Télétravail et conformité : aberration ou une simple question d’organisation ?

RGPD-Experts vous souhaite une belle rentrée !

Vous êtes employé et souhaitez prendre connaissance des nombreux mails reçus pendant vos congés depuis votre salon, pour fuir l’humour parfois douteux de vos collègues ou simplement mieux vous concentrer sur vos projets ? Vous êtes employeurs et souhaitez offrir un confort personnel à vos salariés en les laissant libres de planifier leurs journées de travail comme ils l’entendent ?

Quelles que soient vos motivations, vous êtes probablement nombreux à recourir au télétravail en ce retour de vacances.

Cette pratique, peu développée en France avant la crise sanitaire, s’est depuis généralisée et banalisée.

Cette forme d’organisation du travail induit, par définition, une manipulation à distance du patrimoine informationnel de l’entreprise. Le télétravail pose ainsi de nombreuses questions en termes de protection des données personnelles, c’est pourquoi il est essentiel que ses modalités de mise en œuvre soient rigoureusement encadrées, dans l’intérêt de tous.

ATTENTION – Tant qu’il détermine les finalités et moyens des traitements de données mis en œuvre par la société, l’employeur demeure « responsable de traitement » aux yeux de la loi. Le fait que les données soient exploitées voire stockées sur des équipements situés chez ses collaborateurs ne le décharge en aucun cas de sa responsabilité en cas non-conformité !

Conformité lors de l’instauration du télétravail

Le recours au télétravail doit, dans les entreprises privées, faire l’objet d’un accord formalisé avec l’employeur.

Au-delà d’un accord sur le principe même de ce travail en distanciel, nous vous conseillons de formaliser aussi les conditions précises de sa mise en œuvre, en concertation si possible avec les représentants du personnel.

Deux options s’ouvrent alors au responsable de traitement pour permettre aux membres de l’organisme de continuer à poursuivre leurs missions de chez eux :

① Soit il décide que le personnel ne pourra travailler que sur des outils fournis à cet effet, dédiés à leur activité professionnelle et paramétrés par la société (ordinateurs, tablettes, téléphones voire box Internet) ;

② Soit il les autorise à utiliser leurs terminaux personnels à des fins professionnelles, ce que l’on appelle plus communément le « BYOD » (pour l’anglais « Bring Your Own Device » ou, selon l’acronyme français « AVEC », « Apportez Votre Équipement personnel de Communication »).

Si cette solution apparaît souvent plus facile et moins coûteuse à mettre en œuvre pour les employeurs, elle présente un risque plus élevé en termes de protection des données personnelles.

Dans tous les cas, il est essentiel que l’organisme adopte une CHARTE INFORMATIQUE spécifique au télétravail, et accomplisse les démarches nécessaires pour que ce document acquiert une valeur contraignante.

À la fois outil d’information et de prévention, la charte informatique recense les bonnes pratiques devant être adoptées par les utilisateurs du réseau et du parc informatique de l’organisme, afin de se prémunir de toute difficulté. Ce document fait ainsi des collaborateurs des acteurs essentiels de la « culture de sécurité » de l’entreprise.

Nous vous incitons aussi, et surtout, à mener des ACTIONS DE SENSIBILISATION auprès de vos collaborateurs, pour leur expliquer l’intérêt de ces consignes de sécurité (sessions de formations, documentation disponible sur l’Intranet de l’entité, opérations de communication régulières (envoi de newsletters à ce sujet, réunions d’information, guides pratiques…).

Conformité pendant le télétravail

Que les membres de votre organisme télétravaillent depuis leurs propres appareils ou non, nous vous recommandons d’être vigilants sur la configuration de ces terminaux, par eux ou par vous. Des gestes simples participent à la protection des données personnelles de l’entreprise, tels que :

SUR LES POSTES DE TRAVAIL

Cloisonner les espaces de travail (créer des comptes distincts pros/persos, mettre en place des habilitations pour limiter l’accès à chaque espace aux personnels concernés, etc.);
Installer un antivirus et un pare-feu ;
Faire les mises à jour des systèmes d’exploitation proposées ainsi que des sauvegardes régulières, de préférence sur les infrastructures de l’entreprise et non des appareils privés.

POUR LES CONNEXIONS & COMMUNICATIONS

Limiter les besoins de connexion à Internet (notamment en recourant à un VPN) et, à défaut, configurer les Box Wifi en conséquence (supprimer les accès partagés et réseaux invités, mettre un mot de passe fort de connexion, activer la Wi-Fi en chiffrement WPA et non WPS, etc.);
Ne pas transmettre des données via des espaces de stockage collaboratifs ou publics (type « WeTransfer », ou via Internet) ;
Utiliser des moyens de communication chiffrés de bout en bout, protégés par des codes d’accès et, si nécessaire, envoyer les clés de déchiffrement à votre interlocuteur via un canal de communication distinct (exemple: code de connexion à une application transmis par SMS par exemple) ;
Ne télécharger et n’utiliser que des interfaces autorisées par l’entreprise ;
Sensibiliser les collaborateurs pour identifier et éviter les tentatives d’hameçonnage.

L’employeur doit veiller à ce que les conditions d’exécution du télétravail ne portent pas atteinte au droit au respect de la vie privée de ses salariés.

Exemple : il doit inciter ses collaborateurs à utiliser des systèmes de visioconférence de confiance (développés et hébergés dans un pays soumis au Règlement Général sur la Protection des Données), et poser des instructions claires pour les protéger (possibilité de ne pas démarrer la vidéo, option de floutage automatique de l’arrière-plan, etc.).

S’il peut être tentant pour l’employeur de vérifier que les membres du personnel sont pleinement dévoués à leurs tâches, de chez eux, il lui est formellement interdit de recourir à des méthodes de surveillance constante des salariés (mise en place d’une webcam ou d’un partage d’écran permanent, obligation de pointage régulier, consultation d’un historique de connexion détaillé…).

Pour mémoire, les dispositifs de contrôle ponctuels des employés ne peuvent être instaurés que s’ils sont proportionnés et adéquats au but poursuivi, après que les salariés ont été informés de leur installation, et avoir consulté les représentants du personnel à ce sujet.

Remarque : ces éventuelles méthodes de contrôle constituent des traitements de données devant figurer sur le registre des activités de traitement de l’organisme. Compte tenu du risque qu’ils présentent pour les droits des personnes concernées, ceux-ci doivent par ailleurs, pour la plupart, faire l’objet d’une Analyse d’Impact relative à la Protection des Données (AIPD).

A supposer d’ailleurs qu’il faille contrôler le travail effectué à distance par les salariés.

D’après Pôle Emploi, reprenant une étude réalisée par le cabinet Gartner, 55% des salariés en télétravail afficheraient un niveau d’efficacité élevé[1].

Conformité au-delà du télétravail

Puisqu’il suppose une prise de fonction à domicile, le télétravail est susceptible de brouiller la frontière entre la vie personnelle et la vie professionnelle des télétravailleurs.

Afin d’assurer le bien-être de vos collaborateurs, il est donc essentiel de prévoir dans votre charte informatique les mesures garantissant le respect de leur DROIT A LA DÉCONNEXION.

Suppression des temps de transport, gain de flexibilité et meilleure efficacité : le télétravail présente des avantages indéniables tant pour les salariés que les entreprises. Mais, en distanciel, l’employeur perd une certaine maîtrise physique et juridique des terminaux de ses salariés.

S’il est mal encadré, le télétravail peut ainsi être à l’origine de nombreuses dérives, toutes préjudiciables à l’entreprise : failles de sécurité, violation des données, atteinte aux droits et libertés individuels des collaborateurs, etc. Outre les risques d’une condamnation administrative voire pénale de l’organisme en cas de manquement à ses obligations légales en matière de protection des données personnelles, les enjeux sont considérables pour la réputation de l’organisme, à l’heure où la conformité des sociétés participe de leur bonne image de marque.

De la rédaction d’une charte informatique contraignante à la formation de vos collaborateurs, en passant par un rappel des points de vigilance à retenir pour organiser le travail à distance de vos équipes : les professionnels de RGPD-Experts sont naturellement à votre disposition pour vous guider dans la mise en place d’un télétravail conforme.

Pour plus de renseignements, rendez-vous sur : https://www.rgpd-experts.com/contactez-rgpd-experts/

L.H

[1] Pôle Emploi, « Télétravail : où en est-t-on », 28 déc. 2022, https://www.pole-emploi.org/accueil/actualites/2022/teletravail–ou-en-est-on.html?type=article#:~:text=Cette%20dynamique%20vertueuse%20renforce%20aussi,36%20%25%20des%20salari%C3%A9s%20en%20pr%C3%A9sentiel.

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

Portables, ordinateurs, montres connectées : futurs mouchards dans votre domicile

dans Actualités

Présenté au Conseil des ministres le 03 mai 2023 et adopté en première lecture par le Sénat le 13 juin 2023, le projet de loi d’orientation et de programmation du ministère de la justice 2023-2027 a pour ambition de renforcer les moyens de ce ministère. Mais au-delà d’augmenter le budget de l’État consacré à la Justice, ce projet de loi comporte plusieurs dispositions destinées à « simplifier et améliorer » la procédure pénale. Parmi les réformes envisagées, celle prévue par l’article 3 de la loi est largement controversée.

► Pourquoi l’article 3 de ce projet de loi est-il si décrié ?

Ce texte vise notamment à autoriser les enquêteurs à activer à distance un appareil électronique pour géolocaliser, écouter ou visualiser à son insu son détenteur, via ses données de localisation, sa caméra ou son micro.

En l’état des discussions parlementaires, les éventuels nouveaux articles 230-34-1 et 706-96-2 du Code de procédure pénale seraient ainsi rédigés[1] :

Projet d’article 230-34-1 alinéa 1 : « Lorsque les nécessités de l’enquête ou de l’instruction relative à un crime ou un délit puni d’au moins cinq ans d’emprisonnement l’exigent, le juge des libertés et de la détention, à la requête du procureur de la République, ou le juge d’instruction peut autoriser, dans les mêmes conditions que celles mentionnées aux 1° et 2° de l’article 230-33, l’activation à distance d’un appareil électronique à l’insu ou sans le consentement de son propriétaire ou possesseur aux seules fins de procéder à sa localisation en temps réel. La décision comporte alors tous les éléments permettant d’identifier cet appareil. »

Projet d’article 706-96-2 alinéa 1 : « Le juge des libertés et de la détention, à la requête du procureur de la République, ou le juge d’instruction, après avis du procureur de la République, peut autoriser l’activation à distance d’un appareil électronique à l’insu ou sans le consentement de son propriétaire ou de son possesseur aux seules fins de procéder aux opérations mentionnées à l’article 706-96[2]. La durée d’autorisation mentionnée au premier alinéa de l’article 706-95-16 est alors réduite à quinze jours renouvelables une fois. Celle mentionnée au deuxième alinéa de ce même article est réduite à deux mois, sans que la durée totale d’autorisation des opérations ne puisse excéder six mois. »

Certes, des obligations différentes incombent aux autorités compétentes lorsqu’elles mettent en œuvre des traitements de données à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites.

