En 2023, l’activité de la CNIL a été marquée par une augmentation notable du nombre de délibérations rendues par la formation restreinte chargée de juger des contentieux soumis à la CNIL : 42 au cours de l’année 2023, contre 21 pour l’année précédente. Ce doublement résulte principalement de la mise en œuvre de la procédure de « sanctions simplifiées », de l'augmentation des réclamations ainsi que d’une collaboration accrue au niveau européen.
Toutefois, malgré cette augmentation en nombre, le montant cumulé des amendes a quant à lui légèrement diminué, atteignant près de 90 millions d'euros pour l’année 2023, contre plus de 100 millions d'euros pour 2022. En 2023, la CNIL a ainsi traité un nombre record de 16 433 plaintes, soit une augmentation de 35% par rapport à l’année précédente, effectué 340 contrôles, émis 168 mises en demeure et 33 rappels aux obligations légales. Parmi les 42 délibérations adoptées, 36 prononçaient des amendes administratives, assorties ou non d’astreintes, à l’encontre d’acteurs publics ou privés de secteurs variés tels que la mobilité, la santé, la publicité digitale, le commerce en ligne, la finance, la sécurité ou les collectivités territoriales.
Les 14 délibérations rendues publiques permettent de dresser un panorama non-exhaustif de la doctrine de la CNIL relative notamment au respect (1) des principes clés du RGPD, (2) des droits des personnes, en particulier (3) des conditions de recueil valide du consentement et (4) des obligations liées aux cookies et traceurs, ou encore (5) des obligations de conformité incombant respectivement aux responsables du traitement ou aux sous-traitants, ou (6) de l’obligation de sécurité.
Les manquements aux principes clés du RGPD
Les délibérations de la CNIL adoptées en 2023 viennent, de façon classique, sanctionner le non-respect des principes clés établis par le RGPD tels que le principe (a) de minimisation, (b) de proportionnalité de la conservation des données, (c) ou encore de licéité des traitements.
Le principe de minimisation
Le principe de minimisation des données est un pilier fondamental du RGPD selon lequel les données à caractère personnel collectées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
En 2020, la CNIL a, pour partie, axé son action de contrôle sur plusieurs thématiques prioritaires en lien avec les préoccupations quotidiennes des Français dont la géolocalisation pour les services de proximité.
Dans ce cadre, la CNIL a contrôlé CITYSCOOT, société opérant dans le secteur de la mobilité, et constaté différents manquements au RGPD dans une délibération du 16 mars 20233, faisant application d’une doctrine qu’elle avait déjà pu développer à l’égard de la société UBEEQO en 20224.
Dans cette délibération, la formation restreinte rappelle que si des données de géolocalisation ne sont pas des données sensibles au sens de l’article 9 du RGPD, elles sont néanmoins considérées, de longue date, par le groupe de travail de l’article 29 comme des « données à caractère hautement personnel »5.
Aussi, après avoir analysé la pertinence des données de géolocalisation pour chacune des finalités avancées par la société, l’autorité a considéré qu’aucune de ces finalités ne justifiait la collecte des données de géolocalisation des clients de CITYSCOOT toutes les trente secondes, pendant toute la durée de la location.
Cette conclusion confirme la sévérité de la CNIL dans son appréciation du respect du principe de minimisation au regard de la fréquence de collecte de données de géolocalisation dans ce secteur d’activité. A cet égard, la CNIL avait déjà jugé qu’une collecte de ces données tous les 500 mètres ne pouvait être justifiée pour les finalités alors avancées par la société mise en cause6, illustrant une nouvelle fois une doctrine inadaptée à ce secteur que le Conseil d’Etat n’a toutefois pas souhaité remettre en cause7.
La CNIL rappelle également que ces « données de localisation sont particulièrement révélatrices des habitudes de vie des personnes concernées », et que le CEPD avait déjà recommandé dans ses lignes directrices que « les constructeurs de véhicules et d’équipements, les prestataires de services et les autres responsables du traitement devraient particulièrement veiller à ne pas collecter de données de localisation, à moins que cela ne soit absolument nécessaire pour la finalité du traitement »8.
La formation restreinte estime en ce sens que CITYSCOOT pourrait proposer un service identique sans collecter les données de géolocalisation de manière quasi-permanente, révélant ainsi l’existence, selon elle, de moyens moins intrusifs pour atteindre les mêmes finalités, caractérisant in fine une méconnaissance du principe de minimisation.
Telle a également été la conclusion de l’autorité dans sa délibération sanctionnant KG COM, société proposant des consultations de voyance à distance9. En effet, dans le cadre de ses contrôles, la CNIL a constaté que KG COM enregistrait systématiquement l’intégralité des appels téléphoniques entre ses téléopérateurs et prospects, ainsi qu’entre les voyants et les clients.
Après un rappel de sa jurisprudence relative aux enregistrements des conversations téléphoniques de salariés à des fins de formation10, la CNIL juge par analogie que l’enregistrement intégral et systématique par KG COM des échanges des téléopérateurs et des voyants à des fins de contrôle de la qualité du service est contraire au principe de minimisation. Plus précisément, l’autorité estime que la mise en cause n’a pu justifier la nécessité de ces enregistrements au regard de la finalité poursuivie, et que des moyens moins intrusifs sont envisageables.
