Henri Leben

Leben Avocats

Il est fréquent désormais que des données personnelles collectées dans le cadre d’un premier traitement fassent l’objet d’un traitement ultérieur. C’est par exemple le cas des données du client créant son compte sur un site de e-commerce et qui seront utilisées pour préremplir son adresse de livraison ou de facturation.

L’article 6, point 4, du RGPD prévoit ainsi la possibilité de mettre en œuvre un second traitement sur des données collectées pour une première finalité.

Ce traitement dit « ultérieur » doit répondre à un certain nombre de critères pour être licite. L’analyse de la licéité du traitement envisagé est confiée au responsable de traitement.

Le responsable de traitement doit ainsi fonder son analyse sur le contexte du traitement, les attentes des personnes concernées, les conséquences possibles au traitement ainsi que l’existence de garanties appropriées afin de s’assurer que la finalité de ce second traitement est compatible avec celle du premier traitement.

Le traitement envisagé doit bien sûr respecter l’ensemble des dispositions du RGPD, au-delà des critères énoncés à l’article 6, point 4.

Dans un arrêt du 20 octobre 2022 (affaire C-77/21), la Cour de Justice a été amenée à se prononcer sur la compatibilité des finalités de deux traitements successifs, et sur les obligations du responsable de traitement quant au second traitement.

En l’espèce, la cour de Budapest-Capitale avait saisi la Cour de Justice de deux questions préjudicielles à la suite d’une décision de l’Autorité hongroise de protection des données.

La société Digi, l’un des principaux fournisseurs de services Internet et de télévision en Hongrie, avait été l’objet d’une défaillance technique ayant affecté le fonctionnement d’un de ses serveurs mi-2018.

Afin de traiter cette défaillance, Digi avait procédé à la copie des données d’environ un tiers de ses clients dans une base de données dite « de test ».

Fin 2019 un « pirate éthique » a signalé à Digi que les données de plus de trois cent mille de ses clients sur cette base étaient accessibles en ligne. Digi a conclu un accord ave le pirate, supprimé la base et notifié la violation à l’Autorité hongroise de protection des données.

Suite à cette notification, l’Autorité hongroise a prononcé une sanction contre Digi aux motifs que celle-ci n’aurait pas respecté l’obligation de limitation de la durée de traitement des données en conservant les données copiées dans la base de test sans aucune finalité.

Saisie par Digi, la juridiction de renvoi a souhaité poser deux questions préjudicielles auprès de la Cour de Justice, soit, telles que reformulées par la Cour :

1. L’enregistrement et la conservation dans une base de données nouvellement créée de données personnelles conservées dans une autre base de données constituent-ils un « traitement ultérieur » au sens de l’article 6, point 4 ; et
2. Dans l’hypothèse où le traitement ultérieur serait autorisé, les données peuvent-elles être conservées une fois la finalité du traitement ultérieur réalisée ?

La Cour établit tout d’abord que la finalité du traitement ultérieur telle que décrite par la Cour hongroise n’est pas identique à la finalité initiale, et qu’il est donc nécessaire d’analyse la compatibilité des finalités des deux traitements.

La Cour hongroise retient en effet que le traitement initial consistait en la collecte de données aux fins de la conclusion et de l’exécution de contrats d’abonnement avec des clients particuliers tandis que le traitement ultérieur porte sur la réalisation de tests et la correction d’erreurs (conformément à la position de l’Autorité hongroise).

Digi soutenait que le traitement ultérieur avait pour finalité de garantir l’accès aux données des abonnés jusqu’à ce que les erreurs soient corrigées, et que cette finalité était identique à celle du traitement initial. Cette interprétation a été écartée.

La Cour de Justice retient cependant que la finalité du traitement ultérieur présente un lien concret avec l’exécution des contrats conclus avec les clients. Elle relève par ailleurs que la décision de renvoi ne contient aucun élément permettant d’aller contre la compatibilité du traitement ultérieur avec le traitement initial (absence de données sensibles ou de conséquences dommageables identifiées).

