2.pdf - GDPR and Data Processing PDF
Document Details
Uploaded by HotHeliodor
Tags
Summary
This document discusses the application of the GDPR (General Data Protection Regulation) to data processing activities carried out outside the European Union but impacting individuals within the EU. It examines the extraterritorial reach of the regulation, particularly regarding article 3.2, which covers cases where a company operating outside the EU targets services or behavior within the EU.
Full Transcript
Dans l’Affaire Google Spain, il était considéré que la société Google Spain, filiale en charge des activités publicitaires de Google, se livrait à l’exercice réel et stable d’une activité, à savoir vendre de la publicité sur le territoire espagnole. Si ce critère défaille, l’article 3.1 RGPD défaill...
Dans l’Affaire Google Spain, il était considéré que la société Google Spain, filiale en charge des activités publicitaires de Google, se livrait à l’exercice réel et stable d’une activité, à savoir vendre de la publicité sur le territoire espagnole. Si ce critère défaille, l’article 3.1 RGPD défaille. Le simple fait qu’un site internet propose des choses aux personnes qui sont sur le territoire de l’UE n’emporte pas nécessairement son application. La qualification d’un établissement du responsable de traitement ne suffit pas à caractériser à elle-seule l’applicabilité de cet article. Il faut également caractériser que les traitements concernés sont effectués dans le cadre des activités de l’établissement. Pose la question de savoir ce que recouvre l’expression « dans le cadre des activités ». 10 La CJUE considère que l’expression ne saurait recevoir une interprétation restrictive, afin d’assurer la plus grande protection des personnes concernées. - N’implique pas que ce traitement soit réalisé par l’établissement en question - N’implique pas que le traitement ait lieu sur le territoire de l’Union = Seul compte le lien fonctionnel entre l’établissement et le traitement Dans l’Affaire Google Spain (CJUE ; 13 mai 2014) la question était d’apprécier les rapports respectifs de la filiale avec la société mère. La CJUE recourt au concept de lien indissociable : « les activités de l’exploitant du moteur de recherche et celles de son établissement situé dans l’Etat membre concerné son indissociablement liées ». Conception du CEPD de l’expression « dans le cadre des activités » de l’établissement : - « Liens inextricables » entre les activités de traitement hors UE et les activités de l’établissement - « Levée de recettes sur le territoire de l’Union » 2. Le ciblage de personnes concernées se trouvant sur le territoire de l’UE L’hypothèse est la grande nouveauté et est régie par l’article 3.2 RGPD. Article 3.2. RGPD = « Le présent règlement s'applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l'Union par un responsable du traitement ou un sous-traitant qui n'est pas établi dans l'Union, lorsque les activités de traitement sont liées : a) à l'offre de biens ou de services à ces personnes concernées dans l'Union, qu'un paiement soit exigé ou non desdites personnes ; ou b) au suivi du comportement de ces personnes, dans la mesure où il s'agit d'un comportement qui a lieu au sein de l'Union. » Contrairement à l’article 3.1, l’entité n’a aucune forme d’établissement dans l’UE. C’est le fait qu’elle traite des données en lien avec les personnes situées dans l’UE qui va déclencher l’application du RGPD. L’article 3.2 réalise une application extraterritoriale du règlement, principe sous l’impulsion des EU en droit des sociétés. Le problème est que si tout le monde fait cela, c’est l’anarchie : les règles de deux pays peuvent être contraires. a) Première hypothèse : entité qui « offre des biens et des services à des personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes ». L’offre qui est en question est majoritairement une offre à distance (par internet) le responsable de traitement n’étant pas établi dans l’Union. Il faut réserver l’hypothèse de l’offre faite en direct par une personne physique, entrant dans le champ de l’article 3.2 : la personne ne doit pas être qualifiée de représentant au sens de l’article 3.1. Question : comment déterminer que l’offre est faite à des personnes situées dans le territoire de l’UE ? Le considérant 23 RGPD suggère des facteurs à regarder pour le déterminer : - L’utilisation d’une langue, d’une monnaie d’usage courant dans un ou plusieurs Etats membres La possibilité de commander des biens dans cette langue 11 - Mention d’utilisateurs situés dans l’UE - Le site permet une livraison dans un pays qui est dans l’UE Pose des difficultés pour les sociétés mondiales : il faut respecter autant de droits à caractère personnel qu’il n’y a de pays dans lesquels elles vendent. • Si le traitement réalisé