Introduction

La protection des données personnelles n’est pas une préoccupation nouvelle dans l’Hexagone. La loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés conférerait déjà des droits aux individus et exigeait des responsables de traitement de répondre à certaines obligations. Avec l’accroissement des échanges mondiaux, la donnée devenant le nouvel or noir des entreprises au détriment des droits et libertés des personnes, l’adoption d’une réglementation commune et uniforme paru nécessaire.

Le Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (« RGPD ») vient unifier, au sein de l’Union européenne, les différentes lois nationales en la matière. Il a pour objectif de renforcer les droits des personnes et de responsabiliser les acteurs concernant la protection des données personnelles.

Les innovations du RGPD

Un champ d’application spécifique

Une des particularités du RGPD est son champ d’application territorial. Il s’applique aux établissements situés au sein du territoire de l’Union et aux établissements situés en dehors du territoire de l’Union offrant des biens ou des services sur le territoire de l’Union. Le RGPD crée ainsi une voûte de protection pour toutes les activités de traitement de données personnelles se déroulant sur le territoire de l’Union sans distinction de nationalité.

Le système du guichet unique

Le système du guichet unique trouve son intérêt dans deux cas : lorsqu’une entreprise est établie dans plusieurs états de l’Union ou lorsqu’une entreprise est établie dans un seul état de l’Union mais offre des biens et des services dans plusieurs états de l’Union. Dans ces cas, plusieurs autorités de contrôle se trouvent compétentes pour contrôler la conformité ou constater des manquements au RGPD. Pour palier au risque d’une interprétation hétéroclite, le RGPD a mis en place le système du guichet unique[1] qui vise à nommer une “autorité chef de file” qui prendra toutes les décisions après concertation avec l’ensemble des autre autorités de protection des données concernées. L’autorité chef de file nommé est l’état où se trouve l’établissement principal de l’entreprise.

Des sanctions encadrées, graduées et renforcées

Le RGPD prévoit deux seuils de sanction. Le premier seuil d’amende est fixé à 2 % du chiffre d’affaires annuel ou 10 millions d’euros. Le second est fixé à 4% du chiffre d’affaire annuel ou 20 millions d’euros. À chaque fois, le montant le plus élevé des deux est retenu. Le seuil dépend de l’obligation violée.

Avant d’arriver à ces sanctions exorbitantes, l’autorité de contrôle intervient de manière progressive et graduée. Elle commence généralement par un avertissement ou une mise en demeure de l’entreprise, puis une injonction de cesser la violation, puis une limitation ou une suspension temporaire des traitements et ce n’est qu’en dernier recours qu’elle prononce une sanction pécuniaire.

Les mises en demeure, avertissements, injonctions ne sont pas sans conséquences pour les entreprises. Ce sont des procédures qui peuvent être portées à la connaissance du public et mettre à mal la réputation de l’entreprise fautive.

Une responsabilité du dirigeant

Comme mentionné précédemment, le RGPD prévoit des sanctions administratives à l’égard des entreprises en tant que “personne morale”. Dans ce cas, le dirigeant en sa qualité de représentant ne voit pas sa responsabilité personnelle engagée et est uniquement garant de remédier aux manquements constatés par la CNIL. Or, une responsabilité personnelle n’est pas à écartée. Selon l’article 24 du RGPD relatif à la responsabilité du responsable du traitement, ce dernier doit mettre en oeuvre toutes les mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement.

La loi Informatique et Libertés telle que modifiée depuis l’entrée en vigueur du RGPD prévoit une responsabilité pénale du dirigeant d’entreprise. Les articles 226-16 et suivants du Code pénal prévoient une sanction de 5 ans d’emprisonnement et 300 000€ d’amende à l’encontre du dirigeant qui manque à son obligation de résultat de mise en conformité (cf. article 24). Et, l’article 131-6 du Code pénal prévoit notamment des interdictions d’exercer une activité professionnelle pouvant aller jusqu’à 5 ans, de diriger, administrer une entreprise etc.

Le dirigeant doit ainsi diminuer le risque de poursuites pénales à titre personnel en mettant en oeuvre les actions nécessaires de mise en conformité.

