Quand la personne physique en demande la communication au responsable du traitement, i) celui-ci ne doit-il transmettre que celles que son entreprise a collecté auprès de cette personne physique ou bien ii) doit-il aussi transmettre les données obtenues auprès d’une autre personne ou d’une autre entreprise et les données qu’il a lui-même généré par le traitement qu’il a effectué à partir des données collectées ou obtenues ?

Pour le responsable du traitement, quand les données à caractère personnel n’ont pas été collectées auprès de cette personne, il peut invoquer l’exception à l’obligation d’information de la personne concernée de l’article 14, § 5 sous c)  du RGPD.

La Cour de justice, le 28 novembre 2024, l’arrêt,  clarifie la portée de cette exception dans une affaire qui oppose un citoyen hongrois avec son autorité nationale de délivrance du certificat d’immunité à la COVID.

« l’exception à l’obligation d’information de la personne concernée par le responsable du traitement, prévue à cette disposition, concerne indistinctement toutes les données à caractère personnel que le responsable du traitement n’a pas collectées directement auprès de la personne concernée, que ces données aient été obtenues par le responsable du traitement auprès d’une personne autre que la personne concernée ou qu’elles aient été générées par le responsable du traitement lui-même, dans le cadre de l’exercice de ses missions ».

Et la Cour limite le droit de contrôle sous cet article 14, §5 sous c).

« Cette vérification ne porte toutefois pas sur le caractère approprié des mesures que le responsable du traitement est tenu de mettre en œuvre, en vertu de l’article 32 de ce règlement, afin de garantir la sécurité des traitements de données à caractère personnel ».

Les responsables de traitement n’en seront que plus rassurés.

L’article Une clarification favorable au responsable du traitement est apparu en premier sur Philippe Schmitt Avocats.

Pour la CNIL, le responsable du traitement est celui qui bénéfice d’une autonomie pour déterminer la finalité et les moyens du traitement. Cette définition ressort de sa décision du 26 juillet 2021 dont de nombreux passages sont repris ci-dessous et qui en montre l’importance pratique. La délibération de la formation restreinte de la CNIL du 26 juillet 2021

• Le contexte de cette affaire : un contrat de prestations

7. Il ressort des investigations …. que, par un contrat cadre de prestation de services en date du 18 juillet 2013, complété par trois avenants et quatre cahiers des charges, la société M…… a confié à la société FH…………….- devenue le 1er janvier 2017 la société…………. – une mission de représentation d’intérêts concernant l’utilisation du glyphosate en Europe et dans le monde, à compter de 2016 et jusqu’au 31 mai 2019.

• La nature des données

9. Dans le cadre de cette prestation, la société FH…………….a procédé à l’identification et au recensement d’informations relatives à des personnalités impliquées dans le débat sur le renouvellement de l’autorisation d’utilisation du glyphosate en Europe, qui s’est notamment concrétisé par l’élaboration et la tenue d’une liste des « parties prenantes » intervenant dans le cadre de cette campagne. Ce fichier, intitulé « French M…… stakeholders database – cultivating trust » , comportait une liste de 201 personnes résidant en France, dont des membres d’associations de protection de l’environnement, d’associations d’agriculteurs, d’associations dans le domaine de la santé, d’organisations professionnelles, des personnalités politiques, des membres d’administrations, des journalistes, des universitaires et des agriculteurs. Pour chacune de ces personnes, les informations suivantes étaient renseignées : organisme de rattachement et site web, poste occupé, adresse professionnelle, numéro de téléphone fixe professionnel, numéro de téléphone portable, adresse de messagerie électronique professionnelle et, le cas échéant, compte « Twitter » .

