Veille Juridique n°49 – Juillet 2022

Analyser son audience pour mieux communiquer… quelles sont les règles ? Les médias et les réseaux sociaux permettent aujourd’hui aux entreprises d’analyser leur audience afin de mieux cibler leur public, soigner leur image et adapter leur stratégie marketing.

Il est ainsi possible, et de plus en plus fréquent, de faire appel à une entreprise de « social media monitoring » qui ratissera le web, suivra les conversations les plus pertinentes sur les réseaux sociaux et fournira à ses clients rapports et analyses adaptés à leurs besoins.

Bien que publiques, les données ainsi analysées sont souvent des données à caractère personnel qui restent protégées par le RGPD, qu’elles concernent des influenceurs, des journalistes ou d’autres personnes actives sur les réseaux sociaux.

Qui doit respecter ces obligations ?

Lorsqu’elle passe un contrat avec un partenaire externe pour évaluer la façon dont elle est perçue sur les réseaux sociaux, la société cliente est considérée comme responsable des données pour le service contracté, et la société de media monitoring sous-traitante.

Les implications sont importantes, car sa responsabilité est ainsi engagée quant à la façon dont les données des réseaux sociaux vont être collectées, traitées et conservées.

Il est ainsi conseillé de vérifier plusieurs éléments lors de la conclusion d’un tel contrat, afin de s’assurer que les pratiques de la société effectuant le « media monitoring » sont conformes au RGPD :

• Où l’entreprise est-elle établie ?

Si l’entreprise est établie en dehors de l’UE, il importe de vérifier le droit applicable, particulièrement si la société ne se trouve pas dans un pays offrant un niveau de protection adéquat.

Dans ce cas, elle devra utiliser des garanties spécifiques pour assurer la protection des données, le plus souvent des clauses contractuelles types.

• La société mentionne-t-elle le nom et les coordonnées de son DPO ?

• Publie t’elle sur son site internet sa politique de confidentialité en matière de protection des données, ou peut-elle la communiquer sur demande ?

Attention à distinguer ici la politique de protection des données concernant le site internet et la politique de traitement de données concernant les services de media monitoring.

• Les détails suivants figurent-ils dans ce document et/ou dans le contrat ?

• Rôles respectifs en tant que sous-traitant ou responsable de traitement, étendue des responsabilités de chacun ;

• Conditions de collecte des données personnelles, source des données, types de données collectées et lieu de stockage, manière dont ces données sont agrégées ou pseudonymisées le cas échéant ;

• Base juridique ;

• Durée de conservation des données ;

• Mesures de sécurité et de confidentialité ;

• Transfert des données en dehors de l’UE ;

• Information des personnes concernées et modalités d’exercice de leurs droits.

Il est préférable d’accorder sa confiance aux sociétés fournissant le plus grand niveau de détail quant à ces différents éléments.

Ceci ne dispense pas la société cliente de prendre elle-même des mesures complémentaires en tant que responsable de traitement.

En ce qui concerne en particulier l’information des personnes concernées, il peut être considéré qu’une information directe implique des efforts disproportionnés.

Une notice d’information peut, en revanche, être ajoutée à la politique de protection des données du site web, informant le public de façon générale quant aux analyses d’audience effectuées, précisant les différentes responsabilités et droits, et renvoyant au site du partenaire externe pour plus de détails.

Et aussi

France :

La CNIL a publié le 19 juillet sa position sur les caméras augmentées et appelle à une réflexion d’ensemble sur le juste usage de ces outils dans l’espace public.

La Commission pointe un risque de surveillance et d’analyse généralisée susceptible de modifier, en réaction, les comportements des personnes circulant dans la rue ou se rendant dans des magasins.

Elle rappelle que la loi française n’autorise pas l’usage par la puissance publique des caméras augmentées pour la détection et de poursuite d’infractions et estime qu’il est nécessaire de fixer des lignes rouges pour ne jamais utiliser ces caméras à des fins de « notation » des personnes.

Le 26 juillet, la CNIL a publié des recommandations concernant le contrôle de l’âge sur les sites web : elle invite à développer des solutions plus efficaces et respectueuses de la vie privée, en se référant à l’utilisation des cartes bancaires et de la reconnaissance faciale.

Elle soutient en outre le développement du rôle des tiers de confiance.

La CNIL a en outre prononcé le 21 juillet une sanction de 175 000 euros à l’encontre de la société Ubeeqo International, société de location de voitures, notamment pour avoir porté une atteinte disproportionnée à la vie privée de ses clients en les géolocalisant de manière quasi permanente.

Europe :

Les deux réglementations européennes en matière de marchés numériques et de services numériques (DMA et DSA) ont été adoptées par le Parlement européen le 5 juillet à une très large majorité.

Le DMA a également été définitivement approuvé par le Conseil en juillet, alors que le DSA devrait l’être en novembre.

La Commission envisagerait déjà la création d’une division spécialisée pour garantir le respect du DMA par les géants du numérique.

Le Comité européen de protection des données (EDPB) a répondu dans une lettre du 28 juillet adressée à plusieurs ONGs à la question de la collecte de données personnelles par TikTok.

Il y souligne les mesures rapides prises par les autorités de surveillance irlandaise, italienne et espagnole suite à l’annonce par TikTok de ne plus demander le consentement des utilisateurs pour envoyer des publicités personnalisées (la base légale devenant l’intérêt légitime de TikTok et de ses partenaires).

À la suite de ces actions, TikTok a annoncé qu’il suspendait ce changement de base juridique.

Le Comité a également pris position avec le Contrôleur européen de la protection des données (EDPS) sur la proposition de règlement visant à prévenir et à combattre les abus sexuels concernant des enfants.