s’adresse à des personnes situées à l’extérieur de l’Union, mais que ces personnes ultérieurement pénètrent sur le territoire de l’UE tout en continuant à utiliser ce service, cela ne déclenche pas l’application du RGPD. Exemple : Je suis une chaine de télévision néo-zélandaise et mon service est accessible à toutes les personnes en Nouvelle-Zélande. Si un des utilisateurs passe ses vacances en France en regardant cette chaîne, cela ne déclenche pas le RGPD. • Si le traitement ne concerne pas l’offre de biens et de services, ce traitement ne relève pas en principe de cette première hypothèse. Exemple : une entité étrangère traite des données de ses employés français et italiens pour verser leur salaire. Nous ne sommes pas dans le cadre de l’article 3.2.a : la gestion des ressources humaines n’est pas l’offre de biens et de services. b) Deuxième hypothèse : lorsque les activités sont liées au suivi du comportement de ces personnes, dans la mesure où il s'agit d'un comportement qui a lieu au sein de l'Union. L’hypothèse est celle d’internet et le considérant 24 le dit clairement. Exemple : une entreprise de ciblage publicitaire brésilien qui étudie le comportement de personnes situées dans le territoire de l’UE relève de l’article 3.2.b Rien n’implique de restreindre les hypothèses à un suivi comportemental d’internet. D’autres technologies ou réseaux permettent un pistage de personnes situées dans le territoire de l’UE (ex d’un suivi réalisé exclusivement via satellite). Un responsable de traitement aura du mal à faire comprendre qu’il ne voyait pas que la personne se trouvait sur le territoire de l’UE. L’adresse IP, la géolocalisation permet de voir que la personne est située sur le territoire de l’UE (sauf VPN qui reste anecdotique). Il faut avoir égard à la finalité du traitement. Le simple fait de collecter des données sur une personne ne suffit pas, il faut déceler que la finalité de la collecte et du traitement est bien une détermination comportementale, un profilage de la personne. Exemple : le simple fait de collecter l’adresse IP d’une personne ne suffit pas, ce n’est pas un suivi. Mais si on peut déterminer une grande partie des sites internet visités par l’adresse IP, il s’agit d’un profilage. Le CEPD a pris la peine de citer des exemples pouvant constituer un suivi :x - La publicité comportementale - Les activités de géolocalisation, en particulier à des fins de commercialisation - Les services personnalisés d’analyse de l’alimentation et de la santé en ligne - La télévision en circuit fermé, cad en réalité la vidéosurveillance 12 - Les études de marché et autres études comportementales basées sur des profils individuels - La surveillance de l’état de santé d’une personne ou l’établissement de rapports réguliers connexes - Le suivi en ligne grâce à l’utilisation de cookies ou d’autres techniques de suivi telles que la prise d’empreintes digitales Les responsables du traitement et sous-traitants concernés par l’article 3.2 doivent désigner un représentant dans l’UE : (comme ils n’y sont ø implantés) : - Il s’agit d’un point de contact pour les autorités de contrôle et les personnes concernées. - Il doit être établi dans un pays de l’UE où sont situées les personnes concernées par les traitements de l’article 3.2 - Sa désignation n’est pas obligatoire dans quelques cas 3. Établissement du responsable de traitement dans un lieu qui applique le droit d’un EM Article 3.3 RGPD = « Le présent règlement s'applique au traitement de données à caractère personnel par un responsable du traitement qui n'est pas établi dans l'Union mais dans un lieu où le droit d'un État membre s'applique en vertu du droit international public » • Le traitement est réalisé dans une ambassade ou un consulat d’un Etat membre de l’Espace économique européen. Tout au plus le pays peut être propriétaire de son ambassade, mais il ne s’agit pas de son territoire. La Convention de Vienne (1961) sur les relations diplomatiques dispose que l’Etat accréditaire doit soit faciliter l’acquisition, soit trouver une autre manière de lui procurer les locaux (ex louer). La protection dont jouit l’ambassade tient de l’article 22.1 de la Convention disposant que ces locaux sont inviolables : il s’agit d’une immunité qui protège les ambassades. ➔ Ces locaux se gèrent librement : c’est pourquoi le droit de l’Etat membre s’applique. • Le traitement réalisé en haute mer sur un navire battant pavillon d’un Etat-membre. Sur le navire s’applique la loi du pavillon selon la Convention de Montego Bay (1973). → Alors, le RGPD devra être appliqué. II/ La directive police-justice Champ d’application matériel de la directive police-justice Article 2 Directive Police-Justice = « 1. La présente directive s’applique au traitement de données à caractère personnel effectué