Vie privée et RGPD : l’erreur n’est plus permise

 

Votre entreprise est-elle en conformité avec le RGPD ? Le Règlement est entré en application il y a désormais plus de six mois. On pourrait dès lors considérer que la question a été tranchée depuis un moment déjà – ou aurait dû l’être.

Nombre d’acteurs se revendiquaient cependant conformes au RGPD et ont dû réviser leurs affirmations dans ce domaine, comme Google, dont la condamnation fait indéniablement office de signal adressé au marché de la publicité et des services en ligne.

L’Irlande n’est pas un refuge pour Gafa

Avant les premières décisions et sanctions du régulateur, le doute était encore permis. Après tout, le texte est dense, très dense, et les divergences d’interprétation possibles. Au cours des six derniers mois, la Cnil est cependant venue apporter des précisions précieuses.

Et celles-ci devraient encourager un certain nombre d’entreprises à questionner de nouveau leurs prétentions à la conformité. Cela vaut notamment pour les sociétés basées hors de France et qui en s’implantant en Irlande ou au Luxembourg, par exemple, pourraient estimer bénéficier d’un climat plus clément.

La condamnation de Google, dont le siège européen est pourtant basé à Dublin, démontre le contraire – même si rien ne permet de considérer que la Cnil irlandaise aurait été ou sera moins sévère à l’égard du géant.

Pour déterminer l’autorité compétente ou chef de file dans le cadre du RGPD, le Règlement repose sur la notion d’établissement principal au sein de l’UE. Pour Google, il s’agirait de l’Irlande et non de la France, en raison notamment de l’importance de ses activités sur le territoire, y compris en matière de fiscalité en Europe.

La Cnil fait toutefois une lecture différente de celle de la firme de cette notion, rappelant la prise en compte d’un autre facteur que celui de l’implantation physique, à savoir l’existence ou non d’un pouvoir de décision « quant aux finalités et aux moyens du traitement de données à caractère personnel ». Dans le cas de Google, sa filiale décide-t-elle de la politique de confidentialité ?

Il est plus probable que ce pouvoir revienne à la maison-mère, basée aux US. C’est la conclusion des juristes de l’autorité française. Ainsi, « l’établissement principal ne saurait correspondre automatiquement au siège social du responsable de traitement en Europe. » Et il ne s’agit pas d’une interprétation libre de la Cnil.

Cette « analyse est également celle retenue par l’ensemble des autorités européennes de contrôle, comme en attestent les lignes directrices du CEPD du 5 avril 2017. » Les organisations ne peuvent choisir d’elles-mêmes leur autorité de contrôle.

« La Cnil a considéré que Google ne disposait pas d’un établissement principal en l’Irlande et s’est reconnue par conséquent compétente pour vérifier sa conformité au RGPD. En l’absence d’établissement principal, le mécanisme d’autorité chef de file ne s’applique pas. Mais même avant le RGPD, la Cnil ne s’arrêtait pas au fait que Google et Facebook disposent ou non d’établissements dans le pays pour se déclarer incompétente » relève Suzanne Vergnolle, juriste spécialisée sur la question des données personnelles.

Une information préalable exhaustive, neutre et claire

Une simple déclaration de l’entreprise ou une référence à un pays de rattachement dans la politique de confidentialité n’est pas un élément suffisant. L’Irlande ne constitue pas un refuge pour les multinationales du numérique. D’autant que l’autorité a renforcé ses moyens et n’entend pas endosser le rôle de maillon faible de la régulation en Europe.

Cette question de l’autorité chef de file ne concerne toutefois que les plus grandes entreprises, souvent non-européennes. D’autres points du Règlement, et en particulier l’information aux utilisateurs et les conditions du recueil du consentement, sont des préoccupations plus immédiates. Or en la matière, la Cnil a sérieusement précisé la lecture qui devait être faite du RGPD.

Il suffit pour s’en assurer de consulter les délibérations ayant justifié la mise en demeure de quatre sociétés françaises spécialisées dans la publicité géolocalisée (Teemo, Fidzup, Vectaury et Singlesport), puis la condamnation de Google, ainsi que les mesures mises en œuvre pour répondre aux exigences du régulateur.

Et le gendarme des données entend encadrer les moyens par lesquels les utilisateurs sont informés en amont du recueil du consentement. Car faute d’une information suffisante, le responsable de traitement ne pourra prétendre au recueil d’un consentement valable.

A Teemo, la Cnil rappelait que le « consentement s’entend comme toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l’objet d’un traitement. »

En outre, ce consentement « doit être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant. »

Pour y prétendre, un niveau d’information approprié (typologies des données, finalités et partenaires destinataires) doit être fourni. Ainsi, cette information prend la forme suivante pour Teemo : « Quand on ouvre une application dans laquelle notre SDK est intégré, on voit une bannière qui détaille très précisément le fait qu’on va demander la géolocalisation, et ce à des fins publicitaires. Le mobinaute peut accepter ou refuser, mais en aucun cas on ne doit influencer le choix » détaillait à ZDNet sa directrice, Alexandra Chiaramonti.

