Voici la liste des articles publiés par notre cabinet.

Marie-Laure Denis a été nommée, par décret du président de la République du 31 janvier, présidente de la Commission nationale de l’informatique et des libertés (CNIL).

Elle succède à cette fonction à Isabelle Falque-Pierrotin, qui occupait ce poste depuis 2011.

Juriste et énarque au parcours notamment marqué par les autorités administratives indépendantes (membre du Conseil supérieur de l’audiovisuel (CSA) de 2004 à 2010, puis de l’ Autorité de régulation des communications électroniques et des postes (Arcep ) de 2011 à 2016), l’étendue de ses nouvelles responsabilités sont d’autant plus vastes que cette nomination intervient seulement quelques mois après l’entrée en application du règlement européen relatif à la protection des données à caractère personnelles (RGPD).

Il lui reviendra, en tant que présidente de l’autorité de régulation française de protection des données, de faire respecter ce nouveau dispositif à l’ensemble du tissu économique national et de veiller à une harmonisation des pratiques en concertation avec ses homologues européens.

Les sujets en cours abondent, parmi lesquels le privacy shield - quel encadrement juridique pour le transfert des données des citoyens européens vers les Etats-Unis ? - et le développement exponentiel des projets d’intelligence artificielle qui questionnent plus que jamais la notion de vie privée et de protection des données personnelles (smart cities, vidéosurveillance intelligente…)

Le 28 janvier, on fête la protection des données personnelles.

 

C’est le 28 janvier 1981 qu’a été ouverte à la signature des Etats membres, la Convention du Conseil de l'Europe, dite Convention 108, pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel.

Texte phare de la protection des données personnelles à l’échelon international, cette Convention visait à préserver le citoyen des risques liés au développement de l’informatique. Elle a largement inspiré la directive de la Commission européenne de 1995, abrogée depuis l’entrée en application du RGPD au 25 mai 2018.

Elle garantit des droits aux intéressés, proscrit, par principe, le traitement des données "sensibles" et impose des restrictions aux flux de données personnelles vers des pays dépourvus de protection équivalente.

Ces principes, consacrés dès 1981, sont réaffirmés et complétés dans le Protocole d’amendement à la Convention récemment ouvert à la signature.

Un texte qui a fait du chemin et qu’il convenait d’honorer comme il se doit.

C’est ainsi que, dès 2007, le Conseil de l’Europe a proclamé une journée européenne de la protection des données à caractère personnel.

 

Odile Jami-Caston, juriste experte, directrice du pôle Data Privacy & RGPD Compliance

A la date du 23 janvier 2019, la Commission européenne a adopté une décision d'adéquation concernant la législation du Japon en matière de protection des données à caractère personnel.

A l’issue d’un processus d’examen, initié en septembre 2018, la Commission a considéré que le pays tiers, notamment du fait de la mise en place de mesures supplémentaires, garantissait un niveau de protection des données conforme aux normes européennes.

Dès lors et en application du principe d’adéquation posé par le RGPD, la libre circulation de données personnelles de l’Union européenne vers le Japon peut être envisagée.

Le Japon vient ainsi compléter la liste des pays pour lesquels la législation est reconnue comme offrant un niveau de protection adéquat, tels que l’Andorre, l’Argentine, le Canada, les Îles Féroé, Guernesey, Israël, l’Isle de Mann, Jersey, la Nouvelle-Zélande, la Suisse, l’Uruguay et les Etats-Unis d’Amérique (dans la limite pour ce dernier du domaine du « Privacy Shield »).

 

 

La CNIL prononce une sanction pécuniaire sans précédent d’un montant de 50 millions d’euros à l’encontre de Google LLC (Délibération 2019-001 du 21 janvier 2019).

La CNIL a constaté deux séries de manquements à l’encontre de Google LLC relatifs aux traitements de données personnelles réalisées à partir du système d’exploitation pour les terminaux mobiles Android: le manquement aux obligations de transparence et d’information des personnes et le manquement à l’obligation de fonder chaque traitement sur une base légale.

 

La compétence de la CNIL du fait de la non application du mécanisme de guichet unique

Le RGPD a introduit un mécanisme de guichet unique, dit one-stop-shop, en application duquel seule l’autorité de contrôle du lieu de l’établissement principal du responsable de traitement, dite autorité chef de file, est compétente s’agissant des traitements transfrontaliers qu’il opère.

La délibération de la CNIL illustre la complexité de la désignation de cette autorité chef de file qui nécessite au préalable d’identifier l’établissement principal.

En l’espèce, Google LLC arguait que l’autorité chef de file était la Data Protection Commission irlandaise du fait de son établissement principal, Google Ireland.

La CNIL, considérant que pour les traitements opérés via le système d’exploitation Android, Google ne dispose pas d’établissement principal au sein de l’Union européenne, rejette cet argument et rappelle que la qualification d’un établissement principal s’apprécie in concreto, le pouvoir de décision effectif  quant aux traitements de données à caractère personnel en cause en étant un élément essentiel.

