Cnil, délibérations du 10 novembre 2022, Discord Inc. ; du 30 novembre 2022, Free ; du 19 décembre 2022, Microsoft Ireland ; du 29 décembre 2022, Apple, TikTok-UK et TikTok-Irlande.
Par plusieurs décisions rendues à la fin de l’année 2022, la formation restreinte de la Commission nationale de l’informatique et des libertés (Cnil), compétente en matière de sanction, a prononcé, sur la base des dispositions du droit européen et de leur transposition en droit français, à l’encontre des services numériques Apple, Discord, Free, Microsoft et TikTok agissant sur le territoire français, des sanctions administratives, particulièrement significatives, en raison de différents manquements à la protection des données à caractère personnel de leurs utilisateurs.
Dispositions applicables
Les dispositions applicables en matière de protection des données à caractère personnel relèvent, pour l’essentiel, de la transposition, en droit français, de règles énoncées en droit européen. À la détermination des obligations s’ajoute l’attribution à la Cnil, autorité administrative indépendante, d’un pouvoir de sanction.
Détermination des obligations
Parmi les sources du droit européen déterminant les obligations en matière de protection des données à caractère personnel, ont été retenus notamment : la directive 2002/58/CE, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, telle que modifiée par la directive 2006/24/CE, du 15 mars 2006, et par la directive 2009/136/CE, du 25 novembre 2009, dite « directive Vie privée et communications électroniques » ou « ePrivacy », applicable « au traitement des données à caractère personnel dans le cadre de la fourniture de services de communications électroniques accessibles au public sur les réseaux publics de communication » ; le règlement (UE) n° 2016-679, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la précédente directive 95/46/CE, connu sous le nom de « règlement général sur la protection des données » ou RGPD. À cet égard, la loi française n° 78-17, du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés, pose pour principe, en son article 82, que « tout abonné ou utilisateur d’un service de communications électroniques doit être informé, de manière claire et complète […] par le responsable du traitement […] :
1° de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement » (dites « traceurs » ou « cookies ») ;
2° des moyens dont il dispose pour s’y opposer. Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement ».
Attribution d’un pouvoir de sanction
Déterminant les « conditions générales pour imposer des amendes administratives », l’article 83 du règlement (UE) 2016-679, du 27 avril 2016, RGPD, dispose notamment que « le non-respect d’une injonction émise par l’autorité de contrôle […] fait l’objet […] d’amendes administratives pouvant s’élever jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial ».
À titre de sanction du non-respect des obligations définies, l’article 20 de la loi du 6 janvier 1978 prévoit la possibilité que soit prononcée, par la formation restreinte de la Cnil, « une amende administrative ne pouvant excéder 10 millions d’euros ou, s’agissant d’une entreprise, 2 % du chiffre d’affaires annuel mondial de l’exercice précédent, le montant le plus élevé étant retenu ». Il y est ajouté que, dans les cas prévus par le règlement (UE) 2016/679, du 27 avril 2016, RGPD, « ces plafonds sont portés, respectivement, à 20 millions d’euros et 4 % dudit chiffre d’affaires ».
Application des dispositions
Sur la base des textes ci-dessus mentionnés, les manquements constatés, en différentes affaires, ont été l’objet des sanctions prononcées, fin 2022, par la formation restreinte compétente de la Cnil.
Manquements constatés
- Dans les faits qui ont donné lieu à la délibération SAN-2022-020, du 10 novembre 2022, étaient notamment reprochés à la société Discord Inc., sur la base du RGPD, des manquements « à l’obligation » :
« de transparence » ;
« de définir et de respecter une durée de conservation des données proportionnée à la finalité du traitement » ;
« d’information des personnes » ;
« de respecter le droit d’opposition » ;
« de garantir la protection des données par défaut » ;
« d’assurer la sécurité des données » ;
et « d’effectuer une analyse d’impact relative
à la protection des données (voir infra) ». - Dans l’affaire qui a donné lieu à la délibération SAN-2022-022, du 30 novembre 2022, visant la société Free, les plaignants faisaient notamment état de difficultés rencontrées dans l’exercice de leurs droits d’accès ou d’effacement de leurs données personnelles et concernant la sécurité de ces données. Se référant aux dispositions du RGPD, la formation restreinte de la Cnil a retenu des manquements « à l’obligation »:
« de respecter le droit d’accès » ;
« de respecter le droit à l’effacement » ;
« d’assurer la sécurité des données
à caractère personnel » ;
et « de documenter toute violation
des données à caractère personnel ». - Dans l’affaire faisant l’objet de la délibération SAN-2022-023, du 19 décembre 2022, concernant la société Microsoft Ireland, le plaignant dénonçait « les conditions de recueil de son consentement au dépôt de traceurs (cookies) ». La formation restreinte de la Cnil y a vu des faits de violation de la directive 2002/58/CE, du 12 juillet 2002, et de la loi du 6 janvier 1978, du fait du « dépôt d’un cookie sur le terminal de l’utilisateur avant toute action de sa part, sans recueil de son consentement ». Se référant aux dispositions de l’article 82 du RGPD, elle a précisé que ledit consentement « doit être donné de manière libre, spécifique, éclairée et univoque, et se manifester par un acte positif clair » ; et qu’il « doit être aussi aisé de refuser ou retirer son consentement aux traceurs que de le donner ». Pour elle, « le fait de rendre le mécanisme de refus des cookies plus complexe que celui consistant à les accepter revient, en réalité, à décourager les utilisateurs de refuser les cookies et à les inciter à privilégier la facilité du bouton « accepter » ».
