Veille Juridique n°38 – Août 2021

Décision WhatsApp : Fin de l’impunité pour les GAFAM en Europe ? Nous nous faisions l’écho lors d’une précédente actualité des difficultés d’entente au niveau européen concernant la mise en œuvre du Règlement Général sur la Protection des Données. 

La récente décision de l’autorité irlandaise concernant WhatsApp témoigne des nouvelles avancées de la coopération entre autorités de contrôle instituée par le RGPD.

L’amende administrative de 225 millions d’euros infligée ce 2 septembre à WhatsApp par l’Irlande fait suite à plusieurs rebondissements au sein du Comité européen de protection des données (EDPB).

Dans le cadre de la procédure de règlement des litiges prévue par l’article 65 du RGPD, le Comité a contraint l’Irlande à revoir ses conclusions : elle a ainsi dû élargir les éléments d’infraction, augmenter significativement le montant de l’amende et raccourcir les délais octroyés à Whatsapp pour se mettre en conformité avec la décision.

Pour le calcul de l’amende, le Comité a considéré que non seulement le chiffre d’affaires de WhatsApp, mais aussi celui de sa maison mère, Facebook, devait être pris en considération.

Il a également considéré qu’en cas d’infractions multiples pour le même traitement de données, les infractions devaient être additionnées – tout en restant sous le plafond des 4% du chiffre d’affaires prévu par le RGPD.

On relève en l’occurrence que l’amende, si imposante qu’elle paraisse, ne représente que 0,08% du chiffre d’affaires de Facebook.

Ce qui laisse songeur quand on sait que l’autorité irlandaise projetait au départ une amende de 50 millions d’euros.

Rappelons que l’autorité luxembourgeoise de protection des données a sanctionné Amazon à hauteur de 746 millions d’euros début août, la plus lourde amende jamais infligée dans le cadre du RGPD.

Sur le fond, le principal sujet de l’investigation concernait le respect par WhatsApp de ses obligations d’information envers ses utilisateurs, ainsi que des non-utilisateurs dont les données se trouvent également collectées.

Les notices d’information ont été jugées complexes, rendant impossible une bonne compréhension des intérêts légitimes poursuivis par la société.

L’utilisation de la fonctionnalité « accès aux contacts » par les utilisateurs s’avère totalement opaque pour lesdits contacts, dont les données sont traitées alors qu’eux-mêmes n’utilisent pas nécessairement l’application.

Outre une infraction aux articles 12, 13 et 14 du RGPD concernant les obligations d’information, le Comité conclut ainsi que les violations sont suffisamment graves pour constituer une violation de l’article 5(1)(a) du RGPD concernant le principe général de transparence.

La décision de l’autorité irlandaise renforcée par le Comité constitue un jalon utile pour les responsables de traitement, quant aux obligations d’information du RGPD.

On retient les orientations suivantes :

–           Éviter de disperser les informations dans différentes pages obligeant l’utilisateur à cliquer sur de multiples liens, ainsi que les menus déroulants interminables, et concentrer l’information à un seul endroit.

–           Décrire les opérations de traitement, les données collectées et la base légale pour chaque finalité identifiée.

Préciser également ces informations pour chaque tiers ayant accès aux données.

L’affichage sous forme de tableaux peut aider à une compréhension claire de ces différents éléments.

–           Mettre à disposition l’information concernant les « non-utilisateurs » de façon distincte et facilement accessible.

–           Préciser les circonstances dans lesquelles les données seront conservées / supprimées, avec des illustrations concrètes.

–           Indiquer la base légale permettant le transfert de données hors Union Européenne en précisant, s’il n’y a pas de décision d’adéquation, la base légale alternative.

Une référence générique à une page web de la Commission européenne ne suffit pas.

.

Et aussi

France :

La CNIL poursuit ses actions de mise en conformité en matière de cookies.

Elle a adressé une deuxième série de mises en demeure dans le courant de l’été, à l’encontre de plusieurs acteurs de la vente en ligne, de plateformes majeures de l’économie numérique, de collectivités locales ou encore du secteur bancaire.

