11
juin
2024
« Cookie walls » : le CEPD apporte sa pierre à l’édifice
Le 17 avril 2024, le Comité Européen de Protection des Données (CEPD) a publié un rapport circonstancié s’agissant de la pratique croissante des « cookie walls », et plus particulièrement des « pay walls » utilisant le modèle « consentir ou payer ».1
Les « cookie walls » : une technique de monétisation des sites web et des plateformes.
Nous avons tous déjà été confrontés à ce choix cornélien en naviguant sur des sites d’actualités et autres médias en ligne : accepter des cookies de publicité comportementale ou souscrire un abonnement contre une somme plus ou moins modique.
Cette pratique s’est largement développée afin d’obtenir plus aisément le consentement aux cookies publicitaires de la part d’internautes désormais très accoutumés à la gratuité de contenus informationnels et récréatifs.
Ainsi, si les internautes disposent toujours de la possibilité de refuser ce type de cookies, l’alternative qui leur est proposée pourront les inciter à y consentir.
Le 19 juin 2020, le Conseil d’état s’est opposé à une interdiction générale des « cookies walls », optant pour une appréciation au cas par cas en fonction, notamment, de l’existence d’une alternative satisfaisante en cas de refus des cookies.2
Le 16 mai 2022, la CNIL a également eu l’occasion de se prononcer sur cette pratique, en posant certains critères d’appréciation.3
Ainsi, la Commission considère que l’internaute doit disposer d’une alternative réelle et équitable, afin de disposer d’un véritable choix au consentement des cookies.
S’agissant des « pay walls », l’existence d’un réel choix sera appréciée en fonction du tarif proposé à titre d’alternative, qui devra être raisonnable selon une appréciation au cas par cas.
Ainsi, à ce jour, la pratique des « pay walls » reste par principe licite sous réserve de ne pas s’apparenter à un simple prétexte en vue d’imposer l’acceptation des cookies.
Pour la CEPD, les grandes plateformes devraient proposer davantage d’alternatives.
Le 17 avril 2024, le CEPD a à son tour abordé la légitimité des « pay walls » comme fondement du traitement des données personnelles, à l’occasion d’un rapport publié en réponse aux interrogations soulevées par les autorités néerlandaise, norvégienne et hambourgeoise de protection des données
Selon Madame Anu Talus, présidente du CEPD, « les responsables de traitement doivent veiller à tout moment à éviter de transformer le droit fondamental à la protection des données en une fonctionnalité dont les individus doivent payer pour bénéficier ».
Partant de ce postulat, le CEPD indique que l’offre payante ne devrait pas être le seul choix par défaut du consommateur.
En effet, il a précisé que les plateformes ne seraient, dans la majorité des cas, pas en adéquation avec les critères du consentement libre s’ils ne proposaient qu’un choix dichotomique entre consentement pour la publicité comportementale ou paiement d’un prix, même faible.
Le comité a donc encouragé la mise en place d’une troisième voie sans frais et sans publicité ciblée, comme la publicité contextuelle, définie en fonction du contexte dans lequel le contenu publicitaire est inséré et non par le traitement de données collectées par le biais de cookies et traceurs.
A ce stade, l’avis du CEPD ne porte que sur les grandes plateformes en ligne au sens du Règlement (UE) 2022/0265 (dit, « DSA ») et les contrôleurs d’accès au sens du Règlement (UE) 2022/1965 (dit « DMA »), mais il est d’ores et déjà prévu que le Comité élabore, à l’avenir, des lignes directrices plus générales sur la pratique des « pay walls ».
Ces différents avis permettent de tracer les fondements d’un cadre de conformité, dans l’attente d’une législation dédiée et / ou d’un positionnement de la Cour de Justice de l’Union européenne.
Contactez TAoMA pour obtenir des conseils personnalisés ici.
Besoin de vous former ou de former vos équipes aux bonnes pratiques sur le sujet ?
Découvrez les ateliers de TAoMA Academy en nous contactant ici.
Robin Antoniotti
Avocat
(1) “Opinion 08/2024 on Valid Consent in the Context of Consent or Pay Models Implemented by Large Online Platforms”
(2) Conseil d’état, 19 juin 2020, Décision n°434684
(3) “Cookie walls : la Cnil publie ses premiers critères d’évaluation”
07
mai
2024
Alerte RGPD et Publicité digitale : La CJUE encadre les enchères de données personnelles en masse
Author:
TAoMA
Le 7 mars 2024, la Cour de Justice de l’Union Européenne (ci-après « CJUE »), s’est prononcée dans l’affaire opposant IAB Europe et l’Autorité Belge de la protection des données (ci-après « APD »), concernant la vente aux enchères massive de données à caractère personnel.
Contexte
La vente aux enchères de données à caractères personnel en ligne instantanée et automatisée de profils d’utilisateurs, aussi appelée « Real Time Bidding » ou « RTB », est une forme de publicité qui permet la vente et l’achat d’espaces publicitaires.
