LA SANCTION D’UBER PAR LA CNIL : UN EXEMPLE DE COOPERATION EUROPEENNE
K.Pratique | Chroniques juridiques du cabinet KGA Avocats - Marion Moine, Matthieu Bourgeois, 17/01/2019
La sanction prononcée à l’encontre d’UBER, le 19 décembre dernier, par la CNIL, (Délibération CNIL n°SAN-2018-011) bien qu’en apparence timide, s’inscrit dans le cadre d’une coopération des autorités de contrôle européennes, et doit être félicitée, pour son raisonnement juridique rigoureux.
I. CONTEXTE
Une décision qui fait suite à l’aveu de la société UBER du 21 novembre 2017. Plus d’une année auparavant, la société avait été victime d’un téléchargement massif de données (57 millions de données, dont 50 millions appartenant à ses clients, et 7 millions appartenant aux chauffeurs travaillant sous sa marque) opéré par deux hackers. Cette faille, qui avait semble-t-il été « étouffée » par les précédents dirigeants, a été révélée à la suite d’un changement de direction. (1)
Le G29 a créé le groupe de travail « Taskforce dans le but de coordonner les procédures d’investigations de différentes autorités de protection des données ». Alerté, le G29 a en effet, réuni les autorités néerlandaise, espagnole, française, belge, italienne, britannique et slovaque afin que le dossier UBER soit instruit, et qu’une position commune et cohérente soit adoptée.
Un accès aux données ayant requis seulement trois étapes. Les investigations menées ont révélé que les hackers se sont procurés des identifiants d’accès au « Github » – plateforme tierce de développement de logiciel sur internet utilisée par les ingénieurs d’UBER –, laquelle contenait une clé inscrite en clair dans un fichier code source, permettant d’accéder à la plateforme d’hébergement des données. Les hackers n’avaient ensuite qu’à se servir !
L’établissement français convoqué par la Commission National Informatique et Libertés (« CNIL ») pour être entendue sur ces faits. En août dernier (2018), la CNIL a convoqué la société UBER France SAS (les sociétés UBER B.V et UBER TECHNOLOGIES INC. ayant été simplement informées de cette convocation) à une séance de la formation restreinte du 11 octobre 2018 (reportée au 8 novembre suivant). Celle-ci était invitée à formuler, d’ici cette date, ses observations en réponse aux conclusions du rapporteur préalablement désigné par la Présidente de la Commission.
Le G29 a créé le groupe de travail « Taskforce dans le but de coordonner les procédures d’investigations de différentes autorités de protection des données ». Alerté, le G29 a en effet, réuni les autorités néerlandaise, espagnole, française, belge, italienne, britannique et slovaque afin que le dossier UBER soit instruit, et qu’une position commune et cohérente soit adoptée.
Un accès aux données ayant requis seulement trois étapes. Les investigations menées ont révélé que les hackers se sont procurés des identifiants d’accès au « Github » – plateforme tierce de développement de logiciel sur internet utilisée par les ingénieurs d’UBER –, laquelle contenait une clé inscrite en clair dans un fichier code source, permettant d’accéder à la plateforme d’hébergement des données. Les hackers n’avaient ensuite qu’à se servir !
L’établissement français convoqué par la Commission National Informatique et Libertés (« CNIL ») pour être entendue sur ces faits. En août dernier (2018), la CNIL a convoqué la société UBER France SAS (les sociétés UBER B.V et UBER TECHNOLOGIES INC. ayant été simplement informées de cette convocation) à une séance de la formation restreinte du 11 octobre 2018 (reportée au 8 novembre suivant). Celle-ci était invitée à formuler, d’ici cette date, ses observations en réponse aux conclusions du rapporteur préalablement désigné par la Présidente de la Commission.
