Apple, Google, cookie walls, Health Data Hub : une actualité jurisprudentielle riche pour la data (fr)

Un article de la Grande Bibliothèque du Droit, le droit partagé.

France > Droit privé > Protection des données personnelles


 Auteurs: Me Jeanne BOSSI MALAFOSSE - avocate au barreau de Paris, Caroline CHANCÉ - juriste / DELSOL AVOCATS 


Date: le 18 septembre 2020


Le Conseil d’Etat et le tribunal judiciaire de Paris n’auront pas chômé ce mois de juin 2020, tranchant plusieurs affaires en matière de vie privée et protection des données personnelles.

C’est le tribunal judiciaire de Paris qui ouvre le bal. Dans un jugement [1] du 9 juin de 130 pages opposant l’UFC-Que Choisir à Apple, le tribunal a déclaré « illicites ou abusives » plusieurs clauses des conditions générales du service de streaming Apple Music et a jugé qu’elles portaient atteinte notamment la protection des données personnelles.

L’association de protection des consommateurs avait dans un premier temps demandé au juge l’annulation de la « politique de confidentialité » d’Apple (composée d’un ensemble de documents : « Engagement de Confidentialité », « Apple Music et confidentialité »,

« À propos du lecteur Web Apple Music et de la confidentialité ») en son entier, arguant qu’elle était trop « fragmentée » et contraire au principe de transparence prévue par le RGPD et le Code de la consommation. Toutefois, comme le rappelle le tribunal judiciaire, si une association peut solliciter du juge qu’il ordonne la suppression d’une clause illicite ou abusive et qu’elle soit réputée non écrite, une telle demande ne peut en revanche pas concerner l’intégralité d’un document contractuel, la demande devant être formulée « clause par clause ».

C’est ainsi que le tribunal a déclaré certaines clauses illicites (et donc réputées non écrites) au regard du RGPD et du Code de la consommation, notamment en ce qu’elles manquaient de clarté ou précision, ou étaient trompeuses (par ex., confusion sur les données personnelles traitées, absence de coordonnées permettant de contacter le responsable de traitement ou d’exercer ses droits, finalités imprécises, durée de conservation indéterminée, absence d’information claire sur les bases légales, etc.). Apple a été condamnée notamment à 20 000 € de dommages et intérêts et à publier le jugement sur la page d’accueil de son site Internet.

Dix jours plus tard, le 19 juin, c’était au tour du Conseil d’Etat de rendre une série de décisions en matière de données personnelles.


  • Dans une première décision[2], le Conseil d’Etat a rejeté le recours de Google contre l’amende record de 50 millions € infligée par la CNIL en 2019 pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité. Le Conseil d’Etat valide la décision de la CNIL [3], considérant que l’autorité a fait une juste application des principes clés du RGPD et que la sanction de 50 millions € n’est pas disproportionnée, compte tenu de la gravité particulière des manquements commis, de leur caractère continu et de leur durée, des plafonds prévus par le RGPD ainsi que de la situation financière de la société Google LLC. Le Conseil d’Etat confirme également que la CNIL était bien compétente à l’époque des faits, et non l’autorité irlandaise (connue pour être plus « business friendly » - bien qu’elle ait tout de même annoncé avoir lancé une enquête contre Google en début d’année suite à des plaintes de consommateurs…) comme le soutenait Google. En effet, les décisions en cause n’étant pas prises par l’établissement irlandais de Google mais par la société américaine Google LLC, le système du « guichet unique » prévu par le RGPD n’était pas applicable. La solution pourrait être différente aujourd’hui, maintenant que les services fournis par Google à ses utilisateurs européens sont assurés par son entité irlandaise.


