01
octobre
2024
Les 10 Commandements de la CNIL pour les applications mobiles
La CNIL vient de publier ses recommandations pour assurer une meilleure protection des données personnelles dans l’univers des applications mobiles. Ces directives visent à guider les acteurs du secteur — éditeurs, développeurs, fournisseurs de SDK, systèmes d’exploitation et magasins d’applications — vers une gestion plus transparente et sécurisée des données utilisateurs.
1. Conformité au RGPD et ePrivacy
Les applications doivent respecter les législations européennes en matière de protection des données, notamment le RGPD et la directive ePrivacy. Cela inclut toutes les opérations de collecte, de stockage et de traitement des données personnelles.
2. Définition des rôles et responsabilités
Les responsabilités de chaque acteur (éditeur, développeur, fournisseur de SDK, etc.) doivent être clairement définies. Par exemple, l’éditeur est responsable du traitement des données collectées via son application.
3. Consentement éclairé et transparent
Obtenir un consentement explicite des utilisateurs avant toute collecte de données non essentielle est primordial. Les utilisateurs doivent comprendre pourquoi leurs données sont collectées et comment elles seront utilisées.
4. Minimisation des données collectées
Seules les données strictement nécessaires pour fournir le service doivent être collectées. Cela réduit les risques en cas de violation de données.
5. Protection des données dès la conception
Les applications doivent intégrer des mesures de sécurité dès leur conception, en tenant compte de la protection des données dès le départ (privacy by design).
6. Gestion des permissions et accès aux Données
Les applications doivent limiter l’accès aux fonctionnalités et aux données du téléphone aux seules opérations nécessaires. Par exemple, une application de navigation ne devrait pas accéder aux contacts de l’utilisateur.
7. Sécurité continue et surveillance
Les développeurs et éditeurs doivent surveiller la sécurité de leurs applications tout au long de leur cycle de vie, en effectuant des mises à jour régulières et en corrigeant rapidement les vulnérabilités.
8. Utilisation responsable des SDK
Les développeurs doivent s’assurer que les SDK (« software development kits » ou « kits de développement logiciels ») intégrés dans leurs applications respectent également les règles de protection des données.
9. Gestion des droits des utilisateurs
Les applications doivent faciliter l’exercice des droits des utilisateurs, tels que l’accès, la rectification ou la suppression de leurs données personnelles.
10. Contrôles préventifs et évaluation de Conformité
Les acteurs du secteur doivent mettre en place des contrôles internes et des évaluations régulières de conformité. La CNIL prévoit des contrôles à partir de 2025 pour vérifier la bonne application de ces recommandations.
Anne Messas
Avocate associée
Pour en savoir plus, consultez la recommandation de la CNIL ici.
Contactez TAoMA pour obtenir des conseils personnalisés ici.
Besoin de vous former ou de former vos équipes aux bonnes pratiques sur le sujet ?
Découvrez les ateliers de TAoMA Academy en nous contactant ici.
02
septembre
2022
Prospection commerciale et protection des données : la CNIL condamne ACCOR à une amende de 600 000 euros
Author:
TAoMA
Dans une délibération datée du 3 août 2022, la formation restreinte de la CNIL a prononcé la condamnation de la société ACCOR SA à une amende de 600.000 euros et à la publicité de la décision sur le site de la CNIL et de Légifrance pour non-conformité dans le cadre de la prospection.
Le combo interdit : case consentement pré-cochée par défaut, offres commerciales de partenaires, impossibilité d’exercer le droit d’opposition.
La société ACCOR est un groupe hôtelier qui réalise des traitements de données transfrontaliers.
On lui reproche son traitement des données de prospection, en effet, lorsqu’une personne procédait à une réservation auprès du personnel d’un hôtel ou via le site d’une des marques du groupe ACCOR, la case relative au consentement à recevoir la newsletter était pré-cochée par défaut et elle recevait automatiquement une newsletter comportant des offres commerciales de partenaires.
On lui reproche aussi des anomalies techniques, qui se sont reproduites pendant plusieurs semaines, qui ont empêché un nombre significatif de personnes de s’opposer efficacement à la réception des messages de prospection.
Comme souvent ce sont des plaintes de consommateurs mécontents qui sont à l’origine du contrôle de la CNIL.
