Protection des données à caractère personnel : 10 développements importants du dernier trimestre

Ecrit par Anneleen Van de Meulebroucke - Dries Van Briel, Eubelius, www.eubelius.com
Photo: paul bica

Le règlement général sur la protection des données (« RGPD ») continue à évoluer rapidement après son entrée en vigueur le 25 mai 2018. Nous énumérons les développements les plus importants du dernier trimestre.

La Cour de justice confirme une interprétation large de l'exception journalistique

Le droit à la protection des données à caractère personnel n'est pas un droit absolu et, dans certains cas, il doit être mis en balance avec le droit à la liberté d'expression et d'information. C'est la raison pour laquelle le RGPD prévoit des exceptions aux obligations qu'il met en place pour ce qui concerne le traitement des données à caractère personnel à des fins journalistiques. Dans un arrêt du 14 février 2019, la Cour de justice a jugé que l'affichage d'une vidéo sur YouTube par des journalistes non professionnels constitue un traitement de données à caractère personnel à des fins journalistiques à condition que l'enregistrement et la publication aient pour seul but de transmettre au public des informations, opinions ou idées.

Il semble que le législateur belge devra revoir le champ d'application de l'article 24 de la loi-cadre belge, qui limite l'exception journalistique du RGPD au « responsable du traitement [qui] s'impose des règles de déontologie journalistique », à la lumière de l'arrêt.  

Le CEPD publie des notes d'information en cas de Brexit sans accord

Dans moins d'un mois, le Royaume-Uni quitterait l'Union européenne (« UE »), éventuellement sans aucun accord de retrait. Le 12 février 2019, le Comité européen sur la protection des données (« CEPD ») a publié deux notes d'information contenant des explications complémentaires à destination des entreprises et des organisations sur la bonne application du RGPD en cas de Brexit sans accord.

En cas de Brexit sans accord, les transferts de données à caractère personnel vers le Royaume-Uni devront faire l'objet d'une protection supplémentaire. A partir du 30 mars 2019 (sauf report), les transferts de données se feront en utilisant l'un des instruments prévus au chapitre V du RGDP. Nous analysons la protection des données à caractère personnel après un Brexit sans accord dans les Eubelius Spotlights de mars 2019 et les conséquences du Brexit sur les prestataires de services financiers dans les Eubelius Spotlights de mars 2019.

Vous trouverez de plus amples informations dans les notes d'information du CEPD:

Le CEPD émet un nouvel avis sur l'interaction entre le règlement sur les essais cliniques et le RGDP

Le 23 janvier 2019, le CEPD a émis un avis sur l'interaction entre le règlement relatif aux essais cliniques de médicaments à usage humain et le RGDP. L'avis traite des exigences mises en place par le RGDP concernant la base juridique du traitement des données à caractère personnel dans le cadre d'un protocole d'essai clinique (utilisation primaire) et l'utilisation ultérieure des données d'essai clinique à d'autres fins scientifiques (utilisation secondaire).

Vous trouverez les conseils ici (en anglais).

Décision d'adéquation sur le Japon

Les entreprises européennes et japonaises peuvent désormais échanger des données sans avoir recours à des outils supplémentaires tels que des clauses contractuelles types (article 46 RGPD). Le 23 janvier 2019, la Commission européenne a adopté une décision d'adéquation établissant un niveau équivalent de protection des données dans l'UE et au Japon. Cette décision d'adéquation (disponible en anglais), applicable depuis le 23 janvier 2019, est la première depuis l'entrée en vigueur du RGPD.

Développements dans le domaine du droit à l'oubli

Le 19 janvier 2019, l'avocat général (« AG ») Szpunar a présenté deux conclusions importantes sur le droit à l'oubli à la Cour de justice (article 17 RGPD).

Dans les premières conclusions rendu par l'AG, celui-ci a estimé que l'interdiction de traiter des données sensibles s'applique à Google, même si Google n'a pas lui-même publié les données sensibles sur les pages web auxquelles mènent les liens. Selon l'AG, lorsque Google est saisi d'une demande de déréférencement de sites web contenant des données sensibles, il doit systématiquement y faire droit. Toujours selon l'AG, Google doit toutefois trouver un juste équilibre entre, d'une part, le droit au respect de la vie privée et le droit à la protection des données à caractère personnel, et, d'autre part, le droit du public d'avoir accès aux informations en question et le droit à la liberté d'expression de la personne qui a fourni les informations.

Dans les deuxièmes conclusions, l'AG a déclaré que les recherches effectuées en dehors du territoire de l'UE ne sont pas éligibles pour la suppression des liens dans les résultats de recherche. Selon l'AG, Google est tenu de supprimer les résultats de recherche affichés à la suite d'une recherche effectuée à partir de l'adresse IP d'un internaute situé dans l'UE, quel que soit le nom de domaine saisi par cet internaute. Dans ce contexte, Google doit prendre toutes les mesures possibles pour assurer la suppression effective et complète des liens sur le territoire de l'UE, y compris le géoblocage.

