ALTER VIA Avocats

ALTER VIA AVOCATS ACCUEILLE DE NOUVEAUX TALENTS !

admin_aaa — 2022-09-16T09:06:03Z

Morgane TAILLEZ, prochainement diplômée de son Master II en droit de la Propriété industrielle à Lille, a rejoint, début septembre, le cabinet ALTER VIA Avocats.

Morgane vient renforcer le département innovation du cabinet.

Morgane a brillamment soutenu son mémoire, cette semaine, portant sur « l'internationalisation de la marque : entre possibilités et stratégies ».

Bravo Morgane et bienvenue !

Comment sont calculées les amendes issues des manquements au RGPD ? (CEPD - 12/05/2022)

admin_aaa — 2022-07-08T12:26:46Z

Le 12 mai 2022, le Comité européen de la protection des données (CEPD) a adopté les lignes directrices 04/2022 sur le calcul des amendes dans le cadre du Règlement général sur la protection des données (RGPD - 25/05/2018). Il vient préciser la méthode de calcul, mais aussi les circonstances dans lesquelles il faudra infliger une amende. Cela complète les lignes directrices WP253 qui s'intéressaient déjà à ce sujet.

L'autorité de contrôle calcule elle-même le montant de l'amende en respectant les règles du RGPD, notamment l'article 83§1 qui indique que le montant doit être :

Individuel
Effectif
Proportionné
Dissuasif

Le calcul de l'amende se fait au cas par cas en fonction :

Des caractéristiques de l'infraction
De la nature de l'auteur

Attention : le montant de l'amende infligée ne doit pas excéder le maximum légal applicable indiqué à l'article 83 § 4 à 6 (10 ou 20 millions d'euros en fonction des obligations qui ont été violées). Cependant, il n'est pas prévu de montant minimum.

Le RGPD a substantiellement augmenté le niveau d'amendes et a prévu une harmonisation de ces amendes entre les Etats membres. Il s'agit d'une harmonisation relative au point de départ et à la méthodologie utilisée lors du calcul du montant de l'amende, et non pas d'une harmonisation sur le résultat.

Le calcul du montant des amendes

Pour calculer le montant d'une amende, l'autorité de contrôle concernée doit mettre en balance tous les éléments mentionnés à l'article 83§2 du RGPD :

Nature, gravité et durée de la violation
Violation délibérée ou par négligence
Mesures prises par le responsable de traitement ou le sous-traitant pour atténuer le dommage subi
Degré de responsabilité du responsable de traitement ou du sous-traitant
Précédentes violations pertinentes commises par le responsable de traitement ou le sous-traitant
Degré de coopération entre l'organisme et l'autorité de contrôle pour mettre un terme à la violation
Catégories de données personnelles concernées
Manière dont l'autorité de contrôle a eu connaissance de la violation (notification ou non)
Mesures de l'article 58§2 du RGPD ordonnées ou non à l'encontre du responsable de traitement ou du sous-traitant pour le même objet
L'application de codes de conduite approuvés en application de l'article 40 du RGPD ou de mécanismes de certification approuvés en application de l'article 42 du RGPD
Toute autre circonstance aggravante ou atténuante applicable au cas de l'espèce

Le CEPD a établi une méthode de calcul des amendes administratives en cas d'infraction au RGPD. Cette méthode se compose de cinq étapes :

Identifier les opérations de traitement et vérifier si l'article 83§3 du RGPD (plafond issu de la violation la plus grave) est applicable.
Trouver le point de départ du calcul basé sur
a) La classification prévue à l'article 83§4 à 6 du RGPD ;
b) La gravité de l'infraction ;
c) Le chiffre d'affaires de l'entreprise.
Evaluer les circonstances aggravantes ou atténuantes (passées ou présentes) pour adapter l'amende.
Identifier les maximums légaux pertinents pour les différentes opérations de traitement.
Analyser si les exigences d'effectivité, de dissuasion et de proportionnalité sont satisfaites. A défaut, il faudra adapter l'amende en conséquence.

Attention : parfois, il est possible que l'autorité de contrôle applique un montant prédéterminé d'amende fixe pour certains types d'infractions, en fonction de leur nature, gravité et durée. Cependant, ce procédé est impossible dès lors qu'il est interdit ou contraire au droit national de l'Etat membre. De plus, même dans le cas de l'application d'une amende à montant fixe, les autorités de contrôle seront soumises à l'obligation de se conformer à la coopération et à la cohérence.

Parfois, plusieurs infractions sont sanctionnables ensemble, mais dans certains cas, il est possible qu'elles soient sanctionnables séparément.

On distingue alors 3 catégories :

Concours d'infractions
Unité d'action (unité de traitement) : infractions multiples nées des mêmes opérations de traitement ou d'opérations de traitement liées.
Pluralité des actions

Il convient donc d'établir :

Si les circonstances doivent être considérées comme un ou plusieurs comportements sanctionnables. S'il s'agit de multiples comportements sanctionnables, l'auteur a donc commis plusieurs infractions, qui pourront être sanctionnées par une même décision d'amende ou dans des décisions distinctes. Le montant total de l'amende d'administrative infligée pourra dépasser le montant prévu pour l'infraction la plus grave ;

Dans le cas d'un comportement unique, s'il donne lieu ou non à une ou plusieurs infractions. Dans ce dernier cas, le montant total de l'amende administrative ne doit pas dépasser le montant prévu pour l'infraction la plus grave ;

Dans le cas d'infractions multiples, si l'attribution d'une infraction empêche l'attribution d'une autre, l'amende sera calculée uniquement en fonction de l'infraction attribuée, ou si elles peuvent être attribuées ensemble, l'amende est calculée en fonction de toutes les infractions sans dépasser le maximum légal.

En cas de concordance d'infractions, le montant de l'amende ne sera calculé que sur la base de l'information sélectionnée selon le principe de spécialité (la disposition spécifique déroge à la disposition générale), de subsidiarité (deux infractions ont le même objectif, mais l'une d'entre elle est moins répréhensible par exemple) ou de consommation (une infraction est une étape préliminaire à l'autre).

Le point de départ du calcul de l'amende

Selon le CEPD, le calcul des amendes administratives doit commencer à partir d'un point de départ harmonisé. Il considère alors trois éléments pour constituer le point de départ d'un calcul ultérieur :

La catégorisation des infractions par nature :

le RGPD prévoit deux catégories d'infractions, celles de l'article 83§4 du RGPD (amende maximale de 10 millions d'euros ou 2% du chiffre d'affaires annuel de l'entreprise) et celles de l'article 83§5 et 6 du RGPD (amende maximale de 20 millions d'euros ou 4 % du chiffre d'affaires annuel de l'entreprise). C'est le montant le plus élevé qui est retenu.

La gravité de l'infraction dans chaque cas individuel :

a) Nature, gravité (nature, étendue, finalité du traitement, nombre de personnes concernées et niveau de préjudice) et durée de l'infraction
b) Caractère intentionnel ou négligent (évalué en fonction des éléments objectifs du comportement tirés des faits de l'affaire)
c) Catégories de données personnelles concernées (en fonction de leur nombre et de leur degré de sensibilité)
d) Qualification de la gravité de l'infraction et identification du montant de départ approprié : faible (montant de départ entre 0 et 10 % du maximum légal applicable), moyenne (entre 10 et 20 % du maximum légal applicable) ou élevée (entre 20 et 100 % du maximum légal applicable)

Le chiffre d'affaires de l'entreprise (principe de proportionnalité) :

Chiffre d'affaires annuel ≤ à 2 millions d'euros : calcul sur la base d'une somme descendant jusqu'à 0,2 % du montant de départ identifié
Chiffre d'affaires annuel ≤ à 10 millions d'euros : calcul sur la base d'une somme descendant jusqu'à 0,4 % du montant de départ identifié
Chiffre d'affaires annuel ≤ à 50 millions d'euros : calcul sur la base d'une somme allant jusqu'à 2 % du montant de départ identifié
Chiffre d'affaires annuel < à 100 millions d'euros : calcul sur la base d'un montant d'une somme inférieure à 10 % du montant de départ identifié
Chiffre d'affaires annuel < à 250 millions d'euros : calcul sur la base d'un montant d'une somme inférieure à 20 % du montant de départ identifié
Chiffre d'affaires annuel ≥ à 250 millions d'euros : calcul sur la base d'un montant d'une somme inférieure à 50 % du montant de départ identifié

Les circonstances atténuantes

L'évaluation de ces facteurs se fait à l'aide de tableaux ou de pourcentages prédéterminés. Il existe plusieurs potentielles circonstances atténuantes telles que :

1) Les mesures prises par le responsable de traitement ou le sous-traitant en réaction au dommage subi

L'article 83§2 c) du RGPD indique que le calcul du montant de l'amende tient compte des mesures prises par le responsable de traitement ou le sous-traitant pour atténuer le préjudice subi par les personnes concernées. Cela peut donc permettre de diminuer le montant de l'amende, à condition que les mesures mises en œuvre aient été spontanées au regard de l'infraction en cause.

Attention : la circonstance atténuante ne sera pas retenue si les mesures interviennent après l'ouverture de l'enquête de l'autorité de contrôle.

L'autorité de contrôle va alors évaluer le degré de robustesse des mesures adoptées (prouvées dans toute documentation pertinente) par rapport à différents critères :

Le risque résiduel pour les libertés et les droits des personnes concernées
La détérioration causée
Le préjudice persistant après l'adoption des mesures par le responsable de traitement
Le caractère identifiable et/ou disponible sans protection technique des données en question

Cependant, même si le responsable de traitement ou le sous-traitant a mis en place des mesures de protection importantes, la circonstance atténuante ne sera retenue qu'en fonction des circonstances de l'affaire.

2) La coopération avec l'autorité de contrôle

Une autre circonstance atténuante peut être constituée en évaluant le degré de coopération du responsable de traitement ou du sous-traitant avec l'autorité de contrôle. En effet, plus il coopère avec l'autorité de contrôle afin de remédier à l'infraction et d'atténuer les potentiels effets négatifs de l'infraction, plus la circonstance atténuante est susceptible d'être caractérisée pour diminuer le montant de l'amende.

3) Les circonstances de la prise de connaissance de l'infraction

L'autorité de contrôle peut aussi tenir compte de la manière dont l'infraction a été portée à sa connaissance. Ce critère peut constituer une circonstance atténuante dans le cas où le responsable de traitement ou le sous-traitant notifie l'infraction d'office, avant même que l'autorité de contrôle n'en ai eu connaissance.

4) L'adhésion à des codes de conduite approuvés ou à des mécanismes de certification approuvés

Il est question de mécanismes permettant à l'organisme d'effectuer un contrôle obligatoire du respect des dispositions du RGPD, qui constitue alors une “autorégulation”.

Attention : si l'infraction résulte directement du non-respect des codes de conduite, il est possible que l'autorité de contrôle retienne la caractérisation de circonstance aggravante.

Les circonstances aggravantes

A la différence des circonstances atténuantes, les circonstances aggravantes vont influencer à la hausse le montant des amendes.

1) La commission d'infractions antérieures

Si le responsable de traitement ou le sous-traitant a commis des infractions antérieures à celle en cause, elles seront prises en compte lors du calcul du montant de l'amende et pourront être considérées comme une circonstance aggravante. Il sera alors tenu compte de l'ancienneté de l'infraction antérieure, mais aussi du délai de prescription à l'issue duquel il n'est plus possible de prendre en compte une infraction antérieure. De plus, seules les infractions « pertinentes » seront prises en compte, c'est-à-dire des infractions portant sur le même objet ou sur un objet différent, mais commises de la même manière.

Attention : l'absence d'infraction antérieure n'est pas considérée comme une circonstance atténuante, mais comme un facteur neutre.

2) Le degré de responsabilité du responsable du traitement ou du sous-traitant

Lorsqu'aucune mesure de protection suffisante n'est mise en place par l'organisme ou dans le cas où les données en cause étaient clairement identifiables/disponibles, l'autorité de contrôle est susceptible de retenir ces éléments pour constituer une circonstance aggravante.

3) L'absence de coopération avec l'autorité de contrôle

La coopération du responsable de traitement ou du sous-traitant est rendue obligatoire par l'article 31 du RGPD. En cas de non-respect de ce devoir, l'amende applicable pourra être celle prévue à l'article 83§4 a) du RGPD, à savoir une amende administrative d'un montant pouvant aller jusqu'à : 10 000 000 euros (montant maximum statique) ou 2% du chiffre d'affaires annuel mondial total de l'exercice précédent (montant maximum dynamique), le montant le plus élevé étant retenu.

4) La violation des obligations énoncées à l'article 83§ 5 et 6 du RGPD

A cet article, le montant de l'amende prévu est plus élevé encore que celui prévu à l'article 83§4 du RGPD. En effet, en cas de violation de l'une des obligations énoncées à l'article 83§5 et 6 du RGPD tel que le non-respect d'une injonction émise par l'autorité de contrôle, l'amende peut s'élever jusqu'à 20 000 000 d'euros (montant maximum statique) ou 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent (montant maximum dynamique), le montant le plus élevé étant retenu.

Responsabilité des entreprises

La société mère sera responsable de l'action de sa filiale si cette dernière prouve que la société mère exerce une influence déterminante sur elle (ex : si la société mère détient 100 % ou presque des actions de sa filiale, l'influence déterminante sera présumée, cependant, il s'agit d'une présomption simple).

Lien : https://www.cnil.fr/fr/le-cepd-publie-des-lignes-directrices-sur-le-calcul-des-amendes-rgpd-et-sur-lutilisation-de-la

Marie BREYNE, juriste
Raphaël RAULT, avocat associé

L'intelligence artificielle (IA) selon la CNIL

admin_aaa — 2022-06-14T10:24:26Z

Le 5 avril 2022, la CNIL a publié un recueil d'informations concernant l'intelligence artificielle, afin d'aider les professionnels et particuliers à mieux comprendre ses enjeux et de garantir le respect du RGPD.

Qu'est-ce que l'intelligence artificielle ?

L'intelligence artificielle (IA) est définie comme l'ensemble des technologies (numériques, mathématiques, statistiques et algorithmiques) capables d'imiter ou d'augmenter l'intelligence humaine grâce à des machines dotées de la capacité d'apprendre, de raisonner et de prendre des décisions. C'est ainsi que le Parlement européen associe à l'IA tout outil utilisé par une machine dans le but de « reproduire des comportements liés aux humains, tels que le raisonnement, la planification et la créativité ».

Dans le cadre de la mise en place d'un système d'IA qui repose sur un apprentissage automatique, deux phases se succèdent :

La phase d'apprentissage : Cette phase correspond à la conception, au développement et à l'entraînement d'un modèle (un modèle constitue la représentation de ce que le système d'IA aura appris à partir des données d'entraînement).
La phase de production : Cette phase consiste à déployer de manière opérationnelle le système d'IA qui a été obtenu suite à la phase d'apprentissage.