Le système fonctionne de la manière suivante : lorsqu’un utilisateur consulte un site internet qui contient un espace publicitaire, les opérateurs publicitaires (annonceurs) enchérissent en temps réel, pour obtenir cet espace publicitaire, via l’OpenRTB, afin d’afficher des publicités ciblées et adaptées au profil de cet utilisateur.
Le consentement de l’utilisateur est préalablement recueilli lors de sa première connexion, via une plateforme de gestion du consentement, le Consent Management Platform (ci-après CMP). En effet, l’utilisateur peut :
1. donner son consentement en vue du traitement de ses données (localisation, âge, historique des recherches et achats récents) à des fins de marketing ou publicité ou en vue du partage de ses données avec certains fournisseurs ;
2. s’opposer à ces différents traitements.
IAB Europe, organisme de normalisation, a élaboré le Transparency & Consent Framework ou « TCF », un cadre réglementaire qui permet à tout acteur de l’Internet de traiter les données à caractère personnelle des utilisateurs conformément au Règlement Général sur la Protection des Données (ci-après « RGPD »).
Le TFC est censé favoriser le respect de la réglementation européenne lorsque les annonceurs utilisent le protocole OpenRTB, pour faire du Real Time Bidding.
Le TFC facilite l’enregistrement des préférences des utilisateurs au moyen de la CMP. Les données sont codées et stockées dans une chaine composée d’une combinaison de lettres ou de caractères appelée Transparency and Consent String (ci-après TC String). Un cookie est placé par le CMP sur l’appareil de l’utilisateur qui, combiné avec le TC String, peut être lié à l’adresse IP de l’utilisateur.
Les préférences des utilisateurs sont ensuite communiquées aux courtiers et plateformes publicitaires. La TC String facilite donc la vente de publicités ciblées.
Procédure
En 2019, plusieurs plaintes ont été dirigées contre IAB Europe portant sur la conformité du TFC au RGPD (qualité du consentement, défaut de mesures de sécurité, absence d’analyse d’impact, etc).
Après avoir examiné ces plaintes, l’Autorité Belge de la protection des données a jugé le 2 février 2022, que :
– IAB Europe agit qualité de responsable du traitement portant sur l’enregistrement des préférences de l’utilisateur au moyen de TC String, en ce qu’elle détermine les finalités et les moyens du traitement, la manière dont les TC Strings sont générées, modifiées et lues, de quelle façon et où les cookies nécessaires sont stockés, qui reçoit les données personnelles et sur la base de quels critères les délais de conservation des TC Strings peuvent être établies ;
– la TC String est une donnée à caractère personnel.
L’APD a notamment ordonné à IAB Europe de mettre en conformité le traitement effectué dans le cadre du TCF au RGPD et de payer une amende administrative de 250 000€. Cette dernière a formé un recours contre cette décision devant la Cour d’appel de Bruxelles, en faisant valoir que la TC String n’est pas une donnée à caractère personnel et que seuls les participants au TCF peuvent combiner la TC String avec l’adresse IP.
La Cour d’appel de Bruxelles a décidé de surseoir à statuer et a saisi la CJUE de deux questions préjudicielles :
– La TC String, combinée avec une adresse IP, constitue-t-elle une donnée à caractère personnel au sens du RGPD ?
– IAB Europe est-elle responsable conjoint du traitement au sens du RGPD ?’
Décision
Par une décision du 7 mars 2024, la ProcédureCJUE s’est prononcée sur les deux questions préjudicielles.
1. Lorsqu’on peut identifier indirectement une personne par des moyens raisonnables, il s’agit d’une donnée à caractère personnel soumise à la réglementation
La Cour rappelle que si la définition de donnée à caractère personnel est large, il faut faire une analyse concrète pour vérifier si un individu est ou non identifiable. Ici elle retient que la TC String est une donnée à caractère personnel dès lors qu’elle contient les préférences individuelles d’un utilisateur spécifique et qu’elle peut être associée, par des moyens raisonnables, à l’adresse IP de l’utilisateur. Ainsi, la TC String permet d’identifier indirectement la personne concernée, même si celui qui effectue le traitement ne détient pas tous les moyens de l’identification.
2. La responsabilité conjointe se déduit du fait qu’un acteur a déterminé ou influé sur la détermination des finalités du traitement
La Haute cour rappelle que le TFC vise à favoriser et à permettre la vente et l’achat d’espaces publicitaires sur Internet par les opérateurs qui participent à la vente aux enchères en ligne d’espaces publicitaires.
Elle rappelle que pour qu’il y ait responsabilité conjointe, il faut que l’acteur ait déterminé ou influé sur la détermination des finalités. Il n’est pas impératif que les responsables de traitement poursuivent les mêmes finalités, ni qu’ils prennent des décisions communes quant à la détermination des finalités, ni même qu’ils aient accès aux données pour lesquelles ils ont défini ou influé sur les finalités.
