4 ans après son premier rapport d’application du RGPD publié en 2020, la Commission européenne dresse son second bilan. Depuis 2020, de nombreux textes ont été adoptés par l’Union européenne concernant notamment le développement de l’intelligence artificielle, la facilitation de la recherche novatrice, ou encore la création d’un environnement numérique plus sûr. Bien que la Commission européenne salue ces évolutions, elle souligne dans ce bilan d’application qu’il reste des progrès à faire dans de nombreux domaines.

Un point particulièrement mis en lumière est le besoin d’une application cohérente de la règlementation relative à la protection des données, par les différents Etats membres de l’Union. La Commission relève différents points. Le RGPD a laissé la possibilité aux Etats membres d’adopter des législations sectorielles, amenant parfois à des contradictions entre les diverses règlementations nationales au sein même de l’Union européenne freinant ainsi la libre circulation des données.

Par ailleurs, chaque autorité de protection des données est libre d’adopter des lignes directrices reflétant son interprétation de la règlementation. Cela donne lieu à des divergences d’interprétation de la réglementation entre les autorités de protection des données, conduisant à une insécurité juridique. La Commission prend pour exemple les points de vue divergents de certains Etats membres sur la base juridique appropriée dans le cadre de la conduite d’un essai clinique notamment, ou encore sur la qualification des parties entre responsable de traitement et sous-traitant. De surcroit, la Commission relève que certaines autorités de protection des données publient parfois des lignes directrices au niveau national, qui sont contraires à celles du Comité européen de la protection des données. 

Afin d’améliorer l’application du RGPD, d’accroitre la cohérence qui lui fait parfois défaut et d’harmoniser les législations, la Commission a notamment proposer d’adopter un règlement sur les règles de procédure en juillet 2023. Cette proposition vise à mettre en place des voies de recours rapides pour les particuliers. La Commission a relevé que les autorités de protection des données renforçaient leur coopération, et avaient davantage recours au mécanisme de contrôle de cohérence, de façon informelle. Elle recense 1000 demandes d’assistance mutuelle formelles, contre 12 300 informelles. 

S’agissant toujours de l’application cohérente de la règlementation, la Commission relève également le besoin d’adopter des lignes directrices plus concises et qui répondent davantage à la pratique. En effet, selon les autorités de protection des données, les lignes directrices adoptées par le CEPD sont trop théoriques, et ne répondaient pas aux problèmes concrets que se posent les acteurs. Il est nécessaire que le CEPD consulte les parties prenantes afin de mieux appréhender les dynamiques du marché. Par exemple, il a été identifié la nécessité d’adopter des lignes directrices concernant l’anonymisation et la pseudonymisation, ou encore l’intérêt légitime et la recherche scientifique.

En conclusion, la Commission considère qu’il convient de se concentrer sur l’application rigoureuse du RGPD, par une interprétation et une application cohérente dans l’ensemble de l’Union, et également sur la coopération entre les différentes autorités.

Le principe de minimisation des données est un des six principes fondamentaux encadrant le traitement des données à caractère personnel.

Selon ce principe, les données à caractère personnel faisant l’objet d’un traitement doivent être adéquates et pertinentes au regard de la finalité du traitement. Les données sont pertinentes si elles présentent un lien nécessaire avec les finalités poursuivies.

Les données doivent être limitées à ce qui est nécessaire au regard des finalités de traitement. Ce critère de nécessité s’entend aussi bien de la quantité de données collectées que de leur qualité. En d’autres termes, un nombre excessif de données collectées pourrait contrevenir au principe de minimisation.

• Par exemple, un employeur qui demanderait, dès le stade de l’entretien d’embauche, les informations relatives au numéro de sécurité sociale d’un candidat à une offre de poste, ne respecterait pas le principe de minimisation. En effet, il est inutile de détenir le numéro de sécurité sociale du candidat tant qu’il n’a pas été sélectionné pour occuper le poste : ce dernier ne sert qu’à satisfaire certaines obligations salariales.
• La CNIL a mis en demeure en avril 2024 une société pour non-respect du principe de minimisation des données. Plusieurs candidats avaient porté plainte en raison du nombre trop important de données qui étaient collectées par le recruteur : des informations concernant notamment le lieu de naissance, la nationalité et la situation familiale des candidats alors que les candidats n’avaient pas encore été choisis pour le poste. Afin de déterminer les données qu’il est possible de collecter, la CNIL a ainsi rappelé que le principe de minimisation impose de ne collecter que les données présentant un lien direct et nécessaire avec l’emploi proposé ou l’évaluation des aptitudes professionnelles.

