TGS

RGPD : conséquences pratiques des décisions de la CNIL sur les demandes d'exercice des droits

Le 15.11.2022 0 commentaires
RGPD : conséquences pratiques des décisions de la CNIL sur les demandes d'exercice des droits

Cet article, écrit par Caroline Belotti, avocate en droit des données personnelles, traite des conséquences des décisions de la CNIL sur les demandes d'exercice des droits selon le RGPD, en soulignant les exigences de clarté et d'accessibilité des informations, le respect des délais, et les sanctions en cas de non-conformité.

Les réponses aux demandes d’exercices de droit sont une des obligations essentielles des responsables de traitement depuis la loi informatique et libertés. Le RGPD a renforcé les modalités de réponse et sensiblement les sanctions en cas de défaillance. Les personnes concernées mieux informées n’hésitent plus à saisir la CNIL en cas de défaillance du responsable de traitement. Le montant des sanctions de la CNIL depuis 2018 en témoigne. 

L’objet de la présente étude est de synthétiser les enseignements pratiques issus des décisions les plus significatives de la CNIL sur la période 2020-Juillet 2022[1].

Droit à l'information

Le droit à l’information est celui dont la violation est la plus souvent relevée par la CNIL. Celle-ci dispose du droit de contrôler en ligne sans informer préalablement l’éditeur d’un site internet. La majorité de ses sanctions est issue de tels contrôles où la CNIL rappelle que l’information doit être précise et accessible.

L'information doit être précise

Le responsable de traitement doit informer de manière claire et précise les personnes concernées quant à son identité (Carrefour France), la durée de conservation des données (Spartoo, Carrefour Banque, Nestor), la finalité et la base légale sur lesquelles sont fondés chaque traitements (Spartoo, Carrefour France, Nestor, Bricoprivé), les destinataires des données si des flux hors UE sont envisagés (Carrefour France), l’identité et l’adresse de contact du DPO s’il y en a un, et enfin quant aux droits des personnes concernées et de la manière de les exercer. La source doit être également mentionnée (Nestor). En cas de collecte indirecte, les mentions doivent être complètes (art 14 du RGPD) (Performeclic).

L'information doit être accessible

Un œil avisé doit être porté à la rédaction de la politique de confidentialité, vecteur majeur de la transmission de ces informations à l’ère du eCommerce. Par « accessibilité », la CNIL n’entend pas seulement l’existence d’une telle politique mais qu’elle soit accessible matériellement de façon aisée, en vérifiant que les liens en ligne soient actifs (Bricoprivé). La société Performeclic a elle aussi été sanctionnée car les mentions dans ses newsletters étaient incomplètes et aucun lien ne renvoyait vers des mentions plus complètes. De surcroît, la CNIL sanctionne les informations noyées dans de très longs documents rédigés en des termes peu clairs (Carrefour France). Récemment la CNIL, dans la décision Ubeequo a rappelé qu’un lien dans les conditions générales ne répond pas à ce caractère d’accessibilité, la page d’inscription ne permettant pas à l’utilisateur d’accéder directement à une information exhaustive. A noter que la CNIL rappelle qu’il n’est pas nécessaire de faire figurer les informations de l’article 13 du RGPD dès le formulaire de collecte, celui doit à tout le moins présenter un lien pour permettre de prendre connaissance de l’ensemble des informations obligatoires.

La Cnil, dans la décision Nestor, rappelle enfin opportunément de déployer les mentions d’informations sur tous les médias utilisés par un responsable de traitement, notamment en cas de création de compte sur une application mobile.

Le droit à l’information revêt également son importance dans le cadre de la prospection téléphonique, l’absence de support écrit n’exempte pas le Responsable de Traitement de cette obligation. Ainsi, AG2R La Mondiale a été sanctionnée pour absence d’information dans le cadre de sa démarche de prospection téléphonique, une information aurait dû être donnée en début de conversation. Récemment, la CNIL a apporté des réponses pratiques, comme donner la possibilité d’accéder à plus d’informations, par exemple en activant une touche de leur clavier de téléphone (TotalEnergies). Cette information peut être transmise en deux niveaux ; une version simplifiée directement par l’interlocuteur de la personne concernée, puis une version plus complète, enregistrée, accessible via l’activation d’une touche sur le clavier électronique.

Les cookies et autres traceurs ont fait l’objet de décisions défrayant la chronique de par leur montant, notamment au regard des bandeaux de cookies (Amazon) qui « ne contenait qu’une description générale de la finalité du traitement » qui était de déposer des cookies sur l’ordinateur des personnes.

De rares exceptions à l’obligation de fournir certaines informations aux personnes concernées existe, notamment en cas de collecte indirecte et si la fourniture des informations demande un effort disproportionné / met en péril d’un des objectifs du traitement. Cependant, cette exception a été appréciée restrictivement par la CNIL à propos d’un fichier de lobbyistes (Monsanto). Ce fichier contenait peu d’adresses mails des lobbyistes concernés, et les informer du traitement portant sur leurs données n’aurait donc pas engendré un effort disproportionné. En outre, « les informer était une mesure centrale au sein de RGPD dans la mesure où elle permet à ces derniers d’exercer leurs droits, notamment le droit d’opposition ».

Droit d'accès et rectification :

La CNIL saisit l’occasion de rappeler que les personnes concernées peuvent obtenir une copie de leurs données mais également de leur source (Nestor) et que simplement désinscrire de la liste des prospects ne répond pas à une demande d’accès. Une sanction a également été prononcée en cas de non correction d’informations en ligne (SNAF).