Le bilan du RGPD

Côté professionnel

L’entrée en application du RGPD a suscité au sein du monde professionnel un bouleversement des pratiques et des processus. Des règles en la matière existaient déjà mais ce qui change ce sont les pratiques. En effet, le système en place avant le RGPD répondait à une logique de formalité administrative. L’entreprise devait déclarer à la CNIL certains traitements qu’elle mettait en oeuvre ou demander des autorisations lorsque le traitement était dit sensible par le biais de dispenses (DI), de normes simplifiées (NS) ou d’autorisation unique (AU)[2]. Désormais, la réglementation repose sur une logique de responsabilisation des acteurs qui se traduit par la documentation en interne de toutes les mesures mises en place pour prouver sa conformité, c’est ce qu’on appelle l’accoutability. Cette documentation interne comprend essentiellement le registre des activités de traitement qui liste et détaille tous les traitements de données personnelles qui sont mis en oeuvre, les actions de sensibilisation du personnel, les mentions d’information aux personnes concernées, le registre des violations de données, les contrats de sous-traitance des données personnelles avec les prestataires etc.

Pour certaines catégories de données personnelles, le RGPD interdit leur traitement. Il s’agit de tout traitement qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique. Le texte prévoit cependant 10 exceptions énumérées à l’article 9 : par exemple, lorsque la personne a donné son consentement explicite ou pour les données de santé lorsque cela est nécessaire pour un employeur en matière de droit du travail, de la sécurité sociale et de la protection sociale.

Pour ces traitements dits sensibles, la contrepartie de l’autorisation qui n’est plus indispensable est pour l’entreprise l’obligation de mener des analyses d’impact sur la protection des données qui prennent en compte l’équilibre entre les droits et les libertés fondamentaux de l’individu et le traitement mis en œuvre.

Coté particulier

Du côté des particuliers, le dernier rapport du 15 avril 2019 de la CNIL[3] démontre une prise de conscience inédite de la protection des données personnelles. L’entrée en vigueur du RGPD “a marqué une prise de conscience inédite des enjeux de protection des données auprès des professionnels et des particuliers”. Selon un sondage IFOP réalisé en avril pour la CNIL, 70 % des Français se disent plus sensibles que ces dernières années à la protection de leurs données personnelles ; ce qui logiquement s’est traduit par une augmentation considérable des plaintes adressées à la CNIL (+ 35.7% en 2018). Et parmi ces plaintes reçues, 73% portaient sur le non-respect de l’exercice d’un droit.

Le RGPD est devenu un enjeu de marque, de confiance dans les relations commerciales tant pour des relations de BtoB que BtoC.

Côté autorité

Du côté de l’autorité de contrôle française, la CNIL, de nombreuses actions d’accompagnement à la mise en conformité et à la sensibilisation ont été menées.

Conformément aux missions assignées aux autorités de contrôle, la CNIL a lancé le 11 mars dernier une formation en ligne ouverte à tous (MOOC) intitulée « L’atelier RGPD » qui propose aux professionnels de découvrir ou mieux appréhender le RGPD[4].

Durant la première année d’entrée en vigueur du RGPD, la CNIL a été proactive en publiant de nombreux outils[5] permettant aux professionnels de changer de logique de mise en conformité (logique administrative vs logique de responsabilisation continue).

Pour l’année 2019, la CNIL a pour ambition de “crédibiliser le nouveau cadre juridique et transformer cet ambitieux pari européen en succès opérationnel.” Elle articulera son action autour de deux axes : la pédagogie et la dissuasion. La CNIL continuera à amplifier ses actions d’accompagnement et concentrera ses actions de contrôle sur les plaintes et trois grandes thématiques, directement issues de l’entrée en application du RGPD :  la répartition des responsabilités entre les sous-traitants et les donneurs d’ordre, les données des mineurs.

Les décisions rendues sous l’empire de la réglementation antérieure au RGPD

Plusieurs décisions rendues sous l’empire de la réglementation antérieure au RGPD annonçaient déjà la tendance qui allait se dessiner. C’est en effet le cas de la décision UFC Que Choisir contre Twitter[6],  mais aussi de celle rendue par la CNIL concernant la société Uber, et celle rendue par le Tribunal de grande instance de Paris entre UFC Que Choisir et Google[7]. En effet, dans ces trois décisions la protection des données personnelles des consommateurs a été prise avec beaucoup d’intérêt pour les autorités délibérantes, à savoir le Tribunal de grande instance de Paris et la CNIL. Dans les deux affaires UFC Que Choisir, les juges de première instance ont ainsi estimé que certaines clauses contenues dans les conditions générales d’utilisation à la fois de twitter que de Google étaient illicites.