Entreprises et IA : Être en conformité avec le RGPD

Un organisme qui souhaite mettre en place un système d'IA exploitant des données personnelles doit veiller à respecter les différentes obligations découlant du RGPD (28/05/2018). La CNIL détaille ces obligations :

1. Définir une finalité

La mise en place d'un système d'IA exploitant des données personnelles suppose obligatoirement qu'il soit utilisé avec une finalité bien définie. L'objectif doit être :

Déterminé 
Légitime  (compatible avec les missions de l'organisme)
Explicite (connu et compréhensible)

L'organisme doit démontrer que les données personnelles utilisées sont pertinentes et que leur durée de conservation est adaptée.

2. Etablir une base légale

Cette base légale autorise l'organisme à traiter des données personnelles. En effet, la mise en place d'un système d'IA doit correspondre à l'une des six bases légales prévues par le RGPD :

Consentement
Respect d'une obligation légale
Exécution d'un contrat
Exécution d'une mission d'intérêt public
Sauvegarde des intérêts vitaux
Poursuite d'un intérêt légitime

3. Constituer une base de données

Etablir une base de données consiste à décrire les données utilisées (annotations) et réaliser un travail de catégorisation, de nettoyage et de normalisation des données. Il faut cependant respecter un délai de conservation des données personnelles déterminé en fonction de la finalité. Certains délais sont recommandés par la CNIL, d'autres délais sont imposés par des textes. Par exemple, pour la vidéoprotection, le délai de conservation est d'un mois, conformément aux dispositions de l'article L252-5 du Code de sécurité intérieure (sujet d'actualité au regard des événements récents du Stade de France).

4. Minimiser les données

L'organisme doit respecter le principe de minimisation des données. Ainsi, les données personnelles collectées et utilisées doivent être adéquates, pertinentes et limitées au strict nécessaire au regard de l'objectif défini.

Attention : Le principe de minimisation des données ne constitue pas un obstacle en soi à la réalisation des traitements de données.

La CNIL vient donner quelques conseils afin de s'assurer du caractère « raisonné » de toutes les données utilisées, que ce soit lors de la phase d'apprentissage, mais aussi la phase de production :

Adopter un esprit critique lors de l'évaluation de la nature et la quantité de données à utiliser ;

Vérifier les performances du système dès lors qu'il est alimenté par de nouvelles données ;

Effectuer une distinction claire entre les données utilisées lors de la phase d'apprentissage et celles utilisées lors de la phase de production : les modèles sont généralement entraînés avec davantage de données que celles qui sont strictement nécessaires ( phase d'apprentissage ), l'essentiel est de réduire ensuite l'utilisation des données non-nécessaires une fois le modèle validé ( phase de production ) ;

Utiliser des mécanismes de pseudonymisation ou de filtrage des données ;

Etablir une documentation relative au jeu de données utilisé et de ses propriétés (source des données, vérification de leur intégrité, etc.) ;

Effectuer une réévaluation régulière des différents risques pour les utilisateurs (vie privée, risques de discrimination, etc.) ;

Limiter les risques en encadrant les habilitations d'accès.

5. Définir une durée de conservation

Le RGPD prévoit l'interdiction de conserver des données personnelles indéfiniment. Il est donc obligatoire pour les responsables de traitement de déterminer la durée de conservation des données en fonction de l'objectif poursuivi par la collecte. La durée doit toujours être proportionnée à la finalité poursuivie : par exemple, il sera possible de conserver certaines données spécifiques si elles ont une finalité de mesure de performance. Il sera aussi possible de conserver pour une plus longue durée les données relatives aux traitements d'IA mis en œuvre à des fins de recherche scientifique.

6. Encadrer l'amélioration en continu

Dans le cadre d'un système d'apprentissage en continu, les données utilisées lors de la phase de production sont aussi utilisées pour améliorer le système. C'est donc un processus de réapprentissage. Cette technique d'apprentissage en continu peut entraîner différents risques tels que la dégradation des performances. De plus, cette technique pose un autre problème. En effet, la phase d'apprentissage et la phase de production poursuivent en principe deux finalités distinctes quant à l'utilisation des données. D'un côté, la phase de production poursuit une finalité qui est celle pour laquelle le système d'IA est mis en production, et la phase d'apprentissage a pour objectif l'amélioration intrinsèque du système.

La CNIL considère qu'il est possible de séparer la phase d'apprentissage et la phase de production. Aussi, elle considère que la réutilisation par un sous-traitant de données confiées par un responsable de traitement est possible seulement si certaines conditions sont remplies :

L'autorisation de la réutilisation par le responsable de traitement
La réalisation d'un test de compatibilité
L'information et le respect des droits des personnes
La conformité du nouveau traitement mis en œuvre

7. Se prémunir des risques liés aux modèles d'IA

Les modèles sont des représentations de ce que les systèmes d'IA ont appris à partir des données d'entraînement lors de la phase d'apprentissage. Les risques liés aux modèles d'IA peuvent constituer des extractions d'information (attaques par exfiltration de modèle), qui peuvent entraîner une violation de données. Dans ce cas, il est impératif de retirer le modèle concerné et de notifier la violation de données auprès de l'autorité de protection des données compétente.

8. S'assurer de l'information et de l'explicabilité

**Le principe de transparence**
Le RGPD exige que toute information ou communication relative au traitement de données personnelles soit : concise, transparente, compréhensible et aisément accessible (en des termes simples et clairs).

Ce principe de transparence s'applique en matière d'IA, mais parfois, il sera difficile de l'appliquer. En effet, l'IA étant un système assez complexe, fournir des explications précises expliquant les raisons ayant conduit à la prise d'une telle décision devient alors compliqué. De plus, dans certains cas, les données n'ont pas été collectées directement par le responsable qui met en œuvre le système d'IA, il est alors difficile de revenir vers les personnes concernées.

Ces différents cas justifient alors qu'il est possible de déroger au droit à l'information, notamment lorsque l'information des personnes concernées s'avère impossible ou exige des efforts disproportionnés.

Attention : Un organisme peut se voir sanctionner s'il fait reposer sa prise de décision sur le seul fondement d'un traitement automatisé de données, notamment lorsque cette décision entraîne des effets juridiques à l'égard des personnes concernées. Ainsi, la CNIL pourra exiger la mise en œuvre d'une intervention humaine dans cette situation.

9. Mettre en œuvre l'exercice des droits

Toute personne faisant l'objet d'un traitement de données dispose de différents droits lui permettant de garder la maîtrise de ses données : droit d'accès, de rectification, d'effacement, de limitation, de portabilité et d'opposition.

C'est le responsable de traitement qui est chargé d'expliquer aux utilisateurs comment exercer ces droits.

Attention : Il existe des exceptions à l'exercice de certains de ces droits, notamment dans les cas de traitements d'IA mis en œuvre à des fins de recherches scientifiques. De plus, en cas d'accident à la suite duquel les modèles d'IA collectent des données personnelles, l'identification des personnes peut s'avérer complexe. Dans ce cas, le responsable de traitement pourra écarter les droits de la personne concernée, sans qu'il n'y ait de préjudice.

10. Encadrer la prise de décision automatisée

Les systèmes d'IA mettent souvent en œuvre des mécanismes de prise de décision automatisée. L'article 22 du RGPD vient poser le droit pour les personnes de ne pas faire l'objet d'une décision automatisée qui a un effet juridique ou qui l'affecte sensiblement. Certaines exceptions pour lesquelles une décision automatisée sera possible sont prévues lorsqu'il est question de :

Consentement explicite de la personne
Décision nécessaire à un contrat conclu avec l'organisme
Dispositions légales spécifiques qui autorisent la décision automatisée

Dans ces cas , la personne concernée doit pouvoir être informée qu'une décision entièrement automatisée a été prise à son encontre. Elle peut connaître la justification de cette décision, la contester et demander l'intervention d'un être humain pour réexaminer la décision.

11. Evaluer le système

Selon la CNIL, il est indispensable d'évaluer les systèmes d'IA afin de valider l'approche testée lors de la phase d'apprentissage, de diminuer les risques de dérive du système au fil du temps et de s'assurer que, lors de la phase de production, le système satisfait bien les besoins opérationnels pour lesquels il a été conçu.

Dans le cadre de cette évaluation, la CNIL peut alors demander par exemple de fournir :

Une analyse systématique des erreurs du système et de leurs implications opérationnelles
Des éléments relatifs aux conditions d'expérimentation
Des éléments de réflexion sur les potentiels risques de discrimination

12. Eviter les discriminations algorithmiques

Les discriminations susceptibles d'intervenir lors de l'utilisation de systèmes d'IA peuvent provenir des données utilisées pour l'apprentissage ou encore de l'algorithme lui-même (par des failles de conception). La CNIL et le Défenseur des droits préviennent et contrôlent l'automatisation des discriminations de ces technologies.

Sécuriser un système d'IA

Le Laboratoire d'innovation numérique de la CNIL (LINC) indique certaines mesures à mettre en œuvre pour sécuriser efficacement les systèmes d'IA contre les différents types d'attaques et limiter les risques pour la vie privée des personnes concernées.

Tenter de déployer des architectures respectueuses de la vie privée ;
Renforcer l'environnement d'exécution du système d'IA (ex : trusted execution environment) ;
Utiliser les ressources de cryptographie (transfert inconscient, chiffrement homomorphe) ;
Anonymiser par différentes méthodes pour perturber les tentatives de vol et de violations de données ;
Mettre en œuvre les règles de SSI (Self-Sovereign Identity) ;
S'assurer de la légalité, de la qualité et de la traçabilité des données (réaliser des analyses d'impact sur la protection des données, phase de nettoyage des données, mécanismes de pseudonymisation) ;
Effectuer un contrôle itératif de l'apprentissage (supprimer les données qui ont un impact négatif sur la précision du modèle) ;
Consolider le jeu de données (augmentation de données, randomisation (ajout de bruits aléatoires), entraînement contradictoire) ;
Durcir le processus d'apprentissage (validation croisée, amorçage, normalisation de lot, quantification, élagage, décrochage ou abandon) ;
Contrôler l'accès au système (vérifier le format des fichiers soumis, la cohérence des données, compresser les caractéristiques et détecter l'ajout de bruit dans les données) ;
Durcir les API (interface de programmation applicative) : limiter le nombre de requêtes des utilisateurs, s'assurer que l'utilisateur est un humain, imposer un coût calculatoire important, analyser les comportements des utilisateurs, mise en place d'un système de bac à sable ;
Maîtriser les sorties et s'assurer de leur protection (réduire la verbosité des sorties, détecter les sorties suspectes, lever une alerte en cas de doute, proposer une modération manuelle) ;
Développer une stratégie organisationnelle (documenter les choix de conception, anticiper les évolutions du système, s'assurer de la conformité de la fonctionnalité d'IA tout au long de son exploitation, mettre en place des audits réguliers, encadrer le recours à des sous-traitants) ;
Développer une stratégie de gestion des risques (sensibiliser et responsabiliser les équipes, préciser les modalités de sauvegarde et de gestion des données, assurer la confidentialité et l'intégrité (restriction d'accès, chiffrement), élaborer un plan de continuité de l'activité)

Liens du guide d'auto-évaluation de la CNIL pour les systèmes d'IA :

https://www.cnil.fr/fr/intelligence-artificielle/guide/se-poser-les-bonnes-questions-avant-dutiliser-un-systeme-dintelligence-artificielle

https://www.cnil.fr/fr/intelligence-artificielle/guide/collecter-et-qualifier-les-donnees-dentrainement

https://www.cnil.fr/fr/intelligence-artificielle/guide/developper-et-entrainer-un-algorithme

https://www.cnil.fr/fr/intelligence-artificielle/guide/utiliser-un-systeme-dia-en-production

https://www.cnil.fr/fr/intelligence-artificielle/guide/securiser-le-traitement

https://www.cnil.fr/fr/intelligence-artificielle/guide/permettre-le-bon-exercice-de-leurs-droits-par-les-personnes

https://www.cnil.fr/fr/intelligence-artificielle/guide/se-mettre-en-conformite

Autres liens :

https://www.cnil.fr/fr/intelligence-artificielle/glossaire-ia

https://linc.cnil.fr/fr/panser-la-securite-des-systemes-dia

Marie BREYNE, Juriste 

Raphaël RAULT, Avocat associé

Cookies/Traceurs : dernières publications de la CNIL et de l'APD (mai-juin 2022)

admin_aaa — 2022-06-14T09:43:17Z

La CNIL a publié différents articles relatifs à l'utilisation des cookies sur les services en ligne. Elle répond notamment aux différentes préoccupations suite à sa mise en demeure « Google Analytics » du 10 février 2022 sur le transfert des données personnelles hors UE (vers les Etats Unis). De plus, elle explique de manière détaillée comment respecter le principe du recueil du consentement des utilisateurs pour pouvoir déposer des cookies sur leur navigateur.

Google Analytics : des alternatives possibles ? (07/06/2022)

Le 7 juin 2022, la CNIL a apporté plusieurs réponses suite à la décision « Google Analytics » qu'elle a rendu le 10 février 2022. Dans cette décision, la CNIL mettait en demeure un gestionnaire de site internet français de cesser d'utiliser Google Analytics sous un mois, estimant que le transfert de données vers les Etats-Unis est contraire aux dispositions du Règlement Général de la Protection des données (RGPD). Cette décision fait donc suite à l'arrêt « Schrems II » rendu par la Cour de justice de l'Union européenne en juillet 2020, qui déclare le Privacy Shield (règlement sur le transfert de données personnelles de l'UE vers les Etats-Unis) invalide.

Les organismes utilisant Google Analytics disposent alors d'un délai de 1 mois (possiblement renouvelable) à partir de leur mise en demeure pour réagir. Ils doivent ensuite justifier à la CNIL leur mise en conformité au RGPD, après avoir changé de prestataire.

La CNIL étudie d'autres solutions éventuellement possibles pour les organismes qui souhaitent continuer d'utiliser Google Analytics.

Selon la CNIL :

1. L'ajout de clauses contractuelles types et de garanties supplémentaires

Ces différentes mesures sont jugées insuffisantes par la CNIL étant donné qu'elles n'assurent pas une protection effective des données personnelles transférées vers les Etats-Unis. En effet, cela n'empêche pas les services de renseignement d'accéder aux données.

2. Paramétrer Google Analytics de manière à ne pas transférer de données personnelles en dehors de l'UE ?

Cette solution s'avère impossible, Google ayant indiqué que les données collectées par Google Analytics sont hébergées aux Etats-Unis. La CNIL précise que même en l'absence de transfert, il est possible que les autorités de pays tiers obligent les organismes à divulguer les données personnelles hébergées au sein de l'UE. Or, l'article 48 du RGPD n'autorise cet accès que dans le cas où un accord international entre le pays tiers et l'Etat membre concerné prévoit une telle communication.

3. Paramétrer Google Analytics de manière à ne transférer vers les Etats-Unis que les données anonymes

Il convient de différencier deux différentes mesures pouvant être mises en place par les organismes afin de sécuriser les données.

Pseudonymisation : traitement de données personnelles consistant à remplacer les données identifiantes par un jeu de données indirectement identifiantes, rendant l'identification de la personne physiques impossible sans le jeu de données.

Anonymisation : utilisation de techniques rendant impossible l'identification de la personne physique par quelques moyens que ce soit, de manière irréversible. Le RGPD ne s'applique pas aux données anonymisées.