Elle a également sanctionné le 27 juillet la société du Figaro à hauteur de 50 000 euros pour dépôt de cookies publicitaires sans le consentement des internautes.

Elle rappelle à cette occasion la répartition de responsabilité entre les éditeurs de sites et leurs partenaires commerciaux.

Une faille informatique a rendu accessibles les données personnelles d’environ 700 000 personnes ayant effectué un test Covid.

Cette violation de sécurité met en évidence le degré variable de fiabilité des services de transfert utilisés par les pharmaciens pour alimenter la plateforme gouvernementale SI-DEP.

Si la plateforme SI-DEP elle -même est sécurisée, les logiciels intermédiaires ne le sont pas tous.

La Direction générale de la santé (DGS) a envoyé un mail aux pharmaciens pour leur rappeler les logiciels agréés et compatibles avec le SI-DEP.

Celui de Francetest, pointé dans la faille rendue publique ce 31 août, n’en faisait pas partie.

La CNIL rappelle dans le contexte actuel de rentrée des classes les exigences à respecter dans le cadre de l’utilisation de la biométrie en milieu scolaire.

Elle se penche sur la reconnaissance du contour de la main pour l’accès aux cantines scolaires, et rappelle les exigences d’information, de consentement et de sécurisation des données.

Elle ajoute que le fait de refuser le traitement des données biométriques, et donc d’accéder à la cantine par un autre moyen, ne doit pas causer un préjudice à l’élève concerné.

Europe :

Crédit à la consommation : le Contrôleur européen de la protection des données (EDPS) a publié le 26 août un avis sur la proposition de Directive de la Commission européenne.

En cause, les nouvelles méthodes d’évaluation de solvabilité utilisant les technologies numériques.

Si de telles évaluations sont indispensables à l’octroi de crédits au consommateur, l’EDPS demande que certaines données soient exclues des procédures d’évaluation.

Outre les données de santé et des médias sociaux, l’EDPS souhaite un élargissement de l’interdiction à l’ensemble des données sensibles (concernant par exemple la religion et les opinions politiques) ainsi qu’aux données de navigation des internautes.

Le Contrôleur pointe également la nécessité de mieux encadrer le rôle des tiers fournissant des services d’analyse de solvabilité, et la certification des systèmes d’intelligence artificielle dans ce secteur.

Reconnaissance faciale : le Conseil de l’Europe publie des lignes directrices ayant pour but de fournir un ensemble de mesures de référence à l’intention des gouvernements, développeurs de reconnaissance faciale, fabricants, fournisseurs de services et entités utilisant des technologies de reconnaissance faciale.

L’objectif est de s’assurer lors de leur déploiement qu’elles ne portent pas atteinte à la dignité humaine, aux droits de l’homme et aux libertés fondamentales y compris la droit à la protection des données personnelles.

Italie : l’autorité de protection des données (Garante), a infligé à la société Deliveroo une amende de 2,5 millions d’euros pour utilisation non transparente d’un algorithme de gestion de ses livreurs, et collecte disproportionnée de leurs données personnelles en violation des principes de licéité, de transparence, de minimisation et de limitation du RGPD.

International :

La République Populaire de Chine a adopté le 20 août une loi sur la protection des informations personnelles (PIPL).

Cette loi entrera en vigueur le 1er novembre 2021. 

Elle vise non seulement à protéger les données des individus, mais également la sécurité de l’Etat et les intérêts économiques du pays au regard des GAFAM.

La loi contient des obligations strictes en matière de stockage local des données et des restrictions aux transferts internationaux.

La prise de pouvoir des talibans en Afghanistan a des répercussions aussi dans le domaine de la protection des données.

Plusieurs fichiers, dont celui géré par les ministères de l’intérieur et de la défense, contiendraient des informations particulièrement sensibles.

Sont concernées les données des forces de police et de l’armée, concernant un demi-million de personnes : nom, prénom, mais aussi numéro d’identification renvoyant à un profil biométrique, données de carrière et relations de parenté ainsi que pour chaque personne les données personnelles de deux « ainés » issues de tribus, servant de garants lors des recrutements.

Autant d’informations qui, en changeant de mains, peuvent contribuer à cartographier les connections entre communautés et ethnies locales.