05 octobre 2020

|

Marc-Antoine LEDIEU

Marc-Antoine LEDIEU – Avocat et RSSI

#306 RGPD et jurisprudence 2011 à 2020

J’ai eu le plaisir d’assurer le lundi 5 octobre 2020 une formation pour Lamy / Les Echos formation sur le thème du RGPD. Facile ? Non… j’avais 3 heures pour faire le tour des principales problématiques de ce texte fleuve. Si vous avez encore des doutes sur ce point, allez lire le Règlement UE n°2016/679 du 27 avril 2016.

Pour rendre l’approche plus vivante, j’ai choisi de traiter le RGPD par la jurisprudence, qu’elle soit de la CNIL, du Conseil d’Etat ou de la CJUE (Cour de Justice de l’Union Européenne). Et de la jurisprudence, on en a plein depuis 2011…

RGPD et jurisprudence 2011-2020 : le plan

les slides de l'intro

Des textes en vigueur depuis 2012 ???

Commençons par un rappel des textes légaux aujourd’hui en vigueur en France. 

Le plus ancien ? La directive « e-Privacy » n°2002/58 du 12 juillet 2002

Les plus récents ? Les deux délibérations de la CNIL du 17 septembre 2020, nous y reviendrons bientôt, soyez en certain(e).

Mais surtout, parcourons la liste (presque) exhaustive des décisions de jurisprudence rendues depuis 2011 jusqu’à ce 5 octobre 2020. 

Cette manière de procéder permet de se rendre compte combien le niveau de sanction monte progressivement dans l’Hexagone.

Et tant qu’on y est, jetons un coup d’oeil aux (inévitables) sanctions pénales françaises, qui viennent en théorie se rajouter aux sanctions pécuniaires que notre Autorité de contrôle, la CNIL, peut imposer.

Les slides avec le détail des textes applicables, le rappel des pouvoirs de sanction de la CNIL et des sanctions pénales

RGPD : les rappels nécessaires pour comprendre de quoi on parle

Pour « rentrer » dans la législation sur la protection des données personnelles, il faut maitriser a minima certains concepts techniques et juridiques. 

Je vous propose donc de commencer par une petite revue de ce que sont les notions « d’information« , de « message« , de « signal » et de « données numériques« . Promis, ce ne sera pas long.

Ensuite, pour bien comprendre, il faut savoir faire la distinction entre « données de contenu« , « métadonnées » et « données à caractère personnel« . 

Les données de contenu » ? Ce sont les « messages » couverts par le secret des correspondances échangés lors de l’utilisation d’un réseau de communications électroniques. En option, certains contenus qui ne sont pas protégés par le secret des correspondances peuvent l’être via le droit d’auteur.

Les « métadonnées » ? Ce sont les données techniques permettant l’échange électronique de données de contenu. Ces métadonnées ne sont pas protégées ni par le secret des correspondances, ni par le droit d’auteur.

C’est à cette occasion que nous parlerons du projet de Règlement UE « e-Privacy » censé (un jour…) remplacer la Directive « e-Privacy » n°2002/58. Car ce Règlement nous a été promis pour fin 2020 par l’Allemagne (qui assure la présidence de l’UE depuis juillet jusqu’en décembre 2020).

Aujourd’hui, la définition légale des métadonnées n’existe pas. Le texte actuellement en vigueur (la Directive 2002/58 « e-Privacy ») évoque seulement les « données relatives au trafic » et les « données de localisation« . Le projet de Règlement « e-Privacy » devrait mettre de l’ordre dans ces définitions et poser des règles (que l’on espère claires) relatives à l’utilisation des données de contenu d’une part, et des métadonnées d’autre part.

Venons-en maintenant à la définition des « données à caractère personnel ».

La définition des "données à caractère personnel" ? De la jurisprudence depuis 2011 ?

Vous pourrez constater dans les slides que, depuis la loi CNIL n°78-17 du 6 janvier 1978, en passant par le texte de la Directive 95/46 « data protection », jusqu’au RGPD adopté en 2016, cette définition des « données à caractère personnel » a – au final – très peu varié.

C’est pour cette raison que les arrêts de la CJUE concernant la qualification de « données à caractère personnel » de l’adresse IP fixe (CJUE aff. C‑70/10 « Scarlett Extended du 24 novembre 2011) et de l’adresse IP dynamique (CJUE aff. C‑582/14 « Breyer » 19 octobre 2016 ) restent tout à fait d’actualité et sont parfaitement applicables au texte actuel du RGPD.

Pour mémoire, nous citerons aussi un arrêt de la Cour de cassation qui va tout à fait dans le même sens (Cour de cassation, 1ère ch. civ. « Peterson » du 3 novembre 2016).

