Le 25 mai 2021 marque le troisième anniversaire de l’entrée en application du Règlement Général sur la Protection des Données. Poussé par une volonté de reformer et d’uniformiser les règles en matière de protection des données tout en assurant un meilleur respect des droits des personnes concernées, le RGPD poursuit son objectif de s’imposer comme étant le texte de référence dans le monde de la protection des données.
L’année 2020 fut marquée par un certain nombre d’événements : Pandémie de Covid-19, invalidation du Privacy Shield, etc. De nombreux acteurs ont dû malgré eux s’adapter aux différents changements. L’année 2021 s’annonce également comme une année marquante dans le domaine de la Protection des données.
A cette occasion, quels ont été les évènements marquants de cette année 2020 ? Quels sont les enjeux pour 2021 ?
Dans son rapport d’activité datant de juin 2020, la CNIL a présenté une série d’enjeux concernant l’année 2020 avec pour objectif celui de garantir de manière plus importante le respect des libertés et droits fondamentaux des personnes concernées. En ce sens, la CNIL a donc souhaité accentuer ses contrôles concernant les mesures de sécurité techniques et organisationnelles mises en place par les Responsables de traitement dès lors que ceux sont susceptibles d’effectuer un ou plusieurs traitements de données de santé. De même, certaines technologies telles que la géolocalisation ou la reconnaissance faciale sont de plus en plus ancrées dans le quotidien des citoyens. La CNIL a donc souhaité orienter ses expérimentations et préciser les points de vigilance devant être observés lors du recours à ce type d’outils.
Mais l’un des grands chantiers entrepris par la CNIL et annoncé à l’été 2019 fut l’adoption de lignes directrices concernant l’utilisation de cookies et autres traceurs. En effet, ayant pour volonté de s’assurer que le consentement des utilisateurs soit collecté de manière plus encadrée, il est désormais obligatoire de respecter un certain nombre de règles concernant le dépôt de cookies, que la CNIL a à cœur de faire respecter pour assurer une meilleure application de la Règlementation en matière de protection des données.
Il va de soi que cette rétrospective de l’année 2020 ne peut être faite sans rappeler l’impact que la pandémie de Covid-19 a eu, et ce dans tous les secteurs à l’échelle mondiale. Le domaine de la protection des données n’a pas été épargné et tous les acteurs, la CNIL notamment, ont dû s’adapter aux changements qui s’imposaient.
Parmi les évolutions dues à la pandémie, il fut question de savoir dans quelle mesure certains moyens de surveillance pouvaient être mis en place dans le cadre de l’état d’urgence sanitaire. En ce sens, le développement de l’application mobile Tous AntiCovid (ou Stop Covid) a soulevé de nombreuses interrogations quant à la manière de conjuguer intérêt public et surveillance massive de la population tout en préservant les droits et libertés de chacun. Le 24 avril 2020, la CNIL s’est prononcé une première fois sur la mise en place d’un tel outil, en précisant notamment que celui-ci devait être « déployé dans le cadre d’une stratégie sanitaire globale » en apportant des « garanties supplémentaires », tout en précisant que l’application respecte les conditions nécessaires imposées par le Règlement Général de Protection des Données. La CNIL s’est à nouveau prononcée en date du 17 décembre 2020 sur la modification du décret du 29 mai 2020 relatif au traitement de données personnelles effectuées par l’application Stop Covid afin d’introduire notamment un dispositif d’enregistrement des visites dans certains établissements recevant du public. A cette occasion, la CNIL a confirmé que ce dispositif permettait de lutter contre l’épidémie de Covid-19 tout en apportant des garanties suffisantes, nécessaires à assurer la proportionnalité du dispositif utilisé au regard des droits et libertés des personnes concernées, tout en délivrant un certain nombre de recommandations et ce pour éviter toute utilisation abusive.
L’année 2020 a également été l’occasion pour bon nombre d’entreprises de revoir leur manière de travailler. Ainsi, le recours au télétravail de manière massive a pu être constaté au cours de l’année 2020, dû au premier confinement ayant eu lieu en mars. Cette nouvelle pratique a donc laissé émerger un certain nombre de risques liés notamment aux mesures de sécurité pouvant parfois être difficilement respectées par les salariés susceptibles de manipuler des données à caractère personnel, ou bien dans certains cas, aux personnes concernées elles-mêmes pouvant être victime de certaines dérives concernant la manière dont sont traitées leurs données. Pour en savoir plus, consultez notre article à ce sujet.
Parmi les évènements ayant marqué l’année 2020, l’invalidation du Privacy Shield par la Cour de Justice de l’Union Européenne en date du 16 juillet 2020 marque un tournant concernant le transfert de données à caractère personnel en dehors de l’Union Européenne.
Mis en place suite à l’invalidation du Safe Harbor en 2016, le Privacy Shield est un accord passé entre l’Union Européenne et les Etats-Unis permettant de garantir un niveau de sécurité suffisant au regard des exigences qui découlent de la Règlementation européenne concernant les transferts de données pouvant être effectués.
L’invalidation de ce texte a entrainé de nombreuses conséquences et soulève plusieurs interrogations sur la manière dont les traitements de données à caractère personnel pourront être effectués en l’absence de ce bouclier de protection. Le Comité Européen de la Protection des Données a apporté les premiers éléments de réponse quant à la manière dont ces transferts pourront être effectués.
