Newsletter Protection des données | Décembre 2024 – Janvier 2025

Ce mois-ci, l’équipe protection des données et cybersécurité de DLA Piper France LLP vous propose une sélection des actualités clés relatives à la protection des données personnelles, en France et en Europe.

• La CNIL publie son plan stratégique pour 2025-2028
• La CNIL publie la version finale de son guide sur les analyses d’impact des transferts de données
• La CNIL ouvre une consultation publique sur son projet de référentiel d’évaluation dans le cadre de la certification RGPD des sous-traitants
• La CNIL a prononcé une amende de 240 000 euros à l’encontre de la société KASPR
• Le CEPD publie son rapport sur la mise en œuvre du droit d’accès
• La CNIL met à jour ses recommandations sur le droit d’accès des salariés à leurs données et aux courriels professionnels
• Le CEPD adopte des lignes directrices sur la pseudonymisation
• Le CEPD adopte un avis sur l’utilisation des données à caractère personnel pour le développement et le déploiement modèles d’IA
• CJUE : Les cases Monsieur/ Madame sur le site et l’application mobile de SNCF Connect ne sont pas nécessaires à la communication commerciale en matière de transport ferroviaire

 

1. La CNIL publie son plan stratégique pour 2025-2028

Le 6 janvier 2025, la CNIL a publié son plan stratégique pour les quatre prochaines années. Celui-ci s’articule autour de quatre axes prioritaires :

• Encadrer les usages de l’IA pour une meilleure protection des droits [avec une participation active de la CNIL au processus d’inter-régulation, en particulier entre l’AI Act et le RGPD]
• Garantir une protection renforcée des mineurs dans l’environnement numérique [avec une intensification des actions de sensibilisation]
• Renforcer la cybersécurité et prévenir les atteintes aux données personnelles [en veillant à une application harmonisée de NIS 2, DORA et l’AI Act]
• Accompagner les usages numériques du quotidien [avec notamment une sensibilisation du public aux enjeux liés à l’utilisation des applications numériques] 

Pour approfondir : Plan stratégique de la CNIL - 2025-2028

 

2. La CNIL publie la version finale de son guide sur les analyses d’impact des transferts de données

Le 31 janvier 2025, la CNIL a publié la version finale de son guide sur les analyses d'impact des transferts de données (AITD), à la suite d’une consultation publique.

Ce guide propose une méthodologie structurée en deux parties principales :

• Les éléments devant être vérifiés avant la réalisation d’une AITD : existence d’un transfert de données à caractère personnel, nécessité de réaliser une AITD, la qualification des parties, etc.
• Les six étapes opérationnelles recommandées pour la réalisation de l’AITD (compréhension du transfert, identification de l’outil de transfert utilisé, évaluation de la législation et des pratiques du pays de destination, adoption de mesures supplémentaires, mise en œuvre de ces mesures, réévaluations régulières).

Pour approfondir : Analyse d’impact des transferts des données (AITD) : la CNIL publie la version finale de son guide | CNIL

 

3. La CNIL ouvre une consultation publique sur son projet de référentiel d’évaluation dans le cadre de la certification RGPD des sous-traitants

Le 23 décembre 2024, la CNIL a ouvert une consultation publique sur son projet de référentiel d’évaluation dans le cadre d’une certification RGPD des sous-traitants. Cette consultation est ouverte jusqu’au 28 février 2025 inclus.

L’objectif de la CNIL est d’élaborer un référentiel d’évaluation qui permettra de proposer une certification « qui fixe un niveau ambitieux tout en restant accessible » aux sous-traitants « qui acceptent de s’engager dans une démarche d’amélioration de leur maturité en matière de protection des données ».

Tout organisme, privé comme public, qui effectue des traitements de données à caractère personnel pour le compte d’un responsable de traitement pourra candidater à cette certification, destinée à orienter les responsables de traitement dans leur choix d’un sous-traitant.

Pour approfondir : Certification RGPD des sous-traitants : la CNIL consulte sur un projet de référentiel d’évaluation | CNIL

 

4. La CNIL a prononcé une amende de 240 000 euros à l’encontre de la société KASPR

Le 5 décembre 2024, la CNIL a sanctionné la société KASPR pour divers manquements au RGPD, notamment pour avoir collecté sur LinkedIn les coordonnées d’utilisateurs qui avaient pourtant choisi d’en limiter la visibilité.

La société KASPR commercialise depuis 2018 une extension payante du navigateur Chrome qui permet à ses utilisateurs d’obtenir les coordonnées professionnelles de personnes dont ils ont visité le profil sur LinkedIn ou d’autres sites web. Environ 160 millions de contacts sont recensés dans la base de données constituée par la société KASPR.