Effectivement, les autorités publiques doivent se soumettre non pas aux exigences issues du Règlement Général sur la Protection des Données (RGPD), qui a une vocation plus universelle, mais à celles édictées par la Directive n°2016/680 du 27 avril 2016 dite Directive « Police-Justice », qui instaurent plusieurs dérogations à la législation générale pour les traitements de données intervenant en matière pénale[3].

► Les conséquences et possibles dérives de cette technique d’enquête

Si le projet de loi cantonne pour l’heure ces mesures à certaines enquêtes (celles relatives à des crimes ou délits punis d’au moins 5 ans d’emprisonnement ou des infractions relevant du terrorisme et de la criminalité organisée) et les conditionne à l’obtention d’autorisations préalables de différents magistrats, ces dispositifs n’en restent pas moins considérablement attentatoires aux droits et libertés individuelles.

Les données personnelles de tout à chacun pourraient ainsi être collectées et analysées sans que les personnes concernées n’en aient même conscience.

Ces techniques sont des plus intrusives. Elles permettent aux services de police de s’immiscer dans l’intimité même des individus visés, par l’intermédiaire d’équipements que nous utilisons quotidiennement dans des lieux privés (smartphones, ordinateurs, montres ou voitures connectées, etc.). Cette surveillance des moindres faits et gestes des personnes ciblées induit le recueil de données particulièrement sensibles les concernant, et potentiellement sans rapport avec les faits qu’elles seraient soupçonnées d’avoir commis (pratiques sexuelles ou religieuses, convictions politiques, etc.).

L’adoption de cette mesure est inquiétante à bien des égards.

De nombreux avocats ont d’ores et déjà dénoncé ce projet de réforme. Le 08 juin 2023, le Conseil national des barreaux a adopté une résolution, aux termes de laquelle il demande le retrait de cette hypothétique nouvelle technique d’enquête[4]. Il estime qu’elle constitue une atteinte disproportionnée au droit à la vie privée et au secret professionnel, non justifiée par la « nécessité » affichée par les forces de l’ordre de pouvoir recourir à ces méthodes.

Le Conseil national des barreaux s’étonne par ailleurs que la CNIL[5] n’ait pas été saisie de cette réécriture du Code de procédure pénale actuellement débattue. Il apparaît indispensable que l’autorité administrative émette un avis sur la potentielle instauration d’une telle activation à distance d’appareils électroniques placés entre les mains de particuliers, ou à défaut qu’elle indique sa position sur les éventuelles modalités de mise en œuvre de ce dispositif.

* * *

L’équipe de RGPD-Experts ne manquera pas de vous tenir informés des suites données à ces débats parlementaires, qui attirent toute son attention.

Comme tous les autres responsables de traitement, l’administration reste en effet tenue de respecter ses obligations légales en matière de protection des données, dans l’intérêt de tous.

L.H

^[1] « Projet de loi d’orientation et de programmation du ministère de la Justice 2023-2027 », Texte n° 569 (2022-2023) de M. Éric DUPOND-MORETTI, garde des sceaux, déposé au Sénat le 3 mai 2023 : https://www.senat.fr/leg/pjl22-569.html

[2] L’article 706-96 du Code de procédure pénale est actuellement formulé en ces termes : « Il peut être recouru à la mise en place d’un dispositif technique ayant pour objet, sans le consentement des intéressés, la captation, la fixation, la transmission et l’enregistrement de paroles prononcées par une ou plusieurs personnes à titre privé ou confidentiel, dans des lieux ou véhicules privés ou publics, ou de l’image d’une ou de plusieurs personnes se trouvant dans un lieu privé. »

[3] Pour en savoir plus sur la Directive « Police-Justice », nous vous invitons à consulter l’onglet dédié à ce sujet sur le site de la CNIL, accessible sur l’adresse suivante : https://www.cnil.fr/fr/directive-police-justice-de-quoi-parle-t

[4] « Résolution du Conseil national des barreaux contre l’article 3 de la loi d’orientation et de programmation du ministère de la Justice concernant l’activation à distance des objets connectés », 08 juin 2023 : https://encyclopedie.avocat.fr/GEIDEFile/CNB-RE_LDH_Article-3-projet-loi-orientation-programmation-ministere-Justice_[P].pdf?Archive=131574695975&verif=480312480315473152476325480304450536478530470024488829470114

[5] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

Depuis plus de 18 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

Procédure de sanction de la CNIL

dans Actualités, Thématiques

Procédures répressives de la CNIL : pourquoi faire compliqué lorsque l’on peut faire simple ?

La Commission Nationale de l’Informatique et des Libertés[1] (CNIL) publie aujourd’hui presque quotidiennement l’annonce d’une nouvelle sanction prise contre un responsable de traitement fautif. Parmi elles, les décisions résultant d’une procédure simplifiée se multiplient.

MAIS QUELLE EST DONC CETTE PROCÉDURE ?

Depuis près d’un an, la CNIL dispose d’un outil supplémentaire pour sanctionner les responsables de traitement non conformes : la procédure simplifiée. Et pour cause, afin de faire face à l’afflux des plaintes reçues, l’autorité de contrôle n’a pas eu d’autres choix que de réformer ses méthodes répressives[2].

Il devenait en effet essentiel de simplifier la procédure de contrôle originellement suivie par la CNIL (dite « ordinaire ») pour lui permettre d’investiguer sur TOUS les manquements à la législation en vigueur en matière de protection des données personnelles, aussi minimes puissent-ils paraître.

C’est dans ce cadre qu’a été adopté l’article 22-1 de la loi Informatique et Libertés du 06 janvier 1978[3]. Cette nouvelle disposition assouplit les obligations imposées au gendarme français de la protection des données pour enquêter et éventuellement poursuivre les organismes manquant à leurs obligations légales.

L’autorité de contrôle ne souhaitait pas concentrer son temps, son énergie et ses moyens financiers à enquêter seulement sur les dossiers « graves », au risque d’assurer l’impunité de tous les autres organismes blâmables.

EN QUOI CETTE PROCÉDURE EST-ELLE SIMPLIFIÉE ?

Si l’ouverture d’une procédure ordinaire ou simplifiée trouve généralement leur source dans des motifs identiques (plaintes, coopération, auto-saisine de la CNIL…), les modalités dans lesquelles se déroulent ces contrôles diffèrent.

Des situations moins complexes

La procédure simplifiée a vocation à être mise en œuvre dans les cas ne présentant aucune difficulté juridique ou factuelle (aucun débat subsistant sur les questions de fait et de droit, décisions similaires déjà rendues par la CNIL, affaire relevant d’une jurisprudence établie, etc.). Le dossier doit être simple comme bonjour.

Il faut également que la gravité des faits soit relative, pour que la ou les réponse(s) appropriée(s) à ces violations puisse(nt) faire partie des trois mesures pouvant être ordonnées dans le cadre d’une procédure simplifiée.

Des sanctions limitées

Lors d’une procédure simplifiée, l’autorité régulatrice ne peut pas faire usage du large panel de sanctions dont elle dispose à l’occasion des procédures ordinaires. Elle ne peut prononcer que :

Un rappel à l’ordre ;
ET / OU une amende administrative d’un montant maximum de 20 000 € ;
AVEC OU SANS astreinte, plafonnée à 100 € par jour de retard.

Si ces sanctions ne peuvent pas être rendues publiques, contrairement à celles prononcées à l’issue d’une procédure ordinaire, la CNIL peut se déplacer sur site pour réaliser ses actes d’enquête. Difficile, dans ces conditions, de garder cette procédure simplifiée parfaitement secrète. Les responsables de traitement ne sont donc pas à l’abri que ces investigations portent malgré tout significativement atteinte à leur réputation…

« Procédure simplifiée » ne rime pas avec « simple contrôle » Les conséquences pour l’organisme ne sont pas à prendre à la légère ! La perte de confiance du public est économiquement plus risquée encore que les sanctions administratives encourues.

Des organes répressifs plus faciles à mobiliser

Pour initier la procédure simplifiée, la Présidente de la Commission doit saisir à cet effet le Président de la formation restreinte[4], qui désignera alors à son tour un agent de la CNIL chargé d’instruire le dossier.

Rien n’oblige la Présidente de la CNIL à recourir à une procédure simplifiée. Il s’agit d’une décision discrétionnaire de sa part, si le dossier apparaît pouvoir être examiné selon ces modalités. De la même manière, le Président de la formation restreinte peut à tout moment choisir de renvoyer l’affaire vers une procédure de sanction ordinaire.

L’agent de la CNIL désigné devra, après avoir éventuellement entendu le mis en cause ou procédé à des vérifications complémentaires, rédiger un rapport sur les manquements reprochés à l’organisme. Il doit, si des violations sont constatées lors de la clôture des investigations, proposer une ou plusieurs des trois mesures de sanctions possibles.

Contrairement à la procédure ordinaire, la procédure simplifiée est en principe écrite, ce qui implique qu’il ne se tient normalement aucune séance publique pour débattre des faits.

Le Président de la formation restreinte ou un membre de la CNIL désigné par lui statue purement et simplement, seul, sur les documents mis à sa disposition – là où l’ensemble des membres de la formation restreinte délibère sur le cas qui leur est soumis dans la procédure ordinaire. Un débat (non public) ne sera organisé que si l’organise mis en cause la demande. Ce dernier pourra alors présenter oralement ses observations, uniquement devant le rapporteur et le Président de la formation restreinte.

Des étapes allégées, mais des droits identiques

Cette simplification du déroulement de la procédure ne doit pas conduire à une réduction des prérogatives reconnues aux responsables de traitement mis en cause. Ceux-ci disposent notamment :

Des mêmes délais de procédure. L’organisme bénéficie ainsi d’un délai d’un mois pour présenter ses observations sur le rapport dressé par l’agent de la CNIL, qui pourra à son tour y répondre dans un délai d’un mois ;
Du même droit à une procédure contradictoire, c’est-à-dire qu’ils doivent avoir connaissance des arguments qui seront soumis à l’appréciation de l’autorité de contrôle. Les organismes ont notamment le droit d’accéder à leur dossier une fois l’instruction clôturée.
Du même droit, d’être assisté et/ou représenté par un avocat.

QUEL BILAN POUR LA PROCÉDURE SIMPLIFIÉE ?