Le 19 décembre 2018, la CNIL a rendu une délibération pour des faits ayant eu cours en 2016. En l’espèce, dans une communication parue en 2017, la société Uber a expliqué que courant 2016 deux individus extérieurs à la société ont réussi à accéder aux données de 57 millions d’utilisateurs des services Uber, dont 1,4 millions de français. Certains journalistes ont d’ailleurs fait fuiter l’information selon laquelle la société Uber aurait versé aux attaquants la « somme de 100 000 dollars en échange de la promesse d’effacer les données volées »[8]. Dans sa délibération, la CNIL a sanctionné la société Uber d’une amende de 400 000 EUR en précisant toutefois que la sanction aurait pu être encore plus importante post-RGPD. La France est le 3ème pays européen à infliger une amende, après les Pays-Bas (600 000 EUR) et le Royaume-Uni (426 000 EUR). 1,4 millions d’euros ont ainsi été réclamé par l’Union européenne à la société américaine.

Les décisions rendues postérieurement au RGPD

Les premières mises en demeure de la CNIL

En octobre 2018, 5 mises en demeure ont été délivrées à l’encontre de société des groupes Humanis et Malakoff-Mederic pour détournement de finalité des données des assurés. La CNIL avait constaté que l’utilisation par ces sociétés des données personnelles qu’elles détenaient dans le cadre de leur mission d’intérêt général de mise en œuvre des régimes de retraite complémentaire à des fins de prospection commerciale. La présidente de la CNIL avait alors mis en demeure les sociétés de cesser ce détournement de finalité le 17 octobre 2018, ce qu’elles ont fait permettant ainsi la clôture des procédures en février 2019.

Dans le secteur des applications mobiles, les sociétés SingleSpot et Vectaury ont-elles aussi été priées de se mettre en conformité avec le RGPD. Pour la société SingleSpot, une mise en demeure lui a été adressée le 8 octobre 2018. La CNIL avait alors estimé que la durée de conservation des données de localisation était excessive et que la sécurisation des données était insuffisante. En guise de solution, la société SingleSpot a proposé un système de purge automatique des données et une politique de mots de passe contraignants. Cette solution lui a permis de se mettre en conformité ce qui a conduit à la clôture de la mise en demeure en novembre 2019.  Pour la société Vectaury, la mise en demeure lui a été adressée le 30 octobre 2018. La CNIL avait soulevé des problèmes liés au consentement non valablement recueilli des utilisateurs, qui par ailleurs n’étaient pas systématiquement informés lors du téléchargement des applications mobiles que leurs données étaient collectées. En effet, la collecte des données de géolocalisation était activée par défaut. La mise en conformité de la société a permis cependant la clôture des procédures en février 2019.

La délibération CNIL du 21 janvier 2019 dans l’affaire Google

Le 25 et 28 mai 2018, la CNIL est saisie de deux plaintes collectives déposées par deux associations, None Of Your Business et La Quadrature du Net, représentants 9 974 personnes. Le 1er juin 2018, la CNIL transmet les réclamations à ses homologues européens afin de déterminer si l’un d’entre eux était compétent en tant qu’autorité de contrôle chef de file. Pendant la phase d’instruction, la CNIL a pratiqué la méthode du testing consistant au contrôle en ligne visant à vérifier « le parcours d’un utilisateur et les documents auxquels il pouvait avoir accès lors de la configuration initiale de son équipement mobile » sous Android. L’instruction n’a pas porté sur le ciblage publicitaire imposé sur Youtube, Gmail et Google Search visées par les plaintes de la Quadrature du Net.

Décrite par la presse comme une sanction de très haut niveau dont l’objectif était d’avertir tous les opérateurs du marché. Il s’agit de l’amende la plus élevée jamais infligée par la CNIL qui représente environ 50 millions d’euros. Il s’agit également de la première sanction pour violation du RGPD. Certains journalistes affichent cependant que « malgré cette victoire, les plaignants restent sur leur faim. La QDN est ainsi déçue du niveau de l’amende, puisque le RGPD permet d’infliger une pénalité allant jusqu’à 4 % du chiffre d’affaires de l’entreprise condamnée. Celui-ci s’élevait, en 2017, à 110 milliards de dollars (97 milliards d’euros) pour Alphabet, la maison mère de Google »[9].

