02 décembre 2021

|

Marc-Antoine LEDIEU

Marc-Antoine LEDIEU – Avocat et RSSI

#364 RGPD-e-Privacy jurisprudence actualité au 2 décembre 2021

#364 RGPD-e-Privacy jurisprudence actualité au 2 décembre 2021

#364 RGPD-e-Privacy jurisprudence actualité au 2 décembre 2021

RGPD e-Privacy actualité jurisprudence ? Cette présentation est à jour au 30 novembre 2021 des dernières jurisprudences de la CJUE, de la CNIL et du Conseil d’Etat. Et de la « doctrine  » officielle (c’est à dire obligatoire) de la CNIL pour la France et de l’EDPB (European Data Protection Board), la « super  » CNIL commune aux 27 pays membres de l’UE.

Vu le titre de cette présentation, je vous le confirme, nous allons évoquer en détail le Règlement UE « RGPD » n°2016/679 du 27 avril 2016, ainsi que, parfois, la Directive UE « e-Privacy » 2002/58 du 12 juillet 2002 « vie privée et communications électroniques « ) toujours en vigueur – je vous le rappelle.

En trois heures en distanciel, nous ne pourrons pas voir « tout » le RGPD…

Nous en verrons les principes les plus saillants, en citant autant que possible la jurisprudence qui permet d’éclairer le sens de certaines dispositions de ce Règlement UE fleuve.

Petite introduction en image ?

RGPD-e-Privacy jurisprudence actualité au 2 décembre 2021 : l'intro (en image)

RGPD-e-Privacy jurisprudence actualité au 2 décembre 2021 : les textes et (surtout) la jurisprudence depuis 2011

Pour privilégier une approche pragmatique du RGPD, et de manière plus large, de la législation sur les données à caractère personnel (Directive 2002/58 « e-Privacy » comprise), il est interessant de partir de la chronologie des condamnations publiques de la CNIL, des (rares mais importants) arrêts du Conseil d’Etat et des décisions de la CJUE, sensée harmoniser l’interprétation du RGPD et de e-Privacy au niveau de l’UE.

La plus intéressante des dernières délibérations publiées par la CNIL condamnant une entreprise remonte au 14 juin 2021 (délibération SAN n°2021-008).

C’est un bon exemple de la typologie des condamnations prononcées par la CNIL, puisqu’on y retrouve des manquements aux obligations juridiques, des manquements à l’obligation de sécurité et – enfin – le non-respect ces règles applicables aux cookies/traceurs (Directive e-Privacy de 2002 re-transposée en droit français par l’ordonnance du 12 décembre 2018).

Mais nous commencerons par un rappel des principes d’application territoriale du RGPD puis par un rappel de la charge de la preuve : est-ce à une « entité » de démontrer qu’elle respecte le RGPD ou à une autorité de contrôle de démontrer que la « controlée » n’est pas conforme à la règlementation ? 

RGPD-e-Privacy jurisprudence actualité #00 INTRO ©Ledieu-Avocats technique droit numerique BLOG BD

 

Les obligations sans sanction, comme l’auto-régulation, cela ne marche jamais pour les entreprises du numérique, l’Histoire nous le démontre amplement aujourd’hui. La législation sur les données personnelles ne fait pas exception à la règle.

Petit rappel de ce à quoi une Autorité de contrôle (comme la CNIL en France) peut condamner une entreprise « non-conforme ».

Et bien sûr, comme nous sommes en France, petit rappel des sanctions pénales potentielles…

RGPD-e-Privacy jurisprudence actualité au 2 décembre 2021 : données de contenu ? métadonnées ? données à caractère personnel ?

Soyons, ici encore, pragmatiques : c’est quoi des « données à caractère personnel » ?

Les données personnelles, ce ne sont jamais des « données de contenu ».

Les métadonnées ? Ce sont des données (purement) techniques qui permettent de transporter des données numériques par un réseau de communications électroniques.

Oui, des métadonnées peuvent être des données personnelles !

Restent les données personnelles « classiques » : listes de nom + prénom + adresse… Vous allez le constater, la définition légale des « données à caractère personnel » n’a quasiment pas changé depuis la loi historique du 6 janvier 1978 !!!

En synthèse, si vous identifiez une personne physique grâce aux données que vous détenez sur elle, vous faites un traitement de données personnelles au sens du RGPD.

Si vous identifiez un terminal, vous identifiez forcément indirectement la personne qui s’en sert (téléphone portable, tablette, console de jeu, etc.). Vous traitez alors aussi des « données à caractère personnel« .

En bonus dans le slider ci-dessous, vous trouverez également quelques explications sur les différentes techniques numériques d’identification des terminaux (n° IMSI, n° IMEI, fingerprinting, etc.).

RGPD-e-Privacy jurisprudence actualité au 2 décembre 2021 : la notion de traitement + l'information des personnes + la "base légale"

Si le titre « RGPD e-Privacy actualité jurisprudence » a un sens, c’est bien à l’occasion de l’étude de la notion de « traitement » de données personnelles.

Voyons le principe ce qu’est – techniquement et juridiquement – un « traitement » de données personnelles, sans oublier l’exception de traitement exclusivement privé.

Pour ce qui este la jurisprudence, nous avons choisi de citer les « Attendu » de quelques décisions récentes de la CNIL pour illustrer notre propos.

Traitement et information préalable des personnes

Qui dit « traitement » de données personnelles dit nécessairement information préalable des personnes concernées.