La proposition vise à imposer à différents services web des obligations liées à la détection, au signalement, au retrait et au blocage du matériel concernant des abus sexuel d’enfants (CSAM) en ligne, ainsi qu’à la sollicitation d’enfants.

Tout en rappelant qu’elles considèrent ces crimes comme particulièrement graves et odieux, les autorités de contrôle notent que le caractère intrusif de la proposition, dans sa forme actuelle, peut présenter plus de risques pour les individus, et, par extension, pour la société dans son ensemble, que pour les criminels poursuivis par le CSAM.

L’EDPB et l’EDPS ont rendu leur avis sur la proposition de la Commission européenne concernant l’Espace européen des données de santé (EHDS).

La proposition vise à créer une « Union européenne de la santé » en utilisant « pleinement le potentiel offert par un échange, une utilisation et une réutilisation sûrs et sécurisés des données de santé ».

L’avis souligne en particulier les risques liés à l’utilisation secondaire des données de santé électroniques, qui peut générer des avantages pour le bien public, mais n’est pas sans risque pour les droits et libertés des individus.

L’EDPB a publié ce 12 juillet sa position sur les transferts vers la Russie.

Le Comité ne se prononce pas sur l’évolution du niveau de protection des données dans ce pays depuis le début de la guerre, mais rappelle que les transferts doivent faire l’objet d’une analyse d’impact au cas par cas.

La Cour de justice de l’Union européenne a publié ce 1er août un jugement important concernant la portée de la protection des données sensibles.

Le concept de « catégories spéciales » de données à caractère personnel doit être interprété de manière large, notamment pour garantir que l’objectif de l’art. 9(1) du RGPD est atteint.

La loi lituanienne en cause, concernant la prévention des conflits d’intérêt et de la corruption, exigeait la publication du nom du partenaire de l’agent public.

La Cour a estimé que cette information pouvait révéler des informations sur la vie ou l’orientation sexuelle de l’agent et de son partenaire.

En Norvège, l’autorité de protection des données a entamé une coopération avec les syndicats sur le suivi de la surveillance par caméra sur le lieu de travail.

Le Comité de recours de l’autorité a par ailleurs convenu qu’une société acquéreuse assume la responsabilité du responsable du traitement antérieur à l’acquisition, et a confirmé la décision de lui infliger une amende d’environ 12 000 € pour une notation de crédit illégale en violation de l’article 6(1) RGPD (via GDPRhub)

L’autorité de protection des données de Basse-Saxe a condamné la société Volkswagen à une amende d’un million d’euros pour violation de la protection des données dans le cadre de l’utilisation d’un véhicule test avec caméras destinées à améliorer les systèmes d’aide à la conduite et de prévention des accidents.

La voiture test circulait sans qu’il y ait une information visible sur le champ de surveillance des caméras.

L’APD danoise a réprimandé l’Autorité des données de santé pour avoir omis de tester sa base de données de médicaments afin de détecter les erreurs d’architecture de service, ce qui a conduit à une violation de données touchant 267 personnes (via GDPRhub).

L’APD a également infligé un blâme à la municipalité d’Helsingør pour avoir utilisé les Chromebooks de Google et « Google Workspace for Education » dans les écoles primaires.

Elle a interdit ce traitement jusqu’à ce qu’il soit mis en conformité avec le RGPD, et a suspendu tout transfert de données connexe vers les États-Unis (via GDPRhub).

Sur le même sujet, aux Pays-Bas, les étudiants et le personnel sont maintenant orientés pour leurs recherches sur Internet vers DuckDuckGo plutôt que vers Google Search.

L’autorité slovène de protection des données a requalifié un accord entre un fournisseur de services cloud et ses clients : elle a estimé qu’il n’y avait pas de relation responsable/sous-traitant mais bien des responsabilités partagées, car les deux parties prenaient des décisions sur les finalités et les moyens du traitement (via GDPRhub)

La Chambre des marchés publics du Bade-Wurtemberg note que le transfert de données personnelles vers un pays tiers (hors de l’UE) est inadmissible en vertu du RGPD, même si le serveur correspondant est exploité par une société basée dans l’UE, à partir du moment où celle-ci fait partie d’un groupe américain.

International :

L’ONG Data Rights et ses organisations partenaires kenyanes, la Commission des droits de l’homme du Kenya et le Forum des droits des Nubiens poursuivent IDEMIA, société française leader dans le domaine des technologies biométriques, devant le tribunal de Paris.

Ces organisations reprochent à IDEMIA de ne pas avoir pris en compte les droits de l’homme dans son plan de vigilance concernant la capture des données biométriques de la population pour le développement d’un système national d’identification numérique au Kenya.

Le Daily mail du 13 juillet évoque l’utilisation de l’intelligence artificielle par la Chine pour « améliorer » le fonctionnement de ses tribunaux : les ordinateurs corrigeraient les erreurs humaines perçues dans un verdict, obligeant les juges à soumettre une explication écrite à la machine s’ils ne sont pas d’accord avec les corrections de l’IA.

La Grande-Bretagne et les États-Unis commenceront à partager les données liées aux enquêtes des services répressifs en octobre, dans le cadre d’un l’accord CLOUD conclu entre les deux pays.

Anne Christine Lacoste

Partenaire du Cabinet Olivier Weber Avocat, Anne Christine Lacoste est juriste spécialisée en droit des données ; elle a été Responsable Relations Internationales auprès Contrôleur Européen de la Protection des Données et œuvré à la mise en place du RGPD dans l’Union Européenne.