20
mai
2021
GendNotes : halte aux transferts de données vers d’autres fichiers via le carnet virtuel de la gendarmerie !
Author:
teamtaomanews
Par décision du 13 avril 2021, le Conseil d’Etat annule partiellement le décret autorisant la mise en œuvre de l’application de collecte de données destinée à la gendarmerie dénommée GendNotes, en supprimant la possibilité de transferts des données recueillies dans le cadre de l’application vers d’autres fichiers.
Une application avec une zone de commentaires libres sujette à critiques
Afin de faciliter le travail des gendarmes sur le terrain et notamment le recueil et la conservation de données collectées lors de leurs interventions, le décret n°2020-151 du 20 février 2020 est venu implémenter chez la gendarmerie nationale une application dénommée GendNotes, permettant la prise de note dématérialisée.
Les données susceptibles d’être collectées via cette application concernent notamment l’identité des personnes et les données de procédure destinées à l’autorité judiciaire.
A priori, la collecte de ces données reste somme toute relativement classique : elle se borne aux nécessités de la procédure et ne paraît pas heurter de manière démesurée les droits et libertés de l’individu. Ce n’est donc pas sur ce point que la polémique autour de GendNotes a émergé, mais sur une partie du décret bien spécifique : la « zone de commentaires libres ».
Cette zone permet notamment aux gendarmes de renseigner des données relatives à la santé de la personne, à son origine raciale ou ethnique, à ses opinions politiques, philosophiques ou religieuses, à son appartenance syndicale ou encore à sa vie et son orientation sexuelle, soit des données particulièrement sensibles.
Un outil facilitant la transmission de comptes rendus aux autorités judiciaires et encadré par décret
Alors que ces cinquante dernières années ont été émaillées de controverses sur la question du fichage de la population – on se souvient par exemple des oppositions déclenchées par le projet SAFARI en 1974 ou encore par le fichier Edvige en 2008 – Gendnotes s’est également heurté à l’action de nombreuses associations voyant dans cette application un outil de « fichage politique ».
Le décret prévoyait pourtant un encadrement de la collecte des données, en précisant que « ne peuvent être enregistrées dans les zones de commentaires libres que les données et informations strictement nécessaires,adéquates et non excessives au regard des finalités poursuivies ».
A savoir :
La facilitation du recueil et de la conservation, en vue de leur exploitation dans d’autres traitements de données, notamment par le biais d’un système de pré-renseignement, des informations collectéespar les militaires de la gendarmerie nationale à l’occasion d’actions de prévention, d’investigations ou d’interventions nécessaires à l’exercice des missions de polices judiciaire et administrative.
La facilitation de la transmission de comptes rendus aux autorités judiciaires.
Le décret pose, par ailleurs, une protection supplémentaire en ne permettant la collecte des données personnelles visées par la loi de 1978 qu’en cas de « nécessité absolue » et « dans les limites des nécessités de la mission au titre de laquelle elles sont collectées ».
Enfin, la protection des données personnelles est renforcée par l’impossibilité de sélectionner une catégorie particulière de personnes à partir des informations tirées de la zone de commentaires libres. Impossible donc d’effectuer une recherche sur des critères de religion ou d’orientation sexuelle.
Des risques liés au transfert de données et à la durée de conservation pointés par plusieurs associations de défense des droits et libertés et la CNIL
Le cadre posé par le décret ne parvenait cependant pas à convaincre les représentants d’associations de défense des droits et libertés parmi lesquelles figurent, entre autres, la ligue des droits de l’homme, le syndicat de la magistrature, le conseil national de barreaux ou encore la quadrature du net, qui continuaient de pointer du doigt les dangers liés à GendNotes. Leurs principales critiques portaient sur le risque de transfert des données vers d’autres fichiers non énumérés par le décret et sur la question du délai maximal de conservation des données dans ces autres fichiers. En effet, si le décret prévoyait un temps de conservation sur GendNotes de 3 mois (porté jusqu’à un an maximum), rien n’était dit du délai de conservation sur les autres fichiers.
La question de l’alimentation par GendNotes d’autres fichiers avait déjà retenu l’attention de la CNIL (Commission Nationale de l’Informatique et des Libertés) dans son avis du 3 octobre 2019, alors qu’elle se prononçait sur le décret instituant GendNotes, encore à l’état de projet.
Elle avait considéré que les traitements pouvant être mis en relation ou faisant l’objet d’interconnexions avec GendNotes devraient être mentionnés explicitement par le décret.
Son avis, simplement consultatif, n’avait pas été suivi sur ce point par le gouvernement.