La CNIL a reçu des plaintes, s’est posée chef de file et a collecté les plaintes reçues par les autorités de contrôle qui se sont manifestées dans le cadre de la procédure prévue à cet effet par le RGPD.
La CNIL a ensuite commencé le contrôle de la société ACCOR en février 2019 par des échanges de courriers, puis par un contrôle sur place, suivi d’un rapport détaillant les manquements à corriger.
Les manquements retenus sont relatifs aux règles de consentement, information, et exercice des droits dans le cadre de la prospection
La CNIL a retenu à l’encontre de la société ACCOR les manquements aux obligations suivantes :
l’obligation de recueillir le consentement de la personne concernée pour traiter ses données à des fins de prospection commerciale (article L. 34-5 du Code des postes et des communications électroniques).
l’obligation d’informer les personnes (art. 12 et 13 du RGPD) : la société ne fournissait pas aux personnes concernées, de manière accessible, les informations nécessaires lors de la création d’un compte client ou lors de l’adhésion au programme de fidélité du groupe ACCOR. La société ne mentionnait pas non plus le consentement comme base légale du traitement, pour la prospection tendant à promouvoir les produits ou services de tiers.
l’obligation de respecter le droit d’accès des personnes aux données les concernant (art. 12 et 15 du RGPD), puisque la société n’a pas donné suite aux demandes formulées par une plaignante dans les délais.
l’obligation de respecter le droit d’opposition des personnes concernées (art. 12 et 21 du RGPD), la société n’ayant pas pris en compte les demandes des plaignants visant à ce que plus aucun message de prospection commerciale ne leur soit adressé, en raison de dysfonctionnements.
l’obligation d’assurer la sécurité des données personnelles (art. 32 du RGPD), car la société permettait l’utilisation des mots de passe insuffisamment robustes. La CNIL reproche également à la société d’avoir invité une personne à transmettre sa pièce d’identité par courriel, sans que les données en cause ne soient chiffrées.
Comment éviter cela ?
=> Appliquer 2 règles en matière de prospection commerciale et attention à la portée de l’exception à la règle1.
1. Information préalable des personnes concernées
Mention d’information sur le traitement et sur les droits de la personne
Moyen simple de s’opposer (lien de désinscription – contact)
2. Consentement préalable des personnes concernées
Consentement libre, spécifique, éclairé et univoque
Interdiction des cases pré-cochées par défaut : il faut une action positive de la part de la personne concernée
case à cocher (décochée)
Exception si la situation remplit 2 conditions cumulatives :
La personne prospectée est déjà cliente* de la société
+
La prospection concerne des produits/services similaires fournis par la même entreprise
* Attention, cette exception s’applique uniquement si une vente ou prestation de service a été effectuée. Ainsi la création d’un compte ne s’entend pas comme une vente ou une prestation de service.
=> Mettre en œuvre une procédure d’exercice de droit bien comprise et applicable dans l’organisation
2 choses à savoir :
Les consommateurs sont sur-sollicités et agacés par la prospection et l’utilisation de leurs données
La plupart des contrôles de la CNIL sont suscités par des plaintes de personnes.
Partant de là, on ne dira jamais assez l’importance de permettre aux personnes d’exercer leurs droits d’une manière rapide et claire, ce qui leur permet d’être entendues et respectées et de désamorcer immédiatement un éventuel conflit.
Cela suppose d’avoir mis en place en interne une procédure de réponse aux demandes des personnes concernées qui soit claire, bien comprise et appliquée.
Donc… sensibilisez vos équipes!
La team TAoMA Data protection
Consultez-nous pour vous mettre en conformité ou pour organiser des ateliers de formation ou sensibilisation
Pour lire la décision de la CNIL c’est par ici.
04
mars
2021
Éditeurs de sites => Mars 2021 : priorité cookies !
Author:
teamtaomanews
En octobre 2020, la Commission nationale de l’Informatique et des Libertés (CNIL) a publié de nouvelles lignes directrices ainsi qu’une recommandation concernant les obligations des entités déposant ou lisant des cookies sur les terminaux des internautes. Consciente des importants changements engendrés, elle a prévu une période d’adaptation de 6 mois pour permettre aux acteurs concernés de se mettre en conformité.