Elle estime que IAB Europe influe sur les opérations de traitement de données à caractère personnel en cause au principal et détermine, de ce fait, conjointement avec ses membres, les finalités de telles opérations. IAB Europe doit donc être considéré comme responsable conjoint du traitement.
Toutefois, elle considère logiquement que IAB Europe n’est pas responsable des traitements ultérieurs effectués par des tiers (fournisseurs de sites ou d’applications), pour ce qui concerne les préférences des utilisateurs aux fins de la publicité en ligne.
Désormais, il convient d’attendre que la Cour d’appel se prononce sur le fond et confirme ou non la décision de l’Autorité Belge de la protection des données.
Quelles sont les répercussions de cet arrêt sur les différents acteurs ?
Cet arrêt a une incidence positive pour les personnes concernées par ce type de traitements, puisque les rôles et obligations incombant à chaque acteur sont précisés. Ainsi, elles voient leurs droits à la protection des données renforcés.
Si la Cour d’appel de Bruxelles confirme la décision de la CJUE, IAB Europe, en qualité de responsable de traitement, devra respecter un certain nombre d’obligations, telles que par exemple la conclusion de contrats de responsabilité conjointe avec les opérateurs publicitaires (courtiers et fournisseurs) qui utilisent le TCF. Ces derniers seront donc solidairement responsables vis-à-vis utilisateurs.
Les éditeurs de sites Internet et opérateurs publicitaires devront également veiller à respecter le RGPD, pour les traitements de données qui les concernent, être attentifs aux outils et services qu’ils utilisent pour effectuer de la publicité ciblée.
Les acteurs de la publicité digitale seront sans doute aidés si la juridiction de renvoi belge caractérise l’influence réciproque des acteurs sur la détermination des finalités et des moyens de traitement sur la TC String.
Anne Messas
Avocate associée
Margaux Maarek
Juriste en Propriété industrielle
(1) CJUE, 7 mars 2024, IAB Europe contre Gegevensbeschermingsautoritei, aff. C-604/22 ;
20
février
2024
LE CEPD LANCE UN OUTIL D’AUDIT DE SITES WEB
Le 29 janvier 2024, le Comité Européen de la Protection des Données (ci-après « CEPD ») a annoncé le lancement d’un outil d’audit de conformité de sites web.
Le logiciel a été développé par un groupe d’experts (Support Pool of Experts), sous la supervision du secrétariat du CEPD. L’outil a rencontré un franc succès de la part des auditeurs des Autorités de la Protection des Données, qui ont testé l’outil lors d’un Bootcamp organisé par le Comité en juin dernier.
À qui est destiné l’outil ?
– Aux Autorités de Protection des Données nationales telles que l’INPI, pour faciliter le contrôle de l’application de la règlementation en vigueur ;
– Aux responsables de traitement et sous-traitants qui souhaitent tester la conformité de leurs propres sites ;
Quels sont ses avantages ?
– Simplicité d’utilisation pour les non-techniciens ;
– Évaluation/analyse du site audit (liste des cookies, degré de sécurisation du site, trackers, domaines, etc) ;
– Génération de rapports via l’outil ;
– Disponible en OpenSource et en version compilée pour Windows, Linux et Mac OS ;
– Compatible avec d’autres outils, tels que le collecteur de preuves du site Web du CEPD.
Comment accéder à ce nouvel outil ?
Le logiciel peut être téléchargé gratuitement en cliquant ici (uniquement en anglais).
Une deuxième version de l’outil avec de nouvelles fonctionnalités devrait voir le jour d’ici la fin d’année.
Margaux Maarek
Juriste
Sources : Communiqué du Comité Européen de la Protection des Données du 29 janvier 2024 : https://edpb.europa.eu/news/news/2024/edpb-launches-website-auditing-tool_en
25
janvier
2024
Dopage et RGPD : L’avocate générale de la CJUE arbitre en faveur de la divulgation des données à caractère personnel des sportifs
L’avocate générale de la CJUE a estimé qu’une autorité nationale antidopage peut légitimement publier sur Internet les données personnelles d’un athlète professionnel sans contrevenir au RGPD.
L’affaire concerne une coureuse de demi-fond autrichienne reconnue coupable de violations des règles antidopage en Autriche.
La Commission autrichienne de lutte contre le dopage a sanctionné la sportive en annulant tous ses résultats pendant la période incriminée, en révoquant ses droits de participation et primes potentiels, et en la suspendant de toute compétition sportive pendant quatre ans.
L’Agence indépendante de lutte contre le dopage autrichienne a ensuite publié les détails de cette sanction sur son site internet accessible au public, incluant le nom de la sportive, les violations des règles antidopage et la durée de sa suspension.
Lorsque la sportive a contesté cette publication devant la commission d’arbitrage, la question de la compatibilité de cette divulgation avec le respect du Règlement général sur la protection des données (RGPD) a été soulevée.
La commission d’arbitrage a donc saisi la Cour de justice de l’Union européenne (CJUE) d’une question préjudicielle à ce sujet.