La CNIL a déclaré n’avoir eu recours qu’à quatre reprises à la procédure simplifiée en 2022[5]. Nous attirons votre attention sur le fait que ce chiffre relativement faible ne révèle pas un désintérêt de l’autorité régulatrice pour cette procédure, bien au contraire.

Pour rappel, la procédure simplifiée ne peut être mise en œuvre que depuis le mois d’avril 2022. Compte tenu des délais d’investigation et d’échanges d’observations, les premières décisions rendues dans ce cadre commencent donc seulement à être publiées. Rien qu’entre les mois de janvier et mars 2023, la CNIL a ainsi émis pas moins de sept nouvelles sanctions prises dans ce cadre.

QUAND	QUI	QUOI	POURQUOI
Le 23/01/2023	Société de conseil en systèmes et logiciels informatiques.	Amende de 5 000 € et injonction	Violation des règles applicables en matière de : – Coopération avec la CNIL ; – Consentement (cookies) et d’information des personnes ; – Droit à l’effacement ; – Registre des activités de traitement ; – Mesures de sécurité.
Le 08/02/2023	Commune.	Amende de 5 000 € et injonction.	Violation des règles applicables en matière de : – Coopération avec la CNIL ; – Désignation obligatoire d’un délégué à la protection des données.
Le 08/02/2023	Médecin généraliste.	Amende de 3 000 € et injonction.	Violation des règles applicables en matière de : – Coopération avec la CNIL ; – Droit d’accès des personnes concernées.
Le 08/02/2023	Société exerçant une activité de détail d’habillement en magasin spécialisé	Amende de 10 000 € et injonction.	Défaut de coopération avec la CNIL.
Le 03/03/2023	Société exerçant une activité de sécurité privée.	Amende de 15 000 €.	Violation des règles applicables en matière de : – Minimisation des données ; – Information des personnes ; – Registre des activités de traitement.
Le 28/03/2023	Société de programmation informatique.	Amende de 20 000 €.	Violation des règles applicables en matière de : – Encadrement des relations entre le responsable de traitement et le sous-traitant ; – Mesures de sécurité.
Le 28/03/2023	Société de marketing.	Amende de 10 000 € et injonction.	Défaut de coopération avec la CNIL.
Le 28/03/2023	Société de marketing.	Amende de 10 000 € et injonction.	Défaut de coopération avec la CNIL.

[1] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[2] Nous vous parlions déjà de la réforme des procédures répressives de la CNIL dans un précédent article sur le sujet, disponible à l’adresse suivante : https://www.rgpd-experts.com/cnil-nouvelles-sanctions-et-nouvelles-procedures/

[3] Issu de la loi n°2022-52 du 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure, et de son décret d’application n°2022-517 du 08 avril 2022.

[4] La formation restreinte était habituellement l’organe répressif de la CNIL, jusqu’à l’adoption de la procédure simplifiée. Composée de 5 membres et d’un Président distinct de celui de la CNIL, elle demeure l’organe répressif compétent si l’affaire suit la procédure ordinaire.

[5] « Procédure de sanction simplifiée : la CNIL présente son premier bilan 2022 », 31 janvier 2023 : https://www.cnil.fr/fr/procedure-de-sanction-simplifiee-la-cnil-presente-son-premier-bilan-2022

Designs trompeurs

dans Actualités, Thématiques

Un réseau social distrayant, ça trompe énormément ?

Le 14 février 2023, le Comité européen de la Protection des Données[1] a adopté trois nouvelles lignes directrices, dont l’une vise à éviter l’utilisation de « designs trompeurs » sur les réseaux sociaux[2].

Le sujet vous intéresse, mais vous n’êtes pas certain d’avoir compris l’essentiel de ces 74 pages disponibles, pour l’heure, exclusivement en anglais ? RGPD-Experts a analysé pour vous les points majeurs à retenir de ces lignes directrices !

Ces préconisations ne s’arrêtent pas aux seuls réseaux sociaux, et sont bien évidemment transposables à toutes les autres plateformes (site Internet, applications mobiles, etc.).

Les « designs trompeurs » : késako ?

Le CEPD entend par l’expression « designs trompeurs » les techniques de conception d’une interface ayant pour objet ou pour effet d’influencer le comportement d’un utilisateur. Plus généralement, il s’agit de tous les procédés susceptibles d’inciter l’internaute à prendre des décisions non désirées ou inconscientes à son détriment – ou en faveur du réseau social – concernant la protection de ses données personnelles.

Ces méthodes sont multiples, et empêchent les internautes d’être véritablement acteurs de la protection de leurs données personnelles.

Les « designs trompeurs » : comment les reconnaître ?

Sans le savoir, nous sommes confrontés en permanence à ces designs pourtant prohibés. Le CEPD les classe selon différentes catégories :

Selon leurs effets sur le comportement de l’utilisateur : surcharge d’informations, utilisation des émotions, obstruction, maintien des personnes concernées dans une incertitude sur les pratiques du réseau et sur leurs droits en matière de protection des données, etc.
Selon leurs types : certains designs sont trompeurs dans leur contenu (formulation de phrase équivoque, déclarations, sorties de leur contexte, etc.), d’autres le sont dans leur forme (couleurs de l’interface, typographie, etc.).

EXEMPLE DE DESIGNS TROMPEURS

Effets sur les comportement de l’utilisateur	Moyen trompeur utilisé par le responsable de traitement	Types de designs trompeurs	Exemples
EFFET DE « SURCHARGE » : Les internautes sont noyés sous une avalanche d’informations afin de les inciter à partager davantage de données ou à autoriser sans le vouloir plus d’opérations de traitement sur leurs données.	L’incitation en continu : elle consiste à pousser l’internaute à céder aux demandes du réseau en lui répétant de donner plus de données ou à consentir à l’utilisation de ses données à des fins particulières.	Contenu trompeur	L’apparition permanente de « pop-up » en ce sens pendant la lecture d’un article.
EFFET DE « SURCHARGE » : Les internautes sont noyés sous une avalanche d’informations afin de les inciter à partager davantage de données ou à autoriser sans le vouloir plus d’opérations de traitement sur leurs données.	L’excès d’options : le responsable de traitement offre tellement de possibilités à la personne concernée pour configurer ses préférences / faire ses choix pour gérer ses données que celle-ci finit par abandonner sa démarche.	Contenu trompeur	Ne pas proposer un bouton « tout refuser » lorsque l’utilisateur doit choisir pour quelles finalités il accepte ou non le dépôt de cookies sur son terminal. Las de devoir décocher les consentements donnés par défaut, finalité par finalité, celui-ci pourrait être tenté de finalement accepter la présélection faite pour gagner du temps.
EFFET DE « SURCHARGE » : Les internautes sont noyés sous une avalanche d’informations afin de les inciter à partager davantage de données ou à autoriser sans le vouloir plus d’opérations de traitement sur leurs données.	Le labyrinthe : l’internaute peine à obtenir une information / faire une action, car il est contraint de passer par de nombreuses étapes pour y arriver, sans disposer d’une vision globale du schéma qu’il doit suivre pour y parvenir.	Interface trompeuse	Selon les droits qu’il veut exercer, l’internaute trouve les informations pertinentes à ce sujet dans la « foire aux questions » du site, puis sur son compte personnel, lesquels renvoient ensuite selon les cas à la politique de protection des données ou à un formulaire spécifique.
EFFET « INCITATEUR » : ce procédé affecte les choix des utilisateurs en jouant sur leurs émotions ou via des suggestions visuelles.	Le « pilotage » émotionnel : des éléments visuels (couleurs, images, style) sont utilisés pour rendre positives certaines actions de l’internaute pourtant préjudiciables ou, à l’inverse, lui faire peur / le culpabiliser à tort pour l’encourager à agir dans le sens voulu par l’organisme.	Contenu trompeur	Un réseau social propose à l’internaute de partager sa localisation sous ces termes : « Hey toi ! Tu te sens seul aujourd’hui ? Envie de voir du monde ? Partage ta localisation et regarde si tes amis sont à proximité ! »
EFFET « INCITATEUR » : ce procédé affecte les choix des utilisateurs en jouant sur leurs émotions ou via des suggestions visuelles.	La dissimulation de renseignements « à la vue de tous » : les informations sont bien communiquées, mais en réalité cachées aux utilisateurs grâce à diverses méthodes.	Interface trompeuse	Le lien permettant d’accéder à la politique de protection des données de l’organisme est accessible via un lien écrit en tout petit, de couleur jaune pâle sur une page de fond blanc.
EFFET « D’OBSTRUCTION » : cette technique vise à empêcher ou bloquer les informations/actions des internautes pour conserver la maitrise de leurs données.	Les longueurs excessives : le responsable de traitement impose à l’utilisateur un nombre important et inutile d’étapes pour activer certaines options, ou détaille inutilement certaines informations pour l’embrouiller.	Interface trompeuse	Un individu tente de se désabonner d’une newsletter. Afin de valider sa demande, l’organisme lui demande : 1) De cliquer sur un 1er lien, 2) Puis de renseigner son adresse mail, 3) De confirmer après son souhait grâce au courriel envoyé, 4) D’indiquer pourquoi il souhaite se désabonner, 5) D’évaluer enfin le service/commerçant
EFFET « D’OBSTRUCTION » : cette technique vise à empêcher ou bloquer les informations/actions des internautes pour conserver la maitrise de leurs données.	Les actes trompeurs : la divergence entre l’information donnée et l’acte pour y parvenir est susceptible de duper l’utilisateur.	Interface trompeuse	Lors de la validation d’une commande sur Internet, le client a été conduit sans le savoir vers un site d’épargne en ligne de type Paypal, Lydia, etc. Pensant remplir un formulaire permettant la livraison de son achat, il est en réalité en train d’ouvrir un compte sur ces applications bancaires.
EFFET « D’OBSTRUCTION » : cette technique vise à empêcher ou bloquer les informations/actions des internautes pour conserver la maitrise de leurs données.	Les impasses : les utilisateurs ne peuvent techniquement pas finaliser leurs actions	Interface trompeuse	Lorsque l’internaute clique sur le lien destiné à retirer le consentement qu’il avait initialement donné à l’utilisation de ses données, il est redirigé vers une page inexistante.
EFFET « DE CONFUSION » : l’information est donnée ou l’interface organisée de telle façon que les utilisateurs ne peuvent pas comprendre les pratiques du réseau social en matière de protection des données ou les modalités d’exercice de leurs droits.	Les informations contradictoires	Contenu trompeur	Il est indiqué tour à tour à l’internaute d’exercer ses droits directement auprès du Délégué à la protection des données, puis auprès d’une personne référente ayant d’autres coordonnées.
EFFET « DE CONFUSION » : l’information est donnée ou l’interface organisée de telle façon que les utilisateurs ne peuvent pas comprendre les pratiques du réseau social en matière de protection des données ou les modalités d’exercice de leurs droits.	Les formulations ambiguës	Contenu trompeur	La politique de protection des données de l’organisme mentionne : « Nous utilisons vos données pour nous permettre de poursuivre nos différentes activités. Nous ne les conservons pas plus que le temps strictement nécessaire à cela ». Ces termes vagues et génériques ne permettent pas à l’internaute de comprendre l’utilisation réellement faite de ses données.
EFFET « D’INSTABILITÉ » : la conception de la plateforme est désorganisée et ne permet pas aux internautes d’utiliser correctement les outils lui permettant de gérer la protection de leurs données personnelles.	Les « ruptures » de langage	Contenu trompeur	Alors que toute l’application est en français, la politique de protection des données de l’organisme est en anglais.
EFFET « D’INSTABILITÉ » : la conception de la plateforme est désorganisée et ne permet pas aux internautes d’utiliser correctement les outils lui permettant de gérer la protection de leurs données personnelles.	Les interfaces incohérentes : la présentation de l’application ou du site n’est pas conforme aux attentes raisonnables de l’utilisateur, ce qui est source de confusion.	Contenu et interface trompeur	Les options de l’internaute pour configurer ses données sont toujours présentées de la moins protectrice à la plus protectrice, sauf à la dernière question. Dans ces conditions, le dernier choix de l’utilisateur pourrait être faussé s’il répond par réflexe selon la même logique que celle appliquée jusqu’alors.
EFFET « D’INSTABILITÉ » : la conception de la plateforme est désorganisée et ne permet pas aux internautes d’utiliser correctement les outils lui permettant de gérer la protection de leurs données personnelles.	Les décontextualisations : l’information cherchée par l’internaute ne peut pas être trouvée dans un endroit intuitif pour lui.	Interface trompeuse	Les options de configuration des préférences de l’internaute en matière de protection des données sont accessibles dans la section « mes éléments », ce que l’intitulé ne permet pas de deviner.
EFFET DE « DISTRACTION » : le site ou l’application est conçue de telle manière que les utilisateurs vont oublier / ne pas penser aux questions liées à la protection de leurs données personnelles.	Le détournement d’attention : il s’agit de mettre en concurrence les informations relatives à la protection des données avec d’autres informations, afin de dévier l’internaute de ces questions.	Interface trompeuse	Une bannière affiche la politique du réseau social en matière de cookies ainsi : « Nous avons créé pour vous la recette des meilleurs cookies jamais cuisinés. Pour connaître les ingrédients, cliquez sur ce lien : « xxx ». Notre site utilise lui aussi des cookies. Si vous voulez en savoir plus, cliquez ici : « yyy ». »
EFFET DE « DISTRACTION » : le site ou l’application est conçue de telle manière que les utilisateurs vont oublier / ne pas penser aux questions liées à la protection de leurs données personnelles.	Les suggestions trompeuses : ces procédés visent à instaurer une divergence entre ce que l’utilisateur veut et ce qu’il peut obtenir, afin de le décourager dans ses actions.	Interface trompeuse	Demander à l’utilisateur s’il veut rendre son profil : – Confidentiel – Accessible à ses amis seulement ; – Ou public ; Tout en pré cochant et mettant en évidence l’option la plus défavorable pour la protection de ses données personnelles., à savoir « public ».

