Notre équipe IT/Data (Emilie de Vaucresson, avocate associée, Amanda Dubarry, avocate collaboratrice et Camille Leflour, avocate collaboratrice) revient sur les dernières actualités en matières de cookies, et de protection de données.
Téléchargez la newsletter ici.
Transfert de données hors UE
1.Attention à bien mettre à jour vos modèles de clauses contractuelles types (CCT)
La Commission européenne avait mis à jour les modèles de clauses contractuelles types le 4 juin 2021, remplaçant les précédentes versions adoptées en 2001 et amendées en 2010.
Depuis le 27 décembre 2022, les anciennes CCT ne sont plus réputées offrir des garanties appropriées pour encadrer les transferts de données hors de l’UE.
Les CCT doivent en outre être accompagnées de mesures supplémentaires pour garantir un niveau de protection substantiellement équivalent aux données transférées vers des pays tiers.
Une analyse d’impact doit également être menée pour mesurer l’impact et l’incidence sur la sécurité des données d’un transfert vers un pays tiers.
Notre conseil : Il convient de vérifier que vos transferts de données ne sont plus soumis aux précédentes CCT, et dans le cas où ils le seraient, d’organiser au plus vite leur substitution au nouveau modèle.
2. Transfert UE-US : la Commission européenne publie un nouveau projet de décision d’adéquation
Le 7 octobre 2022, et après plusieurs mois de concertation avec la Commission européenne, Joe Biden a signé un décret exécutif posant un nouveau cadre pour les transferts de données transatlantiques.
Le nouveau texte offre des garanties additionnelles pour que l’accès par les agences de renseignement américaines à ces données soit limité à des objectifs spécifiques et principalement à la sécurité nationale. Il ouvre également la possibilité aux ressortissants européens d’intenter des recours s’ils estiment que leurs données ont été illégalement collectées par les renseignements américains afin d’en obtenir la suppression ou la correction.
Le 13 décembre 2022, c’est la Commission européenne qui a publié un projet de décision d’adéquation.
Ce texte va maintenant être soumis à la procédure d’adoption. Il a été présenté en janvier 2023 au CEPD pour analyse et sera ensuite soumis à un comité composé des représentants des Etats-membres de l’UE avant d’être définitivement adopté par la Commission.
A l’issue de cette procédure, les entités européennes pourront à nouveau transférer des données personnelles vers les entreprises américaines ayant adhéré au cadre de protection et s’engageant à respecter les obligations en matière de protection de la vie privée en découlant.
A noter que l’association NYOB de Max Schrems a annoncé qu’elle saisira très probablement la CJUE concernant ce nouveau texte en cas d’adoption par la Commission d’une telle décision d’adéquation.
Notre conseil : Dans l’attente de l’adoption de cette nouvelle décision d’adéquation, nous vous recommandons de continuer à encadrer les transferts de données avec les Etats-Unis en utilisant les clauses contractuelles types dans leur dernière version.
Cookies
-
Google Analytics – L’autorité danoise de protection des données rend à son tour un avis contre Google Analytics
Après la France, l’Autriche et l’Italie, c’est au tour de l’autorité danoise de protection des données de mettre en garde les éditeurs de site internet contre l’utilisation de la solution « Google Analytics » dans un avis du 21 septembre 2022.
Les autorités de protection française (la CNIL), autrichienne et italienne estiment que l’utilisation par les éditeurs de site web de l’outil de mesures statistiques « Google Analytics », sans mettre en place des mesures supplémentaires pour encadrer le transfert de données aux Etats-Unis, est contraire au RGPD.
Dans son avis, l’autorité danoise reprend ces décisions et relève que, bien qu’elles portent sur des cas tranchés individuellement par les autorités de contrôle respectives, elles reflètent « une attitude paneuropéenne parmi les autorités de contrôle ». Elle indique à ce titre qu’il est crucial que les règles européennes communes soient interprétées de la même manière dans l’ensemble des territoires où elles s’appliquent.
Google a publié en août 2022 un document dans lequel il détaille les garanties et mesures supplémentaires prises en lien avec le transfert international des données pour les outils tels que Google Analytics.
Notre conseil : Si vous utilisez Google Analytics, nous recommandons de conduire une analyse d’impact afin de vérifier que toutes les mesures mises en place par Google et nouvellement détaillées sont suffisantes pour garantir une protection adéquate des données.
2.Annulation d’un contrat de création de site Internet pour défaut d’informations sur l’utilisation de cookies
La cour d’appel de Grenoble, dans un arrêt du 12 janvier 2023, a déclaré nul pour erreur sur une qualité essentielle le contrat conclu entre un prestataire informatique et son client portant sur la création, l’installation et la maintenance d’un site Internet.
En effet, le client n’a pas été informé par le prestataire informatique de l’existence de logiciels permettant l’installation de cookies permettant de collecter des données personnelles.
Le client ne pouvait donc pas savoir que son site collectait des données personnelles au moyen de cookies et ne pouvait donc pas mettre en place les mesures nécessaires à l’information et au consentement des personnes concernées conformément à la réglementation applicable aux cookies
Notre conseil : Selon que vous êtes prestataire informatique ou client d’un prestataire informatique, il est recommandé d’ajuster le contrat de prestations de création d’un site Internet afin d’anticiper le recours aux cookies et les conséquences réglementaires pour l’éditeur du site.
3.Cookies – Conformité des bandeaux cookies
Constatant un nombre croissant et important de plaintes déposées devant les autorités nationales de protection des données et relatives aux cookies, le Comité européen pour la protection des données (CEPD) avait créé une task force pour coordonner les réponses à apporter par les autorités nationales à ces plaintes.
Le rapport a été publié par le CEPD le 17 janvier 2023 et va permettre aux autorités saisies de finaliser l’instruction des plaintes.
Le rapport du CEPD retient en particulier que la plupart des autorités nationales considèrent que l’absence d’un bouton « refuser tout » dans les bannières cookies n’est pas conforme à la réglementation applicable.
Cette position est conforme aux recommandations de la CNIL en matière de cookies. En décembre 2022, la CNIL a d’ailleurs pris 4 décisions de sanctions à l’encontre de Microsoft, Apple, TikTok et Voodoo pour violation de la réglementation applicable en matière de cookies.
Notre conseil : Nous vous recommandons d’auditer les cookies utilisés sur vos sites Internet et de vérifier les modalités d’information et de consentement des personnes, notamment dans vos bandeaux cookies. Nous recommandons en particulier l’usage du bouton « refuser tout » conformément à la doctrine de la CNIL.
Equipe IT/DATA : Emilie DE VAUCRESSON, Amanda DUBARRY, Camille LEFLOUR.