Dans ses conclusions, l’avocate générale considère que le RGPD ne s’applique pas, dans la mesure où les règles antidopage relèvent plus de la sphère sociale et éducative du sport que de ses aspects économiques. A l’heure actuelle, il n’existe pas de dispositions européennes spécifiques concernant les politiques antidopage mises en place par les États membres. Ainsi, en l’absence de tout lien, même indirect, entre les politiques de lutte contre le dopage et le droit de l’Union, le RGPD n’est pas applicable à ces activités de traitement de données.
Si, toutefois, le RGPD était considéré comme applicable, l’avocate générale considère que la divulgation publique des sanctions est justifiée par l’objectif de prévention et d’information des acteurs concernés. En outre, elle estime que la publication en ligne constituait le seul moyen efficace pour répondre à l’obligation de divulgation généralisée imposée par la loi autrichienne.
Cette situation met en lumière les dilemmes inhérents à la recherche d’un juste équilibre entre la rigueur propre aux règlementations antidopage et le respect des dispositions relatives aux données à caractère personnel.
La Cour de justice de l’Union européenne doit désormais se prononcer et déterminer comment équilibrer ces enjeux.
Delphine Monfront
Avocate à la Cour
05
septembre
2023
Nouvelle décision d’adéquation concernant le transfert de données entre l’Union européenne et les États-Unis
Author:
TAoMA
La Commission européenne a adopté une nouvelle décision d’adéquation le 10 juillet 2023 relative au transfert de données personnelles entre l’Union Européenne et les Etats-Unis1.
Contexte
Cette décision intervient dans un contexte particulier aux termes duquel la Cour de Justice de l’Union européenne a invalidé par deux fois les accords passés entre les Etats-Unis et l’Union européenne relatifs à la protection des données personnelles (SAFE HARBOR2 et PRIVACY SHIELD3).
En réponse à ces invalidations, les Etats-Unis ont adopté en octobre dernier une nouvelle législation qui a été soumise à la Commission européenne pour validation.
Dans sa décision du 10 juillet 2023, cette dernière valide le Cadre de protection des données (ou « Data Privacy Framework ») mis en place par les Etats-Unis en considérant qu’il apporte un niveau de protection de données équivalent à celui de l’Union européenne4.
Les entreprises soumises au Règlement Général sur la Protection des Données (RGPD) pourront désormais plus facilement transférer des données personnelles vers des entreprises américaines.
Les conditions posées par le Cadre de protection des données
Pour bénéficier des avantages offerts par le Data Privacy Framework, les entreprises américaines devront respecter plusieurs obligations, telles que par exemple :
la suppression des données lorsqu’elles ne sont plus nécessaires pour la finalité recherchée ;
l’établissement d’un droit d’accès aux données personnelles au profit des personnes concernées leur permettant de s’assurer de leur exactitude, de les corriger, sinon d’exiger leur effacement si elles sont fausses ou ont été collectées en violation des principes de collecte.
La nouvelle législation prévoit en outre un système d’auto-certification par lequel les entreprises américaines s’engagent à respecter les principes posés par le cadre de protection des données et à renouveler annuellement et publiquement leur certification.
L’Agence pour le commerce international, relevant du Ministère américain du commerce, tient à jour une liste d’entreprises se conformant à ce nouveau cadre légal. Plusieurs informations y sont répertoriées pour faciliter les requêtes des consommateurs directement auprès des responsables des traitements.
Les nouvelles garanties apportées aux résidents européens par cette nouvelle législation
Le Cadre de protection des données apporte un niveau de protection plus important au bénéfice des personnes dont les données personnelles sont transférées.
En effet, les citoyens de l’Union européenne bénéficieront désormais de voies de recours contre les entreprises américaines pour s’assurer du respect de leurs droits, grâce à des “mécanismes indépendants de règlement des litiges et d’un panel spécial d’arbitrage”.
Il est également prévu que les services de renseignement américain ne pourront accéder aux données personnelles que si cela est nécessaire et proportionné.
Le transfert de données auprès de sociétés américaines facilité – ce que cette décision change
Dans ce cadre, les entreprises européennes souhaitant transférer des données personnelles vers les entreprises américaines certifiées n’ont désormais plus à prévoir de garanties appropriées exigées par l’article 46 du RGPD, telles que le recours à des clauses, contractuelles types.
Ainsi, avant tout transfert de données aux Etats-Unis, les entreprises européennes devront s’assurer que les sociétés américaines à qui elles transfèrent des données personnelles disposent d’une certification.
Si tel n’est pas le cas, il faudra alors mettre en place des garanties appropriées et notamment avoir recours à des clauses contractuelles types de transfert de données, élaborées par la Commission européenne.
Un accord sous haute surveillance
La Commission européenne surveillera le respect de ce “Privacy Shield 2.0” par les entreprises américaines, tandis que la Commission fédérale du commerce des États-Unis supervisera le cadre de protection.