II. UN RAISONNEMENT JURIDIQUE SOLIDE
I. Le droit l’Union au renfort de la compétence française
L’article 5 de la loi informatique et libertés n°78-17 (« LIL ») fragile pour condamner UBER sur le fondement de la loi française. En effet, pour mémoire, la LIL s’applique (i) aux responsables de traitement établi en France, ou, (ii) s’ils n’y sont pas établis, à ceux qui recourent à des moyens de traitement situé sur le territoire national. Or, en l’espèce, ni UBER B.V. (établie aux Pays-Bas), ni UBER TECHNOLOGIES INC. (établie aux Etats-Unis d’Amérique) – victime de la violation de données – ne sont établis ou ne disposent de moyens de traitement en France.
La directive 95/46/CE invoquée dans ses dernières heures. La CNIL s’est fondée sur l’article 4-1-a) de la directive 95/46/CE – applicable jusqu’à l’entrée en application du RGPD, le 25 mai 2018 – lequel prévoit que le droit applicable d’un Etat membre dépend de deux conditions cumulatives : tout d’abord, b[(i)]b l’existence d’un établissement du responsable de traitement sur son territoire, ainsi que b[(ii)]b la mise en œuvre d’un traitement de données dans le cadre des activités de cet établissement. La CNIL, afin de qualifier UBER France d’« établissement » au sens de ce texte, s’est fondée la définition adoptée par la Cour de justice de l’Union européenne dans l’arrêt Weltimmo (affaire C-230(14) – point 31), du 1er octobre 2015, (à savoir « toute activité réelle et effective, même minime, exercée au moyen d’une installation stable »). Elle a également surmonté la difficulté liée à la mise en œuvre du traitement de données, en invoquant cette fois-ci, l’arrêt Costeja du 13 mai 2014 (affaire C-131/12 – point 60), à l’occasion duquel la CJUE avait précisé « qu’un traitement de données à caractère personnel est effectué dans le cadre des activités d’un établissement, lorsque celui-ci est destiné à assurer l’activité de promotion et de vente des espaces publicitaires pour les besoins d’une entreprise située dans un Etat tiers ».
Le droit de l’Union une fois encore, au secours de la compétence de la CNIL. La CNIL, pour justifier son pouvoir de sanction, s’est fondée sur l’article 28, paragraphe 8 (pouvoir d’investigation des autorités de contrôle) de la directive 95/46/CE, ainsi que sur les arrêts Wirtschaftsakademie Schleswig-Holstein GmbH du 5 juin 2018 (affaire C‑210/16 – point 74), et Weltimmo (cf. supra), lesquels permettent aux autorités de contrôle de sanctionner les établissements nationaux de responsables de traitement étrangers.
Une question désormais réglée par le RGPD. Les deux nouveaux critères – alternatifs – de rattachement prévus par le nouveau Règlement éluderont, désormais, les difficultés que la CNIL a eu à surmonter ici ; en effet, le texte communautaire s’appliquera désormais lorsque le traitement mis en cause est réalisé « dans le cadre des activités d’un établissement » situé dans l’Union (2) , ou est lié à « l’offre de biens ou de services » ou « au suivi du comportement de personnes » situées dans le territoire communautaire (3). En l’espèce, il n’y aurait eu aucune difficulté à caractériser l’un de ces critères, en particulier le second, pour considérer que le RGPD est applicable. Quant à la compétence de la CNIL, celle-ci résulte des articles 56 et suivants du RGPD.
II. Le rejet de la qualification de sous-traitant
L’ancien régime, favorable aux sous-traitants, invoqué par UBER France. Cette dernière a vainement tenté de se soustraire aux sanctions de la CNIL, en arguant – contrat de sous-traitance signé avec UBER B.V. à l’appui – que la société UBER TECHNOLOGIES, dont elle doit répondre devant cette dernière, revêt la qualité de sous-traitant. Pour mémoire, avant l’entrée en application du RGPD et l’adoption de la loi n°2018-493 du 20 juin 2018 modifiant la loi informatique et libertés française (4) , seuls les responsables de traitement pouvaient être sanctionnés par la CNIL.