• Le traitement des données personnelles

10. En outre, une note allant de 1 à 5 était attribuée à chaque personne, afin d’évaluer son influence, sa crédibilité et son soutien à la société M…… sur six sujets, en l’occurrence l’agriculture, les pesticides, les organismes génétiquement modifiés, l’environnement, l’alimentation et la santé.
11. Le fichier comportait également une zone de commentaire libre dans laquelle pouvaient être indiqués les évènements auxquels ces personnes avaient assisté ou qu’elles avaient organisé, les personnes avec qui elles travaillaient, les contacts qu’elles avaient eus avec des représentants de la société M…… ou encore les articles qu’elles avaient publiés au sujet du glyphosate.

• Le débat sur la qualité de responsable de traitement

La disposition invoquée du RGPD

28. Aux termes de l’article 4 (7) du RGPD, le responsable de traitement est défini comme étant « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement « .

La position du rapporteur

29. La rapporteure considère qu’en l’espèce, la société M…… doit être regardée comme le responsable du traitement en question dans la mesure où elle est la personne pour le compte de laquelle le traitement est mis en œuvre, qui détermine pourquoi le traitement a lieu et comment son objectif doit être atteint. En effet, le fichier en cause avait pour objet de permettre à la société M…… d’identifier et de recenser les parties prenantes du secteur afin de mettre en place une stratégie de communication ciblée en faveur du renouvellement de l’autorisation du glyphosate par la Commission européenne. Elle rappelle ainsi que c’est pour atteindre cet objectif qu’elle a décidé de confier à la société FH…………….l’ensemble des activités liées aux relations publiques et à la réputation de l’entreprise et, plus particulièrement à compter de 2016, une mission de représentation d’intérêts concernant l’utilisation du glyphosate en Europe et dans le monde et que c’est dans le cadre de cette mission que le fichier nommé « 20160822 French M…… stakeholders database – cultivating trust  » a été établi.

La position de M…… : une confusion entre bénéficiaire du service et responsable du traitement

30. En défense, la société estime que la responsabilité du traitement incombait exclusivement à la société FH…………….et que la rapporteure confond les notions de bénéficiaire d’un service et celle de responsable de traitement. Elle souligne que c’est la société FH…………….qui, en sa qualité d’entreprise spécialisée en matière de conseil et de relations publiques, a construit le fichier de manière autonome, selon une méthodologie qu’elle a elle-même définie, puis qui l’a proposé à la société M…….
31. La société souligne que c’est en raison de l’expertise de la société FH…………….qu’elle a fait appel à ses services et que la constitution de listes de noms est une pratique courante dans ce secteur d’activités. Elle rappelle qu’elle n’a jamais donné d’instructions à la société FH…………….quant à la façon d’effectuer cette mission et qu’elle n’a fait que réagir aux propositions faites par cette dernière.
32. …., elle n’a jamais utilisé le fichier en question. Or, elle note que si elle avait agi en tant que responsable de traitement, elle aurait demandé à la société FH…………….de modifier le fichier à sa convenance afin d’obtenir un résultat correspondant davantage à ses attentes.
33. La société indique en outre que la société FH…………….se présente sur son site internet comme le responsable de traitement des données traitées dans le cadre des missions qui lui sont confiées par ses clients. Elle rappelle également que c’est la société FH…………….qui a répondu aux demandes d’exercice des droits des personnes concernées en lien avec le traitement en cause.

Ce que dit la CNIL

34. En premier lieu, …..le responsable de traitement est la personne qui détermine les finalités du traitement mis en œuvre, c’est-à-dire le résultat attendu ou recherché, et les moyens de ce traitement, c’est-à-dire la façon de parvenir à ce résultat.
35. Les notions de responsable de traitement et de sous-traitant sont éclairées par le Comité européen de la protection des données (ci-après « le CEPD » ) dans ses lignes directrices 07/2020 adoptées le 2 septembre 2020 et soumises à consultation publique. Le CEPD y indique que « Déterminer les finalités et les moyens revient à décider respectivement du « pourquoi » et du « comment » du traitement : s’agissant d’une opération de traitement particulière, le responsable du traitement est l’acteur qui a déterminé pourquoi le traitement a lieu (c’est-à-dire « dans quel but » ou « pour quel objectif » ) et comment cet objectif doit être atteint (c’est-à-dire quels moyens doivent être utilisés pour atteindre l’objectif). Une personne physique ou morale qui exerce une telle influence sur le traitement des données à caractère personnel participe ainsi à la détermination des finalités et des moyens de ce traitement conformément à la définition de l’article 4, paragraphe 7, du RGPD. Le responsable du traitement doit décider à la fois de la finalité et des moyens de traitement décrits ci-dessous. Par conséquent, le responsable du traitement ne peut pas déterminer uniquement la finalité. Il doit également prendre des décisions sur les moyens du traitement. Inversement, la partie agissant en tant que sous-traitant ne peut jamais déterminer la finalité du traitement » (traduction libre).

