Cnil , RGPD et responabilité des acteurs du traitement

1) contexte de lecture :

Le 29/07/19, nous vous avons proposé sur ce site un premier commentaire sur la publication par la CNIL des lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 78 modifiée concernant les opérations de lecture ou d’écriture dans les terminaux des utilisateurs concernant les cookies et autres traceurs.

Cet article avait pour but de récapituler l’évolution de la réglementation depuis la première Directive de 2002 dite « Vie privée et communications électroniques » pour mieux comprendre les évolutions actuelles.

Puis, nous avons fait un second article, pour vous présenter les enjeux de l’application de ces nouvelles lignes directrices, soumises à un calendrier d’application dans le temps, puisque :

Les lignes directrices de l’article 2 concernant le recueil du consentement de l’utilisateur du terminal sont assorties dans leurs modalités de mise en œuvre, d’un plan d’action, fixant un délai maximum de 12 mois pour continuer à maintenir comme expression valide du consentement le maintien de la navigation sur le site ou l’application mobile.

 Néanmoins, ce qui est suspendu dans la publication par la CNIL de ses lignes directrices du 04/07/2019 jusqu’à « Mi-2020 », par ses 2 avis en date des 28/06 et 18/07/2019 ne concerne que les recommandations de son article 2 sur les modalités du recueil du consentement.

En un mot Ce n’est que le mode d’expression du consentement par le maintien de la navigation sur le site et/ou l’application qui est suspendu,

Mais pas les conditions dans lesquelles un consentement valable au sens du RGPD doit être obtenu pour le traitement relevant des « cookies et traceurs ».  

En savoir plus : cliquez sur notre article (ci dessus §2 lien bleu)

Par contre, toutes les autres lignes directrices exposées dans les articles 1(Sur la définition du terminal) et  3, 4, 5 et 6 sont d’application immédiate.

 Nous vous avons fait un commentaire séparé pour chacun des articles que vous pouvez ensuite trouver sur chacun des liens cliquables séparément. (Voir ci-dessous)

Par le présent article, nous continuons notre analyse en vous commentant l’article 3 de la délibération du 4 juillet 2019 qui concerne justement les nouvelles obligations des responsables de traitement, sous-traitants, Responsables conjoints du traitement :

• Quant à la rédaction des clauses des contrats qui leur sont nécessaires portant sur le traitement et l’utilisation des informations provenant d’un terminal utilisateur.

2) commentaire de l’article 3 : sur les rôles et responsabilités des acteurs

Ces lignes directrices visent pour la CNIL à organiser la mise en œuvre de la protection des droits et libertés des personnes concernées par le traitement des opérations de lecture ou d’écriture de leur terminal comme envisagée par Le RGPD, et son Considérant 79, laquelle repose sur l’organisation de la responsabilité des responsables du traitement et des sous-traitants.

La CNIL est donc tout à fait dans son rôle en posant, dans sa délibération du 4 juillet 2019, les principes suivants qui doivent être respectés et qui rentrent dans la sphère des éventuels contrôles des agents de la CNIL et/ou de la DGCCRF !!!!

Le RGPD prévoit donc que toutes les « parties à un traitement » doivent organiser contractuellement une nécessaire énumération et prévision des situations de partage des responsabilités lorsque :

        Le responsable de traitement détermine la finalité et les moyens du traitement conjointement avec d’autres responsables du traitement (article 26 du RGPD sur les responsables conjoints du traitement).

Ou

        Lorsqu’une opération de traitement est effectuée pour le compte d’un responsable de traitement (article 28 du RGPD sur les sous-traitants).

Ces principes, appliqués au « traitement » des informations du terminal de l’utilisateur, doivent selon la CNIL, s’organiser selon les lignes directrices rappelées dans son article 3, au regard de l’objectif important de sécurité à propos des conséquences pour l’utilisateur d’un terminal sur ses « Droits » et « Libertés » lorsqu’il consent à ce que des tiers l’utilise pour des opérations de lecture et d’écriture.

        1)Qui doit recueillir le consentement obligatoire pour l’accès au terminal ?