En outre, le principe de minimisation suppose de ne traiter les données à caractère personnel s’il n’y a pas raisonnablement d’autre moyen d’atteindre la finalité. Ainsi, s’il est possible pour un centre d’appel d’enregistrer certaines conversations des appels entrants et sortants, à des fins de formation, d’évaluation ou pour se prévaloir d’éventuels litiges, l’enregistrement ne doit pas être réalisé en continu.

• C’est ce que la CNIL a sanctionné dans le cadre de la procédure simplifiée en juin 2024. Un centre d’appel enregistrait systématiquement la totalité des conversations alors que la mise en place d’un enregistrement ponctuel et aléatoire était suffisante pour la formation des salariés, et pour la bonne exécution du service.

• Article 5 du RGPD – Principes relatifs au traitement des données à caractère personnel
• CNIL – Recrutement : la CNIL met en demeure une société de minimiser la collecte de données personnelles de candidats – 25 avril 2024
• CNIL – La CNIL a prononcé neuf nouvelles sanctions dans le cadre de la procédure simplifiée – 5 juin 2024

Date de mise à jour : 15 juillet 2024

Depuis 2018, les enjeux liés au métier de délégué à la protection des données sont étudiés par la Commission nationale de l’informatique et des libertés (CNIL), l’Association française des correspondants à la protection des données (AFCDP) et la Délégation générale à l’emploi et à la formation professionnelle (DGEFP). Cette dernière étude, enregistre un record de participation, avec 3625 DPO répondants contre seulement 1811 lors de la dernière étude.

Si le nombre de DPO est en forte croissance depuis 2019 (21 000 en 2019 contre 34 440 début 2024), leur niveau de formation et de compétences reste un sujet prédominant. Dans cette étude, l’Agence nationale pour la formation professionnelle des adultes (l’AFPA), relève que le nombre de DPO a largement augmenté notamment au sein des plus petites structures. En revanche, il s’agit majoritairement de profils sans expertise juridique, ni informatique. Et ces DPO disposent également de moins de moyens que ceux qui sont nommés au sein de plus grosses structures (plus de 250 salariés). La CNIL s’inquiète des risques de cette évolution s’agissant de la capacité de ces profils de DPO à évaluer les risques, et mener à bien leurs missions.

En ce sens, la CNIL a indiqué qu’elle allait notamment renforcer sa vigilance sur les moyens alloués aux DPO pour réaliser leur mission. Elle veillera au conflit de priorité c’est-à-dire le temps disponible pour exercer la mission ainsi qu’au nombre d’organismes à gérer et aux possibilités qu’ils ont d’être formés.

Cette étude relève également la question de la formation avec un pourcentage élevé de DPO se sentant pas ou peu formés aux données personnelles : 68% des DPO récemment désignés, c’est-à-dire depuis un an ou moins, qui n’ont pas reçu de formation, ou pour les plus anciens, une formation Informatique et Libertés de 1 à 2 jours depuis 2016. Plus généralement, 55% des DPO qui ont participé à l’enquête en 2024 se sentent peu ou pas formés.

Un autre constat est celui du temps consacré par les DPO à leur mission : dans les petites structures, plus de 96% exercent à temps partiel, et presque les trois quarts indiquent ne pouvoir accorder que 25% de leur temps à cette mission. Par ailleurs, 86% des DPO exercent leurs fonctions seuls.

Pour rappel, le RGPD indique que le DPO est désigné sur la base de ses connaissances du droit et des pratiques en matière de protection des données. Cela implique des connaissances au moment de sa désignation, mais également la possibilité de se former pour maintenir ces connaissances et de les mettre à jour dans la mesure où le sujet des données personnelles évolue avec les années.