Les faits établissant cette connaissance de la finalité et des moyens

37. la société FH…………….a été plus particulièrement chargée d’établir la liste des « parties prenantes » ( « stakeholders » ) dans le cadre de la campagne pour le renouvellement de l’autorisation du glyphosate en Europe.
38. ……………..Il apparaît ainsi que la société FH…………….était explicitement tenue d’établir la liste des parties prenantes dans le cadre de la campagne pour le renouvellement de l’autorisation du glyphosate en Europe.

39…………, il ressort de plusieurs échanges intervenus entre les deux sociétés par voie électronique que la société M…… a été étroitement associée à l’identification et au recensement des parties prenantes impliquées dans le débat sur le glyphosate, activité qui s’est notamment concrétisée par l’élaboration du fichier en question. ………………………..

Les pièces annexées au rapport de sanction attestent ainsi de l’implication de la société M…… dans le suivi des tâches réalisées par la société FH……………, et notamment l’organisation d’échanges quotidiens entre les équipes, de points hebdomadaires, mensuels et trimestriels permettant à la société M…… de suivre l’avancée des tâches confiées à FH…………….et la livraison du travail réalisé ou en cours de réalisation.

40. La formation restreinte considère que ces échanges démontrent que la société FH…………….rendait compte à la société M…… de la progression de la campagne liée au renouvellement du glyphosate et des actions menées dans ce cadre, et surtout que cette dernière exerçait un pouvoir de direction sur les activités de la société FH……………., la privant ainsi de l’autonomie dont jouit normalement un responsable de traitement. Ces éléments démontrent que la société FH…………….a agi en tant que sous-traitant de la société M……, au sens de l’article 4(8) du RGPD.
41. La formation restreinte souligne au contraire que c’est le fait pour la société M……, société donneuse d’ordre, de décider d’accepter la proposition faite par la société FH…………., et de lui demander contractuellement de réaliser des opérations pour son compte en tant que prestataire, qui a permis au traitement d’exister. En effet, si la société M…… avait refusé cette proposition, la société FH…………….n’aurait pas mis en œuvre ce traitement. …..
    

Répondre à des demandes de droit d’accès n’emporte pas la qualité de responsable du traitement

44. En dernier lieu, la formation restreinte considère que le fait pour la société FH…………….d’avoir répondu à des demandes de droits d’accès n’emporte pas pour autant la qualification de responsable de traitement. En effet, l’article 28-3-e du RGPD prévoit que le sous-traitant « aide le responsable du traitement, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits » . Ainsi, au regard des spécificités du traitement, le sous-traitant peut répondre lui-même aux demandes des personnes si cette mesure permet un meilleur respect des droits des personnes. Il est d’ailleurs courant que ce soit le sous-traitant qui soit le plus à même de traiter les demandes d’exercice de droit.

La formation restreinte de la CNIL considère donc, compte tenu de ces éléments, que la société M…… doit être qualifiée de responsable de traitement.

La CNIL condamne la société  M…… en sa qualité de responsable du traitement à une amende de 400 000 €.

L’article CNIL : les critères de détermination du responsable de traitement, une question à 400 000 € est apparu en premier sur Philippe Schmitt Avocats.