En effet pour l’essentiel, la lecture ou l’écriture dans le terminal d’un utilisateur implique un traitement de données à caractère personnel :

• D’abord parce que les données lues et/ou écrites peuvent identifier directement ou indirectement une personne physique,
• Ensuite parce que de toute façon la lecture et/ou écriture dans le terminal débouche sur un traitement de données à caractère personnel.

Donc dans les 2 cas, s’agissant d’un traitement de données à caractère personnel, les parties au contrat quel qu’en soit l’objet (ciblage marketing–retraitement d’informations issues d’objets connectés, statistiques dans l’intérêt personnel et légitime du responsable de traitement, profilage etc.)

Le RGPD oblige à qualifier les parties afin de déterminer :

• Qui est responsable de traitement,
• Qui est sous-traitant,
• Y a-t-il ou non des cotraitants,

Cette qualification qui doit être faite en fonction :

        Ou des critères de l’article 26 qui désignent la situation du responsable conjoint de traitement,

        Ou des critères de l’article 24 qui déterminent la qualité de responsable de traitement,

        Ou des critères de l’article 28 qui désignent la qualité de sous-traitant.

Mais dans les contrats particuliers relatifs aux cookies et traceurs il est nécessaire en plus de :

        Déterminer qui est responsable de l’obligation de recueillir le consentement des utilisateurs dans les conditions conjointes de l’article 82 de la loi informatique et liberté et des articles 4 § 11 et 7 du RGPD.

Donc désormais tout responsable de traitement qui initie un traitement de traçage sur un terminal doit être en mesure de :

        Qualifier sa situation ainsi que celles de ses éventuels partenaires contractuels tant vis-à-vis de :

• L’utilisateur du traitement (Cookies/traceur),
• Qu’ensuite le destinataire des informations

Si l’utilisateur de « traceur » par exemple un éditeur de site Web fait intervenir une seule entité, qui a recours à des traceurs pour réaliser lui-même les statistiques d’usage de son service :

        Il est donc responsable de traitement,

        Il doit se qualifier comme tel dans l’information à donner à l’utilisateur du terminal en application des dispositions conjointes de :

L’article 82 loi informatique et libertés en +4  § 11 + 24 du RGPD.

        Il doit recueillir lui-même le consentement à l’utilisation du terminal en délivrant à l’utilisateur les mentions qui rendent le consentement libre, spécifique, éclairé, et univoque (voir notre commentaire de l’article2) .    Il doit également justifier et documenter par une mise à jour permanente les conditions dans lesquelles l’utilisateur du terminal peut retirer son consentement aussi facilement qu’il l’a donné.

Si l’utilisateur du traceur fait intervenir plusieurs acteurs à la réalisation des opérations de lecture et d’écriture sur le terminal par exemple :

        Un éditeur de sites Web et une régie publicitaire déposant des cookies lors de la consultation du site Web

Dans ce dernier cas, ces entités peuvent être considérées comme :

        Responsable de traitement unique,

Ou

        Responsable conjoint de traitement,

Ou

        Sous-traitant,

L’arrêt récent du 29 juillet 2019 de la cour de justice de l’union européenne « Fashion ID » à propos de l’incidence de l’implémentation du bouton « j’aime » de Facebook sur un site donne un éclairage nouveau pour la répartition des responsabilités, en fonction des « phases du traitement » et de « l’intérêt de chacun » au traitement, nous reviendrons sur cette problématique par un nouvel article spécifique.

Par contre s’agissant ici du traitement particulier d’information pouvant être identifiées à partir du terminal d’autrui, les contrats devront définir clairement et distinctement en plus de toutes les autres mentions :

        Qui a l’obligation de recueillir le consentement des utilisateurs ?

 Désormais les contrats devront aménager des clauses spécifiques « consentement traceur aux cookies », dans le contexte où :

        Pour la CNIL, la bonne application du RGPD ici implique que ce soit   le tiers qui a recours au traceur qui est pleinement et indépendamment responsable des traceurs qu’ils mettent en œuvre, ce qui signifie qu’il doit assumer de manière indépendante l’obligation de recueillir le consentement des utilisateurs, et ses suites !..

Ceci pose l’épineux problème de savoir si « le consentement » obtenu par le premier tiers au contrat peut se transmettre à d’autres contractuellement ?

La question est loin d’être anodine et posera des problèmes rédactionnels très pointus.

