Lettre d'information - Novembre 2018

MISE EN OEUVRE DES POUVOIRS DE L’AUTORITÉ DE CONTRÔLE

Un nouveau communiqué de la CNIL, l’autorité de contrôle française en matière d’application du RGPD, permet de raffiner la perception de la mise en œuvre des pouvoirs de cette autorité dans le cadre de la réglementation, en vertu de l’article 58.2 qui liste une palette de mesures à sa disposition.

Dans le cas présent, la CNIL vient de mettre cinq sociétés d’assurance en demeure de cesser d’exploiter les fichiers de données personnelles auxquels elles ont accès du fait de leur activité de gestion des prestations de retraite pour réaliser des opérations de promotion commerciale d’autres services et programmes qu’elles souhaiteraient vendre aux personnes concernées, ceci constituant, au sens de la CNIL, un détournement de la finalité des traitements autorisés.

Ce qui est intéressant dans cette décision de la CNIL est que d’une part, le délai imparti aux sociétés mises en demeure est seulement d’un mois (contrairement aux trois mois alloués récemment à d’autres sociétés trouvées en infraction du RGPD pour d’autres faits), ce qui veut dire que non seulement l’autorité de contrôle démontre sa volonté de prendre les faits de la cause en considération au moment d’énoncer sa décision, mais aussi qu’elle souhaite imposer des délais de mise en conformité qui peuvent être courts : dans le cas de ces sociétés d’assurance, il s’agit de mettre simplement un terme à leur pratique actuelle, alors que dans l’autre dossier les sociétés mises en demeure devaient créer ou adapter des programmes existants pour toucher un nombre important de personnes concernées et recueillir leur consentement au traitement de données personnelles mis en cause.

D’autre part, la CNIL a justifié la publication de cette mise en demeure par le grand nombre de personnes concernées et la gravité du manquement relevé. L’autorité de contrôle considère donc que, dans l’échelle des mesures à prendre pour faire cesser une infraction au RGPD, la publication d’une décision, ce qui revient à un « public shaming » ou, selon l’expression consacrée de la langue française, la mise au pilori sur la plaque publique, est en soi un degré de sanction contre le contrevenant. Quand on sait les conséquences négatives sur l’image publique d’un grand groupe que peuvent avoir les révélations dans la presse de pratiques douteuses, comme on a pu le voir depuis quelques années pour les sociétés comme Amazon, Google, Facebook et autres, il ne faut pas douter que cette pratique de publication va être largement utilisée par toutes les autorités de contrôle de l’Union Européenne.

L’APPROCHE DE L’AUTORITÉ DE CONTRÔLE EN CAS DE VIOLATION DU RGPD

Tout récemment, la CNIL, l’autorité de contrôle en France, vient de mettre en demeure une société qui a mis au point un logiciel qui, intégré dans des applications diverses pour téléphone mobiles, permet de recueillir et de traiter les données de géolocalisation des utilisateurs de ces applications même lorsque l’application n’est pas activée par l’utilisateur.

Cette mise en demeure est identique à celle déjà mise en œuvre par la CNIL en juillet dernier à l’encontre de deux autres sociétés pour des logiciels ayant le même effet. Ceci nous donne l’occasion de revenir sur cette première procédure et de souligner ses effets : au début du mois d’octobre, la CNIL a annoncé que l’une des sociétés mises en cause en juillet avait démontré à l’autorité qu’elle avait bien mis en place les systèmes demandés pour obtenir de façon certaine et conforme au RGPD le consentement des personnes concernées, et par conséquent que la procédure était clôturée, sans que la société en question soit sanctionnée en aucune autre manière.

Cela démontre bien l’attitude de l’autorité de contrôle française, mais aussi, nous le pensons, la volonté générale des autorités de contrôle partout dans l’Union Européenne : contrôler la bonne application du RGPD ne veut pas dire sanctionner à tout va dès lors qu’une infraction est constatée. Il s’agit d’abord de prendre contact avec l’auteur de l’infraction, préciser les faits et les remèdes jugés nécessaires pour mettre les pratiques en conformité avec le RGPD, intimer à l’auteur de s’exécuter dans un délai raisonnable, et en cas de solution satisfaisante mise en place, passer à autre chose.

Il reste à voir ce que la CNIL va faire à l’encontre de l’autre société mise en demeure en juillet, car le délai d’exécution est maintenant dépassé, et à la date d’aujourd’hui la CNIL n’a pas confirmé que la société avait mis en place les mesures satisfaisantes demandées…

LA FIN DES NOMS SUR LES SONNETTES À L’ENTRÉE DES IMMEUBLES ?

