Le Règlement Général sur la Protection des Données (RGPD) est en constante évolution, mais des progrès sont également réalisés en ce qui concerne le Règlement vie privée et communications électroniques (e-privacy). Cette mise à jour vous donne un aperçu des développements les plus importants du dernier trimestre.
Le Contrôleur Européen de la Protection des Données publie des nouvelles lignes directrices sur les concepts de responsable du traitement, sous-traitant et co-responsable de traitement
Le 7 novembre 2019, le Contrôleur Européen de la Protection des Données (EDPS) a publié des nouvelles lignes directrices (en anglais) sur les concepts de responsable du traitement, sous-traitant et co-responsable de traitement. Bien que les lignes directrices s'adressent aux institutions et organes de l'UE, elles sont également utiles pour les entreprises.
Les lignes directrices reprennent dans une large mesure l'avis 1/2010 du groupe de travail "Article 29" sur les notions de "responsable du traitement" et de "sous-traitant". En outre, ils expliquent l'impact de la nouvelle jurisprudence de la Cour de justice de l’Union européenne (arrêts Wirtschaftsakademie et Fashion ID) et fournissent de nouveaux exemples et des listes de contrôle faciles à utiliser.
Il est intéressant de noter que ces lignes directrices précisent qu'une entreprise n'a pas besoin d'avoir accès aux données à caractère personnel pour être considérée comme responsable du traitement. Il suffit qu'elle détermine la finalité et les moyens du traitement, qu'elle influence le traitement en étant en mesure de commencer (et d'arrêter) le traitement des données à caractère personnel ou qu'elle reçoive des statistiques anonymes basées sur des données à caractère personnel collectées et traitées par une autre entreprise.
Le Comité Européen de la Protection des Données publie trois nouvelles lignes directrices
- Le 8 octobre 2019, le Comité Européen de Protection des Données (CEPD) a adopté le texte final des lignes directrices (en anglais) concernant le traitement des données sur une base contractuelle dans le cadre de la fourniture de services en ligne (article 6.1.b RGPD – pour plus de détails concernant le projet de lignes directrices, voy. Eubelius Spotlights juin 2019).
- Le 12 novembre 2019, le CEPD a publié ses lignes directrices définitives sur le champ d'application territorial du RGPD (article 3 RGPD – pour plus de détails concernant le projet de lignes directrices voy. Eubelius Spotlights mars 2019). Ces lignes directrices définitives clarifient plusieurs éléments qui sont restés flous après la publication du projet de lignes directrices, notamment en ce qui concerne (i) le critère d'établissement, (ii) le critère de ciblage, (iii) le traitement dans un lieu où le droit national s'applique en vertu du droit international public, et (iv) les représentants des responsables du traitement ou sous-traitants qui ne sont pas établis dans l'UE.
- Le 13 novembre 2019, le CEPD a publié un projet de lignes directrices sur les obligations de protection des données dès la conception et par défaut (article 25 du RGPD). La protection des données dès la conception implique que, dès la conception des produits et des services qui traitent les données, les entreprises doivent prendre des mesures techniques et organisationnelles pour garantir les principes de protection des données. La protection des données par défaut signifie que les entreprises doivent définir des produits et services aussi respectueux de la vie privée que possible par défaut. Les lignes directrices énumèrent les principaux éléments pour la protection des données dès la conception et par défaut, sur la base des principes fondamentaux énoncés à l'article 5 RGPD.
La Cour de justice de l'Union européenne clarifie les exigences en matière de consentement pour les cookies – votre site Web est-il toujours conforme ?
Le 1er octobre 2019, la Cour de justice a rendu un arrêt important concernant le consentement de placer des cookies. L'affaire concernait un site Web allemand, Planet49 GmbH, qui organisait une loterie en ligne. Pour participer à la loterie, chaque participant devait fournir son nom, son adresse, et cocher/décocher deux cases: (i) une première case non cochée (opt-in) qui autorisait les offres de tiers et sans laquelle il n'était pas possible de participer à la loterie, et (ii) une case pré-cochée (opt-out) qui permettait le placement de cookies.
Trois leçons peuvent être tirées de l'arrêt de la Cour pour les entreprises qui placent des cookies :
- Les cases pré-cochées (opt-out) ne constituent pas un consentement juridiquement valable dans le cadre du RGPD ou de la directive "vie privée et communications électroniques". Le consentement exige une expression non ambiguë, et donc active, de la volonté de la personne (opt-in).
- En vertu de la directive "vie privée et communications électroniques", le consentement doit également être donné individuellement pour tous les types de cookies, indépendamment du fait que les cookies collectent ou non des données à caractère personnel. Un seul click permettant de donner son consentement pour l’ensemble des cookies est donc insuffisant.
- L'utilisateur ne peut valablement donner son consentement qu'après que le responsable du traitement ait fourni des informations claires et complètes sur, entre autres, la finalité du traitement. Ces informations doivent permettre à l'utilisateur de déterminer facilement les conséquences de son consentement et doivent inclure au moins des informations sur la durée de stockage des cookies (combien de temps les cookies restent actifs et comment cette durée est déterminée), et sur le fait de savoir si des tiers ont accès aux données des cookies.