52. La formation restreinte rappelle ensuite que le Conseil d’État ….a jugé ….. qu’au titre des obligations qui pèsent sur l’éditeur d’un site qui dépose des « cookies tiers » , figurent celle de s’assurer auprès de ses partenaires, d’une part, qu’ils n’émettent pas, par l’intermédiaire de son site, des traceurs qui ne respectent pas la règlementation applicable en France et, d’autre part, celle d’effectuer toute démarche utile auprès d’eux pour mettre fin à des manquements. Le Conseil d’État a en particulier jugé que « les éditeurs de site qui autorisent le dépôt et l’utilisation de tels « cookies » par des tiers à l’occasion de la visite de leur site doivent également être considérés comme responsables de traitement, alors même qu’ils ne sont pas soumis à l’ensemble des obligations qui s’imposent au tiers qui a émis le « cookie » , notamment lorsque ce dernier conserve seul la maîtrise du respect de sa finalité ou de sa durée de conservation. Au titre des obligations qui pèsent sur l’éditeur de site dans une telle hypothèse, figurent celle de s’assurer auprès de ses partenaires qu’ils n’émettent pas, par l’intermédiaire de son site, des « cookies » qui ne respectent pas la règlementation applicable en France et celle d’effectuer toute démarche utile auprès d’eux pour mettre fin à des manquements » (surlignement ajouté).

L’article Sanction contre l’éditeur du site pour des cookies déposés pas des sociétés tierces est apparu en premier sur Philippe Schmitt Avocats.

Quelques extraits de cette décision :

54. Enfin, la formation restreinte rappelle que les amendes administratives doivent être dissuasives mais proportionnées. Elle considère en particulier que l’activité de la société et sa situation financière doivent être prises en compte pour la détermination de la sanction et notamment, en cas d’amende administrative, de son montant. Elle relève à ce titre que la société fait état d’une diminution de son chiffre d’affaires, passé de 9,7 milliards en 2019 à 9,3 milliards en 2020, comme de son résultat net, passé de 350 millions en 2019 à 222 millions en 2020. Si la formation restreinte constate le résultat net a diminué de manière assez significative, elle souligne que celui-ci reste largement positif. Au vu de ces éléments, la formation restreinte considère que le prononcé d’une amende de 1 750 000 euros apparaît justifié, compte tenu notamment de la nécessité de sanctionner des manquements à des principes élémentaires du RGPD, commis par un acteur majeur de la protection sociale en France, concernant plusieurs millions de personnes et portant sur des données de nature sensible ou particulière, comme les coordonnées bancaires.
55. En conséquence, la formation restreinte considère qu’il y a lieu de prononcer une amende administrative de 1 750 000 euros au regard des manquements aux articles 5-1-e), 13 et 14 du RGPD.

L’article Amende de 1 750 000 € fixée par la CNIL est apparu en premier sur Philippe Schmitt Avocats.

Si le Conseil constitutionnel contrôle la loi adaptant en droit interne un règlement de l’Union européenne[1], il a maintenu jusqu’ici sa jurisprudence traditionnelle lorsqu’il examine une loi sur le fondement des articles 61 et 61-1  de la Constitution.  Le Conseil constitutionnel ne procède pas au contrôle de sa compatibilité avec les engagements internationaux et européens de la France « un tel moyen ne saurait être regardé comme grief d’inconstitutionnalité et relève de la compétence des juridictions administratives et judiciaires [2] ».

Avec la pandémie, l’accès aux juges administratifs et judiciaires étant fortement perturbé, le Conseil constitutionnel aurait donc pu à plus forte raison examiner au regard du RGPD la loi du 11 mai 2020 prorogeant l’état d’urgence. Peut-être que l’existence de la loi de 1978 modifiée par ce règlement a évité cet examen ou peut-être qu’il est apparu préférable de laisser au Conseil d’Etat [3]cette confrontation quitte à en fixer les premières limites ? Peu importe finalement les motivations, notons simplement que le règlement du 27 avril 2016 n’est mentionné qu’une seule fois dans la décision du 11 mai 2020 à  propos « des principes régissant les traitements des données à caractère personnel  et aux droits reconnus aux personnes dont les données sont collectées,  notamment leurs droit d’accès,  d’information et de rectification »[4] mais pour ne pas y voir d’atteinte.