À peine adopté, des acteurs de l’Union européenne, soucieux de la protection des données à caractère personnel, ont déjà fait part de leur volonté de contester en justice ce nouveau cadre légal, à l’instar de Noyb, organisation à but non lucratif cofondée par l’avocat autrichien Max Schrems5.
Reste à savoir quel sera le sort réservé à ce troisième cadre régissant le transfert des données entre les Etats-Unis et l’Union européenne.
Arthur Burger
Stagiaire juriste
Margaux Maarek
Juriste
(1) https://ec.europa.eu/commission/presscorner/detail/fr/ip_23_3721 et https://commission.europa.eu/system/files/2023-07/Adequacy%20decision%20EU-US%20Data%20Privacy%20Framework_en.pdf
(2 CJUE, 6 octobre 2015, C-362/14, Maximillian Schrems contre Data Protection Commissioner
(3) https://www.cnil.fr/fr/definition/privacy-shield et CJUE, 16 juillet 2020 C-311/18 Facebook Ireland et Schrems
(4) https://www.cnil.fr/fr/transferts-de-donnees-vers-les-etats-unis-la-commission-europeenne-adopte-une-nouvelle-decision
(5) https://noyb.eu/fr/european-commission-gives-eu-us-data-transfers-third-round-cjeu
29
août
2023
Anonymisation et liberté de la presse : Le droit à l’oubli numérique devant la Grande Chambre de la CEDH
Author:
TAoMA
En 1994, le quotidien belge Le Soir a publié un article relatant plusieurs accidents de voitures mortels survenus récemment, dont l’un causé par une personne sous l’emprise de l’alcool. Son nom complet figurait dans l’article. En 2008, cet article a été archivé numériquement sur le site internet du quotidien.
Condamné à une peine de prison avec sursis suite à cet accident puis ayant bénéficié d’une décision de réhabilitation, l’auteur de l’accident a demandé le retrait de l’article accessible en ligne au journal, car ses (potentiels) patients pouvaient y accéder en cherchant son nom sur les moteurs de recherche. Le quotidien a refusé cette suppression.
Face à ce refus, le demandeur a assigné l’éditeur du journal en justice au motif que cette information librement accessible présentait un risque pour la constitution et la conservation de sa patientèle. Le journal a été condamné civilement par les juridictions belges à anonymiser, au nom du droit à l’oubli et de l’article 8 de la Convention européenne des droits de l’Homme, l’article archivé.
Droit à l’oubli contre liberté d’expression et liberté de la presse
Contestant sa condamnation, l’éditeur du journal a alors saisi la Cour européenne des droits de l’Homme, en invoquant l’article 10 de la Convention qui protège la liberté d’expression et la liberté de la presse. Le requérant estimait que cette condamnation constituait “une ingérence qui n’était pas nécessaire dans une société démocratique”.
La Cour s’est prononcée le 04 juillet 20231 et constate que s’il y a bien une ingérence dans l’exercice des droits invoqués et protégés par l’article 10, les juridictions nationales ont procédé à une mise en balance des intérêts en présence. Ce faisant cette ingérence a été réduite au minimum en se résumant à une anonymisation de l’article “et peut passer pour nécessaire dans une société démocratique et proportionnée”.
La condamnation à anonymiser l’article ancien, dénué d’actualité, d’élément historique ou scientifique, et ne concernant pas une personne ayant une certaine notoriété, est ainsi la mesure la plus appropriée selon la Grande Chambre de la Cour. Elle vient préciser que cette notoriété doit s’apprécier au regard des circonstances de l’espèce en se plaçant à la date de la demande de droit à l’oubli. En l’espèce, le demandeur n’était aucunement connu, sa profession (médecin) était sans conséquence sur une possible notoriété, et l’affaire le concernant n’avait eu aucune résonance à l’époque des faits. Il s’était également écoulé plus de 20 ans entre la parution de l’article et la demande de retrait.
Le numérique a apporté la permanence de l’information accessible sur Internet
Au regard du temps écoulé, laisser l’article en accès libre avec le nom complet de l’auteur de l’accident contribuait à “créer un casier judiciaire virtuel”. Il y avait donc un risque de préjudice pour l’auteur de l’accident. Il suffisait de saisir son nom sur le moteur de recherche du site internet du journal pour que l’article apparaisse en première page (bien qu’en sixième position), en plus d’être référencé en tant que premier résultat sur Google. Par ailleurs, l’article archivé pouvait être consulté gratuitement.
Les acteurs de la presse doivent donc trouver un équilibre entre la création d’archives numériques, qui jouent un rôle dans la pérennisation de l’information, et le droit à l’oubli numérique qui, n’étant pas un droit autonome, se rattache à l’article 8 de la Convention et plus particulièrement au droit au respect de la réputation, et qui “ne peut concerner que certaines situations ou informations” selon la Cour. Ce peut être le cas des données sensibles (données de santé, orientation sexuelle…), pénales (tel qu’un casier judiciaire) ou relevant de la vie privée, si leur conservation n’apparait plus pertinente au regard du temps écoulé. Et ce en « l’absence d’actualité ou d’intérêt historique ou scientifique » de l’article de presse, ainsi qu’en l’absence de notoriété de la personne concernée.