Dans le secteur des transports, de la logistique et de l’expédition, la CNIL est venue sanctionner AMAZON FRANCE LOGISTIQUE11, après avoir également sanctionné la société SAF LOGISTICS pour collecte excessive de données à caractère personnel concernant ses salariés, caractérisant une méconnaissance du principe de minimisation12.
En juillet 2020, cette société a distribué un formulaire destiné aux salariés souhaitant candidater à un poste en Chine, ces derniers devant renseigner « de nombreuses informations relatives à leur vie privée, notamment l’ethnie, l’affiliation à un parti politique, leur situation familiale ainsi que le nom de leurs parents, de leurs éventuels frères, sœurs et enfants ».
La CNIL a relevé dans sa délibération que la collecte excessive d'informations n'était pas justifiée pour la finalité initiale, à savoir obtenir les coordonnées d'une personne de contact. De même, des détails sur plusieurs membres de la famille étaient requis, bien que non nécessaire à la finalité poursuivie.
Enfin, l’autorité a conclu que le nombre important et la variété des données à caractère personnel collectées ne trouvaient pas de justification dans la nécessité de contacter les proches en cas d'urgence, estimant qu'il aurait suffi de recueillir le nom, prénom, lien de parenté et numéro de téléphone du contact désigné en cas d’urgence.
La conservation des données à caractère personnel
Le respect du principe de limitation de la conservation des données à caractère personnel selon lequel les données à caractère personnel doivent être conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées, reste un sujet majeur pour la mise en conformité au RGPD des entreprises. La CNIL a prononcé plusieurs sanctions en 2023 pour non-respect de cette obligation.
A la suite d’une plainte de l’association Privacy International, la CNIL a procédé à quatre missions de contrôle conduisant à l’adoption d’une délibération sanctionnant DOCTISSIMO13, société exploitant le site web www.doctissimo.fr, qui propose principalement des articles, tests, quiz et forums de discussion en lien avec la santé et le bien-être, à destination du grand public.
La CNIL a ainsi relevé plusieurs manquements, notamment concernant les durées de conservation des données à caractère personnel. En effet, depuis le 11 octobre 2020, la société conservait les données relatives aux tests effectués par les internautes pendant 3 mois à compter de leur réalisation, contre 24 mois avant cette date. Toutefois, la CNIL a jugé que ces durées de conservation étaient excessives au regard de la finalité poursuivie, à savoir de permettre à l’utilisateur de prendre connaissance des résultats des tests, de les partager ou de réaliser des statistiques agrégées.
L’autorité a également constaté que des données des utilisateurs dont le compte était inactif depuis plus de trois ans étaient également illicitement conservées. Pour rappel, dans son référentiel relatif aux traitements aux fins de gestion des activités commerciales, la CNIL estime que les comptes inactifs ne devraient pas être conservés plus de deux ans14.
Dans sa délibération à l’encontre de KG COM15, la CNIL a également constaté ce manquement. En effet, lors de la procédure de contrôle, la société a indiqué que « figurent dans sa base de données, en base active, des données à caractère personnel de […] clients n’ayant pas eu de consultation avec un voyant depuis plus de trois ans, dont au moins […] clients n’ont pas eu de consultation avec un voyant depuis plus de cinq ans ».
La formation restreinte rappelle ici qu’à l’issue de la relation commerciale, certaines données des clients peuvent être conservées pour cette finalité en archivage intermédiaire, et renvoie à cet égard aux recommandations formulées dans le référentiel relatif aux traitements aux fins de gestion des activités commerciales16.
Enfin, la société NS CARDS, spécialisée dans la distribution de monnaie électronique, offre la possibilité d'utiliser des coupons Neosurf, qui peuvent être adossés à la création d'un porte-monnaie électronique. Cette démarche implique la création d'un compte utilisateur sur le site web Neosurf ou via l'application mobile Neosurf et de le créditer au moyen des coupons ou d’une carte bancaire.
Dans sa délibération du 29 décembre 202317, la CNIL a sanctionné NS CARDS pour avoir défini une durée de conservation de dix ans des données collectées lors de la création de leurs comptes par les utilisateurs et ce, à compter de la dernière opération effectuée sur le compte, alors que, dans les faits, les comptes étaient uniquement inactivés à l’issue de cette durée, tandis que ces données étaient conservées en base de production pour une durée indéterminée. En outre, aucune purge n’avait été réalisée dans les bases de données de la société depuis le début de son activité en 2005 (i.e. conservation de 70 049 comptes inactifs depuis plus de dix ans).
La licéité du traitement
La question de la base légale applicable
Le respect du principe de licéité selon lequel une base légale doit être appropriée au traitement considéré a encore été un point d’attention de la CNIL lors de ses différents contrôles.
