Numéro 33 // Mardi 24 mai 2022
|
|
|
|
RGPD, AN IV : REGARDS CROISÉS DE L’ÉTRANGER
|
|
|
|
Ce mois-ci, pour le quatrième anniversaire de l’entrée en application du RGPD, La Lettre du DPO a choisi d’interroger les experts de PANGEA NET, réseau international de cabinets d’avocats indépendants (dont klein • wenner). Ils livrent à la Lettre du DPO leur témoignage sur l’application pratique du RGPD et les grandes tendances qui se dessinent à ce sujet dans leur pays. Un grand merci à eux, et bonne lecture à tous !
Une actualité qui n’a pas faibli et qui, en France, a vu émerger de nouvelles préoccupations. Si l’on met de côté l’augmentation des condamnations prononcées par la CNIL (aux montants encore timides mais à l’accroissement bien réel), le millésime 2021-2022 a été marqué par le prolongement de la crise sanitaire qui a durablement installé la distanciation physique et le télétravail pour l’ensemble de la population. Celle-ci utilise désormais quotidiennement des outils numériques, tant dans l’univers professionnel que personnel. Ce changement d’échelle a amené les autorités à prendre conscience des incidences entraînées par l’usage exponentiel des services numériques sur la souveraineté des États, ainsi que sur l’environnement.
Une première tendance qui s’affirme : protéger la souveraineté numérique. Depuis l’invalidation du Privacy Shield en juillet 2020, le millésime 2021-2022 a été marqué par la volonté, des autorités, de fournir aux entreprises des solutions pratiques, notamment avec l’admission du Royaume-Uni et de la Corée du Sud parmi les pays bénéficiant d’une protection reconnue « d’un niveau adéquat » ou encore avec l’adoption de nouvelles clauses contractuelles type par la Commission européenne, même si les questions et les incertitudes restent nombreuses à ce sujet.
Une seconde tendance qui se dessine : réduire l’empreinte environnementale de la donnée. Sur ce sujet, aucune initiative législative significative n’a été encore prise en matière de données. Certes, la loi n° 2021-1485, du 15 novembre 2021, « visant à réduire l’empreinte environnementale du numérique en France » (JO 16 nov. 2021, texte n° 2) a été adoptée. Mais ce texte, qui prévoit essentiellement des dispositions sur l’éco-conception et le recyclage ainsi que sur la réparation des équipements numériques, en contient très peu visant à réduire le volume de consommation de données (probablement en raison de l’arrivée prochaine de la 5G - encouragée par les pouvoirs publics - qui amplifiera cette consommation). Pourtant, nombreuses sont les voix qui s’élèvent pour s’emparer du sujet, à commencer par la CNIL elle-même (« Données et environnement : comment prévenir les marées noires du XXIe siècle ? », 19/05/2021, LINC/Laboratoire d'Innovation Numérique de la CNIL). Par conséquent, il apparaît clair que le Président de la République française, réélu, pour son quinquennat s’ouvrant en 2022, devra s’attaquer à ce défi, peut-être en commençant par donner davantage de moyens à la justice pour faire appliquer le RGPD, car ce texte, en imposant une minimisation des données, se révèle être un puissant promoteur de l’écologie humaine et environnementale.
Bonne lecture !
Matthieu Bourgeois et Laurent Badiane, associés en charge du département Immatériel & Numérique
Pour vous abonner, cliquez ici
|
|
|
|
Témoignage des experts de PANGEA NET sur l’application pratique du RGPD et les grandes tendances qui se dessinent à ce sujet dans leur pays.
|
|
|
|
Pour lire l'intégralité des interviews de chacun des experts du réseau Pangea, veuillez cliquer ici.
|
|
|
|
En Autriche, les 12 derniers mois ont été dominés par des pénalités élevées et la décision relative à Google Analytics (D155.027).
Mises au point sur l'Autorité de protection des données et le niveau de conformité. L'autorité autrichienne de protection des données (AAPD) a augmenté ses effectifs de 13 employés et a mis en place une "task force" pour traiter les plaintes relatives aux cookies et aux « bandeaux cookies ». Il n'existe toutefois aucune évaluation officielle du niveau de conformité des entreprises autrichiennes.
