[Chronique] Chronique de droit de l’administration numérique - décembre 2022 à juin 2023

Lexbase Hebdo - édition publique vous propose, cette semaine, de retrouver la chronique d’actualité de droit de l’administration numérique par Pierre Tifine, Professeur à l’Université de Lorraine et doyen de la faculté de droit économie et administration de Metz. Dans l’actualité on relèvera d’abord que la loi n° 2023-380 du 19 mai 2023, relative aux jeux Olympiques et Paralympiques de 2024 et portant diverses autres dispositions, autorise une expérimentation très controversée des caméras dites « augmentées ». Le juge des référés du tribunal administratif de Montreuil a rendu une décision particulièrement intéressante concernant la conformité au RGPD de la télésurveillance des examens en ligne (TA Montreuil, 14 décembre 2022, n° 2216570). La CNIL sanctionne la société Doctissimo pour violation des dispositions relatives au consentement des personnes à la collecte et l’utilisation de leurs données de santé et au dépôt de cookies (CNIL, délibération n° SAN-2023-006 du 11 mai 2023). Elle sanctionne également la société Cityscoot pour la géolocalisation de scooters de location (CNIL, formation restreinte, délibération n° SAN-2023-003 du 16 mars 2023).

Sommaire

I. L’expérimentation des caméras dites « augmentées » autorisée par le législateur

Loi n° 2023-380 du 19 mai 2023, relative aux jeux Olympiques et Paralympiques de 2024 et portant diverses autres dispositions

II. Télésurveillance des examens en ligne et conformité au RGPD

TA Montreuil, 14 décembre 2022, n° 2216570

III. La société Doctissimo sanctionnée pour violation des dispositions relatives au consentement des personnes à la collecte et l’utilisation de leurs données de santé et au dépôt de cookies

CNIL, délibération SAN-2023-006, 11 mai 2023

IV. La société Cityscoot sanctionnée pour la géolocalisation de scooters de location

CNIL, formation restreinte, délibération SAN-2023-003 du 16 mars 2023

I. L’expérimentation des caméras dites « augmentées » autorisée par le législateur (Loi n° 2023-380 du 19 mai 2023, relative aux jeux Olympiques et Paralympiques de 2024 et portant diverses autres dispositions N° Lexbase : L6792MHZ)

Les caméras dites « augmentées » ou « intelligentes » sont des dispositifs « constitués de logiciels de traitements automatisés d’images associés à des caméras » qui « permettent d’extraire diverses informations à partir de flux vidéo qui en sont issus » [1]. Elles sont donc plus performantes que les caméras biométriques qui permettent seulement la reconnaissance faciale et donc l’identification ou l’authentification d’une personne de manière unique, par comparaison avec un gabarit filmé ou existant. Elles permettent en effet, sans identifier une personne de manière unique, de repérer des comportements considérés comme « suspects » pouvant laisser présumer une infraction passée ou imminente, résultant par exemple d’attroupements ou de mouvements rapides d’individus dans un lieu donné. Les personnes peuvent ainsi être analysées de manière automatisée, en temps réel, afin de collecter certaines informations les concernant, ce qui peut donner lieu à un traitement massif de données à caractère personnel, et cela sans que les personnes concernées n’aient donné leur consentement. Elles représentent en conséquence un risque accru de surveillance généralisée des personnes par une analyse généralisée de leurs comportements.

C’est sur cette question que la CNIL a publié le 19 juillet 2022 une position consacrée aux conditions de déploiement de ces caméras dans l’espace public, en l’absence de réglementation européenne et nationale [2].

Dans l’attente d’un règlement européen sur l’intelligence artificielle [3], a été élaboré un projet de loi très controversé autorisant l’expérimentation des caméras augmentées dans le cadre des jeux Olympiques et Paralympiques de 2024. Dans une résolution du 3 février 2023 l’assemblée générale du Conseil national des barreaux s’est ainsi opposée à la mise en place « prétendument expérimentale » de la vidéosurveillance automatisée [4]. Cela n’a toutefois pas empêché l’adoption de la loi n° 2023-380 du 19 mai 2023, relative aux jeux Olympiques et Paralympiques de 2024 et portant diverses autres dispositions [5]. Dans sa décision du 17 mai 2023, le Conseil constitutionnel a validé ce dispositif en formulant toutefois des réserves d’interprétation [6].