Elle considère que le fait que Google Ireland Limited soit le siège social de Google pour ses opérations européennes n’est pas suffisant pour le qualifier d’établissement principal et que les moyens financiers et humains dont dispose Google Ireland Ltd pour fournir des services en Europe ne préjugent pas de l’existence d’un tel pouvoir décisionnel.

A l’appui de sa décision, la CNIL souligne que Google Ireland Ltd n’est pas présenté aux utilisateurs comme l’entité décisionnelle au sein de sa politique de confidentialité, qu’elle n’avait pas désigné de DPO et que le système d’exploitation Android est uniquement développé par Google LLC.

Ainsi, faute d’identifier un établissement principal du responsable de traitement, la CNIL écarte le mécanisme de guichet unique et se déclare compétente.

Ce que nous préconisons
Pour une mise en place du mécanisme de one-stop-shop

Veillez à documenter le pouvoir décisionnel de votre établissement principal quant aux finalités et aux moyens des traitements en cause.

Identifiez clairement comme tel l’établissement dans la Politique de confidentialité.

Désignez un DPO pour cet établissement.

 

L’obligation de transparence et d’information

Le responsable de traitement est tenu de fournir aux personnes concernées des informations claires et compréhensibles quant aux traitements effectués à partir de leurs données à caractère personnel.

Or, en l’espèce, les informations étaient disséminées dans des documents distincts dans le cadre d’un parcours complexe créant la confusion chez l’utilisateur.

Il est intéressant de relever que la CNIL a apprécié la conformité desdites mentions d’informations au regard du très grand nombre de données traitées et du caractère intrusif des traitements (la géolocalisation notamment). Elle  a ainsi considéré, au vu de ce principe de proportionnalité, que ces mentions ne permettaient pas aux intéressés de mesurer les risques que les traitements opérés étaient susceptibles de présenter pour leur vie privée.

Au-delà de ce manque de transparence quant aux finalités des traitements, la CNIL souligne le manque de clarté s’agissant des bases légales retenues. Ainsi, Google LLC ne fait pas de distinction dans ses mentions d’informations entre les traitements dont le fondement est le consentement des intéressés (les opérations de publicité personnalisée à partir de la combinaison de données) et ceux relevant de l’intérêt légitime du responsable de traitement (les autres formes de ciblage).

Ce que nous préconisons
Pour la conformité de vos mentions d'informations

Les mentions d’informations doivent être facilement accessibles et aisément compréhensibles.

Elles doivent permettre à l’utilisateur de mesurer l’impact potentiel des traitements proposés sur sa vie privée.

Elles doivent, dès le premier niveau d’informations, permettre d’apprécier le nombre et la portée des traitements en œuvre.

Elles doivent informer clairement les intéressés de la base légale propre à chaque finalité de traitement.

 

L’obligation de disposer d’une base légale

Un traitement de données à caractère personnel n’est licite que s’il est fondé sur une base légale qui peut, notamment, être le consentement des personnes concernées.

Pour être valide, le consentement doit être manifesté par un acte positif, être libre, spécifique, éclairé et univoque.

En l’espèce, la CNIL relève qu’en l’absence d’une information claire, les personnes concernées ne sont pas en mesure de donner un consentement éclairé.

En outre, l’utilisateur n’étant pas mis en mesure, au moment de la création de son compte,  de paramétrer ses choix par finalité de traitement et les cases permettant de consentir à la publicité personnalisée étant pré-cochées, le consentement était dépourvu de validité et ne pouvait, de ce fait, servir de base juridique.

Ce que nous préconisons
Pour obtenir un recueil du consentement valide

Soignez le parcours utilisateur afin que ce dernier  dispose d’une information claire et compréhensible sur la façon dont seront traitées ses données.

Mettez en place un moyen de recueillir la volonté éclairée des intéressés de manière positive (excluez les cases pré-cochées).

Veillez à ce que ce consentement soit spécifique (bannissez les formules du type « tout accepter »).

Conservez la preuve des consentements ainsi recueillis.

 

Claudia Weber, avocate associée et fondatrice du cabinet ITLAW Avocats, directrice des pôles Contrats, Licensing, Innovations, Sécurité, Marketing digital et eSanté

Et Odile Jami-Caston, juriste experte, directrice du pôle Data Privacy & RGPD Compliance

 

 

 

 


L’ordonnance n°2018-1125 du 12 décembre 2018 poursuit l’adaptation du droit français aux dispositions du RGPD, entré en application le 25 mai 2018.
Parmi celles-ci, les conditions requises pour obtenir un consentement valide, notion centrale de la protection des données à caractère personnel, et base légale possible au traitement.

La France, en fixant à 15 ans l’âge requis pour consentir seul à un service de la société de l’information (réseaux sociaux inclus), se distingue de ce que prévoit le RGPD qui, tout en laissant une certaine liberté d’action aux états membres de l'Union européenne, fixe l’âge minimal à 16 ans.
En-deçà de 15 ans en France, le recueil du consentement doit ainsi être accompagné, voire remplacé pour les moins de 13 ans, par celui du titulaire de l’autorité parentale.

Odile Jami-Caston, juriste experte, directrice du pôle Data privacy et RGPD compliance