Les actualités RGPD du 1er semestre 2022


La Commission Nationale de l’Informatique et des Libertés de France (ci-après « CNIL ») opère, chaque année, des contrôles tournés vers des problématiques ciblées. Dans un communiqué publié le 15 février 2022, elle a fixé ses priorités de contrôle autour de la prospection commerciale, des outils de surveillance dans le cadre du télétravail et des services de cloud.

 

Par ailleurs, la Commission a également publié son nouveau plan stratégique pour les années 2022-2024, son action sera tournée vers la maîtrise et le respect des droits des personnes sur le terrain, la promotion du Règlement Général sur la Protection des Données (ci-après « RGPD ») et les actions de régulation ciblées sur des sujets à fort enjeu pour la vie privée.

 

Au sein de cet article, nous allons revenir sur les actualités marquantes liées au RGPD.

 

Si vous êtes déjà familier avec le RGPD et souhaitez un résumé rapide de ces actualités, nous vous encourageons à télécharger notre tableau récapitulatif. Il contient toute les informations essentielles de ce premier semestre 2022 !

L'actualité sur le transfert de données

Le cadre transatlantique de protection des données personnelles entre la Commission européenne et les Etats-Unis

Le cadre transatlantique a pour objectif de garantir la protection de la vie privée et des droits et libertés des personnes. Le Comité Européen de la Protection des Données (ci-après « CEPD ») qui, pour rappel, est le garant de l’application cohérente du RGPD, a affirmé que cela constitue une protection de la vie privée des ressortissants de l’espace économique européen.

 

Toutefois, ces engagements sont insuffisants pour permettre un cadre juridique sécurisé concernant le transfert de données vers les Etats-Unis.

 

En conséquence, les exportateurs restent soumis à la décision SCHREMS II du 16 juillet 2020 qui a invalidé le régime de transferts de données entre l’Union européenne et les Etats-Unis.

La nouvelle mise à jour du référentiel "SecNumCloud" par la CNIL

Le SecNumCloud est le référentiel de sécurité proposé en 2016 par l’Agence Nationale de la Sécurité des Systèmes d’Information (ci-après « ANSSI »).

 

La finalité poursuivie est de promouvoir, enrichir et améliorer l’offre de prestataires de confiance. Ce référentiel est à destination d’entités publiques ou privées qui ont pour projet d’externaliser l’hébergement de leurs données, applications ou systèmes d’informations.

 

En d’autres termes, si un opérateur est homologué « SecNumCloud », cela signifie qu’il garantit sa conformité aux exigences de sécurité du référentiel.

 

La CNIL a mis à jour ce référentiel renforçant ainsi les garanties en matière de protection des législations non-européennes à portée extraterritoriale. Toute incompatibilité avec le RGPD sera donc écartée.

 

Ainsi, cette actualisation permet de garantir un haut niveau de protection des données personnelles.

L'actualité sur l'utilisation des cookies

Le 28 janvier dernier, le Conseil d’Etat a validé la décision du 7 décembre 2020 qui a prononcé une sanction de 60 millions d’euros à l’encontre de GOOGLE LLC et de 40 millions d’euros à l’encontre de GOOGLE IRELAND LIMITED.

 

Il leur est reproché d’avoir déposé des cookies publicitaires sur les ordinateurs d’utilisateurs du moteur de recherche google.fr sans consentement préalable ni information satisfaisante.

 

Pour rappel, l’article 5(3) de la directive 2002/58/CE modifiée en 2009, pose le principe de consentement préalable de l’utilisateur avant le stockage d’informations sur son terminal ou l’accès à des informations déjà stockées sur celui-ci.

 

Par ailleurs, le consentement doit être libre, spécifique, éclairé, univoque et l’utilisateur doit être en mesure de le retirer, à tout moment, avec la même simplicité qu’il l’a accordé.

 

Bien qu’à travers cette décision le Conseil d’Etat affiche un renforcement dans sa lutte contre les cookies illégaux, il reste à se demander si le montant de la sanction est réellement dissuasif au regard du chiffre d’affaires réalisé par les entreprises contrôlées.

L'actualité sur la conservation des données de connexion

A l’occasion d’une décision rendue le 5 avril 2022, la Cour de Justice de l’Union Européenne (ci-après « CJUE ») s’est à nouveau interrogée sur la légalité de la conservation généralisée et indifférenciée des données de trafic et de localisation.

