20
février
2024
LE CEPD LANCE UN OUTIL D’AUDIT DE SITES WEB
Le 29 janvier 2024, le Comité Européen de la Protection des Données (ci-après « CEPD ») a annoncé le lancement d’un outil d’audit de conformité de sites web.
Le logiciel a été développé par un groupe d’experts (Support Pool of Experts), sous la supervision du secrétariat du CEPD. L’outil a rencontré un franc succès de la part des auditeurs des Autorités de la Protection des Données, qui ont testé l’outil lors d’un Bootcamp organisé par le Comité en juin dernier.
À qui est destiné l’outil ?
– Aux Autorités de Protection des Données nationales telles que l’INPI, pour faciliter le contrôle de l’application de la règlementation en vigueur ;
– Aux responsables de traitement et sous-traitants qui souhaitent tester la conformité de leurs propres sites ;
Quels sont ses avantages ?
– Simplicité d’utilisation pour les non-techniciens ;
– Évaluation/analyse du site audit (liste des cookies, degré de sécurisation du site, trackers, domaines, etc) ;
– Génération de rapports via l’outil ;
– Disponible en OpenSource et en version compilée pour Windows, Linux et Mac OS ;
– Compatible avec d’autres outils, tels que le collecteur de preuves du site Web du CEPD.
Comment accéder à ce nouvel outil ?
Le logiciel peut être téléchargé gratuitement en cliquant ici (uniquement en anglais).
Une deuxième version de l’outil avec de nouvelles fonctionnalités devrait voir le jour d’ici la fin d’année.
Margaux Maarek
Juriste
Sources : Communiqué du Comité Européen de la Protection des Données du 29 janvier 2024 : https://edpb.europa.eu/news/news/2024/edpb-launches-website-auditing-tool_en
21
avril
2020
Traitements de données personnelles et coronavirus : la CNIL et le CEPD se prononcent sur les bonnes pratiques
Author:
teamtaomanews
Dans le contexte de l’épidémie de Covid-19, le recours à de nouveaux traitements de données personnelles ayant pour objet de contrôler la diffusion du virus est observé de près. Certaines institutions ont d’emblée réagi en diffusant des conseils et en rappelant les bonnes pratiques à mettre en place pour protéger au mieux les données personnelles, sujet épidermique à l’heure actuelle.
À l’échelle européenne, le CEPD (Comité européen de la protection des données – entité regroupant les autorités de contrôle chargées de la protection des données personnelles au sein de l’UE, telles que la CNIL) a diffusé une annonce sur le traitement des données personnelles dans le contexte de l’épidémie, concentrée principalement sur quatre points :
Un rappel des principes fondamentaux assurant la licéité des traitements
Le CEPD rappelle notamment que, malgré le contexte actuel, les obligations incombant aux responsables de traitements (finalité déterminée, information transparente, claire et complète de la personne concernée, sécurité des données, etc.) restent d’actualité. En revanche, la licéité de ces traitements, y compris lorsqu’ils ont trait à des données « sensibles », peut reposer sur des bases juridiques autres que le consentement des personnes concernées.
Un focus sur les traitements effectués par les autorités publiques (ex: autorités sanitaires)
Du fait de leurs statuts, ces autorités devraient être en mesure d’opérer ces nouveaux traitements
Un focus sur les traitements réalisés par les employeurs
Les employeurs peuvent mettre en œuvre des traitements de données personnelles sur le fondement d’une obligation légale à laquelle ils sont soumis (ex : sécurité sur le lieu de travail) ou de l’intérêt public (ex : contrôle des maladies), et y inclure des données de santé pour cette dernière raison, ou si c’est justifié pour la sauvegarde des intérêts vitaux des personnes concernées.
Sur les modalités de traitement des données ainsi collectées, le CEPD s’en remet aux législations nationales, précisant toutefois que :
Seules les données nécessaires pour remplir leurs obligations et organiser le travail peuvent être collectées par les employeurs ;
La collecte d’informations relatives à la santé des employés ou des visiteurs ne peut être faite que dans le respect des principes de proportionnalité et de minimisation;
La possibilité de demander la réalisation de bilans de santé sur des employés n’est possible que dans la mesure où ils sont imposés par une obligation légale ;
La fourniture d’informations sur des cas de COVID-19 au sein de l’entreprise doit être limitée à ce qui est nécessaire. Dans les cas où il est nécessaire de révéler le nom de l’employé qui a contracté le virus (par exemple dans un contexte préventif), il doit être informé à l’avance et sa dignité et son intégrité doivent être protégées.
Un focus sur les traitements de données de géolocalisation des téléphones mobiles
Le CEPD rappelle que ces données ne peuvent en principe être utilisées qu’après anonymisation (ex : pour réaliser des cartographies) ou avec le consentement de la personne concernée.
À défaut, des dispositions législatives spécifiques pourront être adoptées pour permettre des traitements plus invasifs, tels que le « tracking », sous réserve de la mise en œuvre de garanties adéquates (notamment droit au recours auprès d’une juridiction nationale, caractère nécessaire, approprié, proportionné et limité dans le temps, respect la Charte des droits fondamentaux et la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales).
À l’échelle nationale, la CNIL a répondu aux sollicitations de professionnels et particuliers au sujet de la collecte et du traitement de données personnelles dans le but de de limiter la propagation du virus.
Elle dresse notamment une liste des comportements interdits et autorisés dans le cadre des relations de travail. Ainsi :
les employeurs doivent mettre en place des actions préventives, d’information et de formation afin de garantir la santé et la sécurité de leurs employés (ex : invitation à effectuer des remontées individuelles d’informations par les employés en cas d’éventuelle exposition au virus, possibilité de consigner la date et l’identité de l’employé qui signalerait une exposition).
Mais ils ne peuvent pas prendre des mesures susceptibles de porter atteinte au respect de la vie privée des personnes concernées, notamment par la collecte de données de santé qui iraient au-delà de la gestion des suspicions d’exposition au virus (ex: pas de relevés obligatoires quotidiens de température ou de questionnaires médicaux pour l’ensemble des employés).
Les employés doivent, quant à eux, informer leur employeur en cas de suspicion de contact avec le virus.
La CNIL a en outre donné des conseils sur la mise en place du télétravail et l’utilisation d’outils de visioconférence.
Parmi les mesures les plus significatives, on notera :
Pour les mesures de bases à prendre en cas de télétravail : la sécurisation des systèmes d’information (édition d’une charte de sécurité, installation de pares feux et d’antivirus, mise en place de VPN, utilisation de mécanismes d’authentification à double facteur, consultation des journaux d’accès, etc.) ;
Pour la visioconférence : privilégier les solutions qui protègent la vie privée, ne pas télécharger d’application de source inconnue, sécuriser le réseau wifi, limiter le nombre d’informations fournies lors de l’inscription, fermer l’application lorsqu’elle n’est pas utilisée.
Eugénie Lebelle
Elève-avocate
Anita Delaage
Avocate
Lire la déclaration du CEPD ou accéder à la page de la CNIL sur la COVID-19