Les deux conclusions (non contraignantes) sont actuellement examinées par la Cour de justice, qui rendra une décision.

Les sites Web qui utilisent le bouton « J'aime » de Facebook sont eux-mêmes (co)responsables de la protection des données à caractère personnel

L'exploitant d'un site Web qui intègre sur son site Web un plug-in tiers, tel que le bouton « J'aime » de Facebook, est responsable, avec ce tiers, du traitement des données à caractère personnel collectées par le biais de ce plug-in. Cette position a été prise par l'AG Bobek dans ses conclusions du 19 décembre 2018. Selon l'AG, cette responsabilité découle du fait que l'exploitant du site web contribue au traitement des données à caractère personnel en utilisant simplement le plug-in sur son site web. La conséquence de cet avis est que l'exploitant du site web doit fournir aux visiteurs les informations minimales requises concernant le traitement des données concernées et, si nécessaire, obtenir leur consentement avant que les données à caractère personnel ne soient collectées et transmises à des tiers. Il s'agit là encore de conclusions non contraignants sur lequel la Cour de justice est menée à prendre une décision dans les prochains mois.

Lisez aussi: Information note on data transfers under the GDPR in the case of a no deal Brexit

Nouvelles lignes directrices sur le champ d'application territorial du RGPD

L'article 3 du RGPD, qui définit les règles relatives au champ d'application territorial du RGPD, constitue un développement et une extension importants des règles relative à la protection des données par rapport à la directive 95/46/CE.

L'article 3 du RGPD définit le champ d'application territorial du RGPD sur la base de deux critères principaux : le « critère d'établissement » (article 3.1 RGPD) et le « critère cible » (article 3.2 RGPD). Lorsque l'un de ces deux critères est rempli, les dispositions du RGPD s'appliquent au traitement des données à caractère personnel par le responsable du traitement ou le sous-traitant. Le CEPD a récemment publié des lignes directrices contenant davantage d'explications et d'exemples d'application de ces deux critères. Ces directives clarifient les limites de la notion d'établissement dans l'UE et fournissent certains éléments permettant de déterminer si les entreprises établies en dehors de l'UE dirigent ou non leurs biens ou leurs services vers les personnes concernées ou observent leur comportement dans l'UE. La procédure de désignation d'un représentant dans l'UE et ses responsabilités sont également traitées plus en détail dans ces directives.

De plus amples informations sont disponibles dans le (projet de) lignes directrices du CEPD (en anglais) : lignes directrices 3/2018 concernant la portée territoriale du RGPD (article 3).

L'autorité de protection des données (« APD ») clarifie les notions de responsable du traitement et de sous-traitant

L'APD a publié sur son site Internet une note contenant un aperçu des termes « responsable du traitement » et « sous-traitant » à la lumière du RGPD. Elle s'est également penchée sur certaines conséquences qui touchent spécifiquement les professions libérales telles que les avocats. Dans cette note, l'APD reprend les principes des lignes directrices publiées précédemment par les autorités européennes de la protection de la vie privée. Par exemple, l'APD souligne que la qualification juridique de ces deux concepts exige une analyse factuelle pour chaque activité de traitement, ensuite les responsabilités doivent être confiées aux personnes qui ont une réelle influence sur les processus de traitement.

Vous trouverez plus d'informations sur ces termes dans la note de l'APD: Le point sur les notions de responsable de traitement / sous-traitant au regard du Règlement EU 2016/679 sur la protection des données à caractère personnel (RGPD) et quelques applications spécifiques aux professions libérales telles que les avocats.

Les premières amendes RGPD infligées

L'AVG n'est pas un tigre de papier. Ces derniers mois, les autorités chargées de la protection des données en Europe ont commencé à infliger des amendes. Les mesures suivantes ont été prises dans les pays voisins :

  • Aux Pays-Bas, l'autorité de protection des données (« Autoriteit Persoonsgegevens ») a infligé à Uber une amende de 600.000 EUR  pour avoir notifié tardivement une violation des règles relative à la protection des données à caractère personnel (articles 33 à 34 RGPD).
  • L'autorité de protection des données française (« CNIL ») a infligé à Google une amende de 50.000.000 EUR pour manque de transparence, information insuffisante (articles 12-13 RGPD) et absence de consentement valable (article 6 RGPD) pour la personnalisation de ses annonces.
  • L'autorité allemand (« LfDI Baden-Württemberg ») a infligé une amende de 20.000 EUR à une entreprise de médias sociaux pour violation de ses obligations en matière de sécurité des données (article 32 RGPD).

En Belgique, la première amende de l'APD se fait attendre mais l'APD a déjà annoncé que des enquêtes étaient en cours.

Le programme de travail du CEPD 2019/2020 donne un aperçu des priorités futures

Dans les mois à venir, nous pouvons nous attendre à d'autres directives du CEPD. Son programme de travail pour la période 2019/2020 (en anglais) montre que le CEPD se concentrera, entre autres, sur les véhicules connectés, la surveillance par caméra, les médias sociaux et les blockchains.