Dans la délibération KG COM, la rapporteure de la CNIL avait à ce titre relevé que les données bancaires des clients de la société étaient conservées au-delà du temps strictement nécessaire à la transaction, et sans recueillir le consentement préalable des personnes concernées. La société considérait que la conservation des données bancaires de ses clients avait pour finalité l’achat de crédits, reposant sur la base légale de l’exécution du contrat18, mais également pour la lutte contre la fraude, sur la base de son intérêt légitime.
La CNIL rappelle ici sa doctrine concernant la conservation de coordonnées bancaires lors de transactions en ligne, selon laquelle « la conservation des données relatives à la carte de paiement au-delà de la réalisation d'une transaction à des fins de lutte contre la fraude à la carte de paiement […] relève de l'intérêt légitime du responsable de traitement […] »19. En revanche, cette base légale ne peut être mobilisée lorsque les données bancaires sont conservées à des fins de re-créditage. Dans le contexte d’un paiement unique, la CNIL estime que « le numéro de carte bancaire ne peut être collecté et traité que pour permettre la réalisation d'une transaction dans le cadre de l'exécution du contrat […] en cas de contrat impliquant un paiement unique, […] les données n'ont donc pas vocation à être conservées au-delà du temps de transaction commerciale ». En conséquence, la formation restreinte considère qu’un manquement à l’article 6, paragraphe 1, du RGPD est constitué. Il sera intéressant à l’avenir d’observer comment l’ACPR et la CNIL articuleront leurs doctrines respectives sur la finalité du paiement par carte bancaire ou par mandat SEPA, dans la mesure où le régulateur financier n’accorde pas au paiement par carte bancaire l’exclusivité d’un usage uniquement réservé à un paiement ponctuel.
Les manquements liés à l’interdiction du traitement de données sensibles
Lors de ses contrôles durant l’année 2023, la CNIL a également constaté des manquements à l’article 9 du RGPD, concernant les conditions de traitement des données sensibles.
La CNIL a ainsi constaté que DOCTISSIMO ne prévoyait aucun avertissement particulier ni mécanisme sur ses tests en ligne afin de s’assurer que l’utilisateur avait conscience et consentait au traitement de ses données de santé. La formation restreinte relève à cet égard qu’il a été démontré que le système de hachage des adresses IP mis en place ne permettait pas d’empêcher la réidentification des utilisateurs du site web et que la société DOCTISSIMO était en mesure d’associer les réponses issues des tests effectués à l’adresse IP, d’une part, aux informations d’un titulaire d’un compte sur le site web doctissimo.fr, d’autre part. La formation restreinte rappelle aussi qu’elle a déjà adopté des mesures correctrices à l’encontre de responsables de traitement ne recueillant pas le consentement exprès des personnes à la collecte et au traitement de leurs données sensibles20.
Similairement, dans le cadre de l’affaire KG COM, la rapporteure constate que les voyants ont la possibilité de rédiger des commentaires sur les fiches clients de la société après une consultation21. Elle note que, parmi ces commentaires, figurent des informations révélées par les clients concernant leur santé et leur orientation sexuelle. Toutefois, elle relève que, lors de la création du compte utilisateur, la société ne recueille pas l’accord de la personne concernée pour l’utilisation de ces données.
En outre, la formation restreinte considère que les mesures prises par la société ne correspondent pas à une technique d’anonymisation des données des clients mais à une simple pseudonymisation, dans la mesure où l’identifiant, associé au commentaire, et les informations qu’il comporte, permettent de réidentifier le client concerné.
La formation restreinte relève ensuite qu’aucune exception au principe de prohibition du traitement de ces données sensibles autre que le consentement explicite des utilisateurs ne pourrait trouver à s’appliquer. Cette position est beaucoup plus stricte que celle retenue par la formation plénière de la CNIL dans ses lignes directrices sur l’intelligence artificielle, notamment l’inapplicabilité de l’obligation de recueillir le consentement des personnes lors de la collecte en masse de données disponibles publiquement (« scraping »), destinées à entraîner des modèles d’intelligence artificielle.
C’est probablement la raison pour laquelle, la formation restreinte a cru devoir rappeler que le caractère explicite du consentement s’analyse au cas par cas et dépend du contexte du traitement des données sensibles. Lorsque le service demandé par l’utilisateur implique nécessairement le traitement de données sensibles, il est cependant impératif que l’utilisateur ait pleinement conscience de ce que ses données sensibles seront traitées et parfois conservées par le responsable de traitement. Cette précaution implique en principe une information explicite sur ce point lors du recueil du consentement, et la formation restreinte rappelle que « le renseignement spontané de telles données n’exonère pas la société de l’obligation de recueillir le consentement exprès des personnes qui doivent être en mesure de manifester par une action positive leur assentiment au traitement de données sensibles, attestant ainsi que le consentement est donné en toute connaissance de cause »22.
Concernant la société SAF LOGISTICS, la rapporteure relève que la traduction du formulaire communiquée le 25 septembre 2020 au soutien de la plainte initiale à l’encontre de SAF LOGISTICS23, a permis de révéler que certaines données collectées auprès des salariés relèvent des données sensibles également visées à l’article 9 du RGPD.
