Plus d’information et de sécurité, et un retour à l’orthodoxie

Dans ses délibérations adoptées à l’encontre des sociétés Discord Inc., EDF et Free³, la CNIL apporte des précisions en matière d’information des personnes relativement à la durée de conservation des données (i) et rappelle sa position en matière de sécurité (ii). Par ailleurs, l’autorité de protection des données a conclu à l’inapplicabilité du RGPD dans sa délibération singulière Lusha Inc.⁴(iii).

Durée de conservation : la CNIL insiste sur la communication de durées précises

Le responsable de traitement est tenu d’informer la personne concernée de la durée de conservation appliquée aux données collectées ou, à défaut, des critères utilisés pour déterminer celle-ci. L’EDPB précise dans ses Lignes Directrices sur la transparence⁵ que la personne concernée doit être informée des diverses périodes de stockage pour chaque catégorie de données personnelles et/ou finalités des traitements. Cependant, les politiques de confidentialité contiennent fréquemment des clauses évoquant des critères liés à la réalisation des finalités plutôt qu’à des durées précises.

Dans sa délibération adoptée à l’encontre de Discord Inc., la CNIL rappelle explicitement que « le recours aux "critères utilisés pour déterminer cette durée" n’est permis que lorsqu’il n’est pas possible de fournir une durée précise. Or, tel n’est pas le cas en l’espèce s’agissant des traitements mis en œuvre par la société ». Dès lors, Discord Inc. est sanctionnée pour ne pas avoir communiqué une durée de conservation précise à ses utilisateurs alors qu’elle le pouvait.

La CNIL estime ainsi que le recours aux critères pour déterminer une durée de conservation est réservé aux situations dans lesquelles la détermination d’une durée précise est impossible. Une question demeure : dans quelles conditions, selon le régulateur, un responsable de traitement peut valablement justifier l’impossibilité de fournir une durée de conservation précise, lui permettant ainsi de fournir les critères utilisés pour déterminer une durée de conservation ?

Les prochaines délibérations de la CNIL seront à surveiller de près pour anticiper une éventuelle évolution de son interprétation du niveau d’information à fournir aux personnes concernées en matière de durée de conservation.

L’accent sur la sécurité des données et l’évolution du paradigme des mots de passe

Dans ses délibérations adoptées à l’encontre des sociétés EDF, Free et Discord Inc., ces dernières sont sanctionnées pour des manquements aux obligations en matière de sécurité des données, et notamment au sujet des politiques de gestion des mots de passe.

La CNIL rappelle qu’une politique de mots de passe robuste devrait a minima prévoir la définition de mots de passe de huit caractères d’au moins trois des quatre catégories. Elle précise également que la conservation des mots de passe en clair est à proscrire, et qu’il convient de les sécuriser par un hachage associé à un salage.

Ces délibérations se fondent sur la recommandation relative aux mots de passe adoptée en 2017⁶. Cette dernière a été abrogée en juillet 2022 par l’adoption d’une nouvelle recommandation⁷, adaptant la doctrine de la CNIL aux évolutions les plus récentes en matière de sécurité informatique (ex. robustesse appréciée par rapport à « entropie », abandon du renouvellement périodique pour certains profils, chiffrement des mots de passe, etc.).

Il sera intéressant de suivre les prochaines délibérations de la CNIL en la matière pour vérifier la mise en application de ces nouvelles recommandations.

Champ d’application matériel du RGPD : enfin une application juridique et dépassionnée du RGPD

Dans sa délibération du 20 décembre 2022, la CNIL a été amenée à se prononcer sur l’applicabilité du RGPD aux traitements mis en œuvre par la société Lusha⁸. Cette dernière, qui ne dispose d’aucun établissement sur le territoire de l’Union européenne, fournit à ses utilisateurs une extension pour navigateur internet leur permettant de collecter les coordonnées professionnelles provenant notamment de profils LinkedIn. Des données de personnes situées sur le territoire de l’Union européenne sont donc susceptibles d’être collectées, posant ainsi la question de l’applicabilité du RGPD à ces traitements.