La CNIL a effectué un contrôle en 2022 à l’encontre de la société KASPR suite à la réception de plusieurs plaintes émises par des personnes démarchées par des entités ayant obtenu leurs coordonnées grâce à l’extension KASPR. Sur la base de ce contrôle, la formation restreinte de la CNIL a retenu les manquements suivants :

• manquement à l’obligation de disposer d’une base légale (la formation restreinte considère que les intérêts ou les libertés et droits fondamentaux des personnes concernées, notamment leur droit au respect de la vie privée, prévalaient sur l’intérêt légitime de KASPR à traiter leurs données pour pouvoir assurer le fonctionnement de son extension, de sorte que le fondement juridique de l’intérêt légitime de la société ne pouvait être retenu);
• manquement à l’obligation de définir et de respecter une durée de conservation des données proportionnée à la finalité du traitement (en l’espèce une durée de 5 ans suivant toute mise à jour due à un changement de poste de la personne concernée) ;
• manquement à l’obligation de transparence et d’information des personnes (information tardive, parcellaire et en anglais) ;
• manquement à l’obligation de faire droit aux demandes d’exercice du droit d’accès.

En conséquence, la CNIL a prononcé une amende de 240 000 euros à l’encontre de la société KASPR, ainsi que plusieurs injonctions. Celles-ci ont été assorties d’un délai de mise en conformité de six mois, sous astreinte de 10 000 euros par jour de retard.

Pour approfondir : Aspiration de données : sanction de 240 000 euros à l’encontre de la société KASPR | CNIL

 

5. Recommandations de la CNIL sur la réutilisation des bases de données

Le 23 janvier 2025, la CNIL a publié des lignes directrices concernant la réutilisation des bases de données à caractère personnel librement accessibles sur internet ou fournies par un tiers.

Ces lignes directrices s'adressent particulièrement aux organisations engagées dans la recherche scientifique, le développement de systèmes d'intelligence artificielle et la prospection commerciale.

Dans ces lignes directrices, la CNIL souligne l'importance pour le réutilisateur des données de procéder à des vérifications sur :

• La source des données ;
• Le fait que la constitution ou la diffusion de la base de données ne résulte pas manifestement d’un crime ou d’un délit (données issues du dark web suite à un vol de données par exemple) ;
• La licéité de la base (par exemple vérification que les données ne sont pas trop intrusives) ;
• L’absence de données sensibles ou de données d’infraction (ou alors vérification de la conformité du traitement de telles données).

La CNIL recommande également de mettre en place un cadre contractuel rigoureux avec le détenteur des données.

Pour approfondir : Réutilisation de bases de données : les vérifications nécessaires pour respecter la loi | CNIL

 

6. Le CEPD publie son rapport sur la mise en œuvre du droit d’accès

Dans le cadre de son action coordonnée européenne (coordinated enforcement framework), le CEPD a choisi en 2024 le thème de la mise en œuvre du droit d'accès.  

Dans ce cadre, le CEPD a adopté un rapport le 16 janvier 2025 dressant un bilan de cette action mutuelle et formulant quelques recommandations. Par exemple, selon le CEPD, les responsables de traitement doivent :

• déterminer à l'avance où (par exemple, dans quelles bases de données) effectuer des vérifications lorsqu'ils reçoivent une demande d'accès.
• fixer une période de conservation des réponses aux demandes d’accès sur la base de critères objectifs et documenter leur raisonnement conformément à l'article 5 (2) du RGPD.
• veiller à ce que tous les employés soient formés à reconnaître une demande d'accès, quel que soit le canal de soumission, et à ce qu'ils sachent à qui il convient de la transférer en interne.
• indiquer avec précision à quelles entités les responsables de traitement transfèrent les données personnelles et où se situent ces destinataires.

Pour approfondir : Coordinated Enforcement Action, implementation of the right of access by controllers | European Data Protection Board

 

7. La CNIL met à jour ses recommandations sur le droit d’accès des salariés à leurs données et aux courriels professionnels

A la suite de sa participation à l’action coordonnée européenne du CEPD à la mise en œuvre du droit d’accès, la CNIL a mis à jour, le 31 janvier 2025, sa fiche sur le droit d’accès des salariés, notamment à leurs e-mails professionnels.

A travers cette mise à jour, la CNIL fournit une nouvelle méthodologie aux organismes qui reçoivent une demande d’accès visant un nombre important d’e-mails professionnels. La CNIL propose ainsi deux solutions alternatives, (i) soit la communication d’une copie des courriels, lorsque cette solution est la plus aisée, (ii) soit l’envoi d’un tableau contenant les métadonnées et les données personnelles du salarié telles qu’elles figurent dans les différents courriels.

