Newsletter IT - Données Personnelles N°2

Données Personnelles

SCHREMS II – La CJUE invalide le Privacy Shield mais maintient les Clauses Contractuelles Types (CCT)

En 2016, la Commission Européenne avait reconnu l’accord du Privacy Shield comme mécanisme offrant une protection adéquate pour le transfert de données personnelles de l’Union Européenne (UE) vers les entreprises américaines adhérentes.

Par un arrêt du 16 juillet 2020, la Cour de Justice de l’Union Européenne (CJUE) a invalidé cette décision, rendant ainsi illégal tout transfert de données fondé sur le Privacy Shield.

La CJUE estime en effet que le droit américain, et notamment les dispositions permettant aux autorités américaines d’accéder aux données personnelles transférées de l’UE vers les Etats-Unis à des fins de sécurité nationale, ne permet pas de garantir un niveau de protection des personnes concernées équivalent à celui requis par le droit européen.

S’agissant de la décision 2010/87/CE de la Commission Européenne relative aux Clauses Contractuelles Types (CCT), la CJUE en confirme la validité, mais note que les CCT ne peuvent être un mécanisme de transfert valable que si, en pratique, les garanties qu’elles contiennent peuvent effectivement être mises en œuvre afin d’assurer un niveau de protection des données essentiellement équivalent à celui garanti dans l’UE.

A cet égard, la CJUE rappelle que les CCT dans leur rédaction actuelle imposent à l’exportateur et à l’importateur de données, préalablement à tout transfert, de vérifier si le niveau de protection des données est respecté dans le pays tiers concerné. Elles exigent également que l’importateur de données informe l’exportateur de toute incapacité à se conformer aux CCT ou à toute mesure complémentaire ajoutée aux CCT par les parties. Dans ce cas, l’exportateur de données est tenu de suspendre le transfert de données et/ou de résilier le contrat le liant avec l’importateur.

Qu’est-ce que cela signifie en pratique pour les organismes transférant des données personnelles en dehors de l’UE ?

Suite à la décision de la CJUE, toute organisation transférant des données personnelles en dehors de l’UE, et notamment aux Etats-Unis, doit réévaluer ces transferts, les mécanismes juridiques mis en place pour les encadrer et, le cas échéant, implémenter des mesures complémentaires.

S’agissant des transferts de données vers les Etats-Unis :

Pour les transferts initialement fondés sur le Privacy Shield : Le Privacy Shield ne peut plus être utilisé comme fondement à un transfert de données vers les Etats-Unis. L’organisation doit trouver un autre mécanisme de transfert ou cesser de transférer les données vers les Etats-Unis.

• Pour les transferts fondés sur la conclusion de CCT : Conformément aux recommandations du Comité Européen de la Protection des Données (CEPD) et à la décision de la CJUE, les transferts fondés sur les CCT doivent faire l’objet d’une évaluation afin de déterminer si le droit américain ne compromet pas le niveau de protection des données garanti par le droit de l’UE et les CCT. Cette évaluation doit être effectuée au cas par cas, en tenant compte des circonstances du transfert et des mesures complémentaires qui pourraient être mises en place.
  Elle doit également être documentée. Si cette analyse ne permet pas de conclure qu’un niveau de protection suffisant est garanti, le transfert doit être suspendu. Si une organisation décide de continuer à transférer des données vers les Etats-Unis en dépit de cette conclusion, elle doit en notifier son autorité de contrôle.
  Dans la mesure où il ressort des conclusions de la CJUE que celle-ci considère que le droit américain n’assure pas un niveau de protection essentiellement équivalent à celui garanti par l’UE, il appartient aux organismes qui souhaitent continuer à transférer des données vers les Etats-Unis de déterminer s’ils peuvent mettre en œuvre des mesures complémentaires pour garantir ce niveau de protection (par exemple, par l’envoi de données strictement minimisées et peu sensibles).
• Pour les transferts fondés sur les règles d’entreprise contraignantes (BCR) : Les transferts fondés sur les BCR doivent faire l’objet d’une évaluation dans les mêmes conditions que les transferts fondés sur les CCT. De la même manière, si la conclusion de l’évaluation est qu’un niveau de protection équivalent n’est pas garanti, même si des mesures supplémentaires sont prises, les organisations doivent cesser le transfert ou notifier l’autorité de contrôle en cas de maintien du transfert.
• Pour les transferts fondés sur les dérogations de l’article de l’article 49 du RGPD :  Les transferts fondés sur des dérogations peuvent continuer à être effectués, à condition d’en respecter les conditions strictes d’application, telles qu’interprétées notamment par le CEPD dans ses lignes directrices. A titre d’exemple, tout transfert vers les Etats Unis fondé sur le consentement de la personne concernée suppose un consentement éclairé de celle-ci, qui implique notamment qu’elle ait été informée des risques que ce transfert pouvait comporter pour elle en raison de l’absence de garanties appropriées pour ses données.

