Ce mois d’Avril a été marqué par la publication de l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI) qui, comme tous les ans, rédige un rapport d’activité sur l’exercice écoulé.
Concernant l’année 2022, il est primordial de rappeler l’influence du contexte européen et international sur l’environnement cyber. En effet, l’ANSSI reconnait que son activité durant l’année 2022 a été grandement impactée par l’invasion russe de l’Ukraine qui a permis de multiplier les actions de déstabilisations en Europe.
L’ANSSI a également dû se mobiliser davantage lors de la Présidence française du Conseil de l’Union Européenne qui a fait de la France une plus grande cible aux cybermenaces pendant cette Présidence.
Pendant l’année 2022, l’ANSSI a développé de grands axes de lutte contre le risque cyber au niveau national et international. Elle a déployé le plan des CSIRT régionaux, dotant de nombreux territoires d’entreprises compétentes capables de soutenir les TPE/PME en cas de cyberattaques. Elle a également réalisé le premier exercice de crise cyber REMPAR22.
Par ailleurs, elle a rayonné au niveau européen avec l’adoption de NIS 2, en participant au challenge européen de la cybersécurité ou encore en représentant la France lors de l’International Counter Ransomware Initiative.
Nul doute que cette importante dynamique se perpétue pendant l’année 2023.
Consultez l’intégralité du rapport d’activité : Rapport d’activité – ANSSI – 2022
Par un arrêt du 12 janvier 2023, la Cour d’appel de Grenoble prononce la nullité d’un contrat de création d’un site web pour non-conformité à la Loi Informatique et Libertés (LIL).
En l’espèce, une société d’optique a conclu un contrat avec une société de création de site web pour la création d’un site web vitrine, ainsi que pour son installation et sa maintenance. En parallèle la société d’optique s’engage à payer des loyers à la société Leasecom (société de location de financement des équipements des entreprises).
Lorsque la société d’optique a arrêté de payer ses loyers, la société Leasecom l’a assignée devant le Tribunal de commerce qui condamne la société d’optique. Cette dernière interjette appel de cette décision et la Cour d’appel de Grenoble se prononce uniquement au regard du prisme du droit des données personnelles en ce qui concerne le contrat conclu avec le prestataire créateur du site web vitrine.
En effet, la société d’optique reproche au prestataire d’avoir violé les dispositions concernant la collecte et l’utilisation des données personnelles de ses utilisateurs.
Les constats (par huissier) et pris en compte par la Cour d’appel sont les suivants :
Ainsi, la Cour d’appel considère que le prestataire n’a pas informé la société d’optique d’un élément essentiel concernant le site et la réalisation de la prestation.
De plus, concernant la question de la responsabilité, la Cour estime que la société d’optique, bien que responsable des traitements au sens de la LIL et du RGPD, n’est pas spécialisée en protection des données personnelles et n’a pas les connaissances requises pour constater ces violations lors de la prestation.
La cour retient donc la responsabilité du prestataire informatique qui avait, lui, l’obligation d’informer la société d’optique quant à l’installation illégal de cookies. Elle annule donc le contrat pour erreur sur une qualité essentielle du contrat portant sur le site internet, avant d’infirmer par la même occasion, le jugement du Tribunal de commerce de Grenoble.
Le prestataire informatique est condamné à restituer à la société d’optique le prix de la prestation et lui payer la somme de 5 000 euros sur le fondement de l’article 700 du Code de procédure civile ainsi que les dépens.
Consultez l’intégralité de la décision : 12 janvier 2023 Cour d’appel de Grenoble RG n° 21/03701
Le 2 mars 2023 La Cour de Justice de l’Union Européenne (CJUE) a rendu un arrêt répondant aux questions préjudicielles de la Cour Suprême Suédoise sur l’interprétation des articles 5 et 6 du RGPD mis en balance avec l’administration de la preuve dans le cadre d’une procédure juridictionnelle civile.
La Cour retient que l’article 6 du RGPD, dans ses paragraphes 3 et 4 relatifs aux missions d’intérêt public défini par le de l’Union ou par le droit national de l’état membre, s’applique dans le cadre d’une procédure juridictionnelle civile.
De plus, cette procédure juridictionnelle fait partie d’exceptions à laquelle figure (article 23) « la protection de l’indépendance de la justice et des procédures judiciaires », cet objectif devant, ainsi que l’a observé la Commission européenne dans ses observations écrites, être compris comme visant la protection de l’administration de la justice contre des ingérences internes ou externes mais encore la bonne administration de la justice.
En revanche, elle rappelle qu’il est nécessaire d’analyser cette balance et de pondérer aux cas par cas afin de prendre en compte les intérêts de la personne concernée, le principe de minimisation des données et le principe de proportionnalité entre l’administration de la preuve et la protection des données personnelles.
En conclusion, la CJUE fait prévaloir l’administration de la preuve à la protection des données personnelles, si celle-ci est correctement prévue dans le cadre de la législation nationale de l’état membre.
Quelques jours plus tard, le 8 mars, c’est au tour de la Cour de Cassation de rendre une décision similaire.
En effet dans la même veine, la Cour de cassation rappelle que le droit à la protection des données n’est pas un droit absolu et qu’il doit être mis en balance si nécessaire.
De plus le code de procédure civile ainsi que la Convention de sauvegarde des droits de l’homme et des libertés fondamentales prévoient que le droit à la preuve peut justifier la production d’éléments portant atteinte à la vie personnelle à la condition que cette production soit indispensable à l’exercice de ce droit et que l’atteinte soit proportionnée au but poursuivi.
