L’Office bavarois de surveillance de la protection des données (BayLDA) a publié en juillet son Rapport d’activité pour l’année 2020 (rapport annuel selon l’article 59 du RGPD). Le BayLDA y informe à chaque fois du nombre de plaintes, de consultations et de notifications ainsi que de son avis sur des thèmes particuliers. Vous trouverez ci-dessous quelques indications (sélection) :
Plaintes, consultations et notifications
Le nombre de plaintes et de suggestions de contrôle a continué de croître au cours de la quatrième année de mise en œuvre du RGPD, bien que dans une moindre mesure que l’année précédente.
Le nombre de consultations a diminué par rapport à l’année précédente. Cela s’explique par le développement continu des informations en ligne du BayDLA, y compris à chaque fois sur des sujets d’actualité comme la pandémie.
Le nombre de notifications de violations de la protection des données a légèrement diminué par rapport à l’année précédente, mais reste à un niveau élevé.
Pandémie de coronavirus
La saisie de données de contact par des particuliers nécessite une base juridique en matière de protection des données conformément à l’article 6 du RGPD. A première vue, cela ne semble pas poser de problème, car les particuliers concernés sont légalement tenus de procéder à la saisie (art. 6, al. 1, let. c RGPD). Mais cette obligation légale peut – comme d’autres mesures de lutte contre les pandémies – évoluer constamment. Si une obligation légale est supprimée, il manque une base juridique. Le BayLDA n’admet en tout cas pas l’intérêt public comme base juridique alternative (article 6, paragraphe 1, point e)) (p. 19) :
Entre-temps, en 2020, la pratique de la compétition et de l’entraînement dans le cadre du sport de loisir était également autorisée dans une certaine mesure, mais la collecte des données de contact n’était pas prescrite, la seule condition étant que les personnes présentant des symptômes typiques de la maladie COVID-19 se voient refuser l’accès aux installations sportives. Dans de tels cas et dans d’autres cas où la collecte des données de contact n’était pas ou n’est pas prescrite par la loi, elle ne peut pas non plus avoir lieu, car il n’existe pas de base juridique pour la protection des données. Dans la mesure où il n’existe pas d’obligation légale explicite de collecter les données de contact, celle-ci ne peut pas non plus être fondée sur l’article 6, paragraphe 1, point e), du RGPD, car en l’absence d’obligation légale explicite, on ne peut justement pas partir du principe que la collecte a lieu dans le cadre de l’exécution d’une tâche d’intérêt public.
En ce qui concerne les contrôles d’accès, la BayLDA rappelle le principe de proportionnalité et en particulier le caractère approprié (p. 20) :
Dans le cadre du contrôle d’accès, une entreprise voulait exiger des clients qu’ils présentent l’application d’avertissement Corona. Nous avons également estimé que cela n’était pas conforme à la législation sur la protection des données. L’application n’indiquait (pendant la période couverte par le rapport) que les “rencontres à risque”, mais cette information ne fournit pas non plus un indice suffisant d’une infection par le SRAS-CoV2, de sorte que le traitement de cette information ne peut pas plus [que la prise de température au moyen d’un thermomètre ou d’une caméra thermique] être considéré comme “nécessaire” au sens de la perception d’un intérêt légitime de l’entreprise.
De plus, le BayLDA renvoie à la Guide d’orientation “Systèmes de vidéoconférence de la Conférence des autorités de surveillance de la protection des données de l’État fédéral et des Länder (DSK) ainsi que sur la “Liste de contrôle sur les règles de protection des données en cas de travail à domicile”. de la BayLDA (nous avons rapporte).
Google Analytics
Comme nous l’avons déjà mentionné dans le dernier rapport d’activité (nous avons rapporte), la BayLDA reproche l’activation de Google Analytics sur les sites Web avant même qu’un consentement actif ne soit donné. Le site Décision de la CCPD concernant l’utilisation de Google Analytics précise en outre que la réduction de l’adresse IP par l’ajout de la fonction “_anonymizeIp()” au code de suivi ne constitue qu’une mesure de sécurité et n’a pas pour effet de rendre anonyme l’intégralité du traitement des données.
Trajets de caméra Apple
En raison de la présence d’une succursale d’Apple à Munich, le BayLDA est compétent pour les trajets de caméras Apple effectués en Allemagne. Il les évalue conformément à la Décision de la CCPD sur les recours préalables concernant (Google) StreetView et des services comparables.
Le BayLDA a apparemment demandé à Apple de prévoir une possibilité de contact non seulement sur Internet, mais aussi par voie postale (p. 29) :
La demande d’occultation conformément à l’article 17, paragraphe 1, du RGPD et l’opposition conformément à l’article 21 du RGPD doivent pouvoir être introduites en ligne ou par voie postale. Ces droits doivent être expressément mentionnés.
Schrems-II
La BayLDA souligne que la conclusion des nouvelles clauses contractuelles types ne constitue pas une “solution simple” à la problématique mise en évidence par la CJUE dans le cadre de l’arrêt Schrems II (RS C‑311/18 du 16 juillet 2020). L’exportateur de données doit effectivement respecter l’obligation de vérification fixée dans les clauses. Il doit vérifier si les autorités du pays tiers pourraient éventuellement avoir accès aux données dans une mesure dépassant ce qui est acceptable selon le droit de l’UE. Dans ce cas, la BayLDA envisage la procédure suivante (p. 47) :
Nous attendons des entreprises et autres entités qui transfèrent des données à caractère personnel vers des pays tiers qu’elles procèdent à l’examen susmentionné et le documentent. Nous avons déjà reçu un certain nombre de plaintes concernant des transferts vers des pays tiers et nous sommes tenus d’enquêter sur chacune d’entre elles. Nous demandons alors à l’exportateur de données d’apporter la preuve de l’examen, en particulier des possibilités d’accès des autorités du pays tiers, et que les données bénéficient d’un niveau de protection comparable à celui de l’UE, compte tenu de ces possibilités d’accès. Si l’entreprise ne peut pas apporter cette preuve, nous sommes en principe tenus d’interdire le transfert – sauf si l’entreprise y renonce d’elle-même.
Transmission des données de contact des locataires
Dans le domaine de la protection des données des locataires, la BayLDA fournit un bon exemple du fait qu’il n’est pas toujours nécessaire de choisir le moyen le plus doux pour atteindre le but, mais seulement si ce moyen plus doux est tout aussi approprié pour atteindre le but (p. 64) :
[La communication des coordonnées d’un locataire par le propriétaire à un artisan] est, du moins en règle générale, autorisée sans le consentement du locataire sur la base de l’article 6, paragraphe 1, point f), du RGPD, car il est dans l’intérêt légitime du propriétaire que l’artisan prenne contact avec le locataire pour convenir d’une date de réparation. Il serait certes également envisageable que l’artisan indique exclusivement au bailleur une ou plusieurs dates qui lui conviennent et que le bailleur tente de les coordonner avec le locataire et donne ensuite un feed-back correspondant à l’artisan. L’expérience montre toutefois qu’il n’est pas toujours facile de convenir de dates sans être en contact direct. C’est pourquoi nous estimons qu’il est en principe légitime que le bailleur permette une prise de contact directe en transmettant son numéro de téléphone au propriétaire.