Pénalités ou autres sanctions. Selon le rapport de l’autorité de protection autrichienne de 2021, des pénalités de près de 25 millions d'euros ont été imposées (pas encore juridiquement contraignantes). Cela démontre que l’autorité autrichienne impose des pénalités très élevées, y compris à des entreprises partiellement publiques.
Google Analytics. L’AAPD a estimé que l'utilisation de Google Analytics constituait une violation du RGPD. Elle a ainsi considéré que (i) lors de l'utilisation de Google Analytics, des données personnelles sont traitées, et que (ii) les clauses contractuelles types et les mesures supplémentaires ne fournissent pas les garanties appropriées nécessaires pour le transfert de données vers les États-Unis.
|
|
|
|
L'Autorité belge de protection des données frappe le secteur de l'AdTech : le cadre de consentement de l'IAB Europe enfreint le RGPD.
La DPA belge a jugé, dans une décision rendue le 2 février 2022, que le cadre de transparence et de consentement (TCF), développé par l'IAB Europe, n'est pas conforme à un certain nombre de dispositions du RGPD.
Le TCF est un mécanisme très répandu qui facilite la gestion des préférences des utilisateurs pour les publicités personnalisées en ligne, et joue un rôle clé dans ce qu'on appelle le Real Time Bidding (RTB). La licéité du traitement des données à caractère personnel dans le contexte de la RTB est remise en question, de sorte que la décision revêt une importance particulière pour l'ensemble du secteur de la publicité en ligne.
L'autorité belge de protection des données a identifié une série de manquements au RGPD commise par IAB Europe :
- il n'y avait pas de base légale pour les différentes activités de traitement dans le contexte de la RTB ;
- les informations fournies aux personnes concernées étaient trop génériques et vagues ;
- il y avait un manque de mesures organisationnelles et techniques conformes au principe de la protection des données dès la conception et par défaut ;
- IAB Europe avait également omis de tenir un registre des activités de traitement, de désigner un DPO et de réaliser une "PIA" (analyse d'impact sur la protection des données).
L'autorité belge de protection des données a imposé une amende de 250 000 euros à IAB Europe et lui a donné deux mois pour présenter un plan d'action visant à mettre ses activités en conformité. IAB Europe a déjà annoncé qu'elle ferait appel.
|
|
|
|
En 2021, la Commission bulgare pour la protection des données personnelles ("CPDP" ou "Commission") a été saisie de plus de 840 plaintes. Un nombre croissant de plaintes concernent la vidéosurveillance - 196, et les infractions relatives à la fourniture de services postaux et de messagerie. Le montant total des amendes est de 319 000 BGN (163.102 EUR) et ont également été imposés des avertissements, des interdictions et des injonctions.
La loi sur la protection des données n’a fait l’objet d’aucun amendement. Cependant, il y a eu (i) un renforcement de la pratique du CPDP conformément au projet de lignes directrices de l'EDPB pour la mise en œuvre de l'art. 62 du RGPD et aux lignes directrices 01/2021 relatives aux exemples de notification en cas de violation de données, (ii) une analyse renforcée de l'intelligence artificielle, de la reconnaissance faciale, de la protection des données personnelles des enfants sur Internet, du big data et de la possibilité du profilage des enfants, et (iii) des efforts accrus en vue d'une adhésion complète à l’espace Schengen en 2021 - contrôles des systèmes/unités nationales du Système d'Information Schengen (SIS II), du Système d'Information Visa (VIS) et du service consulaire national.
|
|
|
|
L'autorité croate de protection des données (APD) a récemment imposé deux amendes administratives d'un montant total de 1,6 million HRK.
La première sanction administrative de l’ADP est une amende de 940.000,00 HRK (environ 125 000 EUR), infligée à une entreprise du secteur de l’énergie pour l’absence de communication de copies de données personnelles (enregistrements de vidéosurveillance) à la demande d’une personne concernée, en violation de l'article 15.3 du GDPR. Suite au refus du responsable de traitement de communiquer les copies, la personne concernée s'est adressée à l’APD qui a exigé que les copies soient fournies. Le responsable de traitement a répondu que les copies des enregistrements de vidéosurveillance demandées ne pouvaient pas être délivrées car ces dernières sont supprimées après sept (7) jours. L’APD a considéré qu'il existait un préjudice indirect pour la personne concernée et un potentiel avantage financier pour le responsable du traitement qui en éliminant des preuves importantes dans le litige, a ainsi évité une condamnation financière dans le litige qui l’opposait à la personne concernée.