C’est donc sans l’appui du RGPD, que le Conseil constitutionnel retient le 11 mai 2020  « l’objectif de valeur constitutionnelle de protection de la santé », ( points 63,  64 ) pour enfermer strictement le  champ des données à caractère personnel …aux seules données strictement nécessaires à la poursuite des quatre finalités de la loi, – démarche très  RGPD compatible –  , ajoutant d’ailleurs pour celle relative à la surveillance épidémiologique et à la recherche contre le virus la suppression des coordonnées des contacts téléphoniques ou électroniques des intéressés. De même, le Conseil constitutionnel retient le respect de la vie privée pour censurer l’emploi à l’accompagnement social des données personnelles recueilles sans consentement ( point 70), exiger des mécanismes d’habilitation des agents pour l’accès à ces données (point 74), et limiter leur conservation au-delà des trois mois après leur collecte ( point 76).

C’est essentiellement à la CNIL de veiller au respect du RGPD en lui reconnaissant une étonnante adaptabilité à cette situation de pandémie.

Le RGPD est compatible avec une pandémie, « Certains types de traitement peuvent être justifiés à la fois par des motifs importants d’intérêt public et par les intérêts vitaux de la personne concernée, par exemple lorsque le traitement est nécessaire à des fins humanitaires, y compris pour suivre des épidémies et leur propagation, ou dans les cas d’urgence humanitaire, notamment les situations de catastrophe naturelle et d’origine humaine » ( considérant 46 ). Et quitte même à prévoir des aménagements avec le secret professionnel comme le prévoit la loi avec celui des personnels de santé « Le  traitement est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux, sur la base du droit de l’Union ou du droit de l’État membre qui prévoit des mesures appropriées et spécifiques pour la sauvegarde des droits et libertés de la personne concernée, notamment le secret professionnel » (Article 9. 2 i).

Le 8 mai,  la CNIL délibère sur SI-DEP et Contact – Covid et les 24 avril et 25 mai pour StopCovid. N’oublions pas que dès le 20 avril, la CNIL s’était prononcée sur des données des patients sur le Hub santé.

Il ne s’agit pas ici de reprendre ces différents avis et délibérations. Limitons-nous à une observation très générale sur ces différents dispositifs de traitements des données personnelles. Tous sont soumis aux mêmes exigences du RGPD par la CNIL bien que seuls les deux premiers aient nécessité une loi d’urgence sanitaire. Le RGPD n’a que faire de la séparation constitutionnelle entre pouvoir législatif (article 34) et  les attributions réglementaires (article 37), et la CNIL exercer son contrôle  sans distinguer entre la loi et la voie réglementaire !

• La CNIL confronte dans les mêmes termes du RGPD les trois dispositifs même si les parlementaires ont exclu des dispositifs techniques requis par l’urgence sanitaire l’information des contacts des personnes infectées par application mobile.
  

La loi du 11 mai 2020 prorogeant l’état d’urgence sanitaire et complétant ses dispositions initiales n’a créé que deux traitements d’informations dénommés au décret du 12 mai SI-DEP, les données des personnes infectées, et Contact-Covid pour les personnes en contact avec celles identifiées par le premier système informatique. Ces deux traitements ne requièrent pas l’emploi d’une application mobile. Le fichier des personnes infectées est rempli par les médecins et les responsables des laboratoires d’analyse biologique et d’imagerie médicale. Quant aux informations relatives aux personnes en contact avec des personnes infectées, elles sont saisies par ces mêmes professionnels de la santé, par différents personnels d’organismes publics spécialement habilités ou  proviennent du traitement des informations de SI-DEP. Très clairement, la loi en son article 11 écarte le recours à une application mobile de type Stop Covid : « Sont exclus de ces finalités le développement ou le déploiement d’une application informatique à destination du public et disponible sur équipement mobile permettant d’informer les personnes du fait qu’elles ont été à proximité de personnes diagnostiquées positives au Covid-19 ». Dans sa décision, le 11 mai 2020, le Conseil constitutionnel prend acte de cette exclusion.