Google utilise des mesures de pseudonymisation, mais concernant ses mesures d'anonymisation des adresses IP, elles ne sont pas applicables à tous les transferts et il n'est pas précisé si cette anonymisation a bien lieu avant le transfert vers les Etats-Unis ou après. De plus, l'utilisation d'autres services de Google en plus de celle de Google Analytics augmente les risques de recoupement de l'adresse IP.

Il est tout de même important de noter que le 18 juin 2021, le Comité européen de la protection des données (CEPD) admet la possibilité d'utiliser la pseudonymisation comme mesure supplémentaire à condition de s'assurer que la réidentification de la personne est impossible.

4. Chiffrer les données

Le chiffrement des données opéré par Google LLC s'avère insuffisant étant donné que l'outil a l'obligation d'accorder l'accès ou de fournir les données importées qui sont en sa possession (dont les clés de chiffrement nécessaires afin de rendre les données lisibles).

Cependant, le chiffrement peut être considéré comme une garantie supplémentaire suffisante à condition que les clés de chiffrement soient conservées sous le contrôle exclusif de l'exportateur de données ou par d'autres entités dont le territoire offre un niveau de protection conforme aux exigences du RGPD.

5. Des garanties supplémentaires pour continuer à utiliser Google Analytics seul

La seule garantie supplémentaire envisageable consisterait à impliquer un service mandataire (« proxy »), qui permettrait d'éviter les contacts directs entre le terminal de l'internaute et les serveurs de l'outil de mesure, à condition que le serveur soit conforme avec les recommandations du 18 juin 2021 du CEPD.

6. Transférer les données avec le consentement explicite des personnes

L'article 49 du RGPD prévoit une dérogation dans certains cas particuliers pour lesquels le transfert de données est possible si la personne concernée a donné son consentement explicite. Cependant, cette dérogation n'est utilisable que pour les transferts non-systématiques et à durée déterminée (cela ne doit pas devenir la règle générale).

7. L'utilisation d'outils alternatifs

La CNIL a publié une liste d'outils alternatifs se limitant aux données strictement nécessaires à la fourniture du service, permettant à l'organisme de ne pas requérir le consentement de l'utilisateur. (Voir *Cookies : solutions pour les outils de mesure d'audience )

Attention : cette liste n'examine pas les enjeux des transferts internationaux actuels, notamment les conséquences tirées de l'arrêt Schrems II.

8. Adopter une approche par les risques (prise en compte de la probabilité des demandes d'accès aux données)

Cette alternative est impossible. L'accès aux données porte une atteinte grave aux libertés et droits fondamentaux des personnes concernées, il est donc nécessaire, lorsque cet accès est possible, de prendre des mesures techniques supplémentaires pour rendre l'accès impossible ou ineffectif.

Mettre son outil de mesure d'audience en conformité avec le RGPD (CNIL – 07/06/2022)

Comme évoqué précédemment, et toujours selon la CNIL, la solution la plus envisageable (en dehors du changement de prestataire) réside dans l'utilisation d'un proxy, qui correspondrait à la pseudonymisation avant export de données. Il est impératif que les données personnelles pseudonymisées ne puissent être attribuées à une personne physique identifiée ou identifiable. La réidentification doit être rendue impossible. La CNIL met alors en avant les critères nécessaires pour une proxyfication valable :

L'absence de transfert de l'adresse IP vers les serveurs de l'outil de mesure 
Le remplacement de l'identifiant utilisateur par le serveur de proxyfication 
La suppression de l'information de site référent externe au site 
La suppression des paramètres contenus dans les URL collectés 
Le retraitement des informations pouvant participer à la génération d'une empreinte, pour permettre de supprimer les configurations rares susceptibles de mener à une réidentification 
L'absence de collecte d'identifiant entre sites (ex : unique ID) 
La suppression de toute autre donnée susceptible de mener à une réidentification
La mise en place de conditions d'hébergement du proxy adéquates garantissant le fait que les données ne seront pas transférées dans un pays n'ayant pas de règlementation équivalente aux dispositions du RGPD.

Cookie Wall / Paywall : recommandations de la CNIL (16/05/2022)

Le dépôt de traceurs (par exemple les cookies) permet au service de collecter des informations sur l'internaute telles que son âge, son lieu de résidence ou encore ses habitudes de consommation. De ce fait, l'internaute pourra avoir accès au service en ligne gratuitement en transmettant certaines de ses données personnelles en contrepartie, ce qui aura pour objectif notamment de proposer des publicités ciblées afin de faciliter l'achat.

Cependant, le RGPD exige que le service ait recueilli le consentement préalable de l'internaute avant de déposer des traceurs. En effet, pour être en conformité avec le RGPD, le consentement doit être :

Informé  : préciser le type de cookies, leur finalité, etc.
Univoque : pas de consentement tacite, il faut un acte positif clair
Libre : aucune conséquence négative en cas de refus de consentement
Spécifique : l'utilisateur doit pouvoir consentir à certains types de cookies et en refuser d'autres

Les sites ont alors principalement recours au cookie wall pour pouvoir assurer l'obligation du recueil du consentement préalable de l'internaute.

Cookie Wall : conditionner l'accès de l'internaute à un service à l'acceptation du dépôt de traceurs sur son terminal.

Dans sa décision du 19 juin 2020 sur les cookie walls, le Conseil d'Etat indique que l'exigence d'un consentement libre ne peut pas justifier une interdiction générale de la pratique des cookie walls. Ainsi, le recours au cookie walls est possible. Cependant, il est nécessaire de garantir l'existence d'une alternative réelle et équitable en cas de refus des traceurs, permettant à l'utilisateur d'accéder au service sans cookie wall.

Pour que l'existence de cette alternative soit effectivement caractérisée, il ne faut pas qu'il y ait de déséquilibre entre l'éditeur du site et l'internaute, qui serait alors privé d'un véritable choix. La CNIL estime que le déséquilibre est caractérisé lorsque l'internaute n'a que peu ou pas d'alternatives au service, ou en cas d'exclusivité de l'éditeur sur les contenus ou services. L'alternative doit alors être facilement accessible.

Si l'éditeur souhaite conditionner l'accès à son site au consentement à certaines finalités des traceurs, il peut le faire à condition de démontrer que son cookie wall est limité aux finalités qui permettent une juste rémunération du service proposé.

D'autres éditeurs vont conditionner l'accès à leur service au paiement d'une somme d'argent, ce sont les paywalls.

Paywall : obligation pour l'internaute qui refuse d'accepter les cookies de fournir une somme d'argent pour pouvoir avoir accès au site. L'utilisation des paywalls est autorisée étant donné qu'il s'agit d'une alternative au consentement aux traceurs. Cependant, il est nécessaire que le tarif proposé soit raisonnable, de manière à ne pas priver l'internaute d'un véritable choix. L'analyse du caractère « raisonnable » du tarif se fera au cas par cas.

L'éditeur va devoir :

Informer les utilisateurs de l'usage de leurs données
Limiter la collecte aux seules données nécessaires aux objectifs poursuivis
Informer préalablement l'internaute et recueillir son consentement en cas de réutilisation des données collectées lors de la création du compte pour de nouveaux objectifs


Attention : même lorsque l'utilisateur a choisi l'accès payant au site en refusant le dépôt de traceurs, l'éditeur pourra demander son consentement au dépôt de traceurs lorsqu'ils sont imposés pour accéder à un contenu hébergé sur un site tiers. L'éditeur devra indiquer à l'internaute : Que l'accès au contenu externe requiert le consentement au dépôt de traceurs (préciser les finalités utilisées) ; Qu'il est possible de retirer son consentement facilement et à tout moment ; Qu'en cas de refus du dépôt de traceurs, l'internaute sera dans l'impossibilité d'accéder au contenu externe

Les risques en cas de non-respect du RGPD en matière de consentement aux cookies (Belgique, décision Roularta, 25/05/2022)

L'autorité de protection des données (APD) belge a procédé à une enquête concernant l'utilisation des cookies sur les sites de presse belges les plus populaires afin de vérifier leur conformité avec le RGPD et la directive ePrivacy. Le 25 mai 2022, elle a condamné le groupe Roularta d'une amende de 50.000 euros pour sa gestion des cookies sur les sites levif.be et knack.be. En effet, selon l'APD, le groupe Roularta ne respectait pas toutes les obligations relatives au consentement exigées par le RGPD :

Consentement préalable : environ 60 cookies déposés sur l'appareil de l'utilisateur sans même avoir recueilli son consentement. Seuls deux cookies ont été jugés strictement nécessaires sur les deux sites (les cookies statistiques en question ont été jugés non strictement nécessaires à la fourniture du service demandé).

Information à l'utilisateur : informations incorrectes et manque de clarté quant à l'utilisation des cookies (ex : cookies non documentés individuellement)

Consentement univoque : certaines cases de consentement au dépôt de cookies étaient pré-cochées, ce qui ne respecte pas l'obligation prévue par l'article 7.1 du RGPD imposant de démontrer que la personne concernée a donné son consentement à l'installation des cookies qui ne sont pas strictement nécessaires.

Violation du principe de responsabilité du responsable de traitement des cookies qu'il installe ou lit sur son site Web :  en l'espèce, le groupe Roularta avait publié une clause de non-responsabilité pour les sites en question dans laquelle il prétendait ne pas être responsable du placement de cookies tiers sur ces sites.

Durées de conservation injustifiées des cookies : la durée de conservation ne peut pas être indéfinie (en l'espèce, la politique en matière de cookies mentionne une durée de conservation en principe illimitée). Les cookies n'imposant pas le consentement de l'utilisateur doivent généralement être supprimés à la fin de la session du navigateur et parfois même plus tôt.

Non-respect du retrait du consentement (article 7.3 du RGPD) : En l'espèce, le nombre de cookies ne diminuait pas après le retrait du consentement (le nombre augmentait pour le site Knack, et il était impossible d'utiliser l'outil de gestion des cookies après le premier consentement pour le site Le Vif).

L'APD sanctionne alors le groupe Roularta d'une amende d'un montant de 50.000 € et le contraint à se mettre en conformité avec le RGPD dans un délai de 3 mois à compter de la réception de la décision. Le groupe Roularta peut interjeter appel dans un délai d'un mois et la Chambre contentieuse poursuit son enquête auprès d'autres sites. A l'heure actuelle, cette décision ne reflète qu'une partie de l'enquête.

Marie BREYNE, Juriste 

Raphaël RAULT, Avocat associé

Le DPO (Data Protection Officer)

admin_aaa — 2022-06-03T12:30:52Z

La CNIL a publié, le 6 avril 2022, un guide pratique à destination :

des organismes souhaitant / devant désigner un Délégué à la protection des données (Data Protection Officer ou DPO) ;
des DPO déjà en poste.

Qu'est-ce que le DPO ?

Le DPO (Data protection officer) correspond au délégué à la protection des données. Ce métier est issu du RGPD (25/05/2018), mais n'est pas nouveau. En effet, il existait déjà auparavant sous l'appellation de « correspondant informatique et libertés » (CIL). Toutefois, sa présence au sein des organismes n'était alors que facultative. Depuis 2018, de nombreux organismes ont l'obligation de désigner un DPO (en 2021, plus de 80 000 organismes ont désigné un DPO). En effet, l'article 37 du RGPD pose trois situations dans lesquelles la désignation du DPO est obligatoire :

Lorsque le traitement de données personnelles est mis en œuvre par une autorité publique ou un organisme public.

Lorsque les activités de base de l'organisme sont des opérations de traitement de données qui exigent un suivi régulier et systématique à grande échelle (non officiellement quantifiée) des personnes concernées, du fait de leur nature, de leur portée et/ou de leur finalité.

Lorsque les activités de base de l'organisme consistent en un traitement spécifique de données à grande échelle visé aux articles 9 et 10 du RGPD (données sensibles, condamnations pénales et infractions).

En dehors de ces trois cas, la CNIL recommande tout de même aux organismes de désigner un DPO dès lors qu'ils rencontrent des problématiques liées à la protection des données.

Le rôle du DPO

Le DPO a un rôle important depuis son apparition dans le RGPD. En effet, il doit être un véritable « chef d'orchestre » de la gestion des données personnelles au sein de l'organisme pour lequel il a été désigné. L'essentiel de ses fonctions consiste à :

Conseiller et accompagner l'organisme : il apporte son expertise, informe toute personne traitant des données au sein de l'organisme sur les règles applicables, peut imposer son intervention ou sa présence systématique pour certaines situations, etc.


Attention : Le DPO n'est pas responsable de la conformité de l'organisme aux dispositions du RGPD et des différentes obligations qui en découlent.

Contrôler le respect du RGPD : il vérifie l'exactitude des informations contenues dans le registre des traitements mis en œuvre par l'organisme et de la conformité des traitements les plus sensibles, met en place des outils de suivi, contrôle l'effectivité des mesures de protection des données mises en œuvre, etc.

Être le point de contact de l'organisme sur les sujets RGPD : Le DPO peut consulter la CNIL sur toutes questions ayant un rapport avec la protection des données ou ses fonctions et coopère avec elle en cas de contrôle. Il est aussi le point de contact des personnes concernées par les traitements de données personnelles, il peut alors répondre à leurs questions sur le sujet et prendre en charge le traitement de leur demande d'exercice de droits. Ainsi, le délégué doit être informé et consulté dès lors qu'il s'agit d'un projet impliquant des données personnelles.


Attention : L'organisme doit d'abord prendre le soin de consulter son DPO sur la question qu'il se pose avant d'adresser une demande de conseils à la CNIL. A défaut de consultation préalable du DPO, la CNIL ne répondra pas à la demande de l'organisme.

Assurer la documentation des traitements de données : La documentation est obligatoire et permet à l'entité (responsable de traitement ou sous-traitant) de prouver le respect de ses obligations et les démarches entreprises. Le DPO doit s'assurer du respect de la tenue de cette documentation.

Quelques exemples d'éléments pouvant être intégrés dans la documentation :

le registre des activités de traitement (le DPO peut prendre en charge cette mission)
les analyses d'impact relatives à la protection des données (AIPD)
le registre des violations des données
les mentions d'informations
les preuves du recueil du consentement
les outils d'encadrement des transferts hors UE
l'analyse écrite sur l'absence de conflit d'intérêts du DPO

La désignation du DPO

Le profil du DPO

Pour pouvoir désigner un DPO, il faut vérifier s'il remplit ou non ces différents critères :

Détenir les compétences requises : Le DPO doit bénéficier d'une expertise juridique et technique en matière de protection des données personnelles et d'une bonne connaissance dans le domaine.

Disposer de moyens suffisants : Le DPO doit disposer du temps suffisant pour exercer ses missions, de moyens matériels et humains, d'un accès aux information utiles. De plus, il doit être associé aux projets impliquant des données personnelles, être facilement joignable, etc.

Avoir la capacité d'agir en toute indépendance : Le DPO dispose d'un statut particulier. Il est indépendant et ne peut pas recevoir d'instructions dans l'exercice de ses missions. Il ne peut pas non plus être sanctionné en cas de non-respect du RGPD. Le DPO ne doit pas être dans une situation de conflit d'intérêt en cas de cumul de sa fonction de délégué avec une autre fonction. Enfin, il est soumis à une obligation de confidentialité et au secret professionnel.