Cette période transitoire s’achèvera donc le 31 mars 2021, date à laquelle tous les sites devront être en conformité avec les nouvelles règles, sachant que la CNIL a déjà annoncé que leur respect ferait partie (avec la cybersécurité et la sécurité des données de santé) de ses thématiques prioritaires de contrôle pour l’année !
Concrètement, qu’est-ce que cela implique ?
La CNIL vérifiera, dès le mois d’avril, par le biais de contrôles qui pourront être réalisés en ligne, si les nouvelles règles concernant l’utilisation des cookies, y compris les nouvelles modalités de recueil du consentement, sont bien appliquées.
Quels sont les grands principes posés par la CNIL concernant les cookies ?
=> Une information claire et complète doit être fournie aux internautes concernant l’identité du ou des responsables de traitement des opérations de lecture ou écriture, les finalités des traceurs et les conséquences de leur refus ou acceptation ;
=> À part quelques exceptions (cookies destinés à garder en mémoire un panier d’achat, cookies permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu, etc.) le dépôt et la lecture de cookies sont soumis au consentement des internautes ;
=> Le consentement doit être recueilli par un acte clair comme une case à cocher sur une bannière (la poursuite de la navigation sur un site web ou le paramétrage du navigateur web ne valent pas, à ce jour, consentement) ;
=> Le consentement doit être aussi simple à retirer qu’à accorder ;
=> Les sites Internet utilisant des traceurs doivent être en mesure de fournir la preuve du recueillement du consentement à tout moment.
Avis aux retardataires : il n’est pas trop tard pour mettre en œuvre ces mesures d’ici la fin du mois !
Thibault FELIX
Stagiaire Pôle Avocat
Anita DELAAGE
Avocate à la Cour
Lire les communiqués de la CNIL :
https://www.cnil.fr/fr/cookies-la-cnil-incite-les-organismes-prives-et-publics-auditer-leurs-sites-web-et-applications
https://www.cnil.fr/fr/cybersecurite-donnees-de-sante-cookies-les-thematiques-prioritaires-de-controle-en-2021
21
avril
2020
Traitements de données personnelles et coronavirus : la CNIL et le CEPD se prononcent sur les bonnes pratiques
Author:
teamtaomanews
Dans le contexte de l’épidémie de Covid-19, le recours à de nouveaux traitements de données personnelles ayant pour objet de contrôler la diffusion du virus est observé de près. Certaines institutions ont d’emblée réagi en diffusant des conseils et en rappelant les bonnes pratiques à mettre en place pour protéger au mieux les données personnelles, sujet épidermique à l’heure actuelle.
À l’échelle européenne, le CEPD (Comité européen de la protection des données – entité regroupant les autorités de contrôle chargées de la protection des données personnelles au sein de l’UE, telles que la CNIL) a diffusé une annonce sur le traitement des données personnelles dans le contexte de l’épidémie, concentrée principalement sur quatre points :
Un rappel des principes fondamentaux assurant la licéité des traitements
Le CEPD rappelle notamment que, malgré le contexte actuel, les obligations incombant aux responsables de traitements (finalité déterminée, information transparente, claire et complète de la personne concernée, sécurité des données, etc.) restent d’actualité. En revanche, la licéité de ces traitements, y compris lorsqu’ils ont trait à des données « sensibles », peut reposer sur des bases juridiques autres que le consentement des personnes concernées.
Un focus sur les traitements effectués par les autorités publiques (ex: autorités sanitaires)
Du fait de leurs statuts, ces autorités devraient être en mesure d’opérer ces nouveaux traitements
Un focus sur les traitements réalisés par les employeurs
Les employeurs peuvent mettre en œuvre des traitements de données personnelles sur le fondement d’une obligation légale à laquelle ils sont soumis (ex : sécurité sur le lieu de travail) ou de l’intérêt public (ex : contrôle des maladies), et y inclure des données de santé pour cette dernière raison, ou si c’est justifié pour la sauvegarde des intérêts vitaux des personnes concernées.