La CNIL a réaffirmé le caractère fondamental du respect des délais imposés pour répondre aux demandes de droit d’accès à la source des données (TotalEnergies). TotalEnergies se justifiait en effet de l’allongement du temps de traitement de demandes d’accès par des difficultés rencontrées pour contacter ses partenaires, fournisseurs de bases de données de prospects, en période de confinement dû à la Covid-19. La CNIL a rejeté cet argument : en faisant appel à de nombreux partenaires commerciaux pour la fourniture de données prospects, il appartient au responsable de traitement de s’organiser pour être en mesure « d’assurer un traitement rigoureux des demandes d’accès ».

Droit d'opposition

Ce droit a particulièrement vocation à jouer dans le cadre d’opérations de prospection commerciale. Les liens de désabonnement doivent être effectifs immédiatement sans obligation de passer par la connexion à un compte client (Carrefour France). Dans une autre décision, si Performeclic insérait bien un lien permettant de se désabonner de sa prospection commerciale dans ses courriels, la firme gérait ses campagnes de prospection par silos, si une personne recevait un mail de prospection et cliquait sur « se désabonner », elle n’était désabonnée que d’un seul compte utilisé pour la campagne, là où Performeclic en utilisait plusieurs. Ce procédé fragilisant l’efficacité du droit d’opposition a été censuré par la CNIL.

La CNIL a également rappelé dans sa décision Carrefour France l’importance du respect des délais qui ne doivent pas dépendre de la compilation par le prestataire des demandes sur une période déterminée.

Droit à l'effacement

Le droit d’effacement ou droit à l’oubli est régulièrement contrôlé par la CNIL: est sanctionnée la société qui refuse de répondre à une demande de suppression d’adresse mail en se justifiant par le fait que cette dernière servait de clé d’entrée à sa base de données (Carrefour Banque). Ce droit d’effacement doit pouvoir être exercé facilement de manière intégrale, ainsi une société qui fait droit à une demande de suppression d’un compte client sans supprimer l’adresse mail affiliée à ce compte est en tort (Brico Privé).

De même, le responsable de traitement doit accuser réception des demandes d’effacement même si les données en question ont déjà été supprimées (Free mobile).

Process de traitement des demandes d'exercice de droit

La CNIL rappelle l’importance de tenir informée la personne concernée à chaque étape du traitement de sa demande de droit : Ainsi, le responsable de traitement doit, en cas de traitement effectif de la demande, avertir la personne des mesures prises ; en cas de prolongation du traitement de la demande, lui indiquer les motifs de la prolongation ; et enfin, si aucune suite n’est donnée à la demande, exposer à la personne concernée les raisons du refus ou de l’impossibilité de répondre à sa demande (TotalEnergies). La réception de la demande d’exercice des droits par le mauvais service n’exonère pas le responsable de traitement de la prise en compte de la demande car il lui appartient de prendre les mesures organisationnelles nécessaires pour transmettre la demande au service compétent, « à fortiori lorsque le contenu de la demande est clair ».

La CNIL considère que l’existence d’un manquement ne saurait se limiter aux éléments attestant d’une non-conformité au jour des constatations effectuées dans le cadre d’un contrôle mais peut tout aussi bien reposer sur tout élément obtenu par ses services, attestant d’une non-conformité pour des faits ayant donné lieu à une plainte auprès de la CNIL et saisine de la formation restreinte, même si au moment du contrôle il a été mis fin à cette non-conformité. Si des améliorations apportées par la société à sa procédure de gestion des droits, tout en soulignant le caractère opportun de leur adoption pour améliorer le traitement des demandes, la CNIL rappelle qu’elles sont sans incidence sur l’existence du manquement au jour des contrôles, qui a duré de nombreux mois, et auquel il n’a été mis fin qu’après l’engagement de la procédure de sanction (Free Mobile).

Conclusion : d’une manière générale, quelques plaintes suffisent à générer un contrôle de la CNIL et peut aboutir à des sanctions.

La réponse aux demandes d’exercice des droits repose donc sur une obligation de résultat, notamment eu égard aux délais. Il est donc recommandé de revoir et tester régulièrement les process internes ainsi que les mentions d’information.

[1] A ce jour, dans la mesure où aucune décision de la CNIL n’est venue sanctionner des manquements au droit à la portabilité des données ou à la limitation des traitements, les décisions présentées ne porteront donc que sur les droits d’accès, de modification, d’opposition, d’effacement et d’information.

Décisions citées : SAN 2022-015 du 7 juillet 2022  - UBEEQUO ; SAN-2022-011 du 23 juin 2022 – TOTALENERGIES ELECTRICITE ET GAZ France, n°SAN-2021-021 du 29 décembre 2021 - FREE MOBILE ; n°SAN-2021-014 du 15 septembre 2021 - la Société nouvelle de l’annuaire français (SNAF) ; n°SAN-2021-012 du 26 juillet 2021 - MONSANTO COMPANY ; n°SAN-2021-010 du 20 juillet 2021 - SGAM AG2R LA MONDIALE ; n°SAN-2021-008 du 14 juin 2021 BRICO PRIVÉ ; n° SAN-2020-003 du 28 juillet 2020 - SPARTOO SAS ; n°SAN-2020-018 du 8 décembre 2020 - NESTOR SAS ; n° SAN-2020-016 du 7 décembre 2020 PERFORMECLIC ; n° SAN-2020-013 du 7 décembre 2020 AMAZON EUROPE CORE ; n° SAN-2020-008 du 18 novembre 2020 - CARREFOUR France ;  n°SAN-2020-009 du 18 novembre 2020 -  CARREFOUR BANQUE

Découvrez l'accompagnement de nos avocats en droit des données personnelles.

contacter_un_avocat.png

Contactez-nous