L’idée du législateur européen était de mettre en place un cercle vertueux pour (enfin) obtenir un peu de transparence pour savoir (i) QUI collecte QUOI puis (ii)  QUI fait QUOI des données collectées.

Si l’entreprise fait le job à l’égard de ses clients / prospects / affiliés / etc., la personne concernée pourra simplement se retourner juridiquement contre celle qui agirait de manière non-conforme à la loi.

Le choix de la base légale

Dernier point – et non des moindres – abordé dans ce chapitre : l’obligation de choisir et de révéler la base légale en vertu de laquelle le fameux « traitement » des données est opéré.

Le RGPD impose de choisir une base légale pour chaque traitement parmi les 6 bases légales limitativement définies.

Il faut l’écrire en BtoB comme en BtoC, ou dans les contrats de travail…

Petite revue de détail dans les slides ci-dessous.

RGPD-e-Privacy jurisprudence actualité au 2 décembre 2021 : responsable de traitement et sous-traitant

C’est la partie la plus simple à comprendre de cette législation sur la protection des données personnelles.

Vous décidez de collecter / traiter des données personnelles ? Vous déterminez les finalités de collecte et de traitement de données à caractère personnel ?

Vous êtes responsable de traitement ! Vous serez alors nécessairement le producteur du contenu de la base de données qui regroupe ces données personnelles, ce qui nous entrainera à jeter un coup d’oeil rapide au régime de la Directive 96/9 du 11 mars 1996 sur la protection du contenu des bases de données. 

Ne perdez pas de temps avec la notion de « moyens » d’un traitement. Si vous payez pour obtenir des données personnelles ou pour les faire traiter par un tiers, vous êtes certainement « responsable de traitement ».

Si un éditeur fournit « juste  » un outil logiciel, en licence d’usage, il ne sera pas responsable de traitement au sens du RGPD, mais bien l’entreprise qui utilise cet outil. 

En revanche, si vous synchronisez dans un cloud les données de votre téléphone, l’opérateur du cloud sera (certainement) sous-traitant au sens du RGPD… 

Le sous-traitant, en synthèse ? C’est un professionnel qui traite des données qui ne sont pas les siennes, « pour compte de« , à la demande d’un commanditaire qui – lui – est le « responsable de traitement « .

C’est dans le contrat entre le responsable de traitement et son prestataire sous-traitant que les obligations de l’article 28 RGPD sont les plus lourdes, nous en regarderons le détail.

Le détail du régime de détermination des rôles respectifs de responsable de traitement et de sous-traitant figure dans les slides ci-dessous.

RGPD-e-Privacy jurisprudence actualité au 2 décembre 2021 : l'obligation de sécurité (article 32 RGPD) et l'obligation d'informer la CNIL (article 33 RGPD)

L’analyse des aspects techniques de l’article 32 RGPD rebute parfois les juristes…

C’est pourtant sur ce fondement que la CNIL a prononcé le plus de condamnation depuis 2014 !

Pour qu’un responsable de traitement puisse bien gérer sa « compliance » RGPD, il faut qu’il sache ce qu’est le chiffrement (et sa législation…), la pseudonymisation et l’anonymisation des données.

Si la doctrine officielle (et donc obligatoire) de la CNIL est abondante en la matière, n’oubliez pas de respecter aussi le droit du mot de passe (et de l’authentification en ligne) (et de la journalisation depuis la délibération CNIL du 14 octobre 2021), qui donne régulièrement lieu à de la jurisprudence de la part… devinez… de la CNIL… (ben oui !).

Vous trouverez dans les slides ci-dessous des explications sur les points techniques essentiels qu’impose le RGPD à tout Responsable de traitement, comme à tout Sous-traitant (le fameux article 28 RGPD sur lequel la CNIL insiste beaucoup en ce moment…).

L’article 32 RGPD impose de sécuriser techniquement les traitements de données personnelles.

Pourquoi ?

Pour se protéger contre les vulnérabilités des systèmes d’information exploitées par les cyber-attaquants !

En cas de « fuite de données » (cyber attaques, etc.) portant sur des données personnelles, il FAUT informer la CNIL.

Qui doit informer la CNIL ? Le responsable de traitement seulement.

Dans quel délai ? Dans les 72 heures si la « violation » est avérée.

Il suffit juste de bien lire ce qu’est une « violation » de données personnelles au sens du RGPD pour aller remplir en son temps le formulaire en ligne prévu à cet effet pour la CNIL.

Vous pourrez accéder au détail des explications relatives aux article 32 et 33 RGPD dans les slides ci-dessous. Vous allez voir, de la jurisprudence récente, il y en a !!!

RGPD-e-Privacy jurisprudence actualité au 2 décembre 2021 : les transferts HORS UE de données personnelles

Terminons cet aperçu – hélas toujours trop sommaire – des obligations issues du RGPD pour nous pencher sur les transferts HORS UE de données personnelles.

Un point d’actualité sur ce sujet précis n’est pas inutile, car la matière a beaucoup « bougé » depuis l’été 2020 :

 

 

 

  • adoption d’une doctrine complémentaire d’analyse par l’EDPB le 18 novembre 2021.

 

Faisons un point sur la matière ? Les slides de référence sont juste ci-dessous.

Le générique des BD ayant servi d'illustration à cette présentation (merci aux Editions Delcourt / Soleil !)

Marc-Antoine Ledieu

Avocat à la cour

Nos articles sur le sujet :
CYBER SÉCURITÉ

Nos articles sur le sujet :
CYBER SÉCURITÉ

NOS ARTICLES SUR LE MÊME SUJET

Les derniers articles du blog​