Sur les modalités de traitement des données ainsi collectées, le CEPD s’en remet aux législations nationales, précisant toutefois que :
Seules les données nécessaires pour remplir leurs obligations et organiser le travail peuvent être collectées par les employeurs ;
La collecte d’informations relatives à la santé des employés ou des visiteurs ne peut être faite que dans le respect des principes de proportionnalité et de minimisation;
La possibilité de demander la réalisation de bilans de santé sur des employés n’est possible que dans la mesure où ils sont imposés par une obligation légale ;
La fourniture d’informations sur des cas de COVID-19 au sein de l’entreprise doit être limitée à ce qui est nécessaire. Dans les cas où il est nécessaire de révéler le nom de l’employé qui a contracté le virus (par exemple dans un contexte préventif), il doit être informé à l’avance et sa dignité et son intégrité doivent être protégées.
Un focus sur les traitements de données de géolocalisation des téléphones mobiles
Le CEPD rappelle que ces données ne peuvent en principe être utilisées qu’après anonymisation (ex : pour réaliser des cartographies) ou avec le consentement de la personne concernée.
À défaut, des dispositions législatives spécifiques pourront être adoptées pour permettre des traitements plus invasifs, tels que le « tracking », sous réserve de la mise en œuvre de garanties adéquates (notamment droit au recours auprès d’une juridiction nationale, caractère nécessaire, approprié, proportionné et limité dans le temps, respect la Charte des droits fondamentaux et la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales).
À l’échelle nationale, la CNIL a répondu aux sollicitations de professionnels et particuliers au sujet de la collecte et du traitement de données personnelles dans le but de de limiter la propagation du virus.
Elle dresse notamment une liste des comportements interdits et autorisés dans le cadre des relations de travail. Ainsi :
les employeurs doivent mettre en place des actions préventives, d’information et de formation afin de garantir la santé et la sécurité de leurs employés (ex : invitation à effectuer des remontées individuelles d’informations par les employés en cas d’éventuelle exposition au virus, possibilité de consigner la date et l’identité de l’employé qui signalerait une exposition).
Mais ils ne peuvent pas prendre des mesures susceptibles de porter atteinte au respect de la vie privée des personnes concernées, notamment par la collecte de données de santé qui iraient au-delà de la gestion des suspicions d’exposition au virus (ex: pas de relevés obligatoires quotidiens de température ou de questionnaires médicaux pour l’ensemble des employés).
Les employés doivent, quant à eux, informer leur employeur en cas de suspicion de contact avec le virus.
La CNIL a en outre donné des conseils sur la mise en place du télétravail et l’utilisation d’outils de visioconférence.
Parmi les mesures les plus significatives, on notera :
Pour les mesures de bases à prendre en cas de télétravail : la sécurisation des systèmes d’information (édition d’une charte de sécurité, installation de pares feux et d’antivirus, mise en place de VPN, utilisation de mécanismes d’authentification à double facteur, consultation des journaux d’accès, etc.) ;
Pour la visioconférence : privilégier les solutions qui protègent la vie privée, ne pas télécharger d’application de source inconnue, sécuriser le réseau wifi, limiter le nombre d’informations fournies lors de l’inscription, fermer l’application lorsqu’elle n’est pas utilisée.
Eugénie Lebelle
Elève-avocate
Anita Delaage
Avocate
Lire la déclaration du CEPD ou accéder à la page de la CNIL sur la COVID-19
20
juin
2019
La CNIL confirme son pouvoir de sanction sans mise en demeure : condamnation de SERGIC à 400 000 euros pour violation grave de l’obligation de sécurité
Author:
teamtaomanews
Fin Avril, le Conseil d’État confirmait la capacité de la CNIL à sanctionner les violations des règles de sécurité des données personnelles sans forcément recourir à une préalable mise en demeure destinée à laisser la possibilité au contrevenant de corriger son comportement (note : voir notre news sur l’affaire OPTICAL CENTER).
Dans sa délibération du 28 mai 2019, l’autorité de contrôle confirme sa volonté d’exercer ce pouvoir.
L’entreprise ciblée est la société SERGIC, spécialisée dans le secteur immobilier qui avait fait l’objet d’une plainte par un utilisateur, étonné que la simple modification d’un nombre dans l’adresse URL du site web de la société lui permette d’accéder aux dossiers et pièces justificatives de candidats à la location.
