Le 20 février 2025, la Cour d’appel de Paris (pôle 4, chambre 10) a rendu un arrêt intéressant concernant le droit à l’oubli et la liberté d’expression. Cette décision met en lumière les tensions entre la protection des données personnelles et le droit du public à l’information.

I. Résumé de la décision

M.X, ancien président de la section football du Racing Club de France au cours des années 2002 et 2004, avait été condamné en 2009 par le tribunal correctionnel de Nanterre, à deux ans d’emprisonnement avec sursis et à une amende de 20 000 euros pour complicité d’abus de confiance et recel de biens obtenus à l’aide d’un abus de confiance, ainsi que pour abus de biens sociaux.

Les faits reprochés portaient sur des détournements de subventions destinées à une association, utilisées pour la gestion du club et le paiement de joueurs.

A la suite de l’appel de ce jugement, la cour d’appel de Versailles, en 2011, avait partiellement infirmé le jugement, réduisant la peine d’emprisonnement avec sursis à un an et augmentant l’amende à 30 000 euros, tout en ordonnant l’exclusion de cette condamnation du bulletin n° 2 du casier judiciaire de M. X.​

Entre ces deux décisions, le 15 juin 2009, le journal 20 Minutes avait publié un article intitulé « Il détournait de l’argent pour un club », relatant cette affaire.

Dix ans après, en 2019, M. X. avait demandé à 20 Minutes de supprimer ou d’anonymiser l’article en question, invoquant le droit à l’oubli prévu par le Règlement général sur la protection des données (RGPD).

Le journal avait mis à jour l’article en mentionnant l’appel, mais avait refusé de le supprimer ou de l’anonymiser. M. X. avait alors assigné 20 Minutes en justice, demandant la suppression de l’article ou, à défaut, l’anonymisation de son nom.​

Dans l’instance relative à la suppression de l’article de 20 Minutes, le tribunal judiciaire de Paris a rejeté les demandes de M.X, estimant que l’article contribuait à un débat d’intérêt général et que le maintien en ligne de l’article, même ancien, était justifié. M. X. a donc interjeté appel de cette décision.

En appel, la cour rappelle tout d’abord que « si le droit à l’effacement comme le droit d’opposition ne s’appliquent pas si le maintien des données est nécessaire à l’exercice du droit à la liberté d’expression et d’information ou s’il est motivé par des motifs légitimes et impérieux, il convient d’apprécier avant tout en l’espèce si les données d’identification de la personne et la mention de sa condamnation pénale doivent être considérées comme nécessaires à la liberté d’expression. »

Sur le fondement des articles 17 (droit à l’effacement) et 21 (droit d’opposition) du RGPD, la cour d’appel de Paris confirme le jugement, considérant que :​

• L’article de 20 Minutes relatait des faits avérés et portait sur un sujet d’intérêt général d’actualité, justifiant ainsi sa diffusion ;
• La mise à jour de l’article en 2019, mentionnant l’appel, était suffisante pour informer les lecteurs de l’évolution de l’affaire ;
• Le droit à la protection des données personnelles ne saurait être interprété comme un droit à faire disparaître des contenus médiatiques publiés sur internet, indépendamment d’un abus de la liberté d’expression.

II. Analyse de l’arrêt d’appel

Cette décision illustre l’équilibre délicat entre le droit à l’oubli et la liberté d’expression. Elle rappelle la double limite, (i) à la fois des droits de personnes concernées au titre du RGPD, (ii) et des droits des organes de presse dans l’exercice de la liberté d’expression.

(i) Le RGPD reconnaît le droit des individus à obtenir l’effacement de données personnelles les concernant et/ou de s’opposer à un traitement. Cependant, ce droit n’est pas absolu et doit être mis en balance avec d’autres droits fondamentaux, tels que la liberté d’expression et le droit du public à l’information.​

Au visa des articles 17 et 21 du RGPD, les juridictions procèdent alors à une analyse in concreto de la notion de nécessité du maintien de l’information dans le cadre de la liberté d’expression.

A ce titre, la cour relève que l’article de 20 Minutes, bien que relatif à des faits anciens, conserve un intérêt public. En effet, elle relève que l’information s’inscrit dans le sujet toujours actuel des relations entre le sport et l’argent, notamment de la gestion des fonds publics dans le milieu sportif.

Elle ajoute que M. X. reste une personnalité publique en raison de ses fonctions passées et présentes, M. X. étant resté dirigeant dans le domaine sportif (président de la fédération française des sports de combat, président de la fédération des sports de combat au Luxembourg) et une personnalité du monde politico-médiatique.

