• Français -fr 

Fichiers / CNIL

CNIL : amende record à l’encontre de Google

Amende record de 50 millions d’euros à l’encontre de Google pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité à la suite de plaintes déposées par les associations None of Your Business et La Quadrature du Net.

L’amende de 50 millions d’euros a notamment été déterminée par la CNIL en fonction du chiffre d’affaires de la société mère américaine Google LLC sur 2017, à savoir environ 96 milliards d’euros. La sanction maximum encourue était donc de 3,8 milliards d’euros (4% du CA).

Université des DPO de l’AFCDP

Nous participerons, le 16 janvier prochain, à l’Université des DPO organisée par l’AFCDP. Une bonne occasion d’échanger sur l’actualité du droit des données personnelles : https://afcdp.net/IMG/pdf/programme_universite_afcdp_des_dpo_-_16_janvier_2019.pdf.

Le droit à l’oubli des ex-détenus

La justice passe, Internet demeure…

 

Il est fréquent que des personnes ayant fait l’objet de condamnations judiciaires lourdes voient, une fois leur peine purgée, leur réintégration dans la société rendue compliquée par les informations les concernant qui restent accessibles sur Internet longtemps après leur procès.

 

L’article 17 du Règlement Général relatif à la Protection des Données (RGPD) dispose que :

 

« La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque l’un des motifs suivants s’applique :

  • Les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière ;

(…) »

 

En l’espèce, les données à caractère personnel concernant les personnes concernées ont, le plus souvent, été collectées et traitées dans le cadre de la couverture du procès au terme duquel elles ont été condamnées.

 

Si, conformément à l’article 17 précité du RGPD, l’exercice du droit à la liberté d’information peut être opposé par les éditeurs de presse dont les articles restent accessibles à tous sur Internet longtemps après le procès, il y a lieu, néanmoins, de tenir compte du juste équilibre à trouver entre le droit au respect de la vie privée garantie par l’article 8 de la Convention Européenne des Droits de l’Homme et ladite liberté d’information au public garantie par l’article 10 de la Convention.

 

Le fait que la personne concernée soit une « simple » personne privée totalement inconnue du public qui n’a qu’une volonté : retomber dans l’anonymat afin de pouvoir vivre sa vie privée et professionnelle, peut jouer en sa faveur. C’est aussi le cas lorsque la personne a, depuis le temps de sa condamnation, conservé une discrétion et un silence absolus.

 

Il convient de rappeler que la condamnation pénale a aussi pour objectif l’amendement du condamné et sa réinsertion.

 

Dans ce cadre, le droit à l’oubli apparaît comme une composante de la vie privée de tout citoyen.

 

Ainsi, s’il est légitime que la vie privée d’un citoyen soit mise sur la scène publique pendant le temps du procès, c’est uniquement parce qu’une telle exposition se fait l’écho d’une situation sociale particulière.

 

Il est nécessaire d’articuler avec justesse et mesure le droit à la liberté d’information et le droit au respect de la vie privée dû aux personnes condamnées.

 

Si la presse a légitimement le droit de traiter des informations relatives à l’actualité judiciaire pour répondre à l’intérêt légitime du public à être informé, il y a toutefois lieu de retenir que cet intérêt pâlit avec le temps au profit des droits de la personne à sa vie privée, son image, son honneur et sa réinsertion.

 

En effet, le législateur a, par ailleurs, pris de nombreuses précautions destinées à limiter la diffusion des informations judiciaires.

 

Il en est ainsi, par exemple, de l’accès au casier judiciaire et à son effacement, susceptible d’être privé de tout sens si un journaliste, au nom de sa liberté d’expression et du droit du public à être informé, passait outre en portant ces faits au grand public et en les maintenant dans un temps excessif.

 

De même, l’affichage des décisions de condamnations prévu à l’article 131-10 du Code Pénal est conçu comme une peine complémentaire et est limitée dans le temps afin de permettre à la personne concernée d’entamer sa reconstruction.

 

Rappelons également que différents textes pénitentiaires prévoient expressément, au nom de la réinsertion des personnes détenues, que leur consentement écrit soit donné avant toute diffusion ou utilisation de leur image ou de leur voix.