La qualification de sous-traitant écartée au profit de celle de responsable conjoint de traitement. Pour rejeter l’argumentation d’UBER, la CNIL va se fonder, non pas sur la LIL qui n’avait pas souhaité reprendre cette notion dans son droit national, mais sur la directive précitée, laquelle prévoyait déjà que plusieurs responsables de traitement agissent conjointement. En s’appuyant sur l’avis n°1/2010 de l’ancien G29 du 16 février 2010 relatif aux notions de responsable de traitement et de sous-traitant, la formation restreinte a estimé que « la multitude des champs d’actions dans lesquels intervient la société UBER TECHNOLOGIES INC. témoigne du rôle déterminant qui est le sien » dans le choix des finalités et des moyens du traitement », et, ainsi, qu’elle revêt la qualité de responsable conjoint, aux cotés d’UBER B.V.
Une décision instructive quant aux critères de qualification à prendre en compte dont certains sont toutefois énigmatiques. Afin d’adopter cette position, la CNIL a identifié plusieurs éléments factuels déterminants selon elle, à propos desquels les acteurs de traitement devront être vigilants avant de procéder à des qualifications hâtives. Ainsi, l’élaboration de directives relatives à la gestion des données, la formation des nouveaux employés du groupe, la signature de contrats en lien avec les services essentiels au fonctionnement du service (par ex. la gestion de campagnes marketing), et la gestion des violations de données sont attachés à des éléments essentiels des moyens de traitement, dont un responsable de traitement ne peut être dessaisi. S’il est satisfaisant de trouver, dans cette décision, des exemples de critères pris en compte pour l’indispensable exercice de qualification, il est en revanche permis de s’interroger sur leur justesse notamment au regard de la grille de critères dégagés par l’ancien G29 (Avis 1/2010 – WP 169) en 2010 et reprise par la CNIL en 2012 (V. Guide du sous-traitant ), qui mettait en relief les quatre critères suivants : (i) niveau d’instruction donné à l’entité opérant le traitement, (ii) niveau de contrôle exercé par le donneur d’ordres, (iii) expertise des parties, et (iv) degré de transparence à l’égard des personnes concernées. En l’espèce, si la formation dispensée par UBER TECHNOLOGIES INC. peut relever du troisième critère, l’élaboration des directives relève du premier critère, on s’interroge sur l’incidence des deux autres circonstances relevées par la CNIL : le fait que UBER TECHNOLOGIES INC. soit signataire « des contrats avec plusieurs sociétés tierces », et le fait qu’elle gère « la violation des données ». Il est difficile de rattacher ces deux circonstances aux critères précités, sauf éventuellement au deuxième, et à condition d’en avoir une lecture très large. C’est cette lecture que nous retiendrons.
L’article 5 de la loi informatique et libertés n°78-17 (« LIL ») fragile pour condamner UBER sur le fondement de la loi française. En effet, pour mémoire, la LIL s’applique (i) aux responsables de traitement établi en France, ou, (ii) s’ils n’y sont pas établis, à ceux qui recourent à des moyens de traitement situé sur le territoire national. Or, en l’espèce, ni UBER B.V. (établie aux Pays-Bas), ni UBER TECHNOLOGIES INC. (établie aux Etats-Unis d’Amérique) – victime de la violation de données – ne sont établis ou ne disposent de moyens de traitement en France.