 

La Cour confirme que :

  • « le droit de l’Union s’oppose à une conservation généralisée et indifférenciée des données relatives au trafic et à la localisation afférentes aux communications électroniques aux fins de la lutte contre les infractions graves. »

 

Les données peuvent être conservées à des fins de lutte contre les infractions pénales à condition qu’elles soient :

  • « nécessaires appropriées et proportionnées, au sein d’une lutte démocratique ».

 

La CJUE affirme que seul l’objectif de sauvegarde de la sécurité nationale permet de déroger à ce principe.

 

Toutefois, l’Etat membre concerné doit non seulement faire face à une menace grave, réelle et actuelle ou prévisible, mais en plus un contrôle effectif doit être mis en place en amont par une juridiction ou une entité administrative indépendante pour valider, par une décision contraignante, que la menace répond bien aux caractéristiques énoncées et que les garanties appropriées ont bien été respectées.

 

En revanche, certaines mesures de conservations sont admises par la CJUE en vue de lutter contre les infractions graves comme énoncé dans sa jurisprudence « La Quadrature du Net » du 6 octobre 2020.

 

Ainsi, le Droit de l’Union s’oppose à la conservation généralisée et indifférenciée des données de trafic et de localisation, sauf si elle est effectuée dans un objectif de sauvegarde de la sécurité nationale.

L'actualité sur la sanction du non-respect du RGPD : Les amendes administratives

Le CEPD a adopté, le 12 mai dernier, de nouvelles lignes directrices sur le calcul des amendes administratives dans le cadre du RGPD. L’objectif étant d’harmoniser les modes de calculs entre les différentes autorités nationales de contrôle.

 

La méthode de calcul se déroule en cinq étapes :

  1. Identifier les opérations de traitement concernées et déterminer s’il s’agit d’une ou de plusieurs infractions ;
  2. Se fonder sur un point de départ pour le calcul de l’amende ;
  3. Prendre en considération les éléments aggravants ou atténuants qui peuvent augmenter ou, au contraire, diminuer le montant de l’amende ;
  4. Fixer les plafonds légaux des amendes ;
  5. Examiner si le montant final de l’amende est efficace, dissuasive et proportionnelle.

 

Le montant d’une amende administrative peut s’élever jusqu’à 4% du chiffre d’affaires.

 

En conséquence, la méthode des amendes administratives est désormais harmonisée grâce à une méthode de calcul unique.

L'actualité sur la cybersécurité

Le Conseil de l’Union Européenne et le Parlement européen ont proposé une modification de la directive sur la sécurité des réseaux et des systèmes d’information (directive dite « NIS », transposée en France en 2018). Avant d’être appliquée, la directive doit être définitivement adoptée par ces deux organes européens.

 

Dès la publication au journal officiel de l’Union Européenne, les Etats membres auront vingt-et-un mois pour transposer les dispositions de la directive modifiée sur leur territoire respectif.

 

Parmi les nouveautés majeures, on retrouve les points suivants :

  • Une mise à jour de la liste des secteurs et des activités encadrées par la directive ;
  • La fixation d’une règle et d’un plafond pour qualifier les opérateurs de services essentiels ;
  • Une rationalisation des obligations en matière de signalement ;
  • Des voies de recours et des sanctions pour assurer la bonne mise en œuvre de la directive.

Introduction du mécanisme de recours représentatif sans mandat

Dans un arrêt du 28 avril 2022, Meta platforms Ireland Limited c/ Union fédérale allemande des centrales et associations de consommateurs, la CJUE a admis le mécanisme de recours représentatif sans mandat.

 

En l’occurrence, l’Union fédérale allemande a la qualité pour agir au sens du RGPD puisqu’elle poursuit bien un objectif d’intérêt public en assurant la défense des droits des consommateurs.

 

Désormais, les associations de défense des intérêts des consommateurs peuvent introduire une action en justice à l’encontre de l’auteur présumé d’une atteinte à la protection des données à caractère personnel.

Création d'un moyen d'identification numérique

L’Authentification en Ligne Certifiée sur Mobile (ci-après « ALICEM ») est un service utilisant le système de reconnaissance faciale pour permettre l’authentification d’une identité par voie numérique et de manière sécurisée. Ce service, développé par le gouvernement, a pour but de faciliter la connexion vers tous les sites de services publics, tel est le cas, par exemple, pour le site des impôts.

 

Toutefois, le décret n° 2022-676 du 26 avril 2022 a créé un moyen d’identification électronique dénommé « Service de Garantie de l’Identité Numérique » (ci-après « SGIN »). Ce nouveau moyen d’identification remplace le service ALICEM.

