique », mais pointe le fait que l’ATT rend l’utilisation d’applications tierces dans l’environnement iOS excessivement complexe en exigeant plusieurs fenêtres pop-up de consentement.

L’application pénaliserait tout particulièrement les plus petits éditeurs « qui dépendent en grande partie de la collecte de données tierces pour financer leur activité ».

Dans une décision du 1er avril, le Conseil d’état s’est prononcé sur le blocage de TikTok en Nouvelle-Calédonie lors des émeutes du printemps dernier.

Si elle considère que dans le cas d’espèce les conditions de validité n’étaient pas réunies, elle établit néanmoins les conditions dans lesquelles un tel blocage d’un réseau social pourrait être légal, jugeant que l’autorité administrative « peut (…) recourir à une telle mesure [de blocage], en cas de circonstances exceptionnelles, si elle est indispensable pour répondre aux nécessités du moment ».

La mesure devra être :

• Indispensable pour faire face à des événements d’une particulière gravité ;
• Sans qu’aucun moyen technique ne permette de prendre immédiatement des mesures alternatives ;
• Et prise « pour une durée limitée nécessaire à la recherche et la mise en place de ces mesures alternatives ».

 

Dans un arrêt du 26 mars, la chambre sociale de la Cour de cassation a confirmé le droit pour une salariée d’obtenir une copie partielle de bulletins de paie de certains de ses collègues, dans le but de démontrer un traitement inéquitable dans son évolution de carrière.

La cour rappelle le principe de minimisation des données et précise qu’il incombe au juge du fond « de s’assurer que les mentions, qu’il spécifiera comme devant être laissées apparentes, sont adéquates, pertinentes et strictement limitées à ce qui est indispensable à la comparaison entre salariés en tenant compte du ou des motifs allégués de discrimination. »

 

Institutions et organismes européens

Politico annonce dans un article du 3 avril que la Commission européenne prévoit de présenter une proposition visant à simplifier le RGPD dans les prochaines semaines.

Il s’agit selon la publication « d’une des priorités de la présidente de l’exécutif de l’UE, Ursula von der Leyen, qui essaye de rendre les entreprises du Vieux Continent plus compétitives par rapport à leurs concurrentes aux Etats-Unis, en Chine et ailleurs. »

Le 1er avril, la Commission a dévoilé sa feuille de route pour une « nouvelle stratégie européenne de sécurité intérieure » appelée ProtectEU, qui vise notamment à étendre les pouvoirs d’Europol et de Frontex.

La Commission procédera à une évaluation de l’impact des règles de conservation des données au niveau de l’UE et à la préparation d’une feuille de route technologique sur le chiffrement, « afin d’identifier et d’évaluer les solutions technologiques qui permettraient aux autorités répressives d’accéder aux données chiffrées de manière légale, tout en sauvegardant la cybersécurité et les droits fondamentaux ».

L’Avocat général (AG) de la Cour de justice de l’Union européenne (CJUE) estime dans ses conclusions du 27 mars que WhatsApp, étant directement concerné, peut contester la décision contraignante de l’EDPB devant le Tribunal européen en vertu de l’article 263 du TFUE.

Pour rappel, à la suite de cette décision de l’EDPB le 28 juillet 2021 dans le cadre du mécanisme de cohérence du RGPD, l’APD irlandaise avait adopté une décision constatant les infractions, imposant des mesures correctives ainsi que des amendes administratives pour un montant cumulé de 225 millions d’euros.

WhatsApp avait contesté la décision de l’EDPB devant le Tribunal européen et, parallèlement, la décision finale d’exécution de l’APD irlandaise devant une juridiction irlandaise.

L’AG a en outre considéré, le même jour, que l’envoi d’une lettre d’information quotidienne constitue un « marketing direct » pour des « produits ou services similaires », au sens de la directive sur la vie privée et les communications électroniques (ePrivacy), et a considéré que lorsque le traitement de données à caractère personnel est licite sur la base de cette disposition, l’article 6 du RGPD n’est pas applicable : lorsqu’il existe une disposition spécifique dans la directive ePrivacy entraînant des obligations ayant le même objectif que les dispositions correspondantes du RGPD, c’est la disposition « ePrivacy » qui doit être appliquée.

Il a enfin considéré le 20 mars que le RGPD prévoit le droit à une injonction pour les personnes concernées en cas de traitement illégal. Cette option préventive de recours en injonction n’atténue pas les dommages non matériels compensatoires à la suite d’un tel traitement illicite.

La CJUE a jugé le 13 mars dernier que l’article 16 du RGPD exige la rectification du sexe d’une personne transgenre enregistré de manière inexacte dans un registre public.