Sur la demande d’anonymisation de l’article, la cour considère qu’en l’espèce, le nom est un élément essentiel de l’information et que restreindre son accès, constitue une restriction excessive à la liberté de la presse.

De plus, la mise à jour de l’article pour refléter l’évolution de la procédure judiciaire a été jugée suffisante pour assurer une information complète et précise du public, nonobstant le fait :

• qu’il existe une erreur sur les sommes détournées, la différence ne suffisant pas, selon la cour, à considérer que l’information était fausse ;
• que la mention de l’appel de la décision du tribunal correctionnel de Nanterre n’est pas assez directe, cela ne rendant pas non plus l’information inexacte.

Elle rappelle enfin que la dispense d’inscription de la condamnation au casier judiciaire B2, n’interdit pas la connaissance de l’information par le public.

En conséquence, les médias, en tant qu’acteurs essentiels de la démocratie, ont la liberté d’informer le public sur des sujets d’intérêt général, y compris les condamnations pénales de personnalités publiques.​

(ii) Cependant, cette liberté n’est pas sans limites. Les médias doivent veiller à la véracité des informations diffusées et à leur mise à jour en cas d’évolution significative, comme une décision judiciaire modifiant une condamnation. Dans cette affaire, la cour considère que 20 Minutes a respecté cette obligation en mentionnant l’appel et l’infirmation partielle de la peine.​

Par ailleurs, la cour rappelle que la dérogation des organes de presse au regard du droit à l’oubli consacré tout d’abord, par la Cour de justice de l’Union européenne dans l’affaire Google Spain (CJUE, arrêt du 13 mai 2014, Google Spain, C-131/12), puis par la Cour européenne des droits de l’homme (CEDH, Hurbain c. Belgique 4 juillet 2023) n’est pas non plus absolue.

Ainsi, pour les archives de presse, l’organe de presse est tenu de démontrer que la persistance de la publicité des données est nécessaire à l’exercice du droit à la liberté d’expression et d’information et ne porte pas une atteinte exagérée au droit à l’oubli et au respect de la vie privée, en reprenant les critères dégagés par l’arrêt Hurbain c/ Belgique, à savoir :

• Le temps écoulé depuis les faits rapportés et l’intérêt contemporain de l’information ;
• La notoriété de la personne ;
• La nature de l’information archivée ;
• Les répercussions négatives de la persistance de l’information sur le site ;
• L’impact de la mesure sur la liberté d’expression et le degré d’accessibilité.

​En conclusion, cette décision rappelle que la protection des données personnelles ne doit pas conduire à une réécriture de l’histoire ou à une censure injustifiée de l’information. Les médias ont la liberté d’informer le public sur des sujets d’intérêt général, même si cela implique la diffusion d’informations sensibles concernant des individus. Toutefois, ils doivent veiller à respecter les droits des personnes concernées, notamment en mettant à jour les informations publiées pour refléter fidèlement la réalité et en tenant compte du temps écoulé depuis les faits et de l’atteinte potentielle à la réputation de l’individu.​

Arrêt de la Cour d’appel de Paris du 20 février 2025

Pour toute question ou demande, vous pouvez nous contacter ici.

Documenter la conformité de ses sous-traitants et sous-traitants ultérieurs, une nécessité : nouvel avis du CEPD

Avis du CEPD n° 22/2024 relatif à certaines obligations des sous-traitants et sous-traitants ultérieurs, adopté le 7 octobre 2024

Le comité européen de la protection des données (CEPD) a adopté, le 7 octobre 2024, à la demande de l’autorité de protection des données danoise, un avis sur certaines obligations découlant du recours au(x) sous-traitant(s) et au(x) sous-traitant(s) ultérieurs.

Dans cet avis, le CEPD limite son analyse aux obligations du responsable du traitement relatives à la conformité des sous-traitants et sous-traitants ultérieurs en vertu de l’article 28, paragraphes 1, 2 et 4 du RGPD et aux obligations d’accountability du responsable du traitement en vertu de l’article 5, paragraphe 2, et de l’article 24, paragraphe 1, du RGPD.

Si l’avis ne révolutionne pas l’interprétation du RGPD, il apporte toutefois un éclairage important sur l’étendue des obligations du responsable de traitement vis-à-vis de la chaîne de sous-traitance et risque de bousculer quelque peu la pratique.