La deuxième sanction administrative a été prononcée, à l’encontre d’une chaîne de magasins, pour l’absence de mise en place de mesures de sécurité appropriées en violation de l'article 32 du RGPD, conduisant à la divulgation publique de données personnelles sur les réseaux sociaux et dans les médias. Le montant de l’amende s’élève à 675 000,00 HRK (environ 90 000 EUR). Plus précisément, le responsable de traitement a signalé à l’APD une violation interne des données, car des employés ont fait une copie des enregistrements de vidéosurveillance à l'aide de leur smartphone et les ont publiés en ligne. L’APD a considéré que le responsable du traitement n'a pas pris, ni avant ni après l'incident, les mesures de sécurité techniques et organisationnelles appropriées afin de réduire au minimum le risque d'un incident identique ou similaire.
|
|
|
|
Irlande- Actualités marquantes en matière de protection des données 2021-2022
Les thématiques RGPD les plus fréquentes visées par les requêtes et les plaintes comprennent les demandes d'accès, le traitement équitable, la divulgation des données, le marketing direct et le droit à l'oubli.
En septembre 2021, la Commission de protection des données (CPD) a annoncé la conclusion d'une enquête RGPD menée sur WhatsApp Ireland Limited. La décision a été soumise à la procédure de règlement des différends de l'UE, à l’issue de laquelle la CPD a imposé une amende de 225 millions d'euros à WhatsApp et lui a ordonné de mettre ses traitements en conformité au Règlement. Le 15 mars 2022, le CPD a adopté une décision imposant une amende de 17 millions d'euros à Meta Platforms Ireland Limited (anciennement Facebook Ireland Limited) à la suite d'une enquête sur une série de 12 notifications de violation de données.
Selon le commissaire : "Il est clair que les "responsables du traitement des données" en Irlande continuent d'améliorer leurs efforts de conformité, mais des normes plus élevées de réactivité aux personnes qui cherchent à exercer leurs droits sont encore nécessaires dans de nombreux secteurs."
|
|
|
|
Dans une décision rendue en février 2022, l'Autorité de surveillance italienne a infligé une amende de 20 millions d'euros à Clearview AI - une société américaine qui offre des services de reconnaissance faciale à partir d'images extraites grâce à la technique du « web scrapping » - pour traitement illicite de données biométriques et de géolocalisation de personnes situées sur le territoire italien.
Les enquêtes menées par l'Autorité de surveillance ont des origines différentes : informations issues de la presse, plaintes déposées par des personnes concernées et alertes d'associations de protection des données. Elles ont mis en évidence que le système de reconnaissance faciale de Clearview AI permettait le suivi de personnes situées en Italie. Ce suivi a été effectué en violation des principes fondamentaux du RGPD, tels que la transparence, la définition d’une finalité et la limitation de la durée de conservation, et a été réalisé sans base juridique appropriée.
Outre l'amende, l'autorité de contrôle italienne a interdit tout traitement de données personnelles par le biais du système de reconnaissance faciale de la société américaine et a ordonné à cette dernière de supprimer les données biométriques traitées concernant des personnes situées en Italie.
|
|
|
|
AUGMENTATION CONSTANTE DE LA SENSIBILISATION JURIDIQUE CONCERNANT LA PROTECTION DES DONNÉES PERSONNELLES.
Une tendance constante en Pologne : la sensibilisation aux droits et obligations résultant du RGPD. L'année dernière, l'autorité de contrôle polonaise a reçu plus de 8 500 plaintes concernant une violation du RGPD. Près de 13 000 cas de violation ont ainsi été signalés par des responsables de traitement.
L'autorité de contrôle a également noté une augmentation significative du nombre de questions juridiques soumises à l’autorité de contrôle concernant l'application du RGPD. Cela montre que les responsables de traitement, les délégués à la protection des données et les citoyens eux-mêmes identifient très rapidement les problèmes et attendent des conseils pertinents.