par les autorités compétentes aux fins énoncées à l’article 1er. Article 1-2§1 « La présente directive s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier. » → Renvoi vers RGPD. A. Critère de l’autorité compétente 13 L’autorité compétente est celle qui est juridiquement compétente pour réaliser les fins sur lesquelles porte la directive. Pour la nature de l’autorité l’article 3.8 retient que ce peut être : 1) Une autorité publique 2) Tout autre organisme ou entité à qui le droit d’un Etat membre confie l’exercice de l’autorité publique et des prérogatives de puissance publique B. Critère de la finalité Le critère de la finalité s’opère à deux niveaux dans la directive : 1) Il faut qu’un traitement donné soit effectué par une autorité compétente pour réaliser les finalités visées dans la directive ; 2) Le traitement lui-même doit poursuivre ces finalités. Un traitement réalisé par une autorité compétente, juridiquement habilitée, pourra ne pas tomber dans le champ de la directive car le traitement n’a rien à voir avec cette finalité (ex gestion ressources humaines) Quelles sont les finalités ? L’article 1er dispose : « A des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ». Ces termes incluent : - La police judiciaire - La gendarmerie - Les agents des douanes Ces termes excluent : - Les services de renseignement des Etats membres - Le contrôle aux frontières, asile, immigration On pense à l’activité : - Ministère public (pour la poursuite) - L’application des peines - L’activité de jugement n’est pas exclue de la directive d’après les considérants Le considérant 80 prévoit toutefois que la compétence de ces autorités de contrôle ne devrait pas s’étendre au traitement des juridictions dans le cadre de leur activité juridictionnelle. Ce considérant offre au Ministère public la même idée. Les traitements réalisés dans le processus juridictionnel doivent être distingués de ceux contenus dans le jugement. Ce qui est écrit dans le jugement échappe à la directive et relève de l’article 10 RGPD « Traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions ». 14 Chapitre 2 : Les acteurs Introduction On a déjà vu la personne concernée, quatre acteurs : 1) Les responsables de traitement et les sous-traitants 2) Le délégué à la protection des données 3) Les autorités de contrôle 4) Le Comité européen de la protection des données (CEPD) Section 1 : Responsables de traitement ou sous-traitants I/ Le responsable de traitement La distinction d’un responsable de traitement d’un sous-traitant s’impose comme une distinction majeure depuis l’avènement de la directive de 1995. Cette distinction repose sur une approche facile à concevoir : une personne qui a l’initiative d’un traitement et qui en porte la responsabilité et une personne qui n’a qu’un rôle d’exécution de ce traitement. Elle est en réalité délicate à mettre en œuvre. Les lignes directrices n’apportent qu’une facilité modérée pour les praticiens, la CEPD fait de même et la Cour de justice a une conception large des responsables de traitement floutant les bords de la distinction. L’article 4.7 RGPD = Le responsable de traitement est « La personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ». Article 3.8 Directive Police-Justice = « L’autorité compétence qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel ». Dans le cadre de la Directive Police-Justice, on lui assigne un rôle par la loi qui encadre sa mission. Le responsable de traitement s’oppose au sous-traitant qui est la personne qui « traite les données à caractère personnel pour le compte du responsable de traitement ». Les qualifications de responsable de traitement ne sont pas disponibles : les parties au contrat ne peuvent pas s’attribuer le rôle de responsable de traitement ou de sous-traitant comme elles l’entendent. Une requalification sera faite par l’autorité de contrôle ou par la juridiction en fonction de ce qu’elle voit. L’entité (A) doit avoir un pouvoir de détermination (B) des finalités et des moyens du traitement (C), déclenchant les obligations du responsable de traitement (D). A. Nature de l’entité Article 4.7 RGPD = « La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens de traitement ». Lignes directrices CEPD 07/2020 : il n’y a pas de limitation quant au type d’entités qui peut endosser le rôle de responsable de traitement. 