Newsletter Propriété Intellectuelle & Nouvelles Technologies - Janvier 2023

Dépôt de cookies, la CNIL sanctionne Microsoft

Par une délibération du 19 décembre 2022, la formation restreinte de la CNIL a condamné la société MICROSOFT IRELAND OPERATIONS LIMITED à une amende de 60 millions après avoir constaté que le mécanisme de recueil du consentement du site « Bing.com » au dépôt de cookies sur le terminal des utilisateurs violait les dispositions du RGPD et de la loi Informatique et Libertés.  

Les faits

Un utilisateur de Bing a saisi la CNIL pour dénoncer les conditions de recueil de son consentement au dépôt de cookies sur son ordinateur par le moteur de recherche. Une délégation de la commission a effectué un contrôle sur ce dernier et relevé qu’il n’existe pas de possibilité de s’opposer au dépôt de cookies.  

Sur le dépôt d’un cookie sur le terminal de l’utilisateur avant toute action de sa part, sans recueil de son consentement.

Il a été relevé qu’un cookie multi finalité dont les finalités publicitaires était déposé sur le terminal de l’utilisateur dès son arrivée sur le moteur de recherche et avant toute action de sa part. Le cookie était en outre utilisé pour la détection et le filtrage de fraudes publicitaires sans le consentement de l’utilisateur.  

La formation restreinte renvoie à une FAQ de la CNIL du 18 mars 2021 dans laquelle la commission énonce que les cookies de lutte contre la fraude publicitaire ne sont plus strictement nécessaires à la fourniture d’un service demandé par l’utilisateur.  

Ainsi donc, le cookie déposé sur le terminal de ce dernier ne peut relever des exemptions prévues par l’article 82 de la loi Informatique et Libertés de sorte que l’utilisateur doive donner son consentement. 

Sur le dépôt d’un cookie sur le terminal de l’utilisateur après navigation sans recueil de son consentement.

En outre, il a été relevé qu’un cookie à finalité publicitaire est déposé sur le terminal de l’utilisateur après la poursuite de la navigation sans que le consentement de ce dernier n’ait été recueilli. La société avance que le cookie a été placé par inadvertance dans une catégorie qui exclut que l’utilisateur consente à son dépôt. La formation restreinte considère que cette catégorisation résulte d’une erreur grossière qui n’a de plus été constatée qu’à la suite du contrôle diligenté par la CNIL. Elle en conclut que la société a méconnu les obligations de l’article 82 de la loi Informatique et Libertés. 

Sur les conditions du recueil du consentement 

Le rapporteur a relevé qu’au jour du contrôle en ligne le bandeau affiché sur le site web « bing.com » contenait un bouton permettant d’accepter immédiatement les cookies tandis qu’aucun moyen analogue n’était offert à l’utilisateur pour pouvoir refuser le dépôt de ces cookies. 

La formation restreinte souligne qu’il doit être aussi aisé de refuser son consentement aux traceurs que de le donner, or, en visualisant le bandeau, l’utilisateur n’était pas informé des moyens dont il disposait pour ne pas consentir de manière simple aux cookies. De surcroît, la formation restreinte relève le caractère peu explicite du bouton « Plus d’options » proposé dans le cadre de la première fenêtre, qui ne mentionnait pas clairement l’existence de moyens permettant de refuser les cookies.  

La formation restreinte en conclut que ce mécanisme de recueil du consentement viol le considérant 42 du RGPD qui dispose que le principe de liberté du consentement implique que l’utilisateur bénéficie d’une « véritable liberté de choix ». Les modalités qui lui sont proposées pour manifester ce choix ne doivent pas être biaisées en faveur du consentement. 

En conséquence, la formation restreinte, organe de la CNIL chargé de prononcer les sanctions, a sanctionné la société MICROSOFT IRELAND OPERATIONS LIMITED d’une amende de 60 millions d’euros, rendue publique. Cette sanction tient compte de la portée du traitement, du nombre de personnes concernées et des bénéfices de revenus publicitaires indirectement générés par cette collecte de cookies. 

La CNIL a également adopté une injonction sous astreinte pour la société de recueillir le consentement des personnes concernées. 

Pour en savoir plus

• Délibération SAN-2022-023 du 19 décembre 2022 

Mise à jour du référentiel BCR « responsable de traitement » par le Comité Européen de la Protection des Données (CEPD)

Le 14 novembre 2022, le CEPD a adopté une version actualisée de ses recommandations en matière de règles d’entreprise contraignantes « responsable de traitement » (BCR-C).