S’agissant des transferts de données vers d’autres pays tiers :

Alors que l’arrêt Schrems II concernait des transferts de données vers les Etats-Unis, les conclusions de la CJUE ont des conséquences sur tous les transferts de données vers des pays tiers pour lesquels il n’existe pas de décision d’adéquation.

Pour ces transferts, comme pour les transferts vers les Etats-Unis, les organismes peuvent continuer d’utiliser les CCT et BCR, mais doivent être en mesure de démontrer – pour chaque transfert - l’efficacité de ces mécanismes au regard du droit national du pays tiers, le cas échéant en mettant en place des mesures complémentaires.

Si ces mesures ne suffisent toujours pas à garantir un niveau de protection adéquat des données transférées, le transfert devra être suspendu ou notifié à l’autorité de contrôle compétente.

Face aux nombreuses incertitudes résultant de l’arrêt Schrems II, particulièrement s’agissant des transferts de données vers les Etats-Unis, l’EDPB a adopté le 11 novembre 2020 des recommandations sur les mesures qui devraient compléter les outils de transfert pour assurer le respect du niveau de protection des données personnelles de l’UE.

Ces recommandations seront soumises à une consultation publique et seront applicables immédiatement après leur publication.
En parallèle, les CCT font l’objet d’une refonte tenant compte des conclusions de l’arrêt Schrems II.

AUTORITES EUROPEENNES – Vers une augmentation du montant des amendes ?

Après l’amende de 50 millions d’euros infligée à Google par la CNIL en janvier 2019 (cf. notre Newsletter n°1), c’est au tour de l’autorité britannique de

protection des données (ICO) et du Commissaire d’Hambourg d’infliger des amendes record, confirmant ainsi que les autorités nationales n’hésitent plus à sanctionner lourdement les entreprises non conformes au RGPD.

Les 16 et 30 octobre 2020, l’ICO a ainsi infligé une amende de 20 millions de livres (environ 22 millions d’euros) à British Airways ainsi qu’une amende de 18,4 millions de livres (environ 20 millions d’euros) à Marriott, suite à des violations de données ayant rendu accessibles à des tiers de très nombreuses données personnelles de clients. Il s’agit des amendes les plus élevées infligées par l’ICO concernant des manquements aux obligations de sécurité prévues par le RGPD.

Le 1er octobre 2020, le Commissaire d’Hambourg a, quant à lui, infligé une amende de 35 millions d’euros à H&M sanctionnant l’enregistrement illégal de ses salariés et la collecte abusive de données sensibles. Cette amende est plus élevée que toutes les amendes cumulées précédemment prononcées par les autorités allemandes depuis l’entrée en vigueur du RGPD.

COOKIES – La CNIL publie des lignes directrices modificatives et sa recommandation pratique

Le 1er octobre 2020, la CNIL a publié de nouvelles lignes directrices relatives aux cookies et autres traceurs accompagnées d’une recommandation pratique sur les modalités de recueil du consentement.

D’ici au 31 mars 2021, les entreprises utilisant des cookies et autres traceurs devront s’assurer qu’elles respectent cette nouvelle réglementation.
La CNIL précise notamment que la poursuite de la navigation sur un site ne constitue plus un consentement valable. Les utilisateurs doivent avoir la possibilité d’accepter ou de refuser les cookies par finalité et avoir accès à une liste de tous les opérateurs utilisant les traceurs déposés sur leur terminal. Il doit être aussi simple d’accepter les cookies que de les refuser.

Les entreprises concernées doivent mettre à jour leurs mentions d’information et revoir leur mécanisme de recueil du consentement, ou justifier que le traceur peut bénéficier de l’exception limitée d’exemption de consentement.