Les « designs trompeurs » : pourquoi les éviter ?

Ces « designs trompeurs » violent plusieurs dispositions fondamentales du RGPD, et notamment :

Le principe de loyauté (art. 5(1)(a) du RGPD) : les responsables de traitement ne doivent pas traiter les données personnelles d’une manière inattendue, préjudiciable, fallacieuse ou discriminatoire pour les personnes concernées.
Le principe de minimisation des données (art. 5(1)(b) RGPD) : les responsables de traitement ne peuvent pas collecter autant d’informations sur les internautes qu’ils ne le veulent. Ils sont tenus de limiter le recueil de ces renseignements aux seules données personnelles adéquates et pertinentes au regard des objectifs poursuivis par la collecte de ces données.
Le principe de transparence (art. 5(1)(a) & 12 RGPD): les informations relatives aux pratiques et règles applicables en matière de protection des données personnelles doivent être formulées de façon concise, intelligible et facilement accessible pour les personnes concernées.
Les règles relatives à la gestion du consentement (art. 4 & 7 RGPD) : lorsque la base légale justifiant le traitement de données est celle du consentement de l’internaute, le responsable de traitement doit mettre en œuvre les mesures appropriées pour s’assurer que le consentement de ce dernier a été donné par un acte positif clair, et qu’il remplit certaines conditions de validité (consentement libre, spécifique, éclairé et univoque). Il appartient également au responsable de traitement de prévoir des dispositifs permettant à l’utilisateur de revenir aisément et à tout moment sur son accord initial.
Les règles relatives aux droits des personnes concernées (art. 12 à 23 RGPD) : le responsable de traitement est non seulement tenu d’informer les internautes des droits dont ils disposent sur leurs données personnelles, mais il doit aussi leur permettre de les exercer sans obstacle (droit d’être informé, droit d’accès, de rectification, à l’effacement de leurs données, etc.).

Le CEPD insiste sur le fait que ces règles doivent être respectées durant toute l’expérience de l’utilisateur sur la plateforme, de la création de son compte personnel sur le réseau social à sa clôture, en passant par la configuration ultérieure de son profil et l’exercice de ses droits.

Les responsables de traitement des pages Web et applications non conformes engagent donc leur responsabilité s’ils recourent à ce type de présentations insidieuses.

ATTENTION : au-delà du RGPD, ces « designs trompeurs » peuvent violer d’autres législations, notamment issues du droit de la consommation

Les « designs trompeurs » : comment les bannir ?

Ces dérives sont répandues, sans que cela ne soit nécessairement voulu par les responsables de traitement.

Nous vous rappelons que le RGPD les oblige pourtant à respecter le principe cardinal du « privacy by design and by default », c’est-à-dire de développer leur plateforme de telle manière qu’elle soit protectrice des données personnelles de leurs utilisateurs dans leur conception même, sans que l’internaute n’ait besoin de configurer l’interface en ce sens.

Cette règle est particulièrement vraie lorsque le site ou l’application vise un public de personnes vulnérables à cet égard (enfants, personnes âgées, etc.).

Pour éviter ces écueils, il convient d’avoir à l’esprit quelques bonnes pratiques. Nous vous recommandons notamment : – De prévoir plusieurs niveaux d’information (des renseignements « de base » aux plus approfondis), et d’utiliser des raccourcis / liens afin de rediriger les utilisateurs directement vers les informations qu’ils recherchent. – De rédiger vos informations avec des termes clairs et reflétant la réalité de votre activité (politique de protection des données, politique de cookies, etc.). Hiérarchisez vos propos et définissez les mots que vous employez. Utilisez des exemples pour expliquer vos pratiques, la façon dont les internautes peuvent gérer leurs données ou exercer leurs droits. Expliquez-leur aussi les conséquences de leurs actions. Bref : rendez la lecture de ces documents le plus facile et agréable possible ! – De concentrer en un seul endroit les options ouvertes aux utilisateurs pour gérer leurs préférences en matière de protection des données personnelles, et de les désigner avec des intitulés évidents (gestion du consentement, exercice des droits, etc.). – D’utiliser un code couleur ou une typologie permettant aux internautes de distinguer clairement les éléments relatifs à la protection de leurs données personnelles des autres sujets. – De mettre en évidence une seule et unique personne de contact à qui les internautes peuvent adresser leurs questions en matière de protection des données personnelles. – De notifier les internautes de tout changement de votre politique de protection de données. – Si vous permettez à vos utilisateurs d’utiliser vos services via plusieurs terminaux (ordinateurs, téléphone, tablette), faites en sorte que la configuration du compte de l’internaute enregistrée sur l’un de ses équipements soit prise en compte sur les autres.

Cette liste n’est évidemment pas exhaustive. N’oubliez pas que votre site Internet ou votre application est la première façade de votre conformité !

Notre équipe de professionnels est à vos côtés pour vous aider à respecter vos obligations légales. Rendez-vous sur notre site pour plus d’informations : https://www.rgpd-experts.com/

[1] Cet organe européen indépendant a été institué par le RGPD lui-même. Il a pour mission de contribuer à l’application cohérente de la législation européenne en matière de protection des données. Il publie régulièrement des lignes directrices pour aider les responsables de traitement à comprendre et respecter leurs obligations légales.

[2] CEPD, Lignes directrices 03/2022 du 14 février 2023, « Designs trompeurs sur les interfaces des réseaux sociaux : comment les reconnaître et les éviter » : https://edpb.europa.eu/system/files/2023-02/edpb_03-2022_guidelines_on_deceptive_design_patterns_in_social_media_platform_interfaces_v2_en_0.pdf

L.H

Depuis plus de 18 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

Utilisation des drones par les forces de l’ordre

dans Actualités, News

Comment voir la vie d’en haut / vidéo ?

Afin de contrôler les manifestations organisées pour la fête du travail le 1^er mai dernier, certaines villes ont autorisé les forces de l’ordre à s’aider de drones. Malgré les recours déposés par plusieurs associations contre ces décisions, les tribunaux administratifs ont généralement validé ces dispositifs de surveillance. Tel a notamment été le cas des drones survolant les cortèges de la capitale.

Pas de quoi en faire tout un cinéma ? Peut-être… Si ce n’est que cette méthode (presque) inédite sera probablement monnaie courante dans les prochaines années. Selon le Préfet de police de Paris, les survols des manifestations n’étaient en effet qu’un « test » pour la gestion sécuritaire des Jeux Olympiques de Paris 2024[1].

FLASHBACK : la législation sur l’usage des drones par les forces de l’ordre

Durant le premier confinement, la Préfecture de police de Paris avait déjà utilisé des drones pour veiller au respect des règles instaurées dans le cadre de l’état d’urgence sanitaire. Le Conseil d’État avait toutefois suspendu cette décision, en ce qu’elle s’inscrivait en dehors de tout cadre juridique régissant la question[2].

La loi du 25 mai 2021 pour une sécurité globale préservant les libertés, récemment modifiée par la loi du 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure, a permis de pallier ce vide juridique. Ces dispositions autorisent désormais certains services de maintien de l’ordre, de secours ou des douanes à recourir sous conditions à des « caméras installées sur des aéronefs, y compris sans personne à bord » – autrement dit des drones[3].

Durant ce processus législatif, la Commission Nationale de l’Informatique et des Libertés (CNIL) a eu l’occasion d’émettre plusieurs avis sur les modalités envisagées pour la mise en œuvre de ces appareils[4].

Mais l’application de ces textes était conditionnée à l’adoption d’un décret dédié, qui a finalement été adopté quelques semaines avant les manifestations du 1^er mai, le 19 avril 2023[5].