Dès lors, en application des critères listés à l’article 6, point 4 du RGPD, la Cour de Justice retient la complémentarité des finalités des traitements et renvoie la vérification des garanties appropriées à la juridiction hongroise.

Pour autant, la Cour de Justice relève que le traitement ultérieur viole le RGPD.

En effet, la possibilité de mettre en place un traitement ultérieur n’écarte pas ces données du bénéfice des autres dispositions du RGPD, dont l’obligation de limiter la durée de traitement à la réalisation de la finalité.

En conservant les données dans la base de test au-delà de la durée nécessaire à la réalisation de tests et à la correction d’erreurs, Digi a violé l’obligation de définir une durée appropriée de conservation des données.

Cet arrêt rappelle que si la mise en œuvre d’un traitement ultérieur de données doit donner lieu à la vérification de la compatibilité de la finalité envisagée avec la finalité première du traitement initial, cette vérification ne doit pas faire oublier la nécessité de mettre en place l’ensemble des mesures nécessaires à la licéité d’un traitement : minimisation des données, contrôle des accès, exercice des droits des personnes, limitation des durées de conservation, etc.

Source : https://curia.europa.eu/juris/document/document.jsf;jsessionid=4BD1E9D0D41D621089AEA68F502EDABE?text=&docid=267405&pageIndex=0&doclang=fr&mode=req&dir=&occ=first&part=1&cid=27154

Le 21 octobre dernier, la CNIL a publié un article intitulé « Alternatives aux cookies tiers : quelles conséquences en matière de consentement ? »

Pour rappel, cela fait maintenant un an que la Cnil a remanié ses Lignes directrices « cookies et autres traceurs » qui formalisent la distinction entre les cookies pour lesquels le dépôt sur le terminal de l’utilisateur peut avoir lieu sans recueil préalable de consentement, et ceux pour lesquels le consentement doit être recueilli.

Les cookies concernés sont à la fois les cookies « tiers » (c’est-à-dire, ceux déposés sur des domaines différents de celui du site principal. Ces cookies ont pour fonction de permettre à des tiers de voir quelles pages ont été visitées par un utilisateur sur le site principal et de collecter des informations sur les utilisateurs à des fins publicitaires, tels que le bouton « j’aime » affichés sur un ensemble de sites tiers par certains réseaux sociaux) et les cookies « internes » (c’est-à-dire, les cookies déposés par le site consulté par l’utilisateur).

Les traceurs exemptés du recueil du consentement correspondent notamment aux traceurs conservant le choix exprimé par les utilisateurs sur le dépôt de traceurs, à ceux destinés à l’authentification auprès d’un service ou encore, aux traceurs permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu.

Certains traceurs de mesure d’audience sont également concernés, sous réserve d’avoir pour finalité exclusive la mesure d’audience, aux conditions suivantes :

• Répondre à différents besoins strictement nécessaires au fonctionnement et aux opérations d’administration courante ;
• Être mise en œuvre pour le compte exclusif de l’éditeur du site / de l’application ;
• Produire des données statistiques anonymes.

Sont explicitement exclus les cookies permettant la mise en œuvre du suivi global de la navigation des personnes concernées sur plusieurs sites et applications et ceux permettant que les données personnelles collectées soient recoupées avec d’autres traitements ou transmises à des tiers.

La Cnil a également publié la liste des traceurs qui, sous réserve d’en faire un usage strictement nécessaire au fonctionnement et aux opérations d’administration courante du site web ou de l’application, sont identifiés comme pouvant être configurés pour rentrer dans le périmètre de l’exemption au recueil de consentement.

Cette liste, régulièrement actualisée, est accessible en suivant ce lien : https://www.cnil.fr/fr/cookies-solutions-pour-les-outils-de-mesure-daudience.

Un an après la publication de ces nouvelles Lignes directrices, la Cnil a pris acte de l’utilisation grandissante par les acteurs du secteur d’alternatives aux cookies « tiers » pour le ciblage publicitaire.