Que sont les BCR (Binding Corporate Rules) ?

Les BCR désignent une politique de protection des données intra-groupe en matière de transferts de données personnelles à des responsables de traitement ou des sous-traitants internes hors de l’Union européenne. Il s’agit de règles d’entreprise contraignantes qui ont vocation à établir un niveau de protection des données équivalent à celui prévu par le RGPD.

On distingue les BCR « responsable de traitement » et les BCR « sous-traitant ».

Quelles sont les nouvelles recommandations du CEPD s’agissant du référentiel BCR-C ?

Le 14 novembre 2022, le CEPD a adopté des recommandations s’agissant des éléments devant figurer dans les règles d’entreprise contraignantes du responsable de traitement. (BCR-C) Il est donc ici question d’une mise à jour du référentiel BCR-C qui permet notamment:

• La distinction entre ce qui doit figurer dans le dossier présenté à l’autorité de protection des données en charge de l’instruction et ce qui doit figurer dans le corps des BCR.
• La prise en considération des exigences posées par l’arrêt Schrems II rendu par la Cour de justice de l’Union Européenne, arrêt qui avait invalidé le régime de transfert des données entre l’Union Européenne et les Etats-Unis. En ce sens, les entités qui adhèrent aux BCR ne s’engagent à ne transférer des données qu’après l’analyse de la législation du pays tiers de destination.
• L’alignement entre les obligations déclinées dans les clauses contractuelles types et les obligations des BCR. Parmi ces obligations, il y a notamment la mise à disposition par des autorités de la documentation et la gestion des demandes d’accès par des autorités de pays tiers.

Une mise à jour du référentiel applicable aux BCR « sous-traitant » est également en cours d’élaboration.

Source : https://www.cnil.fr/fr/le-cepd-met-jour-le-referentiel-bcr-responsable-de-traitement

L’autorité irlandaise sanctionne Meta pour défaut de licéité et de transparence

Suite à une décision contraignante du CEPD, l’autorité de protection des données irlandaise est revenue sur son projet de décision et a condamné Meta à une amende administrative totale de 390 millions d’euros pour manquement à son obligation de transparence et pour traitement illicite des données personnelles de ses utilisateurs.   

Les faits. Suite à l’entrée en vigueur du RGPD le 25 mai 2018, la société META IRELAND a changé la base juridique sur laquelle elle s’appuyait pour justifier son traitement des données à caractère personnel des utilisateurs. Ce traitement ne s’appuyait plus sur le consentement des utilisateurs, mais sur la nécessaire exécution d’un contrat auquel la personne concernée est partie (Article 6-b du RGPD). 

Dès lors, pour former ce contrat, les utilisateurs devaient cliquer sur « j’accepte » pour continuer d’avoir accès aux services de Facebook et Instagram après l’introduction du RGPD. Sans ce consentement, les réseaux sociaux n’étaient plus accessibles. Deux plaintes ont été déposées par l’association None of Your Business en Autriche (NYOB) arguant que META IRELAND forçait l’utilisateur à consentir au traitement de ses données à des fins de publicité comportementale en violation du RGPD.  

Projet de décision de l’autorité irlandais de protection des données (DCP).  

Sur la violation de l’article 12 du RGPD. Le DCP constate un manquement de META à son obligation de transparence au titre de l’article 12 du RGPD dès lors que la société n’a pas clairement exposé aux utilisateurs la base juridique sur laquelle reposait le traitement de leurs données personnelles et les finalités que poursuivaient ce traitement.  

Le Comité confirme la position du DCP sur le manquement de META à son obligation de transparence, mais ajoute un manquement au devoir de loyauté et demande au DPC d’augmenter le montant des amendes infligées à la société.  

Sur la base juridique invoquée. Le Comité n’a pas suivi le raisonnement de META et estime que, par principe, META IRELAND n’est pas en droit d’invoquer la base juridique de l’exécution contractuelle comme fondement légal de son traitement des données à caractère personnel à des fins de publicité comportementale. 

Les décisions finales du DCP en date du 31 décembre 2022 

Le fondement de l’exécution contractuelle pour justifier légalement son traitement des données à caractère personnel à des fins de publicité comportementale n’étant selon le Comité pas valide, le traitement réalisé constitue dès lors une violation de l’article 6 du RGPD.  

À la lumière de ce nouveau manquement retenu, le montant des amendes administratives imposées à META IRELAND a été revu.  

Facebook est donc condamné à une amende administrative de 210 millions et Instagram de 180 millions. L’injonction de mise en conformité dans un délai de 3 mois est par ailleurs maintenue.  

