Saisie par la Cour fédérale de la justice allemande, la CJUE a rendu, le 8 décembre dernier, une décision contre Google concernant le droit à la protection des données personnelles, plus particulièrement sur le droit à l’oubli.
L’affaire concerne le recours fait par deux dirigeants d’une société contre Google afin de :
Ces demandes avaient été refusées par Google, laquelle prétend son ignorance du caractère exact ou inexact des informations référencées d’une part, et le contexte professionnel dans lequel ces informations sont inscrites d’autre part.
C’est ainsi que la Cour fédérale allemande, saisie du litige, a demandé à la CJUE d’interpréter les dispositions du RGPD relatives au droit à l’oubli et celles de la directive sur la protection des données personnelles des personnes physiques à la lumière de la charte des Droit fondamentaux de l’Union Européenne.
Ainsi, la CJUE va tout d’abord rappeler que le droit à la protection des données à caractère personnel n’est pas un droit absolu et doit être mis en balance avec d’autres droits fondamentaux comme le droit à la liberté d’expression et ce, conformément au principe de proportionnalité.
Cependant, cette liberté d’expression ne peut pas être prise en compte lorsque les informations référencées sont inexactes.
La Cour redéfinit ensuite les obligations des demandeurs de déréférencement pour inexactitude d’informations d’une part, et celles du moteur de recherche d’autre part. Le requérant devra ainsi :
Le moteur de recherche, quant à lui, est dans l’obligation de faire droit à la demande de déréférencement, lorsque le requérant fourni des « éléments de preuve pertinents et suffisants, aptes à étayer sa demande et établissant le caractère manifestement inexact des informations ».
Néanmoins, la Cour précise que le moteur de recherche n’a pas à jouer un rôle actif dans la recherche des éléments de preuve de l’inexactitude et qu’il doit se fonder sur l’ensemble des droits, des intérêts en présence et des circonstances du cas d’espèces pour prendre sa décision au regard de la demande de déréférencement.
Consultez ici le communiqué de la CJUE : Droit à l’effacement (« droit à l’oubli ») : l’exploitant du moteur de recherche doit déréférencer des informations figurant dans le contenu référencé lorsque le demandeur prouve qu’elles sont manifestement inexactes ; ARRÊT DE LA COUR (grande chambre)-8 décembre 2022
Le 14 novembre dernier, le CEPD a adopté une mise à jour de ses recommandations relatives aux règles d’entreprises contraignantes « responsable de traitement ou BCR-C ; en ce mois de décembre la CNIL se saisi du sujet et revient sur ce référentiel actualisé.
Pour mémoire, les BCR (outils issus du RGPD) sont des règles applicables aux entités d’un même groupe qui ne situeraient pas toutes dans l’Union Européenne et qui se transfèrent entre elles des données personnelles. Ainsi, ces BCR permettent de garantir un niveau de protection des données personnelles dans toutes les entités du groupe même en dehors de l’Union Européenne.
La CNIL rappelle dans son communiqué que les BCR créent des droits pour les personnes concernées en tant que tiers bénéficiaires et engagent les entités du groupe à garantir un niveau de protection équivalent à celui imposé par le RGPD.
L’actualisation réalisée en cette fin d’année concerne plus particulièrement le référentiel d’approbation des BCR « responsable de traitement » et le formulaire d’instruction présenté aux autorités de protection.
Les mises à jour adoptées concernant notamment :
Le CEPD est également en train de revoir les BCR « sous-traitant » qui seront sans doute bientôt adoptées.
Consultez ici le communiqué de la CNIL : Le CEPD met à jour le référentiel BCR « responsable de traitement »
Le 24 novembre dernier, la CNIL a sanctionné lourdement l’entreprise EDF par une amende de 600 000 euros. En effet, un contrôle a été réalisé à la suite de diverses plaintes de personnes concernées qui n’obtenaient pas satisfaction dans l’exercice de leurs droits. Pendant ce contrôle, elle a ainsi constaté plusieurs manquements aux exigences du RGPD.
Le premier manquement retenu concerne l’obligation de recueillir le consentement des personnes concernées (BtoC) pour recevoir de la prospection commerciale (articles L.34-5 du Code des postes et des communications électroniques ou CPCE et 7 du RGPD). La CNIL a en effet constaté que lors de campagnes de prospection par courriel, l’entreprise n’était pas en mesure de prouver qu’elle avait obtenu préalablement le consentement des destinataires.
Pour sa prospection commerciale, l’entreprise fait appel à des data brokers, des entreprises de courtiers de données. Pour démontrer sa conformité, EDF a produit deux formulaires de collecte de données de prospects mais elle n’a pas été en mesure d’expliquer et de lister ses partenaires auxquelles ces données peuvent être communiqués.
De plus, concernant ces courtiers de données, la CNIL estime qu’EDF aurait dû auditer les data brokers et vérifier auprès des courtiers, que le recueil des consentements était valablement réalisé.
