Actu des DPO & Data Privacy : semaine du 24 au 27 juin 2024

Peut-on licencier un salarié pour faute parce qu'il a transféré vers sa boîte personnelle des e-mails contenant des données personnelles sensibles ? Nous sommes tous tentés de dire oui, et pourtant la justice vient de dire non, dans une affaire dont il sera toutefois difficile de tirer de solides conclusions juridiques. C'est en tout cas l'un des sujets abordés cette semaine dans la revue des actualités de la protection des données que réalise pour Olympe.legal et que je vous partage ici, comme chaque vendredi. Cette semaine a été relativement calme mais on peut remercier les pays nordiques de nous offrir également des décisions intéressantes à analyser.

Bonne lecture !

Suède : Une banque condamnée à 1,3 millions d'euros d'amende pour l'utilisation du Pixel Meta de Facebook

Ce qui est simple à mettre en œuvre d'un point de vue technique n'est pas toujours souhaitable d'un point de vue juridique, et les DPO le savent parfaitement. Combien d'entre nous ont dû frustrer des développeurs ou des services marketing qui voulaient mettre en place des outils "clé en main" très utiles mais très illicites au regard du RGPD ? En Suède, l'Integritetsskyddsmyndigheten (IMY), l'agence suédoise de protection des données, a publié cette semaine une décision de sanction à l'encontre de la banque Avanza Bank AB, qui avait utilisé l'outil d'analyse Pixel Meta de Meta (anciennement Facebook) pour optimiser sa stratégie marketing. Grâce ou plutôt à cause de cet outil, la banque a fait remonter vers Meta des informations confidentielles telles que les numéros de sécurité sociale, les montants des prêts, les titres détenus et leur valeur, et les numéros de compte bancaire de ses clients, du 15 novembre 2019 au 2 juin 2021.

L'outil Pixel Meta, intégré sur les pages web pour y collecter des informations sur les actions entreprises par les visiteurs des sites web, avait en effet été activé avec une fonctionnalité appelée "Automatic Advanced Matching" (AAM), qui laisse Meta détecter lui-même les champs d'informations à faire remonter dans l'outil d'analyse marketing. Or il était possible de faire autrement, en choisissant manuellement les données à faire remonter vers Meta - mais le temps de développement était bien sûr beaucoup plus long.

Au regard de cette faute, l'IMY a décidé d'imposer une amende administrative de 15 000 000 SEK (environ 1,3 millions d'euros) à Avanza Bank AB pour infractions aux articles 5.1(f) et 32.1 du RGPD. La banque a été jugée seule responsable de traitement en raison du fait que l'utilisation de l'outil fourni par Meta restait sous son contrôle et que c'est par sa faute que l'outil a été mal configuré.

Le montant de l'amende a été déterminé compte tenu de la gravité des infractions, de la durée pendant laquelle les données ont été exposées, et de l'incapacité de la banque à détecter l'incident par ses propres moyens puisque c'est un tiers qui l'a alertée du problème.

La banque a supprimé le pixel Meta de ses pages web lorsqu'elle a eu connaissance de la violation des données, et assure que Meta a depuis supprimé l'ensemble des données collectées.

Norvège : annulation pour manque de base légale d'une astreinte prononcée contre Meta et Facebook

Le droit de la protection des données ça n'est pas que du fond, c'est aussi parfois de la procédure. Je ne vais pas vous cacher que ça n'est pas le domaine qui me passionne le plus, mais il est parfois intéressant de s'y pencher. Ainsi la Commission de protection des données de Norvège, qui agit en tant que chambre d'appel à l'encontre des décisions prises par l'Autorité de protection des données norvégienne, a rendu le 18 juin 2024 une décision annulant une astreinte de 1 million de couronnes norvégiennes par jour (environ 90 000 euros), pour une durée maximale de 3 mois, prononcée contre Meta et Facebook le 7 août 2023.

L'autorité avait assorti de cette astreinte une décision d'interdire au réseau social de continuer à exploiter les données des utilisateurs à des fins de marketing comportemental. La décision était prise sur la base de l'article 66(1) du RGPD qui autorise une autorité de contrôle à prendre des décisions urgentes d'une durée limitée à trois mois, produisant des effets juridiques sur son propre territoire, dans le cas d'affaires transfrontalières pour lesquelles une autorité chef de file doit se prononcer dans le cadre du mécanisme de coopération. Le CEPD, par une décision postérieure en date du 27 octobre 2023, avait interdit à Meta et Facebook de continuer à procéder à un ciblage publicitaire sur la base de l'exécution du contrat ou de l'intérêt légitime, obligeant de fait la plateforme à reposer sur le consentement.

La question procédurale posée à la Commission norvégienne était de savoir si l'autorité disposait du pouvoir d'imposer une astreinte dans le cadre d'une procédure d'urgence fondée sur l'article 66(1) du RGPD, au regard de l'article 58(6) qui précise que "chaque État membre peut prévoir, par la loi, que son autorité de contrôle dispose de pouvoirs additionnels" à la condition que "l'exercice de ces pouvoirs n'entrave pas le bon fonctionnement du chapitre VI" sur la coopération entre autorités européennes.