Contrairement à l’avis du rapporteur, qui soutenait que la CNIL était territorialement compétente en vertu de l’article 3.2, b) du RGPD, la formation restreinte a retenu qu’il n’était pas établi « que ces personnes [font] l’objet d’un suivi de comportement par la société. En effet, […] la constitution de la base de données par la société repose uniquement sur le rapprochement entre des données de contacts professionnels (téléphone, adresse électronique) avec l’identité des personnes dont le profil est visité sur LinkedIn afin d’en vérifier la véracité ».

Ainsi, la CNIL a retenu que les traitements en cause n’étaient pas soumis au RGPD, car ni le critère d’établissement, ni le critère de ciblage prévus à l’article 3 du règlement ne sont satisfaits.

La position de la CNIL marque un retour à une vision légaliste extraite des errements excessifs visant à étendre le champ du RGPD hors de ce que le législateur européen avait prévu. Cette position semble également appliquer les lignes directrices du CEPD⁹, selon lesquelles le seul fait de traiter des données personnelles d’une personne sur le territoire de l’Union « ne suffit pas à déclencher l’application du RGPD aux activités de traitement d’un responsable du traitement […] l’élément de « ciblage » des personnes qui se trouvent sur le territoire de l’Union, que ce soit en leur offrant des biens ou des services ou en suivant leur comportement […], doit toujours être présent en sus ».

Là encore, il conviendra de suivre avec attention les éventuelles suites de cette affaire pour déterminer s’il s’agit d’un cas d’espèce ou d’une évolution doctrinale de la CNIL.

Les délibérations en matière de Cookies

La CNIL est également venue rappeler les règles et sa doctrine en matière de consentement pour le dépôt de cookies et autres traceurs pour divers manquements à l’article 82 de la loi Informatique et Libertés dans quatre délibérations prononcées à l’encontre de Microsoft Ireland Operations Limited, TikTok, Apple et Voodoo.

Refuser les cookies doit être aussi facile que de les accepter

Concernant les modalités de collecte du consentement, la CNIL rappelle, dans sa délibération adoptée à l’encontre de TikTok¹⁰, l’importance de permettre aux utilisateurs de refuser les cookies aussi facilement que de les accepter. En l’espèce, l’utilisateur pouvait accepter immédiatement les cookies dès l’accès au site internet contrôlé, mais plusieurs actions étaient nécessaires pour les refuser. En outre, l’information relative aux finalités des cookies n’était pas suffisamment détaillée sur les deux niveaux d’information (bandeau et page d’information).

Les deux entités de Tiktok mises en cause ont été sanctionnées par la CNIL à hauteur de 5.000.000 d’euros, un montant justifié au regard des utilisateurs concernés, à savoir des mineurs.

La CNIL confirme ainsi sa foi en ce principe auto-justifié et prétorien « Refuser les cookies doit être aussi facile que de les accepter ».

Cookies multi-finalités et modalités de recueil du consentement

Dans ses délibérations adoptées à l’encontre Microsoft Ireland Operations Limited et Apple, sanctionnées respectivement à hauteur administrative de 60.000.000 d’euros et 8.000.000 d’euros, la CNIL vient rappeler quelques règles essentielles en matière de cookies multi-finalités¹¹.

Pour rappel, un cookie multi-finalités peut être déposé sur le terminal de l’utilisateur sans son consentement dès lors qu’il poursuit uniquement des finalités strictement nécessaires au service proposé. En revanche, le consentement préalable et spécifique de l’utilisateur est requis dès lors qu’une finalité non-nécessaire est poursuivie.

Microsoft et Apple utilisaient des cookies dont les finalités multiples étaient, selon les mises en cause, strictement nécessaires à la fourniture de leur service et donc non soumis au consentement préalable de l’utilisateur. Dans ses deux délibérations, la CNIL a procédé à une analyse concrète des finalités poursuivies par chaque cookie et constaté que certaines finalités (i.e. publicité contextuelle ou personnalisée) ne pouvaient échapper à l’exigence du recueil préalable du consentement de l’utilisateur. La formation restreinte a donc qualifié un manquement à l’article 82 de la loi Informatique et Libertés.

Ces délibérations illustrent l’interprétation in concreto et restrictive faite par la CNIL sur les cookies et l’exception permettant de s’affranchir du recueil du consentement, confirmant la position de l’autorité dans ses lignes directrices n°2020-091 du 17 septembre 2020. Il est donc impératif d’identifier les finalités poursuivies par les différents traceurs et de s’assurer du régime juridique applicable.