Un second manquement concerne le manque d’informations et de respect des droits des personnes concernées (articles 12 à 14 et 21 du RGPD). En effet, la CNIL a constaté que l’information sur le site internet de l’entreprise était imprécise sur les durées de conservation, qu’il manquait la base légale pour les usages des données personnelles, ainsi que la source claire et précise des données personnelles pour la prospection commerciale.
Concernant les droits des personnes concernées, il est reproché à EDF de ne pas avoir tenu les délais de réponse aux personnes exerçant leurs droits d’accès et/ou d’opposition.
Enfin, le dernier manquement retenu est celui du non-respect de l’article 32 du RGPD concernant la sécurisation des données. La CNIL a en effet constaté que les mots de passe n’étaient pas suffisamment sécurisés.
Pour conclure, malgré la mise en conformité rapide de l’entreprise sur plusieurs manquements, la CNIL estime qu’au regard de l’importance de l’entreprise sur le marché français, elle aurait dû mettre les moyens nécessaires à sa conformité à la législation nationale et européenne en matière de protection des données.
Consultez ici le communiqué et la délibération de la CNIL : Prospection commerciale et droits des personnes : sanction de 600 000 euros à l’encontre d’EDF ; Délibération SAN-2022-021 du 24 novembre 2022
Par sa décision n°2022-1016 du 21 octobre dernier, le Conseil constitutionnel juge conformes à la Constitution, les dispositions permettant à l’administration d’enjoindre le déréférencement d’adresses électroniques des interfaces sur lesquelles ont été constatées des contenus manifestement illicites.
Ce sont les dispositions de l’article L.521-3-1 du Code de la consommation, issu de la loi n°2020-1508 du 3 décembre 2020 qui permet à l’autorité administrative chargée de la concurrence et de la consommation, de prendre des mesures pour faire cesser des pratiques commerciales frauduleuses commises à partir d’une interface en ligne.
Elle peut notamment, « enjoindre aux opérateurs de plateforme en ligne de procéder au déréférencement des adresses électroniques des interfaces en ligne dont les contenus présentent un caractère illicite ».
La société requérante reproche aux dispositions de donner à l’administration un tel pouvoir sans subordonner cette mesure à un juge, ni prévoir qu’elle serait limitée dans le temps ou porterait sur les seuls contenus présentant un caractère manifestement illicite.
Ainsi, la société requérante, estime que ces dispositions portent atteinte à la liberté d’expression et de communication et à la liberté d’entreprendre.
Au premier grief concernant l’atteinte porté à la liberté d’expression et de communication, le Conseil reconnaît que le législateur peut édicter des règles limitant ce droit pour faire cesser un abus qui porterait atteinte à l’ordre public et aux droits des tiers.
Ainsi, le Conseil considère qu’en adoptant les dispositions contestées le législateur a agit dans l’intérêt général pour protéger les consommateurs et assurer la loyauté des transactions commerciales en ligne.
Par ailleurs, le déréférencement n’empêche pas l’accès aux sites ou applications, ils restent accessibles, mais ne sont juste plus référencés. De plus, cette mesure ne peut être prononcée :
-qu’en cas de pratiques caractérisant certaines infractions précises,
-si l’auteur de la pratique a été identifié,
-sous le contrôle du juge qui doit s’assurer de la proportionnalité de la mesure ainsi que de son étendue.
Pour ces motifs, le Conseil constitutionnel juge que le grief issu de l’atteinte porté à la liberté d’expression et de communication doit être écarté.
Au second grief tiré de l’atteinte porté à la liberté d’entreprendre, le Conseil constitutionnel utilise les mêmes motifs pour écarter ce dernier.
Dans sa décision, le Conseil constitutionnel rappelle, tout de même, que l’autorité administrative ne peut pas imposer aux opérateurs, un délai inférieur à 48 heures pour rendre effectif le déréférencement. Cela signifie que toute personne concernée a donc le temps de contester utilement la décision par le recours en référé.
Consultez ici l’intégralité du communiqué et la décision : Décision n° 2022-1016 QPC du 21 octobre 2022 – Communiqué de presse ; Décision n° 2022-1016 QPC du 21 octobre 2022
Le 27 octobre dernier, l’Union Européenne a eu le plaisir d’enfin publier dans son JO l’adoption officielle du Digital Services Act (DSA). En effet, ce projet de règlement ait débattu et travaillé depuis fin 2020, il a été adopté par le Parlement européenne courant été 2022, il a été enfin approuvé par le Conseil de l’UE début du mois d’octobre et publié au JO ce 27 octobre. Ce texte vient remplacer la directive e-commerce du 8 juin 2000.
Ce texte vient compléter le Digital Market Act (DMA) qui s’attaque à la régulation des marchés numériques. Le DSA, quant à lui, réglemente la responsabilité des plateformes numériques pour lutter contre les contenus, services et produits illicites en ligne.
Ce règlement ambitieux souhaite, plus précisément, protéger les internautes et consommateurs européens, encourager et développer les petites entreprises de l’union peu visible dans l’ombre des multinationales, responsabiliser les grandes plateformes et diminuer les risques de désinformation.