- À la société Apple Distribution International, par la délibération SAN-2022-25, du 29 décembre 2022,était reproché un manquement à l’article 82 de la loi du 6 janvier 1978, transposant l’article 5(3) de la directive 2002/58/CE, du 12 juillet 2002, du fait que le paramètre de confidentialité était « activé par défaut, ce qui ne permettait pas aux utilisateurs de consentir valablement aux traitements de ciblage publicitaire ». Était ainsi constatée une violation de l’obligation « de recueillir le consentement des utilisateurs préalablement aux opérations d’écriture et/ou de lecture d’informations sur leur équipement terminal ».
- Aux sociétés TikTok-UK et TikTok-Irlande, à l’encontre desquelles a été prise la délibération SAN-2022-027, du 29 décembre 2022,il était reproché de n’avoir pas respecté la réglementation relative aux « conditions du recueil du consentement au dépôt et à la lecture des cookies » et à l’information des personnes. S’agissant des « conditions du recueil du consentement au dépôt et à la lecture des cookies », il a été considéré qu’avaient été méconnues les obligations de l’article 82 de la loi Informatique et libertés, « en déposant de tels cookies sans le consentement de l’utilisateur », alors que celui-ci devrait « être donné de manière libre, spécifique, éclairée et univoque, et se manifester par un acte positif clair », et qu’il devrait « être aussi aisé de refuser » ou de retirer ce consentement « que de le donner ». Reproche était par ailleurs fait auxdites sociétés d’un « défaut d’information des personnes », au regard des obligations posées par l’article 82 de la loi Informatique et libertés selon lequel « tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète […] de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ».
Sanctions prononcées
Par la délibération SAN-2022-020, du 10 novembre 2022, prise à l’encontre de la société Discord Inc., la formation restreinte de la Cnil, prenant en compte la nature, la gravité et la durée de la violation, ainsi que le nombre de personnes concernées, et considérant que « les amendes administratives doivent être à la fois dissuasives et proportionnées », a prononcé une amende de 800 000 euros, et ordonné la publication de la décision sur les sites de la Cnil et de Légifrance.
Dans la délibération SAN-2022-022, du 30 novembre 2022, la formation restreinte de la Cnil a prononcé, à l’encontre de la société Free :
– une amende administrative d’un montant de 300 000 euros ;
– une injonction d’apporter une réponse aux demandes des personnes concernées ;
– et ordonné la publication de ladite délibération sur les sites de la Cnil et de Légifrance.
Dans la délibération SAN-2022-023, du 19 décembre 2022, concernant la société Microsoft Ireland, la formation restreinte de la Cnil, considérant « la gravité du manquement, compte tenu de la portée du traitement et du nombre de personnes concernées », a prononcé une amende administrative de 60 millions d’euros. Elle y a ajouté une injonction de mise en conformité, assortie d’une astreinte d’un montant de 60 000 euros par jour de retard, et la publication de ladite délibération sur les sites de la Cnil et de Légifrance.
S’agissant du service de TikTok, par la délibération SAN-2022-027, du 29 décembre 2022, était prononcée, en raison de « la gravité du manquement, compte tenu de la portée du traitement et du nombre de personnes touchées : une amende de 2,5 millions d’euros à l’encontre de la société TikTok UK, et une amende de 2,5 millions d’euros à l’encontre de la société TikTok Irlande. S’y ajoutait l’obligation de publication de la délibération sur les sites de la Cnil et de Légifrance.
S’agissant de la société Apple, dans la délibération SAN-2022-025, du 29 décembre 2022, la formation restreinte de la Cnil – prenant en compte la « gravité du manquement », le « nombre de personnes concernées » et le « chiffre d’affaires mondial » de la société – a prononcé une amende administrative de 8 millions d’euros et ordonné la publication de la décision sur les sites de la Cnil et de Légifrance.
Moins que le montant des condamnations prononcées, proportionnel au chiffre d’affaires des sociétés du numérique de dimension internationale qui en sont l’objet, se pose le problème – en dépit de l’intérêt d’une compétence spécialisée – des garanties de procédure mises en œuvre et des voies de recours existantes de l’exercice, en cette matière comme en d’autres, d’un pouvoir de sanction confié à une autorité administrative indépendante telle que la Commission nationale de l’informatique et des libertés (Cnil).