Si vous souhaitez creuser l’aspect « adresse IP et données personnelles« , allez lire ma présentation en BD mise à jour en juillet 2017.

C’est à ce stade qu’il faut s’intéresser à la notion d’identification indirecte d’une « personne physique », via l’identification (directe) d’un terminal. Si vous pouvez identifier un terminal, le possesseur/utilisateur de ce terminal est « identifiable« . Il faut donc appliquer le RGPD.

Attention, que l’identification d’un terminal passe par l’accès à un identifiant propre au « device » concerné (adresse MAC par exemple), à un numéro propre à un opérateur télécom (numéro IMSI ou IMEI) ou à une méthode d’identification propre à un opérateur web (« cookie » ou « témoin de connexion », canvas fingerprinting, etc.), dans tous les cas, l’identification du terminal entraine la qualification des données collectées en « données à caractère personnel« .

"donnés de contenu" - "métadonnées" - "données à caractère personnel" ? dans le slider ci-dessous

RGPD et jurisprudence : le "consentement" RGPD expliqué par l'exemple des cookies "traceurs"

L’encadrement par la CNIL de l’utilisation des « cookies traceurs » est très intéressant pour réviser ce qu’est un « consentement » au sens du RGPD.

Voyons d’abord la définition formelle du RGPD.

La nouveauté du RGPD au regard de la même définition posée par feu la directive 95/46 ? La notion « d‘acte positif explicite« . Et les considérants du RGPD sont très clairs en la matière :

Voila pourquoi il est utile de lire la délibération CNIL « cookies traceurs » du 4 juillet 2019 (bien que cette délibération vienne d’être remplacée par la délibération n°2020-091 du 17 septembre 2020).

En réalité, c’est l’arrêt du Conseil d’Etat (n°434684 du 19 juin 2020) qui apporte des précisions interessantes sur cette notion « d’acte positif explicite« .

Sur ce sujet, penchons-nous un instant sur la délibération CNIL « Google LLC » du 21 janvier 2019 qui explique en quoi le consentement des utilisateurs des services de Google « n’est pas suffisamment éclairé« .

Pour ne pas voir le problème sous un prisme trop bleu-blanc-rouge, voyons aussi l’arrêt de la CJUE (aff. C‑673/17 « Planet49 » du 1er octobre 2019) expressément cité par le Conseil d’Etat dans son arrêt n°434684 du 19 juin 2020.

Enfin, n’oublions pas l’arrêt du Conseil d’Etat, également du 19 juin 2020 (arrêt « Google LLC » n°430810) qui valide à 100 % la condamnation de Google par la CNIL de janvier 2019. Vous y lirez que le « comportement exprès de l’utilisateur » passe par un « comportement actif« , c’est-à-dire un « acte positif clair« .

RGPD et jurisprudence : les slides sur la notion de "consentement" sont accessibles ici

La notion de "traitement" de données personnelles : RGPD et jurisprudence

Un « traitement » ? C’est toute manipulation de données personnelles !

Difficile de faire plus large que la définition posée à l’article 4 du RGPD…

Les grands principes que doit respecter tout « traitement » ?

Minimisation et finalité d'un "traitement"

C’est à ce stade que la lecture de la jurisprudence (récente) devient interessante.

La délibération CNIL n°SAN-2019-010 du 21 novembre 2019 donne un premier éclairage pratique sur le caractère « pertinent » des données collectées et traitées : « rien ne justifie, en l’espèce, la présence de données relatives à la santé des personnes dans le logiciel de gestion des clients et prospects« .

La délibération CNIL n°SAN 2020-003 du 28 juillet 2020 nous fournit aussi une casuistique de ce qu’il ne faut pas faire :

– utiliser les données bancaires des clients pour « la formation des salariés » de l’entreprise

– collecter « des données de santé » pour « détection de la fraude »…

 

Finalité d'un traitement et durée de conservation

La délibération CNIL n°SAN 2019-001  « Google LLC » du 21 janvier 2019 (confirmée par l’arrêt du Conseil d’Etat n°430810 du 19 juin 2020) est assez révélatrice d’une pratique encore très largement répandue chez quelques « gros » opérateurs du web…

Cette absence de durée de conservation n’est pas l’apanage des GAFAM… Il suffit de se référer à la délibération CNIL n°SAN 2020-003 de juillet 2020 pour s’en convaincre.

L'obligation d'information des "personnes concernées"

C’est un des points « durs » du RGPD : le « responsable » d’un traitement doit informer les personnes dont les données sont collectées… de ce qu’il compte en faire.

Le détail sur lequel porte cette obligation d’information, en cas de collecte « directe » ou « indirecte » est précisé dans les articles 13 et 14 du RGPD. 