Or, la rapporteure considère que dès lors qu’il est obligatoire de remplir ces champs du formulaire pour pouvoir candidater en Chine, le consentement des salariés n’est pas librement donné, et qu’il n’est pas exclu que le refus d’un salarié de remplir ces champs l’empêche de candidater en Chine. Si la société soutient que le formulaire était facultatif et que les salariés ont donné leur consentement, la formation restreinte note que la société n’a produit aucun document permettant d’attester que le consentement des salariés aurait été recueilli pour collecter leurs données à caractère personnel dans le cadre dudit formulaire.
La formation restreinte considère en outre, que dès lors qu’un salarié souhaitait candidater en Chine, il n’avait d’autre véritable choix que de remplir ce formulaire et en particulier de renseigner les données sensibles. Or, il est admis de longue date dans la doctrine européenne qu’« au vu de la dépendance résultant de la relation employeur/employé, il est peu probable que la personne concernée soit en mesure de refuser de donner son consentement à son employeur »24. Ainsi, la formation restreinte estime que le consentement des salariés ne pouvait pas être qualifié de libre, et ce d’autant moins s’agissant de salariés engagés dans une démarche de mobilité auprès de leur employeur. Les conditions prévues par l’article 4(11) du RGPD relatives au consentement ne sont par conséquent pas remplies.
Les manquements pour non-respect des droits des personnes concernées
Les personnes concernées par des traitements de données à caractère personnel disposent de droits garantis par le RGPD leur permettant de garder la maîtrise des informations les concernant. Au cours de l’année 2023, la CNIL a notamment constaté des manquements relatifs au droit à l’information des personnes concernées.
La CNIL a ainsi sanctionné KG COM25 pour défaut d’accessibilité des mentions d’information requises par l’article 13 du RGPD lors la création d’un compte utilisateur, puisque plusieurs actions de l’utilisateur étaient nécessaires avant d’obtenir une information complète.
La formation restreinte rappelle ici que les mentions d’information requises au titre du RGPD doivent être aisément accessibles aux personnes concernées, sans que ces dernières n’aient besoin de les rechercher activement.
En outre, l’autorité a également relevé qu’au jour des contrôles, certaines informations, obligatoires au titre de l’article 13 du RGPD, n’étaient pas communiquées aux utilisateurs du site et que les prospects n’étaient pas informés, lors des appels, de l’enregistrement des conversations téléphoniques, de la possibilité de s’y opposer et des traitements qui étaient mis en œuvre à partir des données collectées à cette occasion.
Les délibérations adoptées à l’encontre de CRITEO26 et NS CARDS27 constatent également l’absence de certaines mentions d’information, telles que certaines finalités, ou encore un manque de clarté entourant le recours au consentement ou concernant les durées de conservation des données.
Même si la sanction prononcée à l’encontre de CRITEO fait l’objet d’un recours devant le Conseil d’Etat, ces délibérations sont l’occasion pour la CNIL de rappeler qu’elle contrôle avec rigueur les modalités d’information des personnes concernées, confirmant ainsi l’importance pour les responsables de traitement d’un contrôle régulier de la cohérence des politiques relatives aux traitements des données à caractère personnel avec leurs activités.
Par ailleurs, dans sa délibération à l’encontre de NS CARDS28, la CNIL rappelle, après avoir constaté que la politique de confidentialité du site était disponible uniquement en anglais, que l’information fournie uniquement dans cette langue, alors qu’elle vise des traitements de données ciblant majoritairement un public francophone, ne permet pas aux personnes concernées d’apprécier à l’avance la portée et les conséquences des traitements et n’est, en ce sens, pas conforme aux exigences de transparence requises par le RGPD.
Par conséquent, l’autorité rappelle ici l’importance de fournir une information compréhensible par la personne concernée, et notamment dans sa langue.
Les manquements relatifs aux conditions de validité du consentement
Dans le cadre de sa thématique prioritaire de contrôle pour l’année 2022, la CNIL s’est intéressée aux pratiques des professionnels du secteur de la publicité digitale, et plus particulièrement aux modalités de collecte du consentement des personnes concernées (a), et celles permettant la transmission de données entre partenaires (b).
Les modalités de recueil d’un consentement valide
Dans ce contexte, la CNIL a notamment engagé une procédure de contrôle à l’encontre de TAGADAMEDIA, société exploitant principalement des sites en ligne de jeux-concours et de tests de produits29.
Sur la base des constatations effectuées lors des contrôles, la formation restreinte a considéré que les formulaires utilisés par TAGADAMEDIA ne permettaient pas de recueillir valablement le consentement des prospects et notamment en vue de la transmission de leurs données à des partenaires de l'entreprise aux fins de prospection commerciale.
En effet, la CNIL a relevé que la mise en avant du bouton de consentement par rapport à celui de refus, ainsi que la présentation incomplète et en taille réduite du texte, incitent fortement les utilisateurs à accepter la transmission de leurs données à des tiers partenaires de la société. La CNIL rappelle à cet égard que le Conseil d’Etat a déjà retenu que « le consentement libre, spécifique, éclairé et univoque ne peut qu'être un consentement exprès de l'utilisateur, donné en toute connaissance de cause et après une information adéquate sur l'usage qui sera fait de ses données personnelles »30.