Les cookies « tiers » font en effet l’objet d’un encadrement de plus en plus strict de la part des navigateurs, et d’une surveillance de la part des autorités de contrôle telles que la Cnil.

D’autres solutions ont donc été développées par les éditeurs, ne reposant pas sur le dépôt de cookies :

• Données issues des cookies « internes » : désigne le recours aux cookies internes qui peuvent renvoyer des données via des appels d’URL sur le domaine du publicitaire, ou via des techniques de délégation ;

• Empreinte numérique du navigateur (fingerprinting) : désigne la méthode permettant d’identifier l’utilisateur de façon unique en utilisant les caractéristiques techniques de son navigateur (taille de l’écran, système d’exploitation, etc.). Cette méthode requière la collecte de suffisamment d’informations pour distinguer les utilisateurs entre eux ;

• Authentification unique (SSO – Single Sign-On) : désigne la connexion à plusieurs services au travers d’un compte et d’une authentification uniques. Le compte peut ainsi être utilisé comme un traceur des activités de l’utilisateur au cours de sa navigation ;

• Identifiants uniques : désigne les identifiants permettant de suivre un utilisateur grâce à l’utilisation d’une donnée hachée, elle-même collectée au cours de la navigation de l’utilisateur sur le site ;

• Ciblage par cohorte : désigne la pratique consistant à cibler un groupe d’utilisateurs aux comportements similaires et non plus un utilisateur de manière individuelle, en attribuant à ce groupe un identifiant unique et persistant.

La Cnil rappelle que cette pratique a d’abord été développée par certains opérateurs tels que Google afin de : « reproduire les possibilités actuelles des cookies dans le cadre de la publicité ciblée, tout en tentant de mettre en œuvre des limitations afin de diminuer l’intrusive de ces pratiques. ».

La Cnil recommande de conduire une analyse sur les conséquences pour les droits et libertés des personnes concernées de cette pratique, en insistant notamment sur les risques de réidentification individuelle et l’importance du respect du principe de minimisation des données.

La Cnil rappelle que ces solutions demeurent toutes soumises aux dispositions du Règlement n°2016/679 (le « RGPD ») ainsi qu’aux dispositions issues de la transposition de la Directive « vie privée et communications électroniques » (dite « ePrivacy »).

La Cnil rappelle également que, quand bien même ces solutions ne constitueraient pas des cookies au sens habituel du terme, elles : « reposent toutes sur l’accès à l’équipement terminal de l’utilisateur (…) pour accéder à des informations déjà stockées dans cet équipement (…) ou pour y inscrire des informations, au même titre que pour les cookies. ».

A ce titre, et conformément à la réglementation, la Cnil rappelle que : « les opérations, nécessaires à la constitution d’un profil individuel ou de groupe et à la fourniture de publicité ciblée, requièrent le consentement préalable de l’utilisateur, qu’il y ait ou non traitement de données personnelles, dans la mesure où elles ne font pas directement partie du service directement demandé par l’utilisateur ».

La Cnil en conclut que les dispositions des Lignes directrices « cookies et autres traceurs » ont vocation à s’appliquer à l’ensemble des solutions alternatives aux cookies telles que décrites ici. Ses opérations de contrôle porteront donc sur la conformité de ces solutions aux dispositions issues des Lignes directrices.

Les éditeurs de ces solutions doivent en conséquence s’assurer qu’elles respectent le principe de protection de la vie privée dès la conception (principe du privacy by design) et notamment, qu’elles :

• Intègrent des moyens permettant aux utilisateurs de garder le contrôle de leurs données ;
• Permettent aux utilisateurs d’exercer facilement leurs droits.

Enfin, la Cnil insiste sur la nécessité pour les acteurs du secteur de s’assurer qu’ils ne traitent pas de données dites « sensibles » ou « particulières ».

La Cnil rappelle en conclusion l’importance pour l’ensemble des acteurs de ce secteur, responsable de traitement et sous-traitant, de tenir compte de leurs rôles et responsabilités respectifs.