Un contrôle en septembre 2018 met en lumière un manquement flagrant à la sécurité des données sur le plan du volume des données concernées et de la durée de la violation. Il est en effet question du téléchargement de plus de 9000 documents incluant « des copies de cartes d’identité, de cartes Vitale, d’avis d’imposition, d’actes de décès, d’actes de mariage, d’attestations d’affiliation à la sécurité sociale, d’attestations délivrées par la caisse d’allocations familiales, d’attestations de pension d’invalidité, de jugements de divorce, de relevés de compte, de relevés d’identité bancaire et de quittances de loyers ».
En outre malgré un signalement antérieur, le défaut de protection des données a persisté pendant une durée de plus de 6 mois avant que des mesures y mettent un terme.
Enfin la violation est aggravée par le fait que, de l’aveu de la société, les données des candidats à la location ne sont pas effacées une fois leur dossier classé et la candidature acceptée ou refusée.
Dans sa délibération du 28 mai, la CNIL constate donc un manquement à l’article 32(1) du RGPD, concernant les mesures raisonnables de protection des données. Elle insiste sur la durée du manquement, sur le grand nombre et l’aspect sensible et intime des données laissées sans protection.
En outre, la CNIL constate une violation des dispositions de l’article 5-1-e) du règlement relatif à la proportionnalité des délais de conservation des données ; pour l’autorité de contrôle, la société incriminée a aggravé son cas en conservant bien au-delà de la finalité originale les données relatives aux candidats n’ayant pas accédé à la location, qui auraient dû être supprimées dès la clôture de leur dossier.
Au vu de la gravité de ces manquements et du manque de diligence de la société dans leur gestion, la CNIL condamne cette dernière au paiement d’une amende de 400 000 euros, et à la publication de ladite sanction, sans mise en demeure préalable, et donc sans permettre à SERGIC de corriger les errements avant de décider de la sanction.
A ce sujet, la CNIL rappelle dans sa délibération qu’une mise en demeure n’est aucunement rendue obligatoire par les dispositions de la loi informatique et libertés de 1978 qui régit son action. Cette décision est ainsi à placer dans la continuité de l’affaire OPTICAL CENTER.
Le message de la CNIL est clair : pas de rattrapage pour les violations graves, la vigilance des responsables de traitement s’impose au plus fort.
Lire la délibération
14
juin
2019
Sanction de la CNIL : pas d’obligation de mise en demeure préalable confirmée par le Conseil d’Etat
Author:
teamtaomanews
Dans un arrêt du 17 avril 2019, l’autorité administrative suprême a refusé d’infirmer les sanctions prises par la CNIL contre la société OPTICAL CENTER, au motif que ces dernières n’auraient pas été précédées d’une mise en demeure permettant à la société de corriger les problèmes.
En 2017, une enquête de la CNIL initiée suite à plusieurs plaintes concernant OPTICAL CENTER a mis à jour le fait que la simple entrée d’URL dans un navigateur permettait l’accès à de nombreuses factures et bons de commande des clients de la société faute de restriction de l’accès aux données par la connexion à un espace personnel.
La CNIL a pris la décision de sanctionner d’une amende de 250.000 euros cette grave faille de sécurité, qui méconnaissait l’article 34 de la Loi Informatique et Libertés, sans mise en demeure permettant à la société de corriger les errements et alors que cette société avait déjà pris les mesures nécessaires à la correction du problème.
Cette décision a été portée devant le Conseil d’Etat qui, dans son arrêt du 17 avril 2019, a confirmé la décision et rappelé que la mise en demeure n’est pas une étape obligatoire préalable à la sanction et que l’article 45 de la loi du 6 janvier 1978 dispose que « Lorsque le manquement constaté ne peut faire l’objet d’une mise en conformité dans le cadre d’une mise en demeure, la formation restreinte peut prononcer, sans mise en demeure préalable et après une procédure contradictoire, les sanctions prévues ».
Le Conseil en déduit la possibilité pour la CNIL d’outrepasser l’étape de la mise en demeure lorsque cette dernière est clairement inutile ; soit que le manquement incriminé ne puisse être corrigé, soit, comme c’était le cas en l’espèce, qu’il y ait déjà été remédié.