Cette mise en balance des intérêts doit en outre inclure la question de l’accessibilité des archives, selon qu’elles soient mises en accès libre et gratuit ou restreintes sous la forme d’une consultation par abonnement. Et cela même si la consultation d’archives implique en principe une démarche positive de l’utilisateur souhaitant en prendre connaissance.
La Cour européenne des droits de l’Homme opère donc la mise en balance entre le droit à l’oubli numérique, qui relève du droit au respect de la vie privée et est à ce titre protégé par l’article 8 de la CEDH, et la préservation de l’intégrité des archives numériques de presse en vertu de la protection de la liberté d’expression.
Arthur Burger
Stagiaire juriste
Malaurie Pantalacci
Conseil en Propriété Industrielle associée
(1) https://hudoc.echr.coe.int/fre?i=001-225546
02
septembre
2022
Prospection commerciale et protection des données : la CNIL condamne ACCOR à une amende de 600 000 euros
Author:
TAoMA
Dans une délibération datée du 3 août 2022, la formation restreinte de la CNIL a prononcé la condamnation de la société ACCOR SA à une amende de 600.000 euros et à la publicité de la décision sur le site de la CNIL et de Légifrance pour non-conformité dans le cadre de la prospection.
Le combo interdit : case consentement pré-cochée par défaut, offres commerciales de partenaires, impossibilité d’exercer le droit d’opposition.
La société ACCOR est un groupe hôtelier qui réalise des traitements de données transfrontaliers.
On lui reproche son traitement des données de prospection, en effet, lorsqu’une personne procédait à une réservation auprès du personnel d’un hôtel ou via le site d’une des marques du groupe ACCOR, la case relative au consentement à recevoir la newsletter était pré-cochée par défaut et elle recevait automatiquement une newsletter comportant des offres commerciales de partenaires.
On lui reproche aussi des anomalies techniques, qui se sont reproduites pendant plusieurs semaines, qui ont empêché un nombre significatif de personnes de s’opposer efficacement à la réception des messages de prospection.
Comme souvent ce sont des plaintes de consommateurs mécontents qui sont à l’origine du contrôle de la CNIL.
La CNIL a reçu des plaintes, s’est posée chef de file et a collecté les plaintes reçues par les autorités de contrôle qui se sont manifestées dans le cadre de la procédure prévue à cet effet par le RGPD.
La CNIL a ensuite commencé le contrôle de la société ACCOR en février 2019 par des échanges de courriers, puis par un contrôle sur place, suivi d’un rapport détaillant les manquements à corriger.
Les manquements retenus sont relatifs aux règles de consentement, information, et exercice des droits dans le cadre de la prospection
La CNIL a retenu à l’encontre de la société ACCOR les manquements aux obligations suivantes :
l’obligation de recueillir le consentement de la personne concernée pour traiter ses données à des fins de prospection commerciale (article L. 34-5 du Code des postes et des communications électroniques).
l’obligation d’informer les personnes (art. 12 et 13 du RGPD) : la société ne fournissait pas aux personnes concernées, de manière accessible, les informations nécessaires lors de la création d’un compte client ou lors de l’adhésion au programme de fidélité du groupe ACCOR. La société ne mentionnait pas non plus le consentement comme base légale du traitement, pour la prospection tendant à promouvoir les produits ou services de tiers.
l’obligation de respecter le droit d’accès des personnes aux données les concernant (art. 12 et 15 du RGPD), puisque la société n’a pas donné suite aux demandes formulées par une plaignante dans les délais.
l’obligation de respecter le droit d’opposition des personnes concernées (art. 12 et 21 du RGPD), la société n’ayant pas pris en compte les demandes des plaignants visant à ce que plus aucun message de prospection commerciale ne leur soit adressé, en raison de dysfonctionnements.
l’obligation d’assurer la sécurité des données personnelles (art. 32 du RGPD), car la société permettait l’utilisation des mots de passe insuffisamment robustes. La CNIL reproche également à la société d’avoir invité une personne à transmettre sa pièce d’identité par courriel, sans que les données en cause ne soient chiffrées.
Comment éviter cela ?
=> Appliquer 2 règles en matière de prospection commerciale et attention à la portée de l’exception à la règle1.
1. Information préalable des personnes concernées
Mention d’information sur le traitement et sur les droits de la personne
Moyen simple de s’opposer (lien de désinscription – contact)
2. Consentement préalable des personnes concernées
Consentement libre, spécifique, éclairé et univoque
Interdiction des cases pré-cochées par défaut : il faut une action positive de la part de la personne concernée
case à cocher (décochée)
Exception si la situation remplit 2 conditions cumulatives :
La personne prospectée est déjà cliente* de la société
+
La prospection concerne des produits/services similaires fournis par la même entreprise
* Attention, cette exception s’applique uniquement si une vente ou prestation de service a été effectuée. Ainsi la création d’un compte ne s’entend pas comme une vente ou une prestation de service.
