Veille d'avril 2024

Enquête de la Commission Européenne à l’encontre de TikTok. « Nos enfants ne sont pas des cobayes pour les médias sociaux. Le DSA garantit la sécurité de notre espace en ligne de l'UE. » Thierry Breton, Commissaire du Marché intérieur de l'UE.

TikTok a déployé en mars 2024 France et en Espagne le « Task and Reward Program » de TikTok Lite, système de récompense en points, convertibles en chèques et cartes cadeaux, la réalisation de certaines « tâches » (consulter des vidéos, aimer/liker des contenus, suivre des créateurs, inviter des amis à rejoindre TikTok).

Le 25 avril 2023, la Commission a désigné TikTok en tant que très grande plateforme soumise au DSA, sur la base du nombre d’utilisateurs de la plateforme, qui atteint en moyenne au moins 45 millions d'utilisateurs actifs par mois dans l'UE.

Or, les articles 34 et 35 du DSA imposent aux très grandes plateformes en ligne la présentation d’un rapport d'évaluation des risques systémiques potentiels et des mesures prises pour les atténuer. Ce rapport doit être présenté préalablement au déploiement de nouvelles fonctionnalités susceptibles d'avoir une incidence critique sur leurs risques systémiques.

Constatant des risques de préjudice grave pour la santé mentale des utilisateurs mineurs, la Commission a adressé le 17 avril 2024 une demande d’informations à TikTok exigeant la communication avant le 18 avril du rapport d’évaluation des risques, que TikTok n'a pas fourni dans le délai imparti. Un nouveau délai a été porté au 23 avril (et au 3 mai pour les informations complémentaires). 

La Commission a également informé TikTok de son intention de prononcer une suspension du programme de récompenses TikTok Lite. La plateforme disposait d’un délai courant jusqu’au 24 avril 2024 pour formuler des observations.

TikTok a annoncé le 24 avril 2024 la suspension de son "Task and Reward Programme " de TikTok Lite en France et en Espagne pour une période initiale de 60 jours à partir du 24 avril 2024 et au plus tard le 1er mai, et la suspension du déploiement dans d'autres États membres de l'UE. La Commission poursuit toutefois son enquête.

Il s’agit de la deuxième procédure formelle visant TikTok, la Commission ayant ouvert en février 2024 une première procédure formelle à son encontre de TikTok concernant des manquements aux règles de protection des mineurs, de la transparence de la publicité, d’accès des chercheurs aux données, ainsi qu'à la gestion des risques liés à la conception addictive et aux contenus préjudiciables. 

Outre les manquements au DSA, rappelons les dispositions du RGPD et de la LIL applicables au consentement et plus précisément à celui des mineurs. Les articles 7 du RGPD et 45 de la Loi Informatique et Libertés prévoient que, dans le cadre des services en ligne et pour les traitements fondés sur le consentement, le ou les titulaires de l’autorité parentale doivent donner leur accord conjointement à l’accord de leur enfant s’il est âgé de moins 15 ans. 

Par ailleurs, l’article 6 du RGPD impose des principes de loyauté dans le recueil du consentement et liberté dans l’expression du consentement, qui ne peut être respecté lorsque les personnes concernées sont soumises à des conditions préalables ou des contreparties à l’utilisation de leurs données personnelles plus avantageuse que le refus.

Rapport annuel 2023 de la CNIL : le bilan 2023 de la CNIL, 5 ans après l’entrée en application du RGPD, met en avant une forte augmentation du nombre de plaintes reçues en 2023 (16 433 plaintes, soit + 35% par rapport à 2022).

Rappelant l’équilibre nécessaire entre sanction et prévention, la CNIL souligne le dispositif d’accompagnement renforcé, qu’elle a initié en 2023 complétant les nombreux outils de droit souple élaborés depuis 2019 (recommandations, guides, MOOC enrichi). Le nombre de visites du site internet de la CNIL (presque 12 millions), conforte cette politique d’accompagnement.

Sur le volet cybersécurité, la CNIL rappelle la mise à jour de son guide « sécurité des données personnelles », justifiée par le nombre record de violations de données notifiées en 2023 (4 668) et le besoin de sensibilisation des TPE/PME.

Enfin, à l’approche de l’entrée en vigueur du règlement IA, la CNIL manifeste sa légitimité en tant que futur régulateur de l’IA et des algorithmes.