Pour en savoir plus:  

• La décision Facebook 
• La décision Instagram 

TJ de Chambéry du 15 septembre 2022 – Google My Business

Par un jugement du 15 septembre 2022, le tribunal de Chambéry a condamné les sociétés Google France, Google LLC et Google Ireland Limited à retirer la fiche « google my business » d’un dentiste et à lui payer la somme de 20 000 au titre de la violation de plusieurs dispositions du RGPD. 

Exposé du litige. Une dentiste a demandé à Google de supprimer la fiche « google my business » que le moteur de recherche a créé sur son activité faisant apparaître son nom, son domicile et une notation avec des avis liés à son activité professionnelle. Suite au refus de la société d’accéder à sa demande, la requérante saisit le tribunal. 

Sur le consentement de la requérante à la publication des données. L’article 6 du RGPD énonce les six critères conditionnant la licéité d’un traitement de données à caractère personnel, parmi lesquels figure le consentement de la personne concernée. En l’espèce, Google s’est procuré ces données via une société tierce qui les a elle-même obtenue d’Orange, le fournisseur de réseau de la requérante. Le tribunal en conclut que la société a violé l’article 6(a) le consentement de la personne n’ayant pas été obtenu.  

Sur l’intérêt légitime du traitement. Le tribunal s’est ensuite interrogé sur le fait de savoir si Google pouvait se fonder sur son intérêt légitime pour traiter les données hors consentement.  Le tribunal se réfère pour cela à la méthodologie de la CNIL qui invite à « apprécier le caractère légitime de l’intérêt poursuivi », « évaluer les incidences sur les personnes concernées » et à « veiller à l’adoption de garanties supplémentaires pour atteindre un équilibre entre les droits et intérêts en cause ». Google avance que la diffusion des fiches « google my business » poursuit une finalité informative et que la société a pour volonté de devenir un « annuaire universel ». Le tribunal constate que la diffusion de la fiche « google my business » poursuit bien une finalité informative mais que l’ajout de l’avis des internautes relatifs au professionnel constitue le moyen pour Google d’inciter ce dernier à recourir à ses services, gratuits ou payants. Le tribunal en conclu que la société a fait preuve de mauvaise foi en dissimulant la finalité commerciale poursuivie par la diffusion des fiches « google my business ». Il ajoute que ces avis d’internautes ont nécessairement des conséquences sur la future clientèle du professionnel. Enfin, le tribunal constate que le moteur de recherche n’a mis en place aucune mesure pour atteindre un équilibre entre son intérêt légitime à participer à l’information et les droits des personnes concernées. Ainsi, la société ne peut bénéficier de la dérogation prévue à l’article 6 du RGPD. 

Sur le non-respect de l’obligation de loyauté. L’article 14 du RGPD dispose que lorsque les données personnelles ne sont pas collectées auprès de la personne concernée, le responsable de traitement doit lui fournir un certain nombre d’informations. Le principe de loyauté requiert de surcroît que le traitement ne doit pas être préjudiciable, discriminatoire ou trompeur pour les personnes concernées. En l’espèce, Google n’a procédé à aucune notification signalant aux professionnels l’existence de ces fiches et n’a communiqué à la requérante aucune des informations nécessaires. Le tribunal en conclu que la société n’a pas respecté le principe de loyauté.  

Sur l’opposition de la requérante au traitement de ses données. L’article 21 du RGPD dispose que la personne concernée à le droit de s’opposer à tout moment au traitement de ses données personnelles. Il a à ce titre été jugé que Google n’a pas démonté l’intérêt légitime à effectuer le traitement. Dès lors, la société ne pouvait se passer du consentement de la requérante et ne pouvait dès lors refuser que la requérante exerce son droit de s’opposer au traitement de ses données. De plus, la requérante invoque la possibilité d’utiliser son droit de s’opposer au profilage de se données à des fins de prospection commerciale. Le tribunal en conclut que la requérante est légitime à invoquer l’exercice de ces droits. 

Sur la demande d’effacement formulée par la requérante. Le tribunal constate que les données de la requérante ont fait l’objet d’un traitement illicite ayant pour finalité une prospection commerciale. En conséquence, il condamne sous astreinte la société à supprimer la fiche « google my business ».  

Sur la responsabilité de Google France, Google LLC et Google Ireland Limited. Le tribunal rappelle qu’au titre de l’article 1240 du code civil, la requérante peut prétendre à une indemnisation de préjudices qui découleraient directement des fautes commises par les sociétés défenderesses.  

