Veille Juridique n°43 – Janvier 2022

Données sensibles et catégories particulières de données : bonnet blanc et blanc bonnet ?. Lorsque l’on traite des données relatives à la santé, aux opinions politiques ou religieuses, la qualification qui vient directement à l’esprit est celle de « données sensibles », qui requièrent une protection particulière au sens du Règlement européen sur la protection des données.

La CNIL assimile d’ailleurs sur son site internet les données sensibles aux « catégories particulières de données » réglementées par le RGPD.

Est-ce à dire que ces deux notions se confondent ?

La question a son importance, car son interprétation entraîne l’application d’une série de dispositions juridiques contraignantes pour le responsable de traitement.

Le RGPD précise que « les données à caractère personnel qui sont, par nature, particulièrement sensibles du point de vue des libertés et des droits fondamentaux méritent une protection spécifique, car le contexte dans lequel elles sont traitées pourrait engendrer des risques importants pour ces libertés et droits. »

Un certain nombre de données sensibles a été identifié de façon explicite, et leur traitement interdit sauf exceptions précisées à l’article 9 du RGPD.

Il s’agit des catégories particulières de données, qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.

Compte tenu des risques, notamment de discrimination, soulevés par le traitement de telles données, le Règlement européen impose une responsabilisation accrue des responsables de traitement, et une utilisation prudente des données dans le respect des exceptions prévues par la loi.

Celles-ci se réfèrent principalement à des intérêts vitaux ou publics importants, plus à même de justifier une telle intrusion.

Précisons que d’autres données parfois également qualifiées de sensibles, mais non reprises dans la liste de l’article 9 du RGPD, font également l’objet d’une protection spécifique.

La notion de donnée sensible est ainsi parfois considérée, par exemple dans les documents officiels des autorités britannique et belge de protection des données comme recouvrant de façon informelle un ensemble plus vaste de données dont le traitement peut être considéré comme particulièrement préjudiciable aux personnes concernées.

Outre les catégories particulières de données de l’article 9, les données relatives aux condamnations pénales et aux infractions (article 10), mais aussi les données de télécommunication ou les identifiants uniques peuvent aussi faire l’objet de mesures de protection spécifiques, dans le contexte du RGPD ou de la directive ePrivacy.

La nomination d’un DPO, la tenue d’un registre des traitements et la réalisation d’analyses d’impact visent ainsi tant les catégories particulières de données de l’article 9 que les données judiciaires de l’article 10 du RGPD (en cas de traitement à grande échelle de ces données).

Afin d’éviter tout malentendu, il est recommandé d’utiliser les termes du RGPD et de se référer soit aux catégories particulières de données telles que prévues à l’article 9, soit aux autres dispositions du RGPD qui protègent d’autres données spécifiques, et d’identifier ainsi clairement les principes applicables.

Au sein même des catégories particulières de données, déterminer ce qui relève du champ d’application du RGPD relève parfois de la gageure.

Ainsi, si les résultats d’une analyse médicale tombent sans discussion dans la catégorie des données de santé, d’autres informations moins évidentes pourraient aussi s’y retrouver, indépendantes du cadre des professionnels de la santé et des parcours de soin.

On pense par exemple aux données enregistrées par une montre connectée, analysant la fréquence cardiaque ou de possibles troubles du sommeil.

De telles données transmises et analysées en ligne par un tiers se trouvent ainsi soumises au cadre strict de l’article 9 du RGPD.

Il en va différemment si les informations restent stockées dans le terminal de l’utilisateur et ne sont accessibles qu’à lui seul.

Outre la nature des données, l’élément déterminant est le contexte dans lequel ces données vont être traitées, et les informations qui en seront déduites.

Ainsi, une photo peut révéler la couleur de la peau de la personne photographiée, et constituer également une donnée biométrique.

Un nom de famille peut être utilisé pour en déduire, avec un certain degré de probabilité, l’origine ethnique de la personne concernée.