15 Mais ne faut-il pas au moins que l’entité ait la personnalité juridique ? Même s’il y a l’idée de service, cela ne rime pas nécessairement avec l’idée de personnalité morale. On trouve parfois des entités désignées comme telles qui n’ont pas la personnalité morale. Même si l’on dit qu’il n’y a pas besoin de personnalité morale dans les faits ou dans les textes, la seule entité capable de payer des potentiels dommages-intérêts est bien une personne morale. Selon les lignes directrices, on voit que ce qui intéresse est le secteur privé, avec une idée d’une personnalité juridique. Le CEPD dans une ligne directrice dit qu’une simple unité opérationnelle ou un simple service d’une entreprise ne saurait endosser la qualité de responsable de traitement car ces entités ne sont pas autonomes. Exemple : le département marketing d’une société travaille pour le compte d’une entreprise qui est le véritable responsable de traitement. Mais il se trouve que la CJUE a considéré qu’une personne physique pouvait être responsable de traitement aux côtés d’une personne morale, alors même que leurs intérêts sont alignés (arrêt sur les témoins de Jéhovah) B. Le pouvoir de détermination du responsable de traitement Ce pouvoir doit être relié à des éléments clé du traitement Il sera le + souvent de source factuelle (1), mais il pourra également être de source légale (2). 1. Pouvoir de source factuelle Ici l’on a un constat que l’entité remplit les critères matériels de la qualification de responsable de traitement: pouvoir de déterminer les finalités et les moyens du traitement. Exemple : syndicat de copropriété, coiffeurs, magasin d’alimentation (carte de fidélité par exemple) ou un loueur de voiture. Ici la personne qui a l’initiative de demander à l’autre de lui transmettre des données est assez clairement désignée. ⇨ Mais il ne faut ø confondre l’initiative de réaliser un traitement et le fait de demander un service dont l’exécution pourra requérir un traitement de données ! Ces personnes qui interviennent lors de ce traitement peuvent-elles être qualifiées de responsable conjoint de traitement ou de sous-traitant ? a. La détermination de l’existence d’un responsable conjoint de traitement Cette notion est plutôt compliquée à appliquer en pratique, pourtant sa définition est claire, Article 26 RGPD « Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints de traitement ». 16 ➔ Mais comment interpréter conjointement ? En anglais l’on parle de « joint controllers », mais il faut éclaircir le terme français : Interprétation immédiate du terme conjoint : Il faut une décision commune quant aux finalités et moyens du traitement (exemple : 2 associations étudiantes recueillent des informations de personnes intéressées à participer à leur soirée d’intégration). Mais en pratique l’on se trouvera souvent dans des situations où 2 entités ne se sont pas réellement concertées, mais elles auront des intérêts convergents à réaliser un traitement : ➢ Intérêts convergents au traitement Attitude de la CJUE : - Le RGPD donne une définition large du responsable de traitement visant à assurer une protection complète et efficace des personnes concernées. - Dans la JP de la CJUE, elle tend à qualifier de responsable conjoint des personnes dont les finalités propres se rejoignent à l’occasion d’un traitement, dès lors qu’ils utilisent les mêmes moyens pour réaliser le traitement Arrêt Wirtschaftsakademie (CJUE 5 juin 2018) : L’administrateur d’une page fan sur Facebook est responsable conjoint de traitement avec Facebook des données traitées par le traceur déposé par Facebook sur l’appareil des visiteurs et qui permet à l’administrateur d’obtenir des statistiques précises et anonymes de visite de la page. • Finalité du gestionnaire de site : améliorer la gestion de la promotion de son activité • Finalité de Facebook : améliorer son service de publicité ➢ Ce traceur sera lu par Facebook et même par d’autres sociétés qui visitent des services de Facebook ou d’autres compagnies Facebook et même d’autres entreprises qui utilisent les services Facebook. Ici la CJUE relève que la création de cette page implique une action de paramétrage … ➔ Par conséquent, l’admin contribue au traitement Cette qualification a été réutilisée dans l’affaire des témoins de Jéhovah : - La communauté et les témoins sont ici des responsables conjoints de traitement Extrait de l’arrêt : « une personne physique ou morale, qui influe à des fins qui lui sont propres, sur le traitement des données à caractère personnel et participe de ce fait à la détermination des finalités et des moyens de ce traitement, peut être considérée comme responsable de traitement » ➔ Mais ici on voit bien que la Communauté et les témoins agissent de concert. (Il y a un accord tacite sur la finalité et le moyen du traitement) • Donc l’activité de prédication constitue une « forme d’action essentielle de cette communauté, action qui est organisée, coordonnée et encouragée par ladite communauté. 