Sanction du non-respect du choix exprimé par l’utilisateur en matière de suivi publicitaire

La mois de décembre 2022 a été marqué par une quatrième délibération de la CNIL, condamnant la société Voodoo¹² au paiement d’une amende de 3.000.000 d’euros pour une exploitation d’identifiants publicitaires non conforme à l’article 82 de la loi Informatique et Libertés.

Plus précisément, l’App Store met à la disposition des éditeurs d’application un système d’identifiant technique permettant de suivre l’utilisation de leurs applications. Après avoir mené plusieurs contrôles, la CNIL a constaté qu’après le téléchargement et le lancement d’une application éditée par Voodoo, une notification de l’App Store permettait bien à l’utilisateur d’accepter ou de refuser le suivi de ses activités. En cas de refus, une seconde notification s’affichait pour préciser que, bien que le suivi publicitaire soit désactivé, des publicités non-personnalisées pourront tout de même être diffusées. Toutefois, il s’est avéré que l’utilisateur qui avait refusé cette sollicitation faisait malgré tout l’objet d’un suivi de ses activités de navigation grâce à cet identifiant technique. La formation restreinte a ainsi constaté un manquement aux règles prévues par l’article 82 de la loi Informatique et Libertés.

Cette délibération est une illustration supplémentaire du contrôle opéré par la CNIL des règles en matière de consentement et du recours par les organismes aux cookies et autres traceurs . Il est donc impératif de veiller au bon respect des dispositions de l’article 82 de la loi Informatique et Libertés ainsi que des lignes directrices de la CNIL en la matière¹³.

Prospection commerciale : les modalités de collecte du consentement pour le compte de partenaires

De longue date, les auteurs de campagnes de prospection commerciale par voie électronique visent des destinataires dont les données ont été préalablement collectées via des courtiers (« data broker »).

Or, en matière de prospection commerciale par voie électronique, et conformément aux dispositions de l’article L. 34-5 du Code des postes et des communications électroniques (« CPCE »), le consentement des destinataires de ces campagnes de prospection doit en principe, sauf exception, être collecté avant leur mise en œuvre.

La CNIL porte une attention particulière à cette pratique et notamment au regard de la collecte du consentement des personnes pour le compte de partenaires. En effet, depuis le 27 janvier 2022¹⁴, la CNIL estime qu’un partenaire peut valablement se prévaloir du consentement recueilli pour son compte par un primo-collectant, si ce dernier a mis à la disposition de la personne concernée, au moment de la collecte de son consentement, une liste exhaustive et mise à jour des partenaires pour le compte desquels le consentement est collecté et des finalités pour lesquelles les données seront utilisées.

Cette nouvelle exigence présente des difficultés en termes de preuve de la validité du consentement. C’est précisément sur ce fondement qu’EDF se trouve sanctionné pour la réalisation de campagnes de prospection commerciale intervenues avant janvier 2021 et pour lesquelles le data broker n’a fourni aux personnes concernées aucune liste de partenaires incluant EDF ou, à tout le moins, n’a pas été en mesure d’en apporter la preuve.

S’il s’agit à notre sens de la première sanction prononcée par la CNIL sur la base de cette nouvelle doctrine en matière de prospection commerciale, son application à des faits antérieurs à son adoption pose question.

En résumé, les enseignements pratiques issus des délibérations examinées sont les suivants

• Prévoir des mentions d’information comprenant des durées de conservation précises ou, à défaut, être en mesure de justifier le choix d’une communication basée sur les critères permettant de déterminer ces durées ;
• Opter pour une politique de gestion des mots de passe suffisamment robuste et contraignante pour garantir la sécurité des données ;
• Mettre en place des mesures de hachage et de salage pour la conservation des mots de passe ;
• En cas de recours à des cookies et autres traceurs, s’assurer que l’utilisateur peut exprimer son refus aussi facilement que son consentement ;
• En cas de recours à des cookies multi-finalités, s’assurer que le consentement a été collecté spécifiquement pour les finalités ne bénéficiant pas d’une exception à cette règle ;
• S’assurer du recueil du consentement préalable des utilisateurs avant de procéder à tout suivi publicitaire ;
• Aménager des preuves de la collecte du consentement des personnes à la prospection commerciale par voie électronique en cas de recours à des data brokers.