Le Règlement sur la protection des données (RGPD) continue de se développer rapidement et cela depuis son entrée en vigueur le 25 mai 2018. Dans cet article, nous soulignons les développements les plus importants qui sont survenus lors du dernier trimestre.

L'autorité de la protection des données inflige une première amende administrative

Le 28 mai 2019, la Chambre Contentieuse de l'Autorité de protection des données (APD) a imposé sa première amende administrative depuis l'entrée en vigueur du RGPD. L'affaire concernait un bourgmestre qui avait utilisé des adresses électroniques obtenues dans le cadre d'un dossier de lotissement, afin d’envoyer un message électoral la veille des élections communales. L'APD a jugé qu'un bourgmestre se doit de montrer l’exemple, particulièrement lorsqu’il s'agit de respecter les règles mises en place par le RGPD et, par conséquent, a décidé de lui infliger une amende administrative de 2.000 euros.

Vous trouverez la décision complète rendue par la Chambre Contentieuse ici (en néerlandais).

La Commission européenne a publié des lignes directrices relatives aux interactions qui pourraient survenir entre le Règlement relatif au libre flux des données à caractère non personnel et le RGPD

Depuis le 28 mai 2019, le Règlement relatif au libre flux des données à caractère non personnel (le Règlement) est applicable à l'intérieur de l'Union européenne. Ce règlement vise le libre flux des données à caractère non personnel (par exemple des ensembles de données agrégées et anonymisées utilisées dans des analyses s'appuyant sur les big data) au sein de l'Union européenne et interdit, entre autres, les lois nationales qui prévoiraient que les données puissent être stockées uniquement sur le territoire national. Ce Règlement et le RGPD, mettent en place un cadre complet propice à l'apparition d'un espace européen commun de données et au libre flux de toutes les données à l'intérieur de l'UE.

Le 29 mai 2019, la Commission européenne a publié des lignes directrices relatives aux interactions possible entre le Règlement et le RGPD. Ces lignes directrices expliquent, entre autres, comment les sociétés peuvent respecter à la fois le Règlement et le RGPD lorsqu'elles traitent des ensembles de données mixtes, c'est-à-dire qui contiennent des données à caractère personnel et des données à caractère non personnel.

La Cour d'appel de Bruxelles renvoie l'affaire qui oppose l'APD à Facebook à la Cour de Justice

Le 8 mai 2019, la Cour d'appel de Bruxelles s'est prononcée, dans une affaire pendante depuis 2015 et qui oppose l'ancienne Commission de la protection de la vie privée à Facebook. L'affaire a trait aux informations que Facebook récolte non seulement sur ses utilisateurs mais aussi sur non-membres par le biais de cookies, de plug-ins sociaux (comme le bouton « j'aime ») et de pixels (invisible). Ces technologies permettraient à Facebook de suivre le comportement de navigation des personnes concernées sans qu'elles n'en soient informées.

Auparavant, l'APD a défendu la compétence des cours et tribunaux belges et exigeait que Facebook se conforme aux règles belges et européennes en matière de protection de la vie privée. Cependant, Facebook a refusé de reconnaitre la compétence des cours et tribunaux belges dans cette affaire. La Cour d'appel a donc décidé de poser des questions préjudicielles à la Cour de Justice sur la question de la compétence.

Vous pourrez trouver les questions préjudicielles ici.

Le Comité européen de protection des données a publié un (projet) de lignes directrices sur les obligations contractuelles en tant que base légale pour le traitement des données à caractère personnel dans les services en ligne

Le 9 avril 2019, le Comité européen de protection des données (CEPD) a publié un (projet) de lignes directrices sur les obligations contractuelles en tant que base juridique pour le traitement des données dans les services en ligne (article 6.1.b) RGPD).

Les lignes directrices prévoient, entre autres, que cette base juridique ne pourra uniquement être invoquée avec succès que si le responsable du traitement peut prouver que (i) un contrat existe avec la personne concernée, (ii) le contrat est juridiquement valable, et (iii) le traitement des données est objectivement nécessaire pour atteindre une finalité qui constitue un élément essentiel de la fourniture du service contractuel en ligne à la personne concernée. La dernière condition est particulièrement intéressante. Ainsi, le traitement de données par un détaillant en ligne qui implique le paiement en ligne et la livraison hors ligne du produit peut très bien être réalisé sur la base de l'article 6.1.b) RGPD. Par contre, la création du profil du client ne serait plus considérée comme objectivement nécessaire et devra donc s'appuyer sur une base juridique différente.