La compétence de la CNIL a été relativement critiquée en l’espèce. Selon Google, son établissement principal est en Irlande donc le guichet unique doit être l’autorité compétente en Irlande. La CNIL a quant à elle retenue que la qualité d’établissement principal suppose l’exercice effectif et réel « d’activités de gestion déterminant les décisions principales quant aux finalités et aux moyens du traitement ». Pour la CNIL, l’entité irlandaise ne dispose pas d’un pouvoir décisionnel donc en l’absence d’établissement principal permettant d’identifier une autorité cheffe de file, la CNIL a pu retenir sa compétence (art. 56.2 RGPD). Dans cette décision, la CNIL a ainsi apprécié in concreto la notion d’établissement principal.

Les informations fournies aux utilisateurs ne répondent pas aux exigences d’accessibilité, de clarté et de compréhension imposées par le RGPD. De plus, les finalités sont décrites de manières trop vagues ou trop génériques, les descriptions des données collectées sont elles aussi imprécises et incomplète. L’intéressé n’est pas en mesure de comprendre que le traitement de ses données repose sur son consentement. Enfin, la CNIL a soulevé l’absence d’indication sur certaines durées de conservation.

Quelques jours après le rendu de la délibération de la CNIL, le Google confirmait sa volonté de faire appel dans un communiqué : « Nous avons travaillé d’arrache-pied pour créer un processus de consentement RGPD pour les annonces personnalisées qui soit le plus transparent et le plus simple possible […] Nous sommes également préoccupés par les conséquences de cette décision sur les éditeurs, les créateurs de contenu original et les sociétés de technologie en Europe et ailleurs »[10]. Google a par ailleurs transféré la responsabilité du traitement des données personnelles à son entité irlandaise[11].

Les actions de groupe en matière de protection des données personnelles

L’article 16 de la loi du 20 juin 2018 a adapté au droit de l’Union européenne la loi informatique et libertés du 6 janvier 1978, et a étendu l’action de groupe à la réparation des préjudices matériels et moraux. Cette action peut être exercée lorsque plusieurs personnes physiques placées dans une situation similaire subissent un dommage ayant pour cause commune un manquement, de même nature, aux dispositions de la loi de 1978 de la part d’un responsable de traitement ou d’un sous-traitant.

Jusqu’à présent l’action de groupe en constatation d’un manquement du responsable de traitement ou de son sous-traitant ne prévoyait pas la possibilité de demander la réparation des préjudices subis. En outre, il est également prévu que l’action de groupe puisse être exercée en cas de manquement aux dispositions de la loi française, mais aussi du règlement européen. Le demandeur à l’action doit en informer la CNIL afin que celle-ci puisse effectivement exercer sa nouvelle faculté de présenter des observations devant toute juridiction.

La Quadrature du Net

En mai 2018, 5 plaintes ont été déposées contre Facebook, Google (Gmail, Youtube et Search), Apple (iOS et son méga-cookie), Amazon et LinkedIn. Ces plaintes concernaient environ 45 000 personnes. Quelques mois plus tard, la Quadrature du Net annonçait que, les plaintes contre Apple, Facebook et Microsoft avaient été transmises à l’autorité irlandaise de protection des données. La plainte contre Amazon avait été transmise à l’autorité du Luxembourg, pays dans lequel Amazon a son centre de ses activités au sein de l’Union européenne et, la plainte contre Google avait été instruite par la CNIL pour défaut d’établissement principal dans l’Union européenne.

Internet Society France

Internet Society France a ausi déposé une plainte contre WhatsApp et Instagram. Une action de groupe avait par ailleurs été lancée contre Facebook pour non-respect du RGPD. Ici, les reproches étaient centrés sur des atteintes récurrentes aux libertés et à la vie privée, en échos aux affaires Cambridge Analytic, le récent piratage de jetons de connexion, ainsi que celle relative aux pratiques publicitaires douteuses. Il était ainsi reproché un manque de sécurisation des données personnelles, un manque d’informations lors d’attaques informatiques, la présence de cookie traceurs, ainsi que des conditions générales d’utilisation qui limitent la responsabilité.

Privacy International

Privacy International a quant à elle déposée plainte auprès des autorités de protection des données personnelles de France, Irlande et Royaume-Uni contre 7 entreprises, à savoir, les Data Brokers, Acxiom et Oracle, les ad-techs, Criteo, Quantcast et Tapad, et les spécialistes du crédit, Equifax et Experian. Ces entreprises ne faisaient reposer sur aucune base légale leur traitement des données personnelles de leur utilisateur, ni sur le consentement, ni sur l’intérêt légitime. Pour cet organisme le traitement des données catégorisées comme sensibles par le RGPD était illégal.