Le Conseil d’État réduit toutefois la sanction d’OPTICAL CENTER, en jugeant que la CNIL, ne tenant pas compte de la promptitude de la société à réagir à ses demandes, a prononcé une sanction disproportionnée ; cette dernière sera donc ramenée à 200.000 euros.
Lire la décision complète
24
mai
2019
Compteurs Linky et RGPD, le courant passe bien
Author:
teamtaomanews
La Société Enedis devrait dans les prochaines semaines passer le cap des 20 millions d’unités en service pour le compteur électrique connecté Linky. Un chiffre symbolique quand on sait les réticences qu’a suscité cet appareil et les nombreux contentieux dont il a fait l’objet.
Dernier épisode dans la saga juridique du compteur, le juge des référés du TGI de Bordeaux a rejeté le recours collectif formé par plus de 200 personnes qui considéraient que l’appareil leur causait un trouble manifestement illicite ou les exposait un dommage imminent notamment eu égard au droit de la consommation et au principe de précaution en matière environnementale. Un troisième moyen était fondé sur la violation du Règlement général sur la protection des données (« RGPD ») et ses principes de transparence et de consentement éclairé. Les demandeurs soutenaient que la collecte et le traitement des données personnelles des utilisateurs du compteur seraient effectués sans leur consentement, et pour une utilisation qu’ils qualifiaient d’ « opaque ».
Le juge justifie son rejet de ce moyen en expliquant que les données collectées par Linky font l’objet d’« une anonymisation des informations pendant leur transmission, d’une part par leur cryptage, et d’autre part par l’absence de toute référence d’identification nominative ». Elles perdraient donc ainsi leur caractère personnel, identifié ou identifiable, nécessaire à l’application des mesures du Règlement. Le juge estime par ailleurs que les demandeurs n’ont pas apporté la preuve suffisante d’un traitement illicite des données collectées par Enedis. Seule victoire pour ces derniers, la pose d’un compteur dans un immeuble où résident des personnes hypersensibles aux ondes électromagnétiques devra s’accompagner d’un système de filtrage.
Cette ordonnance constitue, après les déboires de l’appareil avec la CNIL, une nouvelle validation de sa conformité avec le droit des données personnelles. Il a en effet été reproché l’an dernier à la société Direct Énergie (partenaire d’Enedis) de manquer à ses obligations quant au recueillement d’un consentement libre, éclairé et spécifique, au sens de l’article 7 de la loi Informatique et Libertés[1]. La société avait par la suite rectifié le tir, ce qui avait résulté en une clôture de la mise en demeure par la Commission[2].
Après cette décision qui adoubait Linky comme conforme à la Loi Informatique et Libertés, Le juge des référés du TGI de Bordeaux rejoint donc l’autorité de contrôle en reconnaissant la conformité du traitement au règlement, assurant sa légalité auprès de la nouvelle législation. Une décision à forte portée symbolique pour un appareil qui aura, dès sa conception, fait l’objet d’inquiétudes et d’un suivi particulièrement attentif sur le plan du traitement de données.
Référence et date : Tribunal de grande instance de Bordeaux, 23 avril 2019
Lire la décision sur Legalis
[1] CNIL, Décision MED n° 2018- 007 du 5 mars 2018 mettant en demeure la société DIRECT ENERGIE
[2] CNIL, Décision du 24 octobre 2018, Clôture de la décision n°MED-2018-007 du 5 mars 2018 mettant en demeure la société DIRECT ENERGIE
07
janvier
2019
Joyeux Noël Uber !! (signé la CNIL)
Author:
teamtaomanews
La formation restreinte de la Commission nationale de l’informatique et des libertés (CNIL) a rendu une délibération prononçant une sanction pécuniaire de 400 000 € à l’encontre de la société UBER France SAS, décision rendue publique en raison de la nécessité de sensibiliser les responsables de traitement de données à caractère personnel aux risques en matière de sécurité des données dans un contexte de multiplication de ce type d’incidents.
En novembre 2017, UBER TECHNOLOGIES avait révélé une faille de sécurité ayant permis à deux personnes extérieures à la société d’accéder à 57 millions de données par la récupération d’une clé d’accès au serveur via une plateforme de développement utilisée par les ingénieurs de la société Uber.