 

Enfin, la CNIL a aussi donné son avis sur le sujet, dans sa délibération n°01-057 du 29 novembre 2001 portant recommandation sur la diffusion de données personnelles sur internet par les banques de données de jurisprudences. Cette délibération recommande que « les éditeurs de base de données de décisions de justice librement accessibles sur des sites internet devaient s’abstenir, dans le souci du respect de la vie privée des personnes physiques concernées et de l’indispensable droit à l’oubli, d’y faire figurer le nom et l’adresse des parties au procès ou des témoins ».

 

Cette recommandation pourrait, par extension, être opposée (sous conditions) aux éditeurs de presse dans la mesure où, dans les articles demeurant en ligne sont mentionnés les faits à l’origine du procès d’Assises, la juridiction amenée à se prononcer, les noms des parties, des témoins et de la victime, ainsi que la teneur de la sanction prononcée. Il est ainsi envisageable de rapprocher les obligations incombant aux éditeurs de base de données de ce qui concerne les éditeurs de presse pour de tels articles.

Médecins : comment préserver votre e-réputation

Il n’est jamais agréable de découvrir, sur Internet, des propos désagréables postés par un patient mécontent. Ca l’est encore moins lorsque rien ne justifie, au vu des actes effectués par le praticien, une telle attitude ou, même parfois, lorsque les commentaires sont le fait de médecins concurrents.

Face à ce risque, comment s’organiser pour préserver sa réputation en ligne? Vous trouverez ci-dessous quelques conseils, non exhaustifs, et qui devront être adaptés à chaque cas.

Premier conseil : faire de la veille (sur les principaux moteurs de recherche, en tapant ses nom et prénom, sur les réseaux sociaux, en créant un compte permettant, le cas échéant, de répondre directement aux propos gênants). Cette vigilance régulière permet également de s’assurer qu’il n’a pas été créé, sans votre accord, de fiche vous concernant sur des outils tels que « Google my Business ».

Deuxième conseil : conserver la trace des messages, commentaires ou propos litigieux en les faisant, le cas échéant, constater par un huissier de justice. Ca pourra servir en cas de contentieux judiciaire.

Troisième conseil : réagir vite. En effet, le délai de prescription en matière d’infractions relevant du droit de la presse (injures, diffamation…) est de 3 mois à compter de la publication! Néanmoins, il faut conserver à l’esprit que, parfois, la meilleure défense peut être le silence, afin de laisser « le soufflet » retomber.

Retrouvez plus de détails dans le guide pratique publié par l’Ordre national des Médecins pour « préserver sa e-réputation ».

Matinale « Documentation RGPD »

Nous avons réuni ce matin, autour d’un petit-déjeuner, des juristes et DPO pour un échange convivial sur la documentation à constituer dans le cadre de la compliance RGPD. Registre, LIA, gouvernance, traçabilité des consentements, politique de sécurité des données… ces différents thèmes, et bien d’autres, ont été abordés afin de tenter d’identifier les outils et meilleures pratiques à mettre en oeuvre.

Nous interrompons notre programme de matinales durant l’été, retrouvez-nous dès la rentrée avec de nouvelles thématiques d’actualité!

APB : la CNIL met en demeure le ministère!

La plate-forme Admission Post-Bac (APB) est bien connue des élèves de terminale. C’est sur celle-ci que sont recueillis les voeux des candidats à une admission en première année d’une formation post-baccalauréat.

Elle est perçue par bon nombre de ses utilisateurs comme « injuste » et « angoissante ».

La Commission Nationale de l’Informatique et des Libertés (CNIL) a été saisie, en 2016, d’une plainte à l’encontre de cette plate-forme. En cause : l’utilisation, sans intervention humaine, d’un algorithme, pour déterminer les propositions d’affectation faites aux candidats.

L’article 10 de la loi « Informatique et Libertés » dispose en effet qu’aucune « décision produisant des effets juridiques à l’égard d’une personne ne peut être prise sur le seul fondement d’un traitement automatisé de données destiné à définir le profil de l’intéressé ou à évaluer certains aspects de sa personnalité ».

En l’espèce, la plate-forme APB repose sur un algorithme qui établit un profil des élèves à partir de trois critères d’importance décroissante, à savoir leur académie de rattachement, l’ordre des vœux qu’ils ont formulés et leur situation de famille.

Les candidats se trouvant dans une situation identique se voient attribuer par l’algorithme un nombre aléatoire permettant de les classer.

Le traitement APB adresse ensuite automatiquement aux candidats, à partir du classement effectué par l’algorithme, une proposition de formation. Les établissements ne disposent d’aucune maîtrise sur l’affectation finale proposée par celui-ci.