En effet, l’on constate généralement que les responsables de traitement recensent l’ensemble des sous-traitants de rang 1 dans le registre des activités de traitement et disposent de la liste des sous-traitants ultérieurs (sous-traitant de rang 2), de façon disparate, dans les accords de sous-traitance signés avec leurs sous-traitants (si tant est qu’un DPA ait été signé, ou que l’annexe sur les sous-traitants ultérieurs ait été remplie, ce qui n’est pas toujours le cas).

De façon générale, il ressort de l’avis que :

• les responsables de traitement doivent mettre à disposition à tout moment l’identité de tous leurs sous-traitants, y compris celle de leurs sous-traitants ultérieurs et ce quel que soit le risque associé au traitement. Ces informations sont : le nom, l’adresse et la personne de contact (nom, fonction, coordonnées) du sous-traitant et la description du traitement (y compris une délimitation claire des responsabilités dans le cas où plusieurs sous-traitants sont autorisés) ;

• les sous-traitants doivent fournir les informations relatives aux sous-traitants ultérieurs au responsable de traitement et les tenir à jour. Ainsi, dans les cas où le responsable du traitement décide d’accepter certains sous-traitants secondaires au moment de la signature du contrat, une liste des sous-traitants secondaires agréés doit figurer dans le contrat ou dans une annexe à celui-ci. La liste doit ensuite être tenue à jour, conformément à l’autorisation générale ou spécifique donnée par le responsable du traitement (v. page 9 de l’avis).

Pour ceux qui n’auraient pas encore mis en place de tels processus, les responsables de traitement doivent donc réfléchir à une méthode pour centraliser, permettre la mise à jour et documenter la conformité de l’ensemble de leurs sous-traitants et sous-traitants ultérieurs. De plus, en cas de contrôle de la CNIL, cette documentation permettra à la société de justifier de sa conformité au RGPD et ainsi éviter des sanctions sur le fondement du principe d’accountability notamment.

L’avis du CEPD apporte par ailleurs des précisions quant aux obligations (A) de vérification et de documentation par le responsable de traitement du caractère suffisant des garanties fournies par tous les sous-traitants de la chaîne de traitement, (B) de vérification du contrat entre le sous-traitant initial et les sous-traitants ultérieurs et enfin (C) d’encadrement des transferts hors UE dans la chaîne de sous-traitance.

A. Vérification et documentation par le responsable de traitement du caractère suffisant des garanties fournies par tous les sous-traitants de la chaîne de traitement

L’obligation de s’assurer que les sous-traitants ultérieurs et toute la chaîne de sous-traitance présentent des garanties suffisantes, incombe au responsable de traitement (v. page 13 de l’avis).

Le CEPD rappelle que le recours à un sous-traitant ou à un sous-traitant ultérieur et tout autre sous-traitant de la chaîne ne doit pas conduire à abaisser le niveau de protection des données qui serait garanti si le traitement était réalisé directement par le responsable de traitement (v. page 13 de l’avis).

Il précise par ailleurs que cette obligation incombe au responsable de traitement pour le recours aux sous-traitants ET aux sous-traitants ultérieurs, estimant que le terme « sous-traitant » de l’article 4 RGPD s’applique au sous-traitant de premier rang mais également aux sous-traitants de second rang etc. (v. page 8 de l’avis).

En outre, l’obligation du responsable du traitement de vérifier si les sous-traitants présentent des garanties suffisantes pour mettre en œuvre les mesures déterminées par le responsable du traitement devrait s’appliquer quel que soit le risque pour les droits et libertés des personnes concernées.

Le responsable de traitement, suivant la nature, la portée, le contexte et les finalités du traitement ainsi que les risques pour les droits et libertés des personnes physique, procède à des vérifications plus ou moins approfondies : la certification et l’adhésion à un code de conduite par le sous-traitant sont des éléments permettant de démontrer l’existence de « garanties suffisantes » (v. page 15 de l’avis) ; suivant le niveau de risque, le responsable de traitement peut demander à son sous-traitant la communication des contrats signés ses sous-traitants ultérieurs afin de vérifier que les garanties y sont bien reportées.

La vérification des garanties suffisantes doit être effectuée à intervalle régulier au cours de la relation contractuelle avec les sous-traitants.

En conséquence, les accords de sous-traitance devraient prévoir les modalités et fréquence de la communication des informations relatives aux garanties suffisantes du sous-traitant et des sous-traitants ultérieurs.

En cas d’autorisation générale pour la sous-traitance ultérieure, le responsable de traitement doit communiquer au sous-traitant des directives relatives aux garanties suffisantes pour guider ses choix de sous-traitants ultérieurs (v. page 16 de l’avis).