Minimisation des données de recrutement : mise en demeure de la CNIL. Une société demandait aux candidats de fournir obligatoirement, pour le traitement de leur candidature, leur lieu de naissance, leur nationalité, leur situation de famille (s’ils étaient en couple, les nom et prénom de leur conjoint, leur date et lieu de naissance, leur profession, le nombre d’enfants et leur âge) ainsi que l’ensemble des salaires perçus dans les entreprises précédentes (salaire brut annuel global dont variable).

La CNIL a mis en demeure la société responsable de traitement en rappelant qu’au regard du principe de minimisation des données (article 5.1.c du RGPD), seules les données nécessaires à l’évaluation de l’aptitude du candidat au poste proposé doivent être traitées, afin d’empêcher tout risque de discrimination.

Rappelant ses lignes directrices concernant le recrutement du personnel, elle précise notamment, concernant les données relatives à la nationalité, que seules les mentions « Français », « ressortissant de l’Union européenne » ou « hors UE » sont suffisantes.

Après régularisation de la société, la CNIL a clôturé sa mise en demeure.

Référentiels du CEPD sur la mise en œuvre du Data Privacy Framework (DPF) : le CEPD a publié un plusieurs référentiels concernant la mise en œuvre du Data Privacy Framework (DPF).

Pour rappel, le 10 juillet 2023, la Commission européenne avait adopté une décision d'adéquation concernant le cadre de protection des données UE/États-Unis : Data Privacy Framework. Les transferts de données personnelles de l'UE vers des entreprises américaines participant au DPF sont depuis valables sans qu'il soit nécessaire de mettre en place des garanties supplémentaires en matière de protection des données.

Outre des règles de procédure, le CEPD fournit un modèle de formulaire de plainte auprès de l'officier de protection des libertés civiles (CLPO) du bureau du directeur du renseignement national (U.S. Office of the Director of National Intelligence, ainsi qu’un modèle de plainte auprès d’une autorité de protection des données européenne.

Prospection commerciale - la CNIL sanctionne HUBSIDE-STORE d’une amende de 525 000 euros : le 4 avril 2024, la CNIL a sanctionné la société HUBSIDE STORE d’une amende de 525 000 euros notamment pour avoir utilisé à des fins de prospection commerciale des données fournies par des courtiers en données, sans s’assurer que les personnes concernées avaient valablement consenti à être démarchées.

Le CEPD publie son avis sur le modèle « Consent or Pay » de Meta : le 17 avril 2024, le CEPD a publié son avis sur le modèle "Consent or Pay" de Meta, interdisant cette pratique pour Instagram et Facebook dans l'UE. Selon le CEPD, cette méthode ne respecte pas les exigences du consentement librement donné, car elle ne propose qu'un choix binaire : consentir à la publicité comportementale ou payer une somme. Le CEPD souligne la nécessité de développer une troisième option qui ne contraindrait pas les utilisateurs à "payer ou accepter".

La publication par la CNIL de fiches pratiques sur l'IA : En début de semaine, la CNIL a mis à disposition sept fiches pratiques destinées aux professionnels envisageant de développer ou d'exploiter des systèmes d'intelligence artificielle. Ces fiches visent à répondre aux interrogations vis-à-vis de l'application du RGPD à l’IA et à aider les professionnels à appréhender les enjeux de protection des données soulevés lors de leurs projets. 

Les clarifications de la CJUE sur la qualification du TC String : Le 7 mars 2024, la CJUE a rendu un arrêt important concernant le Transparency and Consent Framework (TCF), un standard pour le recueil du consentement dans les activités publicitaires ciblées en ligne. Dans le litige opposant l'IAB Europe (l’organisation créatrice du standard regroupant les acteurs de la publicité sur Internet) à l'Autorité belge de protection des données, la Cour a jugé que le TC String (la composante du TCF contenant des informations sur le consentement de l'utilisateur), constituait une donnée personnelle. Elle a également estimé que l'IAB pourrait être considéré comme co-responsable du traitement de ces données. 

La communication orale d'informations comme traitement de données personnelles : Dans un autre arrêt du 7 mars 2024 la CJUE a précisé que communiquer oralement des informations sur des condamnations pénales actuelles ou passées d'une personne est considéré comme un traitement de données personnelles. Ce traitement est soumis au RGPD si les informations sont contenues ou destinées à être contenues dans un fichier.