L’intégration de cette nouvelle technologie dans les outils à disposition des forces de l’ordre n’est pas anodine compte tenu des risques qu’elle présente pour les droits et libertés des personnes concernées. Nous ne nous faisons pas de films : même les plus hautes instances le reconnaissent !

PAUSE : les risques liés à l’utilisation des drones par les forces de l’ordre

Interrogé sur la constitutionnalité de la loi du 24 janvier 2022, le Conseil Constitutionnel a souligné l’importance d’assortir l’utilisation de ces drones de garanties destinées à sauvegarder le droit au respect de la vie privée des citoyens français. Dans sa décision du 20 janvier 2022[6], il a rappelé la puissance de nuisance de ces appareils : « les drones sont capables de capter, en tout lieu, et sans que leur présence soit détectée, des images d’un nombre très important de personnes et de suivre leurs déplacements dans un vaste périmètre. ».

Afin d’éviter toutes dérives, le législateur a essayé de circonscrire l’utilisation de ces drones[7], notamment en :

Limitant les cas dans lesquels il est possible de les utiliser (en particulier pour la prévention d’actes de terrorisme, le secours aux personnes, assurer la sécurité des rassemblements dans des lieux publics, etc.) ;
Limitant les fonctionnalités de ces drones (les caméras ne peuvent capter aucun son – vivre le cinéma muet ! Elles ne peuvent pas non plus être équipées de dispositifs de traitements automatisés permettant une reconnaissance faciale, et ne doivent en principe jamais être orientées vers l’intérieur des domiciles privés, etc.) ;
Limitant dans le temps (les survols ne peuvent pas être permanents) et dans l’espace le recours à ces drones (en obligeant au préalable la délimitation d’une zone géographique d’intervention) ;
Conditionnant l’utilisation de ces drones à l’obtention d’une autorisation écrite et motivée du préfet;
Limitant la durée de conservation des images prises (en principe 7 jours maximum et 48 heures lorsqu’elles permettent exceptionnellement de visualiser l’intérieur de résidences privées, sauf à être transmises dans ces délais dans le cadre d’un signalement à l’autorité judiciaire)

PLAY : les recommandations de la CNIL

Déjà avant la promulgation de la loi, le Conseil constitutionnel avait émis plusieurs réserves sur sa constitutionnalité.

Quelques semaines avant l’adoption définitive du décret d’application du 19 avril 2023, la CNIL avait rendu un nouvel avis sur ces dispositions[8]. Contrairement aux précédents, cet avis a cette fois la valeur d’un acte réglementaire unique, ce qui signifie que les administrations souhaitant utiliser ces caméras devront, au préalable, formellement s’engager auprès de la Commission à respecter le cadre légal.

La délibération de la CNIL conforte malheureusement les craintes de l’équipe de RGPD-Experts : force est de constater qu’un flou certain demeure sur les conditions précises et pratiques d’utilisation de ces drones…

Alors que l’autorité régulatrice rappelle fréquemment aux responsables de traitement de ne pas recourir à des descriptifs génériques dans leurs documentations de conformité, la législation en vigueur est ici loin d’être limpide :

Ces appareils ne peuvent être utilisés que si cela est « strictement nécessaire à l’exercice des missions concernées et adapté au regard des circonstances de chaque intervention». Bien que le Conseil constitutionnel ait exigé de réserver l’usage des drones à « des cas précis et d’une particulière gravité », cette expression nébuleuse ne permet pas de savoir concrètement dans quelles situations ces mesures peuvent être déployées …
Selon quels critères distinguer les cas dans lesquels une simple captation des images en direct suffira, de celles dans lesquels un enregistrement s’imposera ?
Quelles sont en réalité les «circonstances d’intervention» justifiant que les drones puissent continuer à filmer, à titre exceptionnel, alors même que l’intérieur de domiciles privés serait visible ?
Comment les forces de l’ordre envisagent-elles d’informer les personnes concernées qu’elles sont susceptibles d’être filmées, ainsi que de leurs droits en matière de protection des données personnelles ? La CNIL incite le gouvernement à clarifier l’information du public en général, mais surtout des potentielles cibles des caméras, par l’instauration de dispositifs sonores ou physiques dans les périmètres couverts par les drones.
Comment s’assurer du respect des mesures de sécurité destinées à garantir l’anonymisation et l’intégrité des données collectées (chiffrement, horodatage et assignation d’un « tatouage numérique » des flux de vidéo, sécurisation des sauvegardes, etc.) ?

Nous espérons que ces questions sans réponses ne seront pas à l’origine d’un scénario catastrophe pour l’avenir, digne d’un film de science-fiction !

Si les ministères ont indiqué à l’autorité de contrôle qu’ils ne pouvaient pas préciser dans le décret les critères objectifs sur lesquels ils se fonderont pour respecter ces règles, compte tenu de la diversité des situations opérationnelles auxquelles les forces de sécurité sont confrontées, ils certifient que ces explications seront rapportées plus en détail dans les doctrines d’emploi qu’ils envisagent d’adresser aux services concernés. Doctrines qui n’auront, elles, aucune valeur contraignante…

Nous n’en sommes donc qu’aux prémices de cette longue saga sur les questions soulevées par l’utilisation des drones par la police et la gendarmerie nationale en matière de protection des données personnelles.

La pratique et la jurisprudence à venir devront probablement combler les silences de la loi…

*** * ***

Vous aviez loupé des étapes de cette évolution juridique et voudriez rembobiner l’histoire ? Vous n’arrivez pas à suivre le cadre juridique changeant en matière de protection des données ? Suivre vos démarches de conformité est pour vous une véritable péripétie ? Vos connaissances mériteraient un replay ?

Nous vous invitons à prendre contact avec nos services pour plus de renseignements sur nos offres de formation, de solutions de conformité ou d’assistance RGPD : https://www.rgpd-experts.com/contactez-rgpd-experts/

L.H

[1] FranceInfo, « Drones pendant les manifestations du 1^er mai », le 2 mai 2023 : https://www.francetvinfo.fr/faits-divers/police/drones-pendant-les-manifestations-du-1er-mai-une-sorte-de-test-en-vue-des-jeux-olympiques-de-2024-explique-le-prefet-de-police-de-paris_5802956.html

[2] Conseil d’État, juge des référés, 18 mai 2020, 440442.

[3] La loi vise également les dispositifs embarqués dans d’autres aéronefs (avions, hélicoptères, etc.). Pour rappel, des règles spécifiques encadrent l’utilisation des drones à titre privé. Elles diffèrent selon leur date de conception, leur catégorie et leur poids.

[4] Délibération n°2021-011 du 26 janvier 2021 et délibération n°2021-078 du 08 juillet 2021.

[5] Décret n°2023-283 du 19 avril 2023 relatif à la mise en œuvre de traitements d’images au moyen de dispositifs de captation installés sur des aéronefs pour des missions de police administrative.

[6] Conseil Constitutionnel, décision n°2021-834 du 20 janvier 2022, Communiqué de presse : https://www.conseil-constitutionnel.fr/actualites/communique/decision-n-2021-834-dc-du-20-janvier-2022-communique-de-presse

[7] Articles L242-1 et suivants du Code de la Sécurité intérieure.

[8] Délibération n°2023-027 du 16 mars 2023 portant avis sur un projet de décret portant application des articles L.242-1 et suivants du Code de la sécurité intérieure : https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000047465509

utilisation des applications récréatives

dans Actualités, News

Utilisation des applications récréatives par les particuliers et les fonctionnaires :

Des instructions à double vitesse ?

Une rapide annonce aux grandes conséquences – Le 24 mars 2023, le gouvernement a interdit « sans délai » à tous les fonctionnaires de télécharger et de faire usage d’applications dites « récréatives » sur leurs téléphones professionnels[1].

Aucune interface n’est nommément visée. Cette mesure concernerait en réalité toutes les applications :

De « gaming » (Candy Crush, 2048, jeux d’échecs, le bon vieux Tetris, etc.);
De « streaming » (Netflix ou Amazon Prime Vidéo par exemple);
De divertissement en général (ce qui cible entre autres les réseaux sociaux tels qu’Instagram ou Snapchat).

Un engouement pour les applications récréatives en perte de vitesse ? – Ces consignes s’inscrivent dans le prolongement de nombreux autres avertissements à travers le monde.

Le 23 février 2023, la Commission européenne avait déjà enjoint à tous ses collaborateurs de supprimer l’application de partage de vidéos « TikTok » non seulement de leurs smartphones professionnels, mais aussi de leurs téléphones personnels si des informations relatives à leur travail y transitent[2].

Plusieurs états avaient également déjà pris des mesures similaires au sein de leurs gouvernements et administrations. Emboîtant le pas du Canada ou du Royaume-Uni, les Pays-Bas et la Norvège ont eux aussi récemment banni l’emploi de l’application de vidéos « TikTok » au sein de leurs collectivités.

Les législations identiques se multiplient à un rythme effréné, et les textes restreignant l’usage de ces applications de divertissement sont votés plus vite que la musique !

D’autres pays envisagent des réactions bien plus drastiques. Aux États-Unis, la question de l’interdiction pure et simple de TikTok est actuellement aux cœurs des débats[3].

Est-ce à dire que ces positions gouvernementales sont susceptibles d’apporter des solutions pérennes en termes de protection des données personnelles ? C’est vite dit !

Pour toute justification, le ministre de la Transformation et de la Fonction publique Monsieur Stanislas GUERINI a indiqué que :

« les applications récréatives ne présentent pas les niveaux de cybersécurité et de protection des données suffisant pour être déployées sur les équipements d’administrations. Ces applications peuvent donc constituer un risque sur la protection des données de ces administrations et de leurs agents publics. » .

Au-delà de la compromission des données personnelles des fonctionnaires, c’est en réalité des soupçons d’espionnage par Pékin via ces interfaces qui auraient incité le gouvernement à agir au plus vite.

Si TikTok a reconnu que ses salariés pouvaient accéder à distance depuis l’étranger aux données personnelles de ses utilisateurs, la maison mère de l’application « ByteDance » réfute les accusations portées à son encontre, selon lesquelles elle transmettrait ces informations au gouvernement chinois[4].

Des prises de position vite fait…bien fait ? – Si nos dirigeants sont inquiets pour eux, n’y a-t-il pas de raisons que les particuliers s’alarment eux aussi ? N’y a-t-il pas deux poids deux mesures dans ces instructions ?

La CNIL[5] s’est déjà penchée sur la conformité de certaines de ces applications récréatives. Le réseau social « TikTok » a ainsi fait l’objet de plusieurs condamnations, dont nous vous avions déjà parlé[6].

Mais ces sanctions visent des manquements précis et circonstanciés du Règlement Général sur la Protection des Données (RGPD), alors que les violations des règles applicables en la matière par ces différentes interfaces semblent multiples, et surtout structurelles.