A défaut, elles s’exposent aux sanctions prévues par le RGPD, tant pour le dépôt des cookies et traceurs en lui-même que pour les traitements de données personnelles qui en découlent.

FLASH INFO

Clôture de la consultation publique sur deux nouveaux projets de lignes directrices du CEPD

Le CEPD a adopté deux nouveaux projets de lignes directrices :

• Des lignes directrices sur les notions de responsable du traitement et de soustraitant qui remplaceront le précédent avis du groupe de travail de l’article 29 (G29) et préciseront, au regard du RGPD, les notions de responsable du traitement, responsable conjoint, soustraitant, tiers et destinataires de données ainsi que les obligations découlant de ces qualifications.
• Des lignes directrices sur le ciblage des utilisateurs de réseaux sociaux visant à clarifier les rôles et responsabilités des réseaux sociaux et fournissant des conseils pratiques aux parties prenantes.
  Ces projets étaient soumis à consultation du 7 septembre au 19 octobre 2020. La publication définitive des lignes directrices devrait intervenir prochainement.

La CNIL publie une charte relative aux contrôles

La CNIL dispose de pouvoirs de contrôle auprès de tout organisme traitant des données personnelles. Ces contrôles sont encadrés par la loi Informatique et Libertés du 6 janvier 1978.

Afin d’assurer une plus grande transparence sur ces contrôles et d’en favoriser le bon déroulement, la CNIL a publié le 1er septembre 2020 une « charte des contrôles ».

Cette charte a pour objet de rappeler les droits et obligations des organismes contrôlés et précise également le déroulement et les suites d’un contrôle, quelle que soit sa forme, ainsi que les principes de bonne conduite à suivre dans cette situation.

La CNIL publie un guide relatif aux tiers autorisés

Les « tiers autorisés » sont les autorités ayant le pouvoir d’exiger la transmission de documents ou de renseignements pouvant inclure des données personnelles (par exemple : URSSAF, Direction Générale des Finances Publiques, autorités de police, auxiliaires de justice…). Face à ces demandes, les organismes concernés peuvent rencontrer des difficultés pour concilier l’obligation de répondre et la protection des données personnelles. Afin d’aider les professionnels visés par ce type de demande, la CNIL publie :

• Un guide pratique qui contient les points à vérifier lors du traitement d’un demande de communication de données personnelles par une autorité (par exemple, obtenir une demande écrite précisant le fondement légal de la demande, contrôler la qualité du tiers autorisé en question, appliquer des mesures de confidentialité afin de sécuriser l’échange, etc.)
• Un recueil décrivant les principales procédures susceptibles d’être mises en œuvre par les tiers autorisés.

IT

LOI AVIA - Le Conseil Constitutionnel censure plusieurs dispositions de la loi Avia

Par décision du 18 juin 2020, le Conseil Constitutionnel a censuré deux séries de dispositions relatives au régime de responsabilité des opérateurs de services de communication en ligne de la loi visant à lutter contre les contenus haineux sur internet (loi Avia).

La loi Avia prévoyait deux types d’obligations à la charge des opérateurs de site internet :

• L’obligation pour les hébergeurs et éditeurs de sites de retirer dans un délai d’une heure les contenus à caractère terroriste ou pédopornographique notifiés par l’autorité administrative (Paragraphe I de l’article 1 de la loi Avia) ;
•  L’obligation pour certains opérateurs de plateforme en ligne, dans un délai de 24 heures, de retirer ou rendre inaccessible tout contenu qui signalé par un internaute, dès lors que ce contenu peut manifestement relever de certaines qualifications pénales (telles que la provocation à la discrimination, à la haine ou à la violence à l’encontre d’une personne ou d’un groupe de personnes, le harcèlement sexuel, l’apologie du terrorisme, etc.) (Paragraphe II de l’article 1 de la loi Avia).

Si le Conseil Constitutionnel salue le caractère louable de l’objectif de la loi, à savoir le combat contre la prolifération des contenus haineux sur internet, il rappelle toutefois que le libre accès aux services de communication en ligne et la possibilité d’y exprimer ses idées et opinions sont le corollaire de la liberté d’expression et de communication. A ce titre, toute atteinte portée à l’exercice de cette liberté doit être nécessaire, adaptée et proportionnée à l’objectif poursuivi.