Depuis 2018, l'autorité de contrôle a infligé plus de 40 amendes pour un total de près de 3,5 millions d'euros. Seulement un peu plus de 32 000 € ont été effectivement payés par les entités sanctionnées, (i) ces dernières faisant appel de la décision de sanction et (ii) les procédures judiciaires chronophages retardant l'exécution de la décision. Jusqu'à présent, presque toutes les affaires judiciaires ont toutefois été résolues en faveur de l'autorité de contrôle.
|
|
|
|
Une période de changements discrets mais importants
La pandémie de Covid-19 a entraîné de nouveaux défis en matière de données personnelles et a eu notamment pour conséquence d’intéresser davantage la société au traitement des données personnelles dans le cadre des relations de travail. Les gens sont progressivement devenus plus soucieux de leurs données personnelles - le nombre de plaintes a également augmenté. Les manquements les plus courants sont l'absence de base légale adéquate, l'utilisation des données à des finalités différentes de celles pour lesquelles elles ont été collectées et le fait de ne pas informer les personnes concernées du traitement. L'amende la plus élevée infligée en 2021 était d'environ 80 000 €.
Les cookies et le cloud sont également au cœur de l’attention ces derniers temps. La République tchèque s'est finalement alignée sur la norme de l'UE et a adopté le principe de l'opt-in pour l'autorisation au dépôt des cookies sur les navigateurs, ce qui n'a pas été bien accueilli. Toutefois, en raison de la disponibilité de solutions à l’international, la plupart des acteurs ont essayé de s'y conformer. Cependant, reste à savoir, si ces solutions seront considérées comme pleinement conformes au RGPD. L'autorité tchèque de protection des données en est consciente et prévoit de concentrer ses activités de contrôle sur ce domaine également.
|
|
|
|
Services en nuage pour l'administration publique en Suisse
Alors que la Suisse attend toujours l'entrée en vigueur de la loi fédérale révisée sur la protection des données LPD (les dernières annonces indiquant une sortie pour septembre 2023) et la publication de l'ordonnance révisée de la LPD, les entreprises ont déjà commencé à mettre en œuvre les nouvelles règles.
En outre, de nombreuses entreprises ont d’ores et déjà implémenté les nouvelles clauses contractuelles types de transferts de données à l'étranger et développent actuellement une approche visant à évaluer l'impact du transfert de données (EIT) pour les transferts dans les pays tiers. Les exigences en matière d'exportation de données et l'évaluation de l'impact du transfert de données sont particulièrement importantes en ce qui concerne les services en nuage des fournisseurs dont le siège social est situé aux États-Unis. À cet égard, une décision prise par le gouvernement du canton de Zurich (le canton le plus peuplé de Suisse) en mars 2022 a été très discutée. Le gouvernement zurichois a approuvé l'utilisation de Microsoft 365 pour l'administration publique cantonale et a défini une méthode standard pour évaluer le risque d'accès légal aux services en nuage. En outre, il a retenu que si la probabilité d’un accès légal est évaluée à 90% et se révèle supérieure à 100 ans, l'administration publique cantonale est autorisée à utiliser le service en nuage sans autre approbation. Pour Microsoft 365, le gouvernement zurichois a évalué qu'il faudra 1 206 ans pour qu'un accès légal se produise avec une probabilité de 90 % lors de l'utilisation de Microsoft 365 avec les mesures de sécurité techniques et organisationnelles qui seront mises en œuvre pour protéger les données dans le cloud.
|
|
|
|
Le département Immatériel et Numérique de klein • wenner
Forte d’avocats expérimentés, experts en droit du numérique et du RGPD, l’équipe Immatériel & Numérique de klein • wenner a développé une pratique transversale inédite en droit de la donnée. En lien avec d’autres experts (cybersécurité, SI/gouvernance des données), elle propose une approche globale permettant de traiter l’ensemble des questions liées aux données (privacy, propriété intellectuelle, cybersécurité, et open data* – *avec l’équipe Droit public du cabinet).
|
|
|
|
La Lettre du DPO est une publication de klein • wenner qui traite vos données conformément à la règlementation protégeant les données à caractère personnel. Pour en savoir plus, cliquez ici.
|
|
|
|
|
|
|
|