Alors que l’article 58(2)(f) du RGPD prévoit la possibilité pour les autorités de contrôle d’imposer la limitation temporaire ou définitive voire l’interdiction d’un traitement de données, les décisions prises par les autorités régulatrices européennes sont chaque fois limitées, si ce n’est symbolique par rapport aux chiffres d’affaires réalisés par ces plateformes et le nombre de personnes concernées par le traitement de leurs données personnelles en Europe.

Au-delà de ces sanctions radicales, les autorités de contrôle disposent de tout un panel de mesures correctrices destinées à sécuriser les données des internautes. Si les données des fonctionnaires sont menacées, celles des particuliers le sont sans nul doute tout autant…

La recherche d’un équilibre entre liberté d’expression et protection des données personnelles suggère l’instauration d’un temps de réflexion approfondi sur les enjeux générés par ces applications, et non de régler ces questions en deux temps, trois mouvements.

Si les personnes concernées peuvent en effet décider de continuer à utiliser ces applications malgré le risque qu’elles induisent pour le traitement de leurs données personnelles, c’est notamment à condition que leur consentement ait été donné en toute connaissance de cause.

Or, il semblerait qu’il reste encore des flous à éclaircir sur ce sujet…

***

Chez RGPD-Experts, nous considérons que votre conformité est une question sérieuse à examiner attentivement, pour adapter au maximum les mesures applicables en matière de protection des données à la réalité de votre activité. Comme dit le proverbe : « Qui va vite, va loin ; qui va lentement va mieux » !

Notre équipe de professionnels vous accompagne pour accomplir avec vous un travail de fond, visant à identifier vos obligations légales selon les missions poursuivies par votre organisme, et à trouver les réponses pertinentes à y apporter. Ce travail d’analyse sera la clé de votre conformité, car cela bien connut : rien ne sert de courir, il faut partir à point.

L.H

[1] Communiqué de presse du 24 mars 2023 du Ministre de la Transformation et de la fonction publique : https://www.transformation.gouv.fr/files/presse/cp_interdiction_applications_recreatives_telephone_pro_agents.pdf

[2] Article d’actualité de Représentation en France du 23, février 2023 : https://france.representation.ec.europa.eu/informations/la-commission-renforce-sa-cybersecurite-et-suspend-lutilisation-de-tiktok-sur-les-appareils-de-son-2023-02-23_fr

[3] « Tiktok menacé d’interdiction aux États-Unis », Le Monde, 23 mars 2023 : https://www.lemonde.fr/economie/article/2023/03/23/tiktok-menace-d-interdiction-aux-etats-unis-veut-jouer-l-opinion-contre-les-gouvernements-occidentaux_6166709_3234.html

[4] Nous vous invitons à lire notre précédent article sur le sujet : https://www.rgpd-experts.com/transfer-de-donnees/

[5] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[6] Notamment à travers le post suivant : https://www.rgpd-experts.com/mauvaise-tactique-de-tiktok/

RGPD or not RGPD

dans Actualités, News

Le RGPD : plus trop la tasse de thé des Anglais ?

En sortant de l’Union européenne (UE), le Royaume-Uni s’est soustrait du champ d’application de nombreuses législations européennes. Parmi elles figure notamment le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, plus connu sous le nom de « Règlement Général sur la Protection des Données » (RGPD).

Débriefing : petits rappels historiques et légaux – Le Royaume-Uni s’est officiellement retiré de l’UE le 31 janvier 2020. S’est alors ouverte une période de transition d’un an, durant laquelle le pays est provisoirement resté soumis aux règles communautaires.

À partir du 31 décembre 2020, le sort réservé aux données personnelles traitées au Royaume-Uni ne devait donc en principe plus être régi par le RGPD en tant que tel. En effet, ce texte étant un règlement et non une directive, il a été directement applicable dans les États membres de l’UE dès son entrée en vigueur, sans que ceux-ci aient eu besoin d’en retranscrire le contenu dans leurs propres lois nationales[1].

Pour surmonter cette difficulté, qui aurait porté préjudice à la fois aux citoyens britanniques et aux rapports commerciaux qu’entretient le Royaume-Uni avec le reste des pays de l’Union, le gouvernement britannique a promulgué une série de lois destinées à transposer la quasi-totalité du RGPD dans son ordre juridique.

Le feed-back de la Commission européenne – La Commission européenne a considéré que le nouveau droit positif du Royaume-Uni assurait bien un niveau de protection des données personnelles équivalent à celui garanti par le RGPD.

L’institution européenne a ainsi adopté une décision d’adéquation le 28 juin 2021[2]. Celle-ci a notamment pour effet de dispenser les responsables de traitement soumis au RGPD européen d’avoir à accomplir des formalités supplémentaires avant de transférer des données personnelles vers le Royaume-Uni.

Cette décision vaut en théorie pour une durée de quatre années, sauf décision contraire de la Commission européenne. L’institution a toutefois précisé qu’elle surveillerait attentivement l’évolution de la législation et les pratiques britanniques à ce sujet, et qu’elle se réservait le droit de suspendre, abroger ou modifier sa décision d’adéquation s’il était démontré que le Royaume-Uni n’assurait plus un niveau de protection adéquat des données personnelles.

Mais, bien qu’averti des conséquences d’un éventuel « retour en arrière » de sa part, le Royaume-Uni n’est-il pas en train de filer à l’anglaise ?

Le récent bad buzz du gouvernement britannique – Le 8 mars 2023, la secrétaire d’État anglaise à la Science, à l’Innovation et à la Technologie Madame Michelle DONELAN a présenté au Parlement un récent projet de loi, qui pourrait bien changer la donne[3]. Le texte prévoit un aménagement des dispositions actuellement en vigueur, jugées trop contraignantes pour les entreprises. Brandissant le fait que cette réforme permettrait de réaliser près de 4 milliards de livres d’économies en 10 ans, il y serait question de :

1 – Assouplir les règles sur l’exploitation des données personnelles dans le cadre de la recherche scientifique

L’article 6(1)(b) RGPD définit le principe de limitation des finalités, c’est-à-dire que les données à caractère personnel doivent être : […] « collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ; le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n’est pas considéré, conformément à l’article 89, paragraphe 1, comme incompatible avec les finalités initiales ».

Le projet de loi anglais vise à étendre la définition de la « recherche scientifique » pour y inclure les activités de recherche dans le secteur commercial. L’idée serait que les entreprises puissent elles aussi réutiliser des données qu’elles auraient préalablement collectées auprès de leurs clients et partenaires pour leurs propres activités de recherche et développement.

2 – Réduire les formalités administratives incombant aux responsables de traite

Sous l’empire du RGPD, tout responsable de traitement est tenu à un principe « d’accountability ». Il s’agit pour lui non seulement de devoir respecter ses obligations légales en matière de protection des données, mais d’être en mesure de démontrer à chaque instant de sa conformité (art. 5(2) du RGPD).

Cette mesure est particulièrement protectrice des personnes concernées qui, en cas de désaccord, n’ont pas à apporter la preuve du manquement de l’organisme ; preuve difficilement accessible pour elles puisque ces justificatifs sont précisément souvent détenus par le responsable de traitement.

Estimant cette exigence trop astreignante pour les responsables de traitement, le gouvernement britannique souhaite en réduire considérablement le champ d’application. Il est d’avis que seuls les organismes poursuivant des activités susceptibles de présenter un risque pour les droits et libertés des personnes concernées devraient désormais tenir une documentation de leur conformité.

Pas cool pour les citoyens dont les informations personnelles sont manipulées au quotidien, mais de façon trop insignifiante aux yeux du gouvernement du 10 Downing Street pour s’assurer du degré de conformité du responsable de traitement (démarchage et prospection, profilage en ligne, renseignements RH des entreprises, etc.).

Le texte prévoit également un allègement des règles de consentement des personnes concernées pour le dépôt de cookies[4].

3 – Encourager les transferts de données à l’international…

…En exemptant, entre autres, les responsables de traitement de vérifier que le destinataire étranger continue de respecter ses obligations en matière de protection des données, après leur contrôle initial.

OH MY GOD ! Autant de rétropédalages ?…

Le projet de loi émet l’idée de créer deux cadres règlementaires distincts. Les groupes britanniques désirant poursuivre leurs activités dans l’Union européenne seraient, malgré tout, encore obligés de respecter le RGPD[5]…

Mais nous en savons encore peu pour l’instant, cette réforme n’ayant curieusement pas fait la une des tabloïds…

Mauvais timing pour une telle annonce – Si le gouvernement britannique a réaffirmé dans son projet de loi son souhait de maintenir un haut niveau de protection aux données personnelles manipulées sur son territoire, il est permis d’en douter.

Cette évolution du cadre légal va nécessairement être analysée de près par la Commission européenne, puisqu’elle risque d’amoindrir le niveau de protection accordée aux éventuelles données personnelles de résidents européens transférées vers le Royaume-Uni…

D’autant que le gouvernement britannique a récemment signé avec les États-Unis un accord bilatéral autorisant les autorités de chaque pays à réclamer aux organismes de l’autre la communication des données personnelles qu’ils auraient en leur possession, lors d’investigations sur certains crimes relevant du grand banditisme ou du terrorisme. Cette entente, conclue le 3 octobre 2022, intervient dans le cadre du CLOUD ACT américain[6] ^{& [7]} . Elle pourrait ainsi donner un accès direct aux autorités américaines à des données personnelles de résidents européens envoyées de prime abord « en toute confiance » au Royaume-Uni…

En dehors de toute révision anticipée de la décision d’adéquation rendue par l’Institution européenne, celle-ci expire dans tous les cas le 27 juin 2025. Sa prorogation éventuelle sera l’occasion d’un examen des garanties offertes par le Royaume-Uni sur cette problématique.

Considérera-t-elle que tout est « Okay »

Nous vous rappelons qu’en l’absence de décision d’adéquation, les responsables de traitement soumis au RGPD ne pourront plus transférer de données personnelles vers le Royaume-Uni sans avoir pris des garanties appropriées pour s’assurer de leur sécurité là-bas. L’article 46 du RGPD dresse la « check-list » de ces garanties, qui peuvent être : un arrangement administratif contraignant et exécutoires, pour les organismes publics (1) ; des règles d’entreprise contraignantes (2) ; des clauses types de protection des données, soit spécifiques ou approuvées par la Commission européenne (3) ; voire l’engagement du destinataire de suivre un code de conduite approuvé (4) ou le cahier des charges d’une certification qui lui aurait été délivrée (5).

*** * ***

Contrairement à ce qu’affirme le gouvernement britannique, ces obligations légales sont un véritable atout pour les organismes, à l’heure où les personnes concernées ont davantage d’attente sur la manière dont sont recueillies et exploitées leurs informations personnelles.