=> Mettre en œuvre une procédure d’exercice de droit bien comprise et applicable dans l’organisation
2 choses à savoir :
Les consommateurs sont sur-sollicités et agacés par la prospection et l’utilisation de leurs données
La plupart des contrôles de la CNIL sont suscités par des plaintes de personnes.
Partant de là, on ne dira jamais assez l’importance de permettre aux personnes d’exercer leurs droits d’une manière rapide et claire, ce qui leur permet d’être entendues et respectées et de désamorcer immédiatement un éventuel conflit.
Cela suppose d’avoir mis en place en interne une procédure de réponse aux demandes des personnes concernées qui soit claire, bien comprise et appliquée.
Donc… sensibilisez vos équipes!
La team TAoMA Data protection
Consultez-nous pour vous mettre en conformité ou pour organiser des ateliers de formation ou sensibilisation
Pour lire la décision de la CNIL c’est par ici.
20
mai
2021
GendNotes : halte aux transferts de données vers d’autres fichiers via le carnet virtuel de la gendarmerie !
Author:
teamtaomanews
Par décision du 13 avril 2021, le Conseil d’Etat annule partiellement le décret autorisant la mise en œuvre de l’application de collecte de données destinée à la gendarmerie dénommée GendNotes, en supprimant la possibilité de transferts des données recueillies dans le cadre de l’application vers d’autres fichiers.
Une application avec une zone de commentaires libres sujette à critiques
Afin de faciliter le travail des gendarmes sur le terrain et notamment le recueil et la conservation de données collectées lors de leurs interventions, le décret n°2020-151 du 20 février 2020 est venu implémenter chez la gendarmerie nationale une application dénommée GendNotes, permettant la prise de note dématérialisée.
Les données susceptibles d’être collectées via cette application concernent notamment l’identité des personnes et les données de procédure destinées à l’autorité judiciaire.
A priori, la collecte de ces données reste somme toute relativement classique : elle se borne aux nécessités de la procédure et ne paraît pas heurter de manière démesurée les droits et libertés de l’individu. Ce n’est donc pas sur ce point que la polémique autour de GendNotes a émergé, mais sur une partie du décret bien spécifique : la « zone de commentaires libres ».
Cette zone permet notamment aux gendarmes de renseigner des données relatives à la santé de la personne, à son origine raciale ou ethnique, à ses opinions politiques, philosophiques ou religieuses, à son appartenance syndicale ou encore à sa vie et son orientation sexuelle, soit des données particulièrement sensibles.
Un outil facilitant la transmission de comptes rendus aux autorités judiciaires et encadré par décret
Alors que ces cinquante dernières années ont été émaillées de controverses sur la question du fichage de la population – on se souvient par exemple des oppositions déclenchées par le projet SAFARI en 1974 ou encore par le fichier Edvige en 2008 – Gendnotes s’est également heurté à l’action de nombreuses associations voyant dans cette application un outil de « fichage politique ».
Le décret prévoyait pourtant un encadrement de la collecte des données, en précisant que « ne peuvent être enregistrées dans les zones de commentaires libres que les données et informations strictement nécessaires,adéquates et non excessives au regard des finalités poursuivies ».
A savoir :
La facilitation du recueil et de la conservation, en vue de leur exploitation dans d’autres traitements de données, notamment par le biais d’un système de pré-renseignement, des informations collectéespar les militaires de la gendarmerie nationale à l’occasion d’actions de prévention, d’investigations ou d’interventions nécessaires à l’exercice des missions de polices judiciaire et administrative.
La facilitation de la transmission de comptes rendus aux autorités judiciaires.
Le décret pose, par ailleurs, une protection supplémentaire en ne permettant la collecte des données personnelles visées par la loi de 1978 qu’en cas de « nécessité absolue » et « dans les limites des nécessités de la mission au titre de laquelle elles sont collectées ».
Enfin, la protection des données personnelles est renforcée par l’impossibilité de sélectionner une catégorie particulière de personnes à partir des informations tirées de la zone de commentaires libres. Impossible donc d’effectuer une recherche sur des critères de religion ou d’orientation sexuelle.
Des risques liés au transfert de données et à la durée de conservation pointés par plusieurs associations de défense des droits et libertés et la CNIL
Le cadre posé par le décret ne parvenait cependant pas à convaincre les représentants d’associations de défense des droits et libertés parmi lesquelles figurent, entre autres, la ligue des droits de l’homme, le syndicat de la magistrature, le conseil national de barreaux ou encore la quadrature du net, qui continuaient de pointer du doigt les dangers liés à GendNotes. Leurs principales critiques portaient sur le risque de transfert des données vers d’autres fichiers non énumérés par le décret et sur la question du délai maximal de conservation des données dans ces autres fichiers. En effet, si le décret prévoyait un temps de conservation sur GendNotes de 3 mois (porté jusqu’à un an maximum), rien n’était dit du délai de conservation sur les autres fichiers.
