Newsletters

12/05/2021

Newsletter Data – Mai 2021

Cliquez ici pour consulter la newsletter au format PDF.


ACTUALITE DE L’EQUIPE
Webinaire Bignon Lebray | 3 ans de RGPD : quel bilan ? | Mardi 25 mai à 12h00

Le 25 mai 2021 marquera les 3 ans de l’entrée en application du RGPD. A cette occasion, Elise Dufour et Nicolas Moreau, avocats associés du Cabinet, animeront un webinaire consacré au RGPD.

Ce webinaire sera ainsi dédié à l’analyse des décisions majeures des trois dernières années prononcées par la CNIL, mais aussi par les autres autorités de contrôle européennes, chaque décision étant riche d’enseignement. Au cours de cette présentation, Elise et Nicolas feront le point sur les grandes tendances qui se dégagent de ces 3 années d’application du RGPD, afin d’identifier les risques RGPD et de proposer un plan d’actions pour les maitriser. 

3 ans de RGPD : quel bilan ?

Mardi 25 mai | 12h00-13h00

Cliquez ici pour vous inscrire.


Présentations récentes d’Elise Dufour

Elise Dufour a récemment animé plusieurs conférences :

– Jeudi 29 avril : Webinaire sur les cookies avec Seers

– Lundi 3 mai : Présentation sur les précurseurs d’explosifs avec France Chimie

– Jeudi 6 mai : Présentation sur le droit à la liberté d’expression et le .sucks dans le cadre du Club des noms de domaine

Cliquez ici pour consulter la newsletter.


SOMMAIRE
  1. Position surprenante de l’Autorité belge : la communication involontaire d’un email à un tiers non autorisé ne constitue pas une violation de données personnelles
  2.  Retard chez Booking.com : l’Autorité néerlandaise sanctionne Booking.com à hauteur de 475.000€ pour notification tardive d’une violation de données
  3. Pas d’application du mécanisme du guichet unique en matière de cookies, le Conseil d’État rejette la requête de Google
  4. Première décision post Schrems II : validation par le Conseil d’État du partenariat entre le ministère de la Santé et Doctolib

Position surprenante de l’Autorité belge : la communication involontaire d’un email à un tiers non autorisé ne constitue pas une violation de données personnelles
RGPD / Belgique / Email / Erreur / Violation de données

SYNTHÈSE – Dans une décision du 29 janvier 2021, l’Autorité belge a considéré que la communication d’un email contenant des données personnelles à un tiers non autorisé par erreur ne constituait pas une violation de données au sens du RGPD en l’absence de manquement à l’obligation de sécurité.

FAITS – Dans le cadre d’une association notariale, la cliente d’un expert-comptable et son partenaire commercial échangeaient régulièrement avec ledit expert. Pendant des années, ce dernier avait alors pris l’habitude d’adresser les emails concernant l’association à ces deux destinataires. 

La relation d’affaires a néanmoins pris fin. Postérieurement à cet évènement, l’expert a adressé un email contenant une trentaine d’annexes à sa cliente en mettant par erreur son ancien partenaire commercial en copie. Or, certaines de ces annexes contenaient des informations sur les activités personnelles, les finances et les données personnelles de la cliente.

En raison d’un contentieux entre les anciens partenaires commerciaux, l’ancien partenaire a alors saisi cette opportunité et a transféré les informations reçues à son avocat, qui les a à son tour communiqué au conseil de la cliente. Cette dernière a alors saisi l’Autorité belge de protection des données d’une plainte à l’encontre de l’expert et de son ancien partenaire.

S’agissant de la plainte à l’encontre de l’expert, l’Autorité belge a d’abord rappelé de façon élémentaire que l’intention ne rentre pas dans la définition d’une activité de traitement au sens du RGPD. En effet, même si l’envoi de l’email à l’ancien partenaire n’était pas intentionnel, cet envoi n’en constitue pas moins un traitement de données personnelles qui doit alors reposer sur une base légale pour être licite, ce qui n’était pas le cas en l’espèce.