L’annulation par le Conseil d’Etat de la possibilité de transfert des données recueillies sur GendNotes vers d’autres fichiers
Dans une décision du 13 avril 2021, le Conseil d’Etat se prononce sur la légalité du décret à l’origine de GendNotes.
Il conclut à la conformité générale du texte à la loi informatique et libertés du 6 janvier 1978 (transposant au sein de son titre III la directive européenne 2016/680 du 27 avril 2016), mais annule toutefois la possibilité de diffusion des données collectées vers d’autres fichiers.
Le Conseil d’Etat juge que le décret n’indique pas avec suffisamment de précision les fichiers concernés par ces transferts, pas plus que le procédé selon lequel les données y seraient traitées, ainsi que l’objectif visé par ces fichiers dans le traitement des données.
La finalité du transfert n’étant pas « déterminée, explicite et légitime » selon les exigences de la loi informatique et libertés, le Conseil d’Etat supprime toute possibilité de transfert de données à partir de GendNotes.
Les autres dispositions du décret sont validées, notamment celles relatives à l’étendue des données collectées, à leur durée de conservation, aux personnes y ayant accès. De même le droit d’opposition limité des personnes dont les données sont entrées sur l’application, la collecte des données de personnes mineures ou encore la question de la sécurisation générale des données ne soulèvent pas de difficultés aux yeux du juge administratif.
Anne-Cécile Pasquet
Auditrice de justice
Anne Laporte
Avocate à la Cour
Abonnez-vous à la newsletter de TAoMA !
03
juillet
2020
« Cookiegate » : après la décision du Conseil d’État, où en sommes-nous ?
Author:
teamtaomanews
Edit : La CNIL a, suite à cette décision, modifié ses lignes directrices, précisant que la licéité des « cookie walls » doit s’apprécier au cas par cas et qu’en tout état de cause, l’information fournie à l’utilisateur devra clairement lui indiquer les conséquences de ses choix et notamment l’impossibilité d’accéder au contenu ou au service en l’absence de consentement
Cookies – « Cookie walls » – « Cookiegate » : De quoi parle-t-on ?
Il s’agit des cookies que la plupart d’entre nous acceptons mécaniquement parce que le bandeau barre la vue du site Internet. Ils sont destinés à suivre la navigation de l’internaute et à lui faciliter la visite mais, surtout, ils permettent aux éditeurs de proposer des publicités ciblées.
Le dépôt de cookies est un traitement de données personnelles pour lequel les éditeurs de sites doivent recueillir un consentement de l’internaute, clair, informé, spécifique et… libre.
Les éditeurs, en particulier de sites gratuits, considèrent les cookies comme indispensables à leur modèle économique, alors que l’association La Quadrature du Net les dénonce comme étant de la « surveillance publicitaire ».
L’expression « cookie walls » désigne le fait, pour un site internet ou une application mobile, de refuser d’afficher son contenu quand l’internaute n’accepte pas le dépôt de cookies.
C’est cette pratique que la CNIL a condamnée dans ses lignes directrices de juillet 2019 (ici) en se fondant sur l’avis du CEPD (Comité européen de la Protection des Données). L’idée est que si la conséquence du refus de cookies par l’internaute est le refus d’accès au contenu du site, le consentement donné manque singulièrement de liberté.
Enfin, le « Cookiegate », c’est la fronde que les éditeurs de sites Internet et professionnels des médias, de la publicité et du commerce en ligne, opposent à l’interdiction des cookie walls, au point d’avoir saisi le Conseil d’État aux fins d’annulation des lignes directrices de la CNIL.
Que dit le Conseil d’État dans sa décision du 19 juin 2020 ?
Il confirme l’essentiel des lignes directrices de la CNIL sur les points relatifs aux cookies et autres traceurs de connexion, mais il invalide spécifiquement la disposition prohibant de façon générale et absolue la pratique des « cookie walls ».
Cookies et traceurs : confirmation de la position de la CNIL
Dans les lignes directrices adoptées le 4 juillet 2019 – relatives à l’article 82 de la Loi « Informatiques et Libertés » qui transpose en droit français la directive 2002/58/CE « vie privée et communications électroniques » (dite « ePrivacy ») – la CNIL est venue renforcer les exigences en matière de validité du consentement et a formulé des recommandations qui sont confirmées par le Conseil d’État.
1/ Renforcement de l’exigence du consentement : acte positif, spécifique et indépendant pour chaque finalité
La simple poursuite de la navigation sur un site Internet ne peut plus être regardée comme une expression valide du consentement au dépôt de cookies. Il est nécessaire de mettre en place une action positive de l’internaute pour qu’il exprime son consentement.