Il est d’ailleurs intéressant de relever que le CEPD considère que la détermination des sous-traitants est considérée comme un « moyen essentiels » du traitement permettant de déterminer les qualifications de traitement (v. page 9 de l’avis). Ainsi, si le choix des sous-traitants ultérieurs relève uniquement du sous-traitant (ce qui est souvent le cas, surtout dans les contrats d’adhésion), ce critère permettrait de faire pencher la balance, entre autres, vers une qualification de responsable de traitement du prestataire. Les juristes savent cependant à quel point cette question est complexe.

B. Vérification du contrat entre le sous-traitant initial et les sous-traitants ultérieurs

Le sous-traitant initial est tenu de reporter les mêmes obligations en matière de protection des données dans les contrats de sous-traitance que celles qu’il conclut avec des sous-traitants ultérieurs.

Cette obligation est expressément prévue à l’article 28, paragraphe 4.

Le CEPD en déduit qu’à la demande du responsable du traitement, le sous-traitant initial devra ainsi fournir les contrats de sous-traitance entre le sous-traitant initial et les autres sous-traitants ultérieurs.

Une copie des contrats de sous-traitance ultérieure pourrait aider le responsable de traitement à démontrer que ses sous-traitants et sous-traitants ultérieurs présentent des garanties suffisantes, notamment que le sous-traitant se conforme à l’article 28, paragraphe 4, du RGPD.

La question se pose alors de savoir si les clauses de confidentialité incorporées aux contrats auxquels sont annexés les DPA pourront valablement permettre au sous-traitant de s’opposer à la communication des contrats avec les sous-traitants ultérieurs. En effet, il n’est pas rare que les sous-traitants soient réticents à communiquer la documentation contractuelle avec leur propre sous-traitant au responsable de traitement. La pratique conduira sûrement à caviarder certains éléments commerciaux ou stratégiques des contrats, sans rapport avec la conformité du prestataire au RGPD.

En termes de responsabilité, le CEPD précise que si un sous-traitant secondaire ne remplit pas ses obligations, la responsabilité finale de l’exécution des obligations de cet autre sous-traitant ultérieur incombe au responsable du traitement. Toutefois, le sous-traitant reste responsable vis-à-vis du responsable du traitement, de sorte que ce dernier a la possibilité d’introduire une action en garantie à l’encontre de son sous-traitant initial si ce dernier ne reporte pas les mêmes obligations de protection des données dans le cadre de la sous-traitance ultérieure.

C. Transferts hors UE dans la chaîne de sous-traitance

En cas de transfert hors UE s’effectuant entre deux sous-traitants et/ou sous-traitants ultérieurs sur instructions du responsable de traitement, le responsable de traitement doit s’assurer que le transfert s’effectue moyennant des garanties appropriées des articles 44 et suivants du RGPD et qu’il ne diminue pas le niveau de protection des données.

En cas de transfert, même s’il n’est pas effectué directement par le responsable du traitement, mais par un sous-traitant pour le compte du responsable du traitement, ce dernier reste soumis aux obligations découlant à la fois de l’article 44 du RGPD et de l’article 28, paragraphe 1, du RGPD.

L’obligation de l’article 44 incombe à la fois au responsable de traitement et au sous-traitant. Le responsable du traitement et le sous-traitant restent, en principe, responsables, en vertu du chapitre V du RGPD, d’un transfert initial ou ultérieur illicite et pourraient donc être tenus pour responsables, solidairement et individuellement, en cas de manquement.

En vertu de l’article 28, le responsable de traitement est tenu de vérifier que les transferts opérés dans la chaîne de sous-traitance sont conformes et ce, quel que soit le risque associé au traitement.

Le responsable de traitement doit pouvoir en justifier auprès des autorités de contrôle, notamment en produisant la documentation communiquée par son sous-traitant.

La documentation correspond à (i) la cartographie des transferts indiquant les données traitées, le lieu de transfert et les finalités, (ii) la base légale de transfert utilisée (décision d’adéquation, CCT, etc.) et, le cas échéant, l’ « évaluation de l’impact du transfert » et les mesures complémentaires. Ces informations doivent être communiquées au responsable de traitement avant que le transfert ne soit effectué.

Ainsi, il ne s’agit plus simplement de vérifier si le sous-traitant de premier rang est établi en dehors de l’Union européenne, fait partie d’un groupe international ou héberge ses serveurs en dehors de l’Union européenne. Le responsable de traitement doit vérifier si les sous-traitants ultérieurs auxquels il est fait appel sont eux-mêmes établis en dehors de l’Union européenne, font partie d’un groupe international ou hébergent leurs serveurs en dehors de l’Union européenne. Cette tâche peut s’avérer relativement chronophage, suivant la disponibilité des informations et le nombre de sous-traitants impliqués et poser des difficultés pratiques.

