Veille juridique

Le respect du RGPD en temps de crise.

Veille Juridique N°28 – Octobre 2020

Le respect du RGPD en temps de crise. Quelles sont les priorités des autorités de supervision, et quels sont les contrôles auxquels peuvent s’attendre les entreprises dans le contexte sanitaire et économique actuel ?

Si la CNIL concentre visiblement ses activités sur les traitements de données de santé, elle n’en a pas pour autant abandonné ses prérogatives de supervision au sens large.

On recense tout d’abord de nombreuses actions de sensibilisation destinées aux employeurs (cf. doc. Veille juridique de septembre), aux enseignants et aux chercheurs confrontés à une utilisation accrue des technologies de l’information et de l’intelligence artificielle.

La CNIL a également concentré ses investigations sur les systèmes de suivi de l’épidémie et l’application StopCovid. 

Son responsable du service des contrôles indique dans une publication récente que les TPE, PME et start-ups sont de ce fait moins sujettes à inspection.

Les enquêtes ne sont pas abandonnées pour autant, d’autant que les responsables ont eu, depuis l’entrée en vigueur du RGPD, le temps de prendre les mesures de mise en conformité nécessaires.

Ces contrôles ont davantage lieu sur la base de questionnaires et d’auditions, et les contrôles inopinés sont moins fréquents en raison de la crise.

Les contrôles sur place donnent ainsi lieu à un avertissement 48h en amont.

On relève des adaptations semblables dans de nombreux pays européens, comme en témoigne le récent rapport du Conseil de l’Europe sur le sujet.

Si une flexibilité a pu être constatée concernant par exemple un dépassement du délai légal pour la réponse au droit d’accès des particuliers à leurs données, la tolérance est nettement moindre ou inexistante lorsque le traitement des données constitue le cœur de métier de l’organisme contrôlé.

Outre l’adaptation des modes de contrôle en temps de crise, on relève un changement dans la forme des recours des individus en cas de violation de leurs droits.

Le RGPD permettant désormais aux plaignants d’être représentés par des organismes d’intérêt public, de nombreuses associations ont vu leurs activités se développer depuis 2018, telles « La Quadrature du Net » en France » ou « None of Your Business » en Autriche.

On les a vues à l’œuvre récemment dans des actions judiciaires concernant la surveillance par drones au-dessus de Paris pendant le confinement et dans le cadre des manifestations, et concernant la question des transferts de données vers les Etats-Unis (voyez l’arrêt Schrems II, abordé dans notre veille juridique du mois d’août).

Ces structures, de mieux en mieux organisées et financées, donnent une visibilité nouvelle à la problématique de la protection des données.

Compte tenu des possibles dommages et intérêts et des sanctions prévues par le Règlement, elles en soulignent les enjeux, non seulement d’un point de vue éthique, mais aussi financier et stratégique.

Ces développements sont au cœur d’un prochain webinaire organisé le 18 novembre prochain par la Privacy Platform de l’eurodéputée Sophie In’t Veld.

Et aussi

France :

  • Le Conseil d’Etat refuse de suspendre le fonctionnement du « health data hub », malgré les risques liés au transfert de ces données vers les Etats-Unis.

La CNIL avait mis en évidence les risques liés à un hébergement par Microsoft des données de santé des personnes soignées en France, et rappelait les questions de légalité soulevées par l’arrêt Schrems II de la Cour Européenne de Justice.

S’il ne suspend pas le fonctionnement de la plateforme, le Conseil d’Etat reconnaît néanmoins les risques de transfert, et demande que des garanties appropriées soient prises, tant qu’une solution pérenne n’aura pas été trouvée.

La CNIL conseillera les autorités publiques à cet effet, et veillera, pour les demandes d’autorisation des projets de recherche dans le cadre de la crise sanitaire, à ce que le recours à la plateforme soit techniquement nécessaire.

  • La CNIL propose un événement dédié au droit à la portabilité, le lundi 23 novembre 2020 de 14 h 00 à 17 h 30.

Ce nouveau droit, consacré par le RGPD, permet à chacun de recevoir les données personnelles qu’il ou elle a communiquées à un responsable de traitement, dans un format structuré, couramment utilisé et lisible par machine, et de les transmettre à un autre responsable de traitement.

Les débats viseront notamment à discuter des solutions concrètes pour fluidifier la circulation des données entre services, dans le respect des droits des personnes.

Le RGPD permettant désormais aux plaignants d’être représentés par des organismes d’intérêt public, de nombreuses associations ont vu leurs activités se développer depuis 2018, telles « La Quadrature du Net » en France » ou « None of Your Business » en Autriche.

