Contribution #5 — Reprenez le contrôle de vos données et de votre vie privée
Début d’année difficile pour GOOGLE INC (Etats-Unis) et GOOGLE LLC (Irlande) avec deux décisions, rendues par deux autorités françaises distinctes, qui vont marquer les mémoires et le droit de la protection des données.
Avec ces deux décisions, c’est le moment, pour chacun d’entre nous de reprendre le contrôle de nos données et de notre vie privée.
Le “Dashboard” de GOOGLE
Parce que nous sommes tous concernés, utilisateurs, clients, étudiants, chercheurs, collaborateurs et dirigeants, etc …, nous vous présentons, avec TOLTEC, le Dashboard (tableau de bord) de GOOGLE avec un “tutoriel” de 5 minutes, que vous pourrez visionner avec votre smartphone, en réalisant, en parallèle, le même exercice avec un ordinateur connecté à votre compte “GOOGLE” ou “GMAIL” .
Le 12 février 2019, le TGI de Paris a déclaré recevable l’ensemble des demandes formées par l’association UFC-Que Choisir à l’encontre de GOOGLE INC, pour 209 clauses abusives et illicites
Le 12 février 2019, après 5 ans de procédure, le TGI de Paris a déclaré recevable l’ensemble des demandes formées par l’association UFC-Que Choisir à l’encontre de la société de droit américain, GOOGLE INC, pour 209 clauses abusives et illicites dans ses « Conditions d’utilisation » et « Règles de confidentialité ».
Cette décision de 136 pages, extrêmement bien documentée et susceptible d’appel, est une importante avancée pour les consommateurs, UFC-Que Choisir se félicite d’une nouvelle victoire dans son combat pour permettre aux consommateurs de garder la main sur leurs données personnelles avec la condamnation.
Extrait de la décision :
“DIT que chacune des versions des clauses contractuelles susmentionnées
des Règles de confidentialité, au titre de ses éditions successives du 20
décembre 2013, (…) et du 29 août 2016, d’une part, ainsi que des Conditions d’utilisation, au titre des éditions successives du 11 novembre 2013 et du 30 avril 2014, d’autre part, proposée ou ayant été proposée par la société GOOGLE INC. aux utilisateurs d’Internet dans le cadre de son réseau social dénommé « Google+», est réputée non-écrite du fait de son caractère illicite ou abusif, y compris dans les offres de contrat qui ne sont plus proposées …”
Le 21 janvier 2019, la CNIL a prononcé une sanction de 50 millions d’euros à l’encontre de GOOGLE LLC
Le 21 janvier 2019, la formation restreinte de la CNIL a prononcé une sanction de 50 millions d’euros à l’encontre de la société de droit irlandais, GOOGLE LLC en application du RGPD pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité.
Que devons-nous retenir de ces deux décisions ?
Tout d’abord, la sanction de la CNIL marque le début de nouvelles sanctions significatives à venir, la règlementation autorisant désormais des sanctions pouvant aller jusqu’à 4 % du chiffre d’affaires. Si nous mettons en perspective, les 50 millions par un rapport à un chiffre d’affaires annuel de 110 milliards de dollars, cela laisse ouvert le champ des possibles.
Le second commentaire est qu’il ne faut pas sous-estimer l’impact de la règlementation (RGPD, loi informatique et liberté, d’autant plus que cette règlementation a le mérite de fournir un cadre à la fois souple et précis qui permet aux entreprises de se conformer à la règlementation, à partir du moment où elles sont en mesure de respecter les six principes évoqués dans le texte et repris dans les 11 conseils, données aux organisations, dans la présente contribution.
Le troisième commentaire est qu’il faut éviter de créer des traitements trop complexes qui généreront des contraintes inutiles, entraineront des contentieux et le cas échéant la nullité de certains traitements. Souvent les traitements audacieux, résultats d’une créativité échevelée sous le prétexte que la technologie le permet et que d’autres le font, sont les plus difficiles à maintenir et à sécuriser. Les traitements audacieux ne sont pas interdits mais n’oublions pas que leur conformité créera des contraintes, nécessitant ressources et moyens dont les entreprises ne disposeront pas forcément, contrairement aux grands acteurs Google, Amazon, Facebook et Apple. Sociétés qui malgré leurs moyens techniques et financiers considérables sont aujourd’hui mises au banc.