Aspects internationaux et transnationaux

Les avancées de la technologie facilitent les flux et transferts de données vers des pays tiers. L’enjeu d’une protection internationale devient fondamental ; mais alors quels mécanismes le RGPD a mis en place dans ce contexte ?

Le RGPD impose que les transferts de données personnelles en dehors de l’Union européenne  “ne peuvent avoir lieu que dans le plein respect du présent règlement”[12]. Le principe est que ce pays tiers doit garantir un “niveau approprié de protection des droits fondamentaux des personnes concernées”, dans le cas inverse le transfert de données personnelles est interdit.

Plusieurs outils et mécanismes rendent possibles ces transferts[13]. Les transferts hors UE peuvent être fondés sur une décision d’adéquation de la Commission européenne concernant certains pays assurant un niveau de protection adéquat, des clauses contractuelles types (CCT) adoptées par une autorité de contrôle et approuvées par la Commission européenne (dont le Privacy Shield), des règles internes d’entreprises (BCR), un code de conduite approuvé, un mécanisme de certification approuvé, un arrangement administratif ou un texte juridiquement contraignant et exécutoire pris pour permettre la coopération entre autorités publiques.

Mais qu’entend-on par transfert ? Le RGPD ne donne pas de définition précise. Il convient de rappeler que le fait d’accéder à des données personnelles constitue un traitement. Un point d’attention particulier doit être porté à tous les services ou solutions dont l’hébergement des données se situent sur des serveurs américains tels que des géants du Net Amazon, Microsoft ou Facebook.

Parallèlement à l’adoption du RGPD en France, les Etats-Unis ont adopté, en mars 2018, le Cloud Act qui impose à tout opérateur numérique américain de fournir, sur demande des autorités américaines, toute information concernant une personne américaine, où qu’elle se trouve dans le monde – cela en contravention avec les dispositions du RGPD notamment.

L’extraterritorialité du droit américain s’appuie sur un autre fondement, qui permet de sanctionner des acteurs économiques non américains, sur la base d’un « lien de rattachement ».

Désormais, la France s’atèle à l’élaboration d’une loi visant à contrarier (et sanctionner) les demandes de communication formelles ou informelles, directes ou indirectes, sans coopération, relevant notamment du Cloud act, et plus largement de toute autorité ou juridiction non européenne[14].

Stéphanie Pereira & Amaya Rousseau 
Fondatrices LWW

[1] https://www.cnil.fr/fr/le-guichet-unique

[2] https://www.cnil.fr/fr/liste-des-normes-et-des-dispenses

[3]  https://www.cnil.fr/fr/presentation-du-rapport-dactivite-2018-et-des-enjeux-2019-de-la-cnil

[4] https://atelier-rgpd.cnil.fr

[5] https://www.cnil.fr/fr/rgpd-comment-la-cnil-vous-accompagne-dans-cette-periode-transitoire

[6] TGI Paris 7 aout 2018, UFC Que Choisir / Twitter

[7] TGI Paris, 12 fév. 2019, UFC Que Choisir / Google

[8]https://www.lemonde.fr/entreprises/article/2017/11/21/uber-revele-que-les-donnees-de-57-millions-d-utilisateurs-ont-ete-piratees_5218307_1656994.html

[9] https://www.lemonde.fr/pixels/article/2019/01/21/donnees-personnelles-la-cnil-condamne-google-a-une-amende-record-de-50-millions-d-euros_5412337_4408996.html

[10] https://www.businessinsider.fr/us/google-appeals-57-million-fine-for-breaching-gdpr-privacy-rules-2019-1

[11] http://www.leparisien.fr/high-tech/pourquoi-l-amende-de-la-cnil-ne-terrorise-pas-google-22-01-2019-7994292.php

[12] Considérant 101.

[13] https://www.cnil.fr/fr/transferts-de-donnees-hors-ue-ce-qui-change-avec-le-reglement-general-sur-la-protection-des-donnees

[14] Les cabinets d’avocats anglo-saxons dans le collimateur des services de renseignement français, Olivier de Maison Rouge, http://www.epge.fr/les-cabinets-davocats-anglo-saxons-dans-le-collimateur-des-services-de-renseignement-francais/