Les types de DPO

L'organisme dispose d'un libre choix dans la désignation de son DPO. En effet, le DPO peut être une personne physique ou une personne morale. De plus, il peut s'agir d'un DPO interne ou d'un DPO externe.

Le DPO interne : Le délégué est un membre du personnel de l'entreprise. Il pourra alors exercer ses fonctions à temps plein ou à temps partiel. Ce mode de désignation présente différents avantages. En effet, le délégué est présent directement sur le terrain, il connait l'organisme et ses interlocuteurs internes. Cependant, il est nécessaire que l'organisme veille à ce qu'il n'y ait pas de conflit d'intérêt et que le délégué dispose de temps suffisant pour exercer ses missions.

Le DPO externe : Le délégué exerce ses fonctions sur la base d'un contrat de service conclu avec une personne physique ou morale (cabinet d'avocats, cabinet de conseil, consultant, etc.). Cette désignation est utile notamment dans le cas où l'organisme ne dispose pas de ressource humaine en interne. L'avantage est aussi que ce type de DPO sera spécialisé dans un secteur et disposera déjà d'une expérience avec d'autres organismes. Cependant, il faut veiller à assurer une certaine proximité par un contact régulier entre le DPO externe et l'organisme.

Le DPO mutualisé : Il s'agit d'un DPO (interne ou externe) désigné pour plusieurs entités. Cette désignation a pour avantage d'uniformiser les procédures entre les entités, mais il faut tout de même s'assurer que le DPO soit tenu informé de l'ensemble des sujets internes liés à la protection des données.


Attention : La mutualisation n'est possible que sous certaines conditions qui varient en fonction du type de structure. Secteur privé : Le délégué mutualisé pour un groupe d'entreprise doit être facilement joignable à partir de chaque filiale. Secteur public : La mutualisation sera possible entre plusieurs autorités ou organismes publics, en tenant compte de leur structure organisationnelle et de leur taille (cela se fera notamment pour les plus petites collectivités territoriales). Le 31 mai 2022, la CNIL a mis publiquement en demeure 22 communes de désigner un DPO. En cas de mutualisation, chacune des entités concernées devra compléter le formulaire de désignation du délégué auprès de la CNIL.

La CNIL recommande de formaliser les missions confiées au DPO et de définir ses modalités de travail dans un document spécifique (lettre de mission, avenant au contrat de travail, fiche de poste, contrat de prestation de service pour le DPO externe, etc.).

Les formalités à suivre lors de la désignation

L'organisme doit remplir plusieurs formalités lors de la désignation de son DPO :

Compléter le formulaire de désignation de DPO : Il est constitué de 4 étapes :

Informations sur l'organisme qui désigne un DPO
Informations sur le délégué désigné (personne physique ou morale)
Les informations publiques du délégué (renseigner deux moyens de contacter le DPO)
Récapitulatif et envoi à la CNIL


Attention : Le non-respect de la démarche de désignation du DPO ou de l'une des dispositions relatives au DPO emporte des conséquences juridiques. En cas d'erreur sur le formulaire, l'organisme peut demander sa rectification en envoyant un courriel au service des DPO.

Remettre une lettre de mission au DPO lors de sa prise de fonction : Les missions confiées par l'organisme au délégué doivent être adaptées aux spécificités du contexte (nature juridique de l'organisme, type d'activité, profil et positionnement du délégué) dans les limites des missions du DPO définies par le RGPD.

Liens :

https://www.cnil.fr/fr/la-cnil-met-en-demeure-vingt-deux-communes-de-designer-un-delegue-la-protection-des-donnees

https://www.cnil.fr/sites/default/files/atoms/files/guide_pratique_rgpd_-_delegues_a_la_protection_des_donnees.pdf

Marie BREYNE, Juriste
Raphaël RAULT, Avocat associé

Publication du Bilan annuel de la CNIL 2021 (11/05/2022)

admin_aaa, Raphaël — 2022-06-03T11:33:52Z

Le 11 mai 2022, la CNIL a publié son rapport d'activité pour l'année 2021. Elle y retrace les éléments marquants de cette année et établit ses perspectives d'action pour la période à venir.

L'année 2021 a été marquée par plusieurs évènements importants tels que :

• Une augmentation considérable des notifications de violation des données
• Un total de 18 sanctions prononcées par la CNIL, dont 15 sanctions financières (représentant un montant cumulé d'amende de 214 millions d'euros)
• Un contrôle renforcé des méthodes de surveillance des employeurs dans le cadre du télétravail
• La mise en place d'une nouvelle procédure de décision simplifiée

L'année 2021 en quelques chiffres

Au cours de l'année 2021, 14 143 plaintes ont été adressées à la CNIL, ce qui reste similaire aux chiffres de 2020. Parmi celles-ci, 12 522 ont été clôturées. Cependant, c'est au niveau du nombre de notification de violations de données que l'année 2021 se démarque de l'année 2020. En effet, la CNIL annonce 5 037 notifications de violation de données sur l'année 2021, représentant une augmentation de 79% par rapport à l'année 2020.

De plus, la CNIL a effectué un total de 384 contrôles, qui ont conduit au prononcé de 18 sanctions (dont 15 amendes pour un montant cumulé d'amende historique de 214 106 000 euros).

Une nouvelle procédure de décision

Au cours de l'année, la CNIL a eu pour volonté de raccourcir les délais d'instruction. Pour cela, elle a engagé un chantier modifiant l'organisation des services dédiés à la gestion des plaintes. Elle a ainsi créé deux services distincts chargés de l'instruction des saisines :

- Un service compétent pour les réclamations et demandes pouvant être gérées rapidement (délais de quelques jours à 2 mois).
- Un autre service compétent pour les dossiers plus conséquents, nécessitant davantage d'échanges avec les parties.

Enfin, une autre mesure a été prise par la CNIL, consistant à recourir à un prestataire externe lorsqu'il s'agit de plaintes simples et récurrentes.

La gestion de la crise sanitaire

Dans le cadre de la lutte contre l'épidémie de COVID-19, la CNIL a été d'autant plus sollicitée, notamment pour rendre des avis, recommandations ou encore pour contrôler les méthodes utilisées par les employeurs pour surveiller leurs salariés en télétravail. En effet, elle a répondu aux questions les plus fréquentes concernant le télétravail et en a profité pour rappeler qu'il est interdit à l'employeur de surveiller en permanence ses salariés en télétravail (par exemple, un employeur de peut pas systématiquement imposer à un salarié d'activer sa caméra). Il est donc nécessaire d'effectuer une surveillance proportionnée. A défaut, les salariés pourront déposer une plainte à la CNIL, cette dernière effectuera alors des contrôles quant au respect du RGPD. A l'issue de ces contrôles, la CNIL est susceptible de mettre en demeure les organismes de se conformer au RGPD, mais aussi de prononcer une sanction financière.

De plus, la CNIL a dû intervenir dans le cadre des violations de données en lien avec la crise sanitaire. Le 4 octobre 2021, elle a mis en demeure la société Francetest de sécuriser les données qu'elle collecte pour le compte des pharmacies lors des tests de dépistage de covid. En effet, la société Francetest est chargée de simplifier la collecte de données des patients testés et d'en faciliter la transmission vers la plateforme SI-DEP. Le 21 août 2021, elle avait été informée de l'existence d'une violation de données affectant la sécurité du site francetest.fr. Cette violation concernait près de 400 000 personnes, exposant leur nom, prénom, adresse mail, numéro de téléphone, date de naissance, résultat du test covid et numéro de sécurité sociale.

Perspectives pour les années à venir

La CNIL expose ses trois piliers d'action pour l'année 2022 :

- Renforcer sa démarche d'ouverture pour gagner en efficience : améliorer sa coopération avec les homologues européens, rendre plus claire la compréhension de l'utilisation des données pour les individus, etc.

- Maintenir son exigence de respect des droits de l'homme : faciliter l'exercice des droits pour les victimes de manquements aux obligations, réduire les délais d'instruction des plaintes, améliorer l'accompagnement des professionnels, consolider la doctrine et développer de nouveaux outils, etc.

- S'adapter à la nouvelle étape de régulation économique : atteindre un total de 270 agents à la fin de l'année 2022, veiller à la cohérence des nouveaux actes (Digital Marckets Act / Digital Services Act) avec le cadre juridique de la protection des données personnelles.

Liens :

https://www.cnil.fr/sites/default/files/atoms/files/cnil_-_42e_rapport_annuel_-_2021.pdf

https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000044199347

Synthèse Bilan CNIL 2021

Marie BREYNE, Juriste
Raphaël RAULT, Avocat associé

Synthèse et analyse de la mise en demeure d'un gestionnaire de site web pour la mise en conformité de Google Analytics

admin_aaa — 2022-03-04T18:00:13Z

La CNIL a mis en demeure un gestionnaire de site web de mettre en conformité les traitements résultant de l'utilisation par celui-ci de Google Analytics avec le RGPD au regard de l'existence de transferts hors de l'Union européenne insuffisamment encadrés en l'état, si besoin en cessant d'y avoir recours dans les conditions actuelles, ou en ayant recours à un outil n'entraînant pas de transfert de données hors de l'Union européenne.

Synthèse

Mise en demeure, sous un délai de 1 mois à compter de la notification de la décision au gestionnaire du site web, de :

Mettre en conformité le traitement relatif à la fonctionnalité Google Analytics avec les articles 44 et suivants du RGPD relatifs aux transferts de données hors de l'Union européenne, si nécessaire, en cessant de traiter des données à caractère personnel dans le cadre de la version actuelle de Google Analytics ;

Justifier auprès de la CNIL que la demande précitée a bien été respectée, et ce dans le délai imparti.

Analyse

Contexte

A la suite de l'arrêt Schrems II rendu par la Cour de Justice de l'Union européenne (CJUE) le 16 juin 2020, l'association NOYB créée par Maximilian SCHREMS a saisi la CNIL de plusieurs plaintes concernant l'existence de transfert de données à caractère personnel à destination des Etats-Unis lors de la visite de sites web utilisant Google Analytics.

L'association NOYB a lancé une campagne massive de 101 plaintes à ce sujet, distillées dans les 27 États membres de l'Union européenne et les trois autres États de l'espace économique européen (EEE).

Dès lors, les autorités de protection des données européennes, dont la CNIL, ont collaboré afin de déterminer si les conditions dans lesquelles les données collectées lors de l'utilisation de Google Analytics impliquaient le transfert de ces données vers les Etats-Unis, et le cas échéant, quels risques encouraient les personnes concernées du fait d'un tel transfert.

Constatations de la CNIL

Les opérations de traitement et la responsabilité du traitement

La CNIL relève tout d'abord le fonctionnement de Google Analytics pour le gestionnaire de site web en cause, étant principalement utilisé pour effectuer la mesure d'audience du site et des performances des campagnes médias, par l'inclusion d'un bloc de code JavaScript permettant d'exécuter l'opération de suivi d'un internaute au moyen d'un identifiant unique.

Ainsi, les gestionnaires de sites web intégrant Google Analytics peuvent transmettre des instructions à GOOGLE à propos des traitements de données réalisés avec cette fonctionnalité, au moyen de l'outil de gestion des balises (Google Tag Manager).

De façon complémentaire, Google Analytics peut également être utilisé afin de surveiller et entretenir la stabilité du site, ou afin d'évaluer et optimiser l'efficacité des campagnes publicitaires mises en œuvre au moyen d'autres outils fournis par GOOGLE.

Ainsi, l'utilisation de Google Analytics entraîne la collecte de :

La requête http de l'utilisateur ;
Les informations relatives à son navigateur ;
Les informations relatives à son système d'exploitation.

Ces données sont transmises aux serveurs de Google Analytics, et dès lors transférées aux Etats-Unis.

Concernant l'encadrement de ces transferts hors de l'Union européenne, des Clauses contractuelles types (CCT) figurent dans le contrat conclu entre le gestionnaire de site web et GOOGLE concernant Google Analytics, au sein de l'annexe dénommée « Google Ads Data Processing Terms ».

Par ailleurs, le gestionnaire de site web doit être considéré comme responsable de traitement au regard des traitements réalisés au moyen de Google Analytics, en ce qu'il décide de mettre en oeuvre cette fonctionnalité, aux fins et selon les moyens qu'il a déterminés lors de son intégration sur le site.

La nature des données

Concernant la nature des données, il revenait à la CNIL de déterminer si les données traitées au moyen de Google Analytics peuvent être qualifiées de données à caractère personnel ou non.

Il était donc nécessaire de savoir « dans quelle mesure la mise en œuvre de Google Analytics sur un site web permet au gestionnaire du site web [...] de rendre une personne concernée (un visiteur du site web en cause) identifiable ».

En l'occurrence, le gestionnaire de site web a indiqué à la CNIL que des données à caractère personnel sont traitées via Google Analytics, et notamment :

un identifiant du visiteur (identifiant du cookie visiteur Google Analytics, c'est-à-dire le « client ID » Google Analytics) ;
pour les visiteurs s'étant authentifiés au site web à travers un compte utilisateur, un identifiant interne [...] ;
les identifiants de commande, le cas échéant ;
les adresses IP.

Le gestionnaire de site web a également indiqué à la CNIL que les adresses IP étaient rendues anonymes, sans toutefois préciser le processus d'anonymisation mis en œuvre.

De plus, selon la CNIL :

Les identifiants attribués aux visiteurs sont des identifiants uniques ayant pour objet de les distinguer, et pouvant être combinés à d'autres informations (adresse du site, métadonnées, adresse IP…), ce qui les rend donc susceptibles de permettre l'identification des personnes concernées ;
Lors de l'utilisation d'un compte utilisateur ou lors de la réalisation d'une commande, ces identifiants sont directement reliables à des données identifiantes ;
Lors de l'utilisation de Google Analytics, en fonction du paramétrage du compte Google de l'utilisateur, Google peut être informé qu'un utilisateur connecté à son compte a visité un site spécifique, et ainsi, des données relatives à ce compte peuvent être collectées.

La CNIL déduit donc de ces éléments que les données traitées au moyen de Google Analytics doivent être considérées comme des données à caractère personnel.

Le manquement à l'obligation d'encadrer les transferts hors UE

Sur l'obligation d'encadrer les transferts hors de l'Union européenne, la CNIL souligne tout d'abord qu'en raison de l'invalidation de la décision d'adéquation de la protection assurée par le Privacy Shield par la CJUE le 16 juillet 2020, et en l'absence d'une décision d'adéquation rendue par la Commission européenne, les transferts de données vers les Etats-Unis réalisés lors de l'utilisation de Google Analytics ne peuvent pas être fondés sur une telle décision.

Sur les CCT encadrant en partie le transfert de données vers les Etats-Unis dans le cadre de l'utilisation de Google Analytics et figurant au sein du « Google Ads Data Processing Terms », la CNIL reconnaît tout d'abord que celles-ci sont conformes aux clauses contractuelles types publiées par la Commission européenne en 2010.