Ce n’est un scoop pour personne : loin d’être un coût supplémentaire pour les sociétés, leurs démarches de conformité sont désormais largement valorisables et valorisées sur le marché.

Perdus dans l’identification et la gestion des différents pans de votre conformité ?

Notre équipe de professionnels est à l’écoute de vos demandes et de vos besoins.

Nous vous invitons à prendre contact les services de RGPD-Experts via notre formulaire :

https://www.rgpd-experts.com/contactez-rgpd-experts/

L.H

[1] Cette applicabilité immédiate des règlements européens découle de l’effet « direct » qui leur est reconnu.

[2] La décision d’exécution de la Commission du 28 juin 2021 constatant, conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil, le niveau de protection adéquat des données à caractère personnel assuré par le Royaume-Uni est disponible dans son intégralité à l’adresse suivante : https://commission.europa.eu/system/files/2021-06/decision_on_the_adequate_protection_of_personal_data_by_the_united_kingdom_-_general_data_protection_regulation_fr_0.pdf

[3] Tel qu’indiqué dans un communiqué du gouvernement britannique accessible en ligne : https://www.gov.uk/government/news/british-businesses-to-save-billions-under-new-uk-version-of-gdpr

[4] https://www.usine-digitale.fr/article/exit-le-rgpd-le-royaume-uni-assouplit-ses-regles-sur-la-protection-des-donnees.N2109356

[5] Ibid.

[6] https://www.justice.gov/opa/pr/landmark-us-uk-data-access-agreement-enters-force

[7] Pour en savoir plus sur le Cloud Act américain et ses conséquences sur votre conformité, nous vous invitons à consulter notre précédent article sur le sujet : https://www.rgpd-experts.com/google-analytics/

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

Transferts vers les USA

dans Actualités, News

L’EDPB se félicite des améliorations apportées par le cadre UE-États-Unis sur la protection des données, mais des inquiétudes subsistent

Après les remarques de la commission des libertés civiles de la justice et des affaires intérieures du Parlement européen Lien, c’est au tour de l’EDPB de faire le point sur le projet d’adéquation des USA.

Bruxelles, 28 février

L’EDPB a adopté son avis sur le projet de décision d’adéquation concernant le cadre de protection des données à caractère personnel entre l’UE et les États-Unis. L’EDPB accueille favorablement les améliorations substantielles telles que l’introduction d’exigences reflétant les principes de nécessité et de proportionnalité pour la collecte de données par les services de renseignement américains et le nouveau mécanisme de recours pour les personnes concernées de l’UE.

En même temps, il exprime des préoccupations et demande des clarifications sur plusieurs points. Ceux-ci concernent, en particulier, certains droits des personnes concernées, les transferts ultérieurs, le champ d’application des exemptions, la collecte temporaire de données en masse et le fonctionnement pratique du mécanisme de recours. L’EDPB apprécierait que non seulement l’entrée en vigueur mais aussi l’adoption de la décision soient conditionnées à l’adoption de politiques et de procédures actualisées pour mettre en œuvre l’Executive Order 14086 par toutes les agences de renseignement américaines. L’EDPB recommande à la Commission d’évaluer ces politiques et procédures mises à jour et de partager son évaluation avec l’EDPB.

Andrea Jelinek, présidente de l’EDPB, a déclaré : » Un niveau élevé de protection des données est essentiel pour sauvegarder les droits et libertés des individus de l’UE. Tout en reconnaissant que les améliorations apportées au cadre juridique américain sont significatives, nous recommandons de répondre aux préoccupations exprimées et de fournir les clarifications demandées afin de garantir la pérennité de la décision d’adéquation. Pour la même raison, nous pensons qu’après le premier examen de la décision d’adéquation, des examens ultérieurs devraient avoir lieu au moins tous les trois ans et nous nous engageons à y contribuer. »

Le projet de décision d’adéquation, publié par la Commission européenne le 13 décembre 2022, est basé sur le cadre de protection des données (DPF) UE-États-Unis – censé remplacer le Privacy Shield invalidé par la CJUE dans l’arrêt Schrems II. L’élément clé du DPF est constitué par les principes du cadre UE-États-Unis de protection des données, qui ont été publiés par le ministère américain du commerce. Le DPF n’est applicable qu’aux organisations américaines qui se sont auto-certifiées. L’EDPB a maintenant adopté son avis sur le projet de décision, qui prend en compte à la fois les aspects commerciaux et l’accès et l’utilisation des données par les autorités publiques américaines.

En ce qui concerne les aspects commerciaux, l’EDPB se félicite d’un certain nombre de mises à jour apportées aux principes du DPF. Il note également qu’un certain nombre de principes restent essentiellement les mêmes que dans le cadre du Privacy Shield. À ce titre, certaines préoccupations demeurent, par exemple, en ce qui concerne certaines exemptions au droit d’accès, l’absence de définitions clés, le manque de clarté quant à l’application des principes du DPF aux sous-traitants, la large exemption au droit d’accès pour les informations accessibles au public, et l’absence de règles spécifiques sur la prise de décision automatisée et le profilage. L’EDPB réaffirme également que le niveau de protection ne doit pas être affaibli par les transferts ultérieurs. Il invite donc la Commission à préciser que les garanties imposées par le destinataire initial à l’importateur dans le pays tiers doivent être effectives au regard de la législation du pays tiers, avant tout transfert ultérieur.

En outre, l’EDPB demande à la Commission de clarifier la portée des exemptions concernant l’obligation d’adhérer aux principes du DPF et souligne l’importance d’une surveillance et d’une application efficaces du DPF. Ces aspects seront suivis de près par l’EDPB, ainsi que l’efficacité des voies de recours offertes aux personnes concernées de l’UE dont les données sont traitées en violation du RGPD.

En ce qui concerne l’accès du gouvernement aux données transférées aux États-Unis, l’EDPB reconnaît les améliorations significatives apportées par l’Executive Order (EO) 14086. L’EO introduit les concepts de nécessité et de proportionnalité en ce qui concerne la collecte de données par les services de renseignement américains (renseignement électromagnétique).

En outre, le nouveau mécanisme de recours crée des droits pour les individus de l’UE et est soumis à l’examen de la Commission de surveillance de la vie privée et des libertés civiles (PCLOB). Le PE consacre également davantage de garanties pour assurer l’indépendance de la Cour de révision de la protection des données (CRPD), par rapport au mécanisme précédent du médiateur et introduit des pouvoirs plus efficaces pour remédier aux violations, y compris des garanties supplémentaires pour les personnes concernées.

L’EDPB souligne qu’une surveillance étroite est nécessaire concernant l’application pratique des principes de nécessité et de proportionnalité nouvellement introduits. Une plus grande clarté est également nécessaire concernant la collecte temporaire en vrac et la conservation et la diffusion ultérieures des données collectées en vrac.

L’EDPB s’inquiète également de l’absence d’obligation d’autorisation préalable par une autorité indépendante pour la collecte de données en masse en vertu de l’Executive Order 12333, ainsi que de l’absence de contrôle indépendant systématique ex post par un tribunal ou un organe indépendant équivalent.

En ce qui concerne l’autorisation indépendante préalable de la surveillance au titre de la section 702 de la FISA, le PCLOB regrette que la Cour FISA ne contrôle pas la conformité avec l’Executive Order 14086 lorsqu’elle certifie des programmes autorisant le ciblage de personnes non américaines, alors même que les autorités de renseignement qui exécutent le programme sont liées par celui-ci. Des rapports du PCLOB sur la manière dont les garanties de l’EO 14086 seront mises en œuvre et comment ces garanties sont appliquées lorsque des données sont collectées en vertu de la section 702 de la FISA et de l’EO 12333 seraient particulièrement utiles.

En ce qui concerne le mécanisme de recours, l’EDPB reconnaît les garanties supplémentaires prévues, telles que le rôle des avocats spéciaux et l’examen du mécanisme de recours par le PCLOB. En même temps, l’EDPB est préoccupé par l’application générale de la réponse standard du DPRC notifiant au plaignant que soit aucune violation couverte n’a été identifiée, soit une détermination exigeant une remédiation appropriée a été émise, d’autant plus que cette décision ne peut pas faire l’objet d’un appel. L’EDPB invite donc la Commission à surveiller de près le fonctionnement pratique de ce mécanisme.

A.R

OVH condamné

dans Actualités

Condamnation d’OVH & surveillance par les hébergeurs des contenus publiés sur le Web

Les généralités exposées à tout va par des « spécialistes » du droit de la conformité en ferait presque parfois oublier toutes les subtilités de cette matière.

L’arrêt de la Cour de cassation du 23 novembre 2022[1] vient rappeler des principes pourtant fondamentaux du droit de la protection des données à caractère personnel :

D’abord, que le Règlement Général sur la Protection des Données (RGPD) n’est pas le seul texte régissant le sujet.
Ensuite, que les organismes ne respectant pas ces règles n’encourent pas des risques sur le seul plan administratif, avec les enquêtes et éventuelles sanctions de la CNIL[2], mais engagent également leurs responsabilités pénale et civile.

Examinons ensemble dans quel contexte se présente l’affaire.

Plus besoin de vous présenter la société française OVH[3], qui agissait ici sous sa casquette d’hébergeur de sites Internet. L’entreprise assurait, dans ce contexte, la visibilité de la page Web de la société espagnole « Subrogalia », dont l’objet est d’organiser l’entremise entre une mère acceptant de porter un enfant et des parents d’intention.

Le 1^er février 2016, l’association « Juristes pour l’enfance » a demandé à OVH de retirer sans délai le contenu publié par Subrogalia via leurs services. Leurs posts étaient en effet accessibles en France, alors que la gestation pour autrui (GPA) y est interdite.

OVH a refusé de procéder à cette suppression, estimant qu’il ne lui appartenait pas de trancher elle-même le litige opposant vraisemblablement Subrogalia et l’association des Juristes pour l’enfance. OVH a toutefois précisé qu’il exécuterait toute décision de justice l’obligeant à retirer cette publication.

OVH était-il obligé de faire droit à la demande de l’association ?

La Cour de cassation a jugé que oui.

Elle rappelle pour cela les dispositions de l’article 6(I)(2) de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique :

« Les personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d’écrits, d’images, de sons ou de messages de toute nature fournis par des destinataires de ces services ne peuvent pas voir leur responsabilité civile engagée du fait des activités ou des informations stockées à la demande d’un destinataire de ces services si elles n’avaient pas effectivement connaissance de leur caractère illicite ou de faits et circonstances faisant apparaître ce caractère ou si, dès le moment où elles en ont eu cette connaissance, elles ont agi promptement pour retirer ces données ou en rendre l’accès impossible. »[4]

L’association des Juristes pour l’enfance reproche précisément à OVH de ne pas avoir rendu impossible l’accès au site de Subrogalia, alors même qu’elle avait attiré l’attention de l’hébergeur sur le caractère illicite de son contenu.