• Etude 2024 – Evolution de la fonction de Délégué à la Protection des Données – AFPA
• Article 37 du RGPD – Désignation du délégué à la protection des données

05 juillet 2024

Les modalités d’ouverture et de réutilisation des données à caractère personnel sur internet ont été précisées par la CNIL dans ses recommandations parues début juin 2024.

Pour rappel, l’open data désigne un mouvement d’ouverture et de mise à disposition des données produites et collectées par les services publics comme les administrations, les établissements publics etc…

Une réutilisation des données ou utilisation secondaire des données, constitue un traitement dit « ultérieur », c’est-à-dire un traitement qui suit l’opération de collecte et qui a une finalité différente de celle justifiant la collecte initiale.

Dans tous les cas, la règlementation relative à la protection des données personnelles s’applique, dès lors que des données personnelles sont traitées :  le fait qu’il s’agisse d’open data (autrement dit de données publiées sur internet) n’a pas d’incidence. C’est ce que rappelle le Code des relations entre le public et l’administration, qui indique que dès qu’un traitement suppose la réutilisation de données personnelles, il faut respecter la Loi informatique et libertés.

Ces recommandations sont des ressources pour tous les acteurs, qu’il s’agisse de ceux qui diffusent les données, ou de ceux qui les réutilisent. Elles ne sont pas contraignantes mais constituent des guides permettant de s’assurer de la conformité du traitement envisagé. Par exemple, la CNIL y explique comment déterminer la base légale du traitement, ou encore comment concilier minimisation et open data.

Chacune de ces recommandations rappelle les principes fondamentaux à suivre dans le cadre de la mise en place de traitements liés à l’open data, des questions pratiques à se poser, et présente des cas d’usage. Dans les prochains mois, la CNIL a indiqué que ces cas d’usage pourraient évoluer et être complétés par d’autres thématiques. En effet, le travail concernant le partage des données se poursuit, et notamment s’agissant des sujets relatifs à la circulation des données à des tiers spécifiquement autorisés (Data Governance Act, Data Act, etc : partage de données d’intérêt général avec les pouvoirs publics par exemple).

• Délibération n°2024-041 du 25 janvier 2024 portant adoption de deux recommandations relatives à l’application du règlement général sur la protection des données aux traitements d’ouverture et de réutilisation de données à caractère personnel publiées sur internet
• Article L. 322-2 du Code des relations entre le public et l’administration
• Sous-traitants : la réutilisation de données confiées par un responsable de traitement – CNIL

QUE SIGNIFIE LE PRINCIPE DE LIMITATION DES FINALITES ?

Principe fondamental de la protection des données, la limitation des finalités est imposée par l’article 5 du Règlement général sur la protection des données (« RGPD »). Il s’agit de ne collecter des données que pour « des finalités déterminées, explicites et légitimes ».

Par ailleurs, l’utilisation ultérieure des données est permise dès lors que la nouvelle finalité est compatible avec la finalité initiale. Le RGPD prévoit la réalisation d’un test de compatibilité aux fins de déterminer la possibilité de réutiliser les données ainsi collectées.

A ce titre, le responsable de traitement devra donc se poser les questions suivantes avant de réutiliser des données pour une autre finalité :

• Existe-t-il un lien entre la finalité initiale pour laquelle ont été collectées les données et la finalité ultérieure dans le cadre de laquelle elles vont être réutilisées ?
• Dans quel contexte ont-été collectées les données initialement ? La relation entre le responsable de traitement et les personnes concernées dans le cadre de la collecte initiale a-t-elle changé dans le cadre de la réutilisation des données ?
• Quelle est la nature des données traitées ? Des données sensibles sont-elles concernées ?
• Quelles sont les conséquences possibles du traitement amené par la réutilisation des données sur les personnes concernées ?
• Quelles sont les garanties appropriées mises en place dans le cadre de la réutilisation des données, par exemple le chiffrement ou la pseudonymisation ?

A noter toutefois qu’une finalité incompatible ne signifie pas interdiction de réutilisation : le responsable de traitement souhaitant réutiliser les données dans ce cadre devra alors réinformer les personnes concernées et, le cas échéant, obtenir leur accord. Voir en ce sens la décision de la CNIL du 11 octobre 2018 mettant en demeure cinq sociétés d’assurance pour détournement de finalités : elles utilisaient les données de paiement des allocations retraite pour faire de la prospection commerciale.