En conclusion, l’avis du CEPD réaffirme la conception originelle du RGPD suivant laquelle le responsable de traitement est responsable des traitements de données qu’il effectue et de ceux qui sont effectués par des tiers pour son propre compte.

Néanmoins, l’avis paraît largement inadapté à la vie des affaires et à la réalité.

Il suffit de se rappeler que parmi les sous-traitants ultérieurs on trouve en général un hébergeur (AWS, Google Drive, Azure..) ou des éditeurs de solutions on-line tels que Microsoft, Salesforce et autres GAFAM, pour comprendre que ni le responsable de traitement, ni son sous-traitant de rang 1, ne peuvent exercer de contrôle réel.

Il est donc probable que l’avis du CEPD ne viendra qu’apporter une pierre supplémentaire aux exigences d’accountability et à l’établissement d’une documentation toujours plus importante, sans pour autant garantir une meilleure protection des données personnelles. Reste qu’il ne s’agit à ce stade que d’un avis et qu’il reviendra à la CNIL de l’appliquer intégralement ou non.

Faites appel à un DPO externalisé

Publier ou/et réutiliser des données librement accessibles en ligne : quelles règles s’appliquent en matière de protection des données à caractère personnel ?

La CNIL a publié le 12 juin 2024 sur son site internet des recommandations pour les diffuseurs publics et privés de données ouvertes ainsi que des recommandations pour les « réutilisateurs » de données publiées sur internet.

En effet, à chaque fois qu’un éditeur publie des données relatives à des personnes physiques sur son site internet (par exemple, un annuaire de professionnels) ou qu’une entreprise réutilise des données relatives à des individus librement accessibles en ligne (des chasseurs de têtes en recherche de profils sur Linkedin), les règles de protection des données à caractère personnel (i.e. le règlement (UE) 2016/679 (« RGPD ») et la loi n°78-17 (« Loi informatique et libertés »)) doivent être appliquées.

Ainsi, dans le but d’accompagner les diffuseurs et « réutilisateurs » dans leur mise en conformité au RGPD, la CNIL rappelle les principes gouvernant ces traitements, en les accompagnant de fiches méthodologiques et les illustrant de cas d’usage.

I. Les règles applicables aux diffuseurs de données ouvertes

Ces recommandations visent à encadrer les pratiques de mise à disposition du public de données personnelles. Elles s’adressent principalement aux administrations, entreprises, ou particuliers qui souhaitent diffuser des données accessibles en ligne.

Elles se déclinent en 6 fiches correspondant aux grands principes du RGPD.

