Veille Juridique n°31 – Janvier 2021

L’actualité des autorités de contrôle : célébrations et supervision. Ces derniers jours ont été l’occasion de célébrer (virtuellement) plusieurs anniversaires.

Le 28 janvier, les acteurs dans le domaine de la vie privée en Europe, en Afrique, en Amérique et dans la région Asie-Pacifique ont ainsi organisé plusieurs manifestations pour marquer le 15e anniversaire de la journée de la protection des données.

Ajoutons que la Convention 108 (Convention du Conseil de l’Europe pour la protection des données à caractère personnel) fête ses 40 ans cette année.

L’occasion d’un bilan et d’une Déclaration officielle insistant sur la nécessité de préserver « la dignité́ et l’intégrité́ humaines à l’heure des décisions automatisées prises par l’intelligence artificielle et les algorithmes », et de développer un espace juridique commun à l’échelle internationale pour faciliter la circulation des données entre pays.

Le numérique est ainsi au cœur des débats actuels, avec une déclaration du Comité des ministres du Conseil de l’Europe sur la sauvegarde du droit à la protection des données dans l’environnement numérique, et l’adoption de lignes directrices sur la reconnaissance faciale.

L’une des plus importantes conférences internationales sur la protection des données, « Computers, Privacy and Data Protection », qui s’est tenue fin janvier, vient confirmer ces préoccupations avec trois jours de discussions en ligne sur le thème « enforcing rights in a changing world ». 

Alors que les autorités de protection des données se sont vu conférer des pouvoirs accrus afin de faire respecter le RGPD, des interrogations subsistent sur leur stratégie, la coopération européenne, et l’efficacité des sanctions au regard de l’influence des « big techs » tels que Google ou Amazon.

Les amendes imposées en Europe en 2020 totalisent un montant de 272,5 millions d’euros, et les trois pays les plus actifs à cet égard sont l’Italie, l’Allemagne et la France, comme l’indique un récent rapport de DLA Piper sur le sujet.

La CNIL n’est en effet pas en reste en matière de sanctions, que ce soit à l’encontre des grands acteurs du numérique ou des TPE ou PMEs, avec des amendes adaptées au chiffre d’affaires des responsables.

Mais là où les multinationales peuvent provisionner certaines sommes dans le cadre d’une procédure de sanction, l’impact sur les structures de taille plus modeste peut être conséquent, en termes financiers ou d’image publique.

Concrètement, les dernières sanctions de la CNIL pour violation du RGPD ont été justifiées par des manquements aux règles de sécurité et par le non-respect des règles en matière de prospection commerciale.

Ainsi la société Nestor a-t-elle été sanctionnée à hauteur d’un montant de 20 000 euros pour avoir manqué à son obligation d’obtenir le consentement des prospects, et pour ne pas avoir respecté les droits des personnes concernées (information, accès).

L’absence de mesures appropriées de sécurité est également dans le collimateur de la CNIL, dans cette affaire comme dans celle, plus récente, impliquant une attaque par bourrage d’identifiants (credential stuffing) : le responsable et son sous-traitant avaient omis certaines protections essentielles telles que la limitation du nombre de requêtes autorisées sur une page web et l’utilisation de CAPTCHA.

Dans ce cas la CNIL a imposé des amendes pour respectivement 150 000 et 75 000 euros. Elle en profite pour rappeler sur son site les mesures visant à protéger les données à caractère personnel de ce type d’attaques.

La CNIL se concentre également sur l’utilisation des cookies et la façon dont les sites internet respectent ses lignes directrices.

Pour mémoire, elle a publié fin 2020 des lignes directrices sur ce sujet, précisant notamment comment obtenir le consentement des internautes à l’utilisation de traceurs.

Et aussi

France :

La CNIL a rendu le 26 janvier son avis sur la proposition de loi concernant la sécurité globale.

Elle émet des réserves sur l’utilisation des drones et plaide pour une expérimentation préalable, invoquant la captation élargie d’images que permet cette technologie, avec un suivi des personnes dans leurs déplacements, à leur insu et sur une durée qui peut être longue.

Elle ajoute que ces dispositifs de surveillance sont susceptibles d’influer, davantage que les caméras traditionnelles, sur l’exercice par les citoyens d’autres libertés fondamentales (droit de manifester, liberté de culte, liberté d’expression).

Elle questionne également les conditions d’utilisation des caméras embarquées dans certains véhicules, ainsi que la vidéoprotection, en particulier sur la transmission en temps réel des images aux forces de l’ordre.

Europe :

• L’autorité de supervision norvégienne entend infliger à Grindr une amende de 10 millions d’euros pour

Non seulement l’application propose uniquement des conditions générales « à prendre ou à laisser » ne permettant pas aux utilisateurs de consentir ou non au partage de leurs données, mais aucune information ne leur était fournie quant à ce partage de données (sensibles) avec la plateforme publicitaire MoPub utilisée par Twitter, permettant un partage ultérieur avec plus d’une centaine de clients. 

• En Italie, l’autorité de protection des données a ordonné le blocage par TikTok de toute utilisation de données des utilisateurs dont l’âge n’est pas vérifié. 

Elle reproche à TikTok un système de vérification défaillant risquant d’exposer les mineurs de moins de 13 ans à des contenus inappropriés.

Cette décision, prise dans l’urgence, fait suite à un drame qui a coûté la vie à une enfant de dix ans ayant participé sur le réseau social à un défi devenu viral (le jeu du foulard).

• L’autorité belge de protection des données met en demeure le gouvernement quant aux conditions, jugées trop larges, auxquelles l’Office national de la sécurité sociale peut partager les données de santé relatives au covid.

Elle demande un ajustement du texte de l’arrêté royal qui précise les conditions de partage des données.

International :

L’Etat de New-York vient d’adopter une loi suspendant l’utilisation et l’achat de technologies de reconnaissance faciale et autres identifiants biométriques dans les écoles jusqu’en juillet 2022.

Le Gouverneur de New York enjoint au Commissaire à l’éducation de réaliser une étude sur le caractère approprié de cette technologie dans le milieu éducatif.

Anne Christine Lacoste

Partenaire du Cabinet Olivier Weber Avocat, Anne Christine Lacoste est juriste spécialisée en droit des données ; elle a été Responsable Relations Internationales auprès Contrôleur Européen de la Protection des Données et œuvré à la mise en place du RGPD dans l’Union Européenne.