Il est important de relever, en premier lieu, que le dispositif mis en œuvre, contrairement à ce que peut laisser entendre l’intitulé de la loi a un champ temporel qui n’est pas limité à la période des jeux Olympique et Paralympiques de Paris. L’article 10, I de la loi prévoit qu’elle s’étend, jusqu’au 31 mars 2025 aux « manifestations sportives, récréatives ou culturelles qui, par l’ampleur de leur fréquentation ou par leurs circonstances, sont particulièrement exposées à des risques d’actes de terrorisme ou d’atteintes graves à la sécurité des personnes ». Il s’agit ici plus précisément de réglementer les images collectées au moyen de caméras installées sur la voie publique [7] ou sur des aéronefs [8] avec ou sans personne à bord.

On rappellera ici que l’utilisation des caméras intelligentes s’est en effet déployée, dans un premier temps, en l’absence de cadre juridique spécifique. L’usage de drones par les services de police, ordonné par la préfecture de police de Paris dans le but de s’assurer du respect de l’obligation de confinement dans le cadre de l’état d’urgence sanitaire, avait ainsi été révélé en avril 2020 par le site Médiapart [9]. Le juge des référés du Conseil d’État, saisi dans le cadre de la procédure de référé liberté, avait ensuite enjoint à l’État de cesser, sans délai, de recourir à ce procédé [10]. Dans un avis du 20 septembre 2020 [11], la juridiction administrative suprême avait estimé que « la conciliation entre le respect de la vie privée et la sauvegarde de l’ordre public » nécessitait, comme cela avait été le cas pour la vidéoprotection et les caméras individuelles « de fixer un cadre législatif d’utilisation des caméras aéroportées par les forces de sécurité et les services de secours ».

Une première tentative d’encadrement avait été opérée par la loi n° 2021-646 du 25 mai 2021, pour une sécurité globale préservant les libertés N° Lexbase : L5930L4E. Les dispositions principales de l’article 47 de cette loi, concernant « les caméras installées sur des aéronefs circulant sans personne à bord » avaient toutefois été censurées par le Conseil constitutionnel [12]. 

Avait ensuite été adoptée la loi n° 2022-52 du 24 janvier 2022, relative à la responsabilité pénale et à la sécurité intérieure N° Lexbase : L7812MAL, qui a été validée par le Conseil constitutionnel, tout en faisant l’objet de plusieurs réserves d’interprétation [13]. Plus précisément, concernant la reconnaissance faciale, le Conseil constitutionnel a jugé que si « l’application du deuxième alinéa de l’article L. 242-4 du Code de la sécurité intérieure N° Lexbase : L8159MAG, les dispositifs aéroportés ne peuvent procéder à la captation du son, ni comporter de traitements automatisés de reconnaissance faciale (…) ces dispositions ne sauraient, sans méconnaître le droit au respect de la vie privée, être interprétées comme autorisant les services compétents à procéder à l’analyse des images au moyen d’autres systèmes automatisés de reconnaissance faciale qui ne seraient pas placés sur ces dispositifs aéroportés ». En d’autres termes, l’interdiction des traitements automatisés de reconnaissance faciale s’applique, quelle que soit la technique utilisée par les services compétents, ce qui apparaît conforme - s’agissant de données biométriques qui sont par nature des données sensibles - aux restrictions prévues par le droit de l’Union européenne [14] et par le droit national [15].

Ce contexte peu favorable a néanmoins conduit le Conseil constitutionnel à considérer que les dispositions de l’article 10,I de la loi du 19 mai 2023, qui organisent l’expérimentation du recours aux caméras augmentées sont conformes à la Constitution.

Les Sages ont d’abord observé que « pour répondre à l’objectif de valeur constitutionnelle de prévention des atteintes à l’ordre public, le législateur peut autoriser le traitement algorithmique des images collectées au moyen d’un système de vidéoprotection ou de caméras installées sur des aéronefs ».  Ils relèvent que « si un tel traitement n’a ni pour objet ni pour effet de modifier les conditions dans lesquelles ces images sont collectées, il procède toutefois à une analyse systématique et automatisée de ces images de nature à augmenter considérablement le nombre et la précision des informations qui peuvent en être extraites ». En conséquence, « la mise en œuvre de tels systèmes de surveillance doit être assortie de garanties particulières de nature à sauvegarder le droit au respect de la vie privée ».

Dans l’ensemble, les garanties présentées par ce nouveau dispositif expérimental sont jugées suffisantes.

En particulier, les Sages relèvent que l’utilisation du dispositif est réservée « à des manifestations présentant des risques particuliers d'atteintes graves à l’ordre public et en excluent la mise en œuvre en cas de seuls risques d'atteintes aux biens ».