Toutefois, la CJUE avait constaté dans son arrêt du 16 juillet 2020 que les pouvoirs de surveillance des autorités gouvernementales américaines résultant des règlementations en vigueur aux Etats-Unis (FISA 702 et Executive Order 12333) ne correspondaient pas aux exigences minimales du droit de l'Union européenne quant au principe de proportionnalité, et ne permettaient pas de aux personnes concernées de disposer d'un droit au recours effectif, en l'absence de droits opposables aux autorités américaines devant les tribunaux.

Au surplus, la CNIL a noté que le rapport de transparence de Google indique que la société GOOGLE LLC (société de droit américain), est régulièrement destinataire de demandes d'accès à des données dont elle dispose, de la part des services de renseignements américains.

Il était donc nécessaire, pour procéder à un transfert de données vers les Etats-Unis, de mettre en oeuvre des garanties supplémentaires, en complément des CCT permettant de maintenir un niveau de protection des données similaire à celui découlant du droit de l'Union européenne.

En l'espèce, la CNIL a noté que GOOGLE LLC, en sa qualité de destinataire des données, avait adopté des mesures contractuelles, organisationnelles et techniques en complément des CCT, dont elle devait donc évaluer l'efficacité, c'est-à-dire leur capacité à empêcher ou restreindre l'accès des services de renseignements américains aux données.

Ainsi, la CNIL a considéré que :

Les mesures contractuelles et organisationnelles adoptées, telles que la notification des utilisateurs, la publication d'un rapport de transparence ou encore la politique de gestion des demandes d'accès gouvernementales, ne permettent pas d'empêcher ou de restreindre l'accès des services de renseignement américains.
Les mesures techniques évoquées par le gestionnaire du site web et GOOGLE, telles que la protection des communications entre les services de GOOGLE, la protection des données en transit entre des centres de données, la protection des communications entre les utilisateurs et les sites web, ou encore la sécurité du site, ne permettent pas de déduire qu'elles suffisent à empêcher ou restreindre l'accès des services de renseignement américains.

En particulier, la CNIL a estimé qu'en l'état actuel de la législation, les techniques de chiffrement des données mentionnées par GOOGLE concernant les données stockées dans des centres de données, ne sont pas suffisantes, car GOOGLE se trouve dans l'obligation de fournir les données importées en sa possession, y compris les clés de chiffrement.

En outre, la CNIL n'a pas été convaincue par la mesure technique optionnelle proposée par GOOGLE, consistant à permettre l'anonymisation de l'adresse IP, tout d'abord en raison de son caractère optionnel, puis du fait de l'absence d'information quant au moment auquel cette anonymisation a lieu, c'est-à-dire avant ou après le transfert vers les Etats-Unis.

En conclusion, la CNIL considère donc que les mesures supplémentaires adoptées et présentées par GOOGLE et le gestionnaire du site dans le cadre de la procédure ne sont pas efficaces afin d'empêcher ou de restreindre l'accès aux données par les services de renseignement américains.

Enfin, selon la CNIL, le gestionnaire de site ne pouvait pas non plus se fonder sur le consentement des personnes concernées, en l'absence d'information claire, précise et complète relative aux risques du transfert de données hors de l'Union européenne.

Conclusion et analyse de la décision

La CNIL en conclut donc qu'en l'état, les transferts vers les Etats-Unis réalisés lors de l'utilisation de Google Analytics par un gestionnaire de site web ne peuvent être fondés sur aucun des instruments garantissant un niveau de protection adéquat au sein du RGPD, et qu'ainsi, le gestionnaire de site web compromet le niveau de protection des données à caractère personnel des personnes concernées.

La décision de la CNIL s'inscrit dans un mouvement diffus des autorités de contrôle européennes, consistant à remettre en cause les transferts de données à caractère personnel vers les Etats-Unis résultant de l'utilisation d'outils provenant de sociétés américaines telles que GOOGLE.

En effet, l'autorité de contrôle autrichienne (Datenschütz Behörde ou DSB) a rendu une décision similaire à celle de la CNIL concernant l'utilisation de Google Analytics, le 22 décembre 2021, établissant ainsi la première décision découlant des 101 plaintes déposées par NOYB.

Le 5 janvier 2022, le Contrôleur européen de la protection des données a également sanctionné le Parlement européen, par un rappel à l'ordre et une injonction de mise en conformité, en raison de transferts de données vers les Etats-Unis qu'il a considéré illégaux en raison de l'utilisation de Google Analytics et du fournisseur de paiement STRIPE.

Enfin, des précédents similaires étaient déjà intervenus au sujet de la mise en conformité de transferts de données vers les Etats-Unis, pour d'autres outils ou fournisseurs de services.

Ainsi, le 27 avril 2021, l'autorité de protection des données du Portugal (Comissão Nacionãl de Proteção de Dados ou CNPD), a ordonné à l'Institut national des statistiques portugais (INE) la suspension dans un délai de 12 heures des transferts de données personnelles vers les Etats-Unis résultant de la sous-traitance à CLOUDFLARE INC. de l'exploitation d'un questionnaire de recensement.

De la même manière, le 1er décembre 2021, la Cour administrative de Wiesbaden en Allemagne a ordonné à l'Université des Sciences Appliquées du Rhin-Main de cesser d'utiliser le gestionnaire de consentement Cookiebot, en raison du transfert illégal de données à caractère personnel vers les Etats-Unis.

Les transferts de données hors de l'Union européenne vont probablement entraîner d'autres décisions similaires à celle de la CNIL dans un futur proche.

La CNIL a annoncé que le recours aux technologies cloud ferait partie de ses thématiques prioritaires de contrôle pour l'année 2022, notamment car « ces nouveaux mécanismes sont susceptibles de comporter des risques pour la protection des données personnelles notamment de transferts massifs de données hors de l'Union européenne vers des pays n'assurant pas un niveau de protection adéquat ou de violation de données en cas de mauvaise configuration ».

Décision CNIL - Google Analytics
Décision DSB - Google Analytics du 22 décembre 2021 (en allemand)
Décision du Contrôle européen de la protection des données (CEPD) du 5 janvier 2022 (en anglais)
Communiqué du Comité européen de la protection des données (CEPD) sur la décision CNPD - Cloudflare (en anglais)
Décision de la Cour administrative de Wiesbaden du 1er décembre 2021 - Cookiebot (en allemand)

Raphaël RAULT
Avocat associé

Raphaël EKWALLA-MATHIEU
Avocat collaborateur

Synthèse et analyse de la sanction d'IAB EUROPE à hauteur de 250 000 € par l'Autorité de Protection des Données

admin_aaa — 2022-03-03T17:20:33Z

L'Autorité de protection des données (APD, autorité de contrôle belge) a condamné IAB EUROPE (Interactive Advertising Bureau Europe), à une amende d'un montant total de 250 000 € pour des manquements aux articles 5.1.a, 5.1.f, 12, 13, 14, 24, 25, 30, 32, 35 et 37 du RGPD, au regard du mécanisme TCF (Transparency and Consent Framework) élaboré afin de gérer les préférences des utilisateurs pour la publicité personnalisée en ligne.

Synthèse

A la suite d'une sanction à hauteur de 250 000 €, l'IAB EUROPE doit fournir un plan d'actions de 6 mois à l'APD dans un délai de 2 mois à compter de la décision (assorti d'une astreinte de 5 000 € par jour de retard), afin de :

Rendre le TCF conforme aux obligations de licéité et loyauté par les moyens suivants :
- Etablir une base juridique valable pour le traitement et le partage des préférences des utilisateurs dans le cadre du TCF, sous la forme d'une TC String et d'un cookie euconsent-v2 ;
- Supprimer toute donnée collectée au moyen d'une TC String jusqu'au jour de sa décision, et qui ne serait plus prise en charge par IAB EUROPE ;
- Interdire l'utilisation de l'intérêt légitime comme fondement juridique du traitement par les organisations participantes du TCF dans son format actuel, au moyen des conditions d'utilisation du TCF.

Rendre le TCF conforme aux obligations de transparence et d'information en exigeant des CMP qu'elles adoptent une approche harmonisée et conforme au RGPD concernant les informations fournies aux utilisateurs.

Rendre le TCF conforme aux obligations d'intégrité et de sécurité, et de protection des données dès la conception et par défaut par les moyens suivants :
- Inclure des mesures de contrôle techniques et organisationnelles efficaces pour faciliter l'exercice des droits des personnes concernées et pour garantir l'intégrité de la TC String, par exemple au moyen d'un processus de vérification strict pour les organisations participant au TCF ;
- Interdire par ses conditions d'utilisation aux organisations participantes à la version actuelle du TCF d'activer un consentement par défaut, et d'utiliser l'intérêt légitime comme base légale des traitements.

Assurer la conformité du registre des traitements effectués dans le cadre du TCF en y incluant le traitement des préférences et du consentement des utilisateurs sous la forme d'une TC String, et le placement du cookie euconsent-v2 sur leurs terminaux.

Réaliser une analyse d'impact relative à la protection des données concernant les traitements réalisés dans le cadre du TCF, ainsi que les conséquences de ces traitements sur le traitement ultérieure effectué sur la base du protocole OpenRTB.

Désigner un délégué à la protection des données.

Analyse

Contexte

Au cours de l'année 2019, l'APD a reçu de nombreuses plaintes déposées à l'encontre d'IAB EUROPE, portant notamment sur le respect par IAB EUROPE des principes de légalité, d'adéquation, de transparence, de limitation des finalités, de restriction du stockage et de sécurité, ainsi que sur la responsabilité d'IAB EUROPE.

L'APD a décidé de fusionner la procédure résultant de ces plaintes avec les enquêtes déjà diligentées de sa propre initiative à propos des traitements de données à caractère personnel réalisés via le mécanisme TCF élaboré par IAB EUROPE.

Les investigations de l'APD ont donc porté d'une part, sur la conformité du système du TCF avec les dispositions du RGPD, et d'autre part, sur la responsabilité d'IAB EUROPE et l'impact du TCF sur le système du RTB (Real-Time Bidding), système d'enchères en temps réel mis en oeuvre par IAB EUROPE.

Les enchères en temps réel désignent l'utilisation d'une enchère en ligne automatisée et instantanée pour la vente et l'achat d'espaces publicitaires en ligne.

Ainsi, lorsqu'un internaute navigue sur un site ou utilise une application contenant un espace publicitaire, le système d'enchères en ligne automatisé permet à des milliers d'annonceurs de faire une offre en temps réel pour cet espace publicitaire afin d'afficher des publicités ciblées spécifiquement adaptées au profil de l'internaute.

Le système mis en oeuvre par IAB EUROPE, c'est-à-dire l'OpenRTB, est « un protocole standard qui vise à simplifier l'interconnexion entre les fournisseurs adtech d'espaces publicitaires, les publishers (bourses d'échange d'annonces, plateformes côté vente ou réseaux travaillant avec les publishers) et les acheteurs concurrents d'espaces publicitaires (soumissionnaires, plateformes côté demande ou réseaux travaillant avec les annonceurs) ».

L'APD relève que le contenu d'une « bid request » est capturé par le protocole OpenRTB, et qu'ainsi, les annonceurs sont susceptibles de recevoir les données suivantes :

URL du site visité
Catégorie ou sujet du site
Système d'exploitation de l'appareil
Logiciel et version du navigateur
Fabricant et modèle de l'appareil
Opérateur de téléphonie mobile
Dimensions de l'écran
Identification unique de l'utilisateur définie par le fournisseur et/ou l'acheteur.
Identifiant unique de la personne provenant de l'Ad Exchange, souvent dérivé du cookie AdExchange.
L'identification de l'utilisateur d'une DSP, souvent dérivée du cookie de l'Ad Exchange qui est synchronisé avec un cookie du domaine de la DSP.
Année de naissance
Genre
Intérêts
Métadonnées rendant compte du consentement donné
Géographie
Longitude and latitude
Code postal

Dès lors, l'APD a estimé que le système RTB entre dans le champ d'application matériel du RGPD, et que le protocole OpenRTB et le TCF en sont des composants essentiels, car les opérations du système RTB impliquent le traitement de données à caractère personnel.

De plus, selon l'APD, le système d'enchères en temps réel, qui implique de nombreuses organisations, présente plusieurs risques importants pour les droits et libertés des personnes, au regard de la manière dont les données à caractère personnel sont traitées, et notamment :

Le profilage et la prise de décision automatisée ;
Le traitement à grande échelle de données (notamment des catégories spéciales de données à caractère personnel) ;
L'utilisation ou l'application innovante de nouvelles solutions technologiques ou organisationnelles ;
La mise en correspondance ou la fusion d'ensembles de données ;
L'analyse ou la prédiction du comportement, de la localisation ou des mouvements des personnes physiques ;
Le traitement invisible de données à caractère personnel.

Cependant, selon IAB EUROPE, le TCF qu'elle a élaboré comme un ensemble de politiques, de spécifications techniques, et de conditions contractuelles gérées et administrées par celle-ci, permettrait de suffisamment informer les personnes concernées des intérêts légitimes poursuivis par les annonceurs, et d'obtenir leur consentement au traitement de leurs données à caractère personnel dans le système d'enchères en temps réel qu'est l'OpenRTB.

A ce propos, l'APD souligne que le TCF comprend de manière générale les mêmes acteurs que les parties participant à l'OpenRTB (publishers, fournisseurs adtech), auxquels s'ajoutent les CMP (Consent Management Plateform).

Ainsi, dans ce cadre, la CMP génère la TC String, chaîne de caractères élaborée par IAB EUROPE, permettant de collecter automatiquement et de façon structurée les préférences des visiteurs des sites ou des applications ayant intégré la CMP étant en partenariat avec IAB EUROPE.

Puis, la CMP installe un cookie euconsent-v2 sur le terminal de l'utilisateur, et la TC String est envoyée aux fournisseurs adtech qui la déchiffrent, afin de déterminer s'ils disposent de la base juridique nécessaire pour traiter les données des visiteurs selon les finalités indiquées.

Constatations de l'APD

Le statut d'IAB EUROPE

A propos de la qualification de la TC String tout d'abord, l'APD énonce que même si elle ne contient pas en elle-même de données permettant une identification directe de l'utilisateur, il subsiste toutefois le traitement de l'adresse IP de l'utilisateur lorsque celui-ci accède à la CMP.

Ainsi, lorsque la CMP stocke ou lit la TC String sur un terminal par le biais du cookie euconsent-v2, les préférences de l'utilisateur et ses décisions en matière de consentement peuvent être liées à l'adresse IP de son terminal.

Dès lors, la possibilité de combiner la TC String et l'adresse IP de l'utilisateur implique que ces données constituent des données à caractère personnel, d'autant plus que les informations contenues au sein de la TC String peuvent être utilisées afin d'individualiser un utilisateur.

Enfin, selon l'APD, la finalité de la TC String conduit nécessairement à considérer la TC String comme une donnée à caractère personnel.