Le consentement de l’utilisateur doit être précédé d’une information spécifique pour chacune des finalités poursuivies par le traitement de données. Cette information claire, complète et préalable, doit inclure notamment, l’identité du ou des responsables de traitement, ainsi que de la liste des destinataires ou des catégories de destinataires de ces données.
En ce sens, une liste exhaustive et régulièrement mise à jour des entités ayant recours à des traceurs, doit être mise à disposition de l’utilisateur directement lors du recueil de son consentement.
Dans cette lignée, le Conseil d’État, par une seconde décision du 19 juin 2020, rejette le recours dirigé contre la sanction de 50 millions d’euros infligée à Google par la CNIL (Conseil d’État, 19 juin 2020, Sanction infligée à Google par la CNIL). Le Conseil estime que le géant n’a pas délivré une information suffisamment claire et transparente aux utilisateurs du système d’exploitation Android et ne les a pas mis à même de donner un consentement libre et éclairé au traitement de leurs données personnelles aux fins de personnalisation des annonces publicitaires. Il juge par ailleurs que la sanction de 50 millions d’euros n’est pas disproportionnée.
2/ Preuve et retrait du consentement, durée des cookies
Le responsable de traitement doit être en mesure, à tout moment, de fournir la preuve du recueil valable du consentement de l’utilisateur.
Les utilisateurs doivent pouvoir aussi facilement refuser ou retirer leur consentement que le donner.
Les cookies et autres traceurs ne doivent pas avoir une durée de vie excédant 13 mois et les informations collectées par l’intermédiaire de ces traceurs ne doivent pas être conservées pendant une durée supérieure à 25 mois.
Les utilisateurs doivent être informés de l’existence et de la finalité des cookies et autres traceurs non soumis au consentement préalable.
L’annulation de la disposition relative aux « cookie walls »
Les requérantes ont reproché à la CNIL de faire une lecture erronée du RGPD. Pour elles, le visionnage d’annonces publicitaires est la contrepartie de l’accès à un contenu gratuit, ce qui doit autoriser les sites Internet à refuser d’afficher tout contenu en l’absence de consentement de l’internaute au dépôt de traceurs.
Qu’a répondu le Conseil d’État ?
Il importe d’être précis. Le Conseil d’État a reproché à la CNIL d’avoir tiré de la seule exigence d’un consentement libre, posée par le RGPD, une règle selon laquelle « la validité du consentement est soumise à la condition que la personne concernée ne subisse pas d’inconvénient majeur en cas d’absence ou de retrait de son consentement, un tel inconvénient majeur pouvant consister dans l’impossibilité d’accéder à un site Internet, en raison de la pratique des « cookie walls » :
« En déduisant pareille interdiction générale et absolue, la CNIL a excédé ce qu’elle peut légalement faire, dans le cadre d’un instrument de droit souple, édicté sur le fondement du 2° du I de l’article 8 de la loi du 6 janvier 1978 cité au point 3. Il s’ensuit que la délibération attaquée est, dans cette mesure, entachée d’illégalité. »
Le Conseil d’État condamne ainsi la CNIL à verser aux associations requérantes une somme globale de 3.000 euros.
Il est vrai qu’en théorie, les lignes directrices sont un instrument de droit souple, c’est-à-dire un acte ayant pour objectif d’influencer fortement les pratiques des opérateurs économiques, sans créer à leur charge ni droit ni obligation juridique.
S’il en résulte que la CNIL, dans des lignes directrices, ne peut interdire de manière générale et absolue la pratique des cookie walls, il n’est pas non plus dit que cette pratique est généralement autorisée. On peut, au contraire, envisager que les situations s’analyseront au cas par cas.
La CNIL a réagi par un communiqué (ici) précisant que « (…) le Conseil d’État a annulé la disposition des lignes directrices prohibant de façon générale et absolue la pratique des « cookie walls », en jugeant qu’une telle interdiction ne pouvait figurer dans un acte de droit souple. La CNIL prend acte de cette décision et ajustera en conséquence ses lignes directrices et sa future recommandation pour s’y conformer. »
Nous en saurons davantage à la rentrée car la CNIL envisage de faire connaître sa nouvelle recommandation en septembre 2020. Elle annonce aussi poursuivre le plan d’action cookies sur le ciblage publicitaire et maintient sa ligne de conduite tendant à « garantir aux internautes un plus haut degré de protection, le RGPD venant renforcer les exigences du consentement ».
Anne MESSAS
Avocate associée
Synthia TIENTCHEU TCHEUKO
Élève-avocate
Date et référence : Conseil d’État, 19 juin 2020, Lignes directrices de la Cnil relatives aux cookies et autres traceurs de connexion
Lire la décision sur le site du Conseil d’État