Le DSA concerne divers acteurs et intermédiaires ainsi que leurs produits et services en ligne. Sont notamment soumis aux règles du DSA, les FAI, les entreprises du Cloud, les market places et e-shop, les très grandes plateformes et moteurs de recherche.
Les mesures principales sont les suivantes :
-lutte contre les contenus illicites: ces dispositions doivent responsabiliser les grandes plateformes et boutiques en ligne. En effet, les mécanismes de signalements de contenus illicites deviennent obligatoires et doivent être très accessibles ;
-lutte contre les contenus illicites: création des « signaleurs de confiance », des entreprises ou institutions nationales dont les signalements devront être traités en priorités par les plateformes ;
-transparence en ligne: ces dispositions obligent les plateformes à expliquer les algorithmes utilisés pour la publicité et les recommandations, elles doivent proposer un système de recommandation sans profilage, elles ne peuvent plus réaliser de publicité ciblée pour les mineurs, …
-sécurité en ligne: certains acteurs nommés par la Commission européenne seront soumis à des obligations supplémentaires comme l’analyse des risques systémique que leurs plateformes génèrent (haine, violence, droits, discours civiques, élections, …), la réalisation d’audits indépendants de réduction des risques, l’autorisation d’accès à des données clés de leurs interfaces aux chercheurs et scientifiques, etc.
Enfin, pour le respect de ce texte, vont être mis en place des coordinateurs des services numériques qui seront des autorités indépendantes désignées par chaque état membre. En France, cette autorité indépendante correspond à celle des médias, l’ARCOM.
Les très grandes plateformes, entreprises et moteurs de recherche seront également contrôlées par la Commission européenne. En cas de graves manquements ou violations à ce règlement, les acteurs concernés peuvent se voir sanctionner par des amendes (jusqu’à 6% du chiffre d’affaires mondial) ou même une interdiction d’exercer leurs activités sur le marché européen.
Consultez l’intégralité du Règlement : règlement (UE) 2022/2065 du parlement européen, et du conseil du 19 octobre 2022 relatif au marché unique des services numériques
C’est une importante publication que nous propose la CNIL depuis le 17 octobre dernier. En effet, à la suite d’une délibération en juillet dernier adoptant cette nouvelle recommandation et abrogeant l’ancienne délibération de 2017 sur les mots de passe ; elle la publie ce mois-ci dans un communiqué accompagné d’outils pratiques pour s’adapter à ses nouveaux conseils.
Malgré le fait qu’elle reconnaisse et recommande les solutions d’authentification forte ou à plusieurs facteurs, fournissant une meilleure protection, le mot de passe est le moyen d’authentification le plus répandu et le plus faible au niveau sécurité.
C’est dans un contexte de menaces accrues sur la sécurité des données, que la CNIL a estimé nécessaire une actualisation de sa recommandation de 2017 avec l’aide précieuse des professionnels et des particuliers de par la consultation publique analysée pour cette nouvelle recommandation.
Dans son communiqué, la CNIL exprime clairement les changements notables par rapport à la recommandation de 2017, en effet, les évolutions suivantes sont à noter :
-la complexité du mot de passe repose sur son « entropie » et non plus sur sa longueur;
-le retrait du cas d’usage : une information secrète pour diminuer les exigences de sécurité sur le mot de passe;
-l’abandon de l’obligation de renouvellement des mots de passe pour les comptes utilisateurs classiques (les comptes privilèges ou administrateurs, y restent soumis) ;
-la rédaction d’une liste de mots de passe complexes à éviter car connus ;
-des bonnes pratiques sur les règles de création et de renouvellement pour garantir un niveau de sécurité fiable et pérenne.
La CNIL développe ensuite sa stratégie actuelle et future quant à l’authentification. D’abord, elle définit et développe « l’entropie » actuelle, c’est-à-dire « la quantité de hasard » ou « son degré d’imprédictibilité théorique ».
Puis, elle définit et développe la notion future de « devinabilité » relative à une nouvelle approche pour déterminer la robustesse d’un mot de passe en évaluant dynamiquement la résistance de celui-ci et non le respect de la politique de mots de passe mise en place.
Enfin, même si cette recommandation n’est pas une norme, la CNIL rappelle qu’elle correspond à l’état de l’art sur lequel le responsable de traitement peut s’appuyer quand il utilise et met en place une authentification par mot de passe.
Ainsi, elle recommande également d’autres mécanismes plus sécurisés comme l’authentification à double facteur ou les certificats électroniques. En tout état de cause, la CNIL recommande le guide de l’ANSSI sur ce sujet, grâce auquel elle peut proposer un tableau de correspondance avec sa propre recommandation.
Consultez ici l’intégralité de l’article et les outils de la CNIL : Mots de passe : une nouvelle recommandation pour maîtriser sa sécurité ; délibération n°2022-100 du 21 juillet 2022 ; Recommandation de la CNIL sur les mdp – tableau de correspondance ; Recommandations relatives à l’authentification multifacteur et aux mots de passe (ANSSI)