L'Autorité de Protection des Données belge publie une recommandation sur l'obligation de protocole
Le 18 octobre 2019, l'Autorité de Protection des Données belge (APD) a publié une recommandation sur l'obligation de protocole. Cette obligation découle de l'article 20 de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel (loi-cadre). Elle implique qu'un gouvernement fédéral qui partage des données à caractère personnel avec une autre autorité publique ou organisation privée, doit conclure un protocole avec cette autre partie qui comprend des ententes sur le partage des données. En principe, ces protocoles sont conclus individuellement entre l'autorité expéditrice et le(s) destinataire(s), et leur rédaction peut peuvent être très exigeante. L’APD offre la possibilité de choisir pour (i) un modèle de protocole conclu individuellement pour tous les contrôleurs de réception, ou (ii) un protocole général conclu avec un groupe de contrôleurs de réception similaires.
Entre-temps, l’APD a pris cinq nouvelles décisions quant au fond :
- Récemment, l’APD a prononcé deux amendes administratives de 5.000 euros chacune à l’encontre d’un bourgmestre et d’un échevin pour l’utilisation abusive de données à caractère personnel lors de la campagne électorale d’octobre 2018. Dans les deux cas, les données ont été utilisées sans tenir compte du principe de limitation de la finalité (comme ce fut également le cas dans la décision antérieure de l’APD – voy. Eubelius Spotlights juin 2019 pour une analyse de cette décision). Le bourgmestre a utilisé des données à caractère personnel qu'il avait obtenues dans le cadre de l’exécution de sa fonction de bourgmestre pour sa campagne électorale. L’échevin, pour sa campagne électorale, a utilisé une liste de clients qu'il a obtenue dans le cadre de la profession qu'il exerçait en plus de son mandat d’échevin. Ces décisions illustrent le risque de recyclage des données à caractère personnel.
- En septembre 2019, l’APD a décidé que l'obligation qui impose un commerçant de lire la carte d'identité électronique d’un client (eID) afin de créer une carte de fidélité est contraire au RGDP et a imposé une amende administrative de 10.000 euros (jusqu'à présent la plus élevée). L’APD a jugé qu'une lecture obligatoire de la carte d'identité ne donne pas lieu à un consentement valide (libre).
- L’APD a rejeté une plainte déposée en raison du caractère prétendument incomplet de la réponse donnée à l'exercice du droit d'accès. L’APD justifie sa décision en soulevant que, à la suite d'une enquête de l'inspection, il y avait peu d'éléments indiquant que le défendeur n'avait pas fait suffisamment d'efforts pour répondre de manière adéquate à la demande du plaignant. Il est intéressant de noter qu'au cours de l'enquête menée par l'inspection, certaines irrégularités (par exemple, une base juridique peu claire) qui n'ont pas fait l'objet de la plainte ont été découvertes. Pour ces infractions, l’APD a infligé une sanction à la défenderesse afin que le traitement soit mis en conformité avec le RGPD dans un délai de trois mois.
- Dans une cinquième décision, l’APD a rappelé qu'un responsable du traitement doit fournir au demandeur des informations dénuées d'ambiguïté sur la suite donnée à sa demande dans un délai d'un mois. En outre, si le responsable du traitement n'accède pas à la demande, il doit expliquer pourquoi la demande n'a pas été acceptée. La plainte introduite dans cette affaire concernait la non-suppression de données à caractère personnel, malgré qu’une demande avait été formulée à cet effet. Dans cette décision, l’APD a également constaté certaines irrégularités (par exemple, un registre des activités de traitement incomplet) qui n'ont pas fait l'objet de la plainte. L’APD a réprimandé la défenderesse en ce qui concerne les différentes infractions au RGPD.
La Cour des marchés annule la décision quant au fond de l’APD
Dans les Eubelius Spotlights de septembre 2019, nous avons évoqué la réprimande de l’APD à l’égard du SPF Santé publique pour ne pas avoir répondu à une demande d'accès, malgré une ordonnance antérieure (article 15 du RGPD). La Cour des marchés a annulé cette décision (rendue en néerlandais) en appel.
Selon la Cour des marchés, la décision de l’APD de sanctionner le SPF Santé public n'était pas légalement motivée. En outre, la Cour des marchés a déclaré que l’APD n'est pas autorisée à exprimer une opinion sur le contenu d'une décision interne ou administrative. L’APD n'est compétente que pour statuer sur le respect correct du RGPD et de la législation belge sur la vie privée. Étant donné que la décision attaquée contenait des critiques de fond sur le fonctionnement du SPF Santé publique, il y a eu un excès de pouvoir qui, selon la Cour des marchés, a rendu la décision illégale.
Évolutions récentes concernant le futur règlement « vie privée et communications électroniques »
Le 8 novembre 2019, le Conseil de l'Union européenne (sous la présidence finlandaise) a publié son texte révisé de proposition de règlement sur la vie privée et les communications électroniques (« règlement e-privacy »). Ce texte a été soumis par le Conseil au Comité des représentants permanents (COREPER) en vue de parvenir à un projet de texte commun.
Avec ce texte, il a semblé un moment que des progrès seraient enfin réalisés dans la recherche d'un compromis sur le texte du règlement e-privacy. Le 22 novembre 2019, le COREPER a toutefois rejeté la proposition. Le 3 décembre 2019, Thierry Breton, commissaire européen au Marché intérieur, a annoncé dans un discours que la Commission européenne pourrait présenter une proposition révisée du règlement e-privacy sous la prochaine présidence croate.