Par la suite, l'APD rappelle les termes des lignes directrices du G29 (ancien Groupe de travail « Article 29 », désormais le Comité européen de la protection des données ou CEPD) sur la publicité en ligne, selon lequel « les méthodes de publicité basée sur le comportement de navigation impliquent intrinsèquement le traitement de données à caractère personnel, car une telle publicité implique la collecte d'adresses IP et le traitement d'identifiants uniques, de sorte que les personnes concernées peuvent être suivies en lignes même si leur nom réel n'est pas connu ».

Ainsi, au regard du TCF et de son lien avec le protocole OpenRTB, l'APD estime que le TCF implique un traitement de données à caractère personnel, notamment en ce qu'il comprend la collecte, le traitement, le stockage et le partage ultérieur des préférences des utilisateurs, en combinaison ou non avec d'autres données à caractère personnel.

Puis, l'APD constate que le système développé par IAB EUROPE est déterminant s'agissant de la collecte, le traitement et le partage des préférences des utilisateurs, ainsi que de leurs choix en matière de consentement, et que celle-ci joue un rôle charnière entre le TCF et l'OpenRTB.

L'APD relève également que les finalités envisageables par les organisations participantes dans le cadre du TCF sont déterminées par IAB EUROPE, et dès lors de manière générale, la finalité de la TC String et de son traitement au sein du TCF a ont été établies par IAB EUROPE.

De plus, dans la mesure où le TCF constitue des règles contraignantes pour les organisations participantes, IAB EUROPE établit les moyens de ce traitement, ainsi que les catégories de destinataires et la durée de conservation de la TC String.

Par conséquent, l'APD considère qu'IAB EUROPE doit être considérée comme responsable du traitement des données à caractère personnel quant à l'enregistrement du signal de consentement, des objections et des préférences des utilisateurs au moyen de la TC String, conformément aux TCF Policies et aux spécifications techniques du TCF.

Plus encore, l'APD considère qu'IAB EUROPE et les organisations participantes doivent être considérées comme responsables de traitement conjoints concernant la collecte et la diffusion ultérieure du consentement, des objections et des préférences des utilisateurs, ainsi que pour le traitement connexe de leurs données à caractère personnel.

De la même manière, les CMP mettant en oeuvre le TCF doivent être considérés comme responsables de traitement conjoints.

Les éditeurs des sites ou des applications (publishers), agissent également en tant que responsables de traitement car ils choisissent de coopérer ou non avec une CMP mettant en œuvre le TCF, peuvent déterminer quels fournisseurs sont autorisés à fournir de la publicité sur leur site ou leur application, et sont susceptibles de contrôler la base juridique d'un traitement spécifique ou exclure certaines des finalités proposées par IAB EUROPE dans le cadre du TCF.

Par ailleurs, les fournisseurs adtech doivent également choisir les finalités et les bases juridiques envisagées, à partir de la liste fournie par IAB EUROPE. Ainsi, les fournisseurs adtechs et IAB EUROPE sont conjointement responsables des traitements réalisés dans le cadre de l'OpenRTB, pour des finalités de traitement déterminées conjointement et conformément aux préférences, objections et consentements recueillis dans le cadre du TCF.

Dès lors, d'après l'APD, IAB EUROPE, les publishers et les fournisseurs adtech participants sont responsables conjoints du traitement consistant en la collecte et la diffusion des préférences, des objections et du consentement des utilisateurs, ainsi que pour le traitement ultérieur de leurs données à caractère personnel.

Le manquement à l'obligation de licéité et de loyauté du traitement

Sur l'enregistrement du signal de consentement, des objections et des préférences des utilisateurs au moyen de la TC String

Tout d'abord, l'APD constate que les utilisateurs ne disposent d'aucune information quant à la base juridique du traitement par les CMP de leurs préférences concernant les finalités et les fournisseurs adtech autorisés.

En effet, ni les TCF Policies, ni les TCF Implementation Guidelines ne contiennent l'obligation pour les CMP d'obtenir le consentement des utilisateurs avant de procéder à ce traitement au moyen du cookie euconsent-v2.

Par ailleurs, les utilisateurs ne sont informés ni du traitement réalisé au moyen de la TC String, ni des destinaires et ni des durées de conservation de leurs préférences.

De plus, l'APD estime que l'exécution du contrat n'est a priori pas une base légale applicable à ce traitement, ce pourquoi elle se penche ensuite sur l'existence ou non d'un intérêt légitime, en fonction du critère de finalité (l'intérêt poursuivi est légitime), du critère de nécessité (le traitement est nécessaire à la réalisation de cet intérêt), et du critère de mise en balance (la mise en balance de l'intérêt légitime avec les intérêts, libertés et droits fondamentaux des personnes concernées est en faveur du responsable de traitement ou d'un tiers).

Sur le critère de finalité, l'APD considère que « l'enregistrement du consentement et des préférences des utilisateurs afin de s'assurer et de pouvoir démontrer que ceux-ci ont valablement consenti ou ne se sont opposés au traitement de leurs données à caractère personnel à des fins publicitaires, peut être considéré comme étant réalisé dans un intérêt légitime ».

Sur le critère de nécessité, l'APD relève que les informations contenues dans la TC String sont restreintes aux données strictement nécessaires pour atteindre l'objectif visé, de sorte que cette condition semble également remplie.

Toutefois, sur le critère de mise en balance, l'APD estime que cette condition n'est pas remplie, à défaut d'option d'opposition à l'intégralité du traitement de leurs préférences dans le cadre du TCF, et du défaut d'information de l'installation du cookie euconsent-v2, et de leur droit d'opposition à ce traitement.

Ainsi, l'APD en conclut que le traitement de données dans le cadre actuel du TCF n'est pas conforme à l'article 6 du RGPD, en l'absence de base juridique valide, ce qui constitue un manquement de la part d'IAB EUROPE, qui était tenue de fournir une base juridique pour le traitement des préférences des utilisateurs sous la forme de la TC String.

Sur la collecte et la diffusion des données à caractère personnel des utilisateurs par les organisations participantes

Sur le consentement comme base légale pour ce traitement, l'APD relève tout d'abord que le consentement recueilli par les CMP et les publishers dans la version actuelle du TCF est insuffisamment libre, spécifique, éclairé et dénué d'ambiguïté.

En effet, selon l'APD, les finalités de traitement proposées ne sont assez clairement définies, voire même trompeuses, notamment au regard de la portée du traitement ou de la durée de conservation des données collectées en l'absence de retrait du consentement.

Le caractère lacunaire des informations fournies aux utilisateurs par les CMP relatives aux opérations de traitement mises en oeuvre, qui sont trop générales d'après l'APD, et la difficulté pour les utilisateurs de disposer d'informations quant aux destinataires des données considérant leur grand nombre, empêche que leur consentement soit suffisamment éclairé.

Par ailleurs, l'APD constate que le consentement d'un utilisateur ne peut pas être retiré aussi simplement qu'il peut être donné, notamment en raison du fait que ce retrait au moyen d'une CMP ne prend effet qu'à partir du moment où le fournisseur adtech consulte les nouvelles valeurs de la TC String modifiée via l'API de la CMP, et qu'ainsi, il n'est jamais immédiat et donc non-effectif.

L'APD en conclut ainsi que le consentement ne peut constituer une base juridique valide pour le traitement et la diffusion de données à caractère personnel dans le cadre de l'OpenRTB, avec l'actuel TCF.

Sur l'intérêt légitime, l'APD souligne que les TCF Policies n'obligent pas les CMP à préciser aux utilisateurs les intérêts légitimes recherchés, et que dès lors, le manque de spécificité des finalités et les descriptions standardisées dont elles font l'objet ne permettent pas de remplir le critère de finalité.

L'APD estime également que le critère de nécessité n'est pas rempli, en l'absence de mesures démontrant qu'aucune donnée personnelle inappropriée n'est diffusée, en application du principe de minimisation des données.

Enfin, l'APD constate « qu'en raison du grand nombre de partenaires TCF susceptibles
de recevoir leurs données à caractère personnel, les personnes concernées ne peuvent pas raisonnablement s'attendre aux traitements découlant de cette transmission », d'autant plus eu égard à « la quantité considérable de données qui, conformément aux préférences saisies dans le cadre du TCF, sont collectées par le biais d'une bid request et transmises aux fournisseurs adtech dans le cadre du protocole OpenRTB ». Ainsi, le critère de mise en balance n'est pas rempli.

Par conséquent, l'APD estime que l'intérêt légitime des organisations participantes ne peut être considéré comme une base juridique adéquate pour les activités de traitement effectuées selon le protocole OpenRTB, conformément aux préférences et aux choix des utilisateurs saisis dans le cadre du TCF.

Il en résulte alors que le traitement des données à caractère personnel dans le cadre de l'OpenRTB, sur la base des préférences capturées conformément à la version actuelle du TCF, est incompatible avec le RGPD en raison d'une violation inhérente du principe de licéité et de loyauté (articles 5.1.a et 6 du RGPD).

Le manquement à l'obligation de transparence envers les personnes concernées

Sur ce point, l'APD note tout d'abord qu'IAB EUROPE est susceptible de sollicitier auprès des CMP des « records of consent », au titre des dispositions des TCF Policies, mais que les personnes concernées ne sont pas informées de ce traitement potentiel.

Ensuite, elle considère que les modalités d'information des personnes concernées ne respecte pas les exigences de transparence, d'intelligibilité et d'accessibilité, notamment car certaines finalités sont présentées de manière trop générique pour que les personnes concernées saisissent la portée et la nature du traitement de données réalisé.

De plus, la présence d'un grand nombre de tiers n'est pas compatible selon l'APD avec l'obligation de transparence prévue par le RGPD.

Par conséquent, l'APD décide que le TCF en sa version actuelle ne respecte pas les obligations découlant du principe de transparence (articles 12, 13 et 14 du RGPD).

Les manquements aux principes de responsabilité, de protection des données dès la conception et par défaut, et aux obligations relatives à la sécurité des données

En premier lieu, s'agissant du principe de responsabilité, et du principe de protection des données dès la conception et par défaut, l'APD les interprète en ce sens qu'ils impliquent l'obligation pour le responsable de traitement « d'intégrer le respect nécessaire des règles du RGPD dans ses traitements et procédures (par exemple, s'assurer de l'existence et de l'efficacité des procédures de traitement des demandes des personnes concernées, et portant sur la vérification de l'intégrité et de la conformité de la TC String) ».

Par ailleurs, l'APD note qu'IAB EUROPE n'a pas prévu de mécanisme afin de s'assurer que les publishers et les CMP ont mis en place des mécanismes adéquats permettant d'effectuer des transferts hors de l'Union européenne, pour les transferts internationaux potentiels de la TC String, tant au moment de sa création que lors de la transmission de la TC String aux fournisseurs adtech participants.

En second lieu, s'agissant de l'obligation de sécurité des données, l'APD rappelle que ce manquement constitue un point fondamental justifiant sa décision, car l'absence de mesures techniques et organisationnelles garantissant l'intégrité de la TC String est une infraction grave selon elle.

Ainsi, en prenant en compte le très grand nombre de TC Strings générée chaque jour dans le cadre du TCF, l'APD estime nécessaire que l'ensemble des règles permettant d'y participer soient observées et respectées par toutes les parties concernées, sous la supervision d'IAB EUROPE.

En effet, selon l'APD, en l'absence de validation par IAB EUROPE des signaux de consentement transmis aux fournisseurs adtech, il serait possible pour les CMP de falsifier ou de modifier le signal pour générer un cookie euconsent-v2 et ainsi reproduire un « faux consentement » des utilisateurs à toutes fins et pour tous les fournisseurs adtech.

Or, dans le cadre de ses obligations de sécurité et d'intégrité, il incombait à IAB EUROPE de prendre des mesures techniques et organisationnelles pour garantir et pouvoir démontrer l'intégrité du signal préférentiel transmis par les CMP aux fournisseurs adtech.

Dès lors, l'absence de contrôle systématique du respect des règles TCF par les organisations participantes constitue un manquement à l'obligation de sécurité incombant à IAB EUROPE.

Les autres manquements

Dans un premier temps, l'APD écarte plusieurs manquements allégués par les plaignants,
à savoir :

les manquements aux principes de limitation de la finalité et de minimisation des
données ;
le manquement au principe de limitation de la conservation des données ;
le manquement aux dispositions relatives au traitement de catégories particulières de données à caractère personnel ; et
le manquement aux dispositions relatives à l'exercice des droits par les personnes concernées.

Dans un second temps, l'APD a constaté plusieurs manquements, concernant l'obligation de tenir un registre des traitements (article 30 du RGPD), l'obligation de réaliser une analyse d'impact relative à la protection des données (article 35 du RGPD), ainsi que l'obligation de désigner un délégué à la protection des données (article 37 du RGPD).

L'obligation de tenir un registre des traitements

Concernant l'obligation de tenir un registre de traitements, l'APD constate que le registre transmis par IAB EUROPE ne contient aucune activité relative au TCF, excepté des informations concernant la gestion des membres du TCF et son administration.

Selon l'APD, ce registre aurait au moins dû contenir des informations quant au traitement consistant en l'accès aux signaux de consentement, aux objections et aux préférences des utilisateurs.

Par ailleurs, au vu du grand nombre d'organisations participantes au TCF et de la volonté affichée d'IAB EUROPE de contrôler la conformité des CMP et des fournisseurs adtech de manière plus approfondie, l'APD estime nécessaire d'inclure ce traitement au sein du registre des traitements.

Ainsi, l'APD considère que l'absence de registre des traitements répondant à ces conditions constitue une violation de l'article 30 du RGPD.

L'obligation de réaliser une analyse d'impact relative à la protection des données

A ce propos, l'APD considère que dans la mesure où le TCF peut être utilisé aux fins du système RTB, cela implique que les préférences des utilisateurs conditionnent la manière dont leurs données sont traitées par les fournisseurs adtech dans ce cadre, conformément au protocole OpenRTB.

Dès lors, en prenant comme référence la décision n° 01/2019 du Secrétariat Général de l'APD établissant une liste de traitements pour lesquels une analyse d'impact est requise, l'APD relève que le TCF a notamment été développé pour le système RTB, comprenant ainsi l'observation, la collecte et l'enregistrement systématiques et automatisés du comportement en ligne des utilisateurs, y compris à des fins publicitaires.

De plus, dans le cadre du système RTB, les données sont collectées auprès de tiers afin d'analyser ou de prédire la situation économique, la santé, les préférences ou intérêts personnels, la fiaiblité ou le comportement, la localisation ou les déplacements des personnes physiques.

Ainsi, « compte tenu du grand nombre de personnes concernées qui entrent en contact avec les sites web et les applications mettant en oeuvre le TCF, ainsi que le nombre croissant d'organisations participant au TCF, d'une part, et de l'impact du TCF sur le traitement à grande échelle des données à caractère personnel dans le cadre du RTB, d'autre part », l'APD relève qu'IAB EUROPE était tenue de réaliser une analyse d'impact sur la protection des données et qu'en l'absence d'une telle analyse d'impact, celle-ci a méconnu l'article 35 du RGPD.

Sur la désignation d'un délégué à la protection des données

L'APD considère tout d'abord qu'au regard de l'importance du TCF pour IAB EUROPE, de ses objectifs déclarés et du traitement associé de données à caractère personnel en sa qualité de Managing Organization, le traitement dans le cadre du TCF fait partie des activités de base d'IAB EUROPE.