Au terme de son analyse, la Commission conclut que la loi norvégienne n'autorise pas l'autorité à prononcer une astreinte dans le cadre des mesures d'urgence dans les affaires transfrontalières, mais uniquement dans le cadre des ordonnances prises dans les affaires nationales. Elle annule donc l'astreinte imposée à Meta et Facebook.

Je parle de cette décision parce que si je reproche souvent à la CNIL son trop faible volume de sanctions, je sais par ailleurs que ses juristes sont extrêmement attentifs à solidifier au maximum les procédures pour éviter à la Commission le désaveu d'une annulation devant le Conseil d'Etat. Même s'il arrive bien sûr que la justice administrative renverse certaines de ses délibérations, ce type d'annulations reste tout de même très rare et c'est à mettre à son crédit.

France : le transfert de courriels vers une boîte personnelle jugé non suffisant pour caractériser une faute grave

Dans une décision du 19 juin 2024, la Cour administrative d'appel de Douai a confirmé un jugement donné en première instance par le tribunal de Lille, qui avait estimé que le transfert de courriels contenant des données sensibles à caractère personnel vers la boîte e-mail personnelle d'une salariée n'était pas en soi-même suffisant pour caractériser une faute grave justifiant un licenciement.

Dans cette affaire, une salariée protégée exerçant une mission d'assistance de service social au sein de l'association Centre Hélène Borel - qui gère des résidences spécialisées pour les personnes en situation de handicap - avait transféré vers sa boîte email Yahoo et vers celle de son époux, un total de 544 courriels de l'association. Cette dernière avait alors demandé à l'inspection du travail d'autoriser le licenciement pour faute de la salariée. A la suite du refus de l'inspectrice du travail, l'association avait exercé un recours auprès de la ministre du travail, qui a annulé la décision de l'inspectrice et autorisé le licenciement. Le ministère avait retenu notamment que les messages transférés comprenaient des données sur les situations personnelles d'environ 80 résidents, "que ce soit quant à leur état de santé, le suivi de soins médicaux ou infirmiers, l'appareillage médical, leur situation administrative telle que la notification de la décision de la Maison départementale des personnes handicapées ou financière, un incident de paiement d'une facture, le surendettement ou les difficultés de gestion budgétaire d'une résidente".

Mais pour la Cour d'appel, qui confirme le jugement du tribunal qui avait à son tour annulé la décision du ministre du travail, "il ressort des pièces du dossier que ce transfert de plus de cinq cents courriels a eu pour seul motif la conservation d'échanges professionnels dans le but d'assurer le cas échéant ses droits à la défense" en raison d'un éventuel litige prud'hommal. "Il ne ressort d'aucune pièce du dossier que l'adresse de messagerie correspondant à l'adresse de l'époux de Mme B... aurait été accessible à d'autres personnes que ce dernier" et il "ne ressort pas des pièces du dossier que le tribunal aurait inexactement apprécié les faits en retenant que Mme B... n'avait fait aucun usage de ces messages autre que leur conservation". La Cour d'appel écarte l'existence d'un préjudice de l'association lié au risque informatique, faute de concrétisation du risque.

C'est donc, conclut la Cour de Douai, "à tort que la ministre du travail a considéré que les faits fautifs commis par la salariée étaient d'une gravité suffisante pour justifier son licenciement".

Il faut néanmoins relever que la Cour indique dans sa décision que les copies des e-mails en cause produits par l'association (208 sur les 544 mentionnés par le ministère) "permettent de relativiser le caractère sensible des données", étant donné qu'une large majorité ne contenait aucune donné sensible. Difficile, donc, de percevoir quelle est la part d'analyse juridique pure et la part de prise en compte des faits d'espèce dans la décision de la Cour d'appel de Douai. Peut-être la Cour de cassation sera-t-elle amenée à préciser les choses. Ce serait, je crois, nécessaire.

Et aussi sur Olympe.legal (gratuit sur inscription) :

• (France) La CNCDH formule ses recommandations sur la vidéosurveillance
• (Belgique) L'Autorité belge publie son rapport annuel 2023
• (France) La CNIL publie des fiches pratiques pour les circuits d’appariement avec le SNDS
• (Espagne) 70 000 euros d'amende pour la diffusion de vidéos de surveillance sur WeChat
• (Espagne) 5000 euros d'amende pour des courriels commerciaux ininterrompus
• (France) La CNIL publie une FAQ sur les Jeux Olympiques de Paris 2024
• (France) Un accord de coopération entre la CNIL et l'Agence californienne
• (Italie) Le Garante Privacy alarmé par la mise en oeuvre du Dossier Médical Electronique 2.0
• (Italie) 6,4 millions d'euros d'amende contre Eni Plenitude pour prospection abusive
• (Roumanie) Amendes pour manques de sécurisation des données
• (France) La CNIL renouvelle un partenariat avec l'Ordre des experts-comptables