La question de l’alimentation par GendNotes d’autres fichiers avait déjà retenu l’attention de la CNIL (Commission Nationale de l’Informatique et des Libertés) dans son avis du 3 octobre 2019, alors qu’elle se prononçait sur le décret instituant GendNotes, encore à l’état de projet.
Elle avait considéré que les traitements pouvant être mis en relation ou faisant l’objet d’interconnexions avec GendNotes devraient être mentionnés explicitement par le décret.
Son avis, simplement consultatif, n’avait pas été suivi sur ce point par le gouvernement.
L’annulation par le Conseil d’Etat de la possibilité de transfert des données recueillies sur GendNotes vers d’autres fichiers
Dans une décision du 13 avril 2021, le Conseil d’Etat se prononce sur la légalité du décret à l’origine de GendNotes.
Il conclut à la conformité générale du texte à la loi informatique et libertés du 6 janvier 1978 (transposant au sein de son titre III la directive européenne 2016/680 du 27 avril 2016), mais annule toutefois la possibilité de diffusion des données collectées vers d’autres fichiers.
Le Conseil d’Etat juge que le décret n’indique pas avec suffisamment de précision les fichiers concernés par ces transferts, pas plus que le procédé selon lequel les données y seraient traitées, ainsi que l’objectif visé par ces fichiers dans le traitement des données.
La finalité du transfert n’étant pas « déterminée, explicite et légitime » selon les exigences de la loi informatique et libertés, le Conseil d’Etat supprime toute possibilité de transfert de données à partir de GendNotes.
Les autres dispositions du décret sont validées, notamment celles relatives à l’étendue des données collectées, à leur durée de conservation, aux personnes y ayant accès. De même le droit d’opposition limité des personnes dont les données sont entrées sur l’application, la collecte des données de personnes mineures ou encore la question de la sécurisation générale des données ne soulèvent pas de difficultés aux yeux du juge administratif.
Anne-Cécile Pasquet
Auditrice de justice
Anne Laporte
Avocate à la Cour
Abonnez-vous à la newsletter de TAoMA !
04
mars
2021
Éditeurs de sites => Mars 2021 : priorité cookies !
Author:
teamtaomanews
En octobre 2020, la Commission nationale de l’Informatique et des Libertés (CNIL) a publié de nouvelles lignes directrices ainsi qu’une recommandation concernant les obligations des entités déposant ou lisant des cookies sur les terminaux des internautes. Consciente des importants changements engendrés, elle a prévu une période d’adaptation de 6 mois pour permettre aux acteurs concernés de se mettre en conformité.
Cette période transitoire s’achèvera donc le 31 mars 2021, date à laquelle tous les sites devront être en conformité avec les nouvelles règles, sachant que la CNIL a déjà annoncé que leur respect ferait partie (avec la cybersécurité et la sécurité des données de santé) de ses thématiques prioritaires de contrôle pour l’année !
Concrètement, qu’est-ce que cela implique ?
La CNIL vérifiera, dès le mois d’avril, par le biais de contrôles qui pourront être réalisés en ligne, si les nouvelles règles concernant l’utilisation des cookies, y compris les nouvelles modalités de recueil du consentement, sont bien appliquées.
Quels sont les grands principes posés par la CNIL concernant les cookies ?
=> Une information claire et complète doit être fournie aux internautes concernant l’identité du ou des responsables de traitement des opérations de lecture ou écriture, les finalités des traceurs et les conséquences de leur refus ou acceptation ;
=> À part quelques exceptions (cookies destinés à garder en mémoire un panier d’achat, cookies permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu, etc.) le dépôt et la lecture de cookies sont soumis au consentement des internautes ;
=> Le consentement doit être recueilli par un acte clair comme une case à cocher sur une bannière (la poursuite de la navigation sur un site web ou le paramétrage du navigateur web ne valent pas, à ce jour, consentement) ;
=> Le consentement doit être aussi simple à retirer qu’à accorder ;
=> Les sites Internet utilisant des traceurs doivent être en mesure de fournir la preuve du recueillement du consentement à tout moment.
Avis aux retardataires : il n’est pas trop tard pour mettre en œuvre ces mesures d’ici la fin du mois !
Thibault FELIX
Stagiaire Pôle Avocat
Anita DELAAGE
Avocate à la Cour
Lire les communiqués de la CNIL :
https://www.cnil.fr/fr/cookies-la-cnil-incite-les-organismes-prives-et-publics-auditer-leurs-sites-web-et-applications
https://www.cnil.fr/fr/cybersecurite-donnees-de-sante-cookies-les-thematiques-prioritaires-de-controle-en-2021
Load more
Loading...