Si l’autorité compétente peut demander la preuve de l’inexactitude, le fait d’exiger de la personne concernée qu’elle prouve qu’elle a subi une opération de réassignation sexuelle constitue une violation de ses droits de l’homme.

 

Actualité des pays membres de l’Union Européenne.

En Allemagne, la Cour fédérale de justice a confirmé l’octroi à un plaignant de 500 euros de dommages-intérêts non matériels pour atteinte à sa réputation en vertu de l’article 82 du RGPD.

En outre, elle a estimé qu’un tribunal ne peut tenir compte ni de la gravité de la violation du RGPD, ni de la question de la faute lorsqu’il fixe le montant du dommage.

L’APD autrichienne a ordonné la destruction d’images prises par un photographe pour non-respect du RGPD.

Le photographe avait publié sur un site web publique des images prises dans la rue de personnes identifiables, en particulier des enfants et des femmes, dans des contextes sensibles, sans base juridique valable ni garanties suffisantes (information, droit d’opposition).

L’association Noyb vient d’essuyer un revers devant la Cour d’appel de Bruxelles.

Celle-ci considère dans un arrêt du 19 mars que les plaintes relayées par l’association doivent témoigner d’un intérêt personnel de la personne concernée.

Das le cas d’espèce, la Cour des marchés indique ne pas avoir trouvé de justification d’un tel intérêt des plaignants concernant les violations des règles relatives aux cookies.

Elle mentionne entre autres indices que Noyb ne prétend à aucun moment de la procédure que les plaignant auraient été des visiteurs réguliers ou même occasionnels des sites Internet/journaux incriminés.

En Belgique également, un sauna érotique a écopé d’une mise en garde de la chambre contentieuse de l’APD, en particulier pour la tenue d’un livre d’or en ligne qui permettait la diffusion publique de données sensibles concernant les clients.

L’APD a constaté un défaut de transparence dans la politique de confidentialité, l’absence de base légale pour le traitement des données et le non-respect des obligations relatives au registre des traitements.

En Espagne, l’APD a condamné une banque à une amende de 3 500 000 euros pour un grave problème de conception d’une application bancaire ayant permis à des clients d’accéder à des comptes pour lesquels ils n’avaient pas d’autorisation.

Une compagnie d’assurances s’est par ailleurs vu infliger une amende de 1 000 000 € pour une erreur de codage ayant entraîné l’envoi de données personnelles, y compris de données sensibles, de 3 395 personnes par courrier électronique à 354 entreprises destinataires.

En Grèce, l’APD a infligé une amende de 3 000 euros à une banque qui n’avait pas mis en œuvre les mesures de sécurité appropriées à la suite d’une violation interne de données.

Un employé avait conservé à tort des droits d’administrateur après son départ et accédé sans autorisation aux données de plus de 6 000 autres employés.

On relève une décision similaire de l’APD italienne.

Dans une affaire de spam par SMS, l’APD grecque a demandé à l’autorité nationale de gestion des noms de domaine de suspendre celui de la société concernée, au motif que ce nom de domaine serait utilisé de mauvaise foi ou d’une manière contraire à l’ordre public.

Notons qu’au niveau de l’ICANN, les bureaux d’enregistrement ont « suspendu 2 528 noms de domaine et désactivé 328 sites web utilisés pour des opérations d’hameçonnage dans le cadre des efforts de mise en œuvre des mesures de conformité. »

L’APD italienne a infligé une amende de 300 000 euros à une entreprise du secteur de l’énergie pour avoir traité illégalement des données personnelles à des fins de marketing direct, pour n’avoir pas correctement mis en œuvre les principes de protection des données et pour n’avoir pas suffisamment informé les candidats à l’emploi du traitement de leurs données.

Le tribunal administratif du Luxembourg a confirmé l’amende de 746 000 000 € à l’encontre d’une filiale d’Amazon, infligée par l’APD en 2021 pour le traitement illégal des données des visiteurs d’un site web à des fins de publicité basée sur les intérêts, pour manquement à l’obligation de fournir des informations transparentes et pour violation de plusieurs droits des personnes concernées.

Alors qu’Amazon envisagerait de faire appel, l’APD a déclaré qu’elle ne donnerait aucun détail sur sa décision pendant la période d’appel ou au cours d’une éventuelle procédure.

L’APD polonaise a condamné la société de Poste à payer 6,3 millions d’euros d’amende pour avoir, dans le contexte d’élections organisées en période de Covid, exécuté une demande de traitement de données émanant du gouvernement et concernant 30 millions de citoyens, sans avoir vérifié la base légale de cette demande. 