Le CEPD a aussi prévenu que le traitement de données à caractère personnel dans le but d'améliorer la prestation des services, la prévention de la fraude et la publicité ciblée (c'est-à-dire celle qui se base sur le comportement de navigation des internautes) ne peut normalement pas s'appuyer sur l'article 6.1.b) RGPD. La personnalisation du contenu est possible sous certaines conditions.

Pour plus d'informations sur ce (projet) de lignes directrices du EDPB: lignes directrices 2/2019 sur le traitement des données à caractère personnel au titre de l'article 6.1.b) du RGPD dans le cadre de la fourniture de services en ligne aux personnes concernées (en anglais).

L'APD approuve la liste finale des analyses d'impact relative à la protection des données

Chaque autorité de surveillance doit établir une liste des opérations de traitement pour lesquelles une analyse d'impact sur la protection des données (AIPD) est obligatoire. La liste officielle de l'APD a été publiée au Moniteur belge le 22 mars 2019 et est entrée en application le 1er avril 2019. Vous pouvez trouver la liste complète ici.

L'avocat général à la Cour de Justice et l'Autorité de Protection des données hollandaise mettent en lumière les exigences relatives au consentement pour l'utilisation de cookies

L'avocat général (AG) Szpunar a rendu ses conclusions concernant les exigences relatives au consentement pour l'utilisation de cookies, le 21 mars 2019. L'AG est, entre autres, d'avis que l'utilisation de cases pré-cochées ne constitue pas un consentement juridiquement valable lorsqu'il s'agit de cookies. Il insiste sur le fait que le consentement doit être exprimé de manière active. Cette approche n'est pas surprenante. En effet, le RGPD prévoit clairement que le silence, l'utilisation de cases pré-cochées ou l'inaction ne vaut pas consentement (considérant 32 du RGPD).

Dans le même contexte se situe l'utilisation des « cookie walls ». Ces « cookie walls » ne donnent accès à un site internet aux visiteurs qu'après les avoir forcés à donner leur consentement au placement de cookies (publicitaires) (par exemple parce qu'ils n'ont pas d'autre choix et ne peuvent accéder au site internet s'ils ne donnent pas leur consentement). L'autorité de protection des données hollandaise a récemment décidé (en néerlandais) que ces méthodes ne sont pas autorisées.

Les Archives de l'Etat expliquent l'application du RGPD dans le contexte de la gestion des archives

Selon les Archives de l'Etat, et conformément à la loi relative aux archives du 24 juin 1955, les documents doivent être conservés dans leur intégralité et remis aux Archives de l'Etat, même s'ils contiennent des données à caractère personnel. Cela a été réaffirmé par une circulaire des Archives de l'Etat du 14 mars 2019. Les Archives de l'Etat se réfèrent en particulier au régime d'exception prévu par le RGPD en matière d'archivage dans l'intérêt public et à (au Titre 4 de) la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel.

Pour plus d'informations sur le stockage et le transfert de documents, vous pouvez visiter le site internet des Archives de l'Etat.

Le CEPD a publié une nouvel avis sur l'interaction entre la directive ePrivacy et le RGPD

Le 12 mars 2019, le CEPD a adopté un avis sur l'interaction entre la directive « vie privée et communications électroniques » (dite ePrivacy) et le RGPD, en particulier au regard de la compétence, des tâches et pouvoirs des autorités de protection des données pour le cas où, la directive ePrivacy et le RGPD s'appliquent tous les deux à un ensemble unique d'opérations de traitement. Le CEPD insiste également dans son avis sur le fait que la directive ePrivacy précise davantage et complète le RGPD, de telle sorte que, la règle la plus spécifique prévaut lorsque les deux textes trouvent à s'appliquer. Par exemple, lorsqu'un traitement de données spécifique exige le consentement en vertu de la directive ePrivacy (par exemple pour l'utilisation de certains cookies), la directive ePrivacy prévaut sur les principes prévus à l'article 6 du RGPD.

Vous pouvez trouver cette opinion ici (en anglais).

L'APD publie son rapport annuel pour l'année 2018

L'APD a récemment publié son rapport annuel pour l'année 2018, soulignant les développements importants qui ont eu lieu en 2018. Le rapport annuel montre que durant le quatrième trimestre de l'année 2018, pas moins de 70 dossiers ont été soumis au service d'inspection, principalement en rapport avec les élections de 2018 et l'usage de caméras à la lumière de la nouvelle législation sur les caméras de surveillance.