 

Cette carte nationale d’identité comportera un composant numérique et permettra de s’identifier auprès d’organismes privés et publics, à l’aide d’un smartphone.

 

Le décret autorise le traitement de plusieurs données parmi lesquelles :

  • L’identification de la personne ;
  • L’identification du titre de la personne ;
  • L’accès à l’historique des transactions réalisées par la personne.

 

Ainsi, le SGIN est un nouveau moyen d’identification électronique remplaçant, de ce fait, l’application ALICEM.

L'Actualité sur le traitement des données personnelles

Le droit d'accès aux données personnelles

Sur le fondement d’un projet de lignes directrices, le CEPD a précisé l’étendu du droit d’accès et sa mise en œuvre. Il énonce que le droit d’accès comprend trois éléments :

  • La confirmation que les données sont effectivement traitées ;
  • L’accès à ces données personnelles ;
  • L’accès aux informations relatives au traitement.

 

Par ailleurs, l’information doit être adaptée à la situation de la personne.

 

Le responsable doit permettre l’accès à l’ensemble des informations identifiant ou permettant directement ou indirectement d’identifier la personne concernée.

 

Le responsable de traitement a donc pour mission d’identifier les données personnelles concernées par la demande en recherchant à la fois dans les systèmes informatiques et les systèmes d’archivage non-informatiques.

 

Afin de faciliter l’accès, le responsable peut mettre en place un accès autonome aux personnes dont les données sont collectées. Le responsable de traitement peut aussi demander à la personne de spécifier sa demande afin de savoir à quelles données elle souhaiterait avoir accès.

 

Une copie de l’ensemble des données doit être transmise à la personne concernée. Les données peuvent également être transmises par voie orale, sur place ou par courrier électronique. Le responsable de traitement doit répondre dans les meilleurs délais allant jusqu’au maximum un délai d’un mois.

 

Le droit d’accès est limité si les demandes sont excessives ou manifestement infondées. Pour vérifier si une demande est excessive, le responsable de traitement doit étudier si un délai raisonnable s’est écoulé entre les diverses demandes effectuées.

 

Le délai raisonnable est à considérer au regard des éléments suivants :

  • De la fréquence à laquelle les données sont modifiées ;
  • De la nature des données, des finalités du traitement ;
  • Et de savoir si les demandes ultérieures concernent le même type d’informations ou d’activités de traitement ou des activités différentes.

Le droit d'accès et d'effacement

L’Autorité de protection des données néerlandaise a condamné, le 24 février dernier, le DPG Media Magazines, un groupe de médias, à une amende de 525.000 euros en raison de son entrave au droit d’accès et d’effacement des personnes concernées.

 

Pour rappel, le droit d’accès permet de connaître quelles informations les administrations, les organismes publics ou privés et les sociétés commerciales détiennent sur vous dans leurs fichiers. Le droit à l’effacement vous confère le droit de demander à un organisme l’effacement de données à caractère personnel vous concernant.

 

Or, pour toute demande, le groupe de Médias demandait nécessairement la copie de pièces d’identité. Le principe de minimisation prévoit que les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées, en l’espèce, tel n’était pas le cas.

 

En conséquence, l’Autorité a affirmé qu’elle avait « collecté trop de données personnelles ».

 

Il apparaît évident que le droit d’accès et d’effacement sont des problématiques auxquelles les autorités semblent attacher une certaine importance, d’une part en précisant la notion, et d’autre part, en infligeant des sanctions sur ce fondement.

Sanction d'une société pour manquement de coopération

Par une décision rendue le 24 février 2022, l’Autorité de la protection des données polonaise a sanctionné une société pour son manque de coopération.

 

En effet, l’Autorité a formulé quatre questions, et cette dernière ne s’est bornée à répondre qu’à une seule d’entre elles. L’Autorité a clairement affirmé que le fait de ne pas « fournir les explications nécessaires au traitement du dossier constitue une violation d’accès à l’information de l’autorité de contrôle ». En conséquence, la société a été frappée d’une amende de 4.000 euros.

 

A travers cette décision, l’Autorité a mis en garde les autres sociétés quant à l’importance de la coopération.



Chez PLR Avocats, nous nous efforçons de tenir une veille juridique régulière pour nos clients concernant l'évolution et le respect des règles en matière de protection des données personnelles.

 

Nous accompagnons les entreprises dans leur mise en conformité avec le RGPD afin que celle-ci soit pleinement efficace et opposable à la CNIL.

 

PLR Avocats prend également en charge les missions du DPO.

 

Pour nous contacter, c'est ICI !


Articles similaires