Bien que soumis à deux régimes juridiques différents par leur origine, ces trois dispositifs sont traités de manière analogue par la CNIL.

 Dès son avis du 8 mai, la CNIL rappelle les exigences applicables aux deux premiers dispositifs autorisés par la loi  « La Commission rappelle que, quel que soit le contexte d’urgence, des garanties suffisantes au regard du respect des principes fondamentaux du droit à la protection des données à caractère personnel doivent être apportées. Ainsi, au-delà de son l’avis sur ce projet de décret, la Commission se montrera attentive aux conditions de mise en œuvre de ces traitements, notamment en ce qui concerne les mesures de sécurité prévues. A ce titre, elle demande à être informée des conditions de leur déploiement par la CNAM et le ministère, notamment dans le cadre de la réalisation et de l’évaluation des analyses d’impact relatives à la protection des données (AIPD) qui devront, pour chacun des traitements, être réalisées en application de l’article 35 du RGPD. La Commission demande à ce que celles-ci lui soient transmises dans leur version définitive ainsi que, le cas échéant, leurs mises à jour. »

• L’avis de la CNIL retient comme base légale à Stop Covid la mission d’intérêt public de lutte contre la pandémie et non une quelconque urgence qui avait habilitée le gouvernement à intervenir par ordonnance. 

Le 27 mai, les parlementaires ne votent pas sur une nouvelle loi relative à l’état d’urgence. Ils se prononcent sur une déclaration du gouvernement « relative aux innovations numériques de la lutte contre l’épidémie ». Dans cet intitulé, l’urgence n’apparait pas. Quand le secrétaire d’État au numérique précise que « l’application pouvait être déployée à droit constant sans modifier aucunement la législation existante », il se réfère à l’avis de la CNIL dont la base légale est la mission d’intérêt public de lutte contre la pandémie.  A l’Assemblée nationale, les prises de parole opposent les libertés publiques à l’épidémie sans citer en tant que telle l’urgence même si celle-ci est sous-entendue « s’il ne devait sauver qu’une seule vie humaine, cela justifierait son existence » .

L’urgence et les mesures prises en son nom ne sont pas loin. Stop Covid interagit avec les deux traitements SI-DEP et Contact-Covid. Mais n’est-ce pas d’ailleurs ce que demande la CNIL son déploiement doit s’inscrire dans un plan d’ensemble et « mettant en garde le gouvernement contre la tentation du « solutionnisme technologique » Informée par son mobile d’un contact avec un patient contaminé,  la personne présumée infectée aura un avantage à se voir inscrire dans le fichier Contact-Covid pour obtenir le remboursement des tests effectués en laboratoire de biologie médicale et pour la délivrance de masque en officine.

Cette interaction entre Stop Covid et les deux traitements est un point de vigilance de la CNIL qui a par avance indiqué qu’aucune conséquence négative ne devait être attachée à l’absence de téléchargement ou l’utilisation de l’application. Stop Covid se fonde sur le volontariat des utilisateurs quand les deux traitements sont obligatoires. En séance, le gouvernement a pris l’engagement d’inclure Stop Covid dans la mission d’évaluation des outils numériques du Comité de contrôle et de liaison créé par la loi du 11 mai. Et dans son avis du 26 mai, la CNIL admet que le caractère temporaire de l’application est respecté quand celle-ci voit sa durée calquée sur celle prévue pour les traitements SI-DEP et Contact- Covid.  A cette application qui ressemblerait de plus en plus aux deux traitements qui n’ont été autorisés que par la loi sur l’état d’urgence sanitaire, la CNIL a néanmoins voulu voir dans le projet de décret qui lui était soumis,  l’exclusion de certaines finalités des deux traitements : «  soit expressément exclues des finalités poursuivies par le traitement : les opérations de recensement des personnes infectées, d’identification des zones dans lesquelles ces personnes se sont déplacées, de prise de contact avec la personne alertée ou de surveillance du respect des mesures de confinement ou de tout autre recommandation sanitaire. Le traitement ne doit pas non plus permettre de réaliser le suivi des interactions sociales des personnes ». A nouveau, les deux avis de la CNIL dessinent le fil rouge des libertés publiques et de la vie privée.