Au sens du RGPD, le « consentement » a une connotation tout à fait différente par rapport au « consentement » en droit des contrats classiques.

Dans un traitement de données le « Data subject » ou « Utilisateur du terminal » ne donne pas le consentement à une « personne », mais à un traitement au regard d’une « information » qui lui est donnée en raison d’une finalité et d’une base juridique  en l’état d’un engagement personnel pris par le responsable de traitement d’origine pour garantir ses droits fondamentaux prévus  par l’article 8§1 de la Charte européenne des droits de l’homme, et 16 §1 du traité sur le fonctionnement de l’union Européenne qui disposent que « toute personne a droit à la protection des données à caractère personnel la concernant ». (RGPD, Considérant numéro 1).

Donc organiser la circulation contractuelle du consentement à un traitement (Cookies/ Traceurs) :

C’est planifier pendant la durée du « consentement », la garantie que l’utilisateur du terminal pourra à tout moment continuer à gérer les conséquences de son consentement, tant qu’il n’est pas retiré, dans les conditions d’information initiales qu’il a reçues et à partir desquelles il a donné son accord.

Tout tiers qui utilise ou se fait transmettre contractuellement les informations d’un terminal évidemment doit s’assurer contractuellement bien sûr de ce que le premier tiers ayant eu recours au traceur a pu recueillir valablement un consentement, mais ce n’est pas suffisant.

Sans avoir à redemander le consentement, il devra par contre obligatoirement effectuer auprès de l’utilisateur du terminal une nouvelle information dans les conditions de l’article 14 du RGPD en lui rappelant qu’il peut « retirer » son consentement à tout moment ce qui est différent.

 Ce que le contrat doit donc organiser c’est davantage pour le tiers la « vérification » des conditions dans lesquelles l’utilisateur du terminal a donné son consentement pour vérifier s’il est valable, ce qui implique de pouvoir vérifier la qualité et le périmètre de « l’information » d’origine avec la mise en perspectives des finalités de traitement annoncées dans l’information d’origine avec les objectifs du nouvel utilisateur des données.

C’est ici que se focalise la problématique du maintien ou pas de la validité du consentement.

Ce qui signifie donc que contractuellement, le responsable de traitement d’origine doit donc transmettre au tiers :

        La preuve du consentement d’origine,

        La preuve des informations d’origine,

        Et tous autres éléments permettant aux nouveaux utilisateurs des informations de délivrer à l’utilisateur du terminal une nouvelle information lui rappelant qu’il peut retirer son consentement. (Article 14 du RGPD) ; étant bien compris que tout l’enjeu ici pour celui qui réutilise les données est de garder le bénéfice du consentement :

Donc tout ici se joue sur la qualité de l’information à partir de laquelle le consentement d’origine a été donné ; et confirmée ensuite (Article 14 RGPD).

Donc « l’ingénierie contractuelle » en matière d’utilisation des données en général, et des informations du terminal d’un utilisateur en particulier  est très spécifique.

Par contre dès le 04/07/2019, elle nécessite sans doute la révision juridique des contrats antérieurs, pour les traitements en cours,

Et évidemment une réflexion stratégique avec une veille juridique pour réfléchir à l’aménagement des nouvelles clauses pour les nouveaux contrats.

Cette démarche, très importante puisque le contenu des contrats « fait partie intégrante de la conformité   au RGPD », et peut faire l’objet de contrôle par la CNIL.

 Nous ne pouvons que vous conseiller de le faire avec l’aide notamment « d’un délégué à la protection des données », DPO interne et/ou externe, au fait de ces problématiques, de faire dès maintenant un audit de vos contrats en lien avec celui de vos politiques actuelles de traitement de « données cookies et traceurs ».

Autre problématique contractuelle à propos de laquelle les responsables de traitement doivent réfléchir dès maintenant est de déterminer qui doit être responsable du recueil du consentement notamment lorsque le responsable de traitement confie à un sous-traitant les opérations d’inscription et/ou d’accès à des informations stockées dans l’équipement terminal exclusivement pour son compte.

La CNIL considère que cette relation doit être établie par un contrat, ou un autre « acte juridique » précisant les obligations de chaque partie, dans le respect des dispositions de l’article 28 du RGPD.