De façon surprenante, l’Autorité belge a cependant considéré que l’erreur commise par l’expert ne pouvait s’analyser en une violation de données personnelles en l’absence de violation de l’obligation de sécurité du traitement et n’avait donc pas à être notifiée à l’Autorité. L’Autorité considère alors qu’une violation de données au sens de l’article 33 du RGPD n’est constituée qu’en présence d’une violation liée à des mesures de sécurité insuffisantes prises par le responsable de traitement conformément à l’article 32. Une communication de données non-intentionnelle ne peut constituer une insuffisance dans les mesures de sécurité prises par le responsable de traitement, l’Autorité considérant qu’aucune mesure de sécurité ne peut totalement exclure l’erreur humaine responsable d’un envoi d’email à un destinataire involontaire. En l’absence de violation de données, l’expert n’avait donc pas violé l’article 33 du RGPD en ne notifiant pas son erreur à l’Autorité belge. Cette position semble contraire à celle adoptée par le Working Party 29 et plus récemment par l’EDPB dans ses lignes directrices sur les exemples de cas de notification de violations de données. Dans ces exemples, l’EDPB ne restreint pas la définition de violation de données personnelles à la violation d’obligations liées à la sécurité des données. À ce titre, l’EDPB n’exclut pas l’erreur humaine du champ de la notion de violation de données. D’ailleurs, plusieurs exemples dans lesquels une notification à l’autorité compétente est considérée nécessaire par l’EDPB concernent l’envoi d’email à des destinataires involontaires. Si la notification n’est pas toujours exigée dans ce cas, l’EDPB n’écarte cependant pas la qualification de violations de données personnelles contrairement à l’Autorité belge.

S’agissant de la plainte concernant l’ancien partenaire ayant consulté et transféré l’email à son avocat, l’Autorité belge a considéré que si la simple réception passive d’un email contenant des données personnelles n’est pas un traitement, en revanche sa consultation et son transfert à un tiers sont deux opérations qui doivent être qualifiées de traitement de données personnelles. L’ancien partenaire ne pouvait donc être considéré comme un simple destinataire et doit donc être qualifié de responsable de traitement.

Enfin, l’Autorité a considéré que des données obtenues de manière illicite ne peuvent faire l’objet d’un traitement ultérieur. L’ancien partenaire a donc violé le RGPD en transférant l’email litigieux.

SANCTION – Pour des raisons tenant à des considérations factuelles (cadre d’un contentieux plus large), l’Autorité belge n’a cependant pas prononcé d’amende à l’encontre des défendeurs mais a ordonné l’interdiction du traitement de l’email et a adressé une réprimande au cabinet d’experts comptables.

DÉCISION – Cliquez ici pour en savoir plus

(Décision n°07/2021 de l’Autorité de protection des données du 29 janvier 2021)


Retard chez Booking.com : l’Autorité néerlandaise sanctionne Booking.com à hauteur de 475.000€ pour notification tardive d’une violation de données
RGPD / Pays-Bas / Booking / Violation de données / Sanction

SYNTHÈSE – Par une décision du 10 décembre 2020, l’Autorité néerlandaise de protection des données a imposé une sanction de 475.000€ à l’encontre de Booking.com B.V. pour signalement tardif de violation de données. Cette sanction a été prononcée à la suite d’une enquête internationale coordonnées par l’Autorité Néerlandaise, pays du siège social de la société.

FAITS – Dans le cadre d’une opération criminelle, 40 hôtels situés aux Emirats Arabes Unis ont été victimes en décembre 2018 d’une fraude téléphonique lors de laquelle certains membres du personnel de ces hôtels ont été persuadés de communiquer les identifiants de connexion de leurs comptes liés au système Booking.com. De cette manière les fraudeurs ont pu avoir accès aux données personnelles de 4.019 personnes y compris leurs noms, prénoms, numéros de téléphones, détails des réservations et dans certains cas les numéros de cartes de crédit et le code de sécurité associé.

