Alors que le Règlement sur la protection des données (RGPD) est en vigueur depuis plus d'un an, les autorités (européennes) chargées de la protection des données semblent avoir atteint leur vitesse de croisière. Cette mise à jour vous donne un aperçu du dernier trimestre.
Les autorités infligent des amendes entre autre, en cas de sécurité insuffisante et recourent également à des sanctions alternatives
Les organisations doivent prendre les mesures appropriées pour assurer la protection des données à caractère personnel (article 32 RGPD). Certaines décisions récentes des autorités de contrôle de nos pays voisins montrent que le non-respect de cette obligation peut avoir de graves conséquences financières :
-
Aux Pays-Bas, l'autorité de protection des données (« Autoriteit Persoonsgegevens » ou « AP ») a infligé une amende de 460.000 EUR (décision en néerlandais) à l'hôpital Haga. En cause, la faiblesse de son système de protection des dossiers des patients, ce qui a eu pour conséquence que des dizaines d'employés de l'hôpital ont inutilement eu accès au dossier médical numérique d'un citoyen néerlandais connu. Selon l'AP, l'hôpital aurait dû vérifier régulièrement qui avait accès à quel dossier, notamment au moyen de fichiers journaux. L'hôpital aurait également dû établir l'identité des employés qui ont accès au dossier numérique du patient au moyen d'une authentification à deux facteurs.
- L'autorité britannique (« ICO ») envisage d'infliger une amende de plus de 180 millions de livre sterling à la compagnie British Airways et une amende de 99 millions de livre sterling à la société Marriott International (en anglais) pour violation de leurs obligations en matière de sécurité des données à la suite d'attaques informatiques. En ce qui concerne British Airways, les cybercriminels ont détourné le trafic de son site officiel vers un site frauduleux, ce qui aurait permis aux cybercriminels d'obtenir les données personnelles d'environ 500.000 clients. Les cybercriminels qui se sont attaqués à Marriott International, auraient réussi à voler les données personnelles d'environ 339 millions de clients grâce à un système de réservation mal sécurisé.
Récemment, l'Autorité de protection des données belge (« APD ») a annoncé qu'elle surveillerait de près une fuite de données chez un fournisseur de système de contrôle d'accès d'Adecco. En conséquence de cette fuite, des millions de données biométriques, telles que des empreintes digitales et des images de reconnaissance faciale dont les empreintes digitales d'environ 2.000 employés d'Adecco Belgique) se sont trouvées sur internet quasiment sans protection et sans cryptage. Reste à voir quelle(s) mesure(s) l'APD prendra à cet égard.
L'imposition d'une amende administrative n'est pas la seule option dont disposent les autorités de protection des données pour réprimer les infractions aux RGDP. Par exemple, la Chambre Contentieuse de l'APD a décidé de réprimander (en néerlandais) le SPF Santé publique pour ne pas avoir répondu à une demande d'inspection en dépit d'un ordre antérieurement donné (article 15 du RGDP). En particulier, l'APD a souligné le fait que le SPF n'avait pris aucune mesure interne ou seulement des mesures internes insuffisantes pour être en mesure de répondre à de telles demandes en temps utile, bien que le RGPD soit en vigueur depuis le 25 mai 2018.
Auparavant, l'APD a clarifié le rôle du délégué à la protection des données (DPD) suite aux demandes des personnes concernées qui souhaitaient exercer leurs droits. Dans sa décision du 28 mai 2019, l'APD a décidé qu'il appartient au responsable du traitement, et non au DPD, de prendre la décision finale sur ces demandes. Une enquête de l'inspection de l'APD a révélé que le DPD lui-même avait décidé de supprimer des données à caractère personnel d'une liste de diffusion du responsable du traitement, ce qui, selon l'APD, est contraire aux fonctions du DPD. L'APD a finalement décidé de formuler un avertissement et de publier la décision sur son site web.
Les sites web qui utilisent le bouton « J'aime » de Facebook peuvent être (co)responsables, avec Facebook, de la protection des données à caractère personnel
Dans les Eubelius Spotlights de mars 2019 nous avions déjà évoqué les conclusions de l'avocat général Bobek dans l'affaire Fashion ID. Dans cette affaire, l'AG a constaté que l'exploitant d'un site Web qui intègre un plug-in tiers, tel que le bouton « J'aime » de Facebook, dans son site Web, est responsable, avec ce tiers, du traitement des données personnelles collectées par le biais de ce plug-in.