La Poste aurait dû attendre l’épuisement des voies de recours contre cette décision, qui fut finalement annulée par la justice.

 

Le 17 mars, la loi britannique sur la sécurité en ligne (Online Safety Act) est entrée en vigueur, obligeant les plateformes en ligne à mettre en œuvre une série de mesures visant à réduire les risques pour les enfants et à supprimer les contenus dangereux de manière plus générale.

Les fournisseurs de services britanniques ont jusqu’au 16 mars pour procéder à l’évaluation des risques de leur service.

Un code de bonnes pratiques et un programme de mise en œuvre ont été élaborés par l’autorité britannique de contrôle (Ofcom).

Les détracteurs de cette loi lui reprochent notamment son champ d’application à des zones grises telles que le harcèlement ou le contrôle des comportements, et les risques de censure qui en découlent.

Cette loi s’ajoute à deux autres réglementations britanniques qui pourraient bien fragiliser le renouvellement de la décision d’adéquation du Royaume-Uni au mois de juin: une note publiée par le Service de recherche du Parlement européen fait ainsi référence au projet de loi sur les données (Data bill) et à un amendement à la loi sur les pouvoirs d’investigation (Investigatory powers act), qui visent tous deux à élargir l’accès du gouvernement et des forces de l’ordre aux données des utilisateurs.

Le Bureau du Commissaire australien à l’information a publié le 19 mars une étude sur les politiques et pratiques des agences du secteur public australien concernant leur utilisation des applications de messagerie.

Le rapport constate que les applications de messagerie sont couramment utilisées dans le service public australien, sans encadrement ni procédures adéquates. L’étude présente une liste de recommandations à cet effet.

Le commissaire canadien à la protection de la vie privée vient de publier un outil permettant d’évaluer si une violation de données personnelles présente un risque réel de préjudice important pour les individus.

En Chine, le « National Internet Information Office a publié le 13 mars des mesures de gestion de sécurité pour l’application des technologies biométriques, qui exigent que les activités de reconnaissance faciale respectent les lois applicables, adoptent des mesures de sécurité et minimisent l’impact sur les droits de la personne.

Le journal allemand Der Spiegel a annoncé le 26 mars avoir pu accéder à des données personnelles et à des informations de contact en ligne, voire à des mots de passe, pour certains des plus hauts responsables américains de la sécurité, dont le secrétaire à la défense et l’ancien animateur de Fox News, Pete Hegseth.

Les journalistes ont utilisé des moteurs de recherche publics, ainsi que des « données clients piratées » qui avaient été publiées en ligne.

Le conseiller à la sécurité nationale Mike Waltz et la directrice du renseignement national Tulsi Gabbard figureraient également parmi les personnes dont les informations ont fuité sur le web.

Aux Etats-Unis également, la réglementation de l’IA augmente de façon significative : en 2024, plus de 600 projets de loi relatifs à l’IA ont été recensés, dont près de 100 ont été promulgués.

Le degré de protection est toutefois très variable en fonction des Etats.

Un tracker proposé par le site « Multistate » permet de visualiser l’état de la réglementation en 2025.

Pendant ce temps, le 18 mars, le président Trump a limogé les deux membres démocrates de la Commission Fédérale du Commerce (FTC), accroissant l’incertitude actuelle quant à l’effectivité des mécanismes de contrôle et de protection du consommateur aux Etats-Unis et fragilisant encore la stabilité de l’accord transatlantique sur la protection des données.

Au Vietnam, la loi sur la protection des données pourrait être adoptée au printemps.

Le gouvernement a récemment adopté une résolution afin d’accélérer le processus législatif et le ministère de la sécurité publique a été chargé de soumettre le projet de loi à l’Assemblée nationale pour adoption officielle en mai 2025.

Les générateurs d’images d’IA avancées ont des répercussions importantes en matière de protection des données, comme en témoigne un article de L. Jarosvky.

• L’effet “Ghibli” tout d’abord, qui permet de créer des images dans le style des fameux dessins animés de Myasaki, a conduit ces derniers jours des milliers de personnes à télécharger volontairement leur visage et leurs photos personnelles sur ChatGPT, donnant ainsi à OpenAI ainsi un accès direct et gratuit à plusieurs milliers de nouveaux visages pour entraîner ses modèles d’intelligence artificielle.
• Les générateurs d’images rendent en outre la création de fausses preuves extrêmement facile, bon marché et accessible. Toute personne mal intentionnée peut ainsi créer en quelques minutes et pour un coût quasi nul de fausses factures, pièces d’identité, attestations de domicile ou encore documents bancaires, avec les risques d’usurpation d’identité qui en découlent.