Ils relèvent aussi que l’appréciation des risques d’actes de terrorisme ou d’atteintes graves à la sécurité des personnes pèse sur « le représentant de l’État dans le département ou, à Paris, par le préfet de police », et cela « uniquement lorsque le recours au traitement est proportionné à la finalité poursuivie » [16]. Comme le relève le Conseil constitutionnel « la décision prise par le préfet doit être motivée et préciser notamment le responsable du traitement, la manifestation concernée, les motifs de la mise en œuvre du traitement, le périmètre géographique concerné ainsi que la durée de l'autorisation ». Cette décision peut également faire l’objet d’un recours devant le juge administratif, ce qui renforce encore les garanties pour les administrés.

En outre, la durée de l'autorisation de la mesure ne peut en principe excéder un mois, néanmoins renouvelable [17]. De même, si les conditions ayant justifié la délivrance de l’autorisation ne sont plus réunies, l’autorité compétente « peut suspendre l’autorisation ou y mettre fin à tout moment » [18]. C’est sur ce point que le Conseil constitutionnel émet une réserve d’interprétation en relevant que ce qui est défini comme une possibilité doit être interprété comme « obligeant le préfet à mettre fin immédiatement à une autorisation dont les conditions ayant justifié la délivrance ne sont plus réunies ». Reste à savoir si les préfets seront aussi vigilants sur le respect de cette obligation.

Enfin, la loi prévoit une information du public en cas d’autorisation de ces traitements algorithmiques, « sauf lorsque les circonstances l'interdisent ou que cette information entrerait en contradiction avec les objectifs poursuivis » [19].

En conséquence, les dispositions prévues par l'article 10 de la loi déférée ne sont pas entachées d’inconstitutionnalité.

II. Télésurveillance des examens en ligne et conformité au RGPD (TA Montreuil, 14 décembre 2022, n° 2216570 N° Lexbase : A573887N)

Le tribunal administratif de Montreuil est saisi dans le cadre de la procédure de référé-suspension par des étudiants et par l’association la Quadrature du Net qui lui demandent de suspendre la délibération du conseil de l’institut d’enseignement à distance de l’université Paris VIII relative à l’organisation des examens en ligne de la licence de psychologie pour l’année universitaire 2022-2023. Plus précisément, ce qui pose ici difficulté, c’est l’externalisation de la gestion des examens en ligne auprès d’un prestataire privé, la société Testwe, et les problématiques qu’elle soulève du point de vue du respect des données personnelles.

La condition d’urgence exigée par l’article L. 521-1 du Code de justice administrative N° Lexbase : L3057ALS ne pose pas ici de difficulté notable, eu égard à l’imminence des examens à la date à laquelle le juge statue. Ce qui est davantage débattu, c’est la seconde condition visée par ce même article qui soumet la suspension de la décision contestée à la démonstration « d’un moyen propre à créer, en l’état de l’instruction, un doute sérieux quant à la légalité de la décision ».

Si les modalités de fonctionnement du logiciel utilisé par la société Testwe étaient contestées par les requérants, c’est surtout au regard des principes du RGPD que le dispositif était critiqué. Plus précisément est en cause le fait que Testwe permet la surveillance automatisée et la vérification par un algorithme de l’identité des candidats. Bien que l’Université s’en défendait, il est évident que ces opérations sont assimilables à un traitement de données à caractère personnel qui se définit comme « une opération, ou ensemble d’opérations, portant sur des données personnelles » et cela « quel que soit le procédé utilisé » [20].

Ce qui est sanctionné ici c’est le principe dit de « minimisation des données », visé par l’article 5, 1 c) du RGPD (Règlement (UE) n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 N° Lexbase : L0189K8I) qui exige que les données à caractère personnel soient « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ».

Plusieurs éléments du dispositif – dont il faut reconnaître qu’il est particulièrement intrusif – ont en effet été pointés par l’Association. Il a notamment été relevé que TestWe propose un système de reconnaissance faciale, une surveillance très étendue du lieu dans lequel l’étudiant se trouve, avec des photographies prises toutes les trois secondes et une analyse de celles-ci pour détecter un comportement suspect - qui pourrait le cas échéant donner lieu à une décision automatisée interdite par l’article 22 du RGPD - l’obligation de fixer l’écran, l’interdiction de quitter la pièce, etc. [21].

Cette décision invite à repenser la façon dont peuvent être organisés des examens en distanciel pour être conformes au RGPD. La méconnaissance totale de la réglementation par le responsable du traitement ne permet toutefois pas au tribunal d’apporter une réponse plus précise à cette question qui devra faire l’objet d’éclaircissements dans le futur. On notera ici que la CNIL devrait être en mesure d’apporter des éléments au débat dans le cadre du projet de référentiel en cours d’élaboration relatif à la télésurveillance des examens en ligne [22].