Dans son arrêt du 29 juillet 2019, la Cour de justice semble suivre la conclusion de l'AG. Toutefois, la Cour de justice a nuancé la conclusion de l'AG en décidant que la juridiction de renvoi doit vérifier si l'exploitant du site web et Facebook déterminent effectivement ensemble la finalité et les moyens utilisés pour le traitement des données à caractère personnel. À l'instar de l'AG, la Cour de justice a précisé que cette coresponsabilité des exploitants de sites web ne couvre pas le traitement des données à caractère personnel effectué par Facebook après réception de ces données par les exploitants.
D'un point de vue pratique, cette décision signifie que les exploitants de sites web doivent fournir aux visiteurs de leur site Web suffisamment d'informations sur le traitement de leurs données, y compris via le bouton Facebook. Cela peut être fait, par exemple, en mentionnant les informations utiles dans la politique de confidentialité du site Web. Les exploitants de sites web devront également obtenir le consentement du visiteur avant que ses données à caractère personnel soient collectées et transmises à des tiers, comme par exemple Facebook. Enfin, les exploitants de sites web devront conclure un accord avec le fournisseur du plug-in social, dans lequel les responsabilités et obligations respectives seront régies par l'article 26 du RGPD.
Le Comité européen sur la protection des données a publié un (projet de) lignes directrices sur le traitement des données à caractère personnel collectées par les équipements vidéo
Le 10 juillet 2019, le Comité européen sur la protection des données (« CEPD ») a publié un (projet de) lignes directrices (en anglais) sur le traitement des données à caractère personnel collectées par les équipements vidéo traditionnels et intelligents. Ces lignes directrices portent notamment sur la licéité du traitement des images vidéo, l'exception pour usage personnel ou domestique, le traitement des données biométriques (telles que la reconnaissance faciale) et le partage des images avec des tiers, y compris les services d'exécution et d'enquête, tels que la police.
L'Autorité de protection des données lance une campagne de sensibilisation pour les PME
L'APD lancera prochainement une campagne de sensibilisation auprès des micro, petites et moyennes entreprises (PME) sur l'application du RGPD. L'APD prévoit plusieurs actions, dont une révision du manuel sur les PME qu'elle a déjà publié et la création d'une plate-forme de communication collective pour échanger des informations entre l'APD, les organisations professionnelles représentées et les réseaux professionnels de délégués à la protection des données.
Les autorités britanniques et françaises publient de nouvelles lignes directrices sur l'utilisation des cookies
Le 4 juillet 2019, l'ICO a publié de nouvelles lignes directrices (en anglais) sur l'utilisation des cookies et des technologies similaires telles que les pixels (de suivi) et les plug-ins. Quelques semaines plus tard, le 23 juillet 2019, la CNIL a également publié de nouvelles lignes directrices sur les cookies. Ces nouvelles lignes directrices actualisent les lignes directrices antérieures des deux autorités sur l'utilisation des cookies et tiennent compte, entre autres, des exigences plus strictes en matière de consentement prévues dans le RGPD.
Il ne faut pas oublier, à partir de ces lignes directrices, les points de vue des autorités sur les « cookie walls » et la « further browsing ». L'autorité française (et auparavant l'autorité de protection des données néerlandaise (voir à ce sujet notre Eubelius Spotlights de juin 2019) a décidé que les « cookie walls » n'étaient pas autorisés. En revanche, l'autorité britannique semble accepter les « cookies walls » partiels s'ils ne limitent l'accès au site web qu'à certains contenus.
Les deux autorités conviennent que le consentement du visiteur du site web présuppose une action claire et active. Par conséquent, la simple navigation du visiteur sur le site web (« further browsing ») ne peut être considérée comme une action positive par laquelle le visiteur du site web donne son consentement valable.
Le CEPD publie son rapport annuel 2018 et donne un aperçu des priorités futures
Le 16 juillet 2019, le CEPD a publié son rapport annuel 2018, celui-ci décrit les principales activités de 2018 et ses priorités pour le future. Dans son rapport annuel (en anglais), le CEPD se réfère à son programme de travail 2019-2020 (en anglais) afin de souligner à nouveau ses priorités futures. Parmi ces priorités, figurent les droits des personnes concernées, la notion de « responsable du traitement » et de « sous-traitant », l'intérêt légitime en tant que base juridique du traitement des données à caractère personnel et l'utilisation des nouvelles technologies, telles que les véhicules connectés, le blockchain et l'intelligence artificielle.