La presse a récemment rapporté qu’à Vienne, un locataire a attaqué sa régie pour faire enlever son nom sur la sonnette de son appartement, en arguant du fait qu’afficher son nom comme cela violait le Règlement Européen pour la Protection des Données (RGPD) entré en vigueur au mois de mai cette année dans l’Union Européenne. La régie, qui fait partie des services de la ville de Vienne, a semblé accepter cette réclamation et a décidé d’enlever les noms des sonnettes des centaines de milliers d’appartements qu’elle gère.

Ce cas pose deux questions principales : la régie, responsable du traitement des données personnelles des locataires des immeubles qu’elle gère, viole-t-elle son obligation de sécurité des données ; par ailleurs, et plus fondamentalement, le RGPD est-il applicable à l’affichage de noms de locataires sur les sonnettes d’immeuble ?

Concernant la sécurité, l’article 5.1.f du RGPD précise que les données à caractère personnel doivent être « traitées de façon à garantir une sécurité appropriée […], y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité) ». Bien entendu, le mot clé ici est le mot « appropriée ». Est-ce que l’affichage du nom de l’occupant d’un logement, sans doute en liaison avec l’identification du logement (étage, porte, et bien sûr adresse) constitue une atteinte à la vie privée de l’occupant, et une violation du devoir de sécurité appropriée du responsable de traitement, la régie ? Il faut mettre ici en balance les règles et coutumes du droit commun et de l’intérêt général et public : pour tous les services publics (poste, santé, police, gaz, électricité, etc.) il est plus qu’utile que le nom de l’occupant soit affiché sur la sonnette, pour des raisons évidentes d’efficacité d’intervention ; de plus, et malgré le fait qu’aujourd’hui la plupart des gens ont des portables et donnent leur numéro à beaucoup de contacts tant personnels que professionnels ou commerciaux, avoir à appeler quelqu’un à qui on rend visite parce qu’on ne peut pas savoir quelle sonnette activer, c’est un peu le monde à l’envers. Enfin, souvent la loi fait obligation à un occupant de logement d’afficher son nom à la porte ou sur la sonnette à la porte d’entrée. Du coup, peut-on considérer qu’enlever ce même nom fait partie des obligations du gérant de l’immeuble en tant que responsable de traitement pour assurer la sécurité « appropriée » des occupants du logement ? Nous nous permettons d’en douter fortement.

Et puis, peut-on de toute façon considérer que le gérant d’immeuble est un responsable de traitement et que l’un des traitements est de mettre une affichette nominative dans les fenêtres des sonnettes de porte d’entrée d’immeuble ? Bien sûr, la régie collecte des données à caractère personnel des occupants des logements qu’elle gère, et elle les traite de multiples façons pour assurer ses obligations contractuelles et ses intérêts légitimes. Mais l’article 2 du RGPD stipule que le champ d’application matériel du Règlement est le suivant : le « […] traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier. » Est-ce que l’affichage du nom de l’occupant dans la fenêtre de la sonnette fait partie des traitements couverts par le RGPD ? Il n’est pas automatisé sans aucun doute, à moins que les fenêtres de sonnettes puissent être de petits écrans connectés à une base de données qui afficherait automatiquement le nom de l’occupant. En outre, et de façon plus évidente et pratique, peut-on considérer que le panneau de sonnettes à l’entrée d’un immeuble est un fichier ? Comme chaque sonnette est distincte et indépendante des autres, nous pensons que non. Du coup le RGPD ne s’applique pas.

Bien évidemment, dans son esprit le RGPD n’a jamais eu pour intention de s’appliquer à ce genre de situation, mais nous pensons que même si on regarde la lettre stricte du texte, il n’y a pas lieu de croire à une prochaine révolution de l’information affichée à la porte d’entrée des immeubles.

QUI SOMMES-NOUS ?

LegIT-Team est une société spécialisée dans les services aux entreprises pour la mise en conformité avec le Règlement. Elle est formée d’experts à la fois dans le domaine des technologies de l’information et dans le domaine juridique. LegIT-Team maîtrise donc toutes les compétences dont votre entreprise a besoin pour vous expliquer plus en détail ce que le Règlement Général sur la Protection des Données signifie pour votre entreprise. De plus, LegIT-Team peut vous aider à mener à bien le projet : revue de votre structure, identification des processus et procédures à améliorer ou créer, définition des priorités et des moyens à mettre en œuvre à court et long terme. LegIT-Team peut aussi prendre en charge la réalisation des différentes composantes.

Prenez les choses en main dès maintenant, parlez avec nous et nous vous aiderons à mieux comprendre ce que vous devez accomplir pour être en règle avec la nouvelle règlementation européenne.