En outre, la formation restreinte relève, à titre d’exemple, que les lignes directrices 5/2020 sur le consentement, précisent que le caractère libre du consentement « implique un choix et un contrôle réel pour les personnes concernées. En règle générale, le RGPD dispose que si la personne concernée n’est pas véritablement en mesure d’exercer un choix, se sent contrainte de consentir ou subira des conséquences négatives importantes si elle ne donne pas son consentement, le consentement n’est pas valable […] En termes généraux, toute pression ou influence inappropriée exercée sur la personne concernée (pouvant se manifester de différentes façons) l’empêchant d’exercer sa volonté rendra le consentement non valable »31.
Le partage de données avec des tiers
À la suite de plaintes déposées par les associations Privacy International et None of Your Business, la CNIL a procédé à plusieurs missions de contrôle et adopté une délibération à l’encontre de CRITEO32, société spécialisée dans le domaine de la publicité personnalisée.
CRITEO collecte des données de navigation grâce à un traceur déposé sur les terminaux des utilisateurs naviguant sur certains sites web partenaires. Les habitudes de navigation peuvent ainsi être analysées pour identifier la publicité la plus pertinente à afficher.
Lors de ses investigations, l’autorité a relevé plusieurs manquements concernant, en particulier, l’absence de preuve du consentement des personnes au traitement de leurs données à caractère personnel. En effet, la CNIL a constaté que le traceur était déposé par plusieurs partenaires de la société sur le terminal des utilisateurs sans leur consentement, pourtant requis.
La société, invoquant la jurisprudence Fashion ID33, a fait valoir que, bien que responsables conjoints de traitement, ses éditeurs de site internet restent les mieux placés pour collecter le consentement des personnes concernées puisque le traceur est déposé dans le terminal des utilisateurs lors de la navigation sur lesdits sites.
Toutefois, la CNIL a jugé que CRITEO est tout de même tenue d’une obligation de vérifier et de démontrer que les utilisateurs ont valablement donné leur consentement. En effet, la formation restreinte rappelle qu’en cas de responsabilité conjointe, l’article 26 du RGPD oblige les responsables de traitement conjoints à s’assurer, par le biais d’un accord, qu’ils respectent mutuellement le RGPD et notamment qu’ils organisent entre eux la meilleure façon de garantir le respect des droits des personnes34.
Ainsi, la formation restreinte a donc prononcé une amende à l’encontre de CRITEO en raison de l’absence, au moment des contrôles, de mesures lui permettant de s’assurer que ses partenaires recueillaient valablement le consentement des utilisateurs, de clauses dans les contrats conclus avec les partenaires obligeant ces derniers à fournir la preuve du consentement des utilisateurs, ou encore de mise en œuvre d’audits des partenaires.
A ce jour, en comptant la délibération CRITEO, trois délibérations de la CNIL35 ont fait application de sa doctrine relative au partage de responsabilité entre le collecteur du consentement et les bénéficiaires de celui-ci, responsables de traitements ultérieurs et souhaitant s’en prévaloir. Cette position trouve ses racines dans le référentiel relatif aux traitements aux fins de gestion des activités commerciales36 dans lequel l’autorité développe sa doctrine sur les modalités de transmission des données à des partenaires pour des opérations de prospection commerciale.
Il est à noter que deux des trois délibérations portant sur ce point spécifique font l’objet d’un recours devant le Conseil d’Etat.
L’information et le consentement préalable au dépôt et à la lecture de traceurs
En application de la directive ePrivacy, les internautes doivent être informés et donner leur consentement préalablement au dépôt et à la lecture de certains traceurs sur leur terminal, tandis que d’autres sont dispensés du recueil de ce consentement. La CNIL a particulièrement contrôlé la conformité des responsables du traitement dans ce domaine.
Concernant NS CARDS37, la CNIL a constaté le dépôt de cookies sur le terminal de l’utilisateur sans son accord. Or, dans la mesure où ces cookies peuvent comporter des fonctionnalités publicitaires et, en tout état de cause, permettent de collecter des données pouvant être utilisées pour maintenir et fournir le service Google Analytics, ils ne peuvent être déposés sur le terminal de l’utilisateur sans son accord.
En outre, la société avait recours au service reCAPTCHA depuis 2007 par Google, lors de la création du compte et lors de la connexion sur le site web et l’application mobile. Ce service fonctionne avec une collecte d’informations matérielles et logicielles (telles que les données sur les appareils et les applications). Alors que les données collectées étaient transmises à Google pour analyse, la société ne fournissait aucune information à l'utilisateur et ne recueillait pas son accord préalable, que ce soit pour accéder aux informations stockées sur son équipement ou pour écrire des informations sur celui-ci.
La formation restreinte considère que si un responsable de traitement peut se prévaloir d’une exemption à l’information et au recueil du consentement lorsque les opérations de lecture/écriture effectuées dans le terminal d’un utilisateur ont pour seule finalité la sécurisation d’un mécanisme d’authentification au bénéfice des utilisateurs38, il en va autrement lorsque ces opérations poursuivent également d’autres finalités qui ne sont pas strictement nécessaires à la fourniture d’un service.