17 Arrêt Fashion ID (CJUE, 29 juillet 2018) : Espèce : L’éditeur d’un site web qui incorpore le bouton « j’aime » de Facebook sur son site afin d’améliorer la visibilité des biens qu’il vend sur le site de ce réseau social est responsable conjoint du traitement avec ce réseau des données traitées par ce module. Ici la CJUE estime : ➢ s’agissant de la détermination des moyens : « Fashion ID semble avoir inséré le bouton tout en étant conscient que celui-ci sert d’outil de collecte et de transmission de données à caractère personnel » (un peu vaseux comme argument) « Fashion ID influe sur la collecte de données » car si l’éditeur n’avait pas inséré le bouton sur sa page, aucune collecte ou transmission n’aurait lieu. ➢ quant aux finalités : L’avantage commercial poursuivi par Fashion ID est la publicité que lui procure Facebook (…). « Ainsi Fashion ID semble avoir consenti, à tout le moins implicitement, à la collecte et la transmission de ses données depuis son site (…) (Ici on consacre l’intérêt économique commun des parties à l’opération) Ces arguments sont assez fragiles, leurs finalités sont ≠, même si chacun y trouve un intérêt économique. Le CEPD a mis à jour en 2021 les lignes directrices concernant les responsables de traitement et les sous traitants : • critère de la décision commune • critère de la décision convergente (CJUE) précisions : - lorsque les décisions se complètent l’une l’autre ont un impact tangible sur la détermination des finalités et de moyens de traitement - Une responsabilité conjointe peut aussi être caractérise lorsque les entités poursuivent des finalités ≠, mais qui sont étroitement liées ou complémentaires - « Le traitement ne serait ø possible sans la participation des deux parties aux finalités et aux moyens en ce sens que le traitement par chacune des parties est inséparable, intrinsèquement lié » ≠ sous-traitant, qui ne traite pas pour ses finalités propres mais pour le compte du commettant. Le responsable conjoint a une « finalité qui lui est propre en rapport avec le traitement commun » • ø besoin que chacun des responsables ait détenu tous les moyens du traitement • ø besoin que chacun des responsables ait accès à l’ensemble des données 18 • Mais il faut distinguer la responsabilité conjointe de la responsabilité autonome ! C’est ici que les choses se compliquent • Les responsables conjoints de traitement n’ont pas forcément de responsabilité identique (ø de solidarité) Conséquences de la qualification des responsables conjoints de traitement ➢ Obligation de définir « de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences » du RGPD ou de Police-Justice - S’entendre sur la manière dont les personnes concernées pourront exercer leurs droits - S’entendre sur la manière dont les personnes concernées seront informées Point de divergence entre RGPD et Police-Justice ➢ Le contrat conclu doit arrêter les détails de leur rapport et refléter leur rôle respectif ➢ Ils doivent désigner un point de contact commun ➢ RGPD : droit de la personne concernée d’obtenir les grandes lignes de l’accord/contrat b. Délimitation du rôle d’un responsable de traitement et d’un sous-traitant ⇨ En théorie, le sous-traitant n’a aucun rôle dans la détermination des finalités Mais pour le CEPD, cela implique que l’entité responsable soit celle qui exerce une « influence décisive » sur les finalités et les moyens de traitement. Influence décisive : le pouvoir de décider de la mise en œuvre du traitement (≠ de l’organisation des modalités concrètes) Exemple du CEPD : les fournisseurs de « cloud » hébergent les données de leurs clients. Pour autant, même si c’est le sous-traitant qui impose les détails, le responsable de traitement sera ici le client (qui adhère librement au contrat et qui a donc l’influence décisive)! 2. Pouvoir de source légale Ici la loi va définir la finalité et les moyens essentiels du traitement, mais aussi la qualité de responsable de traitement d’une entité. ➔ Dans cette hypothèse, la personne désignée comme responsable ne remplit ø les critères matériels qu’on vient de voir ! ⇨ Car ici la loi détermine les moyens et les finalités et va assigner à quelqu’un le rôle de responsable de traitement. Exemple : prélèvement à la source 19 C. Les finalités et les moyens La finalité et les moyens représentent la quintessence de la définition du responsable de traitement. ➢ Finalité : question du pourquoi du traitement : - je veux sécuriser mes locaux contre le vol - je dois envoyer un colis à mon client - servir une prestation sociale - vérifier l’identité d’une personne qui accède à un bâtiment • La finalité permet de déterminer le responsable de traitement (pouvoir factuel : celui qui a déterminé cette finalité). • La finalité commande de nombreux aspects du régime juridique d’un traitement ➢ Moyen : question du comment du traitement - Formulaire papier ou ordinateur - Google Drive ou disque dur ? - Quel algorithme utiliser pour savoir si un client bénéficiera d’une promotion ? - Mailchimp, concurrent ? - Quel logiciel utiliser pour gérer nos RH ?