Aux trois dispositifs de données personnelles en relation avec la pandémie, issus de la loi ou de la voie règlementaire, et sans distinguer selon cette origine,  la CNIL oppose le RGPD et les principes fondamentaux des libertés publiques.

[1] Décision n°2018-765 DC du 12 juin 2018

[2] Décision  n° 2010-605 DC du 12 mai 2010  cons. 11 et 12 ; n° 2014-694 DC du 28 4, Loi relative à l’interdiction de la mise en culture des variétés de maïs génétiquement modifié, cons. 2.

[3] Voir par exemple au point 71 de la décision du 11 main

[4] Point 75

L’article CORONAVIRUS et Etat d’urgence sanitaire : la CNIL garante des libertés publiques grace au RGPD appliqué indistinctement aux bases de données personnelles instaurées par la Loi ou par Décret est apparu en premier sur Philippe Schmitt Avocats.

L’arrêt du 16 octobre du Conseil d’Etat

Quelques extraits de cette décision.

La mise en œuvre d’un plan d’action sur le consentement

6. …… , la Commission nationale de l’informatique et des libertés dispose, s’agissant de l’usage des prérogatives qui lui ont été conférées pour l’accomplissement de ses missions, d’un large pouvoir d’appréciation, en particulier pour ce qui concerne l’exercice de son pouvoir de sanction, que ce soit pour apprécier l’opportunité d’engager des poursuites de sa propre initiative ou pour décider des suites à donner aux plaintes qu’elle peut recevoir. A cet égard, la Commission peut tenir compte de la gravité des manquements en cause au regard de la législation ou de la réglementation qu’elle est chargée de faire appliquer, de la date à laquelle ils ont été commis, du contexte dans lequel ils l’ont été et, plus généralement, de l’ensemble des intérêts généraux dont elle a la charge. Il lui est loisible, dans ce domaine comme dans tout autre domaine relevant de ses attributions, de rendre publiques les orientations qu’elle a arrêtées pour l’exercice de ses pouvoirs. Il s’ensuit que, contrairement à ce qui est soutenu, la Commission n’a pas méconnu l’étendue de sa compétence en élaborant un plan d’actions en matière de ciblage publicitaire en ligne et en rendant publique la position qu’elle a prise quant à l’usage de ses pouvoirs, notamment de sanction, afin d’atteindre les objectifs qu’elle a définis.

Sur le consentement au sens des nouvelles lignes directrices du 4 juillet 2019 de la CNIL au regard du RGPD et de la loi de 1978 modifiée

