Veille Juridique n°42 – Décembre 2021

Une nouvelle année sous le signe de l’expectative

En matière de protection des données, l’année qui débute n’annonce pas de grandes nouveautés mais une évolution et peut-être des décisions stratégiques concernant certains thèmes d’actualité.

Attardons-nous sur trois d’entre eux : la mise en œuvre du RGPD par les autorités de contrôle, les questions de santé, et la régulation des géants du numérique.

Un des thèmes récurrents depuis l’entrée en vigueur du RGPD concerne le sérieux de sa mise en œuvre par les autorités nationales de protection des données et le grand écart existant entre le nombre et la sévérité des sanctions adoptées, selon que le responsable se trouve par exemple en Irlande ou en Espagne.

Ce dernier pays apparait comme l’un de ceux ayant imposé le plus grand nombre de sanctions, alors que le Luxembourg et la CNIL peuvent revendiquer les amendes les plus élevées à l’encontre des GAFAM (rappelons les 746 millions d’euros d’amende imposés par le Luxembourg à la société Amazon).

A l’autre extrémité du spectre, on trouve l’autorité de protection des données de l’Irlande, ouvertement critiquée par certains de ses pairs ainsi que par la vice-présidente de la Commission européenne, pour son laxisme à l’égard des principaux acteurs du web.

Afin de renforcer la cohésion et l’efficacité des procédures de contrôle au sein de l’Europe, certains évoquent un renforcement des pouvoirs du Comité européen de protection des données (EDPB).

La question sera abordée lors d’une conférence organisée par le Contrôleur européen de la protection des données les 16 et 17 juin prochains à Bruxelles.

Le traitement des données de santé constitue, dans le prolongement de la crise sanitaire, un autre sujet majeur de préoccupation.

Sont concernées

• Les questions liées aux conditions de recherche médicale,
• Le traitement de données génétiques et les risques de revente par certains laboratoires des données collectées dans le cadre des tests de dépistage, comme en témoigne le cas britannique récent de la société Signpost Diagnostics,
• Le traçage des individus via les applications et autres passes sanitaires, 

• Et enfin les risques liés à la sécurité des données : on pense notamment à la violation de données concernant les résultats de tests Covid de la société FranceTest, mise en demeure par la CNIL en octobre dernier de sécuriser ses données, ou la fuite de données concernant l’Assistance Publique-Hôpitaux de Paris.

Si la CNIL publie régulièrement ses positions à ce sujet, constatons que dans sa délibération à destination du parlement datant du 30 novembre dernier, elle indique attendre du gouvernement les éléments destinés à étayer l’efficacité des fichiers et moyens de contrôle mis en œuvre.

Un troisième sujet d’actualité concerne les initiatives réglementaires de l’Union européenne concernant les services du numérique et l’intelligence artificielle.

Outre la gestion des cookies, qui reste dans le collimateur des autorités nationales, le législateur européen s’inquiète du pouvoir croissant des géants du web, ces intermédiaires en situation de position dominante qui fournissent des services de messagerie et de réseaux sociaux.

En cause aussi, l’utilisation de la biométrie et de l’intelligence artificielle dans des objectifs de profilage de plus en plus intrusifs, et la manipulation des internautes à leur insu (dark patterns) par le biais de présentation de contenus ciblés.

Plusieurs textes sont en voie d’adoption au niveau européen, dont deux propositions de la Commission européenne sur les marchés numériques et les services numériques, et une proposition concernant l’intelligence artificielle. 

Le Parlement européen a adopté le 5 décembre sa position sur la proposition concernant les marchés numériques.

Parmi les modifications apportées au texte, on note l’ajout d’une exigence d’interopérabilité entre les services des principales plateformes de messagerie instantanée et de réseaux sociaux, l’objectif étant de permettre aux utilisateurs de changer facilement de fournisseur de service et de lutter contre les positions dominantes.

En ce début de présidence française du Conseil de l’Union européenne, le Contrôleur européen de la protection des données vient de présenter ses meilleurs vœux de succès au gouvernement français, tout en soulignant l’importance de ces trois dossiers majeurs liés au numérique et à l’intelligence artificielle et en indiquant qu’il suivra de près les développements dans ces domaines.

Si certaines priorités semblent déjà bien identifiées, souhaitons que cette nouvelle année nous apporte à tous son lot de belles surprises, ainsi que de grandes bouffées d’air frais, enfin.

Et aussi

France :

La CNIL a sanctionné ce 6 janvier la société Google à hauteur de 150 millions d’euros, et la société Facebook à hauteur de 60 millions d’euros, pour non-respect des dispositions légales en matière de cookies.

