Veille juridique
Un DPO ou un Correspondant à la protection des données

Exercice des droits d’accès, portabilité : quels sont les pouvoirs d’un mandataire ?

Veille Juridique n°35 – Mai 2021

Exercice des droits d’accès, portabilité : quels sont les pouvoirs d’un mandataire ? Certains responsables de traitement ont pu légitimement faire état de leur perplexité à la réception d’une demande provenant d’une société mandatée pour obtenir les données de leur fichier clients, surtout quand la demande contient des exigences particulièrement larges, concernant par exemple le transfert de données à caractère personnel sans limitation dans le temps, ou requérant un accès automatique aux données.

Le responsable peut légitimement s’interroger sur les risques de réutilisation de ses données de clientèle, et les possibles distorsions de concurrence qui en découleraient.

Sur le principe, la pratique est pourtant légale.

Elle est prévue par le RGPD et l’article 77 du décret d’application de la loi informatique et libertés, et vise à faciliter l’exercice des droits d’accès, d’opposition ou encore de portabilité des données en permettant aux personnes concernées de faire appel à un mandataire pour exercer leurs droits.

Comment préserver la maitrise des individus sur leur données en permettant l’exercice de ces droits par un tiers, tout en évitant les dérives qui pourraient découler de mandats abusifs ?

Il appartient d’une part au mandataire de délimiter clairement l’étendue de son mandat, et au responsable qui reçoit une telle demande de vérifier la validité de ce mandat.

La CNIL a lancé récemment une consultation publique sur un projet de recommandation visant à préciser le cadre de cette nouvelle pratique.

Elle a également publié un mandat type qui peut servir de référence aux mandataires et aux responsables de traitement.

Certains aspects méritent une attention particulière, et pourraient justifier qu’un responsable de traitement demande des précisions complémentaires avant de transmettre les données concernées.

•          Les données permettant l’identification claire, dans le mandat, de la personne au profit de laquelle les droits sont exercés (par exemple, identifiant, date de naissance, date de la dernière connexion)

•          L’identification du destinataire auquel les données sont transmises (qui peut être le mandataire ou la personne concernée)

•          L’authenticité du mandat (existence d’une signature électronique), son étendue et sa durée. Les données ou catégories de données doivent être précisées. La CNIL considère qu’un mandat établi pour une durée indéterminée ne remplit pas les exigences de la loi.

•          Si le transfert est effectué de façon électronique, notamment via une interface de programmation applicative (API), celle-ci doit être stable, avoir un niveau de disponibilité́ élevé́, et intégrer des mesures de sécurité́ adaptées aux risques. La CNIL émet des réserves quant aux techniques de scraping qui permettent de récupérer auprès de la personne concernée son identifiant et son mot de passe en vue d’extraire les données automatiquement.

Si le responsable de traitement a des doutes sur la validité d’un mandat, il devra justifier son refus de faire droit à la demande d’accès conformément à l’article 12.6 du RGPD.

Cela pourrait être le cas par exemple s’il a des doutes raisonnables sur l’identité de la personne concernée, qui nécessiteront de collecter auprès de cette personne ou du mandataire des informations complémentaires.

Dans le cas d’un mandat comme pour une demande d’accès classique, le délai de réponse du responsable de traitement est d’un mois.

Qu’en est-il de la possible réutilisation de ces données par le mandataire, à ses propres fins ?

Il s’agit d’un traitement distinct qui doit se confirmer aux exigences de légalité du RGPD.

La personne concernée devrait en tout état de cause avoir le choix d’accepter ou non, au cas par cas, chaque réutilisation qui serait envisagée par le mandataire.

Notons que la CNIL comme le Comité Européen de Protection des Données considèrent que « les mandataires ne devraient pas réutiliser les données relatives à des tiers pour leurs propres finalités », ce qui serait considéré comme une atteinte aux droits et libertés des tiers.

Et aussi

France :

Dans son rapport d’activité 2020, la CNIL fait le point sur les temps forts de l’année, et notamment sur l’impact de la crise liée à la pandémie sur les droits fondamentaux.