De plus, l'APD estime que le TCF implique un traitement à grande échelle de données à caractère personnel, car celui-ci est proposé dans plusieurs Etats membres, il exige le traitement de données à caractère personnel sous la forme de la TC String, et ces données sont partagées avec de nombreux fournisseurs adtech.

En outre, l'obligation contractuelle incombant aux fournisseurs adtech et les CMP de mettre à disposition d'IAB EUROPE les « records of consent » sur simple demande implique selon l'APD un suivi régulier des personnes concernées ; qui s'avère également systématique eu égard au traitement des TC Strings ou des « records of consent » par IAB EUROPE.

Dès lors, le TCF est constitué d'opérations de traitement nécessitant une observation régulière et systématique de personnes concernées, de sorte qu'IAB EUROPE était tenue de désigner un délégué à la protection des données, et qu'en l'absence d'une telle désignation, celle-ci a méconnu l'article 37 du RGPD.

Décision de l'APD

En conclusion, l'APD a relevé les manquements aux dispositions et principes suivants de la part d'IAB EUROPE :

Licéité et loyauté du traitement (articles 5.1.a et 6 du RGPD) ;
Obligation de transparence (articles 12, 13 et 14 du RGPD) ;
Protection des données dès la conception et par défaut, intégrité et confidentialité des données, et obligation de sécurité (articles 24, 25, 5.1.f et 32 du RGPD) ;
Obligation de tenir un registre des traitements (article 30 du RGPD) ;
Obligation de réaliser une analyse d'impact relative à la protection des données (article 35 du RGPD) ;
Obligation de désigner un délégué à la protection des données (article 37 du RGPD).

En raison de l'ensemble de ces manquements, l'APD a condamné IAB EUROPE à :

une amende de 250 000 € pour violation des articles 5.1.a, 5.1.f, 12, 13, 14, 24, 25, 30, 32, 35 et 37 du RGPD, en prenant notamment en compte sur le plan pécuniaire le chiffre d'affaires annuel total d'IAB EUROPE, établi à un montant de 2 471 467 € en 2020.

L'APD a également condamné IAB EUROPE à mettre ses traitements en conformité avec
ces dispositions, et notamment à :

Rendre le TCF conforme aux obligations de licéité et loyauté par les moyens suivants :
- Etablir une base juridique valable pour le traitement et le partage des préférences des utilisateurs dans le cadre du TCF, sous la forme d'une TC String et d'un cookie euconsent-v2 ;
- Supprimer toute donnée collectée au moyen d'une TC String jusqu'au jour de sa décision, et qui ne serait plus prise en charge par IAB EUROPE ;
- Interdire l'utilisation de l'intérêt légitime comme fondement juridique du traitement par les organisations participantes du TCF dans son format actuel, au moyen des conditions d'utilisation du TCF.

Rendre le TCF conforme aux obligations de transparence et d'information en exigeant des CMP qu'elles adoptent une approche harmonisée et conforme au RGPD concernant les informations fournies aux utilisateurs.

Rendre le TCF conforme aux obligations d'intégrité et de sécurité, et de protection des données dès la conception et par défaut par les moyens suivants :
- Inclure des mesures de contrôle techniques et organisationnelles efficaces pour faciliter l'exercice des droits des personnes concernées et pour garantir l'intégrité de la TC String, par exemple au moyen d'un processus de vérification strict pour les organisations participant au TCF ;
- Interdire par ses conditions d'utilisation aux organisations participantes à la version actuelle du TCF d'activer un consentement par défaut, et d'utiliser l'intérêt légitime comme base légale des traitements.

Assurer la conformité du registre des traitements effectués dans le cadre du TCF en y incluant le traitement des préférences et du consentement des utilisateurs sous la forme d'une TC String, et le placement du cookie euconsent-v2 sur leurs terminaux.

Réaliser une analyse d'impact relative à la protection des données concernant les traitements réalisés dans le cadre du TCF, ainsi que les conséquences de ces traitements sur le traitement ultérieure effectué sur la base du protocole OpenRTB.

Désigner un délégué à la protection des données.

L'ensemble de ces actions devra être réalisé par IAB EUROPE dans un délai de 6 mois après la validation d'un plan d'action par l'APD, devant lui être soumis dans un délai de deux mois suivant la date de la décision, et sous une astreinte de 5 000 € par jour de retard.

Enfin, l'APD a décidé de rendre publique cette décision.

En réaction à cette décision, dans une publication en date du 2 février 2022, IAB EUROPE a considéré que cette décision ouvrait la voie pour développer le TCF en tant que « code de conduite » au sens du RGPD.

IAB EUROPE relève ainsi que les manquements pourraient être corrigés dans un délai de 6 mois, et qu'en tout état de cause, malgré de sérieuses réserves quant au fond de la décision, et notamment quant à la qualification de responsable de traitement, IAB EUROPE se déclare impatiente de travailler avec l'APB sur le plan d'action pour sa mise en conformité.

IAB EUROPE a confirmé ses réserves en indiquant dans un communiqué qu'elle s'apprêtait à interjeter appel de la décision rendue par l'APD.

Analyse de la décision

A priori, la décision rendue par l'APD le 2 février 2022 ne semble concerner qu'IAB EUROPE, et cette dernière paraît déterminée à contester sa qualité de responsable conjoint des traitements réalisés au moyen du TCF.

Cependant, la conclusion de l'APD selon laquelle toutes les organisations participantes au TCF, tant IAB EUROPE que les CMP, les éditeurs, et les fournisseurs adtech, doivent être considérés comme responsables de traitement conjoints concernant la collecte et la diffusion ultérieure des choix et préférences des utilisateurs, pourrait avoir des conséquences pour l'ensemble du secteur de la publicité en ligne.

Si cette décision venait à être confirmée à la suite de l'appel interjeté par IAB EUROPE, un chantier considérable de répartition des responsabilités serait à envisager, notamment sur les plans contractuel et technique.

Décision de l'APD n°21/2022 du 2 février 2022 – IAB EUROPE

Raphaël RAULT
Avocat Associé

Raphaël EKWALLA-MATHIEU
Avocat Collaborateur

Synthèse des sanctions de la CNIL – 4ème trimestre 2021

admin_aaa — 2022-03-03T11:48:42Z

La CNIL a été particulièrement active à la fin de l'année 2021 en matière de sanctions.

Ainsi, la RATP, la société SLIMPAY, la société FREE MOBILE ainsi que les sociétés FACEBOOK et GOOGLE ont fait l'objet de lourdes amendes.

RATP – 29 octobre 2021 – 400 000 €

Synthèse :

Faits :

En mai 2020, réception par la CNIL d'une plainte de plusieurs syndicats rela-tive à la collecte et la conservation de données relatives au nombre de jours de grève des agents dans des fichiers d'avancement de carrière.

Investigations CNIL :

Pratique courante dans plusieurs unités de transport, et autres manquements constatés.

Conclusions CNIL :

Manquement au principe de minimisation car le nombre de jours de grève n'est pas nécessaire pour la finalité de la gestion des carrières et l'évaluation du personnel
Manquement à la limitation de la durée de conservation car l'application utilisée pour le suivi du travail stockait les données pour une durée excessive
Manquement à l'obligation de sécurité des données car accès des agents habilités à une quantité excessive de données, sans distinction de rôle ni restriction

Résumé :

Au mois de mai 2020, la CNIL a reçu une plainte de plusieurs syndicats concernant la collecte et la conservation de données relatives au nombre de jours de grève des agents de la RATP dans des fichiers normalement utilisés pour les procédures d'avancement de carrière.

A la suite des contrôles opérés par la CNIL, la RATP a reconnu que quatre unités de transport par bus étaient concernées par cette pratique.

L'enquête menée par la CNIL a confirmé que cette pratique était courante dans au moins trois unités de transport par bus de la RATP et a constaté d'autres manquements con-cernant la limitation du stockage et la sécurité des données.

Ainsi, la CNIL a estimé que le traitement de données relatives au nombre de jours de grève d'un agent dans le cadre des procédures d'avancement de carrière était illicite car ces informations n'étaient pas nécessaires au regard de la finalité du traitement.

En particulier, la RATP aurait dû limiter ces informations au nombre de jours d'absence de chaque agent, peu importe le motif des absences.

En conséquence, la CNIL a considéré que la RATP avait traité ces données en violation du principe de minimisation des données (article 5(1)(c) du RGPD).

Par ailleurs, les investigations de la CNIL ont également révélé des manquements au principe de limitation de la durée de conservation des données (article 5, paragraphe 1, point e) du RGPD), car l'application utilisée pour suivre le travail des agents de la RATP stockait des données personnelles pendant une durée excessive.

De plus, les dossiers des agents étaient conservés plus de trois ans après la prise de décision de la commission d'avancement des carrières, alors que la RATP aurait dû con-server ces dossiers pendant une durée de18 mois maximum selon la CNIL.

Enfin, l'enquête a également révélé des failles de sécurité.

La CNIL a ainsi constaté que les agents habilités pouvaient accéder à un nombre excessif de données (y compris les dossiers de ressources humaines), quel que soit leur rôle, à partir de toutes les unités de transport par bus, et pouvaient également extraire toutes les données de l'application, sans aucune restriction.

De ce fait, la CNIL a considéré que la RATP avait commis un manquement aux disposi-tions de l'article 32 du RGPD.

Compte tenu de l'étendue et de la gravité de ces violations, la CNIL a condamné la RATP à une amende d'un montant de 400 000 €.

SLIMPAY – 28 décembre 2021 – 180 000 €

Synthèse :

Faits :

Données utilisées par SLIMPAY à des fins de test sont restées stockées sur un serveur librement accessible depuis internet, pendant plusieurs années.
SLIMPAY averti par un client, a pris des mesures pour mettre fin à la violation de données et a notifié l'incident à la CNIL, mais pas aux personnes concernées.

Investigations CNIL :

Catégories de données (comprenant des coordonnées bancaires) et nombre de personnes concernées (12 millions environ) aggravent le manquement à l'obligation de sécurité.

Conclusions CNIL :

Manquement à l'obligation de sécurité des données car serveur contenant les données confidentielles d'un grand nombre de personnes librement ac-cessible pendant plusieurs années, indépendamment de l'absence de préjudice avéré pour les personnes concernées
Manquement à l'obligation de notifier aux personnes la violation de données car le risque aurait dû être considéré comme élevé par SLIMPAY au regard des catégories de données et du nombre de personnes concernées par la violation.

Résumé :

En 2015, SLIMPAY (un prestataire de services de paiement) a réutilisé les données personnelles contenues dans ses bases de données à des fins de test, dans le cadre d'un projet de recherche s'étant terminé au mois de juillet 2016.

Toutefois, il est apparu que les données utilisées pour effectuer ce test sont restées stockées sur un serveur sans procédure de sécurité particulière, et étaient donc librement accessibles depuis Internet.

C'est l'un de ses clients qui a averti SLIMPAY en 2020.

Par la suite, SLIMPAY a alors pris des mesures pour mettre fin à la violation de données et a procédé à sa notification à la CNIL, mais a toutefois décidé de ne pas la notifier aux personnes concernées. C'est en raison de ces faits que la CNIL a décidé de mener une enquête sur la conformité des traitements mis en œuvre par SLIMPAY au regard des dispositions du RGPD.
A l'issue de ses investigations, la CNIL a relevé plusieurs manquements aux dispositions du RGPD.

La CNIL a tout d'abord constaté un manquement aux dispositions de l'article 28 RGPD, car certains des contrats conclus par SLIMPAY avec ses prestataires de services (sous-traitants ultérieurs) ne contenaient pas l'ensemble des clauses permettant de s'assurer que ces sous-traitants s'engagent à traiter les données à caractère personnel dans le respect du RGPD, tandis que certains autres contrats ne contenaient même aucune de ces clauses.

La CNIL a ensuite constaté un manquement aux dispositions de l'article 32 RGPD, du fait que le serveur en question n'avait fait l'objet d'aucune mesure de sécurité appropriée, et était librement accessible par quiconque entre novembre 2015 et février 2020.

En outre, les catégories de données disponibles sur ce serveur, à savoir des données d'état civil (nom, prénom), des adresses postales et électroniques, des numéros de téléphone et des coordonnées bancaires (BIC/IBAN), concernant plus de 12 millions de per-sonnes, ont aggravé le cas de SLIMPAY sur ce point.

De plus, selon la CNIL, l'absence de préjudice avéré pour les personnes concernées n'a aucune incidence sur l'existence de la violation de l'article 32 RGPD, contrairement à ce que SLIMPAY a affirmé au cours de la procédure.

Enfin, la CNIL a constaté un manquement aux dispositions de l'article 34 RGPD, car, compte tenu de la nature des données à caractère personnel concernées par la violation, du nombre de personnes concernées (plus de 12 millions) et de la possibilité de les identifier à partir des données accessibles, ainsi que des risques de phishing ou d'usurpation d'identité qu'impliquait la violation, le risque associé à cette violation aurait dû être considéré comme élevé par SLIMPAY.

Par conséquent, SLIMPAY aurait dû informer toutes les personnes concernées de cette violation de données.

Pour l'ensemble de ces manquements, la CNIL a décidé d'imposer à SLIMPAY une amende de 180 000 €.

FREE MOBILE – 28 décembre 2021 – 300 000 €

Synthèse :

Faits :

Réception par la CNIL de multiples plaintes de personnes ayant rencontré des difficultés pour obtenir des réponses aux demandes d'exercice de droits effectuées auprès de FREE MOBILE ; et recevant des messages de prospection commerciale malgré leur opposition

Investigations CNIL :

FREE MOBILE ne répondait pas aux personnes dans le délai d'un mois, et ne respectait pas le droit d'opposition des personnes concernant les messages de prospection commerciale
FREE MOBILE continuait à envoyer des factures à des personnes dont l'abonnement était résilié, et transmettait par email en clair les mots de passe des utilisateurs lors de leur souscription à une offre, sans qu'ils soient temporaires ou que leur modification soit exigée

Conclusions CNIL :

Manquement à l'obligation de répondre dans le délai d'un mois aux de-mandes d'exercice de droit et au respect du droit d'opposition
Manquement à l'obligation de protéger les données dès la conception et à l'obligation de sécurité

Résumé :

La CNIL a ouvert une enquête sur les activités de traitement de FREE MOBILE après avoir reçu de multiples plaintes de personnes ayant rencontré des difficultés excessives pour obtenir des réponses aux demandes d'accès qu'elles avaient effectuées auprès d'elle, et qui s'étaient opposées à la réception de messages de prospection commerciale de sa part.