6. En deuxième lieu, d’une part, l’article 4 (11) du règlement du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (« règlement général sur la protection des données »), définit le « consentement » de la personne concernée comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».
7. D’autre part, l’article 82 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés dispose que : « Tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant : 1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ; / 2° Des moyens dont il dispose pour s’y opposer. / Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle (…) ».
8. Afin de veiller, dans le cadre de la mission qui lui est dévolue par le 2° du I de l’article 8 de la loi du 6 janvier 1978, à ce que les modalités du recueil du consentement au dépôt de cookies et autres traceurs soient conformes aux dispositions citées aux points 7 et 8, la Commission nationale de l’informatique et des libertés a abrogé sa délibération n° 2013-378 du 5 décembre 2013 portant adoption de « la recommandation cookies et autres traceurs » et a fixé, par une délibération n° 2019-093 du 4 juillet 2019, de nouvelles lignes directrices.
9. Par l’article 2 de cette délibération du 4 juillet 2019, la Commission indique que : « En application de la loi “Informatique et Libertés”, du RGPD et des lignes directrices du Comité européen de la protection des données sur le consentement, les traceurs nécessitant un recueil du consentement ne peuvent être utilisés en écriture ou en lecture tant que l’utilisateur n’a pas préalablement manifesté à cette fin sa volonté, de manière libre, spécifique, éclairée et univoque par une déclaration ou par un acte positif clair ». Elle souligne aussi que « le consentement doit se manifester par le biais d’une action positive de la personne préalablement informée des conséquences de son choix et disposant des moyens de l’exercer ». Elle précise en outre que « Le fait de continuer à naviguer sur un site web, d’utiliser une application mobile ou bien de faire défiler la page d’un site web ou d’une application mobile ne constituent pas des actions positives claires assimilables à un consentement valable » et que « l’utilisation de cases pré-cochées, tout comme l’acceptation globale de conditions générales d’utilisation, ne peuvent être considérées comme un acte positif clair visant à donner son consentement ».

A propos de la période d’adaptation

12. S’il est vrai que la CNIL a laissé aux opérateurs, dans le cadre de ce plan d’action, une période d’adaptation, s’achevant six mois après la publication de cette recommandation, durant laquelle elle annonce que la poursuite de la navigation comme expression du consentement n’entraînera pas la mise en mouvement de son pouvoir répressif, il ressort des pièces du dossier que la fixation d’un tel délai a pour objet de permettre, au plus tard à son terme, à l’ensemble des opérateurs de respecter effectivement les exigences résultant des dispositions citées aux points 7 et 8. Il ressort des pièces du dossier qu’un tel choix permet à l’autorité de régulation d’accompagner les acteurs concernés, confrontés à la nécessité de définir de nouvelles modalités pratiques de recueil du consentement susceptibles d’apporter, sur le plan technique, les garanties qu’exige l’état du droit en vigueur, dans la réalisation de l’objectif d’une complète mise en conformité de l’ensemble des acteurs à l’horizon de l’été 2020.En outre, ainsi que la CNIL l’a rappelé dans la prise de position contestée, elle continuera à contrôler, durant cette période, le respect des règles relatives au caractère préalable du consentement, à la possibilité d’accès au service même en cas de refus et à la disponibilité d’un dispositif de retrait du consentement facile d’accès et d’usage. Dans ces conditions et au vu de l’ensemble des circonstances de l’espèce, la Commission nationale de l’informatique et libertés ne peut être regardée comme ayant commis une erreur manifeste d’appréciation en retenant de telles orientations pour l’exercice de ses pouvoirs.
13. En troisième lieu, s’il est soutenu que, ce faisant, la Commission aurait méconnu le droit au respect de la vie privée protégé par l’article 7 de la charte des droits fondamentaux de l’Union européenne et l’article 8 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, le droit à la protection des données personnelles garanti par l’article 8 de la charte des droits fondamentaux et l’exigence de prévisibilité découlant de l’article 7 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, l’acte attaqué, qui n’exclut pas que la Commission puisse en tout état de cause faire usage de son pouvoir répressif en cas d’atteinte particulièrement grave à ces mêmes principes, contribue à remédier à des pratiques ne respectant pas les exigences posées par les dispositions citées aux points 7 et 8, en fixant pour l’ensemble des opérateurs, à une échéance raisonnable, une obligation de mise en conformité, que l’exercice du pouvoir de sanction ne serait, en tout état de cause, pas susceptible de faire respecter plus rapidement. Dans ces conditions, le moyen tiré de ce que le choix effectué par la Commission de ne pas faire un usage immédiat de son pouvoir de sanction porterait une atteinte excessive au droit au respect de la vie privée et au droit à la protection des données personnelles et méconnaîtrait l’exigence de prévisibilité doit être écarté.

L’article Consentement personnel : le plan d’action et la période d’adaptation de la CNIL validés est apparu en premier sur Philippe Schmitt Avocats.