Bien qu’ayant été informé de cette violation de données le 13 janvier 2019, Booking.com n’en a informé l’Autorité de protection des données néerlandaise que le 7 février 2019, soit avec 22 jours de retard. En effet, au titre de l’article 33 du RGPD, le responsable de traitement doit notifier la violation à l’autorité de contrôle compétente « dans les meilleurs délais et, si possible, 72heures au plus tard après en avoir pris connaissance ». Néanmoins, il est prévu que lorsque la notification n’a pas lieu dans les 72heures, des motifs doivent alors justifier ce retard. 

L’Autorité néerlandaise a ainsi considéré que, en ne notifiant pas immédiatement, et au plus tard dans les trois jours suivants la connaissance de la violation, Booking.com avait alors violé l’article 33 du RGPD.

Bien que le sujet des violations de données soit relativement classique la sanction imposée à Booking.com mérite d’être commentée : en effet, comme l’a souligné la vice-présidente de l’Autorité les violations de données peuvent malheureusement se produire même lorsque le responsable de traitement a mis en place des mesures de sécurité suffisantes. En l’espèce, Booking.com n’a d’ailleurs pas été sanctionné sur le fondement de l’article 32 du RGPD (obligation de sécurité du traitement). Néanmoins, et afin de prévenir des attaques futures, les responsables de traitement doivent signaler les violations dans le délai de 72 heures. En effet, l’autorité compétente peut alors ordonner la notification de la violation aux personnes concernées. Cette dernière notification permet de prévenir les tentatives de fraudes et phishing de la part des fraudeurs auprès des personnes concernées.

En l’espèce, Booking.com n’a signalé l’existence de la violation aux personnes concernées que le 4 février 2019, laissant alors plusieurs semaines aux fraudeurs pour tenter d’entrer en contact avec les clients visés par l’attaque et tenter de les voler.

Compte tenu de la taille, de l’importance de la clientèle et du nombre de données personnelles traitées par Booking.com, l’Autorité néerlandaise considère que la société a une responsabilité importante justifiant ainsi des actions promptes notamment en cas de violations de données. 

SANCTION – Ainsi, et malgré la mise en place de mesures importantes visant à limiter les dommages causés par la violation, telles que le dédommagement des clients victimes, l’Autorité néerlandaise a décidé de sanctionner Booking.com à hauteur de 475 000€ pour violation de l’article 33 du RGPD.

A côté de la sanction de 450 000€ imposée à Twitter par l’Autorité irlandaise, la décision à l’encontre de Booking.com constitue la seconde décision de décembre 2020 prise par les autorités de contrôles européennes sur le fondement de l’article 33 du RGPD. Les violations et vols de données étant en constante augmentation, il importe pour les responsables de traitement non seulement d’assurer la sécurité de leurs opérations de traitement par des mesures appropriées, mais également de mettre en place des mécanismes permettant de notifier en temps utiles lesdites violations de données aux autorités de contrôle. 

DÉCISION – Cliquez ici pour consulter la décision de l’Autorité Néerlandaise et ici pour le communiqué de presse.


Pas d’application du mécanisme du guichet unique en matière de cookies, le Conseil d’État rejette la requête de Google
Conseil d’État / Google / CNIL / Cookies / Guichet unique

SYNTHÈSE – Saisi par une requête en référé, le Conseil d’État rejette le 4 mars dernier la demande de Google visant à suspendre l’injonction faite à son encontre par la CNIL de se mettre en conformité avec la législation applicable en matière de cookies.

FAITS – En mars 2020, lors d’un contrôle en ligne sur le site google.fr, les agents de la CNIL ont constaté plusieurs manquements à l’article 82 de la loi Informatique et Libertés, cadre légal applicable en matière de cookies. Dès leur arrivée sur le site, ils ont constaté le dépôt automatique de plusieurs cookies, dont certains poursuivant un objectif publicitaire.

Par une délibération du 7 décembre 2020, la CNIL a ainsi constaté trois manquements à l’article 82 de la loi Informatique et Libertés :

  • Le défaut de recueil du consentement préalable de l’utilisateur pour le dépôt de cookies poursuivant un objectif publicitaire ;
  • Le défaut d’information préalable claire et complète des utilisateurs relative aux cookies ;
  • La défaillance partielle du mécanisme d’opposition au dépôt de cookies.