Le quatrième commentaire, aujourd’hui la donnée est et vient de partout : les caisses, les scanners, les smartphones, les réseaux sociaux, les objets connectés, …. Elle donne des informations de géolocalisation des clients dans les magasins, elle permet de suivre le client en dehors du magasin. L’objectif des entreprises est de proposer au client ce qu’il veut à n’importe quel moment. De ce fait la tentation est grande de collecter le maximum de données. Mais attention plus la collecte de données est importante et plus le risque l’est, pour cela la partie sécurité est essentielle, rappelons que les sanctions qui peuvent intervenir en cas de failles de sécurité peuvent aller jusqu’à 4 % du chiffre d’affaire consolidé ou pour des entreprises de taille moyenne jusqu’à 20 millions d’euros.
Le cinquième commentaire et sans doute le plus important est que les deux décisions (CNIL et TGI de Paris) sont particulièrement documentées et doivent être lue et relue avec la plus grande attention.
A titre d’illustration, la décision de la CNIL indique et argumente que :
a) L’Irlande ne constitue pas un refuge pour les multinationales du numérique ;
b) Le Dashboard de Google et les conditions d’utilisations “ne répondent pas aux objectifs d’accessibilité, de clarté et de compréhension”, mais aussi que “certaines informations rendues obligatoires par l’article 13 ne sont pas fournies aux utilisateurs” ;
c) Il “ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité” ;
d) “Le caractère spécifique du consentement n’est pas respecté puisque l’utilisateur, par ces actions, accepte en bloc l’ensemble des traitements de données à caractère personnel mis en œuvre par la société, y compris à ceux de personnalisation de la publicité”.
De son côté, le Tribunal a été très clair : Google doit revoir sa copie et ses pratiques, Google ne peut plus :
- Collecter ni partager les données personnelles de ses utilisateurs sans les avoir informés clairement
- Géolocaliser en permanence ses utilisateurs, déposer des cookies ou collecter les informations stockées sur leurs téléphones et tablettes sans véritable accord
- Modifier volontairement les données personnelles collectées ou les diffuser librement dans des annonces commerciales
- Dissuader les utilisateurs de s’opposer aux dépôts systématiques de cookies
- Laisser croire que l’utilisation de ses services entraine l’acceptation des conditions d’utilisation et règles de confidentialité
- Exclure systématiquement toute responsabilité (en cas de dysfonctionnement)
- Refuser d’appliquer la loi française
Bien appréhender les risques
De ce fait, dans vos organisations, il convient de bien appréhender les risques pouvant conduire à l’application de ces amendes. Nous en avons identifié 9 principaux :
1. Vices du consentement : Dans le cadre d’une nécessité du consentement : le consentement n’a pas été donné de manière libre, spécifique et informée; le consentement n’a pas été donné pour une ou des finalités précises; le responsable de traitement ne peut pas prouver que ce consentement a été exprimé.
2. Collecte de données inappropriées : Des données personnelles illégitimes au regard de la ou des finalités du traitement sont collectées. Par exemple : des données physiques (taille, poids…) sont demandées pour se porter candidat à une offre d’emploi.
3. Sécurisation insuffisante des données : Le niveau de sécurité des données en place est insuffisant au regard de la probabilité et de la gravité des risques ainsi que de la finalité du traitement. Cette sécurisation insuffisante peut entraîner : l’altération des données personnelles (perte d’intégrité) ; l’accès illégitime aux données personnelles (perte de confidentialité) ; la suppression des données personnelles (perte de disponibilité).
4. Détournement de finalité du traitement : Dans le cadre d’un traitement, les données personnelles sont collectées pour des finalités déterminées, explicites et légitimes mais sont traitées ultérieurement de manière incompatible avec ces finalités.