Ces données « brutes » ne sont pas pour autant des catégories particulières de données.

En fonction des finalités pour lesquelles elles seront traitées, elles pourront le devenir.

Un fichier classant les personnes recensées via leur nom en fonction de leur probable origine ethnique sera interdit (sauf exception reprise à l’article 9 du RGPD), même si l’exactitude des déductions n’est pas garantie.

De la même façon, le RGPD précise que « le traitement des photographies ne devrait pas systématiquement être considéré́ comme constituant un traitement de catégories particulières de données à caractère personnel, étant donné que celles-ci ne relèvent de la définition de données biométriques que lorsqu’elles sont traitées selon un mode technique spécifique permettant l’identification ou l’authentification unique d’une personne physique. »

Le champ d’application des dispositions concernant les catégories particulières de données est donc à la fois large, et sujet à interprétation en fonction du contexte du traitement.

Dans le doute, le caractère discriminant de cette information et de la finalité poursuivie sont des éléments d’appréciation utiles.

Et aussi

France :

Le Conseil d’Etat a considéré le 30 décembre dernier comme non fondé le recours de la Quadrature du Net et d’autres requérants à l’encontre d’un décret du 27 mars 2020 concernant la base de données DataJust.

Cette base de données prévoit le traitement de données judiciaires incluant des données sensibles à l’aide d’un algorithme, afin de faciliter l’évaluation des indemnités en matière de responsabilité civile et administrative.

Le Conseil d’Etat a en outre rejeté, ce 28 janvier, le recours de Google LLC et Google Ireland Limited contre la décision de la CNIL qui avait imposé à la société une amende de 100 millions d’euros en décembre 2020 pour utilisation illégale de cookies.

Cette décision confirme la compétence de la CNIL à prendre ce type de sanctions à l’encontre de sociétés établies dans d’autres pays européens, et confirme le caractère proportionné des sanctions.

Le Journal officiel du 26 décembre 2021 a publié un arrêté autorisant la création d’un fichier destiné à lutter contre les rançongiciels, et dénommé « MISP-PJ ».

Ce fichier conservera pendant six ans les données des personnes victimes d’attaques informatiques ainsi que les informations techniques concernant l’attaque et son auteur.

La Cour de cassation a considéré dans un arrêt du 10 novembre dernier qu’une preuve obtenue en violation du droit à la vie privée d’un employé, peut néanmoins être retenue en justice.

Même si le traitement qui prévoyait le contrôle des employés à leur insu est illicite, il appartient au juge de mettre en balance le droit de la preuve et les droits du salarié et de vérifier au cas par cas si le caractère équitable de la procédure est respecté.

Europe :

Google Analytics est dans le collimateur de plusieurs autorités de protection des données :

• L’Autriche vient de considérer que son utilisation ne respecte pas le prescrit du RGPD en matière de flux transfrontières de données, tel que précisé par la Cour européenne de justice dans son arrêt Schrems II.
• Le Contrôleur européen de la protection des données a sur cette même base sanctionné le Parlement européen, pour transfert illégal de données vers les Etats-Unis.
• Les Pays-Bas, qui traitent deux plaintes concernant Google Analytics, mettent en garde quant à la possible illégalité de son utilisation, et la Norvège indique ce 26 janvier qu’elle se saisit également de la question.

La question des transferts vers les Etats-Unis est également au cœur de la décision de la Cour du Land de Münich du 20 janvier : lorsqu’un utilisateur télécharge les polices de caractères de Google (Google fonts), son adresse IP est automatiquement transmise aux Etats-Unis.

La cour considère ce transfert illégal et a accordé un dédommagement de 100€ au plaignant.

Le Contrôleur européen s’est prononcé le 20 janvier sur un Projet de réglementation de la publicité à visée politique.

Il recommande dans son avis l’interdiction totale du micro-ciblage en matière de marketing politique, qui vise à influencer des groupes précis d’électeurs en fonction de leur profil en ligne.

Il prône également des restrictions quant aux catégories de données pouvant être utilisées à de telles fins de marketing.