• Fiche n°1 : qualification juridique des diffuseurs. Tout diffuseur de données personnelles doit au préalable s’interroger sur sa qualification au sens du RGPD, afin d’identifier ses obligations. La CNIL donne des exemples de responsabilités conjointes, distinctes et de sous-traitance. Elle fait un focus sur les licences de réutilisation de données et énonce que les diffuseurs de données peuvent choisir d’encadrer les réutilisations futures par le biais d’une licence. A ce titre, l’encadrement des finalités de réutilisation ne rend pas le diffuseur nécessairement responsable de traitement ou responsable conjoint, dès lors que le réutilisateur conserve un certain degré d’influence autonome sur ses traitements.
• Fiche n° 2 : base légale de son traitement. Les diffuseurs doivent s’assurer que la collecte et la mise à disposition des données reposent sur une base légale solide. Les bases légales envisageables pour la diffusion publique d’une base de données sont : i) l’obligation légale, ii) la mission d’intérêt public, iii) l’intérêt légitime, iv) le consentement. La CNIL propose une méthodologie permettant au diffuseur de données de choisir une base légale adaptée pour la diffusion des données au public.
• Fiche n°3 : information des personnes concernées. Les personnes doivent être informées de la diffusion de leurs données. L’information doit être complète, compréhensible et aisément accessible. La CNIL rappelle également les cas dans lesquels le diffuseur de données est dispensé de délivrer l’information aux personnes concernées, à savoir :
• lorsque la personne concernée a déjà obtenu les informations,
• lorsque les données n’ont pas été directement collectées auprès des personnes concernées et leur information se révèle impossible ou exigerait des efforts disproportionnés,
• ou lorsque le traitement est mis en œuvre aux fins d’expression universitaire, artistique ou littéraire, ou d’exercice, à titre professionnel, de l’activité de journaliste.
• Fiche n°4 : droits des personnes sur leurs données. Les personnes concernées doivent être en mesure d’exercer leurs droits. Les droits pouvant être exercés sont conditionnés suivant la base légale de traitement choisie (ex : si la base légale est le respect d’une obligation légale, le droit d’opposition ne peut être exercé, il pourra toutefois être exercé si le traitement repose sur l’intérêt légitime du diffuseur). La CNIL préconise par exemple de « permettre aux personnes concernées de s’opposer « d’emblée », au stade de leur information sur la mise en œuvre du traitement de diffusion, à certaines réutilisations de leurs données et communiquer sur ces oppositions auprès des éventuels réutilisateurs (p. ex. : publication d’un fichier d’opposition à la prospection commerciale, ou encore d’un « étiquetage » des informations en cause directement dans la base de données) ; et/ou de fournir, sur la plateforme de mise à disposition des données, un formulaire de contact, un numéro de téléphone et/ou une adresse de messagerie dédié(e) à l’exercice des droits ».
• Fiche n°5 : minimisation des données traitées. Les données diffusées doivent être pertinentes et limitées à ce qui est nécessaire pour l’objectif visé. Le principe de minimisation interdit de conserver des données personnelles « au cas où elles seraient utiles ». Cependant, la CNIL précise que dans le cas de l’open data, il est possible de mettre à disposition, et donc de conserver, des données en vue d’une utilisation incertaine par des tiers réutilisateurs. Cela n’est bien entendu envisageable que si la mise en ligne de la base de données est elle-même légale, notamment parce qu’elle répond à une obligation légale ou ne porte pas aux droits des personnes une atteinte disproportionnée. Le diffuseur de données devra alors se demander si l’anonymisation des données est obligatoire ou si elle est envisageable (i.e. lorsqu’elle est techniquement possible et qu’elle ne contrevient pas aux objectifs du traitement), dans la négative, il devra vérifier s’il existe des dispositions légales qui encadrent le champ des données à diffuser et s’y conformer et, dans la négative, il devra alors sélectionner les données pertinentes et non excessives par rapport à l’objectif poursuivi.
• Fiche n°6 : exactitude, sécurité et conservation limitée des données. Les diffuseurs de données peuvent réaliser une analyse d’impact (AIPD) afin de s’assurer que la diffusion des données respecte tous les principes de protection des données. La CNIL énonce ensuite une liste des actions à mettre en œuvre afin de se conformer aux obligations d’exactitude et de sécurité des données. Elle préconise notamment que les diffuseurs prévoient dans leurs conditions de réutilisation des données un renvoi à ses recommandations pour les réutilisateurs de données publiées sur internet.

Il est à noter que le Data Governance act, entré en application depuis septembre 2023 vient compléter ces règles lorsque les données diffusées sont des informations publiques détenues par le secteur public.

II. Les règles applicables aux réutilisateurs de données publiées sur internet

La réutilisation des données publiées sur internet constitue une pratique courante des entreprises, soit à des fins internes, notamment pour se renseigner sur un candidat, un contractant, un élu etc., soit dans le cadre de leur activité client (représentation d’intérêt, chasseur de tête, etc.).

Ces recommandations se déclinent en 6 fiches principes (sur le même modèle que la diffusion des données) auxquelles s’ajoutent 3 fiches pratiques.

Les recommandations s’adressent aux « réutilisateurs de tous types de données personnelles publiées sur Internet – données mises à disposition à des fins de réutilisation (open data) et autres données librement accessibles en ligne (ex. : sites d’information et blogs, sites commerciaux, informations partagées par des internautes sur les réseaux sociaux, …) – par des personnes physiques ou morale, publiques ou privées, collectant les données en vue d’une exploitation de celles-ci pour leur propre compte ».