Notre présente contribution à une visée d’explication générale pour sensibiliser les responsables de traitement à ce que l’environnement juridique de « l’écosystème du cookie et du traceur » est en totale mutation réglementaire, les solutions sont multiples, et chaque cas est un cas particulier, mais le signal qui doit être donné ici est que les acteurs participant au traitement doivent avoir la volonté de se préparer à coopérer à une adaptation contractuelle qui est ici obligatoire.

Enfin nous soulignons combien ces questions relatives à l’organisation contractuelle de la nouvelle obligation de recueillir le consentement en matière de lecture ou d’écriture dans le terminal à des conséquences économiques protéiformes, notamment quant à la valorisation interne des bases de données des entreprises (Bases de Data Analytics notamment), en particulier pour celles qui envisagent à bref délai de :

• Céder leur fonds de commerce,
• Céder la majorité des parts ou actions d’une société,
• Négocier une opération de fusion acquisition ou scission de sociétés,
• Céder l’actif important que peut constituer dans certains cas un site Web, et les bases de données clients et/ou prospects réalisées grâce aux démarches SEO (Search Engine Optimization) qui peuvent aussi passer par des « Traceurs ».

Nous avons déjà fait un article sur cette problématique et vous proposons sa lecture.

En savoir plus : Fusion et scission d’entreprise, Cession d’entreprise, Plan de cession et conséquences sur le RGPD

Nous reviendrons sur ces sujets de l’adaptation contractuelle au regard des observations que nous avons développées dans le commentaire de l’article 2 de la directive CNIL du 4 juillet 2019. (Sur les modalités de recueil du consentement)

Nous le soulignons à nouveau voir notre commentaire sur l’article 2 de la directive CNIL précité)

 Si le mode d’expression du consentement en matière de cookies et de traceur jusqu’à la mi- 2020 peut encore être considéré comme valable par la continuation de la navigation sur le site ou l’application mobile, par contre :

• Toutes les autres dispositions notamment les conditions de délivrance d’une information préalable particulière pour recueillir un consentement valable,
• Et les nouvelles modalités contractuelles auquel doivent se plier les acteurs du traitement et qui ont été résumé et explicité ci-dessus.

Sont d’application immédiate

Nous rappelons comme indiqué dans nos précédents articles que d’ici la fin décembre 2019, la CNIL va travailler avec tous les acteurs concernés par l’économie au sens très large du terme du cookie et du traceur, pour élaborer les nouvelles règles pour que tous les opérateurs puissent être en mesure de prouver qu’ils ont bien recueilli le consentement, et un consentement valable, dans des conditions de sécurité « Optimum » pour respecter le RGPD.

Nous vous tiendrons informés au fur et à mesure des informations que donnera la CNIL, car « in fine » de toute façon ceci aura aussi une importance pour la rédaction des contrats, indépendamment des premières précautions que les responsables de traitement doivent prendre dès maintenant.

 Rédigé à Marseille le 09 août 2019

Véronique Rondeau– Abouly

Avocat à Marseille : Déléguée à la protection des données (DPO externe)

La rédaction de cet article a été conçue et organisée pour vous soumettre des informations utiles, des axes de réflexion pour une utilisation personnelle ou à visée professionnelle.

Il est mis à jour régulièrement mais dans un contexte réglementaire et jurisprudentiel évoluant, nous soulignons que nous ne pouvons être responsable de toute péremption du contenu, ou de toute erreur juridique et/ou inexactitude qui pourrait se révéler en fonction de l’évolution,  le lecteur voudra bien considérer qu’en tout état de cause pour une application personnalisée chaque cas est unique et que bien sûr le cabinet reste à votre disposition si vous avez une question précise à poser en lien avec cet article, nous nous ferons un plaisir de collaborer avec vous, n’hésitez pas à prendre contact ou à nous téléphoner.    

 Nous vous proposons :

Photo d’illustration pour cet article : Images gratuites libre Gerd Altmann sur Pixabay

En préparation : commentaire de l’arrêt de la cour de justice Européenne du 29/07/2019 « FashionID » sur les conséquences de l’implémentation du bouton « J’aime » de Facebook sur un site.

Documents disponibles

Retour