Ce que vous avez peut-être manqué en protection des données cet été :
Une seconde vague de mises en demeure :
Après une première vague au mois de mai d’une vingtaine de mises en demeure, une nouvelle vague au mois de juillet a été adressée à une quarantaine d’entreprises ne permettant toujours pas aux internautes de refuser les cookies aussi simplement que de les accepter.
Aucun nom n’a été rendu public et les entreprises concernées ont jusqu’au mois de septembre pour se mettre en conformité sous peine d’encourir une amende pouvant aller jusqu’à 2% de leur chiffre d’affaires. L’autorité a précisé qu’elle poursuivra ses contrôles et adoptera si besoin de nouvelles mesures correctrices.
Des mises en demeure aux sanctions :
La CNIL ne s’en est pas tenue à de simples mises en garde, plusieurs sanctions ont été administrées, notamment le 22 juillet lors d’une annonce publique, une amende d’1.75 million d’euros est infligée à l’encontre d’AG2R La Mondiale. L’entreprise était accusée de conserver des données de millions de personnes pendant une durée excessive et ne respectait pas les obligations d’information dans le cadre de campagne de démarchage téléphonique.
Dans la continuité, le 27 juillet, la CNIL prononce une amende 50 000 € à l’encontre de la société du Figaro pour dépôt de cookies publicitaires sans recueil préalable du consentement de l’internaute. L’autorité précise que même si le dépôt de cookie publicitaire est effectué par un prestataire, cela n’affranchit pas l’éditeur du site de sa propre responsabilité dans la mesure où il a la maitrise de son site et de ses serveurs.
Le 28 juillet la CNIL a sanctionné Monsanto d’une amende de 400 000 € pour fichage illégal de données personnelles en France. En effet, l’entreprise a omis d’informer 200 personnes dont des personnalités et des militants politiques, de la collecte de leurs données personnelles à des fins de lobbying. L’entreprise a également commis un manquement d’encadrement par un acte juridique formalisé des traitements effectués par ses sous-traitants, afin notamment de prévoir des garanties concernant la sécurité des données, or aucun acte n’a été mis en place.
Les autorités de protection de données européennes :
L’autorité de protection des données française n’est pas la seule à avoir prononcé des sanctions durant cet été, l’autorité luxembourgeoise de protection des données a infligé à Amazon Europe Core une amende de 746 millions d’euros.
Suite à une plainte de l’association la Quadrature du Net concernant le système de ciblage publicitaire imposé par Amazon, et réalisé sans consentement libre des utilisateurs, l’autorité luxembourgeoise a reconnu qu’Amazon ciblait à des fins publicitaires et sans base légale et violait donc le RGPD.
Le passe sanitaire :
Un des points centraux de cet été est le passe sanitaire et son projet de loi entré en vigueur le 9 août 2021 relatif à son extension et l’obligation vaccinale pour les soignants.
La CNIL a formulé des mises en garde en publiant sa position sur le projet de loi ; même si elle ne remet pas en cause l’extension, la CNIL soulève des questions inédites et complexes entre protection de la santé publique et les libertés fondamentales, ce qui comporte une dimension éthique.
Selon elle, il ne devrait pas y avoir de contrôle de l’état de santé à l’entrée de lieux de vie collectifs, la loi devra préciser davantage les modalités de contrôle de l’identité des porteurs de passe sanitaire, pour éviter la généralisation de contrôles disproportionnés.
Ce dispositif pourra être considéré comme nécessaire uniquement pour lutter contre le rebond de l’épidémie et éviter un nouveau confinement. Elle estime indispensable que le Parlement demande une évaluation de l’ensemble des dispositifs mis en œuvre pour lutter contre la COVID-19, et notamment des dispositifs numériques, afin de supprimer ceux dont l’utilité ne serait pas avérée.
La présidente de la CNIL a rappelé que le législateur doit tenir compte du risque d’accoutumance et de banalisation de tels dispositifs attentatoires à la vie privée.
Adoption du premier code de conduite :
La CNIL a approuvé le premier code de conduite européen dédié aux fournisseurs de services d’infrastructure cloud le 3 juin 2021. Et le 16 juillet, l’autorité a délivré son premier agrément à EY CERTIFYPOINT B.V., un organisme de contrôle, qui s’assurera de la conformité des adhérents au code.
Les codes de conduite permettent aux professionnels d’un secteur d’activité de démontrer leur conformité au RGPD en justifiant des bonnes pratiques mises en place.
Brexit et les transferts des données personnelles :
Le 1er juillet la Commission européenne adopte deux décisions relatives à l’adéquation du niveau de protection des données concernant le Royaume-Uni : l’une au titre du règlement général sur la protection des données (RGPD) et l’autre au titre de la directive en matière de protection des données dans le domaine répressif.
Même si les flux de données personnelles depuis l’UE vers le Royaume-Uni sont bien considérés comme des transferts vers un pays tiers, la Commission considère que le Royaume-Uni assure un niveau de protection substantiellement équivalent à celui de l’Union européenne, les transferts peuvent donc s’effectuer sans encadrement spécifique.
Les responsables de traitement et sous-traitants pourront ainsi librement mettre en œuvre leurs traitements, sans garanties ou conditions supplémentaires.