Selon la formation restreinte, le mécanisme de reCAPTCHA de Google n’a pas pour seule finalité la sécurisation du mécanisme d’authentification au bénéfice des utilisateurs mais permet par ailleurs des opérations d’analyse de la part de Google, ce que la société Google précise elle-même dans ses conditions générales d’utilisation. L’absence de recueil d'accord au dépôt de cookies Google Analytics a concerné chaque visiteur du site web, soit plusieurs centaines de milliers de personnes. De même, l’absence de recueil d'accord à l’utilisation du reCAPTCHA a concerné potentiellement chacun des 700 000 titulaires de comptes à la date des contrôles.
Dans la délibération CITYSCOOT39, la CNIL a rappelé que le Conseil d’Etat a jugé40 qu’au titre des obligations qui pèsent sur l’éditeur d’un site qui dépose des « cookies tiers », figurent celle de s’assurer auprès de ses partenaires, d’une part, qu’ils n’émettent pas, par l’intermédiaire de son site, des traceurs qui ne respectent pas la réglementation applicable en France, et d’autre part, celle d’effectuer toute démarche utile auprès d’eux pour mettre fin à des manquements. Le Conseil d’Etat a en particulier jugé que « les éditeurs de site qui autorisent le dépôt et l'utilisation de tels cookies » par des tiers à l'occasion de la visite de leur site doivent également être considérés comme responsables de traitement, alors même qu'ils ne sont pas soumis à l'ensemble des obligations qui s'imposent au tiers qui a émis le cookie, notamment lorsque ce dernier conserve seul la maitrise du respect de sa finalité ou de sa durée de conservation. La formation restreinte précise d’ailleurs qu’elle a déjà consacré la responsabilité des éditeurs de sites internet dans plusieurs décisions41.
Or en l’espèce, la société CITYSCOOT avait également recours au mécanisme de reCAPTCHA, fourni par la société Google, lors de la création du compte sur l’application mobile ainsi que lors de la connexion et la procédure de mot de passe oublié sur le site web. Partant, alors que les données collectées sont transmises à Google pour analyse, la société ne fournissait aucune information à l'utilisateur et ne recueillait pas son consentement préalable, que ce soit pour accéder aux informations stockées sur son équipement ou pour écrire des informations sur celui-ci.
Enfin, et de façon classique, dans ses délibérations prononcées à l’encontre de DOCTISSIMO42, KG COM43 et YAHOO EMEA LIMITED44, la CNIL a constaté et sanctionné des manquements relatifs aux modalités de collecte du consentement des utilisateurs au dépôt et la lecture du cookie sur leur terminal des personnes, soit en raison de l’absence pure et simple de collecte dudit consentement, en raison de mentions d’information insuffisantes, ou encore pour des mécanismes n’assurant pas le caractère libre du consentement.
En 2023, le respect des dispositions applicables au recours aux cookies et autres traceurs, et spécifiquement les modalités de collecte du consentement des utilisateurs, reste ainsi encore un grief important soulevé par la CNIL dans ses délibérations.
Les obligations des responsables de traitement et sous-traitants
Le Chapitre IV du RGPD impose une série d’obligations de conformité règlementaire aux entités qualifiées de responsable du traitement ou de sous-traitant. La CNIL a prononcé plusieurs sanctions pour des manquements relatifs à (a) l’encadrement contractuel des responsabilités conjointes, aux (b) obligations en matière de sous-traitance, ou encore à (c) à la tenue d’un registre des activités de traitement.
L’encadrement de la responsabilité conjointe conformément à l’article 26 du RGPD
Dans le cadre d’une relation de responsabilité conjointe, l’article 26 du RGPD impose aux responsables de traitement de définir de manière transparente leurs obligations respectives. En pratique, il s’agit de déterminer contractuellement la répartition des responsabilités des parties dans le cadre d’une chaîne de traitement. A cet égard, la CNIL a constaté plusieurs manquements dans ses délibérations adoptées en 2023.
Ainsi, la CNIL a sanctionné DOCTISSIMO45 et CRITEO46 pour ne pas avoir formalisé ou pour avoir formalisé de façon insuffisamment complète leurs relations de responsabilité conjointe avec leurs partenaires dans un contrat précisant leurs obligations respectives, notamment vis-à-vis de l’exercice des droits des personnes concernées et des notifications de violations de données à caractère personnel.
Ces délibérations rappellent l’importance de formaliser les relations entre des responsables conjoints de traitement - élément qui est souvent négligé au profit de l’obligation d’encadrer les relations avec les sous-traitants. Néanmoins, cette exigence ne tient pas compte des situations très fréquentes dans lesquelles des responsables conjoints ne sont pas en mesure de nouer des relations contractuelles négociées, tel est le cas, par exemple, des réseaux d’enchères publicitaires.
L’encadrement de la sous-traitance conformément à l’article 28 du RGPD
De façon similaire, la CNIL est venue rappeler les principes encadrant la relation entre un responsable du traitement et un sous-traitant. A ce titre, elle a relevé différents manquements aux dispositions de l’article 28 du RGPD.