Il est donc demandé aux entreprises de faire preuve d’une certaine vigilance dès lors que des transferts sont effectués, et de s’assurer comme l’exige l’article 46 du Règlement Général sur la Protection des Données de la mise en place de « garanties appropriées ». Celles-ci peuvent prendre la forme de Clauses Contractuelles Types devant être signées par les deux parties, d’un Code de conduite ou encore, d’un mécanisme de certification approuvé par l’article 42 « assorti de l’engagement contraignant et exécutoire pris par le responsable du traitement ou le sous-traitant dans le pays tiers d’appliquer les garanties appropriées, y compris en ce qui concerne les droits des personnes concernées ».
Comme chaque année, la CNIL publie son rapport exposant le bilan de l’année précédente et les objectifs à venir pour l’année en cours. Même si celui-ci n’a pas encore été publié à ce jour, il est légitime de penser que la CNIL est susceptible de se prononcer sur certains sujets qui sont susceptibles de soulever certains questionnements.
Retour sur l’application des nouvelles règles en matière de cookies et autres traceurs : Le 1er avril 2021 marque le jour où les lignes directrices publiées par la CNIL en date du 1er octobre 2020 entrent en vigueur. Les responsables de traitement ont donc eu un délai de 6 mois pour mettre en œuvre l’ensemble des mesures nécessaires à assurer la conformité de leur site internet. Pour certains, des difficultés ont peu être rencontrées et certaines manœuvres dénoncées par bon nombre d’utilisateurs ont pu être constatées. Parmi elles, le recours au Cookie walls dont la licéité est sujet à controverse. Cette pratique vise à imposer à l’utilisateur de choisir entre accepter le dépôt de cookies ou bien … de quitter le site web en question. Elle fut dans un premier temps condamnée par la CNIL dans sa décision rendue en date du 4 juillet 2019. Mais le Conseil d’Etat, dans sa décision rendue en date du 19 juin 2019 suite à un recours en annulation effectué par un certain nombre d’organisations professionnelles, a condamné la position de la CNIL qui se livrait à un « excès de pouvoir ». D’autres pratiques similaires ont été constatées à ce jour, comme l’obligation pour les utilisateurs d’accepter le dépôt de cookies ou bien de le refuser, moyennant le versement d’une somme d’argent aux fins de compenser les pertes liées à l’absence de dépôt de cookies, notamment de revenus publicitaires.
En dépit du fait que la position de la CNIL à ce sujet est très fortement liée aux dispositions du Règlement ePrivacy autorisant le recours à de telles pratiques, il est possible qu’elle décide néanmoins d’éclaircir certains points.
Fuite massive de données de santé : Comme précisé ci-dessus, la CNIL avait pour projet en cette année 2021 de se concentrer sur les mesures de sécurité techniques et organisationnelles encadrant les traitements de données de santé susceptibles d’être effectués par les Responsables de traitement. Hasard du calendrier, en mars 2021, près de 500 000 personnes ont été victime d’une fuite massive de données de leurs données de santé. Suite à cela, la CNIL a publié un certain nombre de recommandations à destination des personnes potentiellement concernées, et ce aux fins de se prémunir des risques liés à ce type d’évènement.
Pass sanitaire et traitements de données personnelles : Depuis décembre 2020, une vaste campagne de vaccination a débuté en France afin de lutter contre la pandémie de Covid-19. Celle-ci a entrainé la création d’un Pass sanitaire permettant aux personnes vaccinées de bénéficier de plus de liberté, notamment dans le cadre de leurs déplacements. Étant prévu pour être disponible via l’application Tous Anti Covid, ce Pass permettra en outre aux personnes bénéficiaires de pouvoir voyager au sein de l’Europe. Présenté comme non obligatoire, il centralisera certains documents comme les fiches de résultats de tests négatifs, le certificat de rétablissement de la Covid-19 ou encore, une attestation de vaccination.
La CNIL a validé le recours au Pass sanitaire dans un avis rendu en date du 23 avril 2021 par le biais d’une nouvelle mise à jour de l’application Tous Anti Covid. Elle précise néanmoins que l’utilisation de ce Pass ne devra être faite uniquement sur la base du volontariat, tout en interdisant aux autorités de créer une base de données répertoriant l’ensemble des informations qui y seront stockées. De manière plus générale, celles-ci ne pourront y avoir accès et les informations transmises par les personnes concernées devront toujours rester accessibles à celles-ci, dans le respect de leurs droits. Certaines précisions ont également été apportées concernant la conservation de ces données, dont leur utilisation devra être réduite au strict minimum, sans être conservées après le contrôle.
La question se pose de savoir si le recours à ce Pass gardera son caractère facultatif et si, pour des raisons liées à l’état d’urgence sanitaire, son utilisation est susceptible de devenir obligatoire, ou soit conditionné à l’accès à certains lieux. De même, les données personnelles accessibles via l’application seront-elles strictement limitées comme aujourd’hui ? Est-il envisageable que des données telles que le numéro de sécurité sociale de la personne concernée soit mentionné dans les documents transmis et accessibles aux autorités de contrôle ?
De telles mesures seraient susceptibles de présenter une entrave aux droits et libertés des personnes concernées en l’absence d’un encadrement très strict de la part des instances. La CNIL devra alors se positionner une nouvelle fois si le fonctionnement du Pass sanitaire vient à évoluer.