Difficile d’ignorer cette obligation…

Pourtant, la délibération CNIL n°SAN 2020-003 du 28 juillet 2020 montre qu’apparemment, certains professionnels « oublient » d’informer leurs users que leurs données personnelles sont traitées hors UE. 

RGPD et jurisprudence sur la "base légale" du traitement

L’obligation de justifier de la « base légale » de chaque traitement est une des rares vraies nouveautés du RGPD.

Chaque responsable du traitement a le choix entre 6 options, le « consentement » n’étant que l’une des six.

Petit récapitulatif des options du RGPD ?

Que nous précise la jurisprudence ? Que chaque traitement doit identifier une « base légale » (délibération CNIL n°SAN 2020-003 du 28 juillet 2020 – encore elle).

Personne ne sera surpris si je rappelle que ce non-respect du RGPD a conduit la CNIL a condamner Google LLC en janvier 2019 (Délibération CNIL n°SAN-2019-001 du 21 janvier 2019)…

Soyons pratique : un des apports de la jurisprudence récente de la CNIL a été de préciser qu’un traitement de données « afin de détecter la fraude en ligne » est un traitement de données « sans consentement » (mais avec information préalable…) qui peut être soit « nécessaire à l’exécution d’un contrat », soit « nécessaire aux fins des intérêts légitimes » du responsable de traitement (délibération CNIL n°SAN 2020-003 du 28 juillet 2020 – encore elle !!!).

Je vous rappelle qu’il est possible de « panacher » les bases juridiques d’un traitement (notion bien connue de « ceinture et bretelles » pour les entreprises les plus prudentes). C’est Johanne, grand organisateur du podcast NoLimitSecu, qui va être content en lisant cette slide !

Vous trouverez dans les slides ci-dessous quantité de détails concernant ces fameuses « bases juridiques » et la jurisprudence correspondante.

"responsable de traitement" et "sous-traitant"

Ce sujet tend (enfin) à s’apaiser parmi les professionnels de la protection des données personnelles.

La séparation des rôles entre « responsable de traitement » (« controller » en anglais) et « sous-traitant » (« processor » en anglais) ne fait plus débat.

Citons seulement pour mémoire une jurisprudence « Oxeva » de la Cour d’appel de Paris du 1er mars 2019 qui ne fait que rappeler les principes du RGPD entre un éditeur de site web et son hébergeur.

Pour mémoire également, sur la notion de « responsable conjoint » de traitement, je vous rappellerai ici l’arrêt de la CJUE du 5 juin 2018 (aff. C‑210/16 « Wirtschaftsakademie »).

Pour plus d’explication sur cet arrêt important (mais complexe à lire), je vous invite à vous référer à ma présentation « RGPD qui fait quoi ? » sur ce sujet.

Retenons juste en 1 slide la répartition des rôles entre « controller » et « processor » :

Nous profiterons de ce chapitre pour faire un rappel sur les obligations juridiques qui s’imposent soit au « responsable de traitement », soit à son « sous-traitant ».

Enfin, nous verrons un peu rapidement le détail des obligations contractuelles à prévoir dans le contrat entre le « controller » et son « processor ».

RT (responsable de traitement) ? ST (sous-traitant) : qui doit faire quoi ? quelles obligations juridiques ? Le détail dans les slides ci-dessous

L'obligation de sécurité [article 32 RGPD]

Là, on rentre dans la partie souvent délaissée par les juristes. C’est dommage, car c’est cette obligation de sécurité qui a donné lieu au plus grand nombre de décisions de jurisprudence depuis 2014.

Voyons d’abord le texte de l’article 32 RGPD (qui s’applique – je vous le rappelle – au responsable du traitement comme à chaque sous-traitant).

définition et jurisprudence sur les concepts de "pseudonymisation" et "d'anonymisation"

Vous trouverez dans les slides ci-dessous quelques rappels relatifs au « chiffrement » et au droit français de la « cryptologie »…

Pour comprendre la « pseudonymisation », soit vous allez lire l’article 4.5 RGPD (bon courage), soit…

Bref, en 1 slide, pour comprendre :

Je vous rappelle juste que des données « pseudonymisées » restent pour le « controller » comme pour le « processor » des données à caractère personnel. Donc, même pseudonymisées, ces données restent soumises au régime complet du RGPD.

Pour ce qui est de la jurisprudence (très rare) sur ce point, je vous invite à lire la délibération CNIL n°SAN 2020-003 du 28 juillet 2020 dans laquelle le responsable du traitement prétendait avoir « anonymisé » les données de ses prospects, alors qu’il n’avait fait que les « pseudonymiser »… 

Cette décision est d’ailleurs l’occasion pour mettre le nez dans le « droit du mot de passe ». 

Jurisprudence sur "le droit du mot de passe"

C’est d’ailleurs aller un peu vite que d’évoquer d’abord la jurisprudence.