5. Défaut de procédure de Privacy by Design : Absence ou insuffisance de la procédure visant : pour les nouvelles applications : à créer ces applications dans le respect des exigences du RGPD; pour les applications existantes avant la mise en œuvre du RGPD: à mettre en place un plan d’action ou des outils pour mettre en conformité ces applications selon les exigences du RGPD.
6. Conservation excessive de données : Les données à caractère personnel sont conservées pendant une durée excédant celle nécessaire au regard des finalités pour lesquelles elles sont traitées.
7. Transfert auprès d’un tiers mal encadré : Le transfert de données à caractère personnel vers un tiers s’est fait sans vérification des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement et garantisse la protection des droits des personnes concernées.
8. Transfert hors UE abusif : Un transfert hors UE est effectué sans qu’aucune des exceptions à l’interdiction soit réalisée (clauses contractuelles types, BCR, consentement individuel explicite, décision d’adéquation, autres dérogations…).
9. Incapacité à permettre l’exercice des droits : Impossibilité de répondre à des demandes de clients ou collaborateurs quant à leurs droits (portabilité, accès, information, transparence, oubli, suppression…).
S’appuyer sur quelques conseils simples
Pour bien appréhender ces risques et se protéger utilement, les organisations peuvent s’appuyer sur quelques conseils simples pour la conformité des données à la réglementation :
1. Pour se protéger durablement, la transparence et la conformité sont indispensables : car, le plus difficile n’est pas de gagner la confiance du client, mais de la conserver
2. Vous devez pouvoir répondre à la question suivante : quelle est dans votre entreprise la vision de la protection et du respect de la vie privée de vos clients ?
3. Vous devez pouvoir formaliser par écrit cette vision en rédigeant une charte applicable à tous les traitements de données personnelles de votre entreprise : en rédigeant une charte compréhensible par tous les clients, collaborateurs et sous-traitants
4. Vous devez connaître et respecter les six principes du règlement européen (RGPD et être en mesure de démontrer le respect de ces principes.
5. Principe 1 — licéité, loyauté, transparence : traiter les données de manière licite, loyale et transparente au regard de la personne concernée.
6. Principe 2 — collecter les données pour des finalités déterminées, explicites et légitimes, et ne pas les traiter ultérieurement d’une manière incompatible avec ces finalités.
7. Principe 3 — minimisation des données : adéquates, pertinentes et limitées, à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
8. Principe 4 — exactitude : exactes et tenues à jour les données inexactes sont effacées ou rectifiées sans tarder.
9. Principe 5 — limitation de la conservation : conservées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.
10. Principe 6 — intégrité et confidentialité : traitées de façon à garantir une sécurité appropriée pour assurer la protection contre le traitement non autorisé ou illicite, la perte, la destruction ou les dégâts d’origine accidentelle.
11. Enfin, être capable de démontrer le respect des 6 principes évoqués de manière récurrente, par une approche par les risques des auto-évaluations et des contrôles externes réguliers.
Selon une enquête de Merril Corporation publiée début novembre (Due Diligence 2022), accessible sur le site toltecdc.com, la mise en œuvre du GDPR est apparue comme un obstacle majeur aux fusions et acquisitions.
Plus de la moitié des praticiens interrogées (55%) ont cité la conformité et la protection des données utilisées par la société cible comme principale raison pour laquelle une transaction n’a pas progressé ou a été annulée. En outre, 66% des personnes interrogées pensent que le GDPR renforcera la vigilance des acquéreurs sur les politiques et processus de protection des données des sociétés cibles, ce qui compliquera encore le processus de transaction.
En veillant à ce que les données soient pleinement conformes aux réglementations locales et internationales, et que les obligations y afférentes ont bien été appréhendées par votre entreprise, l’ACQUEREUR, vous disposerez de la sécurité dont vous avez besoin pour VALORISER vos données.
Ainsi en respectant, une approche simple, claire et équilibré dans le RESPECT de la réglementation, des clients, des collaborateurs et des sous-traitants ; la PROTECTION dont disposera votre entreprise sera durable ; ce qui mécaniquement contribuera à sa VALORISATION.
Retrouvez toutes nos contributions, en cliquant ci-dessous :
Pour plus de précisions, contacter : philippe.gabillault@toltecdc.com.