Dans sa mise en demeure adressée le 30 août 2017 au Ministère, la CNIL prend ainsi l’exemple d’un étudiant dont la candidature ne serait pas retenue pour une formation non sélective de son choix, du fait de la position qui lui a été attribuée par l’algorithme dans le classement. Ce candidat ne pourra intégrer cette formation par un autre moyen.

La CNIL retient ainsi « qu’une décision produisant des effets juridiques à l’égard des candidats est prise sur le seul fondement du traitement APB dès lors que celui-ci détermine les formations post-baccalauréat auxquelles ils peuvent s’inscrire. »

Aucun réexamen de la décision finale prise sur le seul fondement du traitement APB n’est effectué au vu des éléments fournis par les candidats souhaitant contester les décisions prises à leur égard.

Dans ces conditions, la CNIL retient que « les propositions d’affectation auprès de formations non sélectives dans l’enseignement supérieur s’effectuent sur la base d’un traitement entièrement automatisé permettant de déterminer les profils des candidats et n’étant assorti d’aucune intervention humaine et manuelle. »

Considérant que de tels faits constituent un manquement aux dispositions de l’article 10 précité, la CNIL a mis en demeure le Ministère de se mettre en conformité avec la loi  dans un délai de trois mois.

La réforme de la plate-forme, annoncée récemment, devra tenir compte de cette contrainte…

Votre traitement de données relève-t-il du « profilage » au sens du RGPD ?

L’entrée en application le 25 mai 2018 du Règlement Général concernant la Protection des Données (RGPD, Règlement UE 2016/679 )nous oblige à revoir nos pratiques en matière de traitement des données personnelles. Le profilage en est une illustration.

Le profilage de données fait l’objet d’un encadrement juridique plus strict que d’autres traitements en terme, par exemple, d’information des personnes physiques, d’étude d’impact à réaliser pour le responsable de traitement…

A ce titre, l’article 4-4° du RGPD définit le profilage comme : « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique ».

En conséquence, les traitements qui ne sont pas automatisés (c’est-à-dite intervention humaine) sont donc exclus de la notion de profilage.

Le considérant 24 du Règlement indique que le profilage permet de prendre des décisions concernant une personne physique OU d’analyser ou prédire ses préférences, ses comportements ou ses dispositions d’esprit.

L’article 22 du Règlement dispose que : « la personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire ».

Concernant la notion de « traitement automatisé produisant des effets juridiques concernant la personne physique ou l’affectant de manière significative », le considérant 71 du Règlement donne l’exemple du rejet automatique d’une demande de crédit en ligne ou des pratiques de recrutement en ligne, sans aucune intervention humaine.

En outre, il indique que ce type de traitement inclut le profilage, dès lors que ce dernier produit des effets juridiques concernant la personne en question ou qu’il l’affecte de façon similaire, de manière significative.

Toutefois, le cadre juridique n’est pas définitif, le G29 (groupe européen réunissant les autorités nationales en matière de protection des données) n’a pas encore publié ses lignes directives, celles publiées à ce jour relatives au règlement concernent le Data Privacy Officer, la portabilité, l’autorité nationale chef de file et l’analyse d’impact.

De même, la CNIL indique que ces lignes directrices sont « en cours d’élaboration » et devraient être publiées au second semestre 2017. Nous aurons donc bientôt plus de précision sur cette notion de profilage.

En mars 2017, la CNIL avait consulté les professionnels afin de recueillir leurs questions et leurs difficultés d’interprétation, notamment sur le profilage, afin d’orienter le G29. Elle a publié sa synthèse des contributions le 23 mai dernier.  Il ressort de cette synthèse les demandes suivantes de la part des professionnels :

  • Une demande de définitions plus précises de certaines notions abordées dans les articles du Règlement européen relatifs au profilage (profilage, impact significatif, traitement automatisé etc.) ;
  • Une interrogation sur l’étendue des droits des personnes, notamment vis-à-vis du degré de précision de l’information à fournir à la personne concernée ainsi que de son consentement ;
  • Une argumentation visant à prouver la nécessité du profilage dans certains secteurs d’activité, notamment en matière de marketing (publicité ciblée), du secteur public et dans le domaine des ressources humaines.

Il convient de rester attentif à cette notion particulièrement sensible dans le BtoC.