Car il existe un véritable « droit du mot de passe ». 

D’abord une « recommandation » du 5 juin 2012 de l’ANSSI. C’est – comment dire – assez technique et bien détaillé…

La CNIL n’est pas en reste puisqu’elle a fixé par deux délibérations successives en 2017 (n°2017-012 du 19 janvier 2017 et n°2017-190 du 22 juin 2017), l’ensemble des règles obligatoires (je répète : OBLIGATOIRES) pour tout responsable de traitement et tout sous-traitant lorsqu’il s’agit de prévoir des mots de passe.

Et nous disposons de deux décisions de condamnation de la CNIL sur ce point précis :

pour les « comptes accédant aux bases de données (à caractère personnel) et aux « plateformes d’administration de ces bases« , il faut se référer à la délibération CNIL n°MED 2018-043 du 8 octobre 2018;

– pour accès aux comptes clients« , il faut relire la délibération CNIL n°SAN 2020-003 du 28 juillet 2020).

Pour vous rendre cette jurisprudence plus claire, voici à quoi peut ressembler une clause « mot de passe » dans un contrat BtoB :

Jurisprudence sur l'obligation de sécurité article 32 : les slides sont ici !

RGPD et jurisprudence sur les violations de données

Pourquoi tant d’obligations pour assurer la sécurité d’un traitement de données personnelles ? Pour (tenter de) lutter contre les « violations de données » !

Et si un responsable de traitement est victime d’une « violation de données » ? Une violation « avérée » de données ? Obligation d’en informer la CNIL dans les 72 heures.

Ce rappel étant fait, regardons quelques jurisprudences de la CNIL :

– une très interessante première décision de condamnation à un « avertissement » en 2014 (CNIL délibération 2014-298 du 7 août 2014)

– autre décision de condamnation de la CNIL, intéressante en ce que pour la première fois, apparait la notion technique de « vulnérabilité » : délibération CNIL 2017-010 du 18 juillet 2017

Le terme « vulnérabilité » ne faisant l’objet d’aucune définition légale, vous pouvez creuser ce point en consultant notre présentation (en BD) « vulnérabilité bug négligence et responsabilité du DSI / RSSI » qui date de juin 2020. 

Vous trouverez dans les slides ci-dessous quelques autres décisions de condamnation de la CNIL dont vous pourriez utilement prendre connaissance…

Ah oui… J’oubliais… Nous avons également des décisions de condamnation de la CNIL à l’encontre de sociétés ayant fait l’objet d’une cyber attaque avérée :

– délibération CNIL n°SAN-2018-008 du 24 juillet 2018;

– délibération CNIL n°SAN-2018-011 du 19 décembre 2018.

Vous trouverez dans les slides le détail du modus operandi des attaquants.

A ma connaissance, pas d’autre jurisprudence publiée à ce jour sur ce sujet précis (et brulant).

RGPD et jurisprudence sur le transfert hors UE de données personnelles

Pour terminer cette matinée de formation Les Echos / Lamy conférences, voyons rapidement le problème des transferts hors UE de données à caractère personnel.

Tout d’abord un petit rappel des modalités juridiques offertes aux responsables de traitement.

 

Si j’ai choisi d’évoquer cette problématique spécifique, c’est que nous sommes gâtés (?!) en terme de jurisprudence :

– la décision d’adéquation sectorielle dite « Privacy Shield » vient d’être annulée par un arrêt de la CJUE qui fait couler beaucoup d’encre depuis le mois de juillet 2020 (aff. C‑311/18 « Schrems II » du 16 juillet 2020). 

Pour en comprendre les tenants et les aboutissants, vous pouvez vous reporter à notre post de blog (en BD, comme toujours) sur ce sujet précis.

De manière plus hexagonale, nous disposons aujourd’hui d’une délibération de sanction contre un responsable de traitements qui ne semblait pas très au fait des obligations spécifiques du RGPD en la matière :

– délibération CNIL n°SAN-2019-010 du 21 novembre 2019 (le prestataire faisait traiter ses données sans respecter les clauses contractuelles types et obligatoires…)

Les transferts HORS UE de données personnelles : principes du RGPD et jurisprudence dans le slider ci-dessous

Si les illustrations en BD de ces slides vous ont plu, retrouvez dans le « carrousel » ci-dessous quelques cases avec les références de l’éditeur (pour que vous puissiez vous ruer chez votre libraire).

Marc-Antoine Ledieu

Avocat à la cour

Nos articles sur le sujet :
CYBER SÉCURITÉ

Nos articles sur le sujet :
CYBER SÉCURITÉ

NOS ARTICLES SUR LE MÊME SUJET

Les derniers articles du blog​