Mais c’est à l’égard de Google que l’autorité s’est montrée la plus diserte quant à cette obligation d’information, mais aussi de transparence, et à ses contours. En synthèse, cette information doit être « concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples. »

L’éparpillement de l’information est une faute

Le contenu (avec une liste précise d’informations à fournir) et la forme sont essentiels, mais aussi le moment de cette information, qui doit intervenir « au moment où les données en question sont obtenues. »

Dans le cas du géant américain, la Cnil a jugé qu’elles « ne répondent pas aux objectifs d’accessibilité, de clarté et de compréhension », mais aussi que « certaines informations rendues obligatoires par l’article 13 ne sont pas fournies aux utilisateurs. »

Les finalités seront présentées de manière précise, en évitant des descriptions « trop génériques » et, lorsque cela s’impose, de façon à éclairer les utilisateurs sur « l’ampleur des traitements et le degré d’intrusion dans leur vie privée » des traitements.

Et pas question pour les entreprises de se retrancher derrière les différents outils d’information de deuxième niveau qu’elles pourraient proposer, comme le Dashboard de Google, ou les conditions d’utilisations.

Pour prétendre à la conformité dans ce domaine, il faut proscrire l’éparpillement des informations dans plusieurs documents ou encore « des boutons et liens qu’il est nécessaire d’activer pour prendre connaissance d’informations complémentaires. »

« Un tel choix ergonomique entraine une fragmentation des informations obligeant ainsi l’utilisateur à multiplier les clics nécessaires pour accéder aux différents documents. » Une précision importante puisque des acteurs ont parfois recours en termes de design à des « dark patterns » permettant de rendre moins visibles certaines informations.

Un exemple ? Contraindre l’utilisateur à réaliser de multiples actions pour accéder aux données pertinentes. Chez Google, « cinq actions sont nécessaires à l’utilisateur pour accéder à l’information relative à la personnalisation des annonces et six en ce qui concerne la géolocalisation. » C’est trop et peut même être considéré comme un moyen délibéré de ne pas informer pleinement l’utilisateur.

« La Cnil a récemment organisé un atelier sur le design. On a vraiment le sentiment que la Cnil veut rendre la protection des données accessibles, et notamment que la politique de confidentialité soit plus facilement comprise. Et c’est aussi un point sur lequel le RGPD s’est fortement penché. L’information des utilisateurs est un des principes cardinaux du Règlement » note Suzanne Vergnolle.

Et si l’individu doit être « éclairé », c’est qu’il en va de la validité du consentement. C’est sans doute sur ce principe fondamental de la protection des données personnelles que la Cnil se montre la plus intraitable. Elle rappelle notamment que ce consentement doit être « spécifique et univoque. »

Adieu cases précochées pour le consentement

Cela implique qu’il « ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité. » En outre, si un consentement est prévu pour plusieurs finalités, le responsable de traitement devrait « prévoir un consentement distinct pour chaque finalité. »

Ne sont pas tolérées les cases pré-cochées, encore moins si elles se dissimulent dans un menu « Plus d’options. » Pas question non plus pour un prestataire d’effectuer le recueil du consentement pour les différentes finalités au travers d’une action unique, comme le réalise Google lors de la création d’un compte depuis Android.

« Le caractère spécifique du consentement n’est pas respecté puisque l’utilisateur, par ces actions, accepte en bloc l’ensemble des traitements de données à caractère personnel mis en œuvre par la société, y compris à ceux de personnalisation de la publicité » lui oppose la Cnil.

Pour Suzanne Vergnolle, l’autorité « envoie un signal très fort en ce qui concerne les cases pré-cochées. Et d’ailleurs, le principe est écrit noir sur blanc dans le RGPD. Une précision cependant : les cookies ne sont pas soumis au RGPD mais à ePrivacy. » L’interdiction du recours aux cases pré-cochées ne s’appliquerait donc pas, avec la même vigueur, à ces moyens de collecte de données.  

« Dans les discussions avec la Cnil, les éditeurs ont toujours fait en sorte de favoriser un maximum l’opt-in plutôt que l’opt-out. Mais la Cnil est très claire : les utilisateurs doivent pouvoir accepter ou refuser et il n’est pas possible de mettre en avant l’un plutôt que l’autre. Le modèle doit être impartial » rappelait quelques mois plus tôt à ZDNet le patron de Fidzup, Anh-Vu Nguyen.

Les récentes décisions de la Commission fournissent donc des informations précieuses aux autres entreprises s’interrogeant sur les attentes du régulateur en termes de conformité. « Avec la décision contre Google, un grand nombre d’entre elles vont devoir revoir concrètement l’information communiquée à leurs utilisateurs, s’assurer du non précochage des cases et du respect des principes du texte comme le privacy by default » espère notre experte.

Elles pourraient aussi continuer de faire de la résistance en raison des impacts potentiels sur leurs activités d’un respect strict du RGPD, à l’image de la firme de Mountain View. Ainsi, comme le souligne la Cnil dans sa délibération, et dont la décision sera donc contestée par Google devant le Conseil d’Etat :

Les « manquements retenus perdurent à ce jour et sont des violations continues du Règlement. Il ne s’agit ni d’une méconnaissance ponctuelle de la société à ses obligations, ni d’une violation habituelle à laquelle le responsable du traitement aurait mis fin spontanément depuis la saisine de la formation restreinte. » En clair, business as usual chez Google.

Go to Source


bouton-devis