Par ailleurs, la règlementation présume la réutilisation des données à des fins archivistiques dans l’intérêt public, de recherche scientifique ou à des fins statistiques comme un traitement compatible. En ce sens les données collectées dans le cadre du soin pourraient alors être réutilisées à des fins de recherche pour améliorer la prise en charge de la pathologie sans que l’on puisse considérer ce traitement incompatible.

Rappelons enfin que ce principe de finalité va de pair avec le principe de transparence : en dehors de l’exigence de compatibilité des finalités, elles doivent être déterminées et explicites. A cet effet, les personnes concernées doivent en être informées spécifiquement. Les personnes concernées doivent être en mesure de comprendre les utilisations secondaires de leurs données.

• Article 6 RGPD
• Décision n°2018-333 du 11 octobre 2018

La notion de données à caractère personnel est définie par la Règlementation comme « toute information se rapportant à une personne physique identifiée ou identifiable » (personne concernée).

Identifiée ou identifiable : qu’entend-on par-là ?

• Directement : nom, prénom…
• Indirectement : identifiant, numéro client, plaque d’immatriculation, numéro de téléphone,
• A partir d’une seule donnée : ADN, photo  
• A partir d’un croisement d’un ensemble de données : la personne opérée tel jour de telle pathologie dans tel établissement

La notion de donnée à caractère personnel s’entend très largement : la seule possibilité d’établir un lien avec une personne physique suffit. Pour déterminer si cette possibilité existe, l’ensemble des moyens raisonnablement susceptibles d’être employés par le responsable de traitement doit être pris en considération. Le RGPD précise que doit être pris en compte « l’ensemble des facteurs objectifs, tels que le coût de l’identification et le temps nécessaire à celle-ci, en tenant compte des technologies disponibles au moment du traitement et de l’évolution de celles-ci ».

La jurisprudence de la Cour de justice de l’Union Européenne (CJUE) a permis d’établir que le lien s’entend largement. La CJUE avait statué dans son affaire Breyer que la notion d’indirectement identifiant ne nécessitait pas que les informations permettant ladite identification soient dans les mains de la même personne.

Elle s’est également prononcée sur le caractère « de moyens raisonnablement susceptibles d’être utilisés » des informations à utiliser pour identifier une personne : l’arrêt Breyer avait notamment permis de considérer qu’une identification interdite par la loi, ou irréalisable en pratique n’est pas un moyen raisonnablement susceptible d’être utilisé. En effet, le juge européen avait conclu en l’espèce qu’une adresse IP dynamique était une donnée à caractère personnel pour le fournisseur d’accès à internet dès lors que ce dernier disposait de moyens légaux lui permettant d’identifier la personne concernée en combinant cette donnée aux autres données dont il dispose sur la personne concernée.

Le 7 mars 2024, la CJUE s’est à nouveau prononcée sur le sujet du caractère indirectement identifiant concernant un communiqué de presse relatif à une fraude dans le cadre du financement d’un projet de recherche. Dès lors que le communiqué de presse mentionnait des informations concernant la personne : son genre, sa nationalité, le montant de la subvention, la localisation de l’entité l’octroyant, il est possible d’identifier indirectement la personne concernée. Dans cet arrêt, la CJUE a également pris en compte l’intérêt que pouvait susciter le communiqué de presse auprès du public, et donc le fait que le public risquait de faire des recherches afin d’identifier la personne en question pour déterminer si cette dernière était ou non identifiable.

• Article 4 du RGPD – Définitions
• CJUE, 19 Octobre 2016, Affaire Breyer, C‑582/14
• CJUE, 7 mars 2024, P – C‑479/22

La CNIL présente son bilan 2023 : accompagnement renforcé des entreprises à fort potentiel économique ou d’innovation, essor de la procédure simplifiée, sensibilisation du grand public.. Retrouvez les grands chantiers menés par la CNIL en 2023.
Pour en savoir plus, rendez-vous sur le rapport annuel de 2023.