La directive 95/46/CE invoquée dans ses dernières heures. La CNIL s’est fondée sur l’article 4-1-a) de la directive 95/46/CE – applicable jusqu’à l’entrée en application du RGPD, le 25 mai 2018 – lequel prévoit que le droit applicable d’un Etat membre dépend de deux conditions cumulatives : tout d’abord, b[(i)]b l’existence d’un établissement du responsable de traitement sur son territoire, ainsi que b[(ii)]b la mise en œuvre d’un traitement de données dans le cadre des activités de cet établissement. La CNIL, afin de qualifier UBER France d’« établissement » au sens de ce texte, s’est fondée la définition adoptée par la Cour de justice de l’Union européenne dans l’arrêt Weltimmo (affaire C-230(14) – point 31), du 1er octobre 2015, (à savoir « toute activité réelle et effective, même minime, exercée au moyen d’une installation stable »). Elle a également surmonté la difficulté liée à la mise en œuvre du traitement de données, en invoquant cette fois-ci, l’arrêt Costeja du 13 mai 2014 (affaire C-131/12 – point 60), à l’occasion duquel la CJUE avait précisé « qu’un traitement de données à caractère personnel est effectué dans le cadre des activités d’un établissement, lorsque celui-ci est destiné à assurer l’activité de promotion et de vente des espaces publicitaires pour les besoins d’une entreprise située dans un Etat tiers ».
Le droit de l’Union une fois encore, au secours de la compétence de la CNIL. La CNIL, pour justifier son pouvoir de sanction, s’est fondée sur l’article 28, paragraphe 8 (pouvoir d’investigation des autorités de contrôle) de la directive 95/46/CE, ainsi que sur les arrêts Wirtschaftsakademie Schleswig-Holstein GmbH du 5 juin 2018 (affaire C‑210/16 – point 74), et Weltimmo (cf. supra), lesquels permettent aux autorités de contrôle de sanctionner les établissements nationaux de responsables de traitement étrangers.
Une question désormais réglée par le RGPD. Les deux nouveaux critères – alternatifs – de rattachement prévus par le nouveau Règlement éluderont, désormais, les difficultés que la CNIL a eu à surmonter ici ; en effet, le texte communautaire s’appliquera désormais lorsque le traitement mis en cause est réalisé « dans le cadre des activités d’un établissement » situé dans l’Union (2) , ou est lié à « l’offre de biens ou de services » ou « au suivi du comportement de personnes » situées dans le territoire communautaire (3). En l’espèce, il n’y aurait eu aucune difficulté à caractériser l’un de ces critères, en particulier le second, pour considérer que le RGPD est applicable. Quant à la compétence de la CNIL, celle-ci résulte des articles 56 et suivants du RGPD.
II. Le rejet de la qualification de sous-traitant
L’ancien régime, favorable aux sous-traitants, invoqué par UBER France. Cette dernière a vainement tenté de se soustraire aux sanctions de la CNIL, en arguant – contrat de sous-traitance signé avec UBER B.V. à l’appui – que la société UBER TECHNOLOGIES, dont elle doit répondre devant cette dernière, revêt la qualité de sous-traitant. Pour mémoire, avant l’entrée en application du RGPD et l’adoption de la loi n°2018-493 du 20 juin 2018 modifiant la loi informatique et libertés française (4) , seuls les responsables de traitement pouvaient être sanctionnés par la CNIL.
La qualification de sous-traitant écartée au profit de celle de responsable conjoint de traitement. Pour rejeter l’argumentation d’UBER, la CNIL va se fonder, non pas sur la LIL qui n’avait pas souhaité reprendre cette notion dans son droit national, mais sur la directive précitée, laquelle prévoyait déjà que plusieurs responsables de traitement agissent conjointement. En s’appuyant sur l’avis n°1/2010 de l’ancien G29 du 16 février 2010 relatif aux notions de responsable de traitement et de sous-traitant, la formation restreinte a estimé que « la multitude des champs d’actions dans lesquels intervient la société UBER TECHNOLOGIES INC. témoigne du rôle déterminant qui est le sien » dans le choix des finalités et des moyens du traitement », et, ainsi, qu’elle revêt la qualité de responsable conjoint, aux cotés d’UBER B.V.