La délibération n’a pas été prise en application du Règlement 2016/679/UE[1] (RGPD) car les faits sont antérieurs au 25 mai 2018, mais tient compte des dispositions apportées par la loi pour une République numérique du 7 octobre 2016[2] et notamment la hausse du montant maximum des sanctions (passé de 150 000 euros à 3 millions d’euros). Pour autant, elle est à prendre en considération pour l’avenir, lorsque les plafonds du RGPD (jusqu’à 2 voire 4% du chiffre d’affaires annuel mondial total de l’exercice précédent selon le manquement) seront appliqués.
Ce qu’il faut retenir de la délibération :
Sur la qualification des acteurs en causes : la formation restreinte retient la coresponsabilité des entités UBER B.V (Pays Bas) et UBER TECHNOLOGIES INC. (Etats-Unis). En effet, si la société UBER B.V est considérée comme responsable du traitement en cause, la Commission relève, en se référant à un avis de l’ancien G29[3] sur les notions de responsable et de sous-traitant, que la société UBER TECHNOLOGIES INC. excède la marge de manœuvre dont peut disposer un sous-traitant[4] : « la multitude des champs d’action dans lesquels intervient la société UBER TECHNOLOGIES INC. témoignent du rôle déterminant qui est le sien dans la détermination des finalités et moyens du traitement ». Il ressort notamment des faits de l’espèce qu’UBER TECHNOLOGIES INC. :
est à l’origine de la solution visée par la violation de données, qui a été proposée à l’ensemble des entités du groupe qui n’ont fait que l’adapter aux exigences règlementaires lorsque cela était nécessaire ;
a géré les conséquences de la violation et pris des mesures suite à cette dernière – telles que la diffusion de l’article ayant révélé son existence ou la rédaction de documents clés en matière de gestion des données à caractère personnel et de directives applicables à toutes les entités du groupe ;
Sur le prononcé de l’amende à l’encontre de UBER France SAS : la formation restreinte reconnaît la coresponsabilité des entités UBER BV et UBER TECHNOLOGIES INC dans cette affaire, mais prononce une sanction pécuniaire à l’encontre d’UBER France SAS en application de la jurisprudence de la Cour de Justice européenne, et en particulier l’arrêt Wirtschaftsakademie Schleswig-Holstein du 5 juin 2018, aux termes duquel « lorsqu’une entreprise en dehors de l’Union dispose de plusieurs établissements dans différents Etats membres, l’autorité de contrôle d’un Etat membre est habilitée à exercer les pouvoirs que lui confère l’article 28, paragraphe 3 de cette directive[5] à l’égale d’un établissement de cette entreprise ». Ainsi, la formation restreinte considère qu’elle peut prononcer une sanction à l’encontre de la société UBER France SAS dans la mesure où elle est un établissement des sociétés UBER B.V et UBER TECHNOLOGIES INC et qu’au surplus, cette disposition ne contrevient pas au principe de personnalité des peines au vu de la nature des relations entre toutes ces entités et de l’intérêt qu’elles tirent de ces opérations de traitement.
Sur les manquements en cause : la formation restreinte rappelle au travers de sa délibération les points suivants en matière de sécurité des données (et ce même si de telles mesures impliquent de longs développements et ne concernent pas des données sensibles[6]) :
l’utilisation de solutions, même si celles-ci ne sont que des solutions de support technique, doit être soumise à des règles de sécurité adaptées aux risques qu’elles peuvent induire. Or, en l’espèce, si la solution ne permettait pas d’accéder aux données des utilisateurs ou aux serveurs directement, des informations transmises ou stockées sur celle-ci le permettait ;
les habilitations d’accès doivent être supprimées dès le départ d’un salarié ou la fin de mission d’un prestataire afin d’éviter tout risque d’accès distant a posteriori ;
les clés d’accès (ou identifiants d’accès) ne doivent pas être conservées en clair dans des fichiers ;
les accès distants doivent être sécurisés par des mesures telles que le filtrage des IP.
Il ressort de cette délibération un premier constat pour les groupes d’envergure mondiale comme Uber, à savoir que l’ingérence des entités globales dans la gestion des entités locales peut aboutir à une coresponsabilité desdites entités, cette ingérence pouvant résulter notamment, comme le relève la formation restreinte, de directives en matière de gestion des traitements de données, de solutions fournies, voire même, pourrait-on supposer, de la fourniture de modèles de clauses contractuelles ou de documents contractuels par la société mère.