Le 28 décembre, la CNIL a prononcé une sanction de 300 000 euros à l’encontre de la société FREE MOBILE, notamment pour ne pas avoir respecté les droits des personnes et la sécurité des données de ses utilisateurs.

A cette même date, elle a également sanctionné la société SLIMPAY, qui propose à ses clients des solutions de paiement, d’une amende de 180 000 euros pour avoir insuffisamment protégé les données personnelles des utilisateurs et avoir omis de les informer d’une violation de données.

La présidente de la CNIL a mis en demeure le 26 novembre la société CLEARVIEW AI de cesser de collecter les photographies et vidéos disponibles en ligne, et de supprimer les données dans un délai de 2 mois.

La société a développé un logiciel de reconnaissance faciale dont la base de données repose sur l’aspiration de photographies et de vidéos publiquement accessibles sur internet.

Une nouvelle version du guide développeur de la CNIL vient d’être publiée. Ce guide fournit de nouveaux contenus destinés à accompagner les acteurs du développement web ou applicatif dans la mise en conformité de leurs travaux.

La SNCF a basculé en décembre ses 7000 serveurs et 250 applications sur le cloud d’Amazon, et plus précisément vers trois ‘data centers’ en région parisienne.

L’objectif de la société est également de développer son utilisation de l’intelligence artificielle.

Europe

Le Comité européen de protection des données a publié le 14 décembre des lignes directrices destinées à aider les responsables de traitement à gérer les violations de sécurité.

Le texte comporte un grand nombre d’exemples et développe les mesures à prendre en fonction du type d’infraction.

L’Agence des droits fondamentaux de l’Union européenne (FRA) publie, en collaboration avec des autorités de protection des données, un guide destiné à mieux informer les demandeurs d’asile et les migrants sur l’utilisation qui est faite de leurs empreintes digitales.

Lorsqu’ils sont arrêtés à la frontière extérieure de l’Union européenne, ceux-ci ont l’obligation de donner leurs empreintes, qui sont conservées dans le fichier Eurodac.

La Cour administrative de Wiesbaden en Allemagne a ordonné le 1er décembre à l’université RheinMain de sciences appliquées de cesser toute utilisation du gestionnaire de consentement “Cookiebot”. En cause, le transfert illégal des données des visiteurs du site web vers les États-Unis.

L’autorité de protection des données de Finlande a sanctionné le 7 décembre une société de psychothérapie à hauteur de plus de 600 000 euros pour ne pas avoir suffisamment assuré la sécurité des données de ses patients et s’être abstenue d’informer ceux-ci de deux violations de sécurité ayant conduit à un chantage à l’encontre des patients concernés et de la société elle-même.

L’autorité norvégienne de protection des données a imposé une amende de 6 300 000 euros à l’encontre de Grindr pour partage des données de ses utilisateurs avec des tiers à des fins de profilage et de publicité, sans le consentement de ces derniers.

L’administration fiscale des Pays-Bas s’est vu imposer une amende de 2 750 000 euros pour traitement de données sans base légale et en violation du principe de loyauté (articles 5(1)(a) et 6(1)(e) RGPD.

Le ministère de la défense de Belgique a été victime le 20 décembre d’une cyber attaque sérieuse causée par le malware Log4Shell, ayant impacté pendant plusieurs jours les activités de l’administration. 

L’autorité belge de protection des données a sanctionné d’une amende de 10 000 euros une société ayant acheté une base de données à des fins de marketing direct sans vérifier que les données avaient été collectées légalement.

La société n’avait pas non plus informé les personnes concernées de cette collecte indirecte, ni répondu à la demande d’accès d’un particulier.

International :

Amazon aurait enregistré plusieurs demandes de brevets concernant des technologies biométriques destinées à permettre aux caméras des visiophones de détecter des personnes suspectes sur la base de différents critères : odeur, texture de la peau, empreintes digitales, œil, voix et démarche.

La Corée du Sud est depuis le 17 décembre considérée comme présentant un niveau de protection adéquat. La décision de la Commission européenne tombe quelques mois après la conclusion d’un accord de libre-échange entre l’Union européenne et la Corée, entré en vigueur en juillet 2021.

A partir du 15 février prochain, le gouvernement chinois soumettra les sociétés chinoises ayant des activités commerciales internationales à une série de contrôles en matière de cyber sécurité.

Les vérifications ont pour objectif de limiter la transmission de données stratégiques en dehors du pays.