A la suite de ses investigations, la CNIL a estimé que FREE MOBILE avait enfreint les dispositions du RGPD en :

Ne respectant pas le droit d'accès des personnes à leurs données personnelles (article 12 et 15 RGPD). En effet, FREE MOBILE n'a pas répondu aux demandes formulées par les plaignants dans les délais impartis, et il lui revenait d'informer les personnes concernées dans un délai d'un mois lorsqu'ils ne fourniront aucune donnée (par exemple parce que les données ne sont plus traitées). Par ailleurs, FREE MOBILE aurait dû également fournir aux personnes concernées les données qui sont conservées dans des bases de données d'archives.
Ne pas avoir respecté le droit d'opposition des personnes concernées (articles 12 et 21 RGPD), FREE MOBILE n'ayant pas pris en compte les demandes des par lesquelles celles-ci ne souhaitaient plus recevoir de messages de prospection commerciale ;
Ne pas avoir protégé les données à dessein (article 25 RGPD), FREE MOBILE ayant continué à envoyer aux personnes concernées des factures relatives à des lignes téléphoniques dont l'abonnement avait été résilié.
Ne pas avoir assuré la sécurité des données (article 32 RGPD), du fait de la transmission par courrier électronique, et en clair, des mots de passe des utilisa-teurs lorsqu'ils souscrivaient à une offre avec FREE MOBILE, sans que ces mots de passe soient temporaires et que leur modification soit exigée.

En raison de l'ensemble de ces manquements, la CNIL a condamné FREE MOBILE à une amende de 300 000 €.

GOOGLE – 31 décembre 2021 – 150 000 000 €

Synthèse :

Faits :

Réception par la CNIL de multiples plaintes de personnes dénonçant les modalités de refus des cookies sur les sites google.fr et youtube.com

Investigations CNIL :

Une seule action (un clic) permettait aux utilisateurs de consentir à la lecture/au dépôt de cookies sur leur terminal, et de poursuivre leur navigation
Au contraire, pour refuser les cookies, 5 clics étaient nécessaires avant de pouvoir continuer la navigation
Ainsi, le fait de rendre le mécanisme de refus des cookies plus complexe que celui de leur acceptation revenait à décourager les utilisateurs de refuser les cookies et à les inciter à opter pour leur acceptation

Conclusions CNIL :

Manquement à l'obligation de recueil du consentement au dépôt ou à la lecture de cookies sur le terminal des utilisateurs, car les modalités de refus de ces opérations étaient plus complexes que leurs modalités d'acceptation

Résumé :

Le 7 décembre 2020, la CNIL avait déjà sanctionné les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED par une amende d'un montant total de 100 millions d'euros, en raison du dépôt de cookies publicitaires sur les terminaux des visiteurs de google.fr, sans avoir obtenu préalablement leur consentement préalable et sans avoir fourni une information suffisante.

Malgré cette sanction, la CNIL a reçu de nombreuses plaintes dénonçant les modalités de refus des cookies sur les sites web google.fr et youtube.com.

Les investigations de la CNIL consistaient donc à vérifier si ces sociétés avaient respecté l'article 82 de la loi Informatique et Libertés.

Pendant ces investigations, la CNIL a constaté que, pour donner leur consentement à la lecture et/ou à l'écriture d'informations sur leur terminal, les utilisateurs se rendant sur la page d'accueil des sites google.fr et youtube.com n'avaient qu'à cliquer sur le bouton « J'accepte », de la première fenêtre s'affichant, ce qui faisait disparaître cette fenêtre et leur permettait de poursuivre leur navigation.

En revanche, les utilisateurs souhaitant refuser les cookies devaient cliquer sur le bouton « Personnaliser » de la première fenêtre, les conduisant vers une interface, tant sur leur proposant d'activer ou de désactiver les cookies, sur laquelle ils avaient la possibilité d'effectuer diverses actions.

Dans sa décision, la CNIL fait référence à des études démontrant que la présence d'un bouton « Tout refuser » sur l'interface de consentement de premier niveau entraînait une diminution du taux de consentement à l'acceptation des cookies.

Ainsi, la CNIL a considéré que le fait de rendre le mécanisme de refus des cookies plus complexe que celui de leur acceptation revenait à décourager les utilisateurs de refuser les cookies et à les inciter à opter pour leur acceptation.

En l'espèce, les utilisateurs se rendant sur le moteur de recherche Google et/ou sur YouTube devaient effectuer une seule action pour accepter les cookies, alors qu'ils devaient en effectuer cinq pour les refuser.

Par conséquent, la CNIL en a conclu que les modalités de refus des cookies mises en œuvre par les sociétés sur les sites google.fr et youtube.com n'étaient pas conformes aux dispositions de l'article 82 de la loi Informatique et Libertés, telles que précisées par les exigences de consentement prévues par le RGPD.

Dès lors, la CNIL :

a infligé une amende de 90 000 000 € à la société GOOGLE LLC pour avoir méconnu les dispositions de l'article 82 de la loi Informatique et Libertés,
a infligé à GOOGLE IRELAND LIMITED une amende de 60 000 000 € pour avoir méconnu les dispositions de l'article 82 de la loi Informatique et Libertés,
a ordonné à ces sociétés de modifier, sur les sites google.fr et youtube.com les modalités de recueil du consentement des utilisateurs situés en France à la lecture et/ou à l'écriture d'informations dans leur terminal, en leur offrant un moyen de refuser ces opérations aussi simple que le mécanisme prévu pour leur acceptation, afin de garantir la liberté de leur consentement ;
a assorti cette injonction d'une astreinte de 100 000 € par jour de retard à l'issue d'un délai de trois mois à compter de la notification de sa décision, la preuve de la mise en conformité devant lui être adressée dans ce délai ;
a rendu publique sa décision sur le site de la CNIL et sur le site de Légifrance, qui n'identifiera plus nominativement les sociétés à l'issue d'un délai de deux ans à compter de la date de sa publication.

FACEBOOK – 31 décembre 2021 – 60 000 000 €

Synthèse :

Faits :

Enquête de la CNIL sur la conformité du site facebook.com aux dispositions relatives au recueil du consentement et à l'information des personnes en matière de dépôt/lecture de cookies

Investigations CNIL :

Une seule action (un clic) permettait aux utilisateurs de consentir à la lecture/au dépôt de cookies sur leur terminal, et de poursuivre leur navigation
Au contraire, pour refuser les cookies, 3 clics étaient nécessaires avant de pouvoir continuer la navigation, et la pop-up mise en place n'informait pas les personnes de la possibilité de refuser les cookies

Conclusions CNIL :

Manquement à l'obligation de recueil du consentement au dépôt ou à la lecture de cookies sur le terminal des utilisateurs, car les modalités de refus de ces opérations étaient plus complexes que leurs modalités d'acceptation, et FACEBOOK n'informait pas suffisamment les personnes concernées de la possibilité de refuser ces opérations.

Résumé :

En avril 2021, la CNIL a effectué un contrôle en ligne du site web facebook.com dans le cadre d'une enquête sur le traitement des données personnelles des résidents français qui visitent ce site, afin de vérifier la conformité de la société à l'article 82 de la loi Informatique et Libertés.

La CNIL a tout d'abord constaté que les utilisateurs se rendant sur le site facebook.com étaient confrontés à une fenêtre pop-up intitulée « Accepter les cookies Facebook dans ce navigateur » et qu'en bas de cette fenêtre se trouvaient deux boutons intitulés « Gérer les paramètres des données » et « Tout accepter ».

A ce stade, aucun cookie n'était déposé sur le terminal de l'utilisateur, mais ce dernier était obligé de cliquer sur l'un des deux boutons afin de poursuivre sa navigation.

En revanche, si l'utilisateur voulait continuer à utiliser le site sans accepter les cookies, il devait cliquer sur deux autres boutons.

À ce titre, la CNIL a considéré que FACEBOOK n'avait pas respecté les dispositions de l'article 82 de la loi Informatique et Libertés, car elle n'avait pas mis à la disposition des utilisateurs un moyen de donner librement leur consentement en refusant le dépôt de cookies sur leur terminal, aussi simple que celui prévu pour accepter leur dépôt.

De plus, la CNIL a estimé que les informations fournies aux utilisateurs ne leur indiquaient pas clairement qu'ils pouvaient refuser les cookies.

Par conséquent, la CNIL :

a infligé une amende de 60 000 000 € à FACEBOOK IRELAND LIMITED pour la violation des dispositions de l'article 82 de la loi Informatique et Libertés,
a ordonné à FACEBOOK IRELAND LIMITED de modifier, sur le site facebook.com les modalités de recueil du consentement des utilisateurs situés en France à la lecture et/ou à l'écriture d'informations dans leur terminal, en leur offrant un moyen de refuser ces opérations aussi simple que le mécanisme prévu pour leur acceptation, afin de garantir la liberté de leur consentement ;
a assorti cette injonction d'une astreinte de 100 000 € par jour de retard à l'issue d'un délai de trois mois à compter de la notification de la présente décision, les justificatifs devant être adressés au comité restreint dans ce délai ;
a rendu publique sa décision sur le site de la CNIL et sur le site de Légifrance, qui n'identifiera plus nominativement la société à l'issue d'un délai de deux ans à compter de la date de sa publication.

A RETENIR
Le traitement de données relatives au nombre de jours de grève dans le cadre de procédures d'avancement de carrière est illicite car ces données ne sont pas nécessaires au regard de la finalité du traitement.
Il convient de définir précisément les habilitations des personnes ayant accès aux fichiers contenant des données à caractère personnel, en fonction de leur rôle et en prévoyant les restrictions adéquates.
Le fait de laisser librement accessible un serveur contenant des données à caractère personnel relatives à un grand nombre de personnes, sans aucune mesure de sécurité appropriée et pendant plu-sieurs années, constitue un manquement à l'obligation de sécurité du responsable de traitement, indépendamment de l'absence de préjudice avéré pour les personnes concernées. Dans cette hypothèse, une notification doit être adressée aux personnes concernées.
Il convient d'informer les personnes concernées exerçant leur droit d'accès du fait que le responsable de traitement ne dispose pas de données à caractère personnel les concernant, et ce dans le délai d'un mois. De plus, le droit d'accès s'applique également aux données conservées dans des bases d'archives.
Le fait de transmettre par courrier électronique, et en clair, des mots de passe aux personnes concernées sans que ces mots de passe soient temporaires et que leur modification soit exigée constitue un manquement à l'obligation de sécurité.
Le fait de rendre le mécanisme de refus des cookies plus complexe que celui de leur acceptation, notamment au regard du nombre de clics devant être effectués, constitue un manquement aux dispositions de l'article 82 de la loi Informatique et Libertés.

Décision RATP - SAN-2021-019 du 29 octobre 2021
Décision SLIMPAY - SAN-2021-020 du 28 décembre 2021
Décision FREE MOBILE - SAN-2021-021 du 28 décembre 2021
Décision GOOGLE - SAN-2021-023 du 31 décembre 2021
Décision FACEBOOK - SAN-2021-024 du 31 décembre 2021

Raphaël RAULT
Avocat associé
Département Numérique

Raphaël EKWALLA-MATHIEU
Avocat Collaborateur
Département Numérique

Participation de Me Raphaël Rault au podcast #ÇaDépendDeNous sur le thème "Perte d'autonomie liée à l'âge : Dignité, intimité et robots"

admin_aaa — 2021-09-29T13:38:08Z

La robotique comme solution à la dépendance physique humaine : quelles opportunités ? Quels risques ? Quel cadre ?

Podcast accessible ici : https://www.youtube.com/watch?v=YOsGYCOf68M

ALTER VIA Avocats

ALTER VIA AVOCATS ACCUEILLE DE NOUVEAUX TALENTS !

Comment sont calculées les amendes issues des manquements au RGPD ? (CEPD - 12/05/2022)

Le calcul du montant des amendes

Le point de départ du calcul de l'amende

La catégorisation des infractions par nature :

La gravité de l'infraction dans chaque cas individuel :

Le chiffre d'affaires de l'entreprise (principe de proportionnalité) :

Les circonstances atténuantes

1) Les mesures prises par le responsable de traitement ou le sous-traitant en réaction au dommage subi

2) La coopération avec l'autorité de contrôle

3) Les circonstances de la prise de connaissance de l'infraction

4) L'adhésion à des codes de conduite approuvés ou à des mécanismes de certification approuvés

Les circonstances aggravantes

1) La commission d'infractions antérieures

2) Le degré de responsabilité du responsable du traitement ou du sous-traitant

3) L'absence de coopération avec l'autorité de contrôle

4) La violation des obligations énoncées à l'article 83§ 5 et 6 du RGPD

Responsabilité des entreprises

L'intelligence artificielle (IA) selon la CNIL

Qu'est-ce que l'intelligence artificielle ?

Entreprises et IA : Être en conformité avec le RGPD

1. Définir une finalité

2. Etablir une base légale

3. Constituer une base de données

4. Minimiser les données

5. Définir une durée de conservation

6. Encadrer l'amélioration en continu

7. Se prémunir des risques liés aux modèles d'IA

8. S'assurer de l'information et de l'explicabilité

9. Mettre en œuvre l'exercice des droits

10. Encadrer la prise de décision automatisée

11. Evaluer le système

12. Eviter les discriminations algorithmiques

Sécuriser un système d'IA

Liens du guide d'auto-évaluation de la CNIL pour les systèmes d'IA :

Autres liens :

Cookies/Traceurs : dernières publications de la CNIL et de l'APD (mai-juin 2022)

Google Analytics : des alternatives possibles ? (07/06/2022)

Selon la CNIL :

1. L'ajout de clauses contractuelles types et de garanties supplémentaires

2. Paramétrer Google Analytics de manière à ne pas transférer de données personnelles en dehors de l'UE ?

3. Paramétrer Google Analytics de manière à ne transférer vers les Etats-Unis que les données anonymes

4. Chiffrer les données

5. Des garanties supplémentaires pour continuer à utiliser Google Analytics seul

6. Transférer les données avec le consentement explicite des personnes

7. L'utilisation d'outils alternatifs

8. Adopter une approche par les risques (prise en compte de la probabilité des demandes d'accès aux données)

Mettre son outil de mesure d'audience en conformité avec le RGPD (CNIL – 07/06/2022)

Cookie Wall / Paywall : recommandations de la CNIL (16/05/2022)

Les risques en cas de non-respect du RGPD en matière de consentement aux cookies (Belgique, décision Roularta, 25/05/2022)

Le DPO (Data Protection Officer)

Qu'est-ce que le DPO ?

Le rôle du DPO

La désignation du DPO

Le profil du DPO

Les types de DPO

Les formalités à suivre lors de la désignation

Liens :

Publication du Bilan annuel de la CNIL 2021 (11/05/2022)

L'année 2021 en quelques chiffres

Une nouvelle procédure de décision

La gestion de la crise sanitaire

Perspectives pour les années à venir

Liens :

Synthèse et analyse de la mise en demeure d'un gestionnaire de site web pour la mise en conformité de Google Analytics

Synthèse

Analyse

Contexte

Constatations de la CNIL

Les opérations de traitement et la responsabilité du traitement

La nature des données

Le manquement à l'obligation d'encadrer les transferts hors UE

Conclusion et analyse de la décision

Synthèse et analyse de la sanction d'IAB EUROPE à hauteur de 250 000 € par l'Autorité de Protection des Données

Synthèse

Analyse

Contexte

Constatations de l'APD

Le statut d'IAB EUROPE

Entreprises et IA : Être en conformité avec le RGPD

Liens du guide d'auto-évaluation de la CNIL pour les systèmes d'IA :