Sur la constatation de ces 3 manquements graves, la CNIL a alors prononcé une sanction de 60 millions d’euros et 40 millions d’euros à l’encontre de Google LLC et Google Ireland Limited. En effet, la CNIL a pris en compte la portée du moteur de recherches en France, affectant ainsi près de 50 millions d’utilisateurs, et les bénéfices considérables tirés des revenus publicitaires générés par les cookies publicitaires.

En complément de ces amendes administratives, la CNIL a en outre adopté une injonction sous astreinte fixant aux sociétés un délai de 3 mois pour se mettre en conformité avec la législation applicable. Tenant compte de la gravité des manquements constatés et du délai raisonnable laissé à Google pour se mettre en conformité, l’autorité a fixé l’astreinte à un montant de 100 000 euros par jour de retard. 

Considérant le montant très élevé de l’astreinte, les sociétés Google ont alors saisi le juge des référés du Conseil d’État afin que soit suspendue l’exécution de l’injonction sous astreinte.

Devant le juge, Google a d’abord contesté le montant très élevé de l’astreinte atteignant le maximum légal ainsi que l’impossibilité de respecter l’injonction imposée en raison de son imprécision et de l’insuffisance du délai accordé.  Le juge n’a pas suivi Google sur ce point et a considéré ce moyen non fondé. Le juge rappelle que la CNIL dispose notamment, en vertu de l’article 5 paragraphe 3 de la directive ePrivacy, du pouvoir de prononcer une injonction à l’encontre d’une entité ne respectant pas le cadre légal applicable aux cookies. Par ailleurs, en vertu de l’article 20 III de la loi Informatique et Libertés, cette injonction peut être accompagnée d’une astreinte journalière d’un montant maximum de 100 000 euros.

Deuxièmement, les sociétés Google ont soutenu que la CNIL n’était pas matériellement compétente pour prononcer l’injonction litigieuse. En effet, Google avançait que le mécanisme du guichet unique prévu par l’article 56 du RGPD aurait dû s’appliquer, donnant alors compétence à l’Autorité de protection des données irlandaise. La CNIL, qui s’était déjà prononcée sur la question lors de sa délibération de décembre, a considéré que le mécanisme du guichet unique n’avait pas vocation à s’appliquer en matière de cookies, domaine relevant de la directive ePrivacy. Le Conseil d’État a approuvé le raisonnement de la CNIL en soulignant que l’article 56 du RGPD, précisant l’application du mécanisme du guichet unique, ne prévoyait pas son application aux mesures de mise en œuvre et de contrôle de l’application des dispositions de la directive ePrivacy relevant de la compétence des États membres en application de l’article 15 de ladite directive.  

ISSUE – Le Conseil d’État a alors conclu qu’il n’existait pas de doute sérieux sur la légalité de la décision attaquée et a ainsi débouté les sociétés Google de leur requête et confirmé la validité de l’astreinte prononcée.

A titre de rappel, le délai laissé par la CNIL pour mettre les sites Internet en conformité avec ses lignes directrices et recommandations relatives aux cookies est arrivé à échéance le 31 mars dernier. Il appartient alors aux professionnels de se mettre dès maintenant en conformité avec celles-ci.

DÉCISION – Cliquez ici et ici pour en savoir plus.

(Décision du Conseil d’État n°449212 du 4 mars 2021 et délibération de la formation restreinte n° SAN-2020-012 du 7 décembre 2020)


Première décision post Schrems II : validation par le Conseil d’État du partenariat entre le ministère de la Santé et Doctolib
Conseil d’État / Ministère de la Santé / Doctolib / Schrems II

SYNTHÈSE – Par une ordonnance du 12 mars 2021 le Conseil d’État a rejeté la demande d’associations et syndicats professionnels visant à suspendre le partenariat conclu entre le ministère de la Santé et Doctolib dans le cadre de la gestion des rendez-vous de vaccination contre la Covid-19.