Elle réclame à OVH une indemnité pour le préjudice moral qu’elle dit avoir subi du fait de cette mise en ligne. Le problème sous-jacent est le suivant : la gestation pour autrui est peut-être illicite en France, mais elle est autorisée sous conditions en Espagne, pays où est implantée la société Subrogalia.

OVH a donc notamment fait valoir que, selon elle :

① La loi française ne s’appliquait pas ici, puisque le fait générateur du dommage moral que l’association indique subir s’est produit en Espagne.

② Subrogalia ne propose des prestations d’accompagnement à la gestation pour autrui que dans les pays où cette maternité de substitution est légale. OVH estime que le seul fait que ce contenu soit accessible depuis la France est indifférent. Selon lui, la gestation pour autrui fait l’objet de débats et d’options juridiques très différentes selon les pays, mais n’est pas unanimement réprouvée par une norme de droit international. Dans ces conditions, OVH estime qu’il n’est pas possible de qualifier les informations publiées par Subrogalia via ses services d’hébergement de “manifestement illicites”.

Force est de constater que la Cour de cassation n’est pas de cet avis.

D’une part, la Haute Juridiction a estimé que le caractère illicite de la pratique de la GPA était sans ambiguïté au regard du droit français actuel. Peu important les débats autour de cette question, seuls comptent les textes, qui n’autorisent pas en France ces grossesses de substitution.

D’autre part, la Cour de cassation a jugé que le site Internet de la société espagnole Subrogalia était accessible en français, et que ses clients étaient originaires de quatre États, dont la France. Dès lors, elle estime que le public français était la cible d’un contenu pourtant interdit sur son sol.

A défaut pour OVH d’avoir agi promptement pour rendre inaccessible ce site aux citoyens français, la Haute Juridiction a estimé qu’il y avait bien lieu de condamner OVH à verser 3.000 € de dommages et intérêts à l’association des Juristes pour l’enfance, afin d’indemniser leur préjudice moral pour ces faits.

Si OVH n’a vraisemblablement pas ici été poursuivi sur le plan pénal, ce qui aurait pu être le cas, nul doute qu’il aurait préféré ne pas se voir condamné sur le plan civil. Sans compter l’impact de cette décision sur son image de marque !

Quelle que soit votre activité, voici les leçons à tirer de cette décision :

N’occultez pas les multiples législations susceptibles de s’appliquer à votre structure, selon vos missions, et pouvant avoir une influence sur vos démarches de conformité. Nous vous l’assurons : ces réglementations sont bien plus nombreuses que vous ne le soupçonnez !

Ne méprenez pas la dimension internationale de vos publications, qui impacte nécessairement vos obligations en matière de protection des données personnelles (éventuelle désignation d’un représentant du responsable de traitement ou sous-traitant dans l’Union Européenne, gestion des flux de données intra et extra-communautaires, soumission à des règles locales plus ou moins strictes, etc.).

Soyez vigilants sur le respect de la législation en vigueur par vos propres partenaires contractuels, fournisseurs et/ou sous-traitants.

Il en va de votre réputation, et de votre budget.

Si cette décision vous laisse perplexes : ne restez pas seuls !

Notre équipe d’experts vous propose une entremise parfaitement légale, avec un de ses professionnels qualifié et expérimenté, afin de vous assister dans vos démarches de conformité. N’hésitez pas à contacter nos services pour toute demande de renseignement :

https://www.rgpd-experts.com/contactez-rgpd-experts/

[1] L’arrêt Cass. Civ. 1^ère, 23 nov. 2022, n° 21-10.220 est disponible dans son intégralité à l’adresse suivante : https://www.courdecassation.fr/decision/637f23873aa45005d42d80c4

[2] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[3] Nous vous aidons tout de même à mieux cerner ce géant du numérique : OVH est une entreprise française agissant essentiellement comme fournisseur d’accès à Internet, hébergeur de serveurs, opérateur de télécommunication et fournisseurs de service de cloud.

[4] Nous attirons votre attention sur le fait que la rédaction de ce texte a évolué plusieurs fois depuis les faits, qui datent de 2016.

L.H

Nouvelle victoire pour noyb

dans Actualités, News, Thématiques

L’organisme de crédit interdit de collecter des données via les demandes d’accès et les registres civils.

Il y a deux ans, Noyb a déposé une plainte GDPR contre le courtier en données de crédit KSV 1870. L’agence autrichienne d’évaluation du crédit stockait des données non sollicitées de personnes jusqu’alors inconnues qui exerçaient leur droit légal d’accéder à leurs données. Aujourd’hui, l’autorité autrichienne de protection des données (DSB) a publié sa décision sur cette affaire : l’agence d’évaluation du crédit ne peut pas collecter de données par le biais de demandes d’accès à des registres d’état civil.

Décision de l’ORD autrichien.

L’agence d’évaluation du crédit stocke des données provenant de demandes d’information. Les Européens ont le droit de soumettre une demande d’information aux entreprises pour savoir quelles données sont traitées à leur sujet. Pour confirmer l’identité de la personne, une entreprise demande souvent des données supplémentaires : une pièce d’identité, un nom, une adresse ou une date de naissance, par exemple. Naturellement, les entreprises ne peuvent utiliser ces informations supplémentaires que dans le but de répondre à une demande d’accès et doivent ensuite les supprimer à nouveau. Ce n’est pas le cas du leader du secteur des agences d’évaluation du crédit autrichiennes : KSV 1870 stocke des informations sur les personnes lorsqu’elles demandent l’accès à leurs données.

Approche systématique de la KSV. L’approche du KSV est systématique – nous avons reçu de nombreux cas similaires. Une personne concernée avait déposé une demande d’accès au titre de l’article 15 du GDPR auprès du KSV. L’agence de crédit a répondu qu’aucune donnée personnelle de la personne concernée n’avait été traitée. Du moins jusqu’à présent. Le KSV a fait valoir que les informations supplémentaires fournies par la personne concernée afin de faire valoir son droit d’accès seraient désormais stockées dans la « base de données commerciale ». Mais ce n’est pas tout : avant cela, les informations de la personne concernée provenant de la demande d’accès étaient comparées à ses données dans le registre central des résidents et ajoutées à la base de données des entreprises.

« L’ORD nous a donné raison : Le modèle commercial de KSV 1870, qui consiste à utiliser les demandes d’information des personnes concernées pour enrichir sa base de données économiques, est illégal. Le traitement de toute information supplémentaire provenant du registre civil est également clairement illégal. Nous supposons que, outre la personne que nous représentons, d’innombrables autres Autrichiens sont concernés. Ceux-ci peuvent exiger de la KSV la suppression des données traitées illégalement. » – Marco Blocher, avocat spécialisé dans la protection des données chez noyb.eu

DPA et Noyb sont d’accord : KSV agit de manière illégale. Les actions de KSV violent le principe de limitation de la finalité selon l’article 5, paragraphe 1, point b), du RGPD. Ce principe stipule que les données doivent être collectées dans un but précis. Un traitement ultérieur pour une autre finalité n’est autorisé que s’il est compatible avec la finalité initiale. Le DPD a estimé qu’il n’y avait aucune raison apparente de traiter les données de la demande d’accès aux notations de crédit, et qu’il n’y avait pas non plus de mandat légal pour la collecte générale des données. En outre, le DPD a ordonné la suppression des données obtenues illégalement.

la Noyb surveille de près les négociants en données. Les industries dont l’activité principale est le commerce de données doivent être tenues à des normes particulièrement strictes en matière de protection des données. Le problème est que les agences d’évaluation du crédit ne sont guère réglementées : si elles ne sont autorisées à traiter que les données pertinentes pour la solvabilité, il n’existe aucune définition des informations spécifiques que cela inclut. Comme les agences d’évaluation du crédit ont accès à un grand nombre de données, elles doivent les traiter de manière particulièrement responsable.

RGPD-Experts vous souhaite une belle rentrée !

Conformité lors de l’instauration du télétravail

Conformité pendant le télétravail

L’employeur doit veiller à ce que les conditions d’exécution du télétravail ne portent pas atteinte au droit au respect de la vie privée de ses salariés.

Conformité au-delà du télétravail

Afin d’assurer le bien-être de vos collaborateurs, il est donc essentiel de prévoir dans votre charte informatique les mesures garantissant le respect de leur DROIT A LA DÉCONNEXION.

* * *

Procédures répressives de la CNIL : pourquoi faire compliqué lorsque l’on peut faire simple ?

MAIS QUELLE EST DONC CETTE PROCÉDURE ?

EN QUOI CETTE PROCÉDURE EST-ELLE SIMPLIFIÉE ?

Des situations moins complexes

Des sanctions limitées

Un rappel à l’ordre ;

ET / OU une amende administrative d’un montant maximum de 20 000 € ;

AVEC OU SANS astreinte, plafonnée à 100 € par jour de retard.

Des organes répressifs plus faciles à mobiliser

Des étapes allégées, mais des droits identiques

Des mêmes délais de procédure. L’organisme bénéficie ainsi d’un délai d’un mois pour présenter ses observations sur le rapport dressé par l’agent de la CNIL, qui pourra à son tour y répondre dans un délai d’un mois ;

Du même droit à une procédure contradictoire, c’est-à-dire qu’ils doivent avoir connaissance des arguments qui seront soumis à l’appréciation de l’autorité de contrôle. Les organismes ont notamment le droit d’accéder à leur dossier une fois l’instruction clôturée.

Du même droit, d’être assisté et/ou représenté par un avocat.

QUEL BILAN POUR LA PROCÉDURE SIMPLIFIÉE ?

Un réseau social distrayant, ça trompe énormément ?

Les « designs trompeurs » : késako ?

Les « designs trompeurs » : comment les reconnaître ?

EXEMPLE DE DESIGNS TROMPEURS

Les « designs trompeurs » : pourquoi les éviter ?

Les « designs trompeurs » : comment les bannir ?

Comment voir la vie d’en haut / vidéo ?

* * *

Utilisation des applications récréatives par les particuliers et les fonctionnaires :

Des instructions à double vitesse ?

***

Le RGPD : plus trop la tasse de thé des Anglais ?

* * *

L’EDPB se félicite des améliorations apportées par le cadre UE-États-Unis sur la protection des données, mais des inquiétudes subsistent

Bruxelles, 28 février

Condamnation d’OVH & surveillance par les hébergeurs des contenus publiés sur le Web

L’organisme de crédit interdit de collecter des données via les demandes d’accès et les registres civils.

Des Experts à votre service

RGPD Experts

Contacts et Liens Utiles

*** * ***

*** * ***