Une décision instructive quant aux critères de qualification à prendre en compte dont certains sont toutefois énigmatiques. Afin d’adopter cette position, la CNIL a identifié plusieurs éléments factuels déterminants selon elle, à propos desquels les acteurs de traitement devront être vigilants avant de procéder à des qualifications hâtives. Ainsi, l’élaboration de directives relatives à la gestion des données, la formation des nouveaux employés du groupe, la signature de contrats en lien avec les services essentiels au fonctionnement du service (par ex. la gestion de campagnes marketing), et la gestion des violations de données sont attachés à des éléments essentiels des moyens de traitement, dont un responsable de traitement ne peut être dessaisi. S’il est satisfaisant de trouver, dans cette décision, des exemples de critères pris en compte pour l’indispensable exercice de qualification, il est en revanche permis de s’interroger sur leur justesse notamment au regard de la grille de critères dégagés par l’ancien G29 (Avis 1/2010 – WP 169) en 2010 et reprise par la CNIL en 2012 (V. Guide du sous-traitant ), qui mettait en relief les quatre critères suivants : (i) niveau d’instruction donné à l’entité opérant le traitement, (ii) niveau de contrôle exercé par le donneur d’ordres, (iii) expertise des parties, et (iv) degré de transparence à l’égard des personnes concernées. En l’espèce, si la formation dispensée par UBER TECHNOLOGIES INC. peut relever du troisième critère, l’élaboration des directives relève du premier critère, on s’interroge sur l’incidence des deux autres circonstances relevées par la CNIL : le fait que UBER TECHNOLOGIES INC. soit signataire « des contrats avec plusieurs sociétés tierces », et le fait qu’elle gère « la violation des données ». Il est difficile de rattacher ces deux circonstances aux critères précités, sauf éventuellement au deuxième, et à condition d’en avoir une lecture très large. C’est cette lecture que nous retiendrons.
III. UNE SANCTION PECUNIAIRE EN APPARENCE TIMIDE
La négligence d’UBER sanctionnée par la CNIL. La CNIL a analysé dans le détail. les éléments de sécurité, et notamment de contrôle des accès aux données mis en place par UBER. Celle-ci considère, que, eu égard au nombre de données à caractère personnel détenu, la société UBER n’a pas mis en œuvre des mesures pourtant, élémentaires et, à ce titre, a fait preuve de négligence.
Une sanction pécuniaire pouvant paraître insuffisante, qui doit être cumulée avec celle des autres autorités de contrôle. En effet, la somme de 400.000€ prononcée par la CNIL, pourrait paraître bien modeste lorsqu’elle est prononcée à l’encontre d’une société telle qu’UBER. Néanmoins, la décision française fait suite à celles des autorités de contrôle néerlandaise (600.000€) et britannique (385.000 £), portant, pour l’heure, le montant de la sanction à un total de 1.430.000 €. Les décisions à venir des autorités espagnole, belge, italienne, et slovaque devraient venir s’ajouter à ce montant.
(1)https://www.usine-digitale.fr/article/uber-a-cache-le-vol-de-donnees-de-50-millions-de-clients-et-7-millions-de-chauffeurs.N617393
(2) Article 3.1 du RGPD.
(3) Article 3.2. du RGPD.
(4) Article 45 (ancien et nouveau) de la loi informatique et libertés n°78-17.
Une sanction pécuniaire pouvant paraître insuffisante, qui doit être cumulée avec celle des autres autorités de contrôle. En effet, la somme de 400.000€ prononcée par la CNIL, pourrait paraître bien modeste lorsqu’elle est prononcée à l’encontre d’une société telle qu’UBER. Néanmoins, la décision française fait suite à celles des autorités de contrôle néerlandaise (600.000€) et britannique (385.000 £), portant, pour l’heure, le montant de la sanction à un total de 1.430.000 €. Les décisions à venir des autorités espagnole, belge, italienne, et slovaque devraient venir s’ajouter à ce montant.
(1)https://www.usine-digitale.fr/article/uber-a-cache-le-vol-de-donnees-de-50-millions-de-clients-et-7-millions-de-chauffeurs.N617393
(2) Article 3.1 du RGPD.
(3) Article 3.2. du RGPD.
(4) Article 45 (ancien et nouveau) de la loi informatique et libertés n°78-17.