Or, et c’est là le second constat, il existe une incertitude concernant les politiques « groupe » de mise en conformité au RGPD et de la désignation d’un DPO « groupe » alors que de telles mesures pourraient laisser percevoir une forme d’ingérence dans la gestion des traitements par les entités locales. La question se pose d’autant plus que le RGPD a eu pour conséquence de tels changements dans la gestion des risques liés aux traitements de données à caractère personnel que nombre de groupes ont favorisé des démarches globales de mise en conformité et une harmonisation de la documentation.
Référence et date : Délibération de la formation restreinte n° SAN-2018-011 du 19 décembre 2018 prononçant une sanction pécuniaire à l’encontre de la société UBER FRANCE SAS
Lire la délibération sur Legifrance
[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
[2] Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique
[3] Groupe de l’article 29 de la Directive 95/46/CE remplacé par le Comité à la protection des données depuis l’entrée en application du RGPD
[4] G29, avis n°1/2010 du 16 février 2010 sur les notions de responsable et de sous-traitant
[5] Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
[6] Les données sensibles sont celles visées par l’article 8 et 9 de la Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée
29
novembre
2018
Que retenir de la liste de traitements soumis à analyse d’impact publiée par la CNIL ?
Author:
teamtaomanews
Pour mieux comprendre : l’article 35 du Règlement général sur la protection des données de 2016 (ou RGPD) prévoit une obligation de « principe » de réaliser une analyse d’impact sur la vie privée (AIPD) lorsqu’un traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées ».
Afin d’assurer une interprétation uniforme de cette obligation au sein des États membres, l’article vise des typologies de traitements pour lesquels une AIPD est nécessaire et invite les autorités nationales de protection des données à établir deux types de listes :
une liste des types d’opérations de traitement pour lesquelles une analyse doit être réalisée ;
une liste des types d’opérations de traitement pour lesquelles aucune analyse ne doit être réalisée.
C’est dans ce contexte que la CNIL a publié une liste des types d’opérations de traitement devant faire l’objet d’une AIPD.
Un certain parallèle peut être effectué avec des cas d’autorisation qui existaient antérieurement à l’entrée en application du RGPD, tels que pour les traitements de données de localisation à large échelle (autorisation préalable de la CNIL prévue à l’article L.581-9 du code de l’environnement sur les systèmes de mesure automatique de l’audience ou d’analyse du comportement intégrés des dispositifs publicitaires), les alertes professionnelles ou encore les listes noires ou d’exclusion.
Cependant, la CNIL semble également se focaliser sur des traitements qui, jusque-là, pouvaient être considérés comme courants et dont la mise en œuvre n’était pas susceptible de porter atteinte à la vie privée ou aux libertés (ex : les traitements RH ou la prospection), ce qui leur permettait de bénéficier de procédures simplifiées auprès de la CNIL, mais qui, du fait de l’usage de nouveaux moyens technologiques ou décisionnels (ex : les algorithmes ou systèmes de géolocalisation) doivent à présent faire l’objet de davantage de précautions.
Les responsables de traitements ne peuvent donc plus se reposer sur la dichotomie entre les traitements qui étaient soumis à déclaration (les moins à risque) et ceux qui étaient soumis à autorisation (les plus à risque).
Ils doivent désormais, hormis les cas d’autorisation maintenus localement, vérifier si une analyse d’impact n’est pas requise au regard :
des cas visés par l’article 35 du RGPD, en se référant aux critères dégagés par l’ex-G29 (remplacé par le CEPD ou Comité européen à la protection des données) – qui retient que dès lors que deux critères sont remplis, l’analyse est requise ;
de la liste de la ou des autorité(s) de protection des données compétente(s) au regard du traitement (NB : ainsi pour les traitements transnationaux il sera nécessaire de vérifier pour chaque Etat membre concerné si une telle liste a été publiée).
Il convient enfin de veiller à l’évolution de certains traitements qui pourraient tomber sous le coup d’une obligation de réaliser une analyse d’impact dans le temps.
Lire la liste entière sur le site de la CNIL