III. Doctissimo sanctionné pour violation des dispositions relatives au consentement des personnes à la collecte et l’utilisation de leurs données de santé et au dépôt de cookies (CNIL, délibération SAN-2023-006 du 11 mai 2023 N° Lexbase : X2417CQL)

Le 26 juin 2020, la CNIL a été saisie d’une plainte par l’association Privacy international, qui s’est donnée pour mission de responsabiliser les acteurs du numérique, concernant l’ensemble des traitements de données à caractère personnel des utilisateurs mis en œuvre par la société Doctissimo sur son site web dédié à la santé et au bien-être. L’association critique les modalités de dépôt des cookies sur le terminal des utilisateurs lorsqu’ils se rendent sur le site web, la base légale du traitement des données à caractère personnel des utilisateurs susceptibles d’être collectées sur le site web quand un utilisateur effectue des tests ayant pour thème la santé ainsi que l’obligation de transparence et de fourniture d’informations aux utilisateurs du site web et la sécurité des données des utilisateurs.

De fait, cela fait plusieurs années que des pratiques de cette société ont été dénoncées dans les médias.  A notamment fait l’objet de critiques l’application « Ma grossesse » proposée par Doctissimo qui a envoyé des données de santé de ses utilisateurs (poids, taille, date d'accouchement) à des tiers comme localytics, Xiti et Google Analytics. De même, les nombreux quiz proposés sur le site permettent à des partenaires commerciaux de savoir lesquels ont été utilisés, alors que certains évoquent par exemple une possible dépression [23].

La CNIL relève pas moins de cinq manquements aux dispositions du RGPD.

a) Un manquement à l’obligation de conserver les données pour une durée limitée à l’objectif recherché [24] :  en effet, Doctissimo conserve les données relatives aux tests réalisés par les internautes pendant 24 mois, puis 3 mois, à compter de leur réalisation. Pour la CNIL, ces durées de conservation sont excessives, car elles ne correspondent pas au strict besoin de la société qui collecte les données des tests afin de permettre à l’utilisateur de prendre connaissance des résultats, de les partager ainsi que de réaliser des statistiques agrégées.  En outre, les données des utilisateurs dont le compte était inactif depuis plus de trois ans étaient également conservées sans aucune procédure d’anonymisation.

b) Un manquement à l’obligation de recueillir le consentement des personnes pour collecter leurs données de santé [25] :  les données de santé sont des données dites « sensibles » et elles font en conséquence l’objet de garanties renforcées. Or ici, la société Doctissimo ne prévoyait aucun avertissement particulier ni mécanisme de recueil du consentement sur ses tests en ligne, qui auraient permis de s’assurer que l’utilisateur avait conscience et consentait au traitement de ses données de santé.

c) Un manquement à l’obligation d’encadrer par contrat les traitements effectués avec un autre responsable de traitement [26] : cette obligation, qui s’applique aux responsables conjoints de traitement, n’a pas été mise en œuvre par un document formalisé, alors pourtant que la société Doctissimo met en œuvre des traitements de données à caractère personnel avec d’autres sociétés, liées notamment à la commercialisation des espaces publicitaires sur le site web.  Ce contrat, aurait notamment dû indiquer la répartition des obligations entre chaque responsable de traitement.

d) Un manquement à l’obligation d’assurer la sécurité des données personnelles [27] : la CNIL souligne que jusqu’en octobre 2019, la société utilisait un protocole de communication « http », qui n’est pas sécurisé et qui exposait en conséquence les données à des risques d’attaques informatiques ou de fuite. En outre, elle conservait les mots de passe des utilisateurs dans un format insuffisamment sécurisé, ceux-ci pouvant permettre d’accéder à l’espace personnel contenant notamment les nom, prénom, date de naissance, adresse électronique et sexe de la personne concernée.

e) Un manquement aux obligations liées à l’utilisation des cookies [28] :  la CNIL a constaté le dépôt d’un cookie publicitaire sur le terminal de l’utilisateur sans son consentement dès son arrivée sur le site, ainsi que le dépôt de deux cookies publicitaires après avoir cliqué sur le bouton « TOUT REFUSER ». Il s’agit ici d’une violation manifeste de l’article 82 de la loi « informatique et libertés ». Cet article impose en effet que l’utilisateur soit informé de manière claire et complète « de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ». Il exige également que cette information porte sur « les moyens dont il dispose pour s’y opposer », ce qui n’était pas ici le cas.

