RGPD e-Privacy principes actualité jurisprudence ? Cette présentation est à jour au 21 juin 2021 des dernières jurisprudences de la CJUE, de la CNIL et du Conseil d’Etat.
Vu le titre de cette présentation, je vous le confirme, nous allons évoquer en détail le Règlement UE « RGPD » n°2016/679 du 27 avril 2016, ainsi que la Directive UE « e-Privacy » 2002/58 du 12 juillet 2002 (toujours en vigueur), ainsi enfin (mais plus brièvement) que la Directive 96/9 du 11 mars 1996 sur la « protection juridique des bases de données ».
En trois heures en distanciel, nous ne pourrons pas voir « tout » le RGPD…
Voici le détail de ce que nous allons parcourir.
RGPD e-Privacy principes actualité jurisprudence : petite introduction (dont les textes en vigueur)
RGPD e-Privacy principes actualité jurisprudence : et si on commençait par un panorama des jurisprudences depuis 2011 ?
Pour privilégier une approche pragmatique du RGPD, et de manière plus large, de la législation sur les données à caractère personnel, il est interessant de partir de la chronologie des condamnations publiques de la CNIL, des (rares mais importants) arrêts du Conseil d’Etat et des décisions de la CJUE, sensée harmoniser l’interprétation du RGPD et de e-Privacy au niveau de l’UE.
La toute dernière délibération publiée par la CNIL condamnant une entreprise (« Brico Privé ») est toute fraiche puisqu’elle remonte au 14 juin 2021 (délibération SAN n°2021-008).
C’est un bon exemple de la typologie des condamnations prononcées par la CNIL, puisqu’on y retrouve des manquements aux obligations juridiques, des manquements à l’obligation de sécurité et – enfin – le non-respect ces règles applicables aux cookies/traceurs (Directive e-Privacy de 2002 re-transposée en droit français par l’ordonnance du 12 décembre 2018).
RGPD e-Privacy principes actualité jurisprudence : pouvoirs de la CNIL, risque d'amende administrative et sanctions pénales potentielles
C’est la partie de la présentation qui fait grincer des dents.
Des obligations sans sanction, cela ne marche jamais…
Petit rappel de ce à quoi une Autorité de contrôle (comme la CNIL en France) peut condamner une entreprise « non-conforme ».
Et bien sûr, comme nous sommes en France, petit rappel des sanctions pénales potentielles…
RGPD e-Privacy principes actualité jurisprudence et la grande distinction à retenir : données de contenu / métadonnées / données à caractère personnel
C’est sur cet aspect des choses que beaucoup buttent : c’est quoi des « données à caractère personnel » ?
Soyons, ici encore, pragmatiques.
Les données personnelles, ce ne sont jamais des « données de contenu ».
Les métadonnées ? des données techniques qui permettent de transporter des données numériques par un réseau de communications électroniques.
Oui, des métadonnées peuvent être des données personnelles !
Restent les données personnelles « classiques » : listes de nom + prénom + adresse…
En synthèse, si vous identifiez une personne physique grâce aux données que vous détenez, vous faites un traitement de données personnelles au sens du RGPD.
Si vous identifiez un terminal, vous identifiez forcément indirectement la personne qui s’en sert (téléphone portable, tablette, console de jeu, etc.).
En bonus dans le slider ci-dessous, quelques explications sur les techniques d’identification des terminaux (n° IMSI, n° IMEI, fingerprinting, etc.).
RGPD e-Privacy principes actualité jurisprudence : un point rapide sur les cookies/traceurs ?
Arrêtons nous juste un instant sur la règlementation sur les cookies/traceurs, pour avoir les repères de base et les idées claires, car cette règlementation s’ajoute au RGPD et ne le remplace pas) :
- la Directive e-Privacy de 2002 (toujours pas remplacée par le projet de Règlement e-Privacy en discussion depuis janvier 2017…).
- Les « lignes directrices » de la CNIL du 17 septembre 2020
- les « recommandations proposant des modalités pratiques » de la CNIL du (même) 17 septembre 2020
- les « questions-réponses » de la CNIL du 18 mars 2021
RGPD e-Privacy principes actualité jurisprudence et notion de "TRAITEMENT" de données à caractère personnel
Si le titre « RGPD e-Privacy principes actualité jurisprudence » a un sens, c’est bien à l’occasion de l’étude de la notion de « traitement » de données personnelles.
Voyons le principe ce qu’est un « traitement » de données personnelles, sans oublier l’exception de traitement exclusivement privé.
Pour ce qui este la jurisprudence, nous avons choisi de citer les Attendu de quelques décisions récentes de la CNIL pour illustrer notre propos.
Toutes les précisions figurent dans le slider ci-dessous.
RGPD e-Privacy principes actualité jurisprudence : l'obligation d'informer les personnes dont les données sont traitées.
L’idée du législateur européen était de mettre en place un cercle vertueux pour (enfin) obtenir un peu de transparence pour savoir qui fait quoi des données collectées.
Si l’entreprise « fait le job » à l’égard de ses clients / prospects / affiliés / etc. La personne concernée pourra simplement s »en « perdre » juridiquement à l’enterprise « non-conforme »…
RGPD e-Privacy principes actualité jurisprudence : l'obligation de choisir parmi les 6 bases légales pour tout traitement de données personnelles
Le RGPD impose de choisir parmi les 6 bases légales.
C’est la loi.
Il faut l’écrire en BtoB comme en BtoC, par exemple dans les contrats de travail…
Prenons un autre exemple : un service web d’hébergement de « contenu ».