Ainsi, la Cour approuve l’arrêt qui ordonne la production de document portant atteinte à la vie personnelle d’autres personnes, après avoir relevé que cette communication était indispensable à l’exercice du droit à la preuve, prenant en compte la minimisation des données en occultant certaines données personnelles non-utile à l’affaire et proportionnée aux buts poursuivis (défense de l’intérêt légitime de la personne concernée dans l’affaire, l’égalité de traitement entre les hommes et les femmes en matière d’emploi et de travail).
Consultez ici les décisions : Cour de cassation, Chambre sociale, 8 mars 2023, 21-12.492 ; ECLI:EU:C:2023:145 ARRÊT DE LA COUR (troisième chambre) 2 mars 2023
Par une décision du 21 octobre 2022, publié au recueil Lebon et sur son site début février, le Conseil d’Etat (CE) dans ses 10e et 9e chambres réunies, rend sa décision relative à la demande, par une DPO, d’annuler une décision de la CNIL rendu en sa défaveur.
En l’espèce, la DPO requiert l’annulation d’une décision de la CNIL du 8 octobre 2021 par laquelle la présidente de la Commission a clôturé sa plainte relative aux conditions d’exercice des fonctions de DPO au sein de sa société et à l’exercice de son droit d’accès à ses données personnelles.
Concernant les reproches de la DPO contre la CNIL, le Conseil d’Etat rappelle dans sa décision les caractéristiques de la Commission ainsi que ses missions notamment son indépendance, son large pouvoir d’appréciation lorsqu’elle doit traiter d’une plainte relative aux droits garantis par la loi à une personne concernée.
La CNIL a donc le pouvoir de décider si elle donne suite à la plainte ou non, sous le contrôle du juge de l’excès de pouvoir.
Concernant l’exercice du droit d’accès à ses données personnelles, le CE confirme l’effectivité nécessaire de ce droit.
Cependant, la décision de la CNIL concernant une plainte fondée sur la méconnaissance d’un tel droit relève d’une décision administrative individuelle défavorable qui doit être nécessairement motivée.
En l’occurrence, la décision de la CNIL, de ne pas donner suite à la plainte de la DPO concernant son droit d’accès, comporte une motivation : « l’énoncé des considérations en droit et en fait qui en constituent le fondement ».
Concernant le non-respect de l’employeur des conditions d’exercice de la fonction de DPO, la décision de la CNIL sur ce point ne revêt les conditions d’une décision administrative individuelle nécessitant une motivation.
Par ailleurs, le Conseil d’Etat rappelle que pour protéger l’indépendance du DPO celui-ci ne doit pas subir une décision qui mettrait fin à ses fonctions, un désavantage ou une sanction lorsque cela serait lié à l’exercice de ses missions.
En revanche, le Conseil d’Etat rappelle bien que ces considérations ne font pas obstacle au licenciement d’un DPO qui « ne posséderait plus les qualités professionnelles requises pour exercer ses missions ou qui ne s’acquitterait pas de celles-ci conformément aux dispositions du RGPD ».
Ainsi, le Conseil d’Etat confirme que le RGPD, dans son article 38, ne fait pas obstacle au licenciement d’un DPO à « raison de manquements aux règles internes à l’entreprise applicables à tous ses salariés, sous réserve que ces dernières ne soient pas incompatibles avec l’indépendance fonctionnelle qui lui est garantie par le RGPD ».
Enfin, il confirme que la DPO disposait de moyens et de conditions d’exercice raisonnables pour réaliser ses missions de DPO.
Le Conseil d’Etat décide donc de rejeter la requête de la DPO et la condamne au paiement de 1 000 euros au titre de l’article L .761-1 du code de justice administrative.
Consultez ici la décision du Conseil d’Etat : Décision n°459254 du Conseil d’Etat du 21 octobre 2022
Toujours en pleine négociation avec les Etats-Unis, le sujet des transferts de données vers des pays tiers à l’UE présente encore un enjeu majeur pour le législateur et les autorités de contrôle européennes.
Le 14 février dernier, le CEPD a ainsi adopté deux documents comprenant des Lignes Directrices sur le mécanisme à mettre en œuvre pour opérer des transferts de données personnelles vers un pays tiers ou une organisation internationale.
Le premier document identifie les critères cumulatifs permettant de considérer une opération de traitement comme un transfert :
Lorsque ces critères sont remplis, alors le transfert des données sera soumis aux dispositions du Chapitre V du RGPD (nécessité d’une décision d’adéquation, niveau de protection des données équivalent à celui du RGPD, certifications, …).
Le second document, quant à lui, vient compléter les Lignes Directrices sur les critères de certification, publiées en 2018, et aborde en détails le processus à suivre pour obtenir la certification permettant le transfert de données personnelles vers un pays tiers ou une organisation internationale, conformément au chapitre V du RGPD, à savoir :
Désormais fortement encadrés, les transferts de données personnelles hors UE nécessitent une étude spécifique dans les prochains mois afin d’identifier précisément les éventuels impacts sur vos pratiques.
Consultez ici les Lignes Directrices du CEPD : edpb_guidelines_05-2021-on the interplay between art 3 and chapter V_GDPR ; edpb_guidelines_07_2022-on certification as a tool for tranfers