• Fiche n°1 : qualification juridique des réutilisateurs. Le réutilisateur doit s’interroger au préalable sur sa qualification RGPD afin de déterminer les obligations qui lui sont applicables. La CNIL précise que dans le cadre de contrats d’adhésion, « le fait de recourir à un logiciel de traitement de données personnelles conçu par un autre acteur, et sur lequel son utilisateur ne peut qu’effectuer certains paramétrages (voire aucun), ne dispense pas ce dernier de sa qualité de responsable de traitement, dès lors que c’est lui qui a décidé d’utiliser telles et telles données personnelles avec ce logiciel, pour une certaine finalité ». Ainsi, le réutilisateur demeurera responsable de traitement (seul ou conjointement) quand bien même l’outil utilisé pour la réutilisation desdites données ne peut être paramétré.
• Fiche n° 2 : base légale de son traitement. Les réutilisateurs doivent déterminer la base légale de leur traitement des données avant d’utiliser des données personnelles. La CNIL rappelle que les bases légales envisageables pour la réutilisation d’une base de données sont : i) l’obligation légale, ii) la mission d’intérêt public, iii) l’intérêt légitime, iv) le consentement et propose une méthodologie permettant au responsable de traitement de choisir une base légale adaptée pour la réutilisation des données. A titre illustratif, il est considéré que l’intérêt légitime  pourrait valablement fonder la collecte par un employeur de données publiées sur un réseau social professionnel afin de contacter un candidat potentiel, dès lors que les personnes concernées, en les partageant sur un tel site s’attendent raisonnablement à ce type de réutilisations ou que l’intérêt légitime pourrait fonder la rediffusion, par des sociétés spécialisées dans l’information légale et financière, des données d’entreprises diffusées par les administrations chargées de leur mise à disposition au public (INPI et INSEE).  A l’inverse, l’intérêt légitime ne peut valablement fonder l’exploitation des coordonnées publiques des DPD / DPO, diffusées en open data par la CNIL à des fins de communication sur des sujets sans lien avec leur activité professionnelle (par exemple, des messages de prospection politique).
• Fiche n°3 : information des personnes concernées. Il est impératif d’informer les personnes dont les données sont réutilisées. L’information doit être complète, compréhensible et aisément accessible et mentionner la source des données réutilisées. La CNIL rappelle également les cas dans lesquels le responsable de traitement est dispensé de délivrer l’information aux personnes concernées à savoir :
• lorsque la personne concernée a déjà obtenu les informations,
• lorsque la fourniture des informations rendrait impossible ou compromettrait gravement la réalisation des objectifs poursuivis,
• lorsque l’information se révèle impossible ou exigerait des efforts disproportionnés. Le Conseil d’Etat a jugé que l’information d‘un grand nombre de personnes (25 millions) ne suffit pas à elle seule à qualifier l’exception d’efforts disproportionnés, compte tenu du caractère intrusif du traitement et de la détention des coordonnées. Ainsi, l’extraction par une entreprise des données de profils de réseaux sociaux (photos, établissements scolaires, employeurs, etc.) pour enrichir un service d’annuaire téléphonique ne pouvait légalement intervenir sans une information individuelle préalable (arrêt du 12 mars 2014, n° 353193)
• lorsque le traitement est mis en œuvre aux fins d’expression universitaire, artistique ou littéraire, ou d’exercice, à titre professionnel, de l’activité de journaliste.
• Ou dans les autres cas prévus par des dispositions légales constituant une mesure nécessaire et proportionnée pour garantir des objectifs d’intérêt public particulièrement importants (article 48 alinéa 4 de la Loi informatique et libertés).
• Fiche n°4 : droits des personnes sur leurs données. Les personnes concernées doivent pouvoir exercer leurs droits auprès des réutilisateurs de données. A titre d’exemple, la CNIL énonce que les courtiers en données (« data brokers ») spécialisés dans la collecte de données sur Internet, à des fins de commercialisation de celles-ci auprès d’entreprises ou de partis politiques, sont tenus de supprimer les informations se rapportant aux personnes qui en font la demande.
• Fiche n°5 : minimisation des données traitées. Seules les données adéquates pertinentes et limitées à ce qui est strictement nécessaire au regard des finalités poursuivies ne doivent être traitées. Lorsque cela est possible, le réutilisateur ne doit collecter parmi les données en accès libre que celles qui sont indispensables à la réalisation de l’objectif poursuivi et ne pas recueillir des données sensibles. Il doit procéder à leur anonymisation ou pseudonymisation lorsque cela ne compromet pas les objectifs du traitement.  En cas de webscraping ou moissonnage des données, la CNIL recommande de définir, en amont de la mise en œuvre du traitement, des critères précis et pertinents de collecte, de limiter le risque de recueil de données sensibles et de supprimer toute donnée non pertinente, quel que soit son niveau de sensibilité, dès qu’elle est identifiée comme telle.
• Fiche n°6 : exactitude, sécurité et conservation limitée des données. Les diffuseurs de données peuvent procéder à a réutilisation d’une analyse d’impact (AIPD) afin de s’assurer que la réutilisation des données respecte tous les principes de protection des données. La CNIL énonce ensuite une liste des actions à mettre en œuvre afin de se conformer aux obligations d’exactitude et de sécurité des données. Elle préconise notamment de mettre en place des APIs afin d’assurer la mise à jour automatique des données depuis les sites de diffusion.