  • Dans une deuxième décision [4], le Conseil d’Etat annule partiellement les lignes directrices[5] de la CNIL du 4 juillet 2019 relatives aux cookies, donnant raison aux éditeurs sur la question spécifique des « cookie walls » (pratique qui consiste à bloquer l’accès à un site web ou à une application mobile pour qui ne consent pas au dépôt ou à la lecture, sur son terminal, de traceurs de connexion) : la CNIL a excédé ce qu’elle peut légalement faire, dans le cadre d’un instrument de droit souple, et n’aurait pas dû interdire cette pratique de manière générale et absolue. Cela ne signifie pas que les éditeurs pourront bloquer l’accès à leur site à un internaute qui refuserait les cookies. Cette pratique est en effet considérée par l’EDPB comme contraire aux exigences du RGPD en matière de consentement (qui, rappelons-le, doit être libre pour être valable. Or, en conditionnant l’accès à un site Internet à l’acceptation des cookies, l’utilisateur est en quelque sorte contraint d’accepter s’il ne veut pas se retrouver dans l’impossibilité d’accéder au site). Pour le reste, le Conseil d’Etat valide la portée des lignes directrices. En particulier, les internautes doivent pouvoir refuser ou retirer leur consentement aussi facilement qu’ils l’ont donné. Leur consentement doit porter sur chacune des finalités, ce qui implique une information spécifique, y compris lorsque le consentement est donné de façon globale. La CNIL a d’ores et déjà annoncé que l’ajustement ses lignes directrices et l’adoption de sa future recommandation devraient intervenir après la rentrée de septembre 2020, selon un calendrier à préciser.


  • Enfin, dans une dernière décision [6], le Conseil d’Etat s’est prononcé sur la requête en référé déposée début juin par plusieurs entreprises et associations de défense du logiciel libre à l’encontre de l’arrêté[7] du 21 avril 2020 autorisant le groupement d’intérêt public «  Health Data Hub » ou HDH (la plateforme des données de santé) et la CNAM (Caisse Nationale d’Assurance Maladie) à recevoir des données de santé nécessaires à la poursuite d’une finalité d’intérêt public en lien avec l’épidémie actuelle de covid-19 et à croiser ces données. Contrairement à ce que soutenaient les requérants, les Sages ont considéré que cet arrêté ne portait pas «  une atteinte grave et manifestement illégale au droit au respect de la vie privée et au droit à la protection des données personnelles  » et a ainsi rejeté la demande de suspension de l’arrêté. Le Conseil d’Etat a néanmoins ordonné au HDH de (i) fournir à la CNIL (qui avait déjà émis des réserves[8] sur certaines insuffisances liées au fonctionnement du HDH), dans un délai de 5 jours, tous éléments relatifs aux procédés de pseudonymisation utilisés, propres à permettre à la Commission de vérifier que les mesures prises assurent une protection suffisante des données de santé traitées sur le fondement de l’arrêté du 21 avril 2020, et (ii) compléter, dans le même délai, les informations figurant sur son site Internet relatives au projet portant sur l’exploitation des données de passages aux urgences pour l’analyse du recours aux soins et le suivi de la crise sanitaire du covid-19. Cette décision a également été l’occasion pour le Conseil d’Etat de répondre aux interrogations des requérants sur l’hébergement des données de santé du HDH par Microsoft et leur potentiel transfert en dehors de l’UE. Le Conseil d’Etat a d’abord rappelé que la société Microsoft a bien été certifiée « hébergeur de données de santé » au titre de l’activité d’administration et d’exploitation du système d’information contenant les données de santé, en particulier pour ses centres de données aux Pays-Bas et en France, où sont / seront hébergées les données de santé du HDH. Si des données pourraient faire l’objet de transferts hors de l’UE dans le cadre du fonctionnement courant de la solution technique, seules des données nécessaires aux opérations de maintenance ou de résolution d’incidents et non des données de santé sont concernées et que des mesures de contrôle interdisent tout accès aux employés de Microsoft sans l’accord du HDH. Sur les risques que comporterait un possible transfert de ces données vers les Etats-Unis en permettant aux autorités américaines de mettre la main sur ces données, le Conseil d’Etat constate que Microsoft est certifiée Privacy Shield et qu’elle s’est engagée contractuellement à respecter les dispositions de l’article 28 du RGPD, y compris en ce qui concerne le transfert des données personnelles. En outre, il n’est pas démontré que les données de santé, pseudonymisées, hébergées par Microsoft pour le HDH seraient susceptibles de faire l’objet de demandes d’accès sur le fondement du Cloud Act (qui s’applique d’ailleurs aussi aux sociétés françaises qui ont une activité aux Etats-Unis – pour répondre à la critique formulée par les requérants contre le choix d’un acteur américain).