Pour approfondir : Le droit d’accès des salariés à leurs données et aux courriels professionnels | CNIL

 

8. Le CEPD adopte des lignes directrices sur la pseudonymisation

Le 16 janvier 2025, le CEPD a adopté des lignes directrices sur la pseudonymisation, qui clarifient la définition et l’applicabilité de la pseudonymisation et des données pseudonymisées, ainsi que les avantages de la pseudonymisation.

Ces lignes directrices détaillent comment les responsables de traitement et les sous-traitants peuvent utiliser la pseudonymisation pour répondre aux exigences du RGPD. Cette technique peut notamment aider les organisations à respecter leurs obligations relatives à la mise en œuvre des principes de protection des données, à la protection des données dès la conception et par défaut et à la sécurité.  En outre, ces lignes directrices analysent les mesures techniques et les garanties à mettre en place lors de l’utilisation de techniques de pseudonymisation afin d’assurer la confidentialité et d’empêcher l'identification non autorisée des personnes.

Ces lignes directrices font l’objet d’une consultation publique jusqu’au 28 février 2025.

Pour approfondir : Guidelines 01/2025 on Pseudonymisation | European Data Protection Board

 

9. Le CEPD adopte un avis sur l’utilisation des données à caractère personnel pour le développement et le déploiement modèles d’IA

Le 18 décembre 2024, le CEPD a adopté un avis sur l’utilisation des données à caractère personnel pour le développement et le déploiement de modèles d’IA. Dans cet avis, le CEPD s’est prononcé sur trois points :

• L’anonymisation des modèles d’IA : selon le CEPD, il revient aux autorités de protection des données de déterminer au cas par cas si un modèle d’IA est anonyme. Le CEPD rappelle que les individus ne doivent pas être identifiables, directement ou indirectement, et que la probabilité d’extraire des données personnelles à partir du modèle doit être insignifiante.
• L’intérêt légitime comme base légale pour développer ou utiliser des modèles d’IA : Le CEPD rappelle notamment le test en trois étapes qui permet d’évaluer l’utilisation de l’intérêt légitime comme base juridique. Le CEPD considère par exemple que les exemples suivants peuvent constituer des intérêts légitimes : (i) développer un chatbot pour assister les utilisateurs, (ii) concevoir un système d’IA contre les comportements frauduleux, ou encore (iii) améliorer la sécurité des systèmes d’information.
• Les modèles d’IA développés sur le fondement d’un traitement illégal : selon le CEPD, lorsqu’un modèle d’IA a été développé avec des données à caractère personnel traitées illégalement, cela pourrait avoir un impact sur la licéité de son déploiement, à moins que le modèle n’ait été dûment anonymisé.

Pour approfondir : EDPB opinion on AI models: GDPR principles support responsible AI | European Data Protection Board

 

10. CJUE : Les cases Monsieur/ Madame sur le site et l’application mobile de SNCF Connect ne sont pas nécessaires à la communication commerciale en matière de transport ferroviaire

Dans une décision du 9 janvier 2025, la CJUE considère que la collecte de données relatives à la civilité des clients n’est pas objectivement indispensable, notamment lorsqu’elle a pour finalité une personnalisation de communications commerciales.

L’association Mousse avait contesté auprès de la CNIL la pratique de SNCF Connect qui obligeait systématiquement ses clients à indiquer leur civilité (« Monsieur » ou « Madame ») lors de l’achat de titres de transport en ligne. Cette association estimait que cette obligation violait le RGPD, notamment au regard du principe de minimisation des données. 

En 2021, la CNIL a rejeté cette réclamation, considérant que cette pratique ne constituait pas un manquement au RGPD. Désapprouvant cette décision, l’association Mousse a saisi le Conseil d’État français pour en obtenir l’annulation, qui a décidé d’interroger la CJUE.

La CJUE rappelle que (i) les données collectées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées et que (ii) le traitement de ces données doit être licite.  Or, en l’espèce, elle considère qu’aucune base légale n’est applicable. En particulier, l’exécution du contrat ne peut être retenue car la personnalisation de communications commerciales fondée sur une identité de genre présumée en fonction de la civilité du client ne paraît pas objectivement indispensable à l’exécution d’un contrat de transport ferroviaire. De même, une telle personnalisation des communications commerciales ne peut pas être considérée comme nécessaire aux fins d’un intérêt légitime, notamment en raison du risque de discrimination fondée sur l’identité de genre.

Pour approfondir : Arrêt CJUE, 9 janv. 2025, aff. C-394/23, Mousse et communiqué de la CJUE