On les a vues à l’œuvre récemment dans des actions judiciaires concernant la surveillance par drones au-dessus de Paris pendant le confinement et dans le cadre des manifestations, et concernant la question des transferts de données vers les Etats-Unis (voyez l’arrêt Schrems II, abordé dans notre veille juridique du mois d’août).

Ces structures, de mieux en mieux organisées et financées, donnent une visibilité nouvelle à la problématique de la protection des données.

Compte tenu des possibles dommages et intérêts et des sanctions prévues par le Règlement, elles en soulignent les enjeux, non seulement d’un point de vue éthique, mais aussi financier et stratégique.

Ces développements sont au cœur d’un prochain webinaire organisé le 18 novembre prochain par la Privacy Platform de l’eurodéputée Sophie In’t Veld.

Et aussi

France :

  • Le Conseil d’Etat refuse de suspendre le fonctionnement du « health data hub », malgré les risques liés au transfert de ces données vers les Etats-Unis.

La CNIL avait mis en évidence les risques liés à un hébergement par Microsoft des données de santé des personnes soignées en France, et rappelait les questions de légalité soulevées par l’arrêt Schrems II de la Cour Européenne de Justice.

S’il ne suspend pas le fonctionnement de la plateforme, le Conseil d’Etat reconnaît néanmoins les risques de transfert, et demande que des garanties appropriées soient prises, tant qu’une solution pérenne n’aura pas été trouvée.

La CNIL conseillera les autorités publiques à cet effet, et veillera, pour les demandes d’autorisation des projets de recherche dans le cadre de la crise sanitaire, à ce que le recours à la plateforme soit techniquement nécessaire.

  • La CNIL propose un événement dédié au droit à la portabilité, le lundi 23 novembre 2020 de 14 h 00 à 17 h 30.

Ce nouveau droit, consacré par le RGPD, permet à chacun de recevoir les données personnelles qu’il ou elle a communiquées à un responsable de traitement, dans un format structuré, couramment utilisé et lisible par machine, et de les transmettre à un autre responsable de traitement.

Les débats viseront notamment à discuter des solutions concrètes pour fluidifier la circulation des données entre services, dans le respect des droits des personnes.

Europe :

  • Royaume-Uni : la société Mariott International se voit infliger ce 30 octobre une amende de vingt millions d’euros en raison d’une violation de sécurité, montant nettement inférieur, même s’il reste conséquent, aux cent millions d’euros annoncés initialement par l’autorité britannique de protection des données.
  • La Cour Européenne de Justice a rendu le 6 octobre deux arrêts importants (La Quadrature du Net et Privacy International) dans le domaine de l’utilisation des données à caractère personnel par les services de renseignement.

Elle précise les conditions strictes auxquelles les données de communication peuvent être stockées par les opérateurs et confirme l’illégalité des interceptions « en masse » de ces données par les services de renseignement.

La Cour réfute en outre l’existence d’un droit fondamental et collectif à la sécurité, qui justifierait une mise en balance avec les droits fondamentaux à la vie privée et à la protection des données.

  • Le Comité Européen de Protection des Données (EDPB) a adopté lors de sa séance du 21 octobre des lignes directrices sur la protection des données « by design and by default », qui illustrent concrètement la façon d’assurer cette protection dès la conception d’un système IT.

International :

  • Le Brésil se voit doté depuis le 19 octobre d’un collège de commissaires à la protection des données pour la direction de son autorité de supervision.

Sur les cinq membres nommés par le Président de la République et confirmés par le Sénat, trois ont une expérience principalement militaire, ce qui en fait un collège assez singulier.

  • La Global Privacy Assembly a virtuellement rassemblé mi-octobre une centaine de représentants d’autorités de protection des données.

L’assemblée a adopté plusieurs résolutions concernant l’intelligence artificielle, la reconnaissance faciale et l’aide humanitaire. Elle a également publié un recueil de bonnes pratiques en lien avec la pandémie de COVID-19.

  • L’Unicef prépare des lignes directrices visant à protéger les droits de l’enfant dans le contexte du développement de l’intelligence artificielle. Le projet est disponible en ligne et sa version définitive sera publiée en 2021.

Anne Christine Lacoste

 Partenaire du Cabinet Olivier Weber Avocat, Anne Christine Lacoste est juriste spécialisée en droit des données ; elle a été Responsable Relations Internationales auprès Contrôleur Européen de la Protection des Données et œuvré à la mise en place du RGPD dans l’Union Européenne.