FAITS – Dans le cadre de la campagne de vaccination contre la Covid-19, le ministère de la Santé a confié à plusieurs prestataires, dont la société Doctolib, la gestion des rendez-vous de vaccination sur Internet. Or, pour les besoins d’hébergement de ses données, la société Doctolib a recours aux prestations de la société luxembourgeoise Amazon Web Services (ci-après « AWS »), filiale de la société américaine du même nom.

Tenant compte du fait que le partenariat conclu avec la société Doctolib repose sur l’hébergement des données de santé des personnes concernées auprès d’une société américaine, plusieurs associations et syndicats de professionnels du domaine médical ont a alors considéré que ce partenariat était incompatible avec le RGPD et ont saisi le Conseil d’État en référé pour en obtenir la suspension. Les associations et syndicats considéraient en effet que cet hébergement comportait des risques au regard de demandes d’accès par les autorités américaines.

Pour rappel, en vertu des articles 44 et suivants du RGPD, tout transfert de données personnelles à destination d’un pays non-membre de l’Espace économique européen ne peut être réalisé que dans certaines conditions. Ainsi, un transfert vers un pays tiers peut être réalisé en vertu d’une décision d’adéquation de la Commission européenne ou, en l’absence d’une telle décision, lorsqu’il est encadré par des garanties appropriées telles que des clauses contractuelles types ou des règles d’entreprises contraignantes.

Depuis la décision de la CJUE Schrems II du 16 juillet 2020, la décision d’adéquation dite          « Privacy Shield », encadrant jusqu’alors les transferts de données vers les États-Unis, a été invalidée par la Cour qui a considéré que ce cadre n’offrait pas des garanties de protection suffisantes au regard du RGPD. Les États-Unis ne sont en effet pas considérés offrir une protection adéquate.

Dans ce contexte, les requérants soutenaient alors l’incompatibilité du partenariat avec le RGPD en raison d’abord de l’absence de garanties appropriées encadrant le potentiel transfert des données de santé des personnes concernées vers la société américaine et, en l’absence d’un tel transfert, en raison du risque d’accès aux données par les autorités américaines en vertu des lois américaines de surveillance.

Le juge des référés a donc été amené à vérifier à la lumière des éléments ci-dessus si le niveau de protection assuré lors du traitement des données était suffisant au regard de la nature des données en cause et des dispositions du contrat conclu entre Doctolib et AWS.

Le juge des référés a d’abord constaté que la société AWS est certifiée « hébergeur de données de santé » en application de l’article L. 1111-8 du Code de la santé publique et que les données hébergées par la société le sont dans des centres situés en France et en Allemagne. En outre, en vertu des contrats conclus avec Doctolib, aucun transfert pour des raisons techniques n’est prévu vers les États-Unis.

S’intéressant à la nature des données traitées, le juge a relevé que les données transmises à Doctolib dans le cadre du partenariat se limitaient à l’identification des personnes et les données relatives au rendez-vous, mais n’incluaient pas de données de santé. En effet, les personnes concernées se bornant à certifier sur l’honneur entrer dans la priorité vaccinale, cadre susceptible de concerner les adultes de tous âges sans motif médical particulier.

S’agissant de l’appréciation du risque d’accès aux données par les autorités américaines, le juge a relevé que Doctolib et AWS avaient signé un addendum complémentaire prévoyant notamment en cas de demande d’accès par une autorité publique, dont les autorités américaines, la contestation de toute demande générale ou ne respectant pas la règlementation européenne. Il a également été noté par le juge que Doctolib avait mis en place un procédé de chiffrement des données reposant sur un tiers de confiance situé en France.

ISSUE – Dès lors, le juge des référés a conclu qu’au regard des mesures complémentaires prises par Doctolib et de la nature des données, le niveau de protection ne pouvait être considéré comme manifestement insuffisant. La demande des requérants a donc été rejetée.

DÉCISION – Cliquez ici pour en savoir plus

(Communiqué de presse et ordonnance du Conseil d’État du 12 mars 2021 Association InterHop & Autres, n°450163)