Au regard de ces différents manquements, La CNIL prononce une sanction de 380 000 euros à l’encontre de la société Doctissimo.

IV. La société Cityscoot sanctionnée pour la géolocalisation de scooters de location (CNIL, formation restreinte, délibération SAN-2023-003 du 16 mars 2023 N° Lexbase : X2419CQN)

Cityscoot est une entreprise française qui propose des scooters électriques en libre-service pour une durée limitée dans plusieurs grandes villes françaises – dont Paris – italiennes et espagnoles. En 2020, Cityscoot a fait l’objet d’une enquête de la CNIL concernant notamment les données collectées, l’information et le recueil du consentement des utilisateurs avant leur inscription et de les lire sur leur équipement terminal de communication électronique. À cette occasion, la CNIL a constaté qu’au cours de la location d’un scooter par un particulier, la société collectait des données relatives à la géolocalisation du véhicule toutes les trente secondes et qu’elle conservait l’historique des trajets.

Conformément à l’article 56 du RGPD, la CNIL a informé l’ensemble des autorités de contrôle européennes de sa compétence pour agir en tant qu’autorité de contrôle chef de file concernant le traitement transfrontalier mis en œuvre par Cityscoot, à savoir la gestion des comptes utilisateurs et des outils mis en place par la société, résultant de ce que l’établissement principal de la société se trouve en France. Après échange entre la CNIL et les autorités de protection des données européennes dans le cadre du mécanisme de guichet unique, l’Espagne et l’Italie se sont déclarées concernées par ce traitement.

Dans la décision de la formation restreinte du 16 mars 2023, la CNIL a relevé plusieurs manquements de la société Cityscoot aux dispositions du RGPD et de la loi informatique et libertés.

a) Un manquement à l’obligation de veiller à la minimisation des données [29] qui implique que les données doivent être adéquates, pertinentes et non excessives au regard de l’objectif pour lequel elles sont collectées et utilisées : sur ce point la société Cityscoot énonçait plusieurs objectifs qui justifiaient, selon elle, les données collectées. Il s’agit : du traitement des infractions au Code de la route ; du traitement des réclamations clients ; du support aux utilisateurs afin d’appeler les secours en cas de chute ; de la gestion des sinistres et des vols. La CNIL considère toutefois qu’aucune de ces finalités ne justifie une collecte de données de géolocalisation aussi fine que celle effectuée par la société. En effet, cette pratique est très intrusive dans la vie privée des utilisateurs, dès lors qu’elle est susceptible de révéler leurs déplacements, leurs lieux de fréquentation ou encore la totalité des arrêts effectués au cours d’un parcours. La CNIL relève que la société pourrait proposer un service identique sans géolocaliser ses clients en quasi-permanence, ce qui caractérise un manquement au principe de minimisation des données.

b) Un manquement à l’obligation d’encadrer les traitements effectués par un sous-traitant par un contrat [30] : l’article 28.3 du RGPD impose qu’un tel contrat définisse l’objet et la durée du traitement, sa nature et sa finalité, le type de données à caractère personnel, les catégories de personnes concernées ainsi que les obligations et les droits du responsable de traitement. Ce contrat doit prévoir en outre les conditions dans lesquelles le sous-traitant s’engage à effectuer pour le compte du responsable de traitement les opérations de traitement. Or, ce socle minimal de clauses n’était pas présent dans la quinzaine de contrats conclus par la société Cityscoot avec des sous-traitants, notamment concernant les mesures de sécurité à mettre en place ou encore le sort des données en cas de résiliation des contrats.

c) Un manquement à l’obligation d’informer l’utilisateur et d’obtenir son consentement avant d’inscrire et de lire des informations sur son équipement personnel [31] : la CNIL relève sur ce point que la société avait recours à un mécanisme de reCAPTCHA, fourni par la société Google, lors de la création du compte sur l’application mobile ainsi que lors de la connexion et la procédure de mot de passe oublié sur le site web. Ce mécanisme fonctionne avec une collecte d’informations matérielles et logicielles, notamment les données sur les appareils et les applications. Or, la société ne fournissait aucune information à l’utilisateur et ne recueillait pas son consentement préalable, que ce soit pour accéder aux informations stockées sur son équipement ou pour écrire des informations sur celui-ci.

Pour toutes ces raisons, la CNIL a prononcé une sanction de 125 000 euros à l’encontre de la société Cityscoot.

© Reproduction interdite, sauf autorisation écrite préalable