Or, s’agissant tout d’abord de l’obligation de retrait sous une heure des contenus notifiés par l’autorité administrative, le Conseil Constitutionnel relève que :

•  la détermination de l’illicéité des contenus en cause ne repose pas sur leur caractère manifestement illicite, mais est soumise à la seule appréciation de l’administration ;
• l’engagement d’un recours contre la demande de retrait n’est pas suspensif ;
• le délai d’une heure laissé à l’éditeur ou l’hébergeur pour retirer ou rendre inaccessible le contenu en question ne lui permet pas d’obtenir une décision d’un juge avant d’être contraint de s’exécuter, et ;
• la sanction en cas de non-retrait s’élève à un an d’emprisonnement et à 250 000 euros d’amende.

S’agissant ensuite de l’obligation de retrait sous 24 heures des contenus manifestement illicites signalés par les internautes, le Conseil Constitutionnel observe que :

• cette obligation s’impose dès lors qu’une personne signale un contenu illicite, sans intervention préalable d’un juge, il appartient donc à l’opérateur d’examiner l’ensemble des contenus signalés, aussi nombreux soient-ils ;
• le travail d’appréciation de l’illicéité des contenus dans un délai de 24 heures s’avère particulièrement complexe au regard de l’étendue des infractions concernées et de la technicité juridique dont certaines relèvent, et ;
• aucune cause d’exonération de responsabilité n’est prévue (tenant par exemple compte de la multiplicité de signalements dans un même temps), alors même que chaque défaut de retrait est susceptible d’entrainer le prononcé d’une sanction d’un montant de 250 000 euros.

Pour ces raisons, le Conseil Constitutionnel juge les dispositions en question contraires à la Constitution et les censure en ce que le législateur a porté à la liberté d’expression et de communication une atteinte qui n’est pas adaptée, nécessaire et proportionnée au but poursuivi.

IT

SERVICES NUMERIQUES - Fin de la consultation sur le paquet relatif aux services numériques

A quelques rares exceptions, le cadre législatif européen relatif aux services numériques est demeuré inchangé depuis l’adoption de la directive sur le Commerce électronique du 8 juin 2000.

La Commission Européenne a donc décidé de lancer une consultation publique qui s’est clôturée le 8 septembre 2020 en vue de définir le futur corpus de règles applicables en matière de services numériques, de lancer le chantier de refonte du régime de responsabilité des prestataires intermédiaires et d’améliorer et clarifier les obligations de ceux-ci en termes de modération des contenus.

La consultation portait sur deux volets :

Un premier volet sur les grands principes posés par la directive sur le Commerce électronique, en particulier la liberté de fournir des services numériques et une large limitation de la responsabilité pour les contenus créés par les utilisateurs. Sur la base de ces principes, la Commission Européenne entend fixer des règles plus claires et modernes concernant le rôle et les obligations des intermédiaires en ligne, ainsi qu’un régime de gouvernance plus efficace pour assurer l’application de ces règles.

Un deuxième volet concernant l’égalité des conditions de concurrence sur les marchés numériques européens où quelques plateformes font office de « gardiens ». A cet égard, la Commission Européenne souhaite réfléchir à l’adoption de dispositions permettant de remédier aux déséquilibres sur ces marchés, afin que les consommateurs aient le plus large choix possible et que le marché des services numériques demeure compétitif et ouvert à l’innovation.

Les contributions récoltées guideront les propositions de la Commission Européenne concernant le paquet relatif aux services numériques, lequel devrait être publié d’ici fin 2020.

Il complétera le Règlement (UE) 2019/1150 relatif aux relations entre plateformes et entreprises (cf. notre Newsletter n°1)

CYBERSECURITE - Proposition de loi pour la mise en place d’une certification de cybersécurité des plateformes numériques destinées au grand public

Afin d’assurer une meilleure information des consommateurs sur la sécurisation de leurs données lorsqu’ils utilisent une solution numérique, le Sénat a adopté une proposition de loi visant à obliger les plateformes numériques dont le nombre de connexions dépasse un certain seuil, qui sera précisé par décret, à afficher un diagnostic de cybersécurité accompagné d’un code couleur compréhensible pour les consommateurs (par exemple un « cyberscore » inspiré du nutriscore).

La proposition prévoit que les critères pris en compte pour le diagnostic, ainsi que les modalités pratiques de sa présentation et sa durée de validité devront être précisés dans un arrêté pris après avis de la CNIL. La proposition doit être examinée à l’Assemblée Nationale prochainement.