Le 27 janvier, la Commission européenne et le réseau des autorités nationales de protection des consommateurs ont envoyé à WhatsApp un courrier sommant la société d’informer plus clairement les utilisateurs des conditions d’utilisation de leurs données.

Il est demandé à la société de préciser les changements opérés à ses conditions générales, à sa politique de protection des données, et de se mettre en conformité avec le droit européen.

L’Institut Européen d’Innovation et de Technologie (EIT) a publié le 20 janvier un outil destiné à favoriser l’utilisation de l’intelligence artificielle par les entreprises européennes.

L’ « artificial intelligence maturity tool » doit permettre aux entreprises d’évaluer leur degré de préparation à l’utilisation de l’IA, dans le respect du cadre légal européen.

Le 15 décembre 2021, la Commission européenne a lancé un projet de consortium visant à soutenir le développement des technologies de nouvelle génération.

Baptisé « European Alliance for Industrial Data, Edge and Cloud », le consortium prend le relais du projet Gaia-X, et s’ouvre également aux entreprises étrangères à condition qu’elles se conforment aux exigences européennes en matière de sécurité (propriété intellectuelle, approvisionnement, information) et aux objectifs clés de l’Union européenne dans ce domaine.

Le Comité européen de protection des données a adopté lors de sa séance plénière du 18 janvier des lignes directrices concernant le droit d’accès des personnes à leurs données.

Pour répondre aux demandes d’une interprétation uniforme des règles concernant l’utilisation des cookies, le Comité annonce la création d’un groupe de travail sur le sujet.

La Cour de justice de l’Union européenne a considéré dans son arrêt du 25 novembre dernier que, dans le cadre d’un service de messagerie gratuit financé par la publicité, une telle publicité s’affichant automatiquement dans une boite de réception électronique peut être assimilée à un courriel de prospection, et est donc soumise à la condition de consentement préalable de l’utilisateur tel que prévue dans la Directive européenne ePrivacy.

L’autorité italienne de protection des données a imposé plusieurs mesures correctrices et une amende de plus de 26 000 euros à la société Enel Energia pour traitement illégal des données de millions d’utilisateurs à des fins de telemarketing.

L’autorité norvégienne de protection des données a sanctionné l’administration des routes publiques à hauteur de 400 000 euros pour conservation abusive des données concernant les passages de péages.

Au Portugal, l’autorité de protection des données a infligé à la ville de Lisbonne une amende de 1 250 000 euros pour avoir partagé les données personnelles et sensibles de manifestants avec des tiers, dont les ambassades et ministères des affaires étrangères des pays visés par les manifestants.

La plus haute juridiction administrative de Bavière a considéré que l’obligation pour les étudiants non vaccinés de présenter un certificat de test négatif au covid ou de se soumettre à un test sur place est justifiée par l’article 9(2)(i) du RGPD, qui permet le traitement de données sensibles pour des raisons d’intérêt public relatives à la santé.

International :

La conférence des autorités allemandes de protection des données a publié un rapport daté du 15 novembre dernier reprenant les conclusions d’une analyse effectuée par S.I. Vladeck sur le cadre légal des mesures de surveillance aux États-Unis.

On y trouve des informations utiles sur les conditions d’application du droit américain aux sociétés et filiales européennes. 

Toujours aux États-Unis, quatre procureurs généraux accusent Google de tromper ses utilisateurs, en continuer à pister ceux d’entre eux qui ont modifié les préférences de suivi et refusé la collecte de leurs données.

Les actions en justice ont été initiées par les Etats du Texas, de Washington, de l’Indiana, et par le District de Columbia.

Anne Christine Lacoste

Partenaire du Cabinet Olivier Weber Avocat, Anne Christine Lacoste est juriste spécialisée en droit des données ; elle a été Responsable Relations Internationales auprès Contrôleur Européen de la Protection des Données et œuvré à la mise en place du RGPD dans l’Union Européenne.