La requérante invoque des fautes relatives au dénigrement, au parasitisme et à l’atteinte à la vie privée.  

• Sur l’atteinte à la vie privée : Le tribunal retient que la requérante ne démontre pas d’atteinte à sa vie privée dès lors que le traitement n’a pas eu pour effet de surveiller ses faits et gestes de manière continue.  
• Sur le dénigrement : Le tribunal souligne que la caractérisation des propos dénigrants implique l’exclusion de trois critères : l’existence d’un sujet d’intérêt général, le support d’une base factuelle et l’expression modérée. Le tribunal relève d’abord la violence des avis qui ne reposent sur aucune base factuelle et vérifiable. Il retient par ailleurs que les sociétés Google profitent directement des avis négatifs de la fiche « google my business » puisque leur publicité repose sur la possibilité d’améliorer les avis. Le tribunal caractérise le dénigrement. 
• Sur le parasitisme : Le tribunal définit le parasitisme comme l’ensemble des comportements par lesquels un agent économique s’immisce dans le sillage d’un autre afin de tirer profit de ses efforts et de son savoir-faire. En l’espèce, les sociétés défenderesse utilisent les données de la requérante pour que les internautes donnent leur avis. Google organise ensuite, par le biais des fiches « google my business » la mise en concurrence des praticiens dans le but d’offrir ses propres services.Le tribunal en conclut qu’il s’agit bien d’un acte de parasitisme. 

Au vu de l’ensemble de ces éléments, il condamne les sociétés défenderesses à payer à la requérante la somme de 20 000 euros au titre de son préjudice moral.

Pour en savoir plus : 

• Tribunal judiciaire de Chambery, ch. civile, jugement du 15 septembre 2022

Jeux mobiles : la CNIL sanctionne VOODOO à hauteur de 3 millions d’euros

Par une délibération du 29 décembre 2022, la CNIL sanctionne la société éditrice de jeux pour téléphone VOODOO, à hauteur de 3 millions d’euros pour manquement à l’article 82 de la loi Informatique et Libertés. 

VOODOO est une société spécialisée dans l’édition de jeux pour téléphone. Entre 2021 et 2022, la CNIL a procédé à des contrôles en ligne sur le site de la société et sur différentes applications mobiles éditées par celle-ci. À l’issue de ces contrôles, la Cnil a relevé un manquement à l’article 82 de la loi du 6 janvier 1978 et prononcé une amende administrative d’un montant de 3 millions d’euros. 

Sur le traitement de données à caractère personnel en cause. Le traitement des données en cause consiste en l’utilisation de l’identifiant d’un utilisateur à des fins publicitaires. Lorsqu’un éditeur propose une application sur l’App Store, APPLE met à sa disposition un système d’identifiant technique appelé « IDentifier For Vendors » (IDFV), permettant à cet éditeur de suivre l’utilisation qui est faite de ses applications par les utilisateurs. Cet identifiant permet de suivre les habitudes de navigation des personnes afin de personnaliser les annonces vues par chacune d’entre elles.  

Sur le manquement à l’article 82 de la loi Informatique et Libertés. Au titre de l’article 82 de la loi Informatique et Libertés, toute action tendant à inscrire des informations sur le terminal de l’utilisateur ou à accéder par voie électronique à des informations déjà stockées sur l’équipement terminal de l’utilisateur ne peut avoir lieu qu’à condition que ce dernier ait exprimé son consentement.  

Ce consentement n’est pas nécessaire si l’acte a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ou est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.  

En l’espèce, la formation restreinte relève qu’à l’ouverture d’une application de jeu, une première fenêtre est présentée à l’utilisateur afin d’obtenir son consentement au suivi de ses activités sur les applications téléchargées sur son téléphone. Lorsque l’utilisateur refuse, une seconde fenêtre est présentée par la société VOODOO indiquant que le suivi publicitaire a été désactivé. Toutefois, VOODOO lit tout de même l’identifiant de l’utilisateur (l’IDFV) et traite toujours des informations en lien avec ses habitudes de navigation à des fins publicitaires. 

La formation souligne que cette opération n’a pas pour finalité de permettre ou de faciliter la communication par voie électronique et n’est pas strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. 

Elle en conclut qu’en utilisant l’identifiant IDFV, à des fins publicitaires sans consentement de l’utilisateur, la société VOODOO méconnaît les obligations de l’article 82 de la loi Informatique et Libertés. Elle sanctionne la société à hauteur de 3 millions d’euros.  

Pour en savoir plus : 

– Jeux mobiles : la CNIL sanctionne VOODOO à hauteur de 3 millions d’euros