Trois ans après l’entrée en vigueur du RGPD, elle note une augmentation constante du nombre de plaintes – plus de 62% cette année, et a prononcé 14 sanctions dont 11 amendes pour un montant de 138 millions d’euros.

Les priorités de la Commission incluent

  • Les nouvelles règles concernant les cookies (une vingtaine d’organismes a été contrôlée récemment),
  • La cybersécurité et
  • La souveraineté numérique.

La CNIL annonce en outre des travaux prospectifs consacrés au lien entre protection des données et enjeux environnementaux liés au changement climatique.

La CNIL a également annoncé des contrôles auprès des pharmacies afin de vérifier les conditions de collecte des données de leurs clients par la société Iqvia à des fins d’analyse de pathologies.

Ces contrôles font suite à la diffusion mi-mai d’un reportage sur l’exploitation des données personnelles qui a suscité de nombreuses réactions.

La Commission a enfin indiqué être favorable à la création d’un pass sanitaire à condition que des garanties soient apportées au traitement des données et que le passe ne soit utilisé que pendant la durée de la crise sanitaire.

Elle a publié le 3 juin son troisième avis sur les dispositifs visant à lutter contre la pandémie.

Le Conseil Constitutionnel s’est prononcé le 20 mai sur la loi de “Sécurité Globale”.

Il censure l’article 24 relatif à la pénalisation de la diffusion “malveillante” de l’image des forces de maintien de l’ordre, ainsi qu’une grande partie des articles 47 et 48 qui organisaient la surveillance par des drones, notamment dans les manifestations, et le recours à des caméras embarquées à bord de véhicules et aéronefs des forces de l’ordre.

Europe :

Plusieurs acteurs de la société civile ont initié le 26 mai dernier des plaintes contre la société de reconnaissance faciale Clearview, notamment en France, en Autriche, en Italie, en Grèce et au Royaume-Uni.

La Cour européenne des droits de l’homme a considéré le 25 mai dans une décision unanime que le régime de surveillance généralisé du Royaume-Uni, rendu public par Edward Snowden en 2013, viole l’article 8 de la Convention européenne des droits de l’homme concernant la protection de la vie privée.

Le Comité européen de protection des données a adopté le 20 mai deux codes de conduite à la suite de l’élaboration des décisions des autorités française et belge sur le cloud : il s’agit pour la Belgique d’une décision concernant le code de conduite EU Cloud, et pour la France du CISPE, concernant les fournisseurs européens de services d’infrastructure cloud.

Le Comité a également publié ce 2 juin son rapport d’activité 2020.

Le Contrôleur européen de la protection des données entame deux enquêtes sur l’utilisation par les institutions européennes des services cloud d’Amazon et de Microsoft.

Ces enquêtes visent à vérifier les conditions de traitement et en particulier les transferts de données par ces sociétés vers les Etats-Unis au regard de l’arrêt Schrems II de la Cour européenne de justice.

L’Union européenne a publiquement fait savoir en ce début du mois de juin que, pour trouver un accord sur les transferts de données vers les Etats-Unis, ceux-ci devraient adopter des lois contraignantes permettant aux citoyens européens de se défendre en justice contre la collecte massive de leurs données par le gouvernement américain.

International :

Une étude récente publiée par Privacy Laws and Business (G. Greenleaf) fait le point sur la protection de la vie privée dans le monde. Elle indique que le nombre de pays ayant adopté une loi sur la protection des données est passé de 132 à 145, alors que 23 autres pays disposent d’un projet de loi en cours d’élaboration.

Brésil: à l’instar de plusieurs de ses homologues européens, l’autorité de contrôle du Brésil demande la suspension par Whatsapp de sa nouvelle politique de protection de la vie privée tant que l’enquête sur ses conséquences en termes de protection des données et de concurrence n’a pas abouti.

Anne Christine Lacoste

Partenaire du Cabinet Olivier Weber Avocat, Anne Christine Lacoste est juriste spécialisée en droit des données ; elle a été Responsable Relations Internationales auprès Contrôleur Européen de la Protection des Données et œuvré à la mise en place du RGPD dans l’Union Européenne.