Au gré de ses délibérations prononcées à l’encontre de CITYSCOOT47, KG COM48 ou encore CANAL+49, la CNIL a d’une part constaté le défaut de contractualisation avec certains sous-traitants et, d’autre part, le défaut de certaines mentions requises par l’article 28 du RGPD, et notamment celles relatives aux données à caractère personnel collectées, aux mesures de sécurité ou encore au sort des données à la fin du contrat.
Aujourd’hui encore, la conformité à l’article 28 du RGPD des contrats conclus entre un responsable de traitement et ses sous-traitants reste un grief régulièrement constaté et retenu par la CNIL.
La tenue d’un registre des activités de traitement
Le non-respect de l’obligation de tenir un registre des activités de traitement, dans les conditions de l’article 30 du RGPD, est quant à lui un grief régulièrement constaté dans le cadre de mises en demeures, mais rarement sanctionné par la CNIL.
Par conséquent, il est intéressant de noter que la formation restreinte a retenu ce grief dans sa délibération prononcée en l’encontre de TAGADAMEDIA50, qui aurait dû, selon la CNIL, au regard du nombre de données traitées et de son activité, veiller au caractère exhaustif, précis et à jour de son registre des activités de traitement.
L’amende prononcée par la CNIL s’élevant à 75 000 euros, il n’est toutefois pas possible de déterminer le quantum applicable au manquement à l’article 30 du RGPD.
Les manquements relatifs à l’obligation de sécurité
L’obligation de sécurité en matière de traitement de données à caractère personnel, inscrite dans la loi depuis 1978, renforcée par l’article 32 du RGPD, et selon laquelle le responsable du traitement doit assurer la sécurité des données à caractère personnel qu’il traite est, sans grande surprise, un point d’attention de la CNIL lors de ses contrôles.
Ainsi, selon la CNIL, DOCTISSIMO a manqué à ses obligations en vertu de l’article 32 du RGPD en raison de son défaut de sécurisation des données à caractère personnel51. Les mesures de sécurité insuffisantes incluent l’utilisation du protocole « http » au lieu de « https » sur son site web, exposant ainsi les données à caractère personnel, y compris des informations de santé, à des risques d'interception ou de modification.
La CNIL relève à titre d’éclairage que la nécessité d’assurer la confidentialité des canaux de transmission de données à caractère personnel est soulignée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) depuis 2013 qui précise que « la mise en place de HTTPS sur un site ou une application web est une garantie de sécurité qui repose sur TLS pour assurer la confidentialité et l’intégrité des informations échangées, ainsi que l’authenticité du serveur contacté. L’absence de cette garantie peut entraîner de nombreux abus sans pour autant que l’intention soit malveillante »52.
De plus, la société a été critiquée pour le stockage inadéquat des mots de passe des utilisateurs, en utilisant notamment l'algorithme MD5, qui est considéré comme obsolète et vulnérable.
En outre, la formation restreinte rappelle que, de jurisprudence constante53, la survenance d’une violation de données n’est pas nécessaire à la caractérisation d’un manquement relatif à l’obligation de sécurité, quand bien même aucune exploitation d’une mesure de sécurité réputée absente n’a été avérée.
Dans sa délibération à l’encontre de KG COM54, la formation restreinte a jugé que des règles de complexité des mots de passe trop permissives, qui autorisent l’utilisation de mots de passe insuffisamment robustes, peuvent conduire à des attaques par des tiers non autorisés, telles que des attaques par « force brute » ou « par dictionnaire », qui consistent à tester successivement et de façon systématique de nombreux mots de passe et conduisent, ainsi, à une compromission des comptes associés et des données à caractère personnel qu’ils contiennent. Elle relève, à cet égard, que la nécessité d’un mot de passe fort est recommandée tant par l’ANSSI que par la CNIL55. En l’espèce, la formation restreinte relève que les mots de passe des utilisateurs du site web www.voyance-en-direct.tv peuvent être composés d’un seul caractère.
Concernant NS CARDS56, les règles de complexité des mots de passe des comptes utilisateurs étaient également insuffisamment robustes. En outre, près de 50 000 mots de passe étaient conservés en clair dans la base de données et associés à l’adresse électronique et l’identifiant des utilisateurs.
Enfin, s’agissant des mots de passe qui étaient stockés sous une forme hachée et salée, la fonction de hachage utilisée était obsolète (SHA-1). Selon la formation restreinte, ces défauts de sécurité exposaient les données de comptes à des risques d’attaques informatiques ou de fuite.
References
1 Commission nationale de l'informatique et des libertés.
2 CNIL, Rapport annuel 2023, 23 avril 2024, https://www.cnil.fr/fr/la-cnil-publie-son-rapport-annuel-2023.
3 CNIL, Délibération SAN-2023-003 du 16 mars 2023.
4 CNIL, Délibération SAN-2022-015 du 7 juillet 2022.
5 G29, Lignes directrices du 4 octobre 2017 concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est « susceptible d’engendrer un risque élevé » aux fins du règlement (UE) 2016/679.
