Veille Juridique n°36 – Juin 2021

Vers une Europe de la protection des données :  la route est longue. Le Règlement général sur la protection des données a suscité de nombreux espoirs en termes de clarté et d’efficacité lors de son entrée en vigueur.

Si la Directive européenne qu’il a remplacée prévoyait déjà un cadre juridique relativement précis et contraignant, le RGPD entendait permettre une mise en œuvre harmonisée de ces principes, où que se situent les entreprises concernées dans l’Union européenne.

Les sanctions applicables, revues à la hausse, devaient également être évaluées par les autorités de contrôle en vertu d’une grille d’analyse cohérente.

Dans les faits, les écueils semblent nombreux qui limitent encore cette harmonisation tant attendue.

Le Commissaire allemand Johannes Caspar, en fin de mandat après douze ans à la tête de l’autorité de contrôle du Land de Hambourg, persiste et signe en ce mois de juin en dénonçant les failles de mise en œuvre du RGPD.

En cause, des procédures longues et complexes avant qu’une position commune puisse être trouvée par l’ensemble des autorités réunies au sein du Comité européen de protection des données (CEPD/EDPB).

Le RGPD a mis en place une procédure dite du « one stop shop » ou du « guichet unique », qui prévoit la compétence d’une autorité chef de file, celle du pays de l’établissement principal de la société concernée par l’enquête.

Cette autorité chef de file doit néanmoins composer dans les différentes étapes de la procédure avec les autres autorités nationales concernées.

En pratique, on constate une centralisation des enquêtes dans le chef de l’autorité irlandaise, qui se trouve compétente pour diriger la plupart des dossiers visant les GAFAM établis sur son territoire. 28 procédures seraient en cours auprès de ladite autorité à qui l’on reproche des procédures trop lentes et indulgentes concernant les big techs tels que Facebook et Twitter, ce qui susciterait des discussions longues et difficiles avec ses homologues au sein du CEPD.

Le Commissaire de l’autorité de Hambourg plaide pour que des signaux clairs et dissuasifs soient donnés par les autorités de supervision, en temps utile pour que les responsables de traitement se mettent en conformité de façon similaire où qu’ils se trouvent dans l’Union européenne, et sans distorsions de concurrence.

Notons que cette problématique a été identifiée par le Comité lui-même dans son rapport annuel 2020, et que l’amélioration de la coopération entre autorités figure parmi ses priorités pour 2021-2022.

Ajoutons encore que, s’il souffre de lourdeurs de procédure, le système du « guichet unique » présente néanmoins l’avantage pour tout citoyen de l’Union européenne de pouvoir porter plainte auprès de son autorité de supervision nationale, même si le responsable du traitement est établi dans un autre pays, à charge pour les autorités compétentes de coopérer dans le traitement de la plainte.

S’il n’est pas satisfait de l’issue de l’enquête, le plaignant pourra également intenter un recours dans son propre pays.

La Cour européenne de justice en outre rappelé dans un arrêt du 15 juin la marge de manœuvre des autorités qui ne sont pas chef de file, dans le traitement d’une plainte transfrontalière.

Dans le cadre d’un litige opposant Facebook (établi en Irlande) à l’autorité belge de protection des données, la Cour a ainsi considéré que l’autorité belge, bien que n’étant pas chef de file, pouvait porter certaines violations du RGPD par Facebook devant les juridictions belges.

Ces conditions sont néanmoins limitées aux cas présentant une urgence (article 66 du RGPD) ou aux cas locaux (article. 56.2 du RGPD). Cet arrêt ne signe donc pas la fin du guichet unique, mais tend à préciser les exceptions à son application. Le principe de coopération entre autorités reste ainsi la norme.

Et aussi

France :

La CNIL a publié le 30 juin dernier la troisième version de son logiciel destiné à faciliter les analyses d’impact sur la vie privée.

Cette nouvelle version guide les responsables dans la réalisation de leur analyse d’impact et permet de développer des bases de connaissance parallèles à celle fournie par la CNIL.

La formation restreinte de la CNIL a prononcé une amende de 500 000 euros à l’encontre de la société Bricoprivé pour

• Envoi de courriels de prospection sans le consentement des personnes, et manquement à plusieurs autres obligations du RGPD :
  • Non-respect des durées de conservation des données que la société s’était fixée,
  • Manquement aux obligations d’information et au droit à l’effacement des données, et
  • Absence de mots de passe robustes quant aux aspects de sécurité des données.

La CNIL a également relevé l’utilisation de cookies sans le consentement de l’utilisateur

Europe :

La Commission européenne a publié le 4 juin dernier une nouvelle version des clauses contractuelles types, destinée à faciliter les transferts internationaux de données.

Ces clauses tiennent compte des conséquences de l’arrêt Schrems II de la Cour européenne de justice concernant les risques d’accès aux données par les autorités des pays tiers, notamment dans un contexte de sécurité nationale.

En parallèle, le Comité européen de protection des données a émis le 18 juin des recommandations visant à guider les responsables de traitement dans l’analyse de tels risques d’interception des données, et à leur permettre d’adopter des mesures de protection complémentaires.

Intelligence artificielle :

le Contrôleur Européen de la Protection des Données et le Comité Européen de la Protection des Données ont publié conjointement un appel à l’interdiction de l’utilisation de l’IA pour

• La reconnaissance automatique de données biométriques dans l’espace public,
• Le scoring social y compris par les médias sociaux, et
• L’utilisation de l’IA afin d’identifier l’état émotionnel des personnes.

Cette position fait écho à la publication de la proposition de la Commission européenne sur l’IA du 21 avril dernier.

Transferts internationaux de données :

La Commission européenne a publié le 28 juin ses décisions d’adéquation concernant le Royaume-Uni.

L’une concerne les exigences du RGPD et l’autre la directive européenne sur les traitements de police.

Élément nouveau, la Commission y insère une « sunset clause » qui limite la durée de validité des décisions à quatre ans.

Les décisions pourront être renouvelées si le niveau de protection au Royaume-Uni correspond toujours aux exigences européennes.

Les points d’inquiétude portent en particulier sur les projets britanniques de nouveaux accords de commerce et de libre circulation des données avec les économies émergentes.

La Belgique est dans le collimateur de la Commission européenne, qui a initié une procédure d’infraction au RGPD quant à l’indépendance de son autorité de protection des données.

En cause, l’appartenance de plusieurs de ses membres à des entités gouvernementales.

International :

Une coalition internationale de plus de 55 associations de protection des consommateurs, des libertés civiles et d’organisations non gouvernementales demande l’interdiction de la publicité basée sur le traçage et le profilage des individus.

A l’origine de cette prise de position, un rapport du Conseil norvégien des consommateurs révélant les conséquences sur la société des pratiques de surveillance en matière commerciale.

La Commission européenne a initié le 16 juin dernier une procédure visant à reconnaître le caractère adéquat de la protection des données en Corée du sud.

Les autorités chinoises ont annoncé le 10 juin l’adoption d’une loi concernant la sécurité des données, qui vise également à protéger les droits et intérêts des personnes dont les données sont traitées.

Anne Christine Lacoste

Partenaire du Cabinet Olivier Weber Avocat, Anne Christine Lacoste est juriste spécialisée en droit des données ; elle a été Responsable Relations Internationales auprès Contrôleur Européen de la Protection des Données et œuvré à la mise en place du RGPD dans l’Union Européenne.