La loi impose à l’hébergeur type « LCEN » (loi pour la Confiance dans l’Economie Numérique du 21 juin 2004) de collecter des données personnelles relatives aux personnes qui mettent des contenus en ligne sur le site de l’hébergeur.
Les données que l’hébergeur doit collecter et stocker de manière obligatoire figurent dans le décret n°2011-219 du 25 février 2011.
Si la loi l’impose, l’hébergeur devra l’indiquer dans ces CGU en ligne. Le fondement RGPD de la collecte et du stockage de ces information sera donc « le respect d’une obligation légale » (article 6.1 (c) RGPD).
Et si le décret prévoit 1 an de conservation obligatoire, alors il faudra le dire aux internautes.
RGPD e-Privacy principes actualité jurisprudence : voyons "qui" peut être "Responsable de traitement" au sens du RGPD
Franchement, c’est la partie la plus simple à comprendre de cette législation sur la protection des données personnelles.
Vous décidez de collecter / traiter des données personnelles ?
Vous êtes responsable de traitement !
Ne perdez pas de temps avec la notion de « moyens » d’un traitement. Si vous payez pour obtenir des données personnelles ou pour les faire traiter par un tiers, vous êtes « Responsable de traitement ».
Si vous êtes éditeur de logiciel, et que vos clients installent votre logiciel dans leur téléphone (hypothèse des apps mobiles), cet éditeur n’a pas accès aux données que son logiciel va traiter.
Cet éditeur ne sera pas responsable de traitement. Ce sera votre traitement de données personnelles.
Vous serez donc « responsable de traitement ».
En revanche, si vous synchronisez dans un cloud les données de votre téléphone, opérateur du cloud sera (certainement) sous-traitant au sens du RGPD… Nous y reviendrons.
Responsable du traitement = producteur sur le contenu d'une base de données ? OUI !
Vous hésitez encore sur la qualification de votre entreprise comme « responsable de traitement » ?
Si vous êtes « producteur » du contenu de votre base de données au sens de la Directive n°96/9 du 11 mars 1996, et que les données concernées sont des « données à caractère personnelles », alors, soyez en certain(e), vous êtes « responsable de traitement » au sens du RGPD.
Comme cette Directive « base de données » n’est pas la plus connue de tous les textes législatifs de l’UE, je vous propose quelques slides de synthèse ci-dessous.
Si vous souhaitez creuser le droit des bases de données, cliquez sur le lien pour accéder à ma présentation en BD de mai 2021 sur ce sujet précis.
RGPD e-Privacy principes actualité jurisprudence : et le "Sous-Traitant" RGPD ?
Ici encore, dans l’immense majorité des cas, c’est simple à comprendre.
Le sous-traitant « fait » des traitement sur des données personnelles qui ne sont pas les siennes.
Le sous-traitant manipule ders données « pour le compte » du donneur d’ordre qu’est le responsable de traitement.
Oui, mais… si le sous-traitant décide de traiter pour lui-même les données qui lui sont confiées ? Ce sous-traitant change de casquette et devient alors « responsable traitement ». Son traitement sera probablement illicite mais la CNIL peut parfaitement re-qualifier son rôle juridique et en tirer les conséquences (des sanctions, soyons-en sûr).
RGPD e-Privacy principes actualité et jurisprudence relatives à l'obligation de sécurité
Ahhhhhhhhhh…. L’article 32 RGPD qui fait (toujours) tant frémir les juristes…
Oui, pour bien gérer sa « compliance » RGPD, il faut savoir ce qu’est le chiffrement (eta législation…), la pseudonymisation, l’anonymisation des données.
Vous trouverez dans les slides ci-dessous des explications sur les points techniques essentiels qu’impose le RGPD à tout Responsable de traitement, comme à tout Sous-traitant.
Et si vous souhaitez creuser la notion de « mesures techniques de protection », jetons aussi un coup d’oeil rapide sue la notion de « mesures raisonnables de protection » de la Directive du 8 juin 2016 sur la protection des secrets d’affaires.
Si contractuellement, vous combinez les deux, vos précieuses donnés personnelles pourront également être protégées comme des secrets d’affaires.
Si vous souhaitez approfondir votre connaissance de la Directive « Secrets d’affaires », cliquez sur le lien qui vous guidera vers ma présentation en BD sur ce sujet précis.
Si la protection des secrets en droit français vous intéresse, vous pouvez aussi visionner ma vidéo+BD qui traite de ces problématiques, dont celle – bien sur – du secret des affaires.
RGPD e-Privacy principes actualité et jurisprudence relatives à l'obligation de notification des "violations" de données
En cas de « fuite de données » (cyber attaques, etc.) portant sur des données personnelles, il fUAT informer la CNIL.
Qui doit informer ? Le responsable de traitement seulement.
Dans quel délai ? Dans les 72 heures si la « violation » est avérée.
Il suffit juste de bien lire ce qu’est une « violation » de données personnelles au sens du RGPD pour aller remplir en son temps le formulaire en ligne prévu à cet effet pour la CNIL.
RGPD e-Privacy principes actualité et jurisprudence : faisons un point sur les transferts de données HORS UE ?
Un point d’actualité sur ce sujet précis n’est pas inutile, car la matière a beaucoup « bougé » depuis l’été 2020 :
- annulation du Privacy Shield par la CJUE
- adoption (4 juin 2021) des nouvelles clauses contractuelles type par la Commission de Bruxelles.
Faisons un point sur la matière ? Les slides de référence sont juste ci-dessous.