6 CNIL, Délibération SAN-2022-015 du 7 juillet 2022.
7 Conseil d'État, décision n°467368 du 6 décembre 2023.
8 CEPD, Lignes directrices 01/2020 sur le traitement des données à caractère personnel dans le contexte des véhicules connectés et des applications liées à la mobilité.
9 CNIL, Délibération SAN-2023-008 du 8 juin 2023.
10 CNIL, Délibération SAN-2020-003 du 28 juillet 2020.
11 CNIL, Délibération SAN-2023-021 du 27 décembre 2023.
12 CNIL, Délibération SAN-2023-013 du 18 septembre 2023.
13 CNIL, Délibération SAN-2023-006 du 11 mai 2023.
14 CNIL, Délibération n° 2021-131 du 23 septembre 2021 portant adoption d'un référentiel relatif aux traitements de données à caractère personnel mis en œuvre aux fins de gestion des activités commerciales.
15 CNIL, Délibération SAN-2023-008 du 8 juin 2023.
16 CNIL, Délibération n° 2021-131 du 23 septembre 2021 portant adoption d'un référentiel relatif aux traitements de données à caractère personnel mis en œuvre aux fins de gestion des activités commerciales.
17 CNIL, Délibération SAN-2023-023 du 29 décembre 2023.
18 CNIL, Délibération SAN-2023-008 du 8 juin 2023.
19 CNIL, Délibération n° 2018-303 du 6 septembre 2018 portant adoption d'une recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance et abrogeant la délibération n° 2017-222 du 20 juillet 2017.
20 CNIL, Délibération 2016-405 du 15 décembre 2016 ; CNIL, Délibération 2016-406 du 15 décembre 2016.
21 CNIL, Délibération SAN-2023-008 du 8 juin 2023.
22 Voir en ce sens déjà : CNIL, Délibération 2016-405 du 15 décembre 2016 ; CNIL, Délibération 2016-406 du 15 décembre 2016.
23 CNIL, Délibération SAN-2023-013 du 18 septembre 2023.
24 CEPD, Lignes directrices 5/2020 sur le consentement au sens du règlement (UE) 2016/679.
25 CNIL, Délibération SAN-2023-008 du 8 juin 2023.
26 CNIL, Délibération SAN-2023-009 du 15 juin 2023.
27 CNIL, Délibération SAN-2023-023 du 29 décembre 2023.
28 CNIL, Délibération SAN-2023-023 du 29 décembre 2023.
29 CNIL, Délibération SAN-2023-025 du 29 décembre 2023.
30 Conseil d'État, décision n°430810 du 19 juin 2020.
31 CEPD, Lignes directrices 5/2020 sur le consentement au sens du règlement (UE) 2016/679.
32 CNIL, Délibération SAN-2023-009 du 15 juin 2023.
33 Cour de Justice de l’Union européenne, 29 juillet 2019, C 40/17.
34 CEPD, Lignes directrices 07/2020 concernant les notions de responsable du traitement et de sous-traitant dans le RGPD.
35 CNIL, Délibération SAN-2023-015 du 12 octobre 2023 ; CNIL, Délibération SAN-2022-021 du 24 novembre 2022.
36 CNIL, Délibération n° 2021-131 du 23 septembre 2021 portant adoption d'un référentiel relatif aux traitements de données à caractère personnel mis en œuvre aux fins de gestion des activités commerciales.
37 CNIL, Délibération SAN-2023-023 du 29 décembre 2023.
38 Voir en ce sens CNIL, Délibération SAN-2021-013 du 27 juillet 2021.
39 CNIL, Délibération SAN-2023-003 du 16 mars 2023.
40 Conseil d'État 412589, lecture du 6 juin 2018.
41 CNIL, Délibération SAN-2021-013 du 27 juillet 2021.
42 CNIL, Délibération SAN-2023-003 du 16 mars 2023.
43 CNIL, Délibération SAN-2023-008 du 8 juin 2023.
44 CNIL, Délibération SAN-2023-024 du 29 décembre 2023.
45 CNIL, Délibération SAN-2023-006 du 11 mai 2023.
46 CNIL, Délibération SAN-2023-009 du 15 juin 2023.
47 CNIL, Délibération SAN-2023-003 du 16 mars 2023.
48 CNIL, Délibération SAN-2023-008 du 8 juin 2023.
49 CNIL, Délibération SAN-2023-015 du 12 octobre 2023.
50 CNIL, Délibération SAN-2023-025 du 29 décembre 2023.
51 CNIL, Délibération SAN-2023-006 du 11 mai 2023.
52 ANSSI, Recommandations pour la mise en œuvre d'un site web : maîtriser les standards de sécurité côté navigateur.
53 CNIL, Délibération SAN-2019-006 du 13 juin 2019 ; CNIL, Délibération SAN-2021-021 du 28 décembre 2021.
54 CNIL, Délibération SAN-2023-008 du 8 juin 2023.
55 CNIL, Délibération n° 2022-100 du 21 juillet 2022 portant adoption d'une recommandation relative aux mots de passe et autres secrets partagés et abrogeant la délibération n° 2017-012 du 19 janvier 2017.
56 CNIL, Délibération SAN-2023-023 du 29 décembre 2023