A la suite de ces fiches de principe, figurent trois fiches supplémentaires dédiées respectivement à :

• la réutilisation de données publiquement accessibles aux fins de diffusion d’annuaires de professionnels,
• la réutilisation de données publiquement accessibles à des fins de constitution ou d’enrichissement de fichiers destinés à la prospection commerciale, et
• la réutilisation de données publiquement accessibles à des fins de recherche scientifique (hors santé).

La CNIL adapte ainsi le raisonnement des fiches de principe à chacun de ces cas d’usage.

L’on peut ainsi se réjouir de la publication de ces recommandations qui permettent à chaque diffuseur et/ou réutilisateur de données de suivre pas à pas les étapes de la conformité de ces traitements.

Une question sur le RGPD et les données personnelles? N’hésitez pas à nous contacter.

Obligation pour les réseaux sociaux de mettre en place des mesures de filtrage des publicités illicites

Le 24 avril 2024, le Tribunal judiciaire de Paris a confirmé une ordonnance, par laquelle il a été ordonné à un réseau social de prévenir la publication de contenus litigieux en utilisant des filtres automatisés.

Cette mesure vise à protéger les droits de propriété intellectuelle de la société Barrière, en ciblant spécifiquement les publicités contrefaisantes, notamment l’utilisation sans son autorisation de la marque « Barrière » pour promouvoir une activité de jeux en ligne qu’elle estime illégale sur Facebook et Instagram. Le Président du Tribunal judiciaire de Paris a également soutenu que cette obligation de mesures provisoire n’était pas susceptible de porter atteinte à l’interdiction de soumettre un hébergeur à une obligation générale de surveillance. En effet, cette obligation de filtrage étant temporaire et limitée géographiquement au territoire de l’Union européenne, elle ne s’apparente pas à une obligation générale de surveillance.

Le réseau social a ainsi été enjoint de mettre en œuvre des mesures provisoires pour faire cesser ou prévenir toute atteinte à des droits de propriété intellectuelle.

Source: Tribunal judiciaire de Paris RG n°24/02349

Le respect du droit à l’image des enfants : entrée en vigueur d’une nouvelle loi

Face à la multiplication des contenus partagés par les parents sur leurs enfants, la loi nº2024-120 du 19 février 2024 visant à garantir le respect du droit à l’image des enfants a été promulguée.

Cette nouvelle réglementation vient limiter les atteintes à la vie privée des mineurs et répond notamment à plusieurs préoccupations. En effet, il est particulièrement difficile de contrôler la diffusion des images de mineurs sur internet et la diffusion de ces images peut, à long terme, leur porter préjudice.

Pour respecter le droit à l’image des enfants, la loi introduit la notion de vie privée dans l’autorité parentale, impose l’accord des deux parents pour diffuser des images de l’enfant, permet la délégation de l’autorité parentale en cas d’usage abusif et donne compétence à la CNIL pour intervenir en cas d’atteinte aux droits et libertés des mineurs.

Cette nouvelle législation marque un pas important vers la protection de la vie privée des enfants à l’ère numérique, en renforçant le cadre juridique autour de l’utilisation de leur image par les parents.

Source: Légifrance

Amende de 856 000 euros prononcée par l’Autorité de protection des données personnelles finlandaise

L’autorité de protection des données personnelles finlandaise a condamné Verkkokauppa.com Oyj à une amende de 856 000 € pour violation du Règlement général sur la protection des données (RGPD).

Le détaillant en ligne finlandais a en effet manqué à l’obligation de nécessité du traitement en demandant aux clients de créer un compte avant d’effectuer des achats en ligne. La société finlandaise a également été condamnée pour divers manquements relatifs aux durées de conservations des données, notamment en conservant les informations des comptes clients pour une durée indéterminée. En effet, seule la demande de suppression des données formulées par le client pouvait mettre fin à la période de conservation.

La société a ainsi été condamnée, pour l’ensemble de ses manquements à une amende, dont le montant a été calculé sur le chiffre d’affaires annuel de cette dernière, mais également à définir une période de conservation appropriée pour les données des comptes clients et corriger ses procédures exigeant que les clients créent un compte avant d’effectuer un achat en ligne.

Verkkokauppa a déclaré qu’elle ferait appel de